针对时间序列多步预测的聚类隐马尔科夫模型

时间序列的预测在现今社会各个领域中有着广泛的应用.本文针对时间序列趋势预测中的多步预测问题,提出了基于聚类的隐马尔科夫模型,利用隐马尔科夫模型中的隐状态来表示产生时间序列数据时的系统内部状态,实现对多步时间序列的预测.针对时间序列聚类中的距离计算问题,提出结合时间序列时间性和相似性的聚类算法,并给出了迭代精化基于聚类的隐马尔科夫模型的方法.实验表明,本文提出的方法在时间序列多步预测中精度较高.     

隐马尔可夫模型应用于入侵检测系统的研究

现在入侵检测系统面临着巨大挑战，越来越复杂的计算机网络系统，越来越高明的入侵手段要求入侵检测技术不断快速向前发展。对于入侵检测的实现手段也要多样化。 本文提出了一种基于隐马尔可夫模型的异常检测新方法——隐马尔可夫状态时延序列嵌入法（HMMTide）。这种方法的主要思想是用HMM模型的隐含状态序列的局部模型，即隐马尔可夫状态短序列，实现对正常行为的特征的刻画。通过对被测行为产生的隐马尔科夫状态序列局部模式与已建立的正常模型进行比较实现异常检测。该方法具有从不完整的数据中进行异常分析的能力，减少了对系统资源的需求。对HMMTjde方法进行了仿真实验，实验结果表明采用HMM方法后，虚警率大大降低了，而且在构建正常行为特征库时，对数据完整性的要求也大大降低了。     

一种基于审计的入侵检测模型及其实现机制

文中对基于系统调用序列的入侵检测进行了深入的研究,提出了一种新的基于审计事件向量的入侵检测模型(AUDIDS).这一模型除了具有系统调用序列入侵检测模型的优点外,比之已有的模型具有更丰富的语义及更高的效率.针对此模型,文中还给出了此模型在linux上的实现机制,实现了审计事件的定义、收集和存储,并对正常库的存储及匹配方法进行了改进.     

基于隐马尔可夫模型的用户行为异常检测新方法

提出一种基于隐马尔可夫模型的用户行为异常检测方法,主要用于以shell命令为审计数据的主机型入侵检测系统。与Lane T提出的检测方法相比,所提出的方法改进了对用户行为模式和行为轮廓的表示方式,在HMM的训练中采用了运算量较小的序列匹配方法,并基于状态序列出现概率对被监测用户的行为进行判决。实验表明,此方法具有很高的检测准确度和较强的可操作性。     

隐马尔科夫模型检测LDoS攻击方法的研究

针对低速率拒绝服务LDoS （Low-Rate Denial of Service）攻击具有平均速率低、隐蔽性强的特点,提出了一种基于隐马尔科夫模型的LDoS攻击检测方法。首先对网络状态建立隐马尔科夫模型,将归一化累计功率谱密度NCPSD（Normalized Cumulative Power Spectrum Density）方法的检测结果作为隐马尔科夫模型的观测值。利用前向算法得到不同观测值序列在该模型下的相似度作为检测依据。在NS 2中对本检测方法进行测试,实验结果表明本方法能够有效的检测LDoS攻击,与其他方法相比也具有更好的检测性能。通过假设检验得出检测率为99.96%。      

利用SVM的聚类算法在时间序列信号识别中的应用

研究了一维时间序列信号识别的问题.针对基于混合高斯模型的隐马尔科夫(HMM)编码准确率低的问题,提出了一种利用多个支持向量机构造混合支持向量机,从而为隐马尔科夫模型提供更精确的观测值编码和发生矩阵,能有效的提高HMM在语音信号识别或者文字识别中的准确率.本方法可以应用到语音识别,文字识别以及生物信息处理等领域.     

基于数据挖掘和变长序列模式匹配的程序行为异常检测

异常检测是目前入侵检测领域研究的热点内容.提出一种基于数据挖掘和变长序列模式匹配的程序行为异常检测方法,主要用于Unix或Linux平台上以系统调用为审计数据的主机型入侵检测系统.该方法利用数据挖掘技术中的序列模式对特权程序的正常行为进行建模,根据系统调用序列的支持度在训练数据中提取正常模式,并建立多种模式库来表示一个特权程序的行为轮廓.在检测阶段,考虑到审计数据和特权程序的特点,采用了变长序列模式匹配算法对程序历史行为和当前行为进行比较,并提供了两种判决方案,能够联合使用多个窗长度和判决门限对程序行为进行判决,提高了检测的准确率和灵活性.文中提出的方法已应用于实际入侵检测系统,并表现出良好的检测性能.     

基于动态马尔科夫模型的入侵检测技术研究

本文提出了基于动态马尔科夫模型的入侵检测方法.首先提取特权进程的行为特征,并在此基础上动态构造Markov模型.由动态Markov模型产生的状态序列计算状态概率,根据状态序列概率来评价进程行为的异常情况.利用Markov模型的动态构造充分提取特权进程的局部行为特征的相互关系,因此可以在训练数据集有限的条件下使模型更精确、检测能力大大加强.实验表明该算法准确率高、实时性强、占用系统资源少.本文所提方法算法简单、预测准确,适合于进行实时检测.     

基于HMM模型语音识别系统中声学模型的建立

语音识别是近些年来一项高速发展的技术.让计算机识别人的语音,甚至让人和计算机进行交流是所有从事模式识别专业人的梦寐以求的理想.本文主要介绍了应用于模式识别系统中的隐马尔科夫模型的基础理论,以及在隐马尔科夫模型理论的基础上建立了一种语音识别系统.详细探讨了这种模型系统中声学模型的建立过程,最后提出了这种基于HMM模型的语音识别系统的优点和改进展望.     

WSNs中基于节点能耗特征的入侵检测模型研究

为了解决无线传感器网络中的拒绝服务攻击问题,利用传感器节点能耗特征,提出了基于能耗特征的无线传感器网络入侵检测模型.采用能耗检测的方式,利用马尔科夫模型为节点建立能耗预测模型,并且对节点能耗变化进行相关性检测,综合判断节点行为是否存在异常.仿真结果表明,该模型对节点的入侵行为具有较好的检测效果.     

一种新的基于Markov链模型的用户行为异常检测方法

提出一种新的基于Markov链模型的用户行为异常检测方法。该方法利用一阶齐次Markov链对网络系统中合法用户的正常行为进行建模,将Markov链的状态同用户执行的shell命令序列联系在一起,并引入一个附加状态;在检测阶段,基于状态序列的出现概率对用户当前行为的异常程度进行分析,并根据Markov链状态的实际含义和用户行为的特点, 采用了较为特殊的判决准则。与Lane T提出的基于隐Markov模型的检测方法相比,该方法的计算复杂度较低,更适用于在线检测。而同基于实例学习的检测方法相比,该方法则在检测准确率方面具有较大优势。文中提出的方法已在实际入侵检测系统中得到应用,并表现出良好的检测性能。     

Anomaly detection of user behavior based on DTMC with states of variable-length sequences

In anomaly detection,a challenge is how to model a user’s dynamic behavior.Many previous works represent the user behavior based on fixed-length models.To overcome their shortcoming,we propose a novel method based on discrete-time Markov chains(DTMC) with states of variable-length sequences.The method firstly generates multiple shell command streams of different lengths and combines them into the library of general sequences.Then the states are defined according to variable-length behavioral patterns of a valid user,which improves the precision and adaptability of user profiling.Subsequently the transition probability matrix is created.In order to reduce computational complexity,the classification values are determined only by the transition probabilities,then smoothed with sliding windows,and finally used to discriminate between normal and abnormal behavior.Two empirical evaluations on datasets from Purdue University and AT&T Shannon Lab show that the proposed method can achieve higher detection accuracy and require less memory than the other traditional methods.     

Incorporating soft computing techniques into a probabilistic intrusion detection system

There are a lot of industrial applications that can be solved competitively by hard computing, while still requiring the tolerance for imprecision and uncertainty that can be exploited by soft computing. This paper presents a novel intrusion detection system (IDS) that models normal behaviors with hidden Markov models (HMM) and attempts to detect intrusions by noting significant deviations from the models. Among several soft computing techniques neural network and fuzzy logic are incorporated into the system to achieve robustness and flexibility. The self-organizing map (SOM) determines the optimal measures of audit data and reduces them into appropriate size for efficient modeling by HMM. Based on several models with different measures, fuzzy logic makes the final decision of whether current behavior is abnormal or not. Experimental results with some real audit data show that the proposed fusion produces a viable intrusion detection system. Fuzzy rules that utilize the models based on the measures of system call, file access, and the combination of them produce more reliable performance.     

基于系统调用子集的入侵检测

入侵检测技术是入侵检测系统(IDS)的重要内容.根据系统调用的作用效果对系统调用进行划分,在此基础上提出基于系统调用的一个子集(W子集)的入侵检测技术.实验表明,与基于系统调用全集的方法相比,基于W子集的入侵检测技术具有较低的误报率,且所需存储空间代价和计算代价都较小,因而更加适合于实时入侵检测.     

采用HDPHMM符号化器的语音查询样例检测方法

提出一种基于层级狄利克雷过程隐马尔科夫模型（HDPHMM）符号化器的无监督语音查询样例检测（QbE-STD）方法。该方法首先应用一个双状态层隐马尔科夫模型,其中顶层状态用于表示所发现的声学单元,底层状态用于建模顶层状态的发射概率,通过对顶层状态假设一个层级狄利克雷过程先验,获得非参贝叶斯模型HDPHMM。使用无标注语音数据对该模型进行训练,然后对测试语音和查询样例输出后验概率特征矢量,使用非负矩阵分解算法对后验概率进行优化得到新的特征,然后在此基础上,应用修正分段动态时间规整算法进行检索,构成QbE-STD系统。实验结果表明,相比于基于高斯混合模型符号化器的基线系统,本文所提出的方法性能更优,检索精度得到显著提升。      

基于HMM的系统调用异常检测

我们利用隐马尔可夫模型来描述特权进程正常运行时局部系统调用之间存在的规律性.具体方法是将UNIX特权程序的系统调用轨迹通过隐马尔可夫模型处理得到系统状态转移序列,再经滑窗后得到系统状态转移短序列.初步的实验证明这样得到的系统状态转移短序列比TIDE方法提出的系统调用短序列能更加简洁和稳定地表示系统的正常状态,采用这种状态短序列建立的正常轮廓库比较小,而且对训练数据的不完整性不太敏感.在同等的训练数据下,检测时本方法比TIDE方法的检测速度快,虚警率低.     

一种基于隐马尔可夫模型的IDS异常检测新方法

提出一种新的基于隐马尔可夫模型的异常检测方法,主要用于以shell命令或系统调用为原始数据的IDS。此方法对用户(或程序)行为建立特殊的隐马尔可夫模型,根据行为模式所对应的序列长度对其进行分类,将行为模式类型同隐马尔可夫模型的状态联系在一起,并引入一个附加状态。由于模型中各状态对应的观测值集合互不相交,模型训练中采用了运算量较小的的序列匹配方法,与传统的Baum-Welch算法相比,大大减小了训练时间。根据模型中状态的实际含义,采用了基于状态序列出现概率的判决准则。利用UNIX平台上用户shell命令数据进行的实验表明,此方法具有很高的检测准确性,其可操作性也优于同类方法。     

基于系统调用的入侵检测传感器研究与实现

Linux操作系统调用信息对于描述主机系统的安全状态有重要的作用，分析了Linux操作系统调用信息在入侵检测中的应用；阐述了入侵检测系统Host Keeper中系统调用传感器的原形框架、软件设计和实现方法；并给出了利用Linux操作系统调用信息进行入侵检测的研究。