相对熵密度偏差在入侵检测模型中的应用

针对入侵检测系统(IDS)中基于训练数据选择较好的异常检测模型。使用相对熵密度偏差作为模型之间的度量。通过分析模型的分布与训练数据真实分布的差异,根据原数据本身的相依关系,使用较少的数据选择出较好的适用检测模型。实验结果证明针对所给的数据,隐马氏模型(HMM)要好于马氏链模型(MCM)。     

HMM参数估计的Gibbs抽样算法

隐马氏模型(HMM)的参数估计是隐马氏模型各种应用的关键。经典的Baum-Welch算法容易陷入局部最优,对初始参数的要求苛刻。HMM参数估计的Gibbs抽样法,充分利用模型先验信息,借助马氏链蒙特卡洛方法(MCMC)的强大计算功能,避免了陷入局部最优,有更好的效果。     

基于肤色信息马氏距离图的人脸检测

提出了一种基于肤色信息的人脸检测方法。构造了皮肤颜色模型、检测图像的皮肤区域，并计算出该区域相对于皮肤的马氏距离图。根据马氏距离图寻找特征脸子空间，构造出BP神经网络。以马氏距离图在各特征脸子空间的投影系数为BP神经网络的输入，计算该区域是否为人脸图像。实验证明，该方法是有效的。     

基于肤色马氏距离图的人脸检测

介绍利用肤色信息、特征脸与径向基概率神经网络相结合的方法进行人脸检测,能准确快速地检测出彩色图像中的人脸区域.首先构造皮肤YUV颜色模型,检测彩色图像中的皮肤区域,并计算出该区域相对于皮肤的马氏距离图;根据其马氏距离图利用主成分分析法构建特征脸子空间;构造出径向基概率神经网络,以马氏距离图在各特征脸子空间的投影系数为网络的输入.计算出该区域是否是人脸图像.实验证明,这种方法是有效的.     

基于马氏链遗传与繁衍模型的随机L-系统

生物基因从亲代到子代的遗传具有马氏性,基于马氏链遗传与自繁衍模型的随机L-系统,将虚拟生物的形态生成模型与遗传生物学结合起来,同时,为人工生命的实现提供了有益的尝试。     

饱和增长模型度分布的数值计算与仿真

提出Logistic饱和增长模型和(M, r)饱和增长模型,这2种模型克服了BA模型初始网络的不明确性,更符合现实网络连线数随着时间的增长规律。采用马氏链方法,分析得到2种模型网络结点度分布的矩阵迭代公式。数值计算结果显示,2种饱和模型的网络结点度分别服从衰减指数?=-3.25和?=-3.18的幂律分布。同时,对2种饱和模型进行计算机模拟,并与马氏链矩阵迭代公式的数值计算结果相比,从而验证理论分析的正确性,也阐明2种饱和模型关于时间是不稳定的。     

结合马氏距离与自编码器的网络流量异常检测方法

当前网络流量数据规模较大且分布不均衡,传统网络流量异常检测方法检测准确率较低。提出一种结合马氏距离和自编码器的检测方法,使用马氏距离倒数及判别阈值快速检测部分正常数据以减少训练数据量,同时,在自编码器代价函数中添加马氏距离度量项以增强自编码器的特征提取能力。在此基础上,将自编码器与分类器相结合以解决网络参数初始化问题,并通过调整自编码神经网络交叉熵损失函数中各项的权重,提高自编码神经网络对数据分布不均衡数据集的训练效果。实验结果表明,该方法在CICIDS2017数据集、NSL-KDD数据集上的异常检测准确率分别高达97.60%、99.84%,在CICIDS2017数据集上的F1值为0.941 3,高于DNN、LSTM、C-LSTM等方法。     

独立分量分析结合马氏距离的非监督损伤识别方法

为了解决结构损伤识别中监督学习方法在实际中难以获得损伤样本的限制,提出基于独立分量分析ICA( IndependentComponent Analysis)结合马氏距离判断结构损伤的方法.首先采用ICA方法提取统计独立源信号和混合矩阵,将混合矩阵作为特征参数输入至马氏距离判别函数,然后根据结构健康状态的马氏距离设计门限值,该门限值与检测信号的马氏距离的比较结果作为损伤判断的依据.在冲击载荷作用下,对钢框架结构模型进行了振动实验,结果表明:ICA方法提取的混合矩阵是一种有效的损伤特征参数,基于ICA和马氏距离的非监督学习方法能够正确识别结构损伤,从而为结构健康监测提供了一种行之有效的损伤识别方法.     

基于免疫原理的入侵检测算法研究

将生物免疫思想引入入侵检测系统中,提出了一种新的基于免疫的入侵检测模型;分析了网络中数据的特性,引入马氏距离,从而将字符串比较转化为数值计算以此解决了匹配的效率问题。该算法充分利用了网络中的数据包数量,考虑了各部之间的关系。实验结果表明,本文算法可得到很好检测效果。     

基于GMM的马氏距离kNN故障检测方法研究

工业过程数据变量呈现非线性、非高斯性与变量之间分布不均等问题。针对数据变量分布不均等问题,提出利用高斯混合模型GMM(Gaussian mixture model),将马氏距离(Mahalanobis distance)与kNN(k nearest neighbors)相结合的故障检测方法,即:基于GMM的马氏距离kNN故障检测方法(GMM—MDkNN)。首先利用高斯混合模型GMM将训练样本数据分为K类,然后利用相应数据类的变量协方差信息计算样本间的马氏距离,得到样本的k近邻样本马氏距离和,并将其作为故障检测的指标。将此方法应用到TE连续工业过程监测实例中,结果表明了该方法的有效性。     

基于隐马尔可夫模型的网络入侵检测方法

介绍了基于隐马尔可夫模型的网络入侵检测系统的检测方法,并且建立了两个隐马尔可夫模型,通过对数据包的分析,得出系统的检测结果.实验数据表明,该方法能有效地提高异常检测效率,对入侵检测具有重要价值.     

基于系统调用和齐次Markov链模型的程序行为异常检测

异常检测是目前入侵检测领域研究的热点内容.提出一种新的基于系统调用和Markov链模型的程序行为异常检测方法,该方法利用一阶齐次Markov链对主机系统中特权程序的正常行为进行建模,将Markov链的状态同特权程序运行时所产生的系统调用联系在一起,并引入一个附加状态;Markov链参数的计算中采用了各态历经性假设;在检测阶段,基于状态序列的出现概率对特权程序当前行为的异常程度进行分析,并根据Markov链状态的实际含义和程序行为的特点,提供了两种可选的判决方案.同现有的基于隐Markov模型和基于人工免疫原理的检测方法相比,提出的方法兼顾了计算成本和检测准确度,特别适用于在线检测.该方法已应用于实际入侵检测系统,并表现出良好的检测性能.     

基于隐马尔科夫模型和神经网络的入侵检测研究

针对目前的基于隐马尔科夫模型的入侵检测和基于神经网络入侵检测各自的不足之处,提出一种基于隐马尔科夫模型和神经网络的混合入侵检测方法。主要是从网络协议的角度入手,把TCP数据包作为分析对象,给出一种确定观察值的方法,把隐马尔科夫模型的输出作为神经网络的输入,神经网络的输出是最终的结果。最后通过实验证明了此混合入侵检测方法比单独使用隐马尔科夫模型或者是单独使用神经网络的检测方法有更低的误报率和漏报率。     

基于Snort系统的网络入侵检测模型的研究

网络入侵检测是网络安全领域研究的热点问题,通过应用分组交换检测机制和Markov链,提出基于Snort系统的IDS模型,设计Snort系统规则库和检测引擎。分析结果表明,改进模型和方法可以提高网络入侵检测中海量数据的检测准确率和效率。     

基于HMM的系统调用序列异常入侵检测

本文首先介绍了入侵检测的发展状况,接着用马尔可夫和BW算法进行建模;然后以系统调用执行迹这类常用的入侵检测数据为例,验证该模型的工作效果,最后将计算机仿真结果与其他检测方法进行了比较。通过实验和比较发现,基于HMM的系统调用序列的异常检测率比其他方法有明显的提高。     

Probabilistic techniques for intrusion detection based on computeraudit data

This paper presents a series of studies on probabilistic properties of activity data in an information system for detecting intrusions into the information system. Various probabilistic techniques of intrusion detection, including decision tree, Hotelling's T² test, chi-square multivariate test, and Markov chain are applied to the same training set and the same testing set of computer audit data for investigating the frequency property and the ordering property of computer audit data. The results of these studies provide answers to several questions concerning which properties are critical to intrusion detection. First, our studies show that the frequency property of multiple audit event types in a sequence of events is necessary for intrusion detection. A single audit event at a given time is not sufficient for intrusion detection. Second, the ordering property of multiple audit events provides additional advantage to the frequency property for intrusion detection. However, unless the scalability problem of complex data models taking into account the ordering property of activity data is solved, intrusion detection techniques based on the frequency property provide a viable solution that produces good intrusion detection performance with low computational overhead     

An adaptive sensor network for home intrusion detection by human activity profiling

An adaptive sensor network for home intrusion detection is proposed. The sensor network combines profile-based anomaly detection and adaptive information processing based on hidden Markov models (HMM) that allow the system to train and tune the profiles automatically. The trade-off between miss-alarms and false alarms has been studied experimentally. Several types of hypothetical intrusion have been tested and successfully detected. However, hypothetical anomalies such as supposing that a resident has fallen down due to sudden illness have been difficult to detect.     

基于Improved-HMM的进程行为异常检测

针对传统隐马尔可夫模型(HMM)状态转移概率仅与前一状态有关的不足,提出了一种改进的隐马尔可夫模型(Im-proved-HMM),该模型考虑到状态转移概率与前两时刻状态相关,旨在提高异常检测准确率。用基于Improved-HMM的Baum-Welch(BW)算法对正常进程行为进行建模,并采用滑动窗口的方法,检测进程行为是否处于异常状态。实验结果表明,该模型的检测准确率高于传统的HMM模型,能及时、准确检测到进程行为的异常。     

基于模糊滑窗隐马尔可夫模型的入侵检测研究

针对传统基于隐马尔可夫模型（HMM）入侵检测中普遍存在误报与漏报过高的问题，提出了一种基于模糊窗口隐马尔可夫模型（FWHMM）的入侵检测新方法。该方法通过运用状态转移依赖滑窗的设置提高了系统的检测精度，通过将状态的随机转移转变为模糊随机转移，提高了系统的鲁棒性和自适应性。实验结果表明,使用本文方法的检测效果要明显优于基于经典HMM的方法。     

基于线性预测与马尔可夫模型的入侵检测技术研究

入侵检测技术是现代计算机系统安全技术中的重要组成部分．该文提出了基于线性预测与马尔可夫模型相结合的入侵检测方法．首先提取特权进程的行为特征，引入时间序列分析技术——用线性预测技术对特权进程产生的系统调用序列提取特征向量来建立正常特征库，并在此基础上建立了马尔可夫模型．由马尔可夫模型产生的状态序列计算状态概率，根据状态序列概率来评价进程行为的异常情况．然后，利用马尔可夫信源熵与条件熵进行参数选取，对模型进行优化，进一步提高了检测率．实验表明该算法准确率高、实时性强、占用系统资源少．