基于协议流量精细化多维度检测

随着网络的发展,攻击网络的新型方式较为特殊,多以慢速攻击的形式,对网络造成一定程度的威胁。文章基于DPI和DFI技术的网络流量,分析发现此类攻击在网络流量上呈现时间较长,并在持续增长,为了提高检测精度和躲避检测,对该类攻击采取降低攻击速率的方式进行,采用流量检测、文件检测、关联检测、特征检测、算法检测,综合判断网络状态,从多个维度提高网络预警的精准性,对数据、流量、文件等进行检测,同时检测流量传输的数据,并监测其传输敏感度、恶意程序等。     

基于多分类器集成的区块链网络层异常流量检测方法

为提升对区块链网络层混合型攻击流量的综合泛化特征感知能力,增强异常流量检测性能,提出一种具有支持异常数据综合判决机制和强泛化能力的基于多分类器集成的区块链网络层异常流量检测方法。首先,为扩大所用基分类器的输入特征子集差异度,提出基于区分度和冗余信息量特征子集选择算法,特征筛选过程中激励高区分度子集项输出,同时抑制冗余信息生成。其次,在Bagging集成算法中引入随机方差缩减梯度算法动态调整各基模型投票权重,提升对混合型攻击流量的检测泛化能力。最后,为了将集成算法输出的低维数值向量向高维空间映射,提出基于数据场概念的局部离群因子算法,并基于数据点间势差放大各样本数据点空间密度分布差异性,提升异常数据点检测召回率。实验结果表明,相较于单一分类检测器集成方法,所提方法的异常检测准确率、召回率分别平均提升1.57%、2.71%。     

基于区块链技术的威胁情报共享系统研究

威胁情报融合了网络安全、情报学等多方面的知识,合理地利用威胁情报可以判断攻击者的攻击目标、时间等,然后及时地采取相应的防御手段,保护网络环境的安全。但是目前对于威胁情报的利用还存在诸多问题:威胁情报数据规范程度不高;各个机构情报数据集中存储,一方面可能会因为网络攻击造成数据泄露,另一方面各个情报机构间的数据难以共享,用户想要获取情报数据更是困难;另外,各用户间的信任问题也难以得到解决。文章针对上述问题提出一个基于区块链技术的威胁情报共享系统。     

基于多维度分析的APT邮件攻击检测

电子邮件是APT (Advanced Persistent Threat)攻击中常用的攻击载体,本文针对APT邮件攻击提出了一种基于多维度分析的APT邮件攻击检测方法。首先,提取邮件头部和邮件正文信息,邮件附件文件还原;然后,分别通过邮件头部、邮件正文、情报检测、文件内容深度检测、邮件异常行为检测和邮件站点自学习等多维度进行分析;最后基于分析结果将邮件归类为普通邮件和可疑APT攻击特征的邮件。本文提出的方法既结合传统的邮件威胁攻击特征,并融入情报检测和附件深度检测,且考虑邮件异常行为分析,最后结合客户业务进行自学习分析,有效地提高了APT邮件攻击的检测准确率,为APT邮件攻击检测提供一种良好的检测方案。     

基于OpenFlow与sFlow的DDoS攻击防御方法

分布式拒绝服务(DDoS)攻击是目前比较流行的网络攻击,其破坏力大并且难以防范追踪,对互联网安全造成了极大的威胁。针对此问题提出了一种基于OpenFlow与sFlow的入侵检测方法,通过sFlow采样技术实时检测网络流量,依据网络正常流量设定流量阈值,并通过对超过阈值的异常流量进行攻击检测、判断攻击流,最终使用OpenFlow协议阻断攻击源。该方法可以在几秒内自动检测、处理多种DDoS攻击。实验结果表明,与现有方案对比,该方法能够实时检测并阻止DDoS攻击,有效降低网络资源消耗。     

基于流量的攻击溯源分析和防护方法研究

针对近年来境外黑客、APT组织、恶意软件攻击、僵尸网络活动愈发频繁的情况,我公司进行了基于流量的攻击溯源技术研究、开发、部署与应用,系统融合了传统的基于规则的检测技术,以及机器学习和其他高级分析技术,通过监控网络流量、连接和对象,找出恶意的行为迹象,尤其是失陷后的痕迹。同时构建基于知识图谱的统一情报元语描述模型、基于知识图谱和攻击链的关联推理模型,通过分析公网全量设备流量,发现攻击信息,并通过智能关联分析引擎实现攻击链确认,实现有效攻击行为的精准检测,利用黑洞路由进行链路一键处置,实现对攻击行为的快速处置。     

超宽带网络异常流量检测与防治技术探析

随着网络接入带宽的不断提升,异常流量对网络的威胁日益严重,防治的需求更为紧迫。本文阐述了异常流量攻击防治技术的现状,并针对现有技术应用的不足,提出了基于云计算在全网范围内实现集中调度、并行处理、就近清洗的异常流量清洗方案,分析了该方案的优势,最后对异常流量攻击防治技术的研究进行了展望。     

基于时间窗统计的LDoS攻击检测方法的研究

在针对LDoS攻击流量的分析建模基础上,通过在时间域(time domain)上进行单位时间内异常(anomaly)脉冲的统计研究,揭示了在LDoS攻击期间,网络的正常流量下降很大的同时攻击流量出现短时间不规则的高脉冲等现象;提出了基于时间窗(time window)统计的LDoS攻击检测算法;并在搭建的实际网络环境中进行了测试,针对不同长度的采样时间做了大量的试验,结果表明该方法的检测率达到96%以上,漏报(漏警)率和误报(虚警)率均小于3%.     

基于大数据引擎的军事信息网络安全防护系统

针对网络安全威胁愈演愈烈背景下军事信息网络安全防护面临的主动防御能力弱、APT攻击检测难、威胁情报系统建设滞后、缺乏大数据支撑的网络安全防护平台等安全挑战,研究了基于大数据分析的APT攻击检测技术、大数据环境下的威胁情报获取技术,提出了一种基于大数据引擎的军事信息网络安全防护系统架构。     

基于精细流量的网络异常行为检测研究

随着Internet的快速发展和网络应用范围的不断扩大,网络日益遭受到了黑客更多的恶意攻击,计算机网络的安全问题已成为一个国际化的问题。面对诸多的挑战与威胁,入侵的检测与防范技术必然成为当前安全审计中的核心技术之一。文章首先介绍了异常检测的发展概况和相关技术,对常用的检测算法进行了分析和评价,为基于网络精细协议流量分析的网络异常实时检测方法的研究提供理论基础。     

基于局部异常因子的信息网络流量异常检测

网络流量异常问题是网络遭受攻击的一种表现,通常会引起网络丢包、网络延迟、甚至造成网路堵塞和瘫痪,严重威胁着网络性能和安全。因此,对于网络流量异常进行有效检测,对保障网络的正常运行具有重要意义。设计了一种基于局部异常因子的信息网络流量异常检测方案,在局部异常因子算法的基础上通过MVC模型,采用了SOA结构,通过计算最邻近点的K值,实现网络流量异常检测。在仿真实验中人为制造异常点,对比本文方法与传统方法的检测效果,结果表明设计的方案优于传统异常检测方法。     

一种基于特征检测的APT攻击防御方案

高级持续性威胁(APT)攻击具有持续渗透性,对网络的信息安全管理造成了严重威胁。在分析流量统计特征的基础上,提出了区分可信与非可信流量的方法,通过特征检测,实现对恶意攻击的识别,并建立了相应的APT攻击防御方案。以电力系统的管理网络为平台,验证了该方案的有效性,为防御APT攻击提供了一种可行的思路。     

网络威胁情报关联分析技术

在巨大的利益诱惑下,网络攻击技术正在快速畸形发展,与此同时网络防御技术却显得捉襟见肘,缺乏有效的技术手段和理论依据对网络威胁事件进行追踪溯源.针对攻击数据碎片化、溯源线索难提取、攻击链条难关联等问题,分析网络威胁情报的特点,设计网络安全知识图谱,包括6类网络威胁情报实体、14种实体关系,以构建的知识图谱为基础,提出5种...     

物联网场景下基于蜜场的分布式网络入侵检测系统研究

为了解决物联网网络入侵检测系统无法识别新型攻击、灵活性有限等问题,基于蜜场提出了一种能有效识别异常流量和具备持续学习能力的网络入侵检测系统。首先,结合卷积块注意力模块的特点,构建专注于通道和空间双维度的异常流量检测模型,从而提高模型的识别能力。其次,利用联邦学习下的模型训练方案,提高模型的泛化能力。最后,基于蜜场对边缘节点的异常流量检测模型进行更新迭代,从而提高系统对新型攻击流量的识别准确度。实验结果表明,所提系统不仅能有效检测出网络流量中的异常行为,还可以持续提高对异常流量的检测性能。     

基于深度特征学习的网络流量异常检测方法

针对网络流量异常检测过程中提取的流量特征准确性低、鲁棒性差导致流量攻击检测率低、误报率高等问题,该文结合堆叠降噪自编码器(SDA)和softmax,提出一种基于深度特征学习的网络流量异常检测方法。首先基于粒子群优化算法设计SDA结构两阶段寻优算法:根据流量检测准确率依次对隐藏层层数及每层节点数进行寻优,确定搜索空间中的最优SDA结构,从而提高SDA提取特征的准确性。然后采用小批量梯度下降算法对优化的SDA进行训练,通过最小化含噪数据重构向量与原始输入向量间的差异,提取具有较强鲁棒性的流量特征。最后基于提取的流量特征对softmax进行训练构建异常检测分类器,从而实现对流量攻击的高性能检测。实验结果表明:该文所提方法可根据实验数据及其分类任务动态调整SDA结构,提取的流量特征具有更高的准确性和鲁棒性,流量攻击检测率高、误报率低。     

IDC如何防范DDoS

由数万台计算机同时发起的分布式拒绝服务攻击能够在短时间内耗尽城域网甚至骨干网的带宽,从而造成局部的互联网崩溃。要想有效防止DDoS攻击造成的网络拥塞的恶劣影响,就要从异常流量检测、异常流量清洗、联动及自动联动等几方面进行分析研究。     

一种互联网宏观流量异常检测方法

网络流量异常指网络中流量不规则地显著变化。网络短暂拥塞、分布式拒绝服务攻击、大范围扫描等本地事件或者网络路由异常等全局事件都能够引起网络的异常。网络异常的检测和分析对于网络安全应急响应部门非常重要,但是宏观流量异常检测需要从大量高维的富含噪声的数据中提取和解释异常模式,因此变得很困难。文章提出一种分析网络异常的通用方法,该方法运用主成分分析手段将高维空间划分为对应正常和异常网络行为的子空间,并将流量向量影射在正常子空间中,使用基于距离的度量来检测宏观网络流量异常事件。     

基于区块链的威胁情报共享及评级技术研究

随着计算机和网络技术的快速发展,网络安全事件频发,安全漏洞不断,威胁情报的作用和价值越来越大。基于区块链的开放、共识、自治和去中心、去信任、不可篡改、可追溯等特点,提出了通过区块链技术构建威胁情报信息的区块,包括IP地址信息、域名信息、URL信息、安全事件信息、漏洞信息、威胁情报源可信度、威胁情报源贡献率等;并设计了基于区块链的威胁情报共享和评级系统,给出了相应的基于区块链的威胁情报共享方法和评级方法,可以实现及时有效获取及分析出最新、最有价值的威胁情报信息,从而及时进行防护及应急响应,促进整个威胁情报生态的闭环持续有效开展。     

基于多特征提取自编码器的网络流量异常检测算法

随着网络攻击的复杂化、自动化和智能化水平的不断提高,网络中不断涌现出新的攻击类型,给基于特征码的网络攻击检测和及时响应带来极大挑战。为了更加有效准确的识别异常流量,提出一种基于多特征提取自编码器的网络流量异常检测算法。算法自定义基于多特征提取的自编码器模型,由5个不同的Encoder模块构成编码器,1个Decoder模块构成解码器,能够同时提取流量中的空间特征和时间特征,且能有效避免产生退化现象,有效检测异常流量。同时,自定义SMOTE-新样本过采样法来解决数据不均衡问题,使用方差分析进行特征选择,优化数据,降低模型复杂度,大大缩短检测时间,提高算法的检测实时性。实验结果表明,提出的算法在网络流量异常检测的准确率方面比当前同类最优算法提升了1%,对百万条流量数据的检测时间减少了4.22 s。     

瞻博网络升级Spotlight Secure以阻止高级恶意软件和新兴威胁

瞻博网络近日宣布针对网络安全防护进行全新改进，全面升级Spotlight Secure威胁情报平台并将其与SRX系列服务网关中的防火策略进行整合。这些全新的高级安全防护能力使客户能够根据来自多种威胁检测技术的情报快速采取行动，立即向SRX防火墙推送强制执行规则来切断命令与控制（C＆C）流量，隔离受感染的系统并有效地应对针对网络的一系列威胁。这种创新的方法让客户能够选择最为可用的、恰当的威胁检测技术——其中包括针对他们的业务定制的信息源——而不是禁锢于他们的防火墙供应商所提供的情报数据。