一种基于反馈神经网络的异常检测方法

目前的入侵检测系统缺乏从先前所观察到的进攻进行概括并检测已知攻击的细微变化 的能力。描述了一种基于最小二乘估计(LS)模型的入侵检测算法,该算法利用神经网络的特点,具 有从先前观测到的行为进行概括进而判断将来可能发生的行为的能力。提出了一种在异常检测中用 反馈神经网络构建程序行为的特征轮廓的思想,给出了神经网络算法的选择和应用神经网络的设计 方案。实验表明在异常检测中利用反馈神经网络构建程序行为的特征轮廓,能够提高检测系统对偶 然事件和入侵变异的自适应性和异常检测的速度。     

时变网络异常检测多视图协同可视分析

对于现在复杂多变的网络安全状况,基于可视化的手段来监测网络节点间的通信状态变化,可以帮助分析人员更高效地把握安全事件特征、感知安全态势。但是,现有的可视化研究对于具体主机间的连接关系以及连接关系在时间维度上的变化两个方面缺乏有效的展示方法。同时,常见的可视化方法无法提供一种直观的交互手段,帮助用户管理分析过程中提取出的离散特征,以便总结规律、发现异常。针对以上两点,设计并实现了一个以观察宏观特征的视图为索引,以深入特征展示的视图为核心,以管理和标注的视图为辅助的多视图合作可视分析系统。最后,以包含多起网络异常的网络安全日志数据集作为实验数据集,对可视化结果进行对比分析,验证了设计的有效性。     

A rough set theory based method for anomaly intrusion detection in computer network systems

Abstract: Intrusion detection is important in the defense‐in‐depth network security framework. This paper presents an effective method for anomaly intrusion detection with low overhead and high efficiency. The method is based on rough set theory to extract a set of detection rules with a minimal size as the normal behavior model from the system call sequences generated during the normal execution of a process. It is capable of detecting the abnormal operating status of a process and thus reporting a possible intrusion. Compared with other methods, the method requires a smaller size of training data set and less effort to collect training data and is more suitable for real‐time detection. Empirical results show that the method is promising in terms of detection accuracy, required training data set and efficiency.     

基于W-Kmeans算法的DNS流量异常检测

为了对DNS查询进行有效检测,及时发现DNS流量异常,提出了适合于检测DNS流量异常的权重Kmeans (WKmeans)算法.对CN顶级域2009年5月19日的原始查询日志抽取有用信息,提取相关的向量特征,对不同的向量特征赋予不同的权重值.利用W-Kmeans算法对查询日志进行聚类检测,并分析了算法各种参数选择的影响.5.19事件的DNS查询检测结果表明,W-Kmeans算法可以有效检测DNS流量异常的发生.     

A TCAM-based solution for integrated traffic anomaly detection and policy filtering

The survivability of the future Internet is largely dependent on whether it will be able to successfully address both security and performance issues facing the Internet. On one hand, the Internet becomes more and more vulnerable due to fast spreading malicious attacks. On the other hand, it is under great stress to meet ever growing/changing application demands while having to sustain multi-gigabit forwarding performance. In this paper, we propose a Ternary Content Addressable Memory (TCAM) coprocessor based solution for high speed, integrated TCP flow anomaly detection and policy filtering. The attacking packets with spoofed source IP addresses are detected through two-dimensional (2D) matching. The key features of the solution are: (1) setting flag bits in TCAM action code to support various packet treatments; (2) managing TCP flow state in pair to do 2D matching. We evaluate the solution’s ability to detect TCP-based flooding attacks based on real-world-trace simulations. The results show that the proposed solution can match up OC-192 line rate. The possible modifications of the solution for the detection of low rate TCP-targeted attacks are also discussed.     

一种基于费歇(Fisher)判别法的异常检测模型设计

网络上的入侵事件层出不穷,这对信息资源的安全构成了严重威胁。应对这些恶意行为的重要措施之一就是入侵检测。该技术的一个重要分支——异常入侵检测技术在目前的网络安全领域研究中十分活跃。文中提出一种基于统计理论——费歇(Fisher)判别法的异常入侵检测模型,该模型与其他的异常检测模型相比,在对异常事件响应能力的实时性与精确性方面有了较为显著的提高,应用该模型也简化了入侵检测系统设计的复杂性。     

Anomaly detection of network traffic based on autocorrelation principle

Network anomalies caused by network attacks can significantly degrade or even terminate network services. A Real-time and reliable detection of anomalies is essential to rapid anomaly diagnosis, anomaly mitigation, and malfunction recovering. Unlike most detection methods based on the statistical analysis of the packet headers （Such as IP addresses and ports）, a new approach only using network traffic volumes is proposed to detect anomalies reliably. Our method is based on autocorrelation function to judge whether anomalies have happened. In details, the correlation coefficients of normal and anomaly data fluctuate slightly respectively, while those of the overlapped data composed of them fluctuate greatly. Experimental results on network traffic volumes transformed from 1999 DARPA intrusion evaluation data set show that this method can effectively detect network anomalies, while avoiding the high false alarms rate.     

基于网络全局流量异常特征的DDoS攻击检测

由于分布式拒绝服务（DDoS）攻击的隐蔽性和分布式特征，提出了一种基于全局网络的DDoS检测方法。与传统检测方法只对单条链路或者受害者网络进行检测的方式不同，该方法对营运商网络中的OD流进行检测。该方法首先求得网络的流量矩阵，利用多条链路中攻击流的相关特性，使用K L变换将流量矩阵分解为正常和异常流量空间，分析异常空间流量的相关特征，从而检测出攻击。仿真结果表明该方法对DDoS攻击的检测更准确、更快速，有利于DDoS攻击的早期检测与防御。     

浅析网络异常流量分析检测研究与实现

伴随着互联网技术与网络业务的快速发展,网络规模逐渐扩大,网络运用开始逐步朝多元化、多样化以及复杂化的方向发展.现今,网络流量监测已经逐渐发展为计算机网络运用当中一个必不可少的内容与环节.文章将对网络异常流量加以说明,并对网络异常流量检测技术研究与实现进行分析与研究.     

基于小波的网络流量异常协同相变检测

针对网络流量表现出的非线性和非平稳性等复杂的动力学特征,提出一种基于小波的网络流量异常协同相变检测方法。该方法从网络流量时间序列的离散小波域出发,利用序参量的非线性动力学方程描述网络流量系统的复杂行为,采用势函数来刻画网络流量系统的非平稳相变过程,进一步分析了网络流量状态与各种攻击模式之间的变化关系,并通过协同学模型对网络流量序参量进行演化,当相应序参量收敛时,即可检测到相应的攻击模式或是正常流量模式。最后,采用了DARPA 1999数据集进行了实验测试,网络流量异常的平均检测率达到了90.00%,而平均误检率只有15.03%。实验结果表明,基于小波的协同相变方法可以用于网络流量异常检测。     

异常检测测试平台的设计

提出了一种可以测试不同算法的异常检测测试平台.为适合大规模分布式网络,将网络分成不同网段,每个网段放置一个探测器IC,把不同IC提供的网络数据汇总至异常检测部件,在此进行异常分析,并根据分析结果对可能的入侵行为进行实时报警,其中的异常检测算法可以替换.最后,针对一种基于统计的异常检测算法进行了实验,并给出异常检测结果.     

分布式网络异常攻击检测模型仿真分析

针对传统的异常攻击检测方法主要以异常攻击行为规则与网络数据隶属度大小进行判别,只能针对已知异常攻击进行检测,对新型异常攻击,检测算法率低,计算数据量大的问题。提出一种新的分布式网络异常攻击检测方式,通过对分布式网络内数据进行迭代聚类将正常和异常数据进行分类,建立矩阵映射模型进行数据矩阵对比,初步对异常攻击数据进行判断。在矩阵中建立粒子密度函数,通过粒子密度变化计算其异常攻击概率,最后对其数据进行加权和波滤确定数据异常攻击特征,建立攻击检测模型。仿真实验表明,优化的分布式网络异常攻击检测模型提高了异常数据攻击检测的自适应性,在网络信号受到攻击信号干扰情况下,仍然能够准确检测出带有攻击特征的小网络异常数据。有效提高了分布式网络的检测正确率,加快了检测速度和稳定性。     

基于层叠模型的网络流量异常检测方法*

进行网络流量异常检测,需要对正常流量行为建立准确的模型,根据异常流量与正常模型间的偏离程度作出判断。针对现有网络流量模型中自相似模型与多分形模型无法全面刻画流量特征的不足,提出了一种基于流量层叠模型分析的异常检测算法,采用层叠模型对整个时间尺度上的流量特征进行更准确的描述,并运用小波变换对流量的层叠模型进行估计,分析异常流量对模型估计的影响,提出统计累计偏离量进行异常流量检测的方法。仿真结果表明,该方法能够有效检测出基于自相似Hurst系数方法不能检测的弱异常以及未明显影响Hurst系数变化的异常流。     

基于局部投影降噪和FSVDD的网络流量异常检测

现有残差比较等异常检测方法只能在突变阶段检测异常, 检测率较低。综合考虑网络流量中包含的所有特征, 对网络中的多种协议流量指标分别进行局部投影降噪处理, 将各流量分解为流量趋势部分和噪声流量部分, 以这两部分为参量通过支持向量数据描述建立检测模型, 并通过对样本的模糊化处理提高模型的泛化性。实验表明该方法适合于检测拒绝服务攻击引起的流量异常, 与传统的阈值比较方法相比能够获得更高的异常检测率和更低的误报率。     

基于双向时间卷积网络的半监督日志异常检测

由于日志解析准确率不高以及标记样本不足降低了异常检测的准确率,所以提出了一种新的基于日志的半监督异常检测方法。首先,通过改进字典的日志解析方法,保留了日志事件中的部分参数信息,从而提高日志信息的利用率和日志解析的准确率;然后,使用BERT对模板中的语义信息进行编码,获得日志的语义向量;接着采用聚类的方法进行标签估计,缓解了数据标注不足的问题,有效提高了模型对不稳定数据的检测;最后,使用带有残差块的双向时间卷积网络（Bi-TCN）从两个方向捕获上下文信息,提高了异常检测的精度和效率。为了评估该方法的性能,在两个数据集上进行了评估,最终实验结果表明,该方法与最新的三个基准模型LogBERT、PLELog和LogEncoder相比,F1值平均提高了7%、14.1%和8.04%,能够高效精准地进行日志解析和日志异常检测。     

基于相对熵理论的多测度网络异常检测方法

检测率低、误报率高和检测攻击范围不够全面已经成为制约网络异常检测发展的最大障碍,为了提高检测率,降低误报率,扩大检测攻击范围,提出了一种新的网络异常检测方法。首先,对网络流量进行统计分析并引入相对熵理论来表征测度对应的全概率事件;然后,通过加权系数融合多个测度相对熵而得到加权相对熵;最终,以综合的多测度加权相对熵作为网络异常判断的依据。实验数据采用DARPA1999测评数据集,实验结果表明该方法在低误报率的前提下,达到了较高的检测率。     

基于RBF神经网络和小波分析的水质异常检测方法

快速准确地检测出自然或人为事件下的水质异常,对保护水环境和保障公众健康具有重要意义。针对水质背景数据波动大时异常检测性能不理想的问题,提出一种基于RBF神经网络和小波分析的水质异常检测算法。通过引入RBF神经网络预测水质,对预测值和真实值相比较得到的残差序列进行滑动窗口小波去噪,对各时刻偏离原点的距离与特定阈值比较后判定水质是否异常。以某水源水库在线监测氨氮值为研究对象验证算法,实验结果表明:与时间序列增量方法比较,算法具有更高的异常检测率和较低的误报率。     

基于指数平滑技术的网络异常监测方法研究

网络流量异常指的是网络的流量行为偏离其正常行为的情形,异常流量的特点是发作突然,先兆特征未知,以在短时间内给网络或网络上的计算机带来极大的危害.因此准确、快速地检测网络流量的异常行为,并做出合理的响应是保证网络有效运行的前提之一.探索网络流量异常的一种方法--基于指数平滑技术的网络异常检测方法.基于时间序列的流量模型是网络异常监测的一种方式,指数平滑技术正是建立在时间序列模型基础之上的网络异常监测方法,对该监测技术进行了研究,分析了这一方法的特点及其存在的不足.     

基于iForest和LOF的流量异常检测

异常检测在现代大规模分布式系统的安全管理中起着重要作用,而网络流量异常检测则是组成异常检测系统的重要工具。网络流量异常检测的目的是找到和大多数流量数据不同的流量,并将这些离群点视为异常。由于现有的基于树分离的孤立森林(iForest)检测方法存在不能检测出局部异常的缺陷,为了克服这个缺陷,提出一种基于iForest和局部离群因子(LOF)近邻集成的无监督的流量异常检测方法。首先,改进原始的iForest与LOF算法,在提升检测精度的同时控制算法时间;然后分别使用两种改进算法进行检测,并将结果进行融合以得到最终的检测结果;最后在自制数据集上对所提方法进行有效性验证。实验结果表明,所提方法能够有效地隔离出异常,获得良好的流量异常检测效果。     

基于长短期记忆网络和滑动窗口的流数据异常检测方法

针对目前流数据存在数量巨大、生成迅速和概念漂移的特点,提出了一种基于长短期记忆(LSTM)网络和滑动窗口的流数据异常检测方法。首先采用LSTM网络进行数据预测,之后计算预测值与实际值的差值。对于每个数据,选择合适的滑动窗口,将滑动窗口区间内的所有差值进行分布建模,再根据每个差值在当前分布的概率密度来计算数据异常可能性。LSTM网络不仅可以进行数据预测,还可以边预测边学习,实时更新调整网络,保证模型的有效性;而利用滑动窗口可以使得异常分数的分配更为合理。最后使用在真实数据基础上制造的模拟数据进行了实验。实验结果验证了所提方法在低噪声环境下比直接利用差值进行检测和异常数据分布建模法(ADM)方法的平均曲线下面积(AUC)值分别提高了0.187和0.05。