基于多维聚类挖掘的异常检测方法研究

网络异常检测是网络管理中非常重要的课题,因此已在近年来得到广泛研究.人们在该领域提出了许多先进的网络流量异常检测方法,但是自动准确地对网络流量进行分类和识别来发现网络中的异常流量仍然是一个非常具有挑战性的问题.文中提出了一种基于多维聚类挖掘的异常检测方法,通过两个阶段来实现异常检测.第一阶段先通过多维聚类挖掘算法,自动对网络中的流量进行多维聚类,第二阶段通过计算多维聚类的异常度来实现异常检测.通过文中的方法,网络中的异常流量被自动归类到不同的有意义的聚类中,通过对这些聚类进行分析可以发现网络中的异常行为.最后通过实验对算法进行了验证,结果表明该方法能够有效检测网络中的异常流量.     

内部威胁检测中用户属性画像方法与应用

随着信息技术与互联网技术在企业组织中的广泛应用,企业安全面临着前所未有的挑战。大多数企业既面临着企业外部的攻击,也面临着内部人员的内部攻击。由于缺乏及时有效的检测手段,内部攻击对企业和组织造成的损害在一定程度上比外部攻击更加严重。在组织和企业内部,“人”是实施破坏行为的主体,是内部威胁检测中的主要研究对象。针对现有内部威胁检测中对内部员工完全隔离监管方法的相似威胁检测关联性低、检测效率低等问题,文中把研究重点从发现诱因转移到相似用户的聚类和监管上,以组织内的用户作为研究主体,提出了内部威胁检测中用户属性画像方法。该方法首先定义了画像相似度计算方法;然后,从用户性格、人格、过往经历、工作状态、遭遇的挫折等多方面着手,利用本体理论、标签式画像方法将多因素整合;最后,通过改进的K-Means算法实现用户聚类与分组管理,实现了潜在恶意用户共同监管的目的,减少了相似破坏多次发生的可能性。实验结果证明了所提方法的可行性,其为组织预防内部威胁提供了思路和方法。     

基于流量大数据的网络异常行为分析在“关基”领域的应用

网络空间发展给人们的生活和工作带来了很大的改变,同时也因为网络攻击不断出现,网络威胁已经成为安全领域的重大问题。随着网络攻击手段的多元化、工具的自动化/动态化/智能化,尤其对于海量网络流量场景的异常行为分析场景,传统的基于包特征的网络异常行为检测方法已经难以满足现有的网络安全需求。本文介绍一种基于流量大数据的网络异常行为分析方法,该方法是大数据分析技术在网络行为检测方面的深度运用,已经在一些关键信息基础设施（简称“关基”）网络中得到应用。该方法基于流量行为的规律特征,通过异常行为检测分析规则,对各种网络流量数据进行多维度的深度行为规律分析,实现对网络异常行为的发现、跟踪、溯源及潜在风险的预测;该方法解决了通常安全设备无法感知新型未知攻击行为和溯源困难的问题,尤其是适用各种中大型的网络环境,能够进一步保障关键信息基础设施等大型网络的安全稳定。     

基于低秩分解的网络异常检测综述

异常检测对于网络管理与安全至关重要.国内外大量研究提出了一系列网络异常检测方法,其中大多数方法更关注数据包及其独立时序数据流的分析、检测与告警,这类方法仅仅利用了网络数据之间的时间相关性,无法检测新类型的网络异常,且难以定位以及剔除异常数据.为了解决上述问题,相关研究融合多时间序列数据流,提出基于低秩分解的网络异常检测方法.该方法充分利用网络数据之间的时间-空间相关性,无监督地定位异常数据所在位置,同时将异常数据剔除,从而还原网络正常数据.首先,根据其对正常数据与异常数据的不同类型约束,将基于低秩分解的异常检测方法分为4类,并介绍每一类方法的基本思想和优缺点;然后,探讨现有基于低秩分解的异常检测方法存在的挑战;最后,对未来可能的发展趋势进行了展望.     

基于机器学习的用户与实体行为分析技术综述

随着网络安全技术的更新迭代,新型攻击手段日益增加,企业面临未知威胁难以识别的问题。用户与实体行为分析是识别用户和实体行为中潜在威胁事件的一种异常检测技术,广泛应用于企业内部威胁分析和外部入侵检测等任务。基于机器学习方法对用户和实体的行为进行模型建立与风险点识别,可以有效解决未知威胁难以检测的问题,增强企业网络安全防护能力。回顾用户与实体行为分析的发展历程,重点讨论用户与实体行为分析技术在统计学习、深度学习、强化学习等3个方面的应用情况,研究具有代表性的用户与实体行为分析算法并对算法性能进行对比分析。介绍4种常用的公共数据集及特征工程方法,总结两种增强行为表述准确性的特征处理方式。在此基础上,阐述归纳典型异常检测算法的优劣势,指出内部威胁分析与外部入侵检测的局限性,并对用户与实体行为分析技术未来的发展方向进行展望。     

基于机器学习的移动自组织网络入侵检测方法

移动自组织网络是由无线移动节点组成的复杂分布式通信系统。研究了移动自组织网络的入侵检测问题,采用了一种新型的基于机器学习算法的异常入侵检测方法。该方法获取正常事件的内部特征的相互关系模式,并将该模式作为轮廓检测异常事件。在Ad hoc 按需距离向量协议上实现了该方法,并在网络仿真软件QualNet中对其进行了评估。     

基于异常检测的网络预警系统结构研究

基于校园网络的现状,利用现有的各种资源,针对入侵检测中新型攻击方式不易发现和虚警率高等问题,提出了一个基于网络异常行为检测的安全预警系统结构。并对该系统结构涉及的相关技术和算法进行了研究。     

软件定义网络中的异常流量检测研究进展

软件定义网络(software defined networking,简称SDN)是一种新型的网络架构.SDN将控制层从数据层分离并开放网络接口,以实现网络集中控制并提高网络的可扩展性和编程性.但是SDN也面临诸多的网络安全威胁.异常流量检测技术可以保护网络安全,防御恶意流量攻击.对SDN异常流量检测进行了全面的研究,归纳了数据平面和控制平面可能遭受到的网络攻击;介绍并分析了位于应用平面、控制平面和中间平台的异常流量检测框架;探讨了异常流量识别机制、负载均衡机制、异常流量追溯机制和异常缓解机制;最后指明SDN异常流量检测在未来工作中的研究方向.     

基于深度学习的视频异常检测方法综述

近年来,随着视频监控技术的广泛应用,对海量视频进行智能分析并及时发现其中的异常状态或事件的视频异常检测任务受到了广泛关注。对基于深度学习的视频异常检测方法进行了综述。首先,对视频异常检测问题进行概述,包括基本概念、基本类型、建模流程、学习范式及评价方式。其次,提出将现有基于深度学习的视频异常检测方法分为基于重构的方法、基于预测的方法、基于分类的方法及基于回归的方法4类并详细阐述了各类方法的建模思想、代表性工作及其优缺点。然后,在此基础上介绍了常用的单场景视频异常检测公开数据集和评估指标,并对比分析了代表性异常检测方法的性能。最后,总结全文并从数据集、方法及评估指标3方面对视频异常检测研究的未来发展方向进行了展望。     

电网工控系统流量异常检测的应用与算法改进

“两化融合”的工业控制网络的安全问题不断突显.电力作为国家重要基础设施,其电网工控系统的安全防护工作极其重要.本文根据电网工控系统中控制网的内防水平低且其安全监测和防护缺乏内部网络流量异常检测的现状,分析了电网工控系统的组成结构、网络安全需求及面临的威胁.提出了将流量异常检测技术应用于针对电网工控系统控制网的安全防护中,形成针对电网工控系统控制网的两级安全防护.然后研究了流量异常检测方法的分类和特点以及电网工控系统的网络流量数据特点,提出了基于熵的动态半监督K-means算法并辅以单类支持向量机对半监督K-means算法进行改进,为提升电力系统内防水平奠定基础.     

通过流量和数据包综合估计内网感染蠕虫概率的研究*

提出了一种分析内网感染蠕虫可能性大小的方法。对通过内网交换机上的数据包使用蠕虫行为进行分析,得到行为异常的数据包数量,然后使用AR模型分析异常数据包的数量得到异常数据包的增长率;对内网异常流量和异常数据包增长率加权,并对它们综合估计得到内网中感染蠕虫概率的大小。实验表明该方法有效可行。     

基于K层特征模型的异常流量识别算法

针对在NetFlow数据流的环境中，如何解决海量数据识别的问题，提出基于K层特征模型的异常流量识别算法。采用优先级策略依次打开索引表，读取异常行为，并与异常行为的特征值逐条匹配，匹配成功作标记，确定异常行为类型。实验结果表明，该算法能够快速有效地识别异常数据流，提高了海量数据识别的实效性，有效地解决了网络安全问题，达到设计目标。     

基于不完整数据的异常信号检测方法

针对异常电磁信号检测中常见的输入数据存在参数缺失的问题,提出一种基于不完整数据的异常信号检测方法。该方法借鉴几何数学的思想,通过将缺失数据与正常数据进行比对,分析出缺失数据异常的可能性,给出该数据的异常概率计算方法。通过该异常概率能直接检测出部分异常信号,并给出剩余不完整数据的异常可能性的排序,从而有利于在资源有限时优先处理异常概率高的信号,达到处理资源优化配置的目的。实验结果表明,该方法能给出缺失数据点的异常概率。     

基于XGBoost方法的社交网络异常用户检测技术

针对传统社交网络异常用户检测算法应用于现实中非平衡数据集时存在召回率低、运行效率低等问题,对社交网络数据集提取用户内容、行为、属性、关系特征,应用梯度增强集成分类器XGBoost算法进行特征选择,建立分类模型,构造非平衡数据集并识别三类垃圾广告发送账号。实验结果表明,该方法与随机森林等传统分类方法相比,对平衡及非平衡数据集进行异常用户检测均实现召回率和◢F▼◣▽1值的有效提升;同时其选取少量特征同样可达到较高检测水平,证明了方法的有效性。     

基于模板库的异常信号告警与定性研究

异常信号告警与定性是频谱管理系统的重点扩展功能。分析了异常信号的特征参数、成因与常见定性规则,提出了基于可定制模板库的挂接式异常信号告警与定性方法。描述了模板库的组成,可根据不同系统条件自由定制或导入。可以挂接的方式集成到所属频谱管理系统,实现功能扩展而不影响系统主体结构。自动基于模板库,实时监视收集到的电磁信号数据,通过条件触发告警或延伸业务,完成异常信号的告警与定性。     

核零空间方法在乳腺癌异常检测中的应用

当今时代,乳腺癌越来越成为了女性的高发病,因此尽早地排除异常因素,进行对症治疗,可以大大降低疾病风险.考虑到乳腺癌数据特征比较多,并且往往不仅存在线性特征还隐含着很多非线性特征,针对这一问题提出利用核零空间算法来进行乳腺癌的异常检测.首先利用核函数将所有的正常样本进行非线性映射变换到高维空间,再通过零空间变换将类内散度...     

校园网流量异常检测与处理方法

随着校园网日益规模化和复杂化,校园网安全威胁越来越严重,因网络攻击等因素导致网络流量异常时有发生,流量异常检测与处理显得日益重要.本文对校园网络中流量异常进行分类,分析产生各种流量异常的原因,并提出相应的检测与处理方法;针对目前网络攻击异常处理方法存在的不足,从确保校园用户正常业务不受任何影响的前提出发,设计出一种校园...     

基于视频的人体异常行为识别与检测方法综述

作为计算机视觉的重要分支,异常行为识别与检测技术已在智能安防、医疗监护、交通管控等领域获得了广泛应用.对异常行为的界定及判别方法与场景因素紧密相关,针对不同应用场景特点,适当选择特征提取及异常行为识别与检测方法,进而保证预警准确率,在实际应用中至关重要.基于此,对基于视频的人体异常行为识别与检测方法进行综述,首先给出人体异常行为的定义、特点及分类;其次,对特征提取方法进行总结,特征提取方法的选取及提取特征的好坏直接影响后续判别结果;再次,从异常行为识别和异常行为检测两个角度对异常行为判别方法进行分析和讨论,给出常用异常行为检测数据集及相关算法表现;最后,对本领域未来研究方向提出展望.     

嵌入式多核平台调试技术

多核处理器因其处理能力和功耗的潜在优势,逐渐应用于嵌入式系统中．而多核体系的并行程序调试难度将直接影响到产品的释放周期,其调试过程的复杂度将随着片上核数的增加而呈指数上升．本文针对多核平台中常见的异常问题,通过分析MIPS架构的软硬件平台工作原理,介绍了一种嵌入式多核系统的调试方法,实现对简单程序的跟踪分析,方便了多核系统的调试．