基于S-UBayFS特征选择的网络流量异常检测方法

研究网络流量异常检测的方法,针对传统机器学习方法的局限性,提出一种基于S-UBayFS-GRU的检测算法。该算法分为3个步骤:利用SNHA算法从大量的网络流量特征中筛选出有因果关系的特征,形成“关联链”;利用“关联链”和网络安全领域知识,给特征赋值权重和侧面约束,用UBayFS算法进行特征选择,降低特征维度,提高特征质量;利用GRU循环神经网络对筛选后的特征进行学习和预测,实现网络流量异常检测。实验结果表明,提出的S-UBayFS-GRU算法在各项评价指标上均优于其他方法。

云计算下大规模网络流量异常检测仿真

云计算空间中存储着海量网络流量数据,若计算机频繁重复访问会产生网络崩溃情况,为此提出面向云计算的大规模网络流量异常检测方法。采用DWT信号处理方法提取网络流量特征,运用BIRCH算法聚类处理网络流量数据,通过大规模网络流量特征提取、聚类分析以及分组融合,得到流量数据分组。基于流量分组结果,基于NMF多源异常检测算法构建常规子空间、生成残余矩阵,并添加Shewhart控制图描述异常与正常数据之间的差别,判断网络流量是否为异常,根据判断结果实现网络流量异常检测。实验结果表明,所提方法的异常流量检测精度召回率和F1值均较高,能够有效提升检测效果。

基于联合注意力机制和一维卷积神经网络-双向长短期记忆网络模型的流量异常检测方法

针对流量数据集中类别不平衡限制了分类模型对少数类攻击流量的检测性能这一问题,该文提出一种基于联合注意力机制和1维卷积神经网络-双向长短期记忆网络(1DCNN-BiLSTM)模型的流量异常检测方法。首先在数据预处理过程中利用BorderlineSMOTE方法对流量数据不平衡训练样本预处理,使得各类流量数据均衡,有助于后续模型对各类数据的充分训练。然后设计联合注意力机制和1DCNN-BiLSTM的模型对流量数据进行训练,提取流量数据的局部和长距离序列特征并进行分类,通过注意力机制将对分类有用的特征按其重要性赋予权值,提高对少数攻击类的检出率。实验结果表明,同几种现有方法相比,该文方法对NSL-KDD和CICIDS2017数据集的检测准确率最高(可达93.17%和98.65%),对NSL-KDD数据集中的提权攻击(U2R)攻击流量的检出率至少提升13.70%,证明了该文方法提升少数类攻击流量检出率的有效性。

基于DAE和GRU组合的流量异常检测方法

流量异常检测能够有效识别网络流量数据中的攻击行为,是一种重要的网络安全防护手段。近年来,深度学习在流量异常检测领域得到了广泛应用,现有的深度学习模型进行流量异常检测存在两个问题:一是数据受噪声影响导致检测鲁棒性差、准确率低;二是数据特征维度高以及模型参数多导致训练和检测速度慢。为了在降低流量数据噪声影响的基础上提高检测速度和准确性,本文提出了一种基于去噪自编码器(Denoising Auto Encoder, DAE)和门控循环单元(Gated Recurrent Unit, GRU)组合的流量异常检测方法。首先设计了基于DAE的流量特征提取算法,采用小批量梯度下降算法对DAE进行训练,通过最小化含噪声数据的重构向量与原始输入向量间的差异,有效提取具有较强鲁棒性的流量特征,降低特征维度。然后设计了基于GRU的异常检测算法,利用提取的低维流量特征数据训练GRU,从而构建异常流量分类器,实现对攻击流量的准确检测。最后在NSL-KDD、UNSW-NB15、CICIDS2017数据集上的实验结果表明:与其他的机器学习、深度学习方法相比,本文所提方法的检测准确率最大提升了18.71%。同时,本文方法可以实现较高的精确率、召回率和检测效率,同时具有较低的误报率。在面对数据受到噪声破坏时,具有较强的检测鲁棒性。

基于双向LSTM模型的流量异常检测方法

聚焦传统基于统计、信息论和机器学习的异常流量检测方法存在依赖专家经验、准确度较低、误报率高和泛化能力不足等问题,提出了一种基于堆叠稀疏自编码器(Stacked Sparse Auto-Encoder,SSAE)和双向LSTM模型的异常流量检测方法,基于SSAE进行流量数据特征提取,改变了之前全部依赖专家知识数据库的做法,从根本上避免人的主观性,提高流量数据的真实性和客观性;将双向LSTM模型提取的局部时序信息和使用多头注意力机制提取的全局信息相融合,详细阐述了模型构建过程和算法设计核心步骤;通过设计典型场景,选取数据集和准确率、召回率以及F1评分评估指标,验证所设计模型算法的精准度和鲁棒性。实验结果表明,提高了异常流量的检测精度,增强了模型泛化能力,对异常攻击和资源优化调控具有辅助决策作用。

基于FW-PSO的大区域无线传感网络流量异常检测算法

针对大区域无线传感网络流量特征维度较高,现有神经网络算法只能假设所有区域特征一致,导致一旦网络规模过大,会存在较大误差的问题,采用烟花算法优化粒子群算法的搜索能力,设计了一种烟花算法-粒子群优化(Fireworks Algorithm-Particle Swarm Optimization,FW-PSO)算法,提升了全局搜索能力及收敛速度,并将之应用于大区域无线传感网络流量异常检测。首先采用时间滑动窗口处理大区域无线传感网络数据流信息,通过正态Grubbs法则剔除数据中粗大误差值。然后引入主成分分析法对传感数据特征降维,分段提取有价值的特征。设计FW-PSO算法,提升粒子群算法的搜索能力,实现流量异常检测。实验结果表明,所提方法的无线传感网络流量异常检测率准确率平均为94.8%,训练及检测耗时平均值分别为3.75 s及0.25 s。

基于自注意力机制的网络流量异常检测方法

网络中异常流量的有效检测对网络安全至关重要.以机器学习方法为主的异常流量检测技术,对流量数据采用特征选择方法进行降维并提取最优特征,但容易忽略数据特征之间的关联性,存在异常流量的检测率低、误报率高等问题.为了提高异常流量检测性能,论文在提取流量数据特征的过程中引入自注意力机制进行相关性学习,并结合深度卷积神经网络提出一种有效的网络流量异常检测模型.实验结果表明:通过引入自注意力机制,论文所提出的检测方法能够提取更准确的流量特征,并使得异常流量检测率高、误报率低.

基于Hurst参数基准值自适应更新的网络流量异常检测方法

现有大规模网络随机上网行为对网络流量造成波动幅度大导致传统流量异常检测算法存在虚警率过高的问题,提出一种基于Hurst参数基准值自适应更新的网络流量异常检测方法。首先,利用小波变化来求解Hurst参数;然后,引入网络流量波动变量控制值来更新Hurst参数基准值;最后,结合动态更新的Hurst参数基准值来判断网络流量是否存在异常。仿真表明,本文的方法可根据网络流量波动幅度自适应更新Hurst参数基准值,从而具有更高的准确率和鲁棒性,流量检测准确率高、虚警率低。

基于二次特征提取和BiLSTM-Attention的网络流量异常检测方法

针对传统的网络流量异常检测方法存在识别准确度低、表征能力弱、泛化能力差,忽略了特征之间的相互关系等问题,该文提出一种基于二次特征提取和BiLSTM-Attention的网络流量异常检测方法。通过使用双向长短期记忆网络(BiLSTM)学习数据之间的特征关系,完成数据的一次特征提取,在此基础上,定义一种基于注意力机制的特征重要性权重评估规则,依据特征重要性大小对BiLSTM生成的特征向量给予相应的权重,完成数据的二次特征提取。最后,提出一种“先总分后细分”的设计思想构建网络流量异常检测模型,实现多分类网络流量的异常检测。实验结果表明,该文所提方法在性能上要优于传统单一的模型,并且具有良好的表征能力和泛化能力。

耦合演化采样和深度解码的可解释网络流量异常检测模型

针对现有网络流量异常检测模型缺乏可解释性的问题,本研究提出了耦合演化采样和深度解码的可解释网络流量异常检测模型。首先,引入演化采样学习抽取代表特征样本,依此实现了强可解释性的样本编码过程;其次,构建了可解释的演化采样样本编码过程和不可解释的深度神经网络解码过程的耦合学习模型;最后,使用样本编码结果和重构误差进行异常检测。在NSL-KDD和CICIDS2017数据集上与现有方法的实验比较结果表明,该方法可显著提升模型可解释性和模型规模效率,并能取得与现有最优方法同等水平的检测性能。此外,上述新的学习策略,也可为可解释机器学习方法研究提供一种极具特色的技术方案参考。

基于实时大数据分析的流量异常检测研究

本文针对传统流量异常检测方法在大规模数据流下检测力不足的问题,在深入研究相关具有代表性的时间序列机器学习分类算法后,结合先进的流式计算引擎,设计基于实时大数据分析的流量异常检测系统。系统改进了CICFlowMeter流量探针,增加Kafka支持,降低了系统的耦合度。在流式数据预处理阶段,采用Spark Streaming对统计特征数据进行降维和编码。在模型训练阶段,采用CSE-CIC-IDS2018作为模型训练集。系统通过运用多种机器学习算法进行在线检测,实现大规模数据流实时检测和流量异常预警,有助于提升信息系统的安全防护能力。

网络流量异常检测中分类器的提取与训练方法研究

随着网络安全领域研究的不断深入,研究者提出了各种类型的流量异常检测方法,基于分类的方法是其中很重要的一类.但是因为网络环境的多样性和动态变化性,在训练数据集上具有很高精度的检测系统实际部署时可能出现大量的误报.文中针对训练模型难于获取以及部署环境的动态变化性问题,对分类器的选择、使用和训练方法进行了研究.首先把网络流量数据投影到不同维度的Hash直方图上构建检测向量,在检测向量的基础上对比了各类分类器,选用能够处理高维数据、泛化能力强的SVDD进行异常检测;采用增减式在线训练算法对分类器进行不断训练,提高异常检测系统的精度并减少训练成本;最后采用多步关联检测算法优化检测精度,并在新增样本中剔除明显的异常样本,减少训练成本提高分类精度.通过大量的真实网络流量数据验证了上述方法具有较高的检准率和较低的误报率,并能够有效减少训练成本.

基于大数据的电力信息网络流量异常检测机制

随着智能电网建设的加强,电力信息网络及其承载的业务系统得到迅猛发展,网络业务流量的检测和预警具有重要的安全意义。针对目前电力信息网络缺乏处理流量异常问题的有效技术手段,提出了一种基于大数据的电力信息网络流量异常检测机制,并通过对改进的局部异常因子(M-LOF)和支持向量域数据描述(SVDD)两种常用异常检测算法的对比分析,总结出适合电力信息网络的流量异常检测方法 。

一种基于SDN的在线流量异常检测方法

基于软件定义网络的集中管控平面,提出了一种在线流量异常检测方法.首先在控制器上在线获取OpenFlow交换机的流表信息,并构造整个网络的流量矩阵与样本熵矩阵进行组合,然后采用主成分分析方法检测异常流量.实验结果表明,相比于传统网络中利用主成分分析方法分别单独处理离线的流量矩阵或样本熵矩阵的方法,在线流量异常检测方法实现和处理方式简单、有效,异常流量能够得到快速隔离,是基于软件定义网络的一种轻量级在线流量异常检测方法.

工业网络流量异常检测的概率主成分分析法

针对主成分分析(PCA)法用于工业测控网络流量异常检测时存在的误报率高的问题,提出了一种基于概率主成分分析(PPCA)的检测算法.首先通过分析误报成因,建立了工业测控网络流量矩阵的PPCA模型,然后使用迭代变分贝叶斯算法辨识该模型的参数,再利用模型参数估计值求解流量矩阵的秩的分布函数并得到秩的极大似然估计值,最后以秩的跃变状况为判据进行异常流量检测.模拟攻击实验表明,该方法使漏报率平均下降了32%,从而有效降低了PCA方法的误报率.

基于时间序列图挖掘的网络流量异常检测

网络流量异常检测要解决的核心问题之一是获得信息的全面性和流量信息描述的准确性。针对现有网络异常流量检测方法分析多时间序列的不足,提出了一种基于图挖掘的流量异常检测方法。该方法使用时间序列图准确、全面地描述用于流量异常检测的多时间序列的相互关系;通过对项集模式进行支持度计数,挖掘各种频繁项集模式,有利于对各种异常流量的有效检测;通过挖掘各项集之间的关系,引入了项集的权重系数,解决了流量异常检测的多时间序列相互关系的量化问题。仿真结果表明,该方法能有效地检测出网络流量异常,并且对DDos攻击的检测效果明显优于基于连续小波变换的检测方法。

基于堆叠卷积注意力的网络流量异常检测模型

入侵检测系统(IDS)在发现网络异常和攻击方面发挥着重要作用,但传统IDS误报率较高,不能准确分析和识别异常流量。目前,深度学习技术被广泛应用于网络流量异常检测,但仅仅采用简单的深度神经网络(DNN)模型难以有效提取流量数据中的重要特征。针对上述问题,提出一种基于堆叠卷积注意力的DNN网络流量异常检测模型。通过堆叠多个以残差模块连接的注意力模块增加网络模型深度,同时在注意力模块中引入卷积神经网络、池化层、批归一化层和激活函数层,防止模型过拟合并提升模型性能,最后在DNN模型中得到输出向量。基于NSL-KDD数据集对模型性能进行评估,将数据集预处理生成二进制特征,采用多分类、二分类方式验证网络流量异常检测效果。实验结果表明,该模型性能优于KNN、SVM等机器学习模型和ANN、AlertNet等深度学习模型,其在多分类任务中识别准确率为0.807 6,较对比模型提高0.034 0~0.097 5,在二分类任务中准确率和F1分数为0.860 0和0.863 8,较对比模型提高0.013 0~0.098 8和0.030 6~0.112 8。

基于改进聚类分析的网络流量异常检测方法

针对传统基于聚类分析的网络流量异常检测方法准确性较低的问题,提出了一种基于改进k-means聚类的流量异常检测方法。通过对各类流量特征数据的预处理,使k-means算法能适用于枚举型数据检测,进而给出一种基于数值分布分析法的高维数据特征筛选方法,有效解决了维数过高导致的距离失效问题,并运用二分法优化K个聚簇的划分,减少了初始聚类中心选择对k-means算法结果的影响,进一步提高了算法的检测率。最后通过仿真实验验证了所提出算法的有效性。

云环境下SDN的流量异常检测性能分析

随着复杂的混合云网络逐渐成为云计算发展的瓶颈,软件定义网络(SDN)技术近年来成为学术界和工业界关注的热点。在网络安全领域,对于应用SDN来解决网络攻击的研究尚处于起步阶段,SDN是否能够高效检测来自内部的网络攻击尚无定论。针对该问题,在分析SDN技术框架的基础上,设计基于Open Stack的云环境实验方案。在传统云环境网络和SDN环境下同时测试2种流量异常检测算法,模拟Flood攻击和端口扫描攻击,分析SDN在检测攻击时的精确度和资源使用率。结果表明,在云环境下利用SDN检测内部威胁时比传统网络环境占用更少的物理内存而不影响精确度,但直接在SDN控制器上部署安全应用的方式也存在性能瓶颈。

瞬时频率分析的网络流量异常检测

网络流量异常是指网络的流量行为偏离其正常行为的情形,准确、快速地检测网络流量的异常行为是保证网络有效运行的前提之一。现有的网络流量异常检测方法大都没有分析异常的频谱特性,因此它们都存在着不足之处。针对这些不足,利用异常流量和正常流量在频域特征量上的不同特点,提出了一种基于瞬时频率分析的方法检测网络流量异常。通过计算网络原始流量信号的瞬时频率,来突出反映流量的异常特性。同时针对滑动窗口的特点提出了一种计算瞬时频率的快速算法。仿真试验结果验证了该算法的有效性。