基于模糊粗糙集属性约简与GMM-LDA最优聚类簇特征学习的自适应网络入侵检测

网络入侵方式已日趋多样化,其隐蔽性强且变异性快,开发灵活度高、适应性强的实时网络安全监测系统面临严峻挑战.对此,提出一种基于模糊粗糙集属性约简(FRS-AR)和GMM-LDA最优聚类簇特征学习(GMM-LDA-OCFL)的自适应网络入侵检测(ANID)方法.首先,引入一种基于模糊粗糙集(FRS)信息增益率的属性约简(AR)方法以实现网络连接数据最优属性集选择;然后,提出一种基于GMM-LDA的最优聚类簇特征学习方法,以获得正常模式特征库和入侵模式库的最优特征表示,同时引入模式库自适应更新机制,使入侵检测模型能够适应网络环境动态变化.KDD99数据集和基于Nidsbench的网络虚拟仿真实验平台的入侵检测结果表明,所提出的ANID方法能有效适应网络环境动态变化,可实时检测出真实网络连接数据中的各种入侵行为,其性能优于当前常用的入侵检测方法,应用前景广阔.     

IDS规则库构建与合并算法

提出一种适合于入侵检测系统IDS(intrusion detection system)的频繁模式算法,该算法基于关联规则算法和序列模式算法,把属性间的关联与记录间的串行序列模式有效地结合到一条规则中.通过改进关联规则算法能避免产生大量无用的频繁模式.利用频繁模式算法(Frequent Pattern Algorithm)提取规则,构建规则库.并且对规则库进行不断地扩充与合并,能更有效地检测入侵.     

基于统计语言模型的低耗时入侵检测方法

针对基于系统调用序列的入侵检测方法在实际应用中成本偏高的问题,在STIDE方法的基础上提出一种低耗时的入侵检测算法。利用N元语义模型分析系统调用序列规律,计算系统调用的贡献度,抽取最能体现用户正常行为的系统调用,建立正常模式库实现异常检测。实验结果证明,该算法在保证检测率不下降的同时,训练和检测系统调用短序列的规模降低70%。     

一种基于HGA和数据挖掘的AMG模型

提出一种基于数据挖掘和混合遗传算法(HGA)的自适应模型生成(AMG)模型。采用改进的聚类算法,从网络和系统的行为记录中划分出正常/异常行为库,利用HGA从行为库中挖掘出入侵规则加入规则库中,通过混合检测模块进行检测。实验结果证明,该AMG模型能以更高的检测率、更低的误检率检测未知的网络入侵。     

关联规则挖掘算法在入侵检测中的研究与应用

本文提出了一种有效的频繁模式挖掘算法,通过研究Sendmail各进程中的系统调用号之间的关联关系,建立正常以及异常行为序列库,利用该频繁模式挖掘算法对各序列库进行频繁模式挖掘,以关联规则的形式获得能区分正常进程与正常进程的典型模式,继而找出所有满足置信度的分类规则,从而检测各进程序列中的入侵行为。     

基于数据挖掘技术的自适应入侵检测系统模型

为了提高数据库系统的安全,将改进的数据预处理算法和改进的Apriori算法应用于数据库入侵检测系统,提出一个基于数据挖掘技术的自适应的数据库入侵检测系统模型.模型中,针对滥用检测规则生成的局限性,提出将改进算法的中间结果运用到滥用检测规则的生成中,不断完善滥用检测规则库,结合滥用检测和异常检测的特点,先进行滥用检测,再进行异常检测,降低漏检率和误警率.检测结果表明,不断更新规则库,能够提高系统的自适应性.     

一种基于云理论的异常检测算法研究*

为了解决目前网络入侵检测算法检测率低、误报率高的问题,提出一种基于云理论的异常检测算法,采用chi-square方法进行特征提取并计算影响权值因子,引入云发生器计算属性特征值和差异度;应用综合评价值进行入侵判断,减少了单个属性造成的局部性影响。该算法采用KDD99数据进行测试,结果表明新算法的检测率平均达到98.66%、误报率平均为1.87%,在一定程度上,解决了目前部分入侵检测算法存在的问题。     

基于粗糙集值约简改进算法的进程异常检测

提出一种新的基于粗糙集值约简和系统调用的进程异常检测方法。为了提高约简效率,改进了基于差别矩阵的粗糙集值约简算法。另外创建了一种新的检测模型,能在判断进程是否异常的基础上进一步识别异常种类。它以系统调用短序列中k个位置作为条件属性集,以进程类型作为决策属性,建立决策表;然后使用改进的值约简算法提取规则集,并对规则匹配的结果作统计;最后判断进程类别。实验表明该方法能高效准确地识别异常进程的种类。     

基于免疫原理的数据库入侵检测方法研究

基于免疫原理,提出一种数据库入侵检测方法,利用SQL Server 2000的事件探查器完成了对历史审计数据和测试数据的采集,实现了基于免疫的数据库异常检测方法.为了验证提出算法的有效性,在相同测试集上,同基于关联规则的数据库异常检测和基于序列模式的数据库异常检测的方法进行了实验数据比较,结果表明基于免疫的数据库入侵检测在降低漏报率和假报率,提高检测率和正确率方面优于其他两种方法,具有较好的性能.     

基于特征选择的模糊聚类异常入侵行为检测

网络攻击连接具有行为的多变性和复杂性等特征,利用基于传统聚类的行为挖掘技术来构建异常入侵检测模型是不可行的。针对网络攻击行为的特点,提出了基于特征选择的模糊聚类异常入侵模型。首先通过层次聚类算法改善了FCM 聚类算法结果对初始聚类中心的敏感性,再利用遗传算法的全局搜索能力克服了其在迭代时易陷入局部最优的缺点,并将它们结合构成一种AGFCM 算法;然后采用信息增益算法对网络攻击连接数据集的特征属性进行排序,同时利用约登指数来删减数据集的特征属性以确定特征属性容量;最后利用低维特征属性集和改进的FCM 聚类算法构建了异常入侵检测模型。实验结果表明该模型对绝大多数的网络攻击类型具有很好的检测能力,为解决异常入侵检测模型的误警率和检测率等问题提供了一种可行的解决途径。     

基于图分析和支持向量机的企业网异常用户检测

在企业网络中,若其内部的攻击者获得了用户的身份认证信息,其行为与正常用户将很难区分;而目前研究对于企业网中的异常用户检测方法比较单一,召回率不高。用户的认证活动信息直接反映了用户在网络中与各类资源或人员的交互,基于此,提出一种利用用户认证活动信息来检测网络中异常用户的方法。该方法利用用户的认证活动生成用户认证图,之后基于图分析方法提取认证图中的属性,如图的最大连通组件的大小、孤立认证的数量等,这些属性反映了用户在企业网中的认证行为特征。最后利用有监督的支持向量机（SVM）对提取到的图属性进行建模,以此来间接识别和检测网络中的异常用户。在提取了用户图向量之后,具体对训练集和测试集、惩罚参数、核函数取不同值的情况进行了分析。通过对这些参数的调节,召回率、精确率和F1-Score均达到80%以上。实验数据表明,该方法能够有效检测企业网络中的异常用户。     

基于快速属性约简的网络入侵特征选择

高维网络数据中的无关属性和冗余属性会导致入侵检测速度慢及效率低下。为解决该问题,提出一种基于快速属性约简的网络入侵特征选择方法。以网络数据的条件属性与类别属性之间的互信息为度量去除无关属性,采用基于粗糙集正区域的属性重要性计算公式作为启发信息,设计一种快速属性约简算法去除网络数据的冗余属性,实现网络入侵特征子集的优化选择。在KDD CUP1999数据集上的仿真实验结果表明,该方法能有效去除网络数据中的无关属性和冗余属性,具有较高的入侵检测率和较低的误报率。     

基于深度自编码网络的Android恶意软件检测方法

针对传统Android恶意软件检测方法检测率低的问题,文中提出一种基于深度收缩降噪自编码网络(Deep Contractive Denoising Autoencoder Network,DCDAN)的Android恶意软件检测方法。首先,逆向分析APK文件获取文件中的权限、敏感API等7类信息,并将其作为特征属性;然后,将特征属性作为深度收缩降噪自编码网络的输入,使用贪婪算法自底向上逐层训练每个收缩降噪自编码网络(Contractive Denoising Autoencoder Network),将训练完成的深度收缩降噪自编码网络用于原始特征的信息抽取,以获取最优的低维表示;最后,使用反向传播算法对获取的低维表示进行训练和分类,实现对Android恶意软件的检测。对深度自编码网络的输入数据添加噪声,使得重构的数据具有更强的鲁棒性,同时加入雅克比矩阵作为惩罚项,增强了深度自编码网络的抗扰动能力。实验结果验证了该方法的可行性和高效性。与传统的检测方法相比,该检测方法有效地提高了对恶意软件检测的准确率并降低了误报率。     

Tor网桥分发中融合物理-社交属性的女巫节点检测机制

作为目前应用范围最广的网络审查规避系统之一,Tor 在网桥分发过程中面临着严重的女巫攻击威胁。具有丰富网络和人力资源的审查者往往会部署大量女巫节点,它们通过伪装成正常节点来获取网桥信息并将其封锁或屏蔽。在此过程中,由于女巫节点和正常节点身份、目的和意图的不同,在网络活动中会产生个体或群体行为差异,称为节点行为特征。针对上述女巫攻击威胁,在分析节点行为特征的基础上提出了融合物理-社交属性的女巫节点检测机制。设计了节点物理域和社交域属性评估方法。采用客观反映节点上网桥正常运行状态的节点积分值和体现网桥屏蔽情况的节点风险指数来评估节点的物理域属性;用描述节点静态属性标签的社交相似度和刻画节点动态交互行为特征的社交信任度来评估节点的社交域属性。进而,融合节点的物理域和社交域属性定义可信度指标,表征当前节点为女巫节点的可能性,并以此为指导推测节点的真实身份,实现对女巫节点的精准检测。基于构建的Tor网络运行情况模拟器和MicroblogPCU数据集对所提机制的检测性能进行仿真实验。结果表明,所提机制能够有效提高女巫节点识别率,降低误检率,对于审查者的迷惑行为具有更强抵御能力,并且在节点社交属性缺失情况下仍具有良好检测性能。     

Unsupervised learning clustering and self-organized agents applied to help network management

Traffic monitoring and anomaly detection are essential activities for computer network management, since they provide relevant information about its current performance and contribute to network control. Although there are several studies in this area, diagnosis and resolution of anomalies are still challenging issues. From an expert system point of view, current solutions have not been sufficient to meet the requirements demanded for use in large-scale network environments, and thus a significant portion of budgets on the workforce are spent to network management. Based on this context, the focus of this paper consists of the development of a system able to proactively monitor the network and detect anomalous events, reducing manual intervention and the probability of errors in decision-making, regarding network management. The proposed approach characterizes the normal pattern of the network traffic and detects anomalous behavior, outage events and attacks by deviations from this pattern. For this purpose, an unsupervised learning methodology is used to extract features of traffic through IP flows attributes, collected from a network structure. Aiming to improve its efficiency, a modification of the Ant Colony Optimization metaheuristic is proposed, which through self-organized agents optimizes the analysis of multidimensional flows attributes and allows it to be completed in time to mitigate the impact on large-scale networks. In addition to notify the network manager about the anomalies, the system provides necessary information to identify and take action against them. The resulting detection system was tested with real and simulated data, achieving high detection rates while the false alarm rate remains low.     

基于GQPSO算法的网络入侵特征选择方法

高维网络数据中的无关属性和冗余属性容易使分类算法的网络入侵检测速度变慢、检测率降低。为此,提出一种基于遗传量子粒子群优化(GQPSO)算法的网络入侵特征选择方法,该方法将遗传算法中的选择变异策略与QPSO有机结合形成GQPSO算法,并以网络数据属性之间的归一化互信息量作为该算法适应度函数,指导其对网络数据的属性约简,实现网络入侵特征子集的优化选择。在KDDCUP1999数据集上进行仿真实验,结果表明,与QPSO算法、PSO算法相比,该方法能更有效地精简网络数据特征,提高分类算法的网络入侵检测速度及检测率。     

基于 HMM的分布式拒绝服务攻击检测方法

在分布式拒绝服务（DDoS）攻击时，网络中数据包的统计特征会显示出异常．检测这种异常是一项重要的任务．一些检测方法基于数据包速率的假设，然而这种假设在一些情况下是不合理的．另一些方法基于IP地址和数据报长度的统计特征，但这些方法在IP地址欺骗攻击时检测率急剧下降．提出了一种基于隐马尔可夫模型（HMM）的DDoS异常检测方法．该方法集成了4种不同的检测模型以对付不同类型的攻击．通过从数据包中提取TCP标志位，UDP端口和ICMP类型及代码等属性信息建立相应的TCP，UDP和ICMP的隐马尔可夫模型，用于描述正常情况下网络数据包序列的统计特征．然后用它来检测网络数据包序列，判断是否有DDoS攻击．实验结果显示该方法与其他同类方法相比通用性更好、检测率更高．     

一种粗糙集-决策树结合的入侵检测方法

针对入侵检测系统收集数据海量、高维、检测模型复杂和检测准确率低等问题,采用粗糙集属性约简的优势寻找与判断入侵与否相关的属性,利用决策树分类算法生成模型并对网络连接进行入侵预测分类检测,从而提出了一种粗糙集属性约简和决策树预测分类相结合的网络入侵检测方法.实验结果表明,该方法在入侵检测准确率上有很大的提高,对DoS攻击、Probe攻击和R2L攻击的检测效果均有所提高,同时大大降低了检测的误报率.     

深度神经网络在多场景车辆属性识别中的研究

单一的车辆属性识别已无法满足现有的交通系统,为了提高在实际监控中车辆检测定位的可靠性,利用深度神经网络的思想建立了一种能够在近景监控场景和交通监控场景两种不同场景下识别车辆属性的模型,主要包括车辆类型和颜色两种属性类别。以YOLOv3神经网络为基础,对其进行改进,降低网络深度的同时保证准确率,将车辆类型和颜色属性进行分级训练,提高模型检测速度,此外,创建了AttributesCars车辆属性数据集完成数据准备工作。实验结果表明,所提方法在平均准确率为95.63%的前提下可以满足视频的实时性要求,并且在两种不同场景下均取得了不错的成绩,适用于多场景车辆属性识别。     

基于信息增益和粗糙集的入侵检测方法

传统的随机森林在网络入侵检测中收敛速度慢,并且学习性能不够完善。为消除原始入侵检测数据中的冗余信息,提出一种基于信息增益和粗糙集的随机森林入侵检测方法。使用信息增益对数据的各个属性进行相关分析,删除冗余属性,减小属性简约的时间复杂度;利用粗糙集理论从数据中提取分明函数,求得属性简约;使用随机森林分类器进行分类。实验结果表明,该方法收敛速度较快,在召回率和精度方面都要高于传统的随机森林方法,尤其是在训练样本充足的网络环境下,效果更加明显。