基于多示例学习的异常行为检测方法

在基于轨迹分析的异常行为检测方法中,被标记为异常的轨迹往往仅在整条轨迹的某个局部存在异常,轨迹的其余部分都是正常行为。然而,传统的基于整条轨迹建模的方法很难检测轨迹的局部异常。针对上述问题,提出一种在多示例学习框架下基于轨迹分段的异常行为检测方法。该方法首先根据轨迹的曲率,将轨迹分割成若干相互独立的子段。然后采用层次狄利克雷过程-隐马尔科夫模型对每个子段建模。最后在多示例学习框架下,以整条轨迹为包,正常轨迹为负包,异常轨迹为正包,轨迹子段为包的示例进行学习。通过实验验证,该方法在准确率和召回率上都优于传统的基于轨迹建模的方法。     

基于隐马尔科夫模型的用户行为异常检测方法

提出了一种基于HMM的用户行为异常检测的新方法,用shell命令序列作为审计数据,但在数据预处理、用户行为轮廓的表示方面与现有方法不同。仿真实验结果表明,本方法的检测效率和实时性相对较高,在检测准确率方面也有较大优势。     

基于隐马尔可夫模型的异常检测

首先建立了一个计算机系统运行状况的隐马尔可夫模型 ,然后在此模型的基础上提出了一个用于计算机系统实时异常检测的算法 ,这个算法根据最大信息熵原理 ,通过比较固定长度系统行为序列的平均信息熵和一个预先给定的阈值来检测入侵行为 .论文还给出了该模型的训练算法 .这个检测算法的优点是准确率高 ,算法简单 ,占用的存储空间很小 ,适合用于在计算机系统上进行实时检测     

基于行为模型的工控异常检测方法研究

目前,工业控制系统(Industrial Control Systems,ICS)网络安全已经成为信息安全领域的重点问题,而检测篡改行为数据及控制程序等攻击是ICS网络安全的难点问题,据此提出了基于行为模型的工控异常检测方法。该方法从工控网络流量中提取行为数据序列,根据ICS的控制和被控过程构建正常行为模型,通过比较分析实时提取的行为数据与模型预测的行为数据,判断是否出现异常。通过实验分析,验证了所提方法能有效实现对篡改行为数据及控制程序等攻击的异常检测。     

基于主题模型的网络异常行为分类学习方法研究

提出了一种新的用于学习和分辨网络异常行为的方法。与之前的工作相比,将采用主题模型对网络异常行为进行建模并构建分类器。根据连接的分类标签,在训练模型之前将数据集分成两部分,即正常的部分和异常的部分。通过分析模型参数对结果的影响可以发现α(主题的狄利克雷参数)和主题数量对于预测结果具有正相关性,而β(特征号的狄利克雷参数)对于预测结果具有负相关性。通过KDDCUP’99数据集对该模型进行评估,结果显示预测的准确度达到91.69%,比SVM等算法在正常和异常行为分类上的表现更好。     

基于双流结构的异常行为检测模型

为更好利用输入视频的时域特征,提升异常行为检测精度,采用三维自编码器为主体的网络分支编解码视频的时空域信息,提出改进光流融合策略的时域分支提供额外时域信息.将双分支结果融合并计算重建误差,在此基础上进行异常行为的判断.针对目前像素评价指标的不足,提出一种改进的像素级别检测指标.结果表明,融合后的结果好于各分支单独的结果...     

基于TTL值异常的源地址伪造报文检测方法

提出了一种基于TTL值异常的源地址伪造报文检测方法,并实现了一个检测工具AntiSpoof,可以高效、高精度地检测源地址伪造报文。同时通过模拟实验对该方法的优缺点进行了分析。     

基于卷积神经网络嵌套模型的人群异常行为检测

为了提高对运动目标的精确提取,减少冗余特征信息,提升算法的泛化性能和非线性拟合能力,提出基于卷积神经网络嵌套模型的人群异常行为检测方法。通过嵌套mlpconv层改进卷积神经网络结构,利用混合高斯模型有效、精确地提取出视频中前景目标。嵌套多层的mlpconv层自动学习前景目标的深度层次特征,生成的特征图经过向量化处理输入到与全连接层相连的Softmax分类器进行人群中异常行为检测。仿真实验结果表明,该算法减少了对冗余信息的获取,缩短了算法运算时间和学习时间,改进的卷积神经网络在泛化性能和非线性拟合能力都有提高,对人群异常行为检测取得较高准确率。     

基于轨迹分段LDA主题模型的视频异常行为检测方法

基于目标轨迹的异常行为检测算法忽略了轨迹内部信息,容易导致异常检测虚警率偏高。为解决该问题,提出一种基于轨迹分段主题模型的视频异常行为检测方法。首先将目标原始轨迹根据轨迹转角分段,然后采用分段量化的方式提取轨迹片段中包含的行为特征信息,接着通过潜在狄利克雷分配(LDA)主题模型建模发掘目标轨迹之间的时空关系,最后通过学习所构建的模型并结合贝叶斯理论进行行为模式分析和异常行为检测。分别对两个视频场景进行了目标行为模式分析和异常行为检测的仿真实验,检测出了场景内多种异常行为模式。实验结果表明,通过结合轨迹分段与LDA主题模型,该算法能够充分挖掘目标轨迹内部的行为特征信息,识别多种异常行为模式,并且能提高对异常行为检测的准确率。     

基于机器视觉的行人异常行为检测方法

常规的行人异常行为检测方法使用编码-解码器进行记忆寻址,易受到记忆大小和稀疏度的影响,导致帧级AUC偏低,因此基于机器视觉设计一种全新的行人异常行为检测方法。结合检测图像的初始状态处理噪声、增加平滑度,提高行人异常行为检测性能,再利用机器视觉技术量化动态参数,输出异常行为轨迹特征,实现行人异常行为检测。实验结果表明,在不同场景下,本文设计方法的检测帧级AUC始终较高,获取的检测结果较清晰,说明本文设计方法具有一定的应用价值。     

基于委托转发技术的延迟容忍网络组播路由算法*

针对延迟容忍网络中的组播路由问题,提出了一种基于委托转发技术的组播路由算法。该算法是在详细分析组播路由设计需求的基础上,结合延迟容忍网络中节点移动特性,对委托转发技术中节点属性值和节点对转发标准进行重新设计。其节点属性值是面向组播会话的,节点对转发标准是动态适应网络状态的。仿真结果表明,相比于其他基于复制方式的组播路由算法,该算法具有更好的性能,尤其是在对网络开销的控制方面,因此,更适用于延迟容忍网络。     

基于反馈可信度的可信机会路由转发模型

传统Ad Hoc等先决路由机制不再适合无线Mesh网络。相反,基于后择路由机制的机会路由已经获得越来越多的应用。机会路由中的转发候选集可有效增加无线Mesh网络吞吐量和降低重传数;但是,机会路由也正遭受安全问题困扰。针对节点间的共谋攻击行为,提出一种基于反馈可信度的信任模型,并结合到机会路由中,防止共谋节点加入机会路由转发候选集。建立一种基于反馈可信度的可信机会路由转发模型（简称FCTOR）。仿真实验表明,该模型较经典的ExOR协议可以有效抑制典型恶意节点,尤其面对共谋攻击行为时表现出良好的性能。     

基于随机包标记的不重复标记追踪模型*

DDoS攻击传统的防御措施包括如防火墙、入侵检测系统等采取的是被动防御的策略,防御效果不够理想。采用主动防御策略的攻击源追踪技术,提出一种新的攻击源追踪模型,不需要AMS算法所要求的受害者预先具备上游拓扑数据的强假设前提。新的标记算法对标记过边信息的包不再重复标记,通过上游路由器的配合确认就能定位攻击源,与AMS算法和改进后的AEMS算法相比收敛速度更快,受标记概率和路径长度的影响更小、更稳定。     

基于区域道路实况数据的交通行为谱分析方法

针对国内外有关交通行为谱研究的特征指标和评价指标不完善,且不能定量分析等问题,设计并定义了相应的特征指标和评价指标以建立完整的、能够定量化的分析区域交通行为数据的交通行为谱体系。首先基于交通行为特征,采用改进的层次分析法（AHP）对交通秩序类型进行了分类;其次采用多数据融合的实时系统集成（RTSI）算法对某路段交通安全性进行综合评判。最后开发了交通行为谱分析工具,该工具能根据交通实况数据计算区域路段的交通安全指数,较为完备地分析该路段内的交通行为。     

基于时延估计组合模型的NCS控制方法研究

在对网络传输时延的组成和特性进行分析的基础上,针对双边网络控制系统,提出了一种时延估计组合模型,并对该组合模型的有效性进行了评估。利用该模型进行网络时延估计,估计结果用来设计网络时延补偿控制器,以实际网络时延为实验数据进行了仿真实验,实验结果表明网络控制系统的动态性能有了明显改善,同时进一步证实了时延估计组合模型的有效性。     

一种基于回归模型的路径矩阵研究

研究了相关的路径矩阵模型,提出了一种基于回归分析的路径矩阵模型,该模型的核心有三点：一是采用主动注入IPMP探测包对的方法获得时延;二是根据M/M/1排队模型采用最小二乘方法获得回归方程,避免了繁琐的计算,只需测量时延即可获得流量;三是采用主动测量方法获得路径,最终获得全网的路径矩阵。证明了该方法的有效性,并给出了仿真结果。     

基于流交互三态模型的DDoS攻击检测*

针对传统方法在检测DDoS攻击时的不足,提出了一种新的IP流交互行为特征算法(IFF),该方法利用IP地址和端口表示IP流的交互性。采用IFF特征,将网络流定义为三种状态,即健康、亚健康和异常,提出了基于IFF特征的三态模型检测方法(DASA),该方法采用了基于滑动平均方法的自适应双阈值算法和报警评估机制,提高了检测DDoS攻击的准确度。仿真实验结果表明,该方法不但能快速、有效地检测DDoS攻击,而且具有较低漏报率和误报率。     

基于多尺度卷积的船舶行为识别方法

针对复杂海洋环境下人工监管船舶行为效率低的问题,提出了一种基于多尺度卷积神经网络的船舶行为识别方法。首先,从船舶自动识别系统（AIS）中获取海量船舶行驶数据,并提取出具有判别力的船舶行为轨迹;然后,根据轨迹数据的特性,利用多尺度卷积设计并实现了针对船舶轨迹数据的行为识别网络,并且使用特征通道加权以及长短时记忆网络（LSTM）来提高算法的准确率。在船舶行为数据集上的实验结果表明,对于指定长度的船舶轨迹,所提识别网络能够达到92.1%的识别准确率,相较于传统的卷积神经网络提高了5.9个百分点,并且在稳定性以及收敛速度上都有明显提升。该方法能够有效地提高船舶行为的识别精度,为海洋监管部门提供高效的技术支持。     

基于逆向习得推理的网络异常行为检测模型

针对网络异常行为检测中因数据不平衡而导致召回率低的问题，提出一种基于逆向习得推理（ALI）的网络异常行为检测模型。首先，去除数据集中用离散数据表示的特征项，并对处理后的数据集进行归一化以提高模型的收敛速度与精度；然后，提出改进的ALI模型，通过ALI训练算法用仅由正样本所构成的数据对其进行训练，并利用已训练完成的改进ALI模型处理检测数据以生成处理后的检测数据集；最后，依据异常检测函数计算检测数据与处理后的检测数据之间的距离来判断数据是否异常。与单类支持向量机（OC-SVM）、深层结构能量模型（DSEBM）、深度自编码高斯混合模型（DAGMM）和生成对抗网络异常检测模型（AnoGAN）的对比实验结果表明，所提模型的准确率提升了5.8~17.4个百分点，召回率提升了1.4~31.4个百分点，F₁值提升了14.18~19.7个百分点。可知所提出的基于逆向习得推理的网络异常行为检测模型在数据不平衡时仍具有较高的召回率和检测精度。