基于EPSO-RVM的网络入侵检测模型

为了提高网络入侵检测的正确率,提出一种精英选择策略粒子群算法（EPSO）优化相关向量机（RVM）的网络入侵检测模型（EPSO-RVM）。将相关向量机的参数编码成粒子,将入侵检测正确率作为粒子群搜索的目标,通过粒子群算法对参数优化问题进行求解,并引入精英选择策略增强粒子群算法的全局搜索能力,根据最优参数建立基于RVM的入侵检测模型,采用KDD99数据集对其性能测试,结果表明,相对于对比模型,EPSO-RVM较好地解决了相关向量机参数优化难题,提高了网络入侵检测的正确率。     

结合优化支持向量机与K-means++的工控系统入侵检测方法

针对工业控制系统传统单一检测算法模型对不同攻击类型检测率和检测速度不佳的问题，提出一种优化支持向量机和K-means++算法结合的入侵检测模型。首先利用主成分分析法（PCA）对原始数据集进行预处理，消除其相关性；其次在粒子群优化（PSO）算法的基础上加入自适应变异过程避免在训练的过程中陷入局部最优解；然后利用自适应变异粒子群优化（AMPSO）算法优化支持向量机的核函数和惩罚参数；最后利用密度中心法改进K-means算法与优化后的支持向量机组合成入侵检测模型，从而实现工业控制系统的异常检测。实验结果表明，所提方法在检测速度和对各类攻击的检测率上得到明显提升。     

改进粒子群算法和支持向量机的网络入侵检测

网络入侵检测一直是网络安全领域中的研究热点,针对分类器参数优化难题,为了提高网络入侵检测准确性,提出一种改进粒子群算法和支持向量机相融合的网络入侵检测模型(IPSO-SVM).首先将网络入侵检测率作为目标函数,支持向量机参数作为约束条件建立数学模型,然后采用改进粒子群算法找到支持向量机参数,最后采用支持向量机作为分类器建立入侵检测模型,并在Matlab 2012平台上采用KDD 999数据进行验证性实验.结果表明,IPSO-SVM解决了分类器参数优化难题,获得更优的网络入侵分类器,提高网络入侵检测率,虚警率和漏报率大幅度下降.     

基于ACO-FS-SVM特征选择加权的网络入侵分类方法

特征选择和分类器设计是网络入侵分类的关键,为了提高网络入侵分类率,针对特征选择问题,提出一种蚁群算法优化SVM选择和加权特征的网络入侵分类方法.首先利用支持向量机的分类精度和特征子集维数加权构造了综合适应度指标,然后利用蚁群算法的全局寻优和多次优解搜索能力实现特征子集搜索;然后选择网络数据的关键特征,计算信息增益获得各个特征权重,并根据特征权重构建加权支持向量机的网络入侵分类器;最后设计了局部细化搜索方式,使得特征选择结果不含冗余特征的同时提高了算法的收敛性,并通过KDD1999数据集验证了算法有效性.结果表明,ACO-SVM有效降低了特征维数,提高了网络入侵检测正确率和检测速度.     

遗传算法同步选择特征和支持向量机参数的网络入侵检测

针对入侵检测系统产生的高维数据和支持向量机参数优化问题,提出一种遗传算法同步选择特征和支持向量机参数的网络入侵检测模型。首先将特征子集和支持向量机参数编码成染色体,将网络入侵检测的分类准确率作为种群个体的适应度值,然后通过遗传算法的全局搜索能力,同步找到对分类算法最有影响的特征组合和支持向量机最优参数,最后采用KDD99数据集进行仿真实验。结果表明,该模型可以快速找到最优特征子集和支持向量机参数,提高了网络入侵检测正确率,是一种较好的网络入侵检测算法。     

基于CQPSO-LSSVM的网络入侵检测模型

为了提高网络入侵检测率,提出一种协同量子粒子群算法和最小二乘支持向量机的网络入侵检测模型(CQPSO-LSSVM)。将网络特征子集编码成量子粒子位置,入侵检测正确率作为特征子集优劣的评价标准,采用协同量子粒子群算法找到最优特征子集,采用最小二乘支持向量机建立网络入侵检测模型,并采用KDD CUP 99数据集进行仿真测试。结果表明,CQPSO-LSSVM获得了比其他入侵检测模型更高的检测效率和检测率。     

基于云PSO 的RVM入侵检测

入侵检测可为计算机网络信息提供安全保障,在其方法研究中,由于相关向量机(RVM)具有高稀疏性且预测中使用概率因素,在网络入侵检测中优于支持向量机.然而RVM的核函数参数是经验估计的,为此,提出一种基于云模型的粒子群优化算法的RVM方法,即采用云粒子群算法确定RVM的核参数,构建RVM分类模型,再采用一对一分类方法进行多类检测分类.经入侵检测实验研究,所得结果表明所提出的方法优于基于常规相关向量机的检测方法,且具有更高的入侵检测精度.     

改进蚁群算法优化支持向量机的网络入侵检测

针对支持向量机参数优化问题,为了提高网络入侵检测率,提出一种变异蚁群算法优化支持向量机的网络入侵检测模型(MACO-SVM)。首先采用蚁群搜索路径节点代表支持向量机参数,并将网络入侵检测率为目标函数,然后通过蚁群算法的全局寻优能力和反馈机制寻找最优参数,并对蚂蚁进行高斯变异,克服蚁群陷入局部极值,最后将最优路径上的节点连接起来得到 SVM的最优参数,建立最优网络入侵检测模型。采用KDD99数据集对模型进行仿真实验,仿真结果表明,MACO-SVM的网络入侵检测速度要快于其它网络入侵检测模型,而且提高了网络入侵检测率。     

鲶鱼粒子群算法选择特征的支持向量机网络入侵检测

笔者针对网络特征选择问题,提出一种鲶鱼粒子群算法选择特征的支持向量机网络入侵检测(EPSO-SVM)。首先将"鲶鱼效应"因子引入粒子群优化算法,将网络特征子集编码成粒子位置串,其次将入侵检测率作为特征子集选择目标函数,通过鲶鱼粒子群找到最优特征子集,最后支持向量机根据最优特征子集构建网络入侵分类器,在KDDCup99数据集上进行仿真测试。结果表明,EPSO-SVM不仅能提高网络入侵检测率和检测速度,而且适用于现实高速网络应用环境。     

粒子群选择特征和信息增益确定特征权值的入侵检测

为了提高网络入侵检测正确率,提出一种粒子群算法(PSO)选择特征和信息增益(IG)法确定特征权值的网络入侵检测模型(PSO-IG)。首先采用PSO选择网络入侵特征子集,消除冗余特征;然后采用IG法确定特征子集中的特征权重,并采用支持向量机(SVM)建立分类模型;最后采用KDD CUP 99 数据集对PSO-IG的性能进行测试。测试结果表明:PSO-IG消除了冗余特征,降低了输入维数,提高了网络入侵检测速度;通过合理确定特征权值,提高了入侵检测正确率。     

基于Snort的混合入侵检测系统的研究与实现

在分析研究snon系统的优缺点的基础上,利用其开源性和支持插件的优势,针对其对无法检测到新出现的入侵行为、漏报率较高以及检测速度较低等问题,在snon系统的基础上结合入侵检测中的数据挖掘技术,提出一种基于snort系统的混合入侵检测系统模型。该系统模型在snort系统原有系统模型基础上增加了正常行为模式构建模块、异常检测模块、分类器模块、规则动态生成模块等扩展功能模块。改进后的混合入侵检测系统能够实时更新系统的检测规则库,进而检测到新的入侵攻击行为;同时,改进后的混合入侵检测系统具有误用检测和异常检测的功能,从而提高检测系统检测效率。     

一种SVM入侵检测的融合新策略

入侵检测是计算机网络安全中不可或缺的组成部分,其中异常检测更是该领域研究的热点内容。现有的检测方法中,SVM 能够在小样本条件下保持良好的检测状态。但是单一的SVM检测仍存在检测率不高、误报率过高等局限性。结合D-S证据理论,提出一种基于多SVM融合的异常检测方法,有效地弥补单个SVM检测的局限性。通过KDD99评测数据的评测实验表明,该方法有效地提高了入侵检测率的同时降低了误报率,大幅度地提高了入侵检测系统的检测性能。     

A hybrid artificial immune system and Self Organising Map for network intrusion detection

Network intrusion detection is the problem of detecting unauthorised use of, or access to, computer systems over a network. Two broad approaches exist to tackle this problem: anomaly detection and misuse detection. An anomaly detection system is trained only on examples of normal connections, and thus has the potential to detect novel attacks. However, many anomaly detection systems simply report the anomalous activity, rather than analysing it further in order to report higher-level information that is of more use to a security officer. On the other hand, misuse detection systems recognise known attack patterns, thereby allowing them to provide more detailed information about an intrusion. However, such systems cannot detect novel attacks.A hybrid system is presented in this paper with the aim of combining the advantages of both approaches. Specifically, anomalous network connections are initially detected using an artificial immune system. Connections that are flagged as anomalous are then categorised using a Kohonen Self Organising Map, allowing higher-level information, in the form of cluster membership, to be extracted. Experimental results on the KDD 1999 Cup dataset show a low false positive rate and a detection and classification rate for Denial-of-Service and User-to-Root attacks that is higher than those in a sample of other works.     

模式识别方法在入侵检测中的应用

将模式识别方法应用到入侵检测领域,用以区分正常和异常的用户或主机行为。采用KDD99作为实验数据集,通过计算信息增益,从原始数据中选取对分类结果影响较大的特征属性;再分别选取两种带监督的模式识别方法支持向量机(SVM)和多层神经网络(MNN)以及两种不带监督的聚类方法Single-Linkage和K-Means进行实验。实验结果表明,上述方法在入侵检测领域中具有很好的应用前景。     

一种基于数据挖掘技术的入侵检测模型

针对传统入侵检测规则手工定制的弊端和可扩展性差、适应性差等缺点,设计一种基于数据挖掘技术的可行入侵检测系统模型。模型中引入数据挖掘技术使其能得到计算机系统入侵行为和正常行为,并利用异常检测和误用检测的各自优势,引入混合入侵检测引擎模块。经分析,该检测模型比传统的检测模型有着明显的优势。     

基于混合AIS/SOM的入侵检测模型

针对异常检测信息获取不足的缺点,提出基于混合人工免疫系统(AIS)/自组织映射(SOM)的入侵检测模型。该模型采用人工免疫系统检测网络异常,对检测到的异常连接用自组织映射进行分类,应用KDDCUP99实验数据集进行仿真。结果表明该检测方法是有效的,能够将检测到的异常连接分类并给出异常连接的更多信息,检测和分类效率较高、误报率低。     

基于SVM技术的入侵检测

针对日益严重的网络入侵事件,提出了一种新的入侵检测方法．在对网络数据进行深刻的分析和研究的基础上,提出了基于支持向量机的入侵检测方法．首先,对1类SVM进行了必要的改进,使异常点聚集为一类（即环绕原点的一类）．然后,使用抽象化的网络数据对SVM进行训练,生成入侵事件的SVM分类器．实验表明,该方法是行之有效的．     

基于人工免疫的分布式入侵检测模型

针对现有分布式入侵检测系统交互流量大、单点失效及检测效率偏低的问题,基于人工免疫理论建立了一种新的分布式入侵检测模型,并提出了一种中心检测器配置及使用方法,并将异常检测与误用检测相结合。基于OMNeT+〖KG-*3〗+网络仿真平台设计了仿真模型,进行了仿真实验。仿真实验结果表明,改进模型交互流量明显减小,检测效率明显提高并有效解决了单点失效问题。仿真结果证明了改进模型的正确性与有效性。     

A hybrid machine learning approach to network anomaly detection

Zero-day cyber attacks such as worms and spy-ware are becoming increasingly widespread and dangerous. The existing signature-based intrusion detection mechanisms are often not sufficient in detecting these types of attacks. As a result, anomaly intrusion detection methods have been developed to cope with such attacks. Among the variety of anomaly detection approaches, the Support Vector Machine (SVM) is known to be one of the best machine learning algorithms to classify abnormal behaviors. The soft-margin SVM is one of the well-known basic SVM methods using supervised learning. However, it is not appropriate to use the soft-margin SVM method for detecting novel attacks in Internet traffic since it requires pre-acquired learning information for supervised learning procedure. Such pre-acquired learning information is divided into normal and attack traffic with labels separately. Furthermore, we apply the one-class SVM approach using unsupervised learning for detecting anomalies. This means one-class SVM does not require the labeled information. However, there is downside to using one-class SVM: it is difficult to use the one-class SVM in the real world, due to its high false positive rate. In this paper, we propose a new SVM approach, named Enhanced SVM, which combines these two methods in order to provide unsupervised learning and low false alarm capability, similar to that of a supervised SVM approach.We use the following additional techniques to improve the performance of the proposed approach (referred to as Anomaly Detector using Enhanced SVM): First, we create a profile of normal packets using Self-Organized Feature Map (SOFM), for SVM learning without pre-existing knowledge. Second, we use a packet filtering scheme based on Passive TCP/IP Fingerprinting (PTF), in order to reject incomplete network traffic that either violates the TCP/IP standard or generation policy inside of well-known platforms. Third, a feature selection technique using a Genetic Algorithm (GA) is used for extracting optimized information from raw internet packets. Fourth, we use the flow of packets based on temporal relationships during data preprocessing, for considering the temporal relationships among the inputs used in SVM learning. Lastly, we demonstrate the effectiveness of the Enhanced SVM approach using the above-mentioned techniques, such as SOFM, PTF, and GA on MIT Lincoln Lab datasets, and a live dataset captured from a real network. The experimental results are verified by m-fold cross validation, and the proposed approach is compared with real world Network Intrusion Detection Systems (NIDS).     

Petri网在IDS中的应用研究

传统的基于Petri网的入侵检测方法只能实现误用检测，而且构造入侵模式的效率太低，不适合如今网络大规模化和入侵复杂化的趋势。针对这两个问题，该文将传统入侵检测过程中的数据分析过程分解为事件产生过程和事件分析过程两个子过程，不仅保留了基于Petri网入侵检测方法原有的优势，而且缓解了入侵模式构造效率低的问题，并且实现了异常检测。实验分析表明，该改进方案对于入侵检测是很有效的。