面向软件定义网络的异常流量检测研究综述

针对软件定义网络(SDN)较传统网络更易遭受网络攻击的现实,从技术原理和架构特点出发,对近年来面向软件定义网络的异常流量检测研究进展进行综述,分析了SDN可能遭受网络攻击的组织形式,讨论了当前SDN异常流量检测、异常流量溯源、异常流量缓解相关技术的特点、优势及不足;对当前研究中常用的数据集进行了对比分析,并梳理出一些通用的数据预处理方法;总结并展望了未来SDN环境下异常流量检测方法的研究方向。调研结果可以指导实际应用需求中适配方法的选取,提出待解决的问题和矛盾可为后续研究提供引导。

基于端口注意力与通道空间注意力的网络异常流量检测

网络异常流量检测是网络安全保护重要组成部分之一。目前,基于深度学习的异常流量检测方法都是将端口号属性与其他流量属性同等对待,忽略了端口号的重要性。为了提高异常流量检测性能,借鉴注意力思想,提出一个卷积神经网络(CNN)结合端口注意力模块(PAM)和通道空间注意力模块(CBAM)的网络异常流量检测模型。首先,将原始网络流量作为PAM的输入,分离得到端口号属性送入全连接层,得到学习后的端口注意力权重值,并与其他流量属性点乘,输出端口注意力后的流量数据;其次,将流量数据转换成灰度图,利用CNN和CBAM更充分地提取特征图在通道和空间上的信息;最后,使用焦点损失函数解决数据不平衡的问题。所提PAM具有参数量少、即插即用和普遍适用的优点。在CICIDS2017数据集上,所提模型的异常流量检测二分类任务准确率为99.18%,多分类任务准确率为99.07%,对只有少数训练样本的类别也有较高的识别率。

基于孤立森林算法的弹性光网络异常流量自动识别方法

弹性光网络流量传输受到时间波动导致异常,为了提高网络传输稳定性,提出基于孤立森林算法的弹性光网络异常流量自动识别算法。根据流量的异常分布特征和正常数据的差异性进行波谱密度检测,构建弹性光网络流量的谱特征提取模型,通过低通滤波器卷积向量重组,实现对异常流量的谱特征筛选,采用孤立森林算法实现对网络流量异常检测的自适应寻优控制,结合多维空间结构重组方法实现对弹性光网络异常流量检测和识别。结果表明,漏检率及误检率较低,分别为3.16%,1.03%。检测用时较少,仅用16秒。在进行检测时,外部入侵率未超过1%,抗扰性较强。

基于自适应集成学习的异常流量检测

提出了一种基于自适应集成学习的异常流量检测方法,使用离散傅里叶变换提取流量的频域特征,使得对流量特征提取过程中信息损失较小.用一种基于稳定性和准确性波动的评估指标来动态评估当前流量特征的可靠性,通过评估的特征数据块用于生成新的子分类器.同时,设计了一种集成自适应分类器,其参数和子分类器会根据当前的情况进行实时调整.实验结果表明,该方法对于解决异常流量检测中的概念漂移问题和机器学习对抗攻击问题有良好的效果.

基于深度度量学习的异常流量检测方法

网络异常流量识别是目前网络安全的重要任务之一。然而传统流量分类模型是依据流量数据训练得到,由于大部分流量数据分布不均导致分类边界模糊,极大限制了模型的分类性能。为解决上述问题,文章提出一种基于深度度量学习的异常流量检测方法。首先,与传统深度度量学习每个类别单一代理的算法不同,文章设计双代理机制,通过目标代理指引更新代理的优化方向,提升模型的训练效率,增强同类别流量数据的聚集能力和不同类别流量数据的分离能力,实现最小化类内距离和最大化类间距离,使数据的分类边界更清晰;然后,搭建基于1D-CNN和Bi-LSTM的神经网络,分别从空间和时间的角度高效提取流量特征。实验结果表明,NSL-KDD流量数据经过模型处理,其类内距离显著减小并且类间距离显著增大,类内距离相比原始类内距离减小了73.5%,类间距离相比原始类间距离增加了52.7%,且将文章搭建的神经网络比广泛使用的深度残差网络训练时间更短、效果更好。将文章所提模型应用在流量分类任务中,在NSL-KDD和CICIDS2017数据集上,相比传统的流量分类算法,其分类效果更好。

基于Wolf的数字化变电站通信网异常流量检测系统

数字化变电站通信网异常流量检测过程中易陷入局部最优,导致检测结果不精准。为了解决这个问题,提出了基于Wolf的数字化变电站通信网异常流量检测系统。构建系统总体结构,分析通信网流量异常频域特征。通过采集异常流量模块解析目的物理地址,检查组件为系统提供信息交互引擎。使用Wolf算法将混沌序列映射到数字化变电站通信网异常流量多维相空间,设置控制收敛因子,避免检测结果陷入局部最优。计算异常流量特征值的熵,判断流量异常类型。实验结果表明,该系统一次设备异常流量检测结果与实际数据一致,二次设备异常流量检测结果与实际数据存在最大为2 Mb/s的误差,说明使用所设计系统检测结果精准。

基于CNN-BiBASRU-AT的网络异常流量检测模型

针对目前网络异常流量识别准确率不高、基础深度学习模型特征提取能力不足以及循环神经网络训练效率低等问题,提出了基于卷积神经网络(Convolutional Neural Network,CNN)-双向内置注意力简单循环单元(Bidirectional Built in Attention Simple Recurrent Unit,BiBASRU)-AT的网络异常流量检测模型。采用深层一维卷积模块提取流量局部特征表示,对高维度流量特征进行降维且学习到显著分类特征,增强模型的特征表示能力;同时构建内置自注意力简单循环单元(Built in self Attention Simple Recurrent Unit,BASRU)以同时捕捉流量中长距离的时序特征信息和内部特征之间的相互依赖关系,进一步挖掘流量特征内的高维结构信息。软注意力机制识别出对分类结果影响较大的重点特征,赋予关键特征更高权重,避免无关信息对分类结果造成干扰,最后由线性层输出分类概率分布,经Softmax函数归一化后取最大值对应标签作为流量识别结果。在多分类网络异常流量公开标准数据集UNSW-NB15上的实验结果表明,该模型取得了92.81%的F1值,高于实验对比的其他先进深度学习模型的结果,内置自注意力简单循环单元特征捕捉能力和训练效率优于其他传统循环神经网络的结果,证明了模型的可行性和有效性。

基于深度学习的异常流量检测方法

基于机器学习的系统在网络安全应用最多的是基于精心设计的输入特征的浅层模型,这种方法的主要限制是手工设计的特征在不同场景和攻击类型下不能很好地被执行,而深度学习模型可以从原始的、未经处理的数据中学习特征表示,从而解决这一问题。基于此,探讨深度学习模型检测异常网络流量的能力,将来自监控字节流的原始测量作为所提出模型的输入,并评估不同的原始流量(数据包和数据流级)的特征表示。提出一种基于深度学习的模型,能够捕捉异常流量的基本统计数据,而不需要任何类型的手工设计的特征。在包含不同类型异常流量的公开流量跟踪上进行实验,结果证明该模型检测异常流量的准确性高,且优于传统的浅层模型。

基于MobileNet-V2迁移学习的异常流量检测方法

针对越来越多的不同种类恶意流量给网络安全带来的巨大隐患,构建大规模机器学习系统复杂、昂贵和现今国内特定场景下快速搭建模型的研究较少的问题,论文提出了一种基于MobileNet-V2模型,采用迁移学习技术快速搭建异常流量检测模型的方法。首先,利用迁移学习的方式,基于MobileNet-V2模型,采用三通道变换与零填充等方式构建异常流量模型,使其符合实际流量异常检测分类的应用场景。其次,数据集采用USTC-TFC2016公开流量数据集,通过预处理将其转换为类似二维图片的数据格式,输入构建的模型中进行训练与测试。实验结果表明,该模型具有良好的检测性能,在精确度、查准率、查全率、F1分数等主要性能指标上均有很好的表现,可为防火墙等其他嵌入式设备提供一个高效的流量检测方案。

基于SVM-DT-MLP模型的Web日志异常流量检测研究

随着Web应用程序的普及,网络攻击和安全漏洞的风险日益增加。Web日志文件详细记录了网站运行信息,对日志中的流量进行分类从而检测出异常攻击流量是保障网页长期提供稳定、安全服务行之有效的方法之一。文中将Voting特征选择与Stacking集成相结合,构建了SVM-DT-MLP模型,并将其用于Web日志异常流量检测。测试结果表明,SVM-DT-MLP模型的性能显著优于单一算法模型,其Precision(精确度)达到92.44%,Recall(召回率)达到92.43%,F1-Score(F1值)达到92.44%。这意味着该模型能够有效地检测出异常攻击流量,并在保障网页提供稳定和安全服务方面具有很好的效果。

基于机器学习的网络异常流量检测

目的:探索基于XGBoost算法的网络异常流量检测方法,并评估其分类准确率。方法:根据X GBoost算法和主成分分析的技术原理,梳理了网络异常流量的类型、具体表现和异常流量的成因。采用136.4万条网络流量样本作为实验数据集,包括77个网络流量特征和8种网络流量类型。进一步构建XGBoost分类模型,采用多个分类器,实现对网络异常流量的有效检测和识别。结果:XGBoost算法对网络异常流量的检测准确率达到了96.32%。结论:XGBoost算法在网络异常流量检测方面具有出色的性能和可靠性,能够有效为网络管理员提供有效的辅助决策和保护措施。

基于改进迁移学习的电力通信网络异常流量识别方法

常受网络异常流量形式多样化的影响,对其进行识别的难度也相对较大,为此,本文提出基于改进迁移学习的电力通信网络异常流量识别方法。考虑电力通信网络自身结构配置下流量源IP地址统计特征的多维属性,构建电力通信网络流量特征属性矩阵,并根据不同源IP地址之间的相似性,以及不同电力通信网络流量之间的关联关系,构建了邻接矩阵。将二者作为训练参数,采用小批量随机采样方式,在Q值函数下达到损失收敛后,将同一时间窗下存在特征属性交叉,且包含于源IP地址的流量作为异常流量的识别结果。在测试结果中,设计方法对于不同类型网络异常流量识别的ACC均达到了0.90以上。

基于异常流量检测和场景编排的自动化安全运营体系

传统安全监控系统不仅效率不佳,而且还会产生大量误报。安全人员通过手工的方式处理大量告警信息,很容易忽略真实且有危害的信息。为此,提出了一种基于异常流量检测的SOAR自动化响应运营体系,以提升业务操作效率和安全管理人员的工作效率,实现安全运营的精细化、自动化。同时,对于未知威胁,通过人工智能模型进行全流量分析,形成未知威胁的快速发现、溯源以及快速处置等能力,可以突破传统方法在未知威胁分析方面的技术瓶颈。

基于数学建模的无线通信网络异常流量检测方法

由于传统方法在无线通信网络异常流量检测应用中平均绝对百分比误差比较大,响应时间比较长,无法取得预期的异常流量检测效果,提出基于数学建模的无线通信网络异常流量检测方法。建立无线通信网络流量数学模型,描述网络流量状态,利用数学模型完成网络流量与参考流量对比,利用相像系数法提取到网络流量显性特征,利用小波分析技术提取到网络流量隐性特征,通过特征融合,并将特征值与阈值比较,识别检测到异常流量,以此完成基于数学建模的无线通信网络异常流量检测。经实验证明,设计方法平均绝对百分比误差小于1%,响应时间在2.5s以内,在无线通信网络异常流量检测方面具有良好的应用前景。

基于MeAEG-Net的异常流量检测方法研究

异常流量检测现有方法大都是基于有监督的学习,在现实生活中获取并标记异常流量数据样本是极为困难的,存在诸多限制.此外,由于网络异常数据的多样性和复杂性,各种检测方法的自适应性较差,对新出现的异常流量难以判断.针对上述问题,本文设计了一个基于生成对抗网络和记忆增强模块的半监督异常流量检测框架MeAEG-Net(Memory Augment Based on Generative Adversarial Network),通过只训练正常流量样本数据,比较生成器模块输入流量底层特征的重构误差来达到检测异常的目的 .在模型中使用生成对抗网络来更好地训练生成器,生成器采用自编码器加解码器的结构来解决自编码器易受噪声影响的问题,并在自编码器子网络中添加记忆增强模块来削弱生成器模块的泛化能力,增大异常流量的重构误差.实验证明,本文提出的方法能在只学习正常流量数据样本的前提下达到很好的异常流量检测效果.

软件定义网络中的异常流量检测研究进展

软件定义网络(software defined networking,简称SDN)是一种新型的网络架构.SDN将控制层从数据层分离并开放网络接口,以实现网络集中控制并提高网络的可扩展性和编程性.但是SDN也面临诸多的网络安全威胁.异常流量检测技术可以保护网络安全,防御恶意流量攻击.对SDN异常流量检测进行了全面的研究,归纳了数据平面和控制平面可能遭受到的网络攻击;介绍并分析了位于应用平面、控制平面和中间平台的异常流量检测框架;探讨了异常流量识别机制、负载均衡机制、异常流量追溯机制和异常缓解机制;最后指明SDN异常流量检测在未来工作中的研究方向.

基于并行深度森林的配用电通信网络异常流量检测

随着网络攻击手段的不断发展,配用电通信网络安全防护面临严峻挑战.为解决配用电通信网络异常流量检测效率低、检测精度不足的问题,从特征提取和流量分类这两个方面进行改进研究,提出了一种配用电通信网络异常流量检测的新方法.在特征提取方面,使用时频域特征提取方法,采用自适应冗余提升多小波包变换快速提取频域特征,结合配用电网络通信特点提取时域特征;在流量分类检测方面,提出了基于分布式计算框架的并行深度森林分类算法,并对训练与分类任务调度策略进行了优化.使用终端流量及常用异常流量检测数据集进行实验,结果表明所提方法对配用电网络异常流量检测的误报率仅为2.63%,准确率可达98.29%,并且深度森林并行计算能均衡地分配任务,显著地加速了训练与分类过程.

基于时空注意力特征的异常流量检测方法

针对当前基于循环神经网络的异常流量检测方法无法并行利用全局流量数据包挖掘时序特征的问题,提出一种基于时空注意力特征的异常流量检测方法。将原始流量以会话为单元切分为网络流,网络流中的数据包均转换为灰度图并归一化;利用卷积网络层提取数据包的空间特征,进而通过多头自注意力机制对流中的全部数据包空间特征并行建模,计算数据包之间显著的时序关联特征表示;将该特征表示输入到全连接神经网络层和Softmax层,输出识别概率完成检测。在UNSW-NB15数据集上的实验结果表明该方法切实可行,相较于对比方法,在取得较高的准确率和精度的同时,保持了最低的误警率。

基于多分类器集成的区块链网络层异常流量检测方法

为提升对区块链网络层混合型攻击流量的综合泛化特征感知能力,增强异常流量检测性能,提出一种具有支持异常数据综合判决机制和强泛化能力的基于多分类器集成的区块链网络层异常流量检测方法。首先,为扩大所用基分类器的输入特征子集差异度,提出基于区分度和冗余信息量特征子集选择算法,特征筛选过程中激励高区分度子集项输出,同时抑制冗余信息生成。其次,在Bagging集成算法中引入随机方差缩减梯度算法动态调整各基模型投票权重,提升对混合型攻击流量的检测泛化能力。最后,为了将集成算法输出的低维数值向量向高维空间映射,提出基于数据场概念的局部离群因子算法,并基于数据点间势差放大各样本数据点空间密度分布差异性,提升异常数据点检测召回率。实验结果表明,相较于单一分类检测器集成方法,所提方法的异常检测准确率、召回率分别平均提升1.57%、2.71%。

基于机器学习的SDN异常流量检测架构

针对SDN网络中控制器容易受到DDoS攻击导致CPU资源耗尽的问题,提出一种基于机器学习的SDN异常流量检测架构。根据DDoS攻击在通信、频率等方面的特性从流表中提取相关联的七维特征,使用互信息法筛选出四维最优特征子集,结合集成投票算法检测异常流量,利用SDN转控分离的独特性质提出多目标流路由方案,为正常流量分配高带宽、低延迟的优化路径。实验结果表明,提出架构能及时准确检测到DDoS攻击,集成投票算法在时间开销和CPU平均利用率方面有较好改善。