基于多尺度特征融合的异常流量检测方法

快速、准确地检测异常是网络安全的重要保证。但是由于网络流量的非线性、非平稳性以及自相似性,异常流量检测存在误报率高、检测率低、不能满足骨干网实时性要求等问题。该方法综合了希尔伯特-黄变换(Hilbert-Huang Transform,HHT)和Dempster-Shafer证据理论(D-S evidence theory)评测框架。前者将不同的流特征分别分解为多时间尺度上的固有模态函数(Intrinsic Mode Function,IMF),滤除特征中的非线性、非平稳分量;后者将前者分解得到的多尺度特征作为证据融合并最终做出决策。通过对KDD CUP 1999的入侵检测系统(Intrusion DetectionSystem,IDS)基准数据的实验表明,该方法能有效区分突发流量(crowd flow)和拒绝服务攻击(Denail of service,DoS)攻击流,整体上在保证低误报率前提下检测率达到85.1%。目前该方法已经作为入侵检测的子模块实现,并试用于某骨干网入口处检测异常。     

基于信息融合技术的入侵检测系统的研究

研究在入侵检测中,采用信息融合的方法,试图解决当前入侵检测系统误报率高和漏检率高的问题.提出用于入侵检测的信息融合模型,并应用贝叶斯网络给出信息融合的方法.采用和挑选DARPA2000中的数据作为样本,通过实验验证,基于信息融合技术的入侵检测方法能够提高检测率,降低误报率.     

一种SVM入侵检测的融合新策略

入侵检测是计算机网络安全中不可或缺的组成部分,其中异常检测更是该领域研究的热点内容。现有的检测方法中,SVM 能够在小样本条件下保持良好的检测状态。但是单一的SVM检测仍存在检测率不高、误报率过高等局限性。结合D-S证据理论,提出一种基于多SVM融合的异常检测方法,有效地弥补单个SVM检测的局限性。通过KDD99评测数据的评测实验表明,该方法有效地提高了入侵检测率的同时降低了误报率,大幅度地提高了入侵检测系统的检测性能。     

基于相对熵理论的多测度网络异常检测方法

检测率低、误报率高和检测攻击范围不够全面已经成为制约网络异常检测发展的最大障碍,为了提高检测率,降低误报率,扩大检测攻击范围,提出了一种新的网络异常检测方法。首先,对网络流量进行统计分析并引入相对熵理论来表征测度对应的全概率事件;然后,通过加权系数融合多个测度相对熵而得到加权相对熵;最终,以综合的多测度加权相对熵作为网络异常判断的依据。实验数据采用DARPA1999测评数据集,实验结果表明该方法在低误报率的前提下,达到了较高的检测率。     

一种增强SOM网络识别连续型网络攻击的新方法

提出了结合广义FIR滤波器和传统SOM网络的FSOM模型,以增强SOM对连续型网络攻击的识别能力,给出了相应的学习算法。并采用DARPA的1999年KDD入侵检测评估数据库作为网络的训练和测试数据,经仿真得到的检测率为93.1%,误报率为7.3%,表明该方法用于入侵检测有较好的效果。     

基于信息融合的入侵检测系统研究

研究在入侵检测中,采用信息融合的方法,试图解决当前入侵检测系统中存在的问题。提出了用于入侵检测的信息融合模型,并应用贝叶斯网络的多书传播算法给出了信息融合的方法。采用和挑选DARPA2000中的数据作为样本,通过实验验证,基于信息融合技术的入侵检测方法能够提高检测度,降低误报率。     

ARTNIDS:基于自适应谐振理论的网络入侵检测系统

分析了现有的入侵检测方法,设计了基于自适应谐振理论的网络入侵检测系统（ARTNIDS）.它采用了一种全新的行为表示方法,即根据网络数据包结构定义网络行为特征变量;利用改进的自适应谐振理论算法,提高了学习效率,使丢包率由15%左右降低到10%以下,实现了无监督和在线实时学习;提出的类似Hamming距离的检测算法,使误报率低于10%.依上述方法构造的原型系统经实验证明能高效地检测出局域网内的入侵行为.     

基于有效载荷的异常入侵检测技术研究

分析了目前入侵检测存在的问题,提出了一种基于有效载荷的异常入侵检测技术.该技术选取网络数据包有效载荷的位分布作为系统特征值,采用统计学中的马哈拉诺比斯距离作为区分合法访问与非法入侵的算法,降低了误报率,提高了检测精度.实验结果表明,该检测技术是有效的,具备一定的识别未知入侵的能力,可以实现实时高效的异常入侵检测.     

在线自适应网络异常检测系统模型与算法

随着因特网等计算机网络应用的增加,安全问题越来越突出,对具有主动防御特征的入侵检测系统的需求日趋紧迫.提出一个轻量级的在线自适应网络异常检测系统模型,给出了相关算法.系统能够对实时网络数据流进行在线学习和检测,在少量指导下逐渐构建网络的正常模式库和入侵模式库,并根据网络使用特点动态进行更新.在检测阶段,系统能够对异常数据进行报警,并识别未曾见过的新入侵.系统结构简单,计算的时间复杂度和空间复杂度都很低,满足在线处理网络数据的要求.在DARPAKDD99入侵检测数据集上进行测试,10%训练集数据和测试集数据以数据流方式顺序一次输入系统,在40s之内系统完成所有学习和检测任务,并达到检测率91.32%和误报率0.43%的结果.实验结果表明系统实用性强,检测效果令人满意,而且在识别新入侵上有良好的表现.     

AIB-DBIDM:一种基于人工免疫的数据库入侵检测模型

现有基于人工免疫原理的网络和操作系统级别的入侵检测系统仅仅依靠网络层和底层操作系统提供的记录信息,而数据库中的数据具有自己的结构和语义.针对现有入侵检测系统无法保证数据库入侵检测的效率和精度的问题,设计了一个基于人工免疫原理的数据库入侵检测模型AIB-DBIDM并实现了原型系统.测试表明该系统对数据库异常入侵具有较高的检测率、较低的误报率和漏报率.     

基于信息融合的入侵检测方法

为了更全面地检测到在系统和网络中的入侵行为,本文将信息融合技术用于入侵检测．首先,利用支持向量机进行分类,将基于主机的审计数据和基于网络的流量数据包分别训练,然后利用D—s证据理论按照一定的规则对两个支持向量机的预测结果进行决策层的融合。把基于主机的入侵检测和基于网络的入侵检测结合起来将大大提升入侵检测的性能,降低漏报率,提高准确率。     

地震前后基准站GPS数据异常提取算法

目前对地震前兆异常的研究主要集中在“热”和“电”等方面,很少涉及基准站的GPS数据。然而,已经有学者证明震中附近基准站的GPS时间序列坐标数据中也蕴含着大地震的前兆信息。针对2001~2010年间美国本土发生的具有代表性的三个地震进行了研究,首次将Martingale理论运用于GPS数据处理,提出一种异常提取算法,进而对地震前后,震中附近多个基准站的GPS数据进行分析。实验结果表明算法能够有效的反映大地震前后GPS数据中异常的变化趋势,为使用GPS数据对大地震进行预报提供了更多可能。     

基于免疫危险理论的机载电子设备故障检测算法研究

随着现代电子技术的发展,机载电子设备集成度不断提高,对设备故障的检测也越来越复杂;为解决在以往机载电子设备故障检测中存在的故障误报、漏报等情况,提出一种基于免疫危险理论的故障检测新算法,以增强对潜在故障和累积故障的检测能力;该算法中,系统仅就危险信号进行响应,通过对危险程度的分析对比,判断其是否为故障信号,克服了基于"自我-非我"模式建立起来的人工免疫系统模型所带来的局限;通过对机载音频管理组件中Captain(CAPT)站位的AUDIO滤波器测试;实验结果表明,该方法具有较高的检测有效性和故障覆盖率。     

基于D-S证据理论的主机违规行为检查方法

主机违规行为是能对主机及其所在信息系统的安全造成影响,或泄露主机上的重要信息的行为。提出一种主机违规检查方法,针对主机违规行为证据信息进行单一证据源基础概率判定,并通过D-S证据理论对其进行融合,计算得到主机行为的违规系数,以此作为违规检查的判定依据。实验表明,该方法能够满足主机违规检查工作的应用需求,具有较低的误报率和漏检率。     

基于免疫原理与粗糙集理论的入侵检测方法

针对目前基于进程系统调用的入侵检测方法中存在的问题,提出了一种基于免疫原理与粗糙集理论的入侵检测方法。该方法在对系统调用序列中的循环序列进行置换的基础上,借助于粗糙集理论,提取出一个简单的最小预测规则模型;同时融合免疫原理的有关机制,在检测模型中加入对已知入侵的快速检测引擎。同其他方法相比,该方法不需要完备的进程系统调用数据,而且得到的规则简单,更适用于实时检测。实验结果表明,该方法的检测效果优于同类的其他方法。     

基于D-S理论的入侵检测系统

单一的检测方法很难对所有的入侵获得很好的检测结果。所以,怎样将多种安全方法结合起来,为网络提供更加有效的安全保护,已经成为当前安全领域的研究热点之一。提出了一种基于数据融合的入侵检测系统,并将证据理论引入到网络安全中的入侵检测领域。该系统能够有效地解决单一检测算法无法对所有入侵都有很好检测效果的缺陷,并且相对于单一检测方法系统具有更好的可扩展性和鲁棒性。     

基于威胁度的动态报警管理研究

IDS目前的主要问题之一是过高的误报率,这一方面给管理员增加了繁重的工作负担,从而使其可能忽视了系统中真正需要处理的关键攻击事件;另一方面,过高的误报率使得自动入侵响应,比如与防火墙联动,不能很好地执行下去.针对这个问题,提出了基于威胁度的动态报警管理TDAM模型,它通过对系统环境的感知分析报警信息,确定其威胁度.通过实验,可以得出TDAM框架能够比较好地进行报警评价、管理.     

一种改进的生物模糊记忆入侵检测模型

入侵检测技术是保证计算机网络安全的核心技术之一,在网络安全领域内发挥着重要的作用。但是目前的入侵检测系统不够完善,文章通过对记忆原理和模糊理论的分析将其应用在已有的入侵检测系统中,提出了一种新的基于生物模糊记忆的入侵检测系统模型,并用实验证明该模型具有更好的检测效果。     

基于控制理论的主动队列RED 稳态分析

针对RED算法的参数设置对算法性能具有较大影响的问题，基于自动控制理论，将期望队列长度作为系统输入，将瞬时队列长度作为系统输出，构建了在系统输入和扰动作用下的RED单位反馈控制系统．提出了较传统条件更为精确的稳定条件。并分析计算了稳态误差．仿真结果表明。在稳定条件下。随着分组丢弃函数斜率的增加，RED队列波动增加，在稳定条件边界附近队列波动急剧增加．