基于分层抽样算法的异常攻击流量检测

在高速互联网应用中,海量数据无法逐包检测分析,异常攻击流量也不易被识别。为解决该问题,利用泊松帕累托突发过程的经典流量模型对网络流量自相似特性进行分析,将网络流量分为长流与短流,并根据数据流到达时间的抽样比增量进行分层抽样,由此实现异常攻击流量的检测。在基于数据报文级检测的snort异常入侵检测系统上对该方法进行仿真实验,结果证明其能有效缩小异常攻击数据范围,快速准度地检测出攻击。

基于改进DNN的物联网异常攻击检测方法

针对训练样本不足时,传统物联网异常攻击检测模型精准度不足的问题,引入决策树(DT)来对深度神经网络(DNN)模型进行改进。决策树的加入,让DNN进行及特征提取时,更容易获得最优的显著特征集;同时,通过决策树还能够对特征特点进行总结,通过DNN的感知学习能力,推断出新的特征,使模型能够识别出更多的物联网行为。最后,通过仿真验证改进后的模型性能,结果表明,DT-DNN模型能够对黑洞攻击、DDoS攻击等多种物联网攻击行为进行检测,且检测具有相对较高的精确度、召回率和F1分数,证明该检测模型可应用于多种物联网攻击类型检测,具有一定的实用性。

互联网下图书馆大数据分析及协同异常检测平台研究

随着云计算技术的发展,图书馆管理工作已逐步趋向云化,然而由于该模式的动态和分布式架构的特点,系统安全性和隐私性是关键性指标,因此对于图书馆大数据分析应用,通过检测网络漏洞至关重要。本文提出了一种用于检测来自图书馆云计算服务应用环境中的网络攻击的协作异常检测框架(Collaborative Anomaly Detection Framework,CADF)。介绍了框架的功能和部署方式,同时框架在某图书馆的数据集上进行评估,以检查其在云计算环境中部署时的可信度。实验结果表明,该框架可以轻松处理大规模系统,因为其实施只需要估算网络观测的统计测量。

基于支持向量机的油气生产复杂系统信息物理攻击识别方法

在数据驱动的复杂油气生产系统中,存在故障数据干扰攻击识别的问题,忽视系统内部可能存在的故障数据对攻击检测的影响,则难以及时防御攻击或解决故障。因此,为了提高复杂油气生产系统中信息物理攻击检测的准确性,提出了一种基于支持向量机的无向图联合检测方法。首先,对复杂油气生产系统中的关键传感器拓扑化形成无向图,建立传感器之间的连接关系并捕捉数据交互。然后,利用支持向量机检测传感器系统异常原因,并选择接收站低压泵及接收站储罐系统作为示例验证,前者的准确率、精确度、召回率和F1分数均高于99%,后者F1分数高于99%,其余均高于97%。与传统方法K均值聚类相比,本方法具有更高的准确性、鲁棒性和完整性,有助于防范攻击和生产事故,保障油气生产系统的安全。

一种新型大规模分布式拒绝服务检测模型研究

将基于HOPCOUNT的异常数据包过滤技术引入到TaoPeng等人提出的检测方法中,提出了一个新型的DDoS攻击的检测模型.通过判定算法,该模型能够较为准确的区分出正常通信量和异常通信量,并在此基础上,运用CUSUM算法监测两个特征量,实现了DDoS攻击检测.此外,本文将Bloom Filter算法引入到数据库的查找过程中,提高了检测的性能以及检测模型自身的安全性.实验结果证明,该检测模型能够以较高的精确度及时的检测出DDoS攻击行为.

浅谈入侵检测技术

在介绍入侵检测技术的基础上对其进行了分类,并分析了该技术目前存在的问题,最后对其发展趋势进行了展望。

基于多种检测技术融合的入侵检测系统

随着网络技术的不断发展,机构内网也日益受到各种已知或未知恶意程序的威胁,为了更加有效全面地检测出这些恶意程序,本文设计并实现一种基于深度检测技术、异常攻击检测技术、误用检测技术相结合的入侵检测系统。该系统由深度协议分析、行为分析、特征匹配、智能协议识别、协议异常攻击检测、流量异常检测等技术融合而成一体化的入侵检测系统,并由数据采集模块、流量还原分析模块、攻击检测模块、特征库模块和控制台实现恶意程序的检测流程。该系统克服了传统单一检测方法的不足,可有效检测如0-day攻击、多态攻击、变形攻击等新一代威胁。

Anomaly detection for network traffic flow

This paper presents a mechanism for detecting flooding-attacks. The simplicity of the mechanism lies in its statelessness and low computation overhead, which makes the detection mechanism itself immune to flooding-attacks. The SYN-flooding, as an instance of flooding-attack, is used to illustrate the anomaly detection mechanism. The mechanism applies an exponentially weighted moving average (EWMA) method to detect the abrupt net flow and applies a symmetry analysis method to detect the anomaly activity of the network flow. Experiment shows that the mechanism has high detection accuracy and low detection latency.