邵国林
- 作品数:19 被引量:158H指数:5
- 供职机构:四川大学更多>>
- 发文基金:国家自然科学基金中央高校基本科研业务费专项资金四川省科技支撑计划更多>>
- 相关领域:自动化与计算机技术自然科学总论一般工业技术电子电信更多>>
- 一种时间相关性的异常流量检测模型被引量:1
- 2017年
- 针对服务器行为具有时间动态相关性的特性,提出了基于分布率、聚类偏差和密集度相结合的聚类方法,构建了一种时间相关性的服务器异常流量检测模型。通过对校园网服务器流量长期观测和研究发现,服务器流量特征与时间具有动态相关性,基于此抽取了服务器当前时刻的流量特征,并结合了与当前时刻动态相关的时间特征,提出了基于分布率、聚类偏差和密集度相结合的聚类算法构建异常检测模型以发现服务器异常流量。实验表明,该模型能根据文中抽取的网络流量统计特征有效地发现服务器异常流量,且对于真实环境的应用同样能有效地检查异常,同时模型应用时间越长,算法的自适应越强。
- 庄政茂陈兴蜀邵国林叶晓鸣
- 关键词:网络流量异常检测
- 基于群聊文本的分类研究被引量:1
- 2019年
- 面对海量群聊天,如何快速对群体类别进行分类,以帮助公安精准地找出利用网络社交平台进行违法犯罪的群体,具有重要的研究意义。然而由于群聊的聊天内容具有非正规、不完整等特点,因此在分类应用上具有一定的挑战性。从群聊的文本特性出发,通过TF-IDF技术将词向量进行赋权转化,利用梯度降维的方法对词向量进行降维处理,利用机器学习算法对词向量进行文本分类等步骤,搭建面向群聊的分类模型,降低群聊在分类应用上的难点。通过实验对分类模型的效果进行验证,实验结果表明该方法可以有效地检测出违法犯罪的社交群体。
- 周园林邵国林
- 关键词:文本分类
- 基于会话流聚合的隐蔽性通信行为检测方法被引量:12
- 2019年
- 采用隐蔽技术对抗安全检测并实现长期潜伏与信息窃取的网络攻击已成为当前网络的重大安全问题。目前该领域面临3个难题:1)攻击本身的强隐蔽性使其难以检测;2)高速网络环境中的海量通信数据使检测模型难以细粒度构建;3)隐蔽通信的持续性和复杂性使标签数据缺乏进而加大了模型的构建难度。针对上述3个问题,该文在对长时间的校园网流量进行大数据统计分析的基础上,对基于隐蔽会话的隐蔽性通信行为进行了描述和研究,提出了一种隐蔽性通信行为检测方法。该方法首先通过并行化会话流聚合算法聚合原始会话流,然后从集中趋势和离散程度的角度刻画隐蔽通信行为,并引入标签传播算法扩展标签数据,最后构建多分类检测模型。通过仿真和真实网络环境下的实验,验证了方法对隐蔽性通信行为的检测效果。
- 陈兴蜀陈敬涵邵国林曾雪梅
- 关键词:网络行为
- 一种适用于深度学习的通信数据编码方法
- 本发明公开一种适用于深度学习的通信数据编码方法,对流级通信数据进行预处理,聚合成IP通信对,再对IP通信对内的Flow记录进行排序,并抽取出需要编码的字段及对应的属性值序列;基于金字塔池化方法对各属性值序列进行编码,拼接...
- 陈兴蜀邵国林曾雪梅王丽娜何涛韩珍辉文奕
- 文献传递
- 基于图演化事件的主机群异常检测模型被引量:1
- 2018年
- 针对网络环境中出现的以服务为聚合的通信行为和以分布式攻击为典型的新型协同攻击模式,提出了基于图演化事件的主机群异常检测模型。分析了行为主体潜在的社会化关系、聚集成簇的主机群及其群体行为的动态特性,该模型具有无参数、数据量级可扩展的特点。定义并提出了图动态演化事件及检测算法,实现异常主机群检测。本模型在Spark上实现和部署,还从实际计算机和网络环境提取数据进行分析和验证。实验结果表明,该模型能够有效刻画群体行为,揭露重要的图演化事件,准确定位异常发生的主机群,其群成员主机的检测率达到95. 09%。
- 叶晓鸣陈兴蜀杨力王文贤朱毅邵国林梁刚
- 关键词:异常检测
- 一种结合会话行为和通信关系的隐蔽通信检测方法
- 本发明公开了一种结合会话行为和通信关系的隐蔽通信检测方法,包括以下步骤:步骤1:会话流还原;将采集到的数据包还原成会话流并存储于Hadoop分布式文件系统;步骤2:面向会话行为隐蔽性的隐蔽通信初步判定;步骤3:再面向通信...
- 陈兴蜀陈敬涵邵国林曾雪梅
- 文献传递
- 基于模糊综合评价模型的DNS健康度评估被引量:2
- 2018年
- DNS作为互联网的中枢神经系统,是几乎所有互联网应用中的关键节点,但由于其本身协议设计的脆弱性,DNS系统的安全性正面临着严峻的考验。对DNS流量进行检测与评估可以为网络安全提供保障和支持,现阶段国内外研究人员对DNS的评估大多是通过主动探测或针对特定网络攻击活动的检测来实现,但此类方法存在影响测评系统以及考虑不完全的情况。文章基于模糊综合评价法对DNS流量数据进行分析,针对服务器工作状态、用户使用情况以及非常规使用状态这3类情况提出了多项影响因素,描述并分析了DNS的活动情况,达到了在不影响DNS工作环境基础上对DNS活动进行检测和评估。目前该方法已应用于校园DNS服务器的流量监测中,实际的检测结果表明,该模型可以有效地检测用户错误配置、类DDo S攻击以及用户大规模变化等多种异常状况。
- 朱毅陈兴蜀陈敬涵邵国林
- 关键词:网络流量检测
- 基于多维时间序列分析的网络异常检测被引量:28
- 2017年
- 针对实际网络异常检测要求高检测率、低误报率的问题,提出了一种基于多维时间序列的检测方法。首先,通过对实际网络流量进行长期观测,提取多维特征对网络流量进行描述;然后,利用时间序列分析方法对多维特征进行预测,计算预测值与真实值的时间序列偏离度,并且实时更新偏离度,适应多变的网络环境;最后,利用支持向量机(SVM)算法对偏离度向量进行分类判别,判断是否发生异常。目前该方法已应用于校园网关键服务器的实时监测与防护工作中,实际服务器流量的预测、告警结果表明,该方法可以有效检测网络中的异常流量。
- 陈兴蜀江天宇曾雪梅尹学渊邵国林
- 关键词:异常检测时间序列网络流量网络安全
- 基于流量结构稳定性的服务器网络行为描述:建模与系统被引量:5
- 2017年
- 针对现有基于异常特征库匹配的流量检测方法难以适应日趋复杂的网络环境需要的问题,对服务器网络流量进行了大量观测和研究,综合正常流量在某些属性上的固有稳定性及特定服务在流量层面表现出的稳定性,提取相应的流量特征,同时提出了流量结构稳定性的概念,并基于此对服务器的正常网络行为轮廓进行刻画,依据当前流量结构偏离正常轮廓的程度对服务器网络异常行为进行检测。针对流量结构差异性的定量刻画问题,提出了一种基于Spie Chart的可视化度量方法,并基于一台邮件服务器流量实现了系统,通过实验验证了系统对常见网络攻击及未知网络异常的检测效果。
- 邵国林陈兴蜀尹学渊叶晓鸣
- 关键词:网络异常检测
- 一种基于模糊综合评价模型的DNS健康度评估方法
- 本发明公开了一种基于模糊综合评价模型的DNS健康度评估方法,包括以下步骤:步骤1:通过交换机镜像的方式,获得服务器原始流量,采集DNS应答包中所有数据;步骤2:通过DNS流量按时间窗口进行统计分析,构成历史数据,提取DN...
- 陈兴蜀朱毅陈敬涵邵国林曾雪梅
- 文献传递
