面向网络入侵检测的GAN-SDAE-RF模型研究

针对传统机器学习方法在处理不平衡的海量高维数据时罕见攻击类检测率低的问题,提出了一种基于深度学习的随机森林算法的入侵检测模型,为了避免传统的随机森林面对高维数据和不平衡数据时分类精度低、稳定性差和对罕见攻击类检测率低的问题,引入生成式对抗网络（GAN）和栈式降噪自编码器（SDAE）对随机森林算法（RF）进行改进。将罕见攻击类数据集输入GAN神经网络中,生成新的攻击类样本,改善网络入侵数据在样本集中不均衡分布的情况,通过堆叠深层的SDAE逐层抽取网络数据的分布规则,并结合各个编码层的系数惩罚和重构误差,来确定高维数据中与入侵行为相关的特征,基于降维后的特征数据构建森林决策树。采用UNSW-NB15数据集的实验结果表明,与SVM、KNN、CNN、LSTM、DBN方法相比,GAN-SDAE-RF整体检测准确率平均提高了9.39%、误报率和漏报率平均降低了9%和15.24%以及在少数类Analysis、Shellcode、Backdoor、Worms上检测率分别提高了26.8%、27.98%、27.85%、39.97%。     

深度学习模型下多分类器的入侵检测方法

针对海量数据环境下,传统智能化入侵检测方法检测性能较差的问题,提出了一种深度信念网络(deep belief networks,DBN)下一对一(one-versus-one)梯度提升树(gradient boosting decision tree,GBDT)的多分类器入侵检测方法(DBN-OGB)。该方法首先利用深度信念网络从高维、复杂的入侵检测数据中提取出低维、具有代表性的特征数据;然后利用一对一法,在任意两类特征数据之间构建一个梯度提升树分类器;接着利用各个分类器对未知网络攻击进行识别,得票最多的类别即为该攻击的类别;最后利用NSL-KDD数据集进行仿真实验。实验结果显示DBN-OGB方法的平均准确率和检测率都高于99%,相较于DBN-MSVM(deep belief nets based multi-class support vector machine)方法其准确率和检测率分别提升0.56%和1.03%,表明DBN-OGB是一种有效、可行的入侵检测方法,且提高了对海量入侵数据的检测性能。     

基于改进双重深度Q网络的入侵检测模型

入侵检测技术作为网络安全有效的防御手段,是网络安全体系中的重要组成部分。随着互联网的快速发展,网络数据量快速增加,网络攻击更加趋于复杂化和多元化,目前主流的入侵检测技术无法有效识别各种攻击。针对实际网络环境中正常流量和攻击流量数据不平衡,且对攻击类流量检测率低的问题,基于深度强化学习提出一种基于改进双重深度Q网络的CBL_DDQN网络入侵检测模型。该模型将一维卷积神经网络和双向长短期记忆网络的混合网络模型引入深度强化学习的DDQN框架,并使用深度强化学习中的反馈学习和策略生成机制训练智能体来对不同类别的攻击样本进行分类,在一定程度上减弱了训练模型过程中对数据标签的依赖性。采用Borderline-SMOTE算法降低数据的不平衡度,从而提高稀有攻击的检测率。通过NSL_KDD和UNSW_NB15数据集对模型的性能进行评估,结果表明：该模型在准确率、精确率、召回率这三项指标上均取得了良好的结果,检测效果远优于Adam-BNDNN、KNN、SVM等检测方法,是一种高效的网络入侵检测模型。     

基于深度序列加权核极限学习的入侵检测算法

针对海量多源异构且数据分布不平衡的网络入侵检测问题以及传统深度学习算法无法根据实时入侵情况在线更新其输出权重的问题,提出了一种基于深度序列加权核极限学习的入侵检测算法（DBN-WOS-KELM算法）。该算法先使用深度信念网络DBN对历史数据进行学习,完成对原始数据的特征提取和数据降维,再利用加权序列核极限学习机进行监督学习完成入侵识别,结合了深度信念网络提取抽象特征的能力以及核极限学习机的快速学习能力。最后在部分KDD99数据集上进行了仿真实验,实验结果表明DBN-WOS-KELM算法提高了对小样本攻击的识别率,并且能够根据实际情况在线更新输出权重,训练效率更高。     

基于SMOTE和深度信念网络的异常检测

针对现有海量非平衡数据集中少数类别样本入侵检测率低的问题,提出了一种基于合成少数类过采样技术（SMOTE）和深度信念网络（DBN）的异常检测（SMOTE-DBN）方法。首先,用SMOTE技术增加了少数类别样本的样本数;然后在预处理后的较平衡数据集上,用非监督的受限玻尔兹曼机（RBM）对预处理后的高维数据进行特征降维;其次,用反向传播（BP）算法微调模型参数,获得预处理后数据的较优低维表示;最后通过softmax分类器对较优低维数据进行分类。KDD1999数据集仿真实验表明,SMOTE优化处理能够提高模型对少数类别样本的检测率,在相同数据集上,SMOTE-DBN方法与DBN方法、支持向量机（SVM）方法相比,检测率分别提高了3.31个百分点和7.34个百分点,误报率分别降低了1.11个百分点和2.67个百分点。     

机器学习在工业网络入侵检测中的研究应用

在工业化和信息化两化深度融合的背景下,工业控制网络面临着高强度、持续性的恶意渗透和网络攻击,对国家安全和工业生产构成了巨大威胁.检测工业控制网络遭受恶意攻击,高效区分正常数据和攻击数据的研究已成为热点问题.以密西西比州立大学SCADA实验室的能源系统攻击数据集作为工业控制网络入侵检测的主要研究对象,对比不同机器学习算法的准确率、漏警率、虚警率等重要指标,得出综合性能最优的XGBoost算法.为进一步提高入侵检测效率,提出了一种针对XGBoost算法的包裹式特征选择方法,在简化数据集的同时突出不同特征在入侵检测中的重要性.研究结果表明,结合包裹式特征选择的XGBoost算法能有效解决入侵检测问题并提高入侵检测效率,验证了此方法的有效性和科学性.     

基于优化数据处理的深度信念网络模型的入侵检测方法

针对目前网络中存在的对已知攻击类型的入侵检测具有较高的检测率,但对新出现的攻击类型难以识别的缺陷问题,提出了一种基于优化数据处理的深度信念网络（DBN）模型的入侵检测方法。该方法在不破坏已学习过的知识和不严重影响检测实时性的基础上,分别对数据处理和方法模型进行改进,以解决上述问题。首先,将经过概率质量函数（PMF）编码和MaxMin归一化处理的数据应用于DBN模型中;然后,通过固定其他参数不变而变化一种参数和交叉验证的方式选择相对最优的DBN结构对未知攻击类型进行检测;最后,在NSL-KDD数据集上进行了验证。实验结果表明,数据的优化处理能够使DBN模型提高分类精度,基于DBN的入侵检测方法具有良好的自适应性,对未知样本具有较高的识别能力。在检测实时性上,所提方法与支持向量机（SVM）算法和反向传播（BP）网络算法相当。     

基于WOA-XGBoost模型的网络入侵检测

网络入侵检测系统(NIDS)是检测网络攻击和维护网络安全的关键技术之一,是网络安全领域中的重要研究方向;近年来,研究者利用机器学习算法来完成入侵检测任务并取得了很好的成果,但检测效率和精确率有待进一步提升;在对鲸鱼优化算法(WOA)和极限梯度提升算法(XGBoost)的特点进行实验和对比分析的基础上,提出了WOA-XGBoost模型,首先构建基于XGBoost的分类模型,然后利用WOA算法自适应搜索XGBoost的最优参数,最后基于NSL-KDD数据集评估所提出WOA-XGBoost模型的性能;实验结果表明,该模型在分类精确率、准确率、召回率和AP指标方面均优于其他模型如XGBoost、随机森林、Adaboost和LightGBM;该工作也为群体智能优化算法在网络入侵检测中的应用提供了依据。     

基于麻雀搜索算法和改进粒子群优化算法的网络入侵检测算法

针对网络入侵检测模型自适应能力不足的问题,将麻雀搜索算法（SSA）中的大范围快速搜索能力引入到粒子群优化（PSO）算法,提出基于麻雀搜索算法的改进粒子群优化（SSAPSO）算法。该算法通过对轻量级梯度提升机（LightGBM）算法中难以整定的参数进行寻优,使PSO算法在保证寻优精度的同时快速收敛,并得到最优的网络入侵检测模型。仿真实验结果表明,在4种基准函数上,SSAPSO比基本PSO算法收敛速度更快;在KDDCUP99数据集上,SSAPSO优化LightGBM后得到的SSAPSO-LightGBM算法比分类特征和梯度提升（CatBoost）算法的准确率、召回率、精确率和F1指数分别提升了15.12%、3.25%、21.26%和12.25%;SSAPSO-LightGBM算法在上述数据集中正常流量（Normal）、未授权远程访问（R2L）攻击、未授权本地访问（U2R）攻击、监听（PROBE）攻击的检测准确率比LightGBM算法分别提升了0.61%、3.14%、4.24%、1.04%和5.03%。     

基于半监督学习和三支决策的入侵检测模型

针对现有的入侵检测模型在未知攻击上表现不佳,且标注数据极其有限的情况,提出一种基于半监督学习（SSL）和三支决策（3WD）的入侵检测模型——SSL-3WD。SSL-3WD模型通过3WD在信息不足情况下的优秀表现来满足SSL在数据信息的充分冗余性上的假设。首先利用3WD理论对网络行为数据进行分类,而后根据分类结果选择适当的“伪标记”样本组成新的训练集以扩充原有数据集,最后重复分类过程,以得到所有对于网络行为数据的分类。在NSL-KDD数据集上,所提模型的检出率达到了97.7%,相较于对比方法中检出率最高的自适应的集成学习入侵检测模型Multi-Tree,提升了5.8个百分点;在UNSW-NB15数据集上,所提模型的准确率达到了94.7%,检出率达到了96.3%,相较于对比方法中表现最好的基于深度堆叠非对称自编码器（SNDAE）的入侵检测模型,分别提升了3.5个百分点和6.2个百分点。实验结果表明,所提SSL-3WD模型提升了对网络行为进行检测的准确率和检出率。     

基于GAN-PSO-ELM的网络入侵检测方法

针对传统机器学习方法在处理非平衡的海量入侵数据时少数类检测率低的问题，提出一种融合生成式对抗网络（GAN）、粒子群算法（PSO）和极限学习机（ELM）的入侵检测（GAN-PSO-ELM）方法。对原始网络数据进行预处理，利用GAN并采用整体类扩充的方式对数据集进行少数类样本扩充。在扩充后的平衡数据集上，利用PSO算法优化ELM的输入权重与隐含层偏置，并建立入侵检测模型。在NSL-KDD数据集上进行仿真实验。实验结果表明，与SVM、ELM、PSO-ELM方法相比，GAN-PSO-ELM不仅具有较高的检测效率，而且在整体检测准确率上平均提高了3.74%，在少数类R2L和U2R上分别平均提高了28.13%和16.84%。     

基于双层注意力神经网络的入侵检测方法

基于网络的入侵检测技术作为一种重要的安全防护手段,对及时发现网络攻击行为起着重要的作用。目前,采用特征工程的机器学习算法是检测分析网络入侵的常用方法,但是人工设计的特征往往会丢失有效载荷的重要信息;另外,网络攻击流量中的不同数据包信息在入侵检测中所起的作用是不同的,而现有算法大都对重要信息的捕捉能力不足。针对上述问题,提出了一种新的深度学习模型L2-AMNN,无需复杂的特征工程,直接提取原始网络流量的有效载荷数据作为样本,在双向长短时记忆神经网络基础上,引入双层注意力机制,捕获关键字节信息和数据包信息,生成更加准确的入侵检测特征向量。实验结果表明,与SVM、DNN、LSTM等模型相比,L2-AMNN对网络入侵检测的准确率、检出率平均提升了4.05%和2.48%,同时误报率、漏报率平均降低了4.41%和2.61%,总体检测性能优于其他同类模型。     

基于动态贝叶斯网络的入侵意图识别方法

在构建高层次攻击场景和处理复杂攻击时,入侵检测技术难以有效察觉入侵者的意图、识别攻击间的语义以及预测下一步攻击。为此,针对网络复杂攻击过程中的不确定性,提出一种基于动态贝叶斯网络的入侵意图识别方法,采用动态贝叶斯有向无环图实时表述攻击行为、意图与攻击目标之间的关联,应用概率推理方法预测入侵者的下一步攻击。实验结果反映入侵者的意图在入侵过程中的变化规律,验证该方法的有效性。     

一种基于小波分析的DDoS攻击检测方法

通过对网络流量的分形特性和分布式拒绝服务（DDoS）的特点进行研究,提出了一种基于小波分析的DDoS攻击检测方法,并设计了该方法检测攻击的模型。对网络流量的分形特性进行判断,然后对具有自相似特性和多重分形特性的网络流量,分别采用基于小波分析的Hurst指数方差法和基于多窗口小波分析的Holder指数法检测DDoS攻击。通过对DARPA 2000年数据的实验表明,该方法能够有效地检测到攻击,对大流量背景攻击、低速率攻击、反射式攻击也都达到了较高的检测率,比传统方法有效。     

基于CPSO-LSSVM的网络入侵检测

为提高网络入侵检测效果,提出一种结合混沌粒子群优化（CPSO）算法和最小二乘支持向量机（LSSVM）的网络入侵检测模型。将网络特征和LSSVM参数编码成二进制粒子,根据网络入侵检测正确率和特征子集维数权值构造粒子群目标函数。通过粒子群找到最优特征子集和LSSVM参数,同时引入混沌机制保证粒子群的多样性,防止早熟现象的出现,从而建立最优网络入侵检测模型。采用KDD99数据集进行性能测试,结果表明,该模型不仅能获得最优特征子集和LSSVM参数,而且提高了入侵检测速度和正确率,降低了入侵检测误报率和漏报率。     

基于深度循环神经网络和改进SMOTE算法的组合式入侵检测模型

已有入侵检测模型普遍只针对网络入侵行为的静态特征进行分析检测,造成检测率低及误报率高等缺陷,且无法有效应用低频攻击。为此提出一种新的基于深度循环神经网络（DRNN）和区域自适应合成过采样算法（RA-SMOTE）的组合式入侵检测模型（DRRS）。首先,RA-SMOTE 对数据集中低频攻击样本进行自适应区域划分,实现差别样本增量,从数据层面提升低频攻击样本数量;其次,利用 DRNN 特有的层间反馈单元,完成多阶段分类特征的时序积累学习,同时多隐层网络结构实现对原始数据分布的最优非线性拟合;最后,使用训练好的DRRS模型完成入侵检测。实验结果表明,相比已有入侵检测模型,DRRS在改善整体检测效果的同时显著提高了低频攻击检测率,且对未知新型攻击具有一定检出率,适用于实际网络环境。     

结合概率图模型与DNN的DDoS攻击检测方法

从传统网络到物联网,分布式拒绝服务攻击一直是网络安全的隐患。为提高分布式拒绝服务攻击的检测率,提出基于概率图模型与深度神经网络的DDoS攻击检测方案。该检测方案由数据预处理阶段和攻击检测阶段组成,在数据预处理阶段,研究了正常数据包与攻击包的区别,分别从TCP、UDP以及IP数据包包头信息提取出较高维的统计特征,根据随机森林计算的特征重要性因子,保留了前22个特征用于流量检测。22个统计特征通过概率图模型的隐马尔科夫算法进行聚类,然后将聚类结果通过检测阶段的深度神经网络对网络数据进行进一步的检测。在CICDoS数据集上进行验证性实验,结果表明,该检测方法的准确率最高可达99.35%,最低检测误报率和漏警率分别可达0.51%和0.12%。