基于NetFlow的网络异常流量检测

NetFlow可以提供网络中IP流的信息。这些流的信息有多种用途，包括网管、网络规划、ISP计费等。在网络安全领域，NetFlow提供的IP流信息可以用来分析网络中的异常流量，这是对现有的基于特征的NIDS的很好的补充。本文介绍了Net—Flow—based Anomaly Traffic Analyzer，一个基于NetFlow的网络异常流量检测系统，并通过一些实验证明了该系统的有效性。     

一种新的网络异常流量检测模型

网络的异常流量检测是通过比较系统或用户的实际行为模式与正常行为模式之间的区别来检测入侵,目前的异常流量检测系统没有均衡考虑检测实时性与检测可信度之间的矛盾,本文提出了一种可调Chi-Squarer的网络异常流量检测模型,根据测度的可信度不同,设置不同的可信系数,通过调整可信系数,使总的异常值可以反映测度的可信度,从而提高了检测效率。     

基于高阶AR模型的网络异常检测

介绍基于1阶AR模型的检测方法,用高阶AR模型代替1阶AR模型以增加其精度。鉴于高阶AR模型最优参数的确定是个NP完全问题,利用遗传算法搜索其参数的近似最优解,通过实验验证高阶AR模型对网络异常检测的有效性和精确性。     

基于K层特征模型的异常流量识别算法

针对在NetFlow数据流的环境中，如何解决海量数据识别的问题，提出基于K层特征模型的异常流量识别算法。采用优先级策略依次打开索引表，读取异常行为，并与异常行为的特征值逐条匹配，匹配成功作标记，确定异常行为类型。实验结果表明，该算法能够快速有效地识别异常数据流，提高了海量数据识别的实效性，有效地解决了网络安全问题，达到设计目标。     

基于Q-学习算法的异常检测模型

针对网络入侵的不确定性导致异常检测系统误报率较高的不足,提出一种基于Q-学习算法的异常检测模型(QLADM)。该模型把Q-学习、行为意图跟踪和入侵预测结合起来,可获得未知入侵行为的检测和响应。通过感知环境状况、选择适当行为并从环境中获得不确定奖赏值,有效地判断动态系统的入侵行为和降低误报率。给出了该模型框架和各模块的功能描述,经实验验证该模型是有效的。     

基于云模型的网络攻击检测方法及其性能分析

为了有效判断网络数据包是否存在被攻击的可能性,提出了一种新的基于云模型的检测算法DMCM(Detection Method based on Cloud Model)。该算法首先结合数据包属性的离散度和偏差定义了状态指标,并根据云模型给出了标准差分布的计算流程,以此判断数据包的异常状况。最后,通过OPNET和MATLAB进行仿真实验,深入研究了影响该算法的关键因素,同时 与其它算法之间进行了性能对比,结果表明DMCM具有较好的适应性。     

一种基于云模型的数据传输算法

分布式系统中的多个Excel文件中的数据如何高效地组织和传输,是一个常见的问题。实现了新的基于云模型的数据传输算法,利用正向云发生器实现网络流量的定性定量转换,利用虚拟云的算法获得了最终的传输云模型,通过分析云滴分布得到数据传输的方向和目的位置。实例验证表明,传输模型可靠,实现了网络流量的动态均衡,具有一定的实践意义和指导作用。     

基于逆向习得推理的网络异常行为检测模型

针对网络异常行为检测中因数据不平衡而导致召回率低的问题，提出一种基于逆向习得推理（ALI）的网络异常行为检测模型。首先，去除数据集中用离散数据表示的特征项，并对处理后的数据集进行归一化以提高模型的收敛速度与精度；然后，提出改进的ALI模型，通过ALI训练算法用仅由正样本所构成的数据对其进行训练，并利用已训练完成的改进ALI模型处理检测数据以生成处理后的检测数据集；最后，依据异常检测函数计算检测数据与处理后的检测数据之间的距离来判断数据是否异常。与单类支持向量机（OC-SVM）、深层结构能量模型（DSEBM）、深度自编码高斯混合模型（DAGMM）和生成对抗网络异常检测模型（AnoGAN）的对比实验结果表明，所提模型的准确率提升了5.8~17.4个百分点，召回率提升了1.4~31.4个百分点，F₁值提升了14.18~19.7个百分点。可知所提出的基于逆向习得推理的网络异常行为检测模型在数据不平衡时仍具有较高的召回率和检测精度。     

云环境下SDN的流量异常检测性能分析

随着复杂的混合云网络逐渐成为云计算发展的瓶颈,软件定义网络(SDN)技术近年来成为学术界和工业界关注的热点。在网络安全领域,对于应用SDN来解决网络攻击的研究尚处于起步阶段,SDN是否能够高效检测来自内部的网络攻击尚无定论。针对该问题,在分析SDN技术框架的基础上,设计基于OpenStack的云环境实验方案。在传统云环境网络和SDN环境下同时测试2种流量异常检测算法,模拟Flood攻击和端口扫描攻击,分析SDN在检测攻击时的精确度和资源使用率。结果表明,在云环境下利用SDN检测内部威胁时比传统网络环境占用更少的物理内存而不影响精确度,但直接在SDN控制器上部署安全应用的方式也存在性能瓶颈。     

基于多维云模型的入侵检测

通过研究多维云模型机理，给出了定性与定量之间转换的云模型的形式化表示，用来反映语言值中蕴涵的模糊性和随机性，解释了多条定性规则同时被激活的不确定推理过程。实验采用了KDD99的测试数据，结果表明，该方法能够比较有效地检测真实网络数据中的未知入侵行为。     

基于统计的网络流量异常检测模型

提出了一个基于统计的流量异常检测模型。根据网络流量的可测度集,描绘了一个正常网络流量的基线。参照该正常流量基线,使用假设检验理论进行异常检测。采用一个基于滑动窗口的流量更新策略,使异常检测能够更加高效。论述了在高速网络情况下提高检测性能的方法。     

一种半监督联合模型下的异常流量检测算法

网络异常通常表现在多维特征中,而当前检测方法局限于一维特征或者多维特征的简单组合,使系统检测率低、误报率高.同时,有监督学习需要大量训练数据,而无监督学习准确率不足.因此,本文提出半监督联合模型(Semi-Supervised Combination,SMC)对数据的多维特征进行检测,通过解决非线性优化问题使联合过程信息损失最小化,较好地处理了噪声与孤立点.半监督学习方式利用少量已标记数据使模型更准确.本文以模糊C均值聚类(Fuzzy C-Means,FCM)作为基本检测器,经过实验验证,在目标误报率下基于SMC模型的异常检测算法的准确率比单个基本检测器提高了10％到20％.     

基于堆叠卷积注意力的网络流量异常检测模型

入侵检测系统(IDS)在发现网络异常和攻击方面发挥着重要作用,但传统IDS误报率较高,不能准确分析和识别异常流量。目前,深度学习技术被广泛应用于网络流量异常检测,但仅仅采用简单的深度神经网络(DNN)模型难以有效提取流量数据中的重要特征。针对上述问题,提出一种基于堆叠卷积注意力的DNN网络流量异常检测模型。通过堆叠多个以残差模块连接的注意力模块增加网络模型深度,同时在注意力模块中引入卷积神经网络、池化层、批归一化层和激活函数层,防止模型过拟合并提升模型性能,最后在DNN模型中得到输出向量。基于NSL-KDD数据集对模型性能进行评估,将数据集预处理生成二进制特征,采用多分类、二分类方式验证网络流量异常检测效果。实验结果表明,该模型性能优于KNN、SVM等机器学习模型和ANN、AlertNet等深度学习模型,其在多分类任务中识别准确率为0.807 6,较对比模型提高0.034 0～0.097 5,在二分类任务中准确率和F1分数为0.860 0和0.863 8,较对比模型提高0.013 0～0.098 8和0.030 6～0.112 8。     

基于Wavelet_AR的网络异常检测

提出了一种小波分析和AR模型结合的实时网络异常检测模型。利用小波分析的多尺度特性,将网络流量分解为多层频率成分更加单一,更易于估计的细节层次,然后在各个不同的细节层次上,采用AR预测模型进行异常检测。与现有模型相比,这种模型有较高的准确度。     

基于尖点突变模型的联动网络流量异常检测方法

针对现有方法没有考虑联动网络流量的非线性动力学特性,以及不能有效区分正常联动业务流量和异常攻击流量的问题,提出了一种基于尖点突变模型的联动流量异常检测方法。通过对联动网络流量非线性动力学特征参数的分析与提取,建立正常流量的尖点突变模型;利用模型的平衡曲面来描述网络流量系统的行为,构造正常网络流量行为的平衡曲面;并以网络流量行为相对于正常平衡曲面的偏离程度作为异常检测的依据。实验结果表明,所提方法具有较高的检测率和较低的误报率。     

一种网络流量异常检测算法*

提出了一种网络流量异常检测新算法。该算法将线性模型与小波变换相结合,解决了阈值监控无法告警和监测的问题。在实际的网络数据SNMP MIB以及Netflow的应用检测中,性能较好。与GLR算法相比,异常点的判断更加及时、准确、可靠。     

基于稳态模型的流异常检测算法

在日常网络管理中如何实时、准确地判定流量异常是网络异常检测中的难点问题。提出了一种基于稳态模型的流异常检测算法，采用加权均值和方差计算相结合的统计学方法对网络流量稳态模型进行建模和更新，并使用ROC曲线进行异常检测模型的性能评估。研究表明，该算法复杂度较低，资源占用小，能够很好地实现实时自动报警功能。实验结果对进一步探索实时的网络流异常检测方法和预测算法具有参考价值。     

网络流量异常检测及分析的研究

网络流量异常检测及分析是网络异常监视及响应应用的基础,是网络及安全管理领域的重要研究内容.本文探讨了网络流量数据类型、网络流量异常种类;从流量异常检测的范围、流量异常分析的深度、在线和离线异常检测方式等方面归纳了流量异常检测的研究内容;综述了已有的研究工作针对不同应用环境和研究内容所采用的不同的研究方法和技术手段,并分析了各种研究方法的特点、局限性和适用场合等;最后本文还对现有研究工作存在的问题及有待于进一步研究的课题进行了探讨.     

基于KL距离的自适应阈值网络流量异常检测

针对现有网络流量异常检测方法检测精度低且对网络环境动态变化适应性差的问题,根据网络流量在相邻时间周期内的强相关性特性,提出一种自适应阈值的网络流量异常检测方法。利用滑动窗口控制KL距离值数量,建立指数加权移动平均模型获取下一时刻的KL距离预测值,并采用滑动窗口划分的KL距离子序列与预测值确定自适应阈值范围,通过判断观测值是否在自适应阈值范围内实现网络流量异常检测。实验结果表明,该方法能有效检测网络流量异常,具有较高的检测精度。