Architecture for an artificial immune system

An artificial immune system (ARTIS) is described which incorporates many properties of natural immune systems, including diversity, distributed computation, error tolerance, dynamic learning and adaptation, and self-monitoring. ARTIS is a general framework for a distributed adaptive system and could, in principle, be applied to many domains. In this paper, ARTIS is applied to computer security in the form of a network intrusion detection system called LISYS. LISYS is described and shown to be effective at detecting intrusions, while maintaining low false positive rates. Finally, similarities and differences between ARTIS and Holland's classifier systems are discussed.     

基于数据聚类的网络安全防护态势优化方法

针对传统的模糊特征检测方法不适应当前应用的问题,提出一种基于数据聚类的网络安全防护态势优化新方法。首先,构建网络安全状态分布模型,采用大数据挖掘方法对网络安全信息进行数据挖掘。其次,利用新型入侵识别检测方法对所设计的网络安全估计状态进行自适应特征提取,提取网络安全状况的特征数据集和处理单元。然后采用模糊C平均数据聚类方法(FCM)提取综合信息。对入侵特征信息流进行分类,根据属性分类结果进行网络安全态势预测,实现安全态势评估。最后基于不同场景下进行实验,结果表明,所提算法适用于网络安全的场景,准确性和鲁棒性都得到了验证。     

自适应入侵检测专家系统模型

大多数入侵检测系统不能适应网络环境的变化，即不具备自适应性。针对此情况，提出了自适应策略，该策略由状态空间和策略空间构成，状态空间用来描述网络环境，策略空间用来描述采用的策略。对于状态空间中的某一具体的环境状态，在策略空间存在唯一的策略与之对应。在构建自适应策略的基础上，将基于规则的推理和基于事例的推理相结合，设计了自适应入侵检测专家系统模型(AIDESM)。AIDESM既有专家知识库，又有入侵事例库，利用自适应策略和评价学习机制，能够实现自适应入侵检测。实验结果表明，该自适应策略是比较有效的。     

基于孤立点检测的自适应入侵检测技术研究

传统的入侵检测技术主要是从已知攻击数据中提取出每种具体攻击的特征规则模式,然后使用这些规则模式来进行匹配。然而基于规则的入侵检测的主要问题是现有的规则模式并不能有效应对持续变化的新型入侵攻击。针对这一问题,基于数据挖掘的入侵检测方法成为了入侵检测技术新的研究热点。本文提出了一种基于孤立点挖掘的自适应入侵检测框架,首先,基于相似系数寻找孤立点,然后对孤立点集合进行聚类,并使用改进的关联规则算法来从孤立点聚类结果中提取出各类入侵活动的潜在特征模式,然后生成可使用的匹配规则模式来添加到现有的规则模式中去,进而达到自适应的目的。本文使用KDD99的UCI数据集进行孤立点挖掘,然后使用IDS Snort的作为实验平台,使用IDS Informer模拟攻击工具进行测试,这两个实验结果表明了本文所提出算法的有效性。     

SVM-DT-Based Adaptive and Collaborative Intrusion Detection

As a primary defense technique, intrusion detection becomes more and more significant since the security of the networks is one of the most critical issues in the world. We present an adaptive collaboration intrusion detection method to improve the safety of a network. A self-adaptive and collaborative intrusion detection model is built by applying the Environmentsclasses, agents, roles, groups, and objects (E-CARGO) model. The objects, roles, agents, and groups are designed by using decision trees (DTs) and support vector machines (SVMs), and adaptive scheduling mechanisms are set up. The KDD CUP 1999 data set is used to verify the effectiveness of the method. The experimental results demonstrate the feasibility and efficiency of the proposed collaborative and adaptive intrusion detection method. Also, the proposed method is shown to be more predominant than the methods that use a set of single type support vector machine (SVM) in terms of detection precision rate and recall rate.      

一种应用免疫原理的入侵检测原型系统

近年来,借鉴生物免疫原理对入侵检测系统进行的改进在不断进行中,本文对新墨西哥大学的研究学者设计的基于免疫原理的入侵检测原型系统LISYS的运行机制进行分析并进行改进。     

基于激素调节免疫网络聚类的入侵检测系统

生物体的内分泌系统是一个高度进化的智能系统,通过激素调节着生物体的神经、免疫系统。受其启发而得到的人工内分泌系统具有强大的调控机制,将其内分泌激素用来调节人工免疫网络的抗体种群进化过程,利用亲合度函数动态调节抗体的克隆规模和网络压缩的规模,充分发挥优秀个体的先进特性来刺激亲合度成熟,并能动态调控种群规模,实现自适应、智能化的网络学习,尤其当样本集边界模糊以及存在噪声样本时,该网络依然可以通过自适应调节有效聚类。最终进化出一个小规模网络来映射原始入侵检测数据集的内在结构。最后,利用图论中的最小生成树对网络结构进行分析,获得描述正常和异常行为的数据特征,得到入侵检测系统的正常模型,由此构建出入侵检测系统。通过在KDD CUP数据集的对比仿真实验,验证了该系统的有效性和可行性,以及对未知攻击的检测能力。     

基于Focal Loss和卷积神经网络的入侵检测

入侵检测是信息安全防护领域中的一个重要环节。随着网络技术的发展,主动防御网络入侵变得越来越重要,同时入侵数据变得更加海量、复杂和不平衡,这导致传统的入侵检测技术的检测性能比较低,因此如何提高入侵检测系统的性能对于不平衡数据集的检测性能是一项巨大的挑战。传统的CNN模型对于处理复杂的数据具有很好的性能,但是在处理不平衡数据集上的效果不是很好。为了解决这个问题,提出一种基于Focal Loss和卷积神经网络的入侵检测方法。与传统的卷积神经网络不同,该模型利用Focal Loss损失函数来解决数据不平衡问题,并在卷积层加入正则化方法（DropBlock）用来提高模型的泛化能力。采用KDD 99数据集进行的实验表明,该模型入侵检测的准确率和精确率比传统的入侵检测模型有所提高。     

基于特征选取和样本选择的网络入侵检测

为了获得更加理想的网络入侵检测结果, 针对网络入侵特征选取和样本选择问题, 提出一种基于特征选取和样本选择的网络入侵检测模型. 首先提取网络入侵特征, 并进行归一化处理, 然后采用核主成分分析选择入侵特征, 并对样本进行选择, 最后采用极限学习机建立网络入侵检测分类器, 并采用KDD Cup99数据集进行仿真实验. 仿真结果表明, 本文模型得到了理想的网络入侵检测结果, 检测率超过95%以上, 入侵检测效率可以满足网络安全实际应用要求.     

基于ART2的网络入侵检测算法

基于ART2的网络入侵检测算法是在自适应共振理论的基础上改进而来的。该算法对接收到的网络数据以及系统状态数据进行分析判断,实现入侵方式的自动分类,并且能够对新产生的入侵方式进行分类与记忆,实现了入侵检测系统的自适应性。该算法应用到入侵检测系统中能够解决入侵检测系统中可能出现的预分类不完全的问题,这对于检测新出现的入侵类型无疑具有很大的使用价值。     

基于模糊粗糙集属性约简与GMM-LDA最优聚类簇特征学习的自适应网络入侵检测

网络入侵方式已日趋多样化,其隐蔽性强且变异性快,开发灵活度高、适应性强的实时网络安全监测系统面临严峻挑战.对此,提出一种基于模糊粗糙集属性约简(FRS-AR)和GMM-LDA最优聚类簇特征学习(GMM-LDA-OCFL)的自适应网络入侵检测(ANID)方法.首先,引入一种基于模糊粗糙集(FRS)信息增益率的属性约简(AR)方法以实现网络连接数据最优属性集选择;然后,提出一种基于GMM-LDA的最优聚类簇特征学习方法,以获得正常模式特征库和入侵模式库的最优特征表示,同时引入模式库自适应更新机制,使入侵检测模型能够适应网络环境动态变化.KDD99数据集和基于Nidsbench的网络虚拟仿真实验平台的入侵检测结果表明,所提出的ANID方法能有效适应网络环境动态变化,可实时检测出真实网络连接数据中的各种入侵行为,其性能优于当前常用的入侵检测方法,应用前景广阔.     

基于人工蜂群算法的计算机网络DDoS攻击检测方法

计算机网络在DDoS入侵下容易出现停止服务、网络崩溃,为了提高网络安全性,提出基于人工蜂群算法的计算机网络DDoS攻击检测方法。根据特征样本之间的相关性构建计算机网络DDoS攻击的自适应的入侵检测信息分析模型,根据网络数据流与潜在空间之间的映射关系,结合测试样本和学习样本之间特征差异性进行DDoS攻击数据特征提取,在基站上设置入侵检测数据处理终端,采用人工蜂群算法实现对计算机网络攻击检测的个体最优值和全局最优值寻优,根据人工蜂群的动态寻优和组合优化结果,实现对组合网络流量数据间的攻击信息特征提取和聚类分析,解决计算机网络DDoS攻击检测过程中的连续多变量优化问题。仿真测试结果表明,采用该方法进行计算机网络DDoS攻击检测的寻优能力较好,精度和效率高于传统方法。     

融合随机森林和梯度提升树的入侵检测研究

网络入侵检测系统作为一种保护网络免受攻击的安全防御技术,在保障计算机系统和网络安全领域起着非常重要的作用.针对网络入侵检测中数据不平衡的多分类问题,机器学习已被广泛用于入侵检测,比传统方法更智能、更准确.对现有的网络入侵检测多分类方法进行了改进研究,提出了一种融合随机森林模型进行特征转换、使用梯度提升决策树模型进行分类的入侵检测模型RF-GBDT,该模型主要分为特征选择、特征转换和分类器这3个部分.采用UNSW-NB15数据集对RF-GBDT模型进行了实验测试,与其他3种同领域的算法相比,RF-GBDT既缩短了训练时间,又具有较高的检测率和较低的误报率,在测试数据集上受试者工作特征曲线下的面积可达98.57%.RF-GBDT对于解决网络入侵检测数据不平衡的多分类问题具有较显著的优势,是一种切实可行的入侵检测方法.     

基于GAN-PSO-ELM的网络入侵检测方法

针对传统机器学习方法在处理非平衡的海量入侵数据时少数类检测率低的问题，提出一种融合生成式对抗网络（GAN）、粒子群算法（PSO）和极限学习机（ELM）的入侵检测（GAN-PSO-ELM）方法。对原始网络数据进行预处理，利用GAN并采用整体类扩充的方式对数据集进行少数类样本扩充。在扩充后的平衡数据集上，利用PSO算法优化ELM的输入权重与隐含层偏置，并建立入侵检测模型。在NSL-KDD数据集上进行仿真实验。实验结果表明，与SVM、ELM、PSO-ELM方法相比，GAN-PSO-ELM不仅具有较高的检测效率，而且在整体检测准确率上平均提高了3.74%，在少数类R2L和U2R上分别平均提高了28.13%和16.84%。     

基于量子进化算法的网络入侵检测特征选择

针对当前网络入侵检测中普遍存在检测速度较慢的缺陷,提出了一种新的网络入侵检测特征选择方法。该方法将量子进化算法应用于网络入侵检测的特征选择,从网络连接的原始特征属性中选出一组有效的特征用于入侵检测,以提高检测效率。首先以增强寻优性能为目标改进了量子进化算法,基于特征属性的Fisher比构造了特征子集的评价函数,然后按照量子进化算法的流程设计了网络入侵检测特征选择算法。通过KDD99样本数据集的实验,表明算法是有效的,既保证了入侵检测的分类性能,也提高了入侵检测的效率。     

基于模糊C均值算法的入侵检测方法

聚类分析是一种有效的异常入侵检测方法,可用以在网络数据集中区分正常流量和异常流量。采用模糊C均值聚类算法对网络流量样本集进行划分,从中区分正常流量和异常流量,并针对入侵检测问题的特性提出了聚类中心确定方法。最后,利用KDD99数据集进行实验,证明该算法能够有效地发现异常流量。     

基于模糊C-均值聚类算法的入侵检测

聚类分析是一种有效的异常入侵检测方法,可用以在网络数据集中区分正常流量和异常流量.文中采用模糊C-均值聚类算法对网络流量样本集进行划分,从中区分正常流量和异常流量,并针对入侵检测问题的特性提出了新的相似性度量方法.最后,利用KDD99数据集进行实验,证明该算法能够有效地发现异常流量.     

基于主动学习的工业互联网入侵检测研究

针对工业互联网结构复杂和已知攻击样本少导致的入侵检测准确率低的问题,文章提出一种基于主动学习的入侵检测系统(Active Learning-based Intrusion Detection System,ALIDS)。该系统将专家标注引入到入侵检测过程中,将主动学习查询策略与LightGBM结合,解决了训练样本稀缺情况下入侵检测系统准确率低的问题。首先从工业互联网原始网络流和载荷中提取特征,通过最近邻方法对缺失数据进行填补;再通过不确定性采样,选择最有价值的训练样本交由人工专家标注;然后将已标注样本加入训练集,同时使用贝叶斯优化对LightGBM模型进行超参数优化;最后在数据集上进行二分类和多分类实验,验证了ALIDS对入侵检测的有效性。     

基于分布式学习的大规模网络入侵检测算法

计算机网络的高速发展,使处理器的速度明显低于骨干网的传输速度,这使得传统的入侵检测方法无法应用于大规模网络的检测.目前,解决这一问题的有效办法是将海量数据分割成小块数据,由分布的处理节点并行处理.这种分布式并行处理的难点是分割机制,为了不破坏数据的完整性,只有采用复杂的分割算法,这同时也使分割模块成为检测系统新的瓶颈.为了克服这个问题,提出了分布式神经网络学习算法,并将其用于大规模网络入侵检测.该算法的优点是,大数据集可被随机分割后分发给独立的神经网络进行并行学习,在降低分割算法复杂度的同时,保证学习结果的完整性.对该算法的测试实验首先采用基准测试数据circle-in-the-square测试了其学习能力,并与ARTMAP(adaptive resonance theory supervised predictive mapping)和BP(back propagation)神经网络进行了比较;然后采用标准的入侵检测测试数据集KDD'99 Data Set测试了其对大规模入侵的检测性能.通过与其他方法在相同数据集上的测试结果的比较表明,分布式学习算法同样具有较高的检测效率和较低的误报率.