• 不 限
  • 期刊论文
  • 硕博论文
  • 会议论文
  • 报 纸
  • 英文论文
  2. 您的位置
  3. 首页
  4. 会议论文
  5. 交互式网络流模型及其在网络异常行为检测中的应用

交互式网络流模型及其在网络异常行为检测中的应用

来源 :2009中国计算机大会 | 被引量 : 0次 | 上传用户:wangzhanglu
【摘 要】
寻找合适的监控数据源对网络异常行为检测至关重要。网络流量作为基本的网络信息载体在近几年得到了充分的研究。针对传统NetFlow网络流模型无法描述网络用户行为交互特征的问题,本文提出了一种交互式网络流模型。该模型根据数据包特征,将前向数据包和后向数据包进行聚合,形成描述网络用户交互行为的特征参量。结合异常行为检测的需要,首先分析了交互式网络流的特点,发现网络中存在大量的不完整网络流。随后分析了不完整
【作 者】
秦涛 管晓宏 李卫 王平辉 
【机 构】
西安交通大学智能网络与网络安全教育部重点实验室、机械制造系统工程国家重点实验室,陕西,西安,710049
【出 处】
2009中国计算机大会
【发表日期】
2009年7期
【关键词】
交互式网络流模型 不完整网络流 异常行为检测 网络流量 
下载到本地 , 更方便阅读
下载此文 赞助VIP
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
寻找合适的监控数据源对网络异常行为检测至关重要。网络流量作为基本的网络信息载体在近几年得到了充分的研究。针对传统NetFlow网络流模型无法描述网络用户行为交互特征的问题,本文提出了一种交互式网络流模型。该模型根据数据包特征,将前向数据包和后向数据包进行聚合,形成描述网络用户交互行为的特征参量。结合异常行为检测的需要,首先分析了交互式网络流的特点,发现网络中存在大量的不完整网络流。随后分析了不完整网络流大小、协议等特征。进一步分析发现这些不完整网络流是由个别网络用户产生的,据此可以断定这些不完整网络流产生者是网络中的异常用户。最后,本文利用可逆Sketch方法对不完整网络流产生者进行准确定位。实验结果表明,本文所提出的方法对于多种类型的网络异常行为具有良好的检测效果,可以准确的定位出网络中不完整网络流的严生者,为网络异常行为的控制奠定了基础。
其他文献
众核结构上LU分解算法负载均衡的研究
随着计算机体系结构的发展,众核体系结构越来越成为科研人员关注的焦点。众核技术的发展要求能够利用片上大规模的并行资源,高效加速应用程序的性能。本文针对科学计算中的经典程序LU分解进行了深入研究。通过仔细分析算法,指出了2D scatter算法的负载不均衡问题。我们实现了基于比特翻转异或的Bit Reverse XOR(BRX)算法,提出了一个负载均衡策略算法DABP。为了评估三种负载均衡算法的效果,
会议
计算机体系结构负载均衡LU分解算法众核结构
基于MTM的嵌入式系统安全启动
本文在分析了可信计算的信任传递机制与MTM安全启动的基础上,提出了一种针对嵌入式系统的安全启动方素,并以U-Boot与嵌入式Linux为原型,通过完整性度量、存储和报告,实现了嵌入式系统的安全启动功能,从而将MTM 引入到嵌入式系统中以增强其安全性。最后,对安全启动的实现进行了测试,验证了安全启动方案的有效性。
会议
嵌入式系统可信平台模块可信计算平台信任传递安全启动
基于时间序列分析的网络内容噪声过滤方法
针对网络舆情分析领域中内容噪声过滤这一关键技术问题,本文分析了网络流量内容噪声问题的特点,提出了一种基于词频时间序列分析的网络内容噪声过滤方法,该方法通过拟合词频时间序列的自回归(AR)模型,采用AR模型参数向量在多维向量空间中描述流量内容时序特性,并使用支持向量机分类方法区分正常内容与噪声内容,可作为网络舆情分析、内容审计等多种网络内容分析技术的数据预处理方法,基于真实数据的实验结果表明,该过滤
会议
网络内容噪声过滤时间序列分析支持向量机网络舆情分析网络流量数据预处理
ROSE:无人值守无线传感器网络中的一种鲁棒安全且高效的数据收集方案
在无人看守无线传感器网络(UWSNS)中,数据保存在节点本地且需要时才被收集,当数据被收集时,被收集数据的私密性需要得到保护来防御信息的泄漏。同时由于传感器网络可能出现节点的物理失效或节点妥协,因而安全机制的设计变得更为困难。本文我们提出一个方案,即使出现拜占庭失效和节点妥协的情况,该方案依然能够保护数据私密性且具有高效率。该方案由两个鲁棒且安全的阶段组成:汇聚头形成和数据汇聚。前者利用Hash链
会议
数据收集无线传感器网络安全数据簇数据保存节点妥协安全机制
一种基于云模型的战术单元移动模型
本文提出了一个针对战术网络的移动模型。该模型能够根据战术意图,结合战场实际环境表现出不同的移动方式。本文给出了基于正态云模型的移动模型生成算法、将确定的上层移动意图与不确定的下层实际移动方式有效结合,使得本文的移动模型能够更为准确地反映战场环境下的节点移动行为。仿真结果表明,本文提出的移动模型能够描述多种复杂的群组协同行为:同时即使移动意图的榆入参数完全相同,每次仿真的运行结果都有所不同,而其大致
会议
移动模型移动Ad Hoc网络云模型战术单元
一种轻量级主动式的无线传感器网络时间同步协议
时间同步技术是无线传感器网络技术中一个具有挑战性的研究领域。无线传感器网络的多样性导致了对时间同步机制需求的多样性,不可能用一种时间同步机制满足所有的应用要求。由于无线传感器网络自身的特点。使得它在同步精度、同步范围以及能量消耗等方面有其特殊的要求。本文提出了一种简单的基于主动方式的轻量级时间同步协议,简称LATS,在确保同步精度满足实际应用的情况下尽量降低能量开销,最后通过试验验证了该协议的性能
会议
无线传感器网络主动方式时间同步协议能量消耗
无线传感器网络中基于排队模型的动态存储方法
对于大型无线传感器网络中要求同时支持大量的周期查询和Ad hoc查询的软实时应用,提出了一种基于排队模型的动态数据存储方法。设计多层次网络数据存储结构,分别采用不同的数据存储方式,并且在各层数据之间建立映射索引。着重考虑了中间层的数据存储和处理,将其设置为查询处理缓冲区,缓冲区内的节点映射了远程节点数据,并使从sink发出的查询和节点产生的数据在缓冲区汇聚,及时得到处理,满足响应时间的约束。基于排
会议
无线传感器网络查询处理排队模型动态存储
多Agent系统涌现性分析:概念、框架和方法
MAS应用的发展使得其中的涌现性问题渐渐显现出来.一个新的研究方向一一面向涌现的MAS研究正在悄然形成.该研究中的一个关键内容就是涌现性分析.作为表征一类特殊现象的范畴,涌现是个十分复杂的概念.这往往让人们将研究建立在不确切的理解之上,甚至使他们望而却步.因而严重阻碍了MAS涌现性研究的有效进行.为此首先在相关工作的基础上,从不同的角度深入探讨了涌现概念,并利用它们来认识MAS的涌现性.然后基于对
会议
多Agent系统分析框架分析方法微-宏观分析数学解析
基于EWMA控制图的网络攻击检测方法研究
本文设计一种新的报警数据统计指标体系,从4个角度:报警次数、报警威胁度、源IP个数和目标IP个数,对32个C网中的Snort报警数据进行统计分析,统计结果显示报警数据在4个指标上均具有明显自相关特征,为此本文提出一种具有下限的变化边界指教加权滑动平均控制图来检测网络攻击。利用两组在真实网络中捕获的报警数据对该方法和两种常规指数加权滑动平均控制图方法进行测试和比较,实验结果表明本文提出的方法具有更好
会议
网络攻击检测指数加权滑动平均控制图统计过程控制入侵检测系统报警数据统计
一种基于数据包大小序列的IRC僵尸网络检测方法
僵尸网络(botnet)已成为黑客产业链的主要基础技术平台之一,黑客社区利用它可控制互联网上规模庞大的僵尸主机群,进行DDoS、信息窃取、垃圾邮件等多种非法活动,干扰了正常的社会秩序并造成了严重的经济损失。僵尸网络常滥用IRC(Internet Relay Chat)协议作为其命令控制(Command and Control,C&C)协议,向僵尸主机传达各种攻击指令,同时接收来自僵尸主机的响应。本
会议
数据包序列僵尸网络检测方法命令控制协议