基于数据挖掘和变长序列模式匹配的程序行为异常检测

异常检测是目前入侵检测领域研究的热点内容.提出一种基于数据挖掘和变长序列模式匹配的程序行为异常检测方法,主要用于Unix或Linux平台上以系统调用为审计数据的主机型入侵检测系统.该方法利用数据挖掘技术中的序列模式对特权程序的正常行为进行建模,根据系统调用序列的支持度在训练数据中提取正常模式,并建立多种模式库来表示一个特权程序的行为轮廓.在检测阶段,考虑到审计数据和特权程序的特点,采用了变长序列模式匹配算法对程序历史行为和当前行为进行比较,并提供了两种判决方案,能够联合使用多个窗长度和判决门限对程序行为进行判决,提高了检测的准确率和灵活性.文中提出的方法已应用于实际入侵检测系统,并表现出良好的检测性能.     

基于隐马尔可夫模型的用户行为异常检测新方法

提出一种基于隐马尔可夫模型的用户行为异常检测方法,主要用于以shell命令为审计数据的主机型入侵检测系统。与Lane T提出的检测方法相比,所提出的方法改进了对用户行为模式和行为轮廓的表示方式,在HMM的训练中采用了运算量较小的序列匹配方法,并基于状态序列出现概率对被监测用户的行为进行判决。实验表明,此方法具有很高的检测准确度和较强的可操作性。     

基于改进关联规则的网络入侵检测方法的研究

研究关联规则的高效挖掘算法对于提高入侵检测的准确性和时效性具有非常重要的意义.针对现行的入侵检测方法建立的正常模式和异常模式不够准确、完善,容易造成误警或漏警的问题,本文将改进后的关联规则挖掘算法-XARM和关联规则增量更新算法-SFUP应用于网络入侵检测,提出了新的入侵检测方法,该方法通过挖掘训练审计数据中的频繁项集建立系统和用户的正常行为模型以及入侵行为模型.     

基于shell命令和Markov链模型的用户行为异常检测

异常检测是目前入侵检测系统(IDS)研究的主要方向。该文提出一种基于shell命令和Markov链模型的用户行为异常检测方法,该方法利用一阶齐次Markov链对网络系统中合法用户的正常行为进行建模,将Markov链的状态与用户执行的shell命令联系在一起,并引入一个附加状态;Markov链参数的计算中采用了运算量较小的命令匹配方法;在检测阶段,基于状态序列的出现概率对被监测用户当前行为的异常程度进行分析,并提供了两种可选的判决方案。文中提出的方法已在实际入侵检测系统中得到应用,并表现出良好的检测性能。     

基于shen命令和Markov链模型的用户行为异常检测

异常检测是目前入侵检测系统（IDS）研究的主要方向。该文提出一种基于shell命令和Markov链模型的用户行为异常检测方法，该方法利用-阶齐次Markov链对网络系统中合法用户的正常行为进行建模，将Markov链的状态与用户执行的shell命令联系在一起，并引入一个附加状态；Markov链参数的计算中采用了运算量较小的命令匹配方法；在检测阶段，基于状态序列的出现概率对被监测用户当前行为的异常程度进行分析，并提供了两种可选的判决方案。文中提出的方法已在实际入侵检测系统中得到应用，并表现出良好的检测性能。     

新的基于机器学习的入侵检测方法

提出了一种基于机器学习的用户行为异常检测方法,主要用于UNIX平台上以shell命令为审计数据的入侵检测系统。该方法在LaneT等人提出的检测方法的基础上,改进了对用户行为模式和行为轮廓的表示方式,在检测中以行为模式所对应的命令序列为单位进行相似度赋值;在对相似度流进行平滑时,引入了“可变窗长度”的概念,并联合采用多个判决门限对被监测用户的行为进行判决。实验表明,该方法在检测准确度和实时性上均优于LaneT等人提出的方法。     

动态自学习的高效入侵检测模型研究

提出了一种基于归纳推理的动态自学习的高效入侵检测模型。将归纳推理方法应用到入侵检测中，提出了适用于入侵检测的增量学习推理算法。通过该算法建立的入侵检测模型能够对不断出现的新的网络行为数据进行自学习，并动态修正模型的行为轮廓，从而克服了传统静态检测模型必须完全重新学习才能更新模型甚至无法重新学习的缺陷，同时较大地提高了入侵检测模型的学习效率和检测效率。     

多组件协作式网络安全入侵检测系统设计

为了提高网络安全性能,提出基于多组件协作式检测的网络入侵安全检测系统设计方法。构建网络入侵的信号模型,对信号采用自适应匹配滤波器进行入侵特征检测,采用多组件协作级联滤波方法进行入侵信息过滤,实现入侵检测算法设计,在Matlab 7仿真软件中进行入侵检测系统的软件开发设计。采用硬件抽象组件、综合硬件组件和高层软件组件混合开发方法,实现多组件协作检测。测试结果表明,采用该方法进行网络安全入侵检测,具有较高的准确检测概率,提高了网络安全防护能力。     

基于改进CURE聚类算法的无监督异常检测方法

提出了一种基于改进的CURE聚类算法的无监督异常检测方法.在保证原有CURE聚类算法性能不变的条件下,通过对其进行合理的改进获得更加理想的簇,也为建立正常行为模型提供了更加纯净的正常行为数据.在建模过程中,提出了一种新的基于超矩形的正常行为建模算法,该算法有助于迅速、准确地检测出入侵行为.实验采用KDDcup99数据,实验结果表明该方法能够有效地检测网络数据中的已知和未知入侵行为.     

一种新的基于Markov链模型的用户行为异常检测方法

提出一种新的基于Markov链模型的用户行为异常检测方法。该方法利用一阶齐次Markov链对网络系统中合法用户的正常行为进行建模,将Markov链的状态同用户执行的shell命令序列联系在一起,并引入一个附加状态;在检测阶段,基于状态序列的出现概率对用户当前行为的异常程度进行分析,并根据Markov链状态的实际含义和用户行为的特点, 采用了较为特殊的判决准则。与Lane T提出的基于隐Markov模型的检测方法相比,该方法的计算复杂度较低,更适用于在线检测。而同基于实例学习的检测方法相比,该方法则在检测准确率方面具有较大优势。文中提出的方法已在实际入侵检测系统中得到应用,并表现出良好的检测性能。     

Internet of things intrusion detection model and algorithm based on cloud computing and multi-feature extraction extreme learning machine

With the rapid development of the Internet of Things (IoT), there are several challenges pertaining to security in IoT applications. Compared with the characteristics of the traditional Internet, the IoT has many problems, such as large assets, complex and diverse structures, and lack of computing resources. Traditional network intrusion detection systems cannot meet the security needs of IoT applications. In view of this situation, this study applies cloud computing and machine learning to the intrusion detection system of IoT to improve detection performance. Usually, traditional intrusion detection algorithms require considerable time for training, and these intrusion detection algorithms are not suitable for cloud computing due to the limited computing power and storage capacity of cloud nodes; therefore, it is necessary to study intrusion detection algorithms with low weights, short training time, and high detection accuracy for deployment and application on cloud nodes. An appropriate classification algorithm is a primary factor for deploying cloud computing intrusion prevention systems and a prerequisite for the system to respond to intrusion and reduce intrusion threats. This paper discusses the problems related to IoT intrusion prevention in cloud computing environments. Based on the analysis of cloud computing security threats, this study extensively explores IoT intrusion detection, cloud node monitoring, and intrusion response in cloud computing environments by using cloud computing, an improved extreme learning machine, and other methods. We use the Multi-Feature Extraction Extreme Learning Machine (MFE-ELM) algorithm for cloud computing, which adds a multi-feature extraction process to cloud servers, and use the deployed MFE-ELM algorithm on cloud nodes to detect and discover network intrusions to cloud nodes. In our simulation experiments, a classical dataset for intrusion detection is selected as a test, and test steps such as data preprocessing, feature engineering, model training, and result analysis are performed. The experimental results show that the proposed algorithm can effectively detect and identify most network data packets with good model performance and achieve efficient intrusion detection for heterogeneous data of the IoT from cloud nodes. Furthermore, it can enable the cloud server to discover nodes with serious security threats in the cloud cluster in real time, so that further security protection measures can be taken to obtain the optimal intrusion response strategy for the cloud cluster.     

改进型遗传算法在入侵检测系统中的应用

在信息安全问题日益突出的互联网中,入侵检测技术以其主动防御的特性,得到越来越广泛的重视和应用。遗传算法作为一种人工智能的算法,能够有效的解决传统检测技术中存在的机器学习的问题。设计的改进型遗传算法能够解决传统遗传算法中收敛过快等问题,能够使入侵检测系统更为高效、准确。     

Random-Forests-Based Network Intrusion Detection Systems

Prevention of security breaches completely using the existing security technologies is unrealistic. As a result, intrusion detection is an important component in network security. However, many current intrusion detection systems (IDSs) are rule-based systems, which have limitations to detect novel intrusions. Moreover, encoding rules is time-consuming and highly depends on the knowledge of known intrusions. Therefore, we propose new systematic frameworks that apply a data mining algorithm called random forests in misuse, anomaly, and hybrid-network-based IDSs. In misuse detection, patterns of intrusions are built automatically by the random forests algorithm over training data. After that, intrusions are detected by matching network activities against the patterns. In anomaly detection, novel intrusions are detected by the outlier detection mechanism of the random forests algorithm. After building the patterns of network services by the random forests algorithm, outliers related to the patterns are determined by the outlier detection algorithm. The hybrid detection system improves the detection performance by combining the advantages of the misuse and anomaly detection. We evaluate our approaches over the Knowledge Discovery and Data Mining 1999 (KDD’99) dataset. The experimental results demonstrate that the performance provided by the proposed misuse approach is better than the best KDD’99 result; compared to other reported unsupervised anomaly detection approaches, our anomaly detection approach achieves higher detection rate when the false positive rate is low; and the presented hybrid system can improve the overall performance of the aforementioned IDSs.      

A Method for Anomaly Detection of User Behaviors Based on Machine Learning

1Introduction Intrusiondetectiontechniquescanbecategorizedinto misusedetectionandanomalydetection.Misusedetec tionsystemsmodelattacksasspecificpatterns,anduse thepatternsofknownattackstoidentifyamatchedac tivityasanattackinstance.Anomalydetectionsystems u…     

基于层次化的入侵检测模型研究

随着互联网络的广泛应用,网络信息量迅速增长,网络安全问题日趋突出,入侵检测已经成为网络安全的重要组成部分.针对传统的入侵检测模型所存在的已知系统漏洞或攻击方法的知识缺陷,分析了当前入侵检测系统所存在的诸多问题,提出了基于入侵检测策略的层次化入侵检测模型,该模型可以监视已知入侵和检测未知入侵,对网络入侵检测系统的设计有一定参考价值,对综合解决网络安全问题是一个有益的探索.     

一种个人入侵防御系统方案研究

入侵防御系统是网络安全领域为弥补防火墙及入侵检测系统的不足而新发展起来的一种信息安全技术。系统采用NDIS Hooking技术捕获本机进出的网络数据流，通过模式匹配算法可以一次在数据包的负载中查找多个入侵模式。该系统不仅能够实现入侵检测的功能，而且可以在入侵检测的基础上提供有效的阻断。     

入侵检测系统中的行为模式挖掘

提出了一种利用模式挖掘技术进行网络入侵防范的方法及其入侵检测系统模型,设计并实现了一个基于关联规则的增量式模式挖掘算法。通过对网络数据包的分析,挖掘出网络系统中频繁发生的行为模式,并运用模式相似度比较对系统的行为进行检测,进而自动建立异常和误用行为的模式库。实验结果证明,本文提出的方法与现有的入侵检测方法相比,具有更好的环境适应性和数据协同分析能力,相应的入侵检测系统具有更高的智能性和扩展性。     

基于量子计算的用户识别算法

本文提出了基于量子算法的快速用户识别算法.当代社会进入互联网时代后,大量的信息充斥在网络上,许多有价值的信息被隐藏在Weblog中,大数据分析的一项任务就是通过对Weblog的分析得到用户行为模式等重要的信息,在这之前必须要做的是对用户进行识别.以往对用户识别算法的研究较为侧重在准确度方面,识别的速度尚不能令人满意.本文基于Grover搜索算法提出了扩展记录模式和非扩展记录模式的两种快速IP地址搜索算法,将搜索的查询复杂度进行了二次加速.     

应用于移动互联网的入侵检测系统的研究

随着移动互联网的迅猛发展,智能手机越来越普及,其安全问题也随之而来。入侵检测技术能收集信息并进行分析,通过与规则库比较,发现是否含有入侵攻击。由于目前移动互联网监测能力不足,大量木马入侵手机,严重影响了手机用户的生活。提出了一套应用于移动互联网的入侵检测系统,能有效检测到入侵攻击,并及时响应,保证手机安全。