一种基于高聚集链路测量的网络级别OD流异常检测框架

绝大多数网络异常事件会对网络中的一定空间范围造成影响,形成分布式流量异常,其异常流量模式通常体现在网络级别源到端(OD)流的某些特征参数上.OD流很难直接测量得到,需通过高聚集链路测量反演技术推测,然而反演误差将直接影响下一步基于特征参数的异常诊断.本文提出了一种直接由链路测量进行OD流异常检测的框架,该框架采用RMLP神经网络,并加入部分OD流估计值作为约束输入,实现了由链路测量对OD流级别特征参数的估计.该方法的优点是检测过程不再完全依赖链路到OD流的估计,解决了反演误差影响检测的问题,并且该框架允许链路流量到多种OD流特征参数的估计.     

网络异常流量控制系统的开发与设计

为了监测和控制网络异常流量,提高网络的安全管理能力,提出基于分布式拓扑控制的网络异常流量控制系统设计方法。系统建立在嵌入式软件开发环境基础上,总体构架包括了网络异常流量的采集模块、A/D模块、主控模块、USB口、JTAG口、控制目标板开发等。异常流量检测采用匹配滤波检测方法,设计流量检测的匹配滤波器,采用标准Linux开发工具集进行网络异常流量控制系统的编译器、连接器、调试器等子系统的开发。在内核解压程序控制下将控制程序编译生成可执行代码,实现异常流量控制系统的软件开发和硬件设计。测试结果表明,采用该方法进行网络异常流量控制,能准确识别异常流量,并通过实时检测和调整,实现网络安全管理。     

基于多核网络处理器的骨干网DNS检测与联动

由于分布式内容分发网(CDN)技术的广泛应用,网站域名所对应因特网协议(IP)地址可能为多个,这给骨干网流量检测系统的实时检测控制提出了更高的要求.骨干网络流量中实时提取域名系统(DNS)响应消息并从中获取域名和IP地址,同时迅速更新到流量检测系统.基于Octeon多核网络处理器的高速处理能力,设计并实现了流量检测系统中的快速DNS检测与联动模块,并通过在骨干网链路中实际测试运行确保了系统的正确性和稳定性.     

一种DDoS攻击的检测算法

对于骨干网中存在的DDoS攻击,由于背景流量巨大,且分布式指向受害者的多个攻击流尚未汇聚,因此难以进行有效的检测。为了解决该问题,本文提出一种基于全局流量异常相关分析的检测方法,根据攻击流引起流量之间相关性的变化,采用主成份分析提取多条流量中的潜在异常部分之间的相关性,并将相关性变化程度作为攻击检测测度。实验结果证明了测度的可用性,能够克服骨干网中DDoS攻击流幅值相对低且不易检测的困难,同现有的全局流量检测方法相比,该方法能够取得更高的检测率。     

分布式并行链路接入及流量负载调度模型

针对目前单处理节点承受链路接入数少的问题,首先提出单处理节点链路接入及流量管理体系结构,在此基础上设计了一种分布式并行链路接入系统模型,并介绍了基于角色的链路流量控制方法,通过实验证明,该模型适用于多链路负载下的流量优化,有效解决了大规模链路接入及流量负载均衡问题.     

Ad Hoc网络的多径路由协议

AdHoc网络中拓扑不断变化,因此,AdHoc网络路由协议面临的主要挑战之一就是链路断开后的寻路问题。目前的AdHoc路由协议多数是单路径的,这种单径的路由协议在链路断开后就要重新发起路由发现过程来寻找新的路径,浪费了时间和网络资源。多径路由就是针对这个问题提出来的,它在源结点和目的结点之间寻找多条路径,可以在同一个路由服务中自由选择多条路径。当一条路径链路断开后,可转到其他路径进行传输,节省了时间和网络资源。此外,在网络中的视频传输中,可以结合多重描述编码,选择多条路径传输视频信息,保证较好的视频质量。     

一种高并发网络环境下快速流表查找方法

为了改进高速网络环境下连接表的查找速度,本文首先分析了OC-192骨干链路上的流量特征.研究表明,骨干链路不仅具有高并发和高到达速率的特点,而且在适当的缓存窗口下,具有较好的网络局部性特征.基于这些特征和局部性原理,本文在朴素的哈希表结构基础之上增加常量开销的辅助空间,实现了一种快速流表查找方法.理论分析和真实网络数据集上的实验表明,该方法相比现有方法可以降低流表查找长度20.2%,减少流表访问时间17.1%.     

一种互联网宏观流量异常检测方法

网络流量异常指网络中流量不规则地显著变化。网络短暂拥塞、分布式拒绝服务攻击、大范围扫描等本地事件或者网络路由异常等全局事件都能够引起网络的异常。网络异常的检测和分析对于网络安全应急响应部门非常重要,但是宏观流量异常检测需要从大量高维的富含噪声的数据中提取和解释异常模式,因此变得很困难。文章提出一种分析网络异常的通用方法,该方法运用主成分分析手段将高维空间划分为对应正常和异常网络行为的子空间,并将流量向量影射在正常子空间中,使用基于距离的度量来检测宏观网络流量异常事件。     

一种关于Hadoop的流量异常分布式检测系统架构与设计

流量异常主要是指网络中的流量发生着不规则的明显变化。尤其是由于网络的脆弱性、保密协议的缺陷和隐藏的网络漏洞,给金融、教育和军事等领域造成了不同程度的损失。且在具体的解决过程中,有关分布式的异常检测研究催生了新的思路和新的解决方法。针对网络中的流量异常现象,本文基于Hadoop技术设计实现流量异常分布式检测系统架构。作为解决流量异常的方法,本文在设计中提出了一些新的思路,以期为解决互联网安全问题提供指导,并对未来研究方向提出展望。     

多Agent的创新网络入侵检测方法仿真研究

在多Agent的创新网络中,容易出现周期性漏洞和链路反馈溢出,为网络病毒的入侵提供了时隙。通过多Agent的创新网络入侵进行有效检测,可以实现对病毒的拦截和识别,提高网络安全性能。提出一种基于局部特征尺度的多Agent下创新网络入侵检测方法,分析网络结构和网络入侵节点分布特征,构建多Agent的创新网络入侵信号模型,进行入侵信号的滤波抗干扰处理,采用局部特征尺度匹配方法进行网络入侵的匹配滤波检测,实现网络入侵检测算法的改进。仿真实验结果表明,采用该方法进行网络入侵检测,准确检测概率高于传统方法,并具有较好的幅值响应性能,有效抑制了多Agent的创新网络中的旁瓣干扰,在网络安全防御中具有较好的应用价值。     

基于云计算的海量网络流量数据分析处理及关键算法研究

为了应对日益增长的网络流量数据量和对网络安全的需求,提高网络流量数据的处理效率和准确性,文中从云计算架构出发,设计并搭建了一个能承载大规模网络流量数据处理的云计算平台。基于该平台,采用了分布式存储、并行计算和机器学习等技术,对海量网络流量数据的预处理、聚类分析、异常检测等关键环节进行了研究。结果表明,基于云计算的海量网络流量数据分析处理的关键算法取得了显著成果。通过分布式存储和并行计算技术,实现了对海量网络流量数据的高效读写和处理。在预处理阶段,针对流量数据进行采样和滤波,减少了数据量,并保留了关键特征。在聚类分析方面,利用机器学习算法实现了对网络流量的分类和统计,通过构建模型、训练和优化算法,实现了对网络攻击和异常行为的准确识别和及时报警。     

基于深度特征学习的网络流量异常检测方法

针对网络流量异常检测过程中提取的流量特征准确性低、鲁棒性差导致流量攻击检测率低、误报率高等问题,该文结合堆叠降噪自编码器(SDA)和softmax,提出一种基于深度特征学习的网络流量异常检测方法。首先基于粒子群优化算法设计SDA结构两阶段寻优算法:根据流量检测准确率依次对隐藏层层数及每层节点数进行寻优,确定搜索空间中的最优SDA结构,从而提高SDA提取特征的准确性。然后采用小批量梯度下降算法对优化的SDA进行训练,通过最小化含噪数据重构向量与原始输入向量间的差异,提取具有较强鲁棒性的流量特征。最后基于提取的流量特征对softmax进行训练构建异常检测分类器,从而实现对流量攻击的高性能检测。实验结果表明:该文所提方法可根据实验数据及其分类任务动态调整SDA结构,提取的流量特征具有更高的准确性和鲁棒性,流量攻击检测率高、误报率低。     

Impact of Packet Sampling on Portscan Detection

Packet sampling is commonly deployed in high-speed backbone routers to minimize resources used for network monitoring. It is known that packet sampling distorts traffic statistics and its impact has been extensively studied for traffic engineering metrics such as flow size and mean rate. However, it is unclear how packet sampling impacts anomaly detection, which has become increasingly critical to network providers. This paper is the first attempt to address this question by focusing on one common class of nonvolume-based anomalies, portscans, which are associated with worm/virus propagation. Existing portscan detection algorithms fall into two general approaches: target-specific and traffic profiling. We evaluated representative algorithms for each class, namely: 1) TRWSYN that performs stateful traffic analysis; 2) TAPS that tracks connection pattern of scanners; and 3) entropy-based traffic profiling. We applied these algorithms to detect portscans in both the original and sampled packet traces from a Tier-1 provider's backbone network. Our results demonstrate that sampling introduces fundamental bias that degrades the effectiveness of these detection algorithms and dramatically increases false positives. Through both experiments and analysis, we identify the traffic features critical for anomaly detection that are affected by sampling. Finally, using insight gained from this study, we show how portscan algorithms can be enhanced to be more robust to sampling     

流量异常检测中的直觉模糊推理方法

针对网络流量特征属性不确定性和模糊性的特点,将直觉模糊推理理论引入异常检测领域,该文提出一种基于包含度的直觉模糊推理异常检测方法。首先设计异常检测中特征属性的隶属度与非隶属度函数,其次,给出基于包含度的强相似度计算方法并生成推理规则库,再次给出多维多重式直觉模糊推理规则,最后建立异常检测中的直觉模糊推理方法。通过对异常检测标准数据集KDD99的实验,验证该方法的有效性,与常见经典异常检测方法对比,该方法具有更良好的检测效果。     

面向PCA异常检测器的毒害攻击和防御机制

网络流量异常检测对于保证网络稳定高效运行极为重要.目前基于主成分分析(PCA)的全网络异常检测算法虽然发挥了关键作用,但它还存在着受毒害攻击而失效的问题.为此,深入分析了毒害攻击的机制并对其进行了分类,提出了量化毒害流量的两个测度,并给出了3种新的毒害攻击机制;提出了一种基于健壮PCA的异常检测算法RPCA以抵御毒害攻...     

Bi-READ: Bi-Residual AutoEncoder based feature enhancement for video anomaly detection

Video anomaly detection (VAD) refers to identifying abnormal events in the surveillance video. Typically, reconstruction based video anomaly detection techniques employ convolutional autoencoders with a limited number of layers, which extracts insufficient features leading to improper network training. To address this challenge, an end-to-end unsupervised feature enhancement network, namely Bi-Residual Convolutional AutoEncoder (Bi-ResCAE) has been proposed that can learn normal events with low reconstruction error and detect anomalies with high reconstruction error. The proposed Bi-ResCAE network incorporates long–short residual connections to enhance feature reusability and training stabilization. In addition, we propose to formulate a novel VAD model that can extract appearance and motion features by fusing both the Bi-ResCAE network and optical flow network in the objective function to recognize the anomalous object in the video. Extensive experiments on three benchmark datasets validate the effectiveness of the model. The proposed model achieves an AUC (Area Under the ROC Curve) of 84.7% on Ped1, 97.7% on Ped2, and 86.71% on the Avenue dataset. The results show that the Bi-READ performs better than state-of-the-art techniques.     

基于大数据技术的网络流量分析与异常检测

文中基于大数据技术，研究了基于支持向量机的网络流量分析与异常检测方法。首先，对网络流量数据进行预处理，如清洗、集成和转换等，以获取适合支持向量机分析的特征向量表示。然后，应用支持向量机分析技术对网络流量进行异常检测，通过构建超平面实现对正常样本和异常样本的分类。最后，利用NSL-KDD数据集进行实验验证，并评估该方法在网络流量异常检测中的性能。实验结果表明，基于支持向量机的网络流量异常检测方法在NSL-KDD数据集上取得了较好的准确率、召回率和精确率。     

Intelligent detection method on network malicious traffic based on sample enhancement

To address the problem that the existing methods of network traffic anomaly detection not only need a large number of training sets,but also have poor generalization ability,an intelligent detection method on network malicious traffic based on sample enhancement was proposed.The key words were extracted from the training set and the sample of the training set was enhanced based on the strategy of key word avoidance,and the ability for the method to extract the text features from the training set was improved.The experimental results show that,the accuracy of network traffic anomaly detection model and cross dataset can be significantly improved by small training set.Compared with other methods,the proposed method can reduce the computational complexity and achieve better detection ability.