创新点
1、使用流行为(IP、端口、协议五元组)作为判别依据
理由a.流行为不需要去直接解析数据包。b.流行为会依据用户认证方法不同而有区别。
2、为流行为考虑参考点(参考点就是服务端和客户端起始报文)
使用参考点判断SSH是否成功,加密结束报文比加密起始报文长度少16即成功。
1、基于Netflow数据聚合以后的特征(有表,17个统计特征/flag字段),不采用单个流特征。
2、使用多个机器学习方法,但没有做模型融合。采用AUC和AUC std度量模型分类效果。
1、采用流特征主要原因:a.便于刻画子协议转移点特征,b.不需要检测负载就可以获得。
2、数据均衡问题在构造数据的时候还是要注意。这种论文如果数据不均衡的话,不太行啊。
1、流量可以分为突然攻击和持续攻击,对流量序列进行分析,包括采用傅里叶变换、信息熵等方式。
2、攻击者会采用随机扰动的策略去避免被发现,比如随机延迟。
1、IPFIX(IP Flow Information Export)标准规定:
a.最后一个包之后30秒还没有收到数据,这个流记录就停止。
b.一个流持续30分钟,流记录就应该被终止。
1、实验数据构造,尝试各个系统,包括桌面客户端:Windows7,Windows XP,Ubuntu 12.40,
移动客户端:Android 2.3,IOS。
1、时序:RNN,BiLSTM,输入:截取|Padding 数据流前1024B数据,字节形式。
2、空间:CNN,DenseNet,输入:截取|Padding 数据流前1024B数据-->32*32灰度图。
1、DDos攻击,阈值选择:分析检测时刻前一段时间内的网络流量大小和报文重复数,根据切比雪夫不等式,两倍方差作为检测特征阈值。
2、典型的网络流量特征
包级特征:
源/目的IP地址
源/目的端口号
相邻数据包到达时间间隔
在连接中的相对开始时间
IP头部协议字段值
IP头部长度
数据包长度
生存时间
TCP头部长度
流级特征:
流中总字节数
从源到目的的数据包数量
从源到目的的字节数
目的到源的数据包数量
从目的到源的字节数
连接的相对开始时间
连接的时长
从源到目的的比特数
从目的到源的比特数