关键字 |
| 能量有效的算法;马奈;总传输能量;最大跳数;网络生命周期 |
介绍 |
| 基于互联网的爆炸式增长业务服务诱导需要很多在网络安全领域的研究。除了各种安全攻击、拒绝服务DoS是一个潜在的有害的攻击,这几秒内降低目标服务器的性能通过实施密集计算体内充斥着大量的无用的数据包。这将导致工作的关键业务服务运行在目标受害者。应对这样的DoS攻击导致的各种研究已经进行了各种安全系统和协议的实现。这些系统包括基于签名的,基于异常和其他各种网络入侵系统。该系统具有的主要缺点是检测的准确性。 |
| 这个领域的另一个方法是多元相关分析,提取几何特性已知的正常配置文件并将它们作为参考进行进一步检测未知的概要文件的映射参考资料。这种方法已经批准,可用于DoS检测。但这种方法仅是不足以达到最大精度,为这一领域的研究是至关重要的一部分。该建议的体系结构来处理这个问题,实施基于行为的攻击检测集成与现有的基于多元相关分析(MCA)攻击检测系统。 |
| 基于行为的系统提取的所有行为,包括组模式属性包括源IP、源端口,校验和、窗口大小、载荷长度等。这样的行为系统维护数据库存储结构。使用这些行为之后MCA检测来提高系统的准确性。 |
相关工作 |
| 有效地检测不同种类的DoS攻击,各种技术已经进化。这些技术已经显示一些约束,如适用于特定的网络流量。志远,一边抚摸Jamdagni, Xiangjian他Priyadarsi Nanda1,任平刘提出技术运行分析原始特征空间(一阶统计),并提取了一阶多变量之间的相关性统计[1]。提取的多变量相关性,即二阶统计数据,保存准确的网络流量特征的显著区别的信息记录,这些多元相关性可以高质量的DoS攻击的潜在特性检测。提出技术的有效性评估使用KDD CUP 99数据集和实验分析显示了令人鼓舞的结果。 |
| 书院金丹尼尔·s·杨提出技术,探讨了影响DDoS的多元相关分析检测,提出了协方差分析模型检测SYN洪水攻击[2]。仿真结果表明,该方法是高度准确检测恶意网络流量在不同强度的DDoS攻击。这种方法能有效区分正常和攻击流量。事实上,这种方法可以检测甚至非常微妙的攻击仅略不同于正常的行为。方法的线性复杂度使其实时检测实用。 |
| Mihui金,不过Na、Kijoon崔Hyochan爆炸,Jungchan Na提出了数据挖掘技术,提出了一种结合方法建模正常的交通模式和多样的攻击[3]。这种方法使用的自动特征选择选择重要属性的机制。理论上的分类器构建通过神经网络选择属性。然后,我们的实验结果表明,我们的方法可以提供最佳的性能在实际网络,通过启发式特征选择与其他任何单一的数据挖掘方法。 |
| Aikaterini Mitrokotsa克里斯托Douligeris提出一种技术,提出了一种检测拒绝服务攻击的方法使用紧急自组织映射[4]。基于分类的方法是“通常”的交通环境只是与“不正常”交通的拒绝服务攻击。允许自动分类的方法中包含的事件日志和可视化的网络流量。大量的仿真结果表明了该方法的有效性与以往相比,提出的方法对于假警报和检测概率。 |
| 海宁王Danlu张炕g . Shin提出了一个技术提出了一种简单而强大的机制,称为变点监测(CPM),检测拒绝服务(DoS)攻击[5]。CPM的核心是基于固有的网络协议的行为,并且是连续变化点检测的实例。使检测机制对网站和交通模式,非参数累积和(CUSUM)方法,从而使健壮的检测机制,更普遍的适用及其部署更容易。CPM不需要个流状态信息和只介绍几个变量来记录协议的行为。CPM的无状态性和较低的计算开销让它免疫任何洪水攻击。作为一个案例研究中,CPM的疗效评估通过检测SYN洪水攻击。最常见的DoS攻击。评价结果表明,CPM检测延迟时间短,检测精度高。 |
算法 |
 |
提出工作 |
| 拟议的工作包括实现创新的入侵检测系统拒绝服务攻击检测最大精度使用多元相关分析与基于行为的系统集成。这种方法监控网络流量和提取功能。这些特性与引用映射来自KDD Cup 99正常功能。提取的正常功能是进一步应用于三角区域地图生成计算几何领域的正常功能。随着三角地图领域,另一个模型被称为基于行为模型提取的正常行为模式的概要文件并将它们存储到数据库中。这个阶段是训练阶段,主要包括计算和存储几何TAM(三角区域地图)以及正常的行为模式。这些实体进一步用来分类任何未知的概要文件和高精度测试阶段。 |
建议的体系结构 |
| 该建议的体系结构由三个步骤。在步骤1中,基本特征从入口生成网络流量保护的内部网络服务器驻留在和用于形成交通记录一个良好定义的时间间隔。监控和分析在目的地网络检测恶意活动的开销减少集中只在相关的入站流量。这也使得我们的探测器提供的保护是最适合目标探测器使用的内部网络,因为合法的交通资料较少的网络服务的开发。 |
| 第2步是多元相关分析,“三角形区域地图生成”技术应用于提取两个截然不同的特性之间的相关性在每个交通记录来自第一步或者交通记录规范化的“功能正常化”模块在这个步骤(步骤2)。网络入侵导致这些变化的发生这样的变化可以作为指标的相关性识别侵入活动。所有提取的相关性,即三角形区域存储在三角形区域地图(tam),然后使用替换原来的基本特征或规范化的特性来表示交通记录。这提供了更高的区别的信息来区分合法和非法的交通记录。 |
| 在步骤3中,采用基于行为的检测机制的决策。行为模型提取重要的正常行为概要文件并存储在数据库正常行为。这些正常行为概要文件然后用测试映射配置文件。这一技术进一步提高攻击检测的准确性。 |
仿真结果 |
| 模拟研究涉及发现多变量在不同特性之间的数据包以及计算皮尔逊相关各种特性。仿真结果计算的R和使用标准数据集KDD Cup99。下面所示的功能块与已知的正常的标准数据集相关联。 |
| 图2显示了多变量之间的情节IP负载和源端口的长度。图3显示了多变量图源端口和窗口大小之间的关系。图4显示了multivarince情节之间的IP负载和TCP报头长度的长度。图5显示了IP负载之间的皮尔逊相关长度,源端口,目的端口,TCP报头和TCP窗口大小。皮尔森相关矩阵进一步用于计算TAM概要文件。 |
结论和未来的工作 |
| 攻击检测的多元相关分析是有效的,因为它计算几何三角地区?从不同特征之间的相关性。这种方法关注所有可能的组合的相关性,因此证明为有效的措施不仅在网络安全,而且图像处理和机器学习。但攻击检测的概率总是低尽管任何创新的系统,因为攻击者总是改变的攻击方式。应对这种改变,基于行为模型提出了工作是最适合的。它会攻击的主要症状监测的行为。这包括所有的各种特性的攻击模式配置文件。这个系统与其他系统需要多学习网络资料在培训阶段,但可能会给足够的观察后最大的精确度。未来的工作在这种情况下包括采矿行为模式,这样不需要存储所有数据库中的模式只有分类数据需要存储。这将提高检测的速度和最大限度地减少数据库的大小。 |
数据乍一看 |
|
|
引用 |
- 志远Tan ArunaJamdagni、XiangjianHe Priyadarsi南达,任平Liu„系统基于多元CorrelationAnalysis拒绝服务攻击检测?、IEEE并行和分布式系统、25卷,2号,2014年2月
- ShuyuanJin,丹尼尔s Yeung„DDoS攻击检测的协方差分析模型?。IEEE通信社会0 - 7803 - 8533 - 0/04 / $ 20.00 (c) 2004 IEEEHong香港研究资助数量B-Q571 RGC项目
- Mihui金,不过Na、KijoonChae Hyochan爆炸和Jungchan Na,„DDoS攻击检测相结合的数据挖掘方法吗?。LNCS3090 ICOIN 2004年,第950 - 943页,2004年斯普林格出版社柏林海德堡2004年版
- AikateriniMitrokotsa,克里斯托Douligeris„检测拒绝服务攻击使用紧急自组织映射?。2005年IEEE国际研讨会onSignal处理和信息技术
- 志远Tan1;一边抚摸Jamdagni1;Xiangjian He1, Priyadarsi Nanda1,任平Liu„多元相关分析技术基于欧几里得DistanceMap网络Trac特征?。
- Lata1、InduKashyap„研究和分析基于网络的入侵检测系统吗?,International Journal of Advanced Research in Computer andCommunication Engineering Vol. 2, Issue 5, May 2013
- 会让库马尔,爱德华多·b·费尔南德斯?入侵检测系统的安全模式?,1st LACCEI International Symposium on Software Architecture andPatterns (LACCEI-ISAP-MiniPLoP?2012), July 23-27, 2012, Panama City, Panama
- Punit古普塔„IaaS云以行为为基础的id吗?软件和网络科学国际期刊(IJSWS)
|
菜单
