基于聚类簇结构特性的自适应综合采样法在入侵检测中的应用

基于机器学习的网络入侵检测方法将恶意网络行为(入侵)检测转化为模式识别(分类)问题,因其适应性强、灵敏度高等优点,受到国内外广泛关注.然而,现有的模式分类器往往假设数据集的分布是均衡的,而真实的网络环境中,入侵行为要远少于正常访问,这给网络入侵行为检测带来巨大挑战.因此,提出一种基于聚类簇结构特性的综合采样法(CSbADASYN),通过挖掘少数类样本的内部结构对其进行自适应过采样,以获得样本分布结构特性保持的均衡数据样本,解决因数据不均衡带来的分类偏向.CSbADASYN先采用谱聚类方法对数据集中的少数类样本进行聚类分析,再根据所获得的聚类簇结构自适应插值,将获得样本分布结构保持的均衡样本用于分类器模型学习.在经典的NSL-KDD和KDD99数据集上进行大量的验证性和对比性实验,结果表明,CSbADASYN 能使传统分类器模型在不均衡数据集上的分类性能得到明显提升.与传统的未经样本均衡处理和其他的带均衡处理的入侵检测方法相比,该方法能获得更低的误报率和漏报率.     

一种类平衡和CNN结合的网络入侵检测方法

针对现有的海量非平衡数据集中少数类别样本入侵检测率低的问题，提出一种类平衡算法与卷积神经网络相结合的网络入侵检测方法。该方法使用ROS(Random Over Sampler)对少数类样本进行过采样，利用高斯混合模型GMM(Gaussian Mixture Model)对多数类样本进行聚类欠采样，进而在平衡的数据集上通过CNN来学习网络流量数据中的高维特征，利用Softmax回归对数据进行分类。利用原始的未经平衡处理的数据集以及经过不同类平衡算法处理的CICIDS2017数据集分别对模型进行验证测试。结果表明，该方法在保持较高的整体检测率的同时，对少数类别样本的检测率有了更高的提升，从而验证了该方法具有较好的实用价值。     

基于支持向量数据描述的异常检测方法

提出了一种基于支持向量数据描述算法的异常检测方法。该方法将入侵检测看作是一种单值分类问题，建立正常行为的支持向量描述模型，通过该模型可以检测各种已知和未知的攻击行为。该方法是一种无监督的异常检测方法，能够在包含噪声的数据集进行模型训练，降低了训练集的要求。在KDD CUP99标准入侵检测数据集上进行实验，并与无监督聚类异常检测实验结果相比较，证实该方法能够获得较高检测率和较低误警率。     

一种基于数据挖掘技术的入侵检测方法的设计

数据挖掘技术可应用于入侵检测方法中,其中典型的聚类算法k-means是一种高效的、可用于分类入侵检测数据的轻量级算法,但该算法存在收敛于局部最优解的问题.针对此问题,提出将遗传算法与k-means聚类算法相结合的GCAH(Genetic and Clustering Analysis Hybrid)入侵检测方法,对数据进行分析和检测,可避免产生聚类算法收敛于局部最优解的问题.利用KDD cup 网络流量集作为输入数据对GCAH入侵检测方法进行实验测试.实验结果表明GCAH方法能有效提高检测率、降低误报率,达到预期效果.     

CTM与SVM相结合的文本分类方法

研究一种相关主题模型(CTM)与支持向量机(SVM)相结合的文本分类方法。该方法用CTM对数据集建模以降低数据的维度,用SVM对简化后的文本数据进行分类。为使CTM模型能够较好地对数据集进行建模,在该方法中用DBSCAN聚类方法对数据进行聚类,根据聚类所得到的聚类中心点数目确定CTM模型的主题参数。实验结果表明,该方法可以加快分类速度并提高分类精度。     

一种无监督网络入侵检测算法

多数入侵检测方法对训练数据集存在依赖,带标识的训练数据集在现实环境中难以被获取,无法保证所得标签数据能覆盖所有可能出现的攻击。该文提出基于无人监督聚类和混沌模拟退火算法的网络入侵检测方法,混沌模拟退火算法实现对聚类结果的优化,求得聚类的全局最优解,提高了数据分类的准确性和检测效率。在KDD CUP 1999上的仿真实验结果表明,该算法可实现预期效果。     

K-MEANS算法在IDS中的应用研究

聚类算法广泛应用于入侵检测系统(ID6)的数据挖掘中.虽然K-MEANS算法是最为经典的聚类算法之一,但是由于入侵检测系统的数据集具有特殊性,直接在其上进行K-MEANS聚类的效果不佳.为了提高K-MEANS在IDS数据集上的聚类准确性,引入一种数据预处理方法.该方法对IDS的记录特征做标准化处理,使原本取值范围差异很大的数值型特征在同一个区间内取值,排除原始数据中不同度量带来的不良影响,从而优化聚类的效果.仿真实验表明,K-MEANS算法对预处理后的IDS数据集的聚类准确度有很大的提高.     

不确定聚类算法及其在入侵检测系统中应用

聚类算法是一种无监督分类方法,能够很好地应用于入侵检测、模式识别中。结合入侵数据集的特点,通过定义两个新的隶属程度判断准则参数,提出了一种新的隶属关系不确定的可能性模糊聚类算法,并给出了具体算法实现。该算法实现了对入侵数据集的自主学习和检测过程。给出了在KDDCUP99数据集上的检测结果,实验表明该算法具有较高的检测率及较低的误检率。     

集成学习在网络入侵检测中的实验研究

针对现有的网络入侵检测算法对少数类攻击的检测存在高误报率和漏报率的问题,在对稀有类分类技术研究的基础上,将集成学习应用到入侵检测中。采用基于负载均衡策略的入侵检测模型,把网络数据包按协议类型进行分流,对每个子集用AdaBoost算法提升C4．5弱分类器的方法进行分类,在KDD’99数据集上进行仿真实验,结果表明该方法可有效提高系统的检测率。     

一种混合入侵检测模型

为了提高入侵检测模型的准确率,提出一种基于K-均值算法、朴素贝叶斯分类算法和反向传播神经网络的混合入侵检测模型。首先,采用基于分区、无监督式聚类分析的K-均值算法进行数据的聚类处理,得到易于被机器处理和学习的数据集。为了进一步获取必要的数据属性,将聚类处理的结果输入到贝叶斯分类器进行分类。然后,具有较短学习周期的反向传播神经网络负责训练数据分类样本。最后,基于KDD CUP99数据集,对混合入侵检测模型进行了仿真实验,实验结果表明,通过混合入侵检测模型,DoS、U2R、R2L和Probe等入侵数据被精准地检测出。相比其它入侵检测模型,混合入侵检测模型取得了较高的准确率和召回率,以及较低的误报率,具有一定的实用价值。     

一种新型的无线网络入侵检测方法-动态自适应模板法

为了能够检测到无线网络系统中的已知和未知类型的入侵者,提高无线网络系统的安全性,本文提出了动态自适应模板法。该方法的基本思想是原有模板(分类结果)在聚类过程中不断更新,并且允许在聚类分析过程中构成新的模板。实验表明用该方法检测无线网络系统中的新型入侵者,准确率可达到98%。     

基于相似度聚类分析方法的异常入侵检测系统的模型及实现

提出了基于相似度聚类分析方法的异常入侵检测模型，介绍了对用户行为进行收集，然后在此基础上使用相似度聚类方法分析用户行为，最后实时地通过归类分析方法对用户行为加以判断。详细地讨论了基于相似度聚类分析的用户轮廓建立的算法和基于相似度聚类分析方法的异常检测算法，并提出了对该算法的初步改进。     

基于模糊粗糙集属性约简与GMM-LDA最优聚类簇特征学习的自适应网络入侵检测

网络入侵方式已日趋多样化,其隐蔽性强且变异性快,开发灵活度高、适应性强的实时网络安全监测系统面临严峻挑战.对此,提出一种基于模糊粗糙集属性约简(FRS-AR)和GMM-LDA最优聚类簇特征学习(GMM-LDA-OCFL)的自适应网络入侵检测(ANID)方法.首先,引入一种基于模糊粗糙集(FRS)信息增益率的属性约简(AR)方法以实现网络连接数据最优属性集选择;然后,提出一种基于GMM-LDA的最优聚类簇特征学习方法,以获得正常模式特征库和入侵模式库的最优特征表示,同时引入模式库自适应更新机制,使入侵检测模型能够适应网络环境动态变化.KDD99数据集和基于Nidsbench的网络虚拟仿真实验平台的入侵检测结果表明,所提出的ANID方法能有效适应网络环境动态变化,可实时检测出真实网络连接数据中的各种入侵行为,其性能优于当前常用的入侵检测方法,应用前景广阔.     

基于支持向量机的无线传感器网络的入侵检测系统

无线传感器网络入侵检测方法是目前的研究热点。在介绍支持向量机(SVM)原理、无线传感器网络的入侵类型以及不同类型所具有的数据特性的基础上,提出了一种基于SVM的无线传感器网络的入侵检测系统,该系统把网络拓扑分为簇成员、簇头和Sink三层结构,每层均能根据SVM的训练结果进行入侵检测的判断。实验结果表明:该检测系统具有较高的检测率和较低的能量消耗。     

基于Hadoop架构的混合型DDoS攻击分布式检测系统

混合型DDoS攻击采取多种数据类型相结合的方式,具有穿透力强、难以被精确检测的特点,逐步取代了单一类型的DDoS攻击。文章针对混合型DDoS攻击的检测,设计了基于Hadoop集群的分布式入侵检测架构,并提出了一种利用MapReduce模型的多属性融合检测算法。该算法对传统的仅从IP单一角度进行检测的算法进行改进,能够融合IP、数据帧长度、标志位等多重属性并通过自适应调整阈值实现入侵流量检测。实验结果表明,该系统具有良好的扩展性,通过扩展集群规模与调大HDFS分块可获得更优的检测性能。与传统检测算法相比,在检测时间未明显增加的情况下,该系统可显著提高混合型DDoS攻击的检测率,同时能够确定具体攻击类型。     

DBSCAN聚类算法在异常检测中的应用

运用数据挖掘的方法进行入侵检测已经成为网络安全领域的一个热点研究方向,该文主要对异常检测进行研究,将一种快速DBSCAN聚类算法应用到入侵检测中,通过对数据进行聚类,从而发现其中未知的攻击行为。该文以KDD99数据集为例做实验,证明了DBSCAN算法具有很好的聚类效果,实验结果得到了较高的检测率和较低的误报率。     

基于SVM技术的入侵检测

针对日益严重的网络入侵事件,提出了一种新的入侵检测方法．在对网络数据进行深刻的分析和研究的基础上,提出了基于支持向量机的入侵检测方法．首先,对1类SVM进行了必要的改进,使异常点聚集为一类（即环绕原点的一类）．然后,使用抽象化的网络数据对SVM进行训练,生成入侵事件的SVM分类器．实验表明,该方法是行之有效的．     

基于量子遗传聚类的入侵检测方法*

现有基于聚类的入侵检测算法,聚类过程中需要预设聚类数,且算法的性能受初始数据输入顺序的影响,为此提出了一种新的基于量子遗传聚类入侵检测方法。该方法的基本思想是先自动建立初始聚类簇,再用改进量子遗传算法对初始聚类组合优化,最后进行入侵检测。实验结果表明,该方法能够有效地检测出网络中的入侵数据。     

基于粗糙集的进化神经网络入侵检测系统研究

针对目前实时入侵检测系统所处理的网络数据具有的非线性和高维的特点,提出基于粗糙集理论的进化神经网络入侵检测方法。对网络中截获的数据,利用粗糙集属性约简方法对其属性集进行约简,得到影响分类精度的重要属性。把约简后形成的训练样本进行数值化和归一化处理,作为神经网络的输入数据,再利用遗传算法较强的宏观搜索能力和全局寻优的特点,优化神经网络权值,并在此基础上进行神经网络学习,从而建立入侵检测系统的优化分析模型。实验结果表明,该算法学习速度快,有效提高了入侵检测系统的检测效率。     

基于改进单类支持向量机的工业控制网络入侵检测方法

针对单类支持向量机（OCSVM）入侵检测方法无法检测内部异常点和离群点导致决策函数偏离训练样本的问题,提出了一种结合具有噪声的密度聚类（DBSCAN）方法和K-means方法的OCSVM异常入侵检测算法。首先通过DBSCAN算法,剔除训练数据中的离群点,消除离群点的影响;然后利用K-means划分数据类簇的方法筛选出内部异常点;最后利用OCSVM算法为每一个类簇建立单分类器用于检测异常数据。工控网络数据集上的实验结果表明,该组合分类器能够利用无异常数据样本检测出工控网络入侵,并且提高了OCSVM方法的检测效果。在气体管道网络数据集入侵检测实验中,所提方法的总体检测率为91.81%;而原始OCSVM算法则为80.77%。