Distributed sampling measurement method of network traffic in high-speed IPv6 networks

With the advent of large-scale and high-speed IPv6 network technology, an effective multi-point traffic sampling is becoming a necessity. A distributed multi-point traffic sampling method that provides an accurate and efficient solution to measure IPv6 traffic is proposed. The proposed method is to sample IPv6 traffic based on the analysis of bit randomness of each byte in the packet header. It offers a way to consistently select the same subset of packets at each measurement point, which satisfies the requirement of the distributed multi-point measurement. Finally, using real IPv6 traffic traces, the conclusion that the sampled traffic data have a good uniformity that satisfies the requirement of sampling randomness and can correctly reflect the packet size distribution of full packet trace is proved.

Adaptive spatial-temporal graph attention network for traffic speed prediction

Considering the nonlinear structure and spatial-temporal correlation of traffic network,and the influence of potential correlation between nodes of traffic network on the spatial features,this paper proposes a traffic speed prediction model based on the combination of graph attention network with self-adaptive adjacency matrix(SAdpGAT)and bidirectional gated recurrent unit(BiGRU).First-ly,the model introduces graph attention network(GAT)to extract the spatial features of real road network and potential road network respectively in spatial dimension.Secondly,the spatial features are input into BiGRU to extract the time series features.Finally,the prediction results of the real road network and the potential road network are connected to generate the final prediction results of the model.The experimental results show that the prediction accuracy of the proposed model is im-proved obviously on METR-LA and PEMS-BAY datasets,which proves the advantages of the pro-posed spatial-temporal model in traffic speed prediction.

一种基于半监督学习的网络异常流量检测方法

针对网络流量数据存在标记样本获取困难、实际数据类别不平衡等问题,提出一种合成数据增强的半监督网络异常流量检测方法(SEASAND)。SEASAND利用无标记数据辅助模型学习,只需少量的有标签数据即可达到较高识别准确率,降低了训练成本。考虑一致性正则和熵最小化原则,通过混合采样解决网络流量数据不平衡的问题,并采用混合样本算法对样本进行二次数据增强,提高了对无标记数据的利用效率。最后利用一维残差网络Resnet1D 18对数据增强后的数据集进行训练。SEASAND在KDDCup9910、UNSW-NB15、CICIDS2017数据集上进行仿真实验,结果表明,与相关算法对比,SEASAND在少样本、多分类问题上具有较好的性能,降低了对有标记样本量的需求。

CMAES-WFD:Adversarial Website Fingerprinting Defense Based on Covariance Matrix Adaptation Evolution Strategy

Website fingerprinting,also known asWF,is a traffic analysis attack that enables local eavesdroppers to infer a user’s browsing destination,even when using the Tor anonymity network.While advanced attacks based on deep neural network(DNN)can performfeature engineering and attain accuracy rates of over 98%,research has demonstrated thatDNNis vulnerable to adversarial samples.As a result,many researchers have explored using adversarial samples as a defense mechanism against DNN-based WF attacks and have achieved considerable success.However,these methods suffer from high bandwidth overhead or require access to the target model,which is unrealistic.This paper proposes CMAES-WFD,a black-box WF defense based on adversarial samples.The process of generating adversarial examples is transformed into a constrained optimization problem solved by utilizing the Covariance Matrix Adaptation Evolution Strategy(CMAES)optimization algorithm.Perturbations are injected into the local parts of the original traffic to control bandwidth overhead.According to the experiment results,CMAES-WFD was able to significantly decrease the accuracy of Deep Fingerprinting(DF)and VarCnn to below 8.3%and the bandwidth overhead to a maximum of only 14.6%and 20.5%,respectively.Specially,for Automated Website Fingerprinting(AWF)with simple structure,CMAES-WFD reduced the classification accuracy to only 6.7%and the bandwidth overhead to less than 7.4%.Moreover,it was demonstrated that CMAES-WFD was robust against adversarial training to a certain extent.

结合改进算术优化算法与小波神经网络的网络流量预测模型

网络流量具有非线性、复杂性特征,传统方法预测精度较低。为此,提出结合改进算术优化算法IAOA与小波神经网络WNN的网络流量预测模型。利用IAOA算法对小波神经网络关键参数初值调优,有效解决常规调参易陷入局部最优的缺陷,提高学习精度和收敛速度。对标准算术优化算法进行改进,设计拉丁超立方抽样法进行种群初始化,提高种群多样性;利用余弦函数对AOA的数学优化器非线性更新,均衡算法全局搜索与局部开发;引入针对最优解的高斯变异机制,避免算法陷入局部最优。利用十个基准函数对IAOA算法进行数值仿真,证实算法能够提高搜索精度和收敛速度。而网络流量预测实验结果表明,提出的预测模型具有更高的精确度,预测性能更加稳定,能够满足网络流量预测的高精度和实时性要求。

基于小样本学习的网络异常流量检测

网络结构具有较高复杂性,因此导致各种异常流量现象层出不穷,其中包括一些标注样本极少的新型异常流量类型。为了有效识别标注样本量极少的异常情况,设计了一种基于小样本学习的网络异常流量检测方法。该方法利用基于小样本的迁移学习技术识别异常流量,从而确保了网络安全。

基于流量信息结构的异常检测

由于人们对网络流量规律的认识还不够深入,大型高速网络流量的异常检测仍然是目前测量领域研究的一个难点问题.通过对网络流量结构和流量信息结构的研究发现,在一定范围内,正常网络流量的IP、端口等具有重尾分布和自相似特性等较为稳定的流量结构,这种结构对应的信息熵值较为稳定.异常流量和抽样流量的信息熵值以正常流量信息熵值为中心波动,构成以IP、端口和活跃IP数量为维度的空间信息结构.据此对流量进行建模,提出了基于流量信息结构的支持向量机(support vector machine,简称SVM)的二值分类算法,其核心是将流量异常检测转化为基于SVM的分类决策问题.实验结果表明,该算法具有很高的检测效率,还初步验证了该算法的抽样检测能力.因此,将该算法应用到大型高速骨干网络具有实际意义.

高速网络流量测量方法

高速网络流量测量是目前实施实时准确地监测、管理和控制网络的基础.基于网络流量测量的应用,将网络流量测量分为抽样方法和数据流方法.从不同的层次,将抽样方法分为分组抽样和流抽样,分别介绍了两类抽样方法;从测度角度介绍了数据流方法.详细介绍了高速网络流量测量的常用数据结构,以及抽样、数据流方法在高速网络流量测量中的应用,比较了各种方法的优劣.概述了高速网络流量测量技术的研究进展.最后,就现有的网络流量测量方法的不足,对网络流量测量的发展趋势和进一步的研究方向进行了讨论.

基于对抗样本的网络欺骗流量生成方法

为了应对流量分类攻击,从防御者的角度出发,提出了一种基于对抗样本的网络欺骗流量生成方法。通过在正常的网络流量中增加扰动,形成欺骗流量的对抗样本,使攻击者在实施以深度学习模型为基础的流量分类攻击时出现分类错误,欺骗攻击者从而导致攻击失败,并造成攻击者时间和精力的消耗。采用几种不同的扰动生成方法形成网络流量对抗样本,选择LeNet-5深度卷积神经网络作为攻击者使用的流量分类模型实施欺骗,通过实验验证了所提方法的有效性,为流量混淆和欺骗提供了新的方法。

面向网络行为特征分析的网络监测系统设计及实现

网络行为特征分析可为下一代互联网规划设计、建设与管理提供科学依据,对网络行为的监测极为重要。根据网络行为分析的要求,构建了IP网络行为评价指标体系,详细介绍了面向网络行为特征分析的网络监测系统的设计与实现,对系统设计的关键问题做了分析,并搭建实验环境对实现的系统进行了测试。实验结果表明:该系统满足网络行为实时监测各项要求,能为网络的运营管理提供决策依据。

流测量中基于测量缓冲区的时间分层分组抽样

NetFlow是流测量中广泛应用的解决方案,但NetFlow的抽样方法存在一定的缺陷:泛洪攻击时消耗路由器过多的资源;用户很难选择适合所有流量组成情况的静态抽样率,以平衡资源消耗量和准确率.提出了一种易于实现的分组抽样方法.该方法利用测量缓冲区对定长时间内到达的分组进行固定数量的抽样,既可以使抽样率自适应于流量变化,又可以控制资源的消耗.证明了抽样估计的无偏性,并推导出估计值相对标准差的理论上界.实验结果表明,与已有方法相比,该方法在具有简单性、自适应性及资源可控性的同时不会失去准确性.

网络攻击检测中流量数据抽样技术研究

网络攻击检测的关键是通过对网络流量的分析快速识别网络中的未知攻击行为。大数据环境下,如何在不影响异常检测效果的前提下通过数据抽样技术粗粒度减少需要处理的网络流量数据,筛选出需要进行细粒度异常检测的子集,为网络攻击发现提供可靠数据支撑,是网络入侵检测系统研究的重要问题,也是目前网络行为分析、网络测量分析、网络异常检测、网络流量模型研究的重点。文章对网络攻击检测中流量数据抽样技术的基本概念、研究进展和存在问题进行阐述,对网络流量数据抽样技术面临的挑战和发展趋势进行总结和展望。文章可为进一步探索网络攻击检测领域的新方法和新技术提供借鉴和参考。

Hits和Holds:识别大象流的两种算法

随着网络规模的扩大和链路速度的提高,实时采集每条流的流量变得非常困难.Estan等人提出采集大象流的设想,并提出了识别大象流的算法：Sample and Hold算法和Multistage算法.但这两种算法在实现时存在：Sample and Hold算法随机丢弃报文,带来采集数据不准确的问题;Multistage算法需要同时进行5~6次访存,无法使用硬件实现的问题.针对上述问题,提出了两种大象流识别算法：Hits和Holds算法.理论和实验结果表明,Hits和Holds算法对网络大象流的误检率和漏检率均优于Sample and Hold及Multistage算法.

一种用于异常检测的网络流量抽样方法

为了减小抽样数据对网络异常检测的影响,提出了一种新的可变抽样率的网络流量抽样方法.通过利用哈希模式匹配算法,将到达的数据报文按流标识分类并记录下该报文在流中的位置,然后根据报文所属流的位置顺序减函数来设置不同的报文抽样概率.实验结果表明,所提方法增加了短流报文的抽样概率,解决了由于随机报文抽样方法偏向于长流抽样而导致的网络异常丢弃的问题,从而提高了异常检测的正确性.

基于FARIMA模型的流量抽样测量方法

目前的流量抽样测量方法主要基于传统的数学理论,并没有考虑到实际网络流量的特征,基于此,提出基于FARIMA流量预测的抽样方法,根据流量预测值动态调整抽样率,既减轻了CPU的负载,又节省了存储空间。通过对比实际使用中的流量抽样测量方法取得的数据报文样本均值和Hurst参数,表明该方法能够正确体现原始数据的流量行为统计特征。

空间高效的数据包公平抽样算法

数据包公平抽样通过牺牲长流的包抽样率以换取更高的短流包抽样率,因而比均匀随机包抽样更能保证数据流之间的公平性.现有的公平抽样算法SGS(sketch guided sampling)存在空间效率低、短流估计误差大的问题.提出了一种空间高效的数据包公平抽样算法SEFS(space-efficient fair sampling).SEFS算法的新颖之处在于采用多解析度抽样统计器对数据流流量作近似估计,各个统计器由d-left哈希表实现.采用在OC-48和OC-192骨干网采集的真实流量数据,在数据流流量测量以及长流检测的应用背景下,对SEFS算法和SGS算法的性能进行了比较.实验结果表明,与SGS算法相比,SEFS算法在空间复杂度降低65%的前提下,仍具有更高的估计精度.特别是对于占网络数据流绝大多数的短流而言,SEFS算法估计精度高的优势更为明显.

泊松采样在基于RMON的网络测量中的研究及实现

网络流量测量和分析是网络行为学研究的基础,文章通过对目前网络测量的技术及采样技术的分析研究,应用基于RMON的网络流量测量和泊松采样的方法,对RMON代理中探测到的网络流量数据进行采样、分析。文章对认识网络流量的一般规律,掌握网络行为的基本特征具有一定的参考价值。

一种网络冗余流量消除算法

针对大量数据片段冗余传输造成网络带宽浪费严重的问题,提出了一种基于动态查找表的冗余流量消除(DYNATABLE)算法。该算法动态统计流量中以不同字节值开头的数据块的冗余率,在保证目标块抽样率的情况下,选取冗余率高的数据块的首字节值为标识,实时更新查找表,根据查找表中的标识从数据包中选出数据块,对已经传输过的冗余数据块进行简单编码,用编码数据替换原冗余数据片段,再对消除冗余流量的数据包进行传输。对比基于最大值选择和基于静态查找表选择等冗余流量消除算法,DYNATABLE算法能跟踪网络数据的动态变化,带来更高的字节节省,平均字节节省率提高到21.8%。

基于广义回归神经网络的船舶交通量预测模型

船舶交通量受多种环境与社会因素的影响,使得船舶交通量预测存在复杂性与非线性的特点。在分析现有预测模型和方法不足的基础上,介绍了广义回归神经网络GRNN的基本原理与拓扑结构。不同类型船舶受各类因素影响的程度不同,根据天津港VTS(Vessel Traffic Services)中心提供的船舶交通量数据,按船舶种类将船舶交通量分为六类,利用GRNN神经网络分别进行预测。预测结果表明GRNN神经网络具有很强的非线性拟合能力,有效解决了天津港船舶交通量预测中的小样本问题,提高了整个预测系统的精度与稳定性。

一种自适应抽样方法在网络管理中的应用研究

在智能网络管理系统中,传统的系统抽样方法无法适应对现代信息网络的实时监测要求。为克服该问题,提出一种模糊自适应抽样方法。以模糊控制原理为基础,通过设定的隶属函数和模糊规则动态调整抽样间隔,在尽可能减小对网络时延和带宽影响的情况下进行异常探测和网络瓶颈检测。实验结果表明,在相同的误差条件下,该方法比系统抽样方法所需样本数少69%,若采用相同的样本数,其抽样误差比系统抽样方法低54%。