基于SA-WGAN的网络流量异常检测方法

针对网络流量数据的海量、复杂、多维、不平衡、低价值密度等特点,提出了一种引入了自注意力机制的WGAN异常检测方法。该方法将轻量化的自注意力机制嵌入到WGAN中,充分挖掘了流量数据中的潜在关联性,利用生成误差和重构误差评估了综合异常得分,再利用自适应窗口技术进行异常初判和异常裁剪。实验结果表明:该方法在精确率、召回率和F1值等指标的检测性能上,较传统的生成式异常检测方法有明显提升。

基于多特征识别的非线性网络流量异常检测方法

为了准确检测异常网络流量,保护网络安全,提出基于多特征识别的非线性网络流量异常检测方法。使用基于Filter模型和Wrapper模型的网络流量特征选择方法,提取网络流量有效特征集;将此特征作为基于多特征残差分析的网络异常流量检测模型检测样本,在此特征集中识别7种重要非线性网络流量属性并建立属性矩阵,将所建立属性矩阵以CUR矩阵的形式实施分解、残差运算,按照残差与预设阈值完成异常检测。实验结果表示:将该方法阈值设成0.81,在某校园的千兆局域网异常网络流量检测中,该方法能够准确协助入侵检测系统监控网络流量异常情况并准确预警。

基于机器学习的舰船通信网络流量异常检测方法

针对舰船通信网络流量易受噪声成分影响,导致流量异常检测精度下降问题,提出基于机器学习的舰船通信网络流量异常检测方法。该方法使用基于小波变换的网络流量预处理方法,细化舰船通信网络原始流量数据,由小波阈值将细化后流量数据进行去噪处理后,通过基于机器学习的流量异常检测模型,以前向传播训练、反向传播训练的方式,训练稳定的卷积循环神经网络,将去噪后流量数据样本输入网络中,分类检测通信网络流量数据是否异常。实验结果显示:所提方法有效去除舰船通信网络流量噪声成分后,可提高舰船通信网络流量异常检测精度,无错检情况,且检测范围更全面。

基于Hurst参数基准值自适应更新的网络流量异常检测方法

现有大规模网络随机上网行为对网络流量造成波动幅度大导致传统流量异常检测算法存在虚警率过高的问题,提出一种基于Hurst参数基准值自适应更新的网络流量异常检测方法。首先,利用小波变化来求解Hurst参数;然后,引入网络流量波动变量控制值来更新Hurst参数基准值;最后,结合动态更新的Hurst参数基准值来判断网络流量是否存在异常。仿真表明,本文的方法可根据网络流量波动幅度自适应更新Hurst参数基准值,从而具有更高的准确率和鲁棒性,流量检测准确率高、虚警率低。

基于粒子群算法的网络流量异常检测方法

由于网络流量异常数据具有维数大和冗余度高等特征,导致传统方法的检测精度较低,为此提出基于粒子群算法的网络流量异常检测方法。首先,采集网络流量数据,并进行外部参数提取与流量过滤等预处理;其次,基于粒子群算法优化分类规则的编码方案;最后,进行实验分析。实验结果表明,该方法的性能优于对照组,能够最大限度地保障检测结果的准确性。

一种新的网络流量异常检测方法

针对传统检测方法存在的问题 ,提出了一种新型的网络流量异常检测方法。在对网络流量的自相似性参数 :Hurst参数、Hurst参数的时变函数H(t)的分析基础上 ,对网络流量异常带来的自相似性变化做了研究 ,并通过检测自相似性变化的异常来判断网络流量异常的出现。研究表明 。

NMF-NAD:基于NMF的全网络流量异常检测方法

提出了一种基于非负矩阵分解(NMF,non-negative matrix factorization)的多元异常检测算法(NMF-NAD,NMF based network-wide traffic anomalies detection),该算法首先采用非负子空间方法对流量矩阵进行重构,然后基于重构误差利用Shewhart控制图进行异常检测。模拟实验与因特网实测数据的分析表明,NMF-NAD算法有较高的检测精度和较低的处理复杂度。

基于相对熵的网络流量异常检测方法

网络流量的异常检测是网络安全领域一个重要分支,目标是及时准确地检测网络中发生的突发攻击事件。现有流量异常检测方法如数据挖掘、小波分析等方法或因检测效果较差,或因算法复杂,难以满足实时在线流量检测的应用需求。文中引入信息熵概念,通过对网络流量进行分维和分层实时计算网络流量相对熵,提出了一种基于相对熵的流量异常检测方法,算法时间复杂度为O(N×log2N×D)。实验分析表明,当检测率达到0.80～0.85时,误报率控制在0.03～0.05,可同时满足系统实时性和准确性要求。

自适应滤波实时网络流量异常检测方法

针对网络中的各种常见攻击,提出一种基于自适应滤波的网络流量异常检测方法.首先对多种流量指标进行递推最小二乘法预测,然后以预测误差所构造的统计量容许范围进行异常检测,最后对检测结果实施归一化评估.该方法具有无需任何历史训练数据、能大量减少报警次数、突出报警严重程度的特点.在DARPA入侵检测评估数据集上的实验表明,所提方法更适合检测拒绝服务攻击引起的异常,较之相同权向量下的同类方法,其异常检测率、误报率和检测速度等性能更好.

一种基于非参数统计理论的网络流量异常检测方法

提出了一种新的基于非参数高斯核函数分布的网络流量异常检测方法.与目前核函数应用于分类、神经网络、机器学习的方法和原理均不同,针对异常发生时流量出现的扰动,使用能显著反映流量形状变化的核带宽作为特征统计量,进行网络流量分析.实验结果表明,该方法能显著降低计算复杂度和误检率,提高检测率.

基于多尺度特征的网络流量异常检测方法

针对传统的网络流量异常检测方法大都只关注流量数据的细粒度特征,对多尺度特征信息利用不充分,可能导致异常检测结果准确率不高的问题,提出了一种基于多尺度特征的网络流量异常检测方法。使用多个不同尺度的滑动窗口将原始流量划分为多个观察跨度的子序列,利用小波变换技术重构各个子序列的多层级序列,链式SAE通过特征空间映射生成多层级重构序列,各层级的分类器根据重构序列的误差进行异常的初步判定,采用加权投票策略对各层级的初步判定结果进行汇总,形成最终结果判定。实验结果表明,所提方法可有效挖掘网络流量的多尺度特征信息,对异常流量的检测性能较传统方法有明显提升。

结合马氏距离与自编码器的网络流量异常检测方法

当前网络流量数据规模较大且分布不均衡,传统网络流量异常检测方法检测准确率较低。提出一种结合马氏距离和自编码器的检测方法,使用马氏距离倒数及判别阈值快速检测部分正常数据以减少训练数据量,同时,在自编码器代价函数中添加马氏距离度量项以增强自编码器的特征提取能力。在此基础上,将自编码器与分类器相结合以解决网络参数初始化问题,并通过调整自编码神经网络交叉熵损失函数中各项的权重,提高自编码神经网络对数据分布不均衡数据集的训练效果。实验结果表明,该方法在CICIDS2017数据集、NSL-KDD数据集上的异常检测准确率分别高达97.60%、99.84%,在CICIDS2017数据集上的F1值为0.9413,高于DNN、LSTM、C-LSTM等方法。

基于融合马尔科夫模型的工控网络流量异常检测方法

虽然工业互联网为现代工业注入了新的活力,极大地提高了工业生产效率,但是网络化也给工业控制系统带来了更多的威胁。近年来,国内外发生了多起工控入侵事件,严重影响了工业生产安全,工控安全问题愈发突出。为确保现代工业向着数字化、自动化等方向稳定发展,有效的工控系统入侵检测方法成为了研究重点。针对工业控制系统中现有的方法对于多周期混合的流量无法进行有效分离、难以检测和防御更加复杂的语义攻击的情况,充分利用工业流量高周期性和高相关性的特点,提出一种基于融合马尔科夫模型的工控网络流量异常检测方法。首先深度解析报文语义并将原始流量序列映射为hash字符串序列,然后根据字符串序列间的相关性生成状态转移图。接下来,根据状态转移图间各状态的出入关系和频率将子周期符号进行分类并依次构建DFA模型。为了检测更多语义攻击,该方法根据子周期间的出入关系和模型误报率将错误分解的长周期模式进行融合并在每个DFA模型的节点中加入时间间隔信息。在SCADA测试平台上进行实验验证,结果表明此方法能检测更多类型的攻击,对复杂语义攻击具有较高的检出率。

基于EMD的电厂网络流量异常检测方法

针对新能源电厂网络系统安全威胁检测需求,以及现有网络安全异常检测方法自适应能力差、人工参与多、误报率高等问题,提出了一种基于经验模态分解(Empirical Mode Decomposition,EMD)的自适应实时异常检测方法。该方法首先对新能源电厂网络中的流量进行多个维度的特征刻画,实现流量特征建模;然后在此基础上对特征指标进行自适应经验模态分解、方差计算、高斯拟合和阈值确定,以实现对流量特征指标的自适应异常检测和安全告警。采用典型攻击样本集合对本文方法和基于小波变换的异常检测方法进行了对比测试,测试结果表明,该方法能够准确、实时、自适应地识别未知流量异常,检测效果在准确率、误报率方面优于基于小波变换的异常检测方法。

一种基于特征选择的网络流量异常检测方法

为提高细粒度网络流量异常检测准确率,提出一种基于特征选择的串并行相结合的网络流量异常检测方法。该方法提出异常流量粗粒度检测、异常流量类型细粒度检测两级结构,针对每类流量的特点分别选择最优特征集进行异常检测,以提高检测准确率。首先使用一个二分类器对网络流量进行粗粒度检测,以快速区分正常和异常流量;然后采用多个二分类器并行检测与单个多分类器检测相结合的方式识别异常流量所属类型,避免串行检测方式错误累积效应,在提高检测准确率的同时缩短检测时间;最后基于Storm平台使用NSL-KDD数据集进行实验验证。结果表明该方法检测准确率较高,有效提高了对各类异常流量的检测精准率、召回率。

交互博弈引导的网络流量异常检测建模方法研究

基于网络流量的系统入侵会带来严重破坏,因此寻找能够准确识别和分类异常流量的方法具有重要的研究价值。数据作为基于机器学习模型的检测算法的唯一依据,训练过程对于外界是一个黑盒过程,整个模型在训练和使用过程中缺乏用户交互。这导致在网络运维场景中,专业运维人员不能根据当前模型检测结果,实时将指导信息反馈到系统中,进而削弱了系统的场景适应能力和检测纠错能力。本文基于强化学习过程,设计了一种基于动态贝叶斯博弈的交互引导式的网络流量异常检测方法。通过检测模型和运维人员交互的方式,在训练过程中让运维人员提供专业反馈使得模型获得外界针对当前检测效果的奖惩信号,从而对自身特征聚焦方向和收敛过程起到引导的作用。将运维人员和检测模型视为博弈的双方,建立博弈模型,使双方之间的交互引导行为达到动态平衡状态。通过博弈对于模型交互频次和内容反馈给出指导,从而使得模型具有动态适应当前场景的能力,有效控制了人机交互反馈所带来的系统开销。实验部分验证了交互式博弈的流量检测方法中,双方博弈指导交互行为的可行性与有效性,证明了该方法在动态场景中具有良好的适应能力。相较于传统的机器学习方法,交互引导式模型提高了模型整体的检测性能。性能对比测试结果表明交互频次每增加0.02%,系统整体检测性能随之提升0.01%。

网络流量分析中的异常检测方法研究

本研究针对网络流量异常检测的需求,提出了一种基于多尺度k均值(k-means)聚类的创新性方法,并采用NSL-KDD数据集对该方法进行了验证。首先,本研究介绍了网络流量异常检测领域的研究现状,突出了传统k-means方法在面对复杂网络环境时的局限性。其次,本研究提出的多尺度k-means聚类方法,包括数据准备、特征工程、数据标准化、选择k值、k-means聚类和异常值分析等关键部分。通过在NSL-KDD数据集上的实验,本方法与传统k-means聚类相比,在精确度、召回率、F1分数和总体准确率等关键指标上均取得了显著提升,证明了该方法在网络流量异常检测中的有效性。

动态生成Shapelet的网络流量异常检测

当前网络流量异常检测方法大多针对流量特征集构建检测算法,为充分利用网络流量本身数据信息,降低对人为构建特征集的依赖,采用原始网络流量数据,基于对抗性动态Shapelet网络(ADSN),动态学习Shapelet时序特征,提出一种单尺度输入的ADSN(S-ADSN)流量异常检测方法。将网络会话流中用于建立连接的数据转换为时间序列,基于S-ADSN对原始流量序列样本动态学习和生成Shapelet时序特征,计算Shapelet与流量序列之间的距离向量并通过分类器判断流量类别。实验结果表明,所提方法能够动态获取具有辨识性的流量时序特征,具有可解释性和早期检测性优点,实现较高的恶意流量检测精度。

基于PCA和GMM的宽带网络流量异常检测方法

随着网络规模和复杂度的不断提升,宽带网络流量异常检测成为保障网络稳定运行的关键。文章研究一种基于主成分分析(Principal Component Analysis,PCA)和高斯混合模型(Gaussian Mixture Model,GMM)的宽带网络流量异常检测方法。首先,利用PCA技术对网络流量数据进行特征提取与降维处理,以降低数据的维度和复杂性;其次,采用GMM对降维后的数据进行分类;最后,使用KDD 99数据集对所提方法进行测试。实验表明,该方法能够有效检测宽带网络中的异常流量,具有较高的适应性和稳定性。

基于AI的网络流量监控与异常检测系统研究

在网络信息技术迅速发展的背景下,传统的网络监控方法面临诸多挑战,而人工智能(artificial intelligence,AI)技术的引入为此提供了新的解决方案。首先,介绍了一套高效、准确的网络流量监控与异常检测系统,提高对网络安全威胁的响应能力。其次,着重分析了系统的架构设计,包括数据采集、处理、AI分析和决策反馈各层的作用和优化策略。最后,特别强调了AI模型的选择、训练和优化过程,以及数据处理机制的重要性。本研究对于理解和解决网络安全中的实际问题具有重要意义,为未来在网络安全领域的AI应用提供了参考。