不完全事务行为踪迹标记研究

研究不完全事务的行为踪迹标记问题,从软件交互行为本身出发,追踪分析事务产生的行为序列,为丢失标记的行为找到归属.本文提出了在分布式环境下事务处理过程满足SMP的系统模型,采用状态划分算法对随机排序的各事务进行剥离;用偶图匹配方法对分割得到的偶图子系统依MLR分别进行匹配;最后将匹配的结果拼接起来形成完整的行为踪迹序列,提高了对监测信息的使用效率.通过仿真实验证实了本方法在标记不完全事务上的有效性和准确性.     

不完全标记的多个并行事务踪迹的“剥离”

新型分布式软件的多个并行处理事务导致每个事务产生的事件按随机排序,如果这些事件的标记不完全或不可用,将无法区分这些事件到底属于哪个事务.将不完全标记事件的“剥离”问题转化成偶图最大权重完全匹配问题.对于事件间的转换时间是独立等同分布的情况,将所有可能状态(事件)划分为若干个割集,每个割集构成一个偶图.在这些偶图系统中,采用所提出的偶图最大权重完全匹配的改进算法进行分散匹配,通过拼接匹配结果得到各事务产生的最可能踪迹序列.仿真实验证实:该方法可以有效实现不完全标记的事务踪迹的“剥离”;与传统的偶图匹配方法相比,改进算法具有更高的匹配效率.     

改进的图半监督支持向量机用于P2P网络流识别

对于机器学习在P2P网络流识别中需要大量标记训练数据的问题,提出一种基于改进图半监督支持向量机的P2P流识别方法。采用自动调节的高斯核函数计算少量标识数据和大量未标识训练样本之间的相似距离以构建图模型,并在标记传播过程中嵌入训练样本局部分布信息以获取未标记样本的标识;在此基础上使用所有已标记样本对SVM训练实现P2P网络流识别。实验结果表明该方法能够兼顾整个训练样本集的信息,在提高SVM识别精度的同时,极大降低了人工标记训练样本的成本。     

基于位置的自动化网络流协议逆向分析方法

现有自动化网络流协议逆向分析方法处理含有大量二进制报文数据的协议时难以准确推断报文格式。为此,提出一种改进的自动化网络流协议逆向分析方法(PoKE)。通过为关键词添加位置属性,提取出二进制报文数据中长度较短的关键词。利用关键词对报文进行标记,根据标记序列建立协议状态转移模型,同时采用基于报文分割和关键词提取的递归循环方式,实现更全面的关键词信息提取。实验结果表明,与Biprominer方法相比,PoKE方法能提取出更多的关键词信息,从而建立更精确的二进制协议模型。     

基于地址相关度的分布式拒绝服务攻击检测方法

分布式拒绝服务(DDoS)攻击检测是网络安全领域的研究热点.对DDoS攻击的研究进展及其特点进行了详细分析,针对DDoS攻击流的流量突发性、流非对称性、源IP地址分布性和目标IP地址集中性等本质特征提出了网络流的地址相关度(ACV)的概念.为了充分利用ACV,提高方法的检测质量,提出了基于ACV的DDoS攻击检测方法,通过自回归模型的参数拟合将ACV时间序列变换为多维空间内的AR模型参数向量序列来描述网络流状态特征,采用支持向量机分类器对当前网络流状态进行分类以识别DDoS攻击.实验结果表明,该检测方法能够有效地检测DDoS攻击,降低误报率.     

聚类分析和模糊逻辑在驾驶行为辨识中的应用

在驾驶行为识别以及车辆运动状态预测时,需将车辆连续运动过程离散化成状态,对状态划分时极易出现状态重复划分的情况,且利用隐马尔科夫模型在对行为状态序列进行判定时难以准确确定各个状态之间的转移概率以及各个状态的初始概率,因此,提出利用聚类分析对滑动时窗内的数据进行聚类,确保驾驶过程中状态划分的唯一性,此外,利用模糊逻辑规则对出现的异常行为状态进行修正.利用CPNtool层次化分析软件,将不同驾驶行为分成若干层,通过状态之间的转移实现层与层之间的交互,通过判定等时间段内状态流所占用某个层的时间比例来确定当前的驾驶行为.最终利用测试车采集到的样本数据对所建模型进行有效性验证,结果表明,该模型能够以可视化的方式展现不同驾驶行为之间的状态切换,对当前的驾驶行为的判断准确率达到了96％以上.     

基于信任的网络群体异常行为发现

现今大规模网络群体异常事件往往由多个复杂安全事件融合,且这些安全事件之间隐藏着社会化利益与联系,表现出典型的群体性与控制性.对恶意网络群体事件的感知与响应是网络安全管理的重要任务之一.传统的异常检测机制与基于偶图模型的群体异常行为发现方法均未深入分析这些恶意网络行为潜在的社会化关系,且没有考虑交互过程对节点关系的影响.基于此,文中提出一种基于信任的网络群体异常行为发现模型.该模型首先使用网络交互拓扑信息建立网络节点间的信任矩阵;进而结合直接信任度和相关信任度计算网络节点间的相似度,并通过松弛谱聚类算法中的约束条件,增强类数目的自动识别能力,提高节点聚类准确性.实验表明该模型交互能够有效感知网络中的分布式拒绝服务攻击、蠕虫与僵尸网络的异常行为,并对潜伏期内的安全事件行为有较高识别度,同时比基于偶图的行为分类模型具有更高的准确性.     

时间序列流的分层段模型

本文工作针对这样一类时间序列流,其特点为:(1)序列动态增长,高维,甚至是无限的;(2)对序列中的数据只能一趟扫描,利用一趟扫描建立时间序列流的近似概要,其后的处理只能依赖该概要结构;(3)对序列中的数据的重视程度由近及远降低,对远的数据逐步遗忘.针对这些特点,本文提出一种称为"分层段模型"的时间序列流通用处理框架.在这一框架下,每一时间序列流将被动态地划分成若干子序列,每个子序列抽取成一个称为"段"的概要结构.段是分层组织的,通过段把传统静态时间序列的主要近似方法应用到时间序列流的场合,并实现流中数据的遗忘机制.所进行的实验验证了该模型的有效性.     

基于消息序列图的协议交互过程构建方法

为了有效掌握协议的交互行为,提出一种基于消息序列图的协议交互过程自动构建方法.首先,根据协议交互过程的特点,定义依赖关系图来表示消息序列中事件的偏序关系,将网络流转换为依赖关系图;然后,使用基本消息序列描述协议的交互行为片段,通过定义事件最大后缀来挖掘基本消息序列;最后,搜索出最大依赖关系图并将其连接合并,构建出消息序列图.实验结果表明,该方法具有较高的准确性,构建出的消息序列图可以直观地表示协议的交互过程.     

基于事务序列的视频摘要挖掘方法研究

提出了一种基于事务序列的关联挖掘方法实现对足球视频的摘要挖掘。处理过程分为视频数据预处理、视频属性提取和视频摘要挖掘等三个步骤。视频数据预处理阶段将原始视频流切分成物理镜头。视频属性提取阶段先将物理镜头分成五种类型,将视频转换成镜头标识序列,以事务为单位对标识序列进行切分形成事务序列,构造一种关系数据库来存储这些事物序列数据。在视频摘要挖掘阶段,采用传统的Apriori算法对事务数据库进行关联挖掘获得关联模式,以挖掘出的关联模式为依据形成视频摘要。实验结果表明,挖掘精彩事件的查全率和查准率较高,具有实用价值。