基于改进LSTM的无线通信网络节点入侵预警方法

针对当前无线通信网络节点攻击入侵告警存在准确性差、告警响应速度慢的问题,引入改进长短期记忆网络（Long Short Term Memory,LSTM）,开展无线通信网络节点攻击入侵告警算法研究。首先,收集无线通信网络数据,提取受损节点特征;其次,利用改进LSTM构建节点攻击入侵检测模型;最后,结合模型输出,对攻击入侵行为告警,并完成告警信息融合。实验结果表明,新的告警算法可以实现对所有无线通信网络节点攻击入侵行为的准确告警,且响应速度显著加快。     

基于物联网平台的动态权重损失函数入侵检测系统

随着物联网（IoT）接入设备越来越多,以及网络管理维护人员缺乏对IoT设备的安全意识,针对IoT环境和设备的攻击逐渐泛滥。为了加强IoT环境下的网络安全性,利用基于IoT平台制作的入侵检测数据集,采用卷积神经网络（CNN）+长短期记忆（LSTM）网络为模型架构,利用CNN提取数据的空间特征,LSTM提取数据的时序特征,并将交叉熵损失函数改进为动态权重交叉熵损失函数,制作出一个针对IoT环境的入侵检测系统（IDS）。经实验设计分析,并使用准确率、精确率、召回率和F1-measure作为评估参数。实验结果表明在CNN-LSTM网络架构下采用了动态权重损失函数的模型与采用传统的交叉熵损失函数的模型相比,前者比后者在使用数据集的地址解析协议（ARP）类样本中在F1-Measure上提升了47个百分点,前者比后者针对数据集中的其他少数类样本则提升了2个百分点~10个百分点。实验结果表明,动态权重损失函数能够增强模型对少数类样本的判别能力,且该方法可以提升IDS对少数类攻击样本的判断能力。     

多层极限学习机在入侵检测中的应用

针对神经网络在入侵检测应用存在的维度高、数据大、获取标记样本难、特征构造难、训练难等问题,提出了一种基于深度多层极限学习机(ML-ELM)的入侵检测方法。首先,采用多层网络结构和深度学习方法抽取检测样本最高层次的抽象特征,用奇异值对入侵检测数据进行特征表达;然后,利用极限学习机(ELM)建立入侵检测数据的分类模型;其次,利用逐层的无监督学习方法解决入侵检测获取标记样本难的问题;最后采用KDD99数据集对该方法的性能进行了验证。实验结果表明:多层极限学习机的方法提高了检测正确率,检测漏报率也低至0.48%,检测速度比其他深度模型的检测方法提高了6倍以上。同时在极少标记样本的情况下仍有85%以上的正确率。通过多层网络结构的构建提高了对U2L、R2L这两类攻击的检测率。该方法集成深度学习和无监督学习的优点,能对高维度,大数据的网络记录用较少的参数得到更好的表达,在入侵检测的检测速度以及特征表达两个方面都具有优势。     

面向网络入侵检测的GAN-SDAE-RF模型研究

针对传统机器学习方法在处理不平衡的海量高维数据时罕见攻击类检测率低的问题,提出了一种基于深度学习的随机森林算法的入侵检测模型,为了避免传统的随机森林面对高维数据和不平衡数据时分类精度低、稳定性差和对罕见攻击类检测率低的问题,引入生成式对抗网络（GAN）和栈式降噪自编码器（SDAE）对随机森林算法（RF）进行改进。将罕见攻击类数据集输入GAN神经网络中,生成新的攻击类样本,改善网络入侵数据在样本集中不均衡分布的情况,通过堆叠深层的SDAE逐层抽取网络数据的分布规则,并结合各个编码层的系数惩罚和重构误差,来确定高维数据中与入侵行为相关的特征,基于降维后的特征数据构建森林决策树。采用UNSW-NB15数据集的实验结果表明,与SVM、KNN、CNN、LSTM、DBN方法相比,GAN-SDAE-RF整体检测准确率平均提高了9.39%、误报率和漏报率平均降低了9%和15.24%以及在少数类Analysis、Shellcode、Backdoor、Worms上检测率分别提高了26.8%、27.98%、27.85%、39.97%。     

基于人工蜂群算法的计算机网络DDoS攻击检测方法

计算机网络在DDoS入侵下容易出现停止服务、网络崩溃,为了提高网络安全性,提出基于人工蜂群算法的计算机网络DDoS攻击检测方法。根据特征样本之间的相关性构建计算机网络DDoS攻击的自适应的入侵检测信息分析模型,根据网络数据流与潜在空间之间的映射关系,结合测试样本和学习样本之间特征差异性进行DDoS攻击数据特征提取,在基站上设置入侵检测数据处理终端,采用人工蜂群算法实现对计算机网络攻击检测的个体最优值和全局最优值寻优,根据人工蜂群的动态寻优和组合优化结果,实现对组合网络流量数据间的攻击信息特征提取和聚类分析,解决计算机网络DDoS攻击检测过程中的连续多变量优化问题。仿真测试结果表明,采用该方法进行计算机网络DDoS攻击检测的寻优能力较好,精度和效率高于传统方法。     

基于改进CGANs的入侵检测方法研究

近年来,机器学习算法在入侵检测系统(IDS)中的应用获得越来越多的关注。然而,传统的机器学习算法更多的依赖于已知样本,因此需要尽可能多的数据样本来对模型进行训练。遗憾地是,随着越来越多未知攻击的出现,且用于训练的攻击样本具有不平衡性,传统的机器学习模型会遇到瓶颈。文章提出一种将改进后的条件生成对抗网络(CGANs)与深度神经网络(DNN)相结合的入侵检测模型(CGANs-DNN),通过解决样本不平衡性问题来提高检测模型对未知攻击类型或只有少数攻击样本类型的检测率。深度神经网络(DNN)具有表征数据潜在特征的能力,而经过改进后的条件CGANs,能够通过学习已知攻击样本潜在数据特征分布,来根据指定类型生成新的攻击样本。此外,与生成对抗网络(GANs)和变分自编码器(VAE)等无监督生成模型相比,CGANsDNN经过改进后加入梯度惩罚项,在训练的稳定性上有了很大地提升。通过NSL-KDD数据集对模型进行评估,与传统算法相比CGANs-DNN不仅在整体准确率、召回率和误报率等方面有更好的性能,而且对未知攻击和只有少数样本的攻击类型具有较高的检测率。     

基于DBN-XGBDT的入侵检测模型研究

在分布均匀的海量数据情况下,现有的入侵检测模型均具备良好的检测性能。但网络中产生的海量入侵数据的分布通常具有不均衡特点,而大多数检测模型针对罕见攻击类型的检测率低。针对上述问题,提出了一种深度信念网络（Deep Belief Networks,DBN）融合极限梯度提升（eXtreme Gradient Boosting,XGBoost）基于决策树算法（Decision Tree,DT）的入侵检测模型（DBN-XGBDT）。该模型将预处理后的数据集输入深度信念网络中,实现对入侵检测数据的降维处理,将得到的特征数据根据攻击类别任两类为一组,通过XGBoost算法逐一构建梯度提升树并细化为二分类;最后运用控制变量法和XGBoost内置的交叉验证进行调参,择优调整模型参数,对未知网络攻击实现有效检测。基于NSL-KDD数据集对DBN-XGBDT模型与XGBoost、DBN-BP、DBN-MSVM等优越模型进行了检测实验。实验结果表明,DBN-XGBDT模型较上述3个单一、混合分类模型的正确率分别提升2.07个百分点、1.14个百分点,对U2R的检测率提升至75.37%,平均误报率降至56.23%,为入侵检测处理不均衡数据且提高对罕见攻击的检测性能提供了新方法。     

基于粗糙集数据挖掘和分类集成学习的网络入侵检测模型

基于多个特征或多个模型的集成（Ensemble）学习技术是智能网络入侵检测的重要研究方向，在现有研究基础上提出基于粗糙集分类、模型分发和攻击归类检测，并加以集成的学习式网络入侵检测模型，该模型不仅能提高网络入侵检测系统检测率，同时还结合了粗糙集能处理不确定信息、生成规则具有高解释性、特征排序在获得检测规则前完成等优点。     

自适应类增量学习的物联网入侵检测系统

传统物联网入侵检测系统难以实时检测新类别攻击,为此,提出一种基于堆叠稀疏自编码器（SSAE）和自组织增量神经网络（SOINN）的物联网入侵检测方法。SSAE对已知类别的攻击样本进行稀疏编码和特征提取,所提取的特征输入SOINN,SOINN形成符合流量特征空间分布的拓扑结构。当出现新类别训练样本的特征时,SOINN自适应地生成新节点以建立新的局部拓扑结构。为了保留SSAE在旧类别样本上的知识,对SOINN已有的拓扑结构施加约束,通过误差反向传递间接约束SSAE权重的变化。针对SOINN在新类别上产生的新局部拓扑结构进行自适应聚合和优化,从而实现新类别样本学习。实验结果表明,该方法能基于新类别数据对模型进行增量训练而无需历史类别数据,在CIC-IDS2017数据集的动态数据流中能有效检测新类别攻击同时缓解旧类别数据中存在的灾难性遗忘问题,在初始已知数据集上的准确率达到98.15%,完成3个阶段的类别增量学习后整体准确率仍能达到57.34%,优于KNN-SVM、mCNN等增量学习方法。     

基于免疫网络的RFID入侵检测模型研究

针对无线射频识别技术（RFID）的加密认证等安全策略在廉价标签上的局限性,采用入侵检测作为RFID系统的新型安全策略,通过分析RFID系统的典型安全攻击,基于人工免疫网络,提出了入侵特征提取方法和入侵分析方法,建立了一个自适应的RFID入侵检测模型。该模型在不需要修改RFID已有技术标准的前提下,与加密认证等已有安全策略互补提升RFID系统的安全防护能力。试验证明该模型具有极低的误检率和漏检率。     

基于改进双重深度Q网络的入侵检测模型

入侵检测技术作为网络安全有效的防御手段,是网络安全体系中的重要组成部分。随着互联网的快速发展,网络数据量快速增加,网络攻击更加趋于复杂化和多元化,目前主流的入侵检测技术无法有效识别各种攻击。针对实际网络环境中正常流量和攻击流量数据不平衡,且对攻击类流量检测率低的问题,基于深度强化学习提出一种基于改进双重深度Q网络的CBL_DDQN网络入侵检测模型。该模型将一维卷积神经网络和双向长短期记忆网络的混合网络模型引入深度强化学习的DDQN框架,并使用深度强化学习中的反馈学习和策略生成机制训练智能体来对不同类别的攻击样本进行分类,在一定程度上减弱了训练模型过程中对数据标签的依赖性。采用Borderline-SMOTE算法降低数据的不平衡度,从而提高稀有攻击的检测率。通过NSL_KDD和UNSW_NB15数据集对模型的性能进行评估,结果表明：该模型在准确率、精确率、召回率这三项指标上均取得了良好的结果,检测效果远优于Adam-BNDNN、KNN、SVM等检测方法,是一种高效的网络入侵检测模型。     

基于双层注意力神经网络的入侵检测方法

基于网络的入侵检测技术作为一种重要的安全防护手段,对及时发现网络攻击行为起着重要的作用。目前,采用特征工程的机器学习算法是检测分析网络入侵的常用方法,但是人工设计的特征往往会丢失有效载荷的重要信息;另外,网络攻击流量中的不同数据包信息在入侵检测中所起的作用是不同的,而现有算法大都对重要信息的捕捉能力不足。针对上述问题,提出了一种新的深度学习模型L2-AMNN,无需复杂的特征工程,直接提取原始网络流量的有效载荷数据作为样本,在双向长短时记忆神经网络基础上,引入双层注意力机制,捕获关键字节信息和数据包信息,生成更加准确的入侵检测特征向量。实验结果表明,与SVM、DNN、LSTM等模型相比,L2-AMNN对网络入侵检测的准确率、检出率平均提升了4.05%和2.48%,同时误报率、漏报率平均降低了4.41%和2.61%,总体检测性能优于其他同类模型。     

基于深度学习和三支决策的DDoS攻击检测算法

针对软件定义网络(Software Defined Ntwork,SDN)中的分布式拒绝服务(Distribute Denial of Service,DDoS)攻击检测的方法少、现存方法入侵检测率低的问题,提出了一种基于深度学习和三支决策的入侵检测算法.首先使用深度信念网络对SDN的流表项进行特征提取,然后利用基于三支决策理论的入侵检测模型进行DDoS攻击的入侵检测,对于正域和负域的数据直接进行分类,对于边界域中的数据使用K近邻算法重新进行分类.仿真实验结果表明,与其他入侵检测模型相比,所提算法的入侵检测效率更高.     

A network intrusion detection system based on a Hidden Naïve Bayes multiclass classifier

With increasing Internet connectivity and traffic volume, recent intrusion incidents have reemphasized the importance of network intrusion detection systems for combating increasingly sophisticated network attacks. Techniques such as pattern recognition and the data mining of network events are often used by intrusion detection systems to classify the network events as either normal events or attack events. Our research study claims that the Hidden Naïve Bayes (HNB) model can be applied to intrusion detection problems that suffer from dimensionality, highly correlated features and high network data stream volumes. HNB is a data mining model that relaxes the Naïve Bayes method’s conditional independence assumption. Our experimental results show that the HNB model exhibits a superior overall performance in terms of accuracy, error rate and misclassification cost compared with the traditional Naïve Bayes model, leading extended Naïve Bayes models and the Knowledge Discovery and Data Mining (KDD) Cup 1999 winner. Our model performed better than other leading state-of-the art models, such as SVM, in predictive accuracy. The results also indicate that our model significantly improves the accuracy of detecting denial-of-services (DoS) attacks.     

面向软件定义网络架构的入侵检测模型设计与实现

针对传统入侵检测方法无法检测软件定义网络（SDN）架构的特有攻击行为的问题,设计一种基于卷积神经网络（CNN）的入侵检测模型。首先,基于SDN流表项设计了特征提取方法,通过采集SDN特有攻击样本形成攻击流表数据集;然后,采用CNN进行训练和检测,并针对SDN攻击样本量较小而导致的识别率低的问题,设计了一种基于概率的加强训练方法。实验结果表明,所提的入侵检测模型可以有效检测面向SDN架构的特有攻击,具有较高的准确率,所提的基于概率的加强学习方法能有效提升小概率攻击的识别率。     

基于粗糙集的网络入侵检测模型研究

本文提出了一种基于粗糙集(Rough Set)理论的网络入侵检测模型,通过运用粗糙集理论结合遗传算法对网络连接数据提取检测规则集。仿真结果表明,该方法对各类已知和未知攻击尤其是DoS和Probe攻击具有较高的检测率和较低的误报率,因此本文提出的基于粗糙集理论的入侵检测模型在应用于复杂网络数据分析和网络攻击检测方面是高效的。     

基于随机森林的网络入侵检测方法

为了提高网络安全水平,及时对网络攻击进行主动检测,提出了一种基于随机森林的网络入侵检测模型。该模型能够对大流量攻击进行分布式检测,且检测算法在引入了两个随机性后,即可降低网络流量内不同属性特征字段的噪声,并消除关联性,以便更为便捷、迅速地对攻击进行主动检测。将经典的Adaboost组合多分类器方法与提出的算法在检测率、正确率、精确率三个方面进行对比,体现了该算法的优越性,为大数据时代下网络安全提供了更好的保护。