基于熵的正常行为规则性度量

异常检测是防范新型攻击的基本手段。该文使用信息熵作为理论工具，用正常行为的熵相对于随机行为的熵的比值作为正常行为规则性的度量标准，并结合一个具体的异常检测实例验证了这种度量标准的合理性。     

一种改进的IDS异常检测模型

基于机器学习的异常检测是目前IDS研究的一个重要方向．该文对一种基于机器学习的用户行为异常检测模型进行了描述，在此基础上提出一种改进的检测模型．该模型利用多种长度不同的shell命令序列表示用户行为模式，建立多个样本序列库来描述合法用户的行为轮廓，并在检测中采用了以shell命令为单位进行相似度赋值的方法．文中对两种模型的特点和性能做了对比分析，并介绍了利用UNIX用户shell命令数据进行的实验．实验结果表明，在虚警概率相同的情况下改进的模型具有更高的检测概率．     

基于系统调用和数据挖掘的程序行为异常检测

异常检测是目前入侵检测研究的主要方向之一。该文提出一种新的程序行为异常检测方法,主要用于Linux或Unix平台上以系统调用为审计数据的入侵检测系统。该方法利用数据挖掘技术中的序列模式对特权程序的正常行为进行建模,根据系统调用序列的支持度和可信度在训练数据中提取正常模式。在检测阶段,通过序列模式匹配对被监测程序的行为异常程度进行分析,提供两种可选的判决方案。实验结果表明,该方法具有良好的检测性能。     

行人行为的奇异性检测和正常行为分类

提出了一种固定场景视频序列异常检测和正常行为分类的方法。该方法定义行人正常的走路和跑动为正常行为,最大的特点在于时空联合特征的选择。首先选用区域特征,通过分析正常行为找到特征的在时间上的统计规律,视频序列中行人不符合规律的行为被判定为异常。然后选用具有时空联合分布特点的目标轮廓特征,通过支持向量机（Support Vector Machine,SVM）进行训练,在训练的基础上判断目标行为是走路还是跑动。该方法在一定样本基础上进行了实验,实验结果表明,该方法能够较好进行行为检测和分类,性能比其他方法也有提高。     

聚类算法在入侵检测中的应用

入侵检测中对未知入侵的检测主要由异常检测完成,传统的异常检测方法需要构造一个正常行为特征轮廓的参考模型,但获取完全正常的数据比较困难。介绍的聚类技术是应用到入侵异常检测中的一种较为新颖的技术,是一种无需指导的异常检测技术,可以区分哪些是正常记录,哪些是异常记录。分析了将聚类方法应用于入侵检测中的可行性及对数据处理的标准化方法。另外,给出了基于覆盖的聚类算法与两种经典聚类算法的比较。     

系统调用序列的Markov模型及其在异常检测中的应用

建立了计算机系统中系统调用序列的Markov模型，并在此模型的基础上提出了一种用于计算机异常检测的方法，文章利用统计方法分析进程中系统调用的发生情况，定义了一个依赖于状态转移概率的失配因子，并用它来计算失配率，由此判断被监视进程进行的操作是正常行为还是异常行为，文章还提出了一种基于遗忘因子的状态转移概率的更新算法。     

Linux进程行为结构提取与异常检测

研究了Linux进程行为结构及其异常检测问题。讨论了程序结构和程序踪迹之间的联系，认为正常运行的进程在整体结构上总具有一定的规律性，并据此提出了进程行为“结构异常”的概念。在此基础上，采用Markov链概率预报模型，提出了一种序列分段检测的新策略，将进程的结构异常检测和统计异常检测有机结合起来，实验结果初步表明该方法是可行、有效的。最后简要说明了方法的优点和不足。     

基于对比记忆网络的弱监督视频异常检测

异常检测使用有限的训练集获得区分度高的特征，但是当异常实例与正常实例存在较多相似特征时，模型会因为异常特征参与正常特征编码产生误差。针对上述问题，提出了一种新型的对比记忆网络的弱监督视频异常检测方法。该方法在自动编码器的基础上使用对比学习框架，分离出与实际异常相似的样本特征，并设计记忆网络抑制正常样本内偏向异常的特征表达，提高了重建样本的稳定性。该算法构建了一种两阶段的异常行为检测网络。在阶段一，利用对比学习方法来增加正常行为特征和异常行为特征的差异，并利用该阶段学习到的特征构造记忆网络的增强项与抑制项。在阶段二，将记忆网络增强项设为多时刻正常行为特征，并利用记忆网络的抑制项更新增强项中偏向异常的特征信息，从而区分编码中正常与异常特征。该方法在UCF Crime和ShanghaiTech数据集的平均AUC值达到83.26%和87.53%,相较于现有方法分别提升了1.14%和2.43%。结果显示，该方法能够有效预测异常事件的发生时间。     

基于系统调用和齐次Markov链模型的程序行为异常检测

异常检测是目前入侵检测领域研究的热点内容.提出一种新的基于系统调用和Markov链模型的程序行为异常检测方法,该方法利用一阶齐次Markov链对主机系统中特权程序的正常行为进行建模,将Markov链的状态同特权程序运行时所产生的系统调用联系在一起,并引入一个附加状态;Markov链参数的计算中采用了各态历经性假设;在检测阶段,基于状态序列的出现概率对特权程序当前行为的异常程度进行分析,并根据Markov链状态的实际含义和程序行为的特点,提供了两种可选的判决方案.同现有的基于隐Markov模型和基于人工免疫原理的检测方法相比,提出的方法兼顾了计算成本和检测准确度,特别适用于在线检测.该方法已应用于实际入侵检测系统,并表现出良好的检测性能.     

可进化的入侵检测系统的模糊分类器研究

由于计算机网络中的正常行为和异常行为难以很好界定,所以许多入侵检测系统经常产生误报警。使用模糊逻辑推理方法,入侵检测系统的误报率则会明显降低,可以在入侵检测系统中,使用一套模糊规则和作用在该集合上的模糊推理算法,来判断是否发生了入侵事件。这种方法面临的主要问题是要有一个针对入侵检测的好的模糊算法。该文提出了一种使用遗传算法产生模糊分类器,以检测误用和入侵事件。主要思想是生成两个进化规则子集合,一个用于描述正常行为,一个用于描述异常行为。其中,正常行为规则进化信息来自正常使用时的操作行为,异常行为规则进化信息来自计算机网络受到入侵时的操作行为。     

基于隐马尔可夫模型的异常检测

首先建立了一个计算机系统运行状况的隐马尔可夫模型 ,然后在此模型的基础上提出了一个用于计算机系统实时异常检测的算法 ,这个算法根据最大信息熵原理 ,通过比较固定长度系统行为序列的平均信息熵和一个预先给定的阈值来检测入侵行为 .论文还给出了该模型的训练算法 .这个检测算法的优点是准确率高 ,算法简单 ,占用的存储空间很小 ,适合用于在计算机系统上进行实时检测     

一种基于深度迁移学习的滚动轴承早期故障在线检测方法

近年来,深度学习技术已在滚动轴承故障检测和诊断领域取得了成功应用,但面对不停机情况下的早期故障在线检测问题,仍存在着早期故障特征表示不充分、误报警率高等不足.为解决上述问题,本文从时序异常检测的角度出发,提出了一种基于深度迁移学习的早期故障在线检测方法.首先,提出一种面向多域迁移的深度自编码网络,通过构建具有改进的最大...     

基于各向异性质心Voronoi图的网络异常检测技术

网络异常检测技术是入侵检测研究领域中的重要内容,但在检测率和误报率上存在相互制约的问题,导致实际应用中性能不高。基于各向异性质心Voronoi图,提出一种新的网络异常检测算法。在新算法中,首先对数据集用各向异性质心Voronoi图进行聚类,然后计算每个数据点的点密度,判断数据点是否正常。通过KDD Cup1999数据集的实验测试表明,新算法具有较高的检测率和较低的误报率。     

监控视频异常行为检测的概率记忆自编码网络

异常行为检测是智能监控系统中重要的功能之一, 在保障社会治安等方面发挥着积极的作用. 为提高监控视频中异常行为的检测率, 从学习正常行为分布的角度出发, 设计基于概率记忆模型的半监督异常行为检测网络, 解决正常行为数据与异常行为数据极度不均衡的问题. 该网络以自编码网络为主干网络, 利用预测的未来帧与真实帧之间的差距来衡量异常程度. 在主干网络提取时空特征时, 使用因果三维卷积和时间维度共享全连接层来避免未来信息的泄露, 保证信息的时序性. 在辅助模块方面, 从概率熵和正常行为数据模式多样性的角度, 设计概率模型和记忆模块提高主干网络视频帧重建质量. 概率模型利用自回归过程拟合输入数据分布, 促使模型收敛于正常分布的低熵状态; 记忆模块存储历史数据中的正常行为的原型特征, 实现多模式数据的共存, 同时避免主干网络的过度参与而造成对异常帧的重建. 最后, 利用公开数据集进行消融实验和与经典算法的对比实验, 以验证所提算法的有效性.     

基于相对熵理论的多测度网络异常检测方法

检测率低、误报率高和检测攻击范围不够全面已经成为制约网络异常检测发展的最大障碍,为了提高检测率,降低误报率,扩大检测攻击范围,提出了一种新的网络异常检测方法。首先,对网络流量进行统计分析并引入相对熵理论来表征测度对应的全概率事件;然后,通过加权系数融合多个测度相对熵而得到加权相对熵;最终,以综合的多测度加权相对熵作为网络异常判断的依据。实验数据采用DARPA1999测评数据集,实验结果表明该方法在低误报率的前提下,达到了较高的检测率。     

在线自适应网络异常检测系统模型与算法

随着因特网等计算机网络应用的增加,安全问题越来越突出,对具有主动防御特征的入侵检测系统的需求日趋紧迫.提出一个轻量级的在线自适应网络异常检测系统模型,给出了相关算法.系统能够对实时网络数据流进行在线学习和检测,在少量指导下逐渐构建网络的正常模式库和入侵模式库,并根据网络使用特点动态进行更新.在检测阶段,系统能够对异常数据进行报警,并识别未曾见过的新入侵.系统结构简单,计算的时间复杂度和空间复杂度都很低,满足在线处理网络数据的要求.在DARPAKDD99入侵检测数据集上进行测试,10%训练集数据和测试集数据以数据流方式顺序一次输入系统,在40s之内系统完成所有学习和检测任务,并达到检测率91.32%和误报率0.43%的结果.实验结果表明系统实用性强,检测效果令人满意,而且在识别新入侵上有良好的表现.     

网络异常行为的检测方法

提出了基于数据挖掘技术的网络异常检测方案，并给出核心模块的算法实现。首先使用静态关联规则挖掘算法和领域层面挖掘算法刻画系统的网络正常活动简档，然后通过动态关联规则挖掘算法和领域层面挖掘算法输出表征对系统攻击行为的可疑的规则集，这些规则集结合从特征选择模块中提取网络行为特征作为分类器的输入，以进一步降低误报率。在DARAP1998、DARAP1999入侵检测评估数据集上的实验证明了该方法的有效性。     

基于流量信息结构的异常检测

由于人们对网络流量规律的认识还不够深入,大型高速网络流量的异常检测仍然是目前测量领域研究的一个难点问题.通过对网络流量结构和流量信息结构的研究发现,在一定范围内,正常网络流量的IP、端口等具有重尾分布和自相似特性等较为稳定的流量结构,这种结构对应的信息熵值较为稳定.异常流量和抽样流量的信息熵值以正常流量信息熵值为中心波动,构成以IP、端口和活跃IP数量为维度的空间信息结构.据此对流量进行建模,提出了基于流量信息结构的支持向量机(support vector machine,简称SVM)的二值分类算法,其核心是将流量异常检测转化为基于SVM的分类决策问题.实验结果表明,该算法具有很高的检测效率,还初步验证了该算法的抽样检测能力.因此,将该算法应用到大型高速骨干网络具有实际意义.     

基于免疫智能的网络异常检测算法

网络异常检测模型可以用来检测未知攻击,具有良好的可扩展性,是目前入侵检测系统研究的热点。但目前的异常检测方法存在着误报率较高、检测效率不能满足高速网络实时检测需求等问题。本文通过对免疫智能算法与网络异常研究,提出了一种基于免疫智能的网络异常检测算法AIAIK。理论分析和实验说明改算法具有自然免疫系统的免疫网络、非线性、免疫记忆和克隆选择等良好特性,实验检测效果良好。