基于数据流的异常入侵检测

目前，基于机器学习的异常入侵检测算法通常建立在对整个历史数据集进行等同的学习基础之上，学习到的网络行为轮廓过于依赖历史数据，难以准确反映当前网络通信量的行为特征。同时，算法的时间和空间复杂度较高，难以对网络中持续快速到达的大规模数据报文进行存储与维护。本文提出，一种基于数据流聚类的两阶段异常入侵检测方法，首先在线生成网络数据的统计信息，并利用最能反映当前网络行为的统计信息检测入侵行为。实验结果表明，其检测性能优于基于所有历史数据进行入侵检测的结果，并克服了内存等系统资源不足的问题，增加了系统的灵活性与并行性。     

基于多维数据流挖掘技术的入侵检测模型与算法

网络访问数据有着数据流的高速、无穷达到的特点,所以利用传统多遍扫描数据库的挖掘技术来构建入侵检测模型是不可行的.针对网络访问数据流的特点,提出了一种基于多维数据流挖掘技术的入侵检测模型.此模型将传统的误用检测和异常检测两种入侵检测方法进行有机融合,因此能够克服目前广泛使用的误用检测方法无法检测新的攻击类型的缺点,并且也能够保持检测的高效性.网络访问数据记录的结构是复杂的,一个访问行为总是联系到许多属性,所以分析的难度很大.因此,引入多维频度等概念来解决网络数据流的模式表示和生成问题.同时,针对多维频度模式的特点,提出了一种新型数据结构MaxFP-Tree.在MaxFP-Tree的基础上,给出了一种高效的挖掘网络访问数据流的学习算法MaxFPinNDS.MaxFPinNDS采用衰减机制挖掘,可以快速地形成一个数据流的最近时期数据所隐舍的最大频繁项目集.实验表明,设计的入侵检测模型是有效的.     

基于集成降噪自编码的在线网络入侵检测模型

针对神经网络在线入侵检测模型训练时易出现过拟合和泛化能力弱的问题,提出基于改进的集成降噪自编码在线入侵检测模型以区分正常和异常的流量模式。降噪自编码减少了训练数据与测试数据的差别,缓解过拟合问题,提高模型的性能。同时阈值的选择方法直接影响网络入侵检测模型检测精度,该阈值采用随机方法确定,无须于离线入侵检测,不需通过完整的数据集即可选择最佳的阈值。采用CICIDS2017中的异常的数据流对模型进行测试,准确率分别为90.19%。结果表明,作为一种在线检测模型,提出的异常检测模型优于其他异常检测方法。     

基于数据流的网络入侵实时检测框架

针对计算机网络访问请求具有实时到达以及动态变化的特点,为了实时检测网络入侵,并且适应网络访问数据的动态变化,提出一个基于数据流的网络入侵实时检测框架。首先,将误用检测模式与异常检测模式相结合,通过初始聚类建立由正常模式和异常模式构成的知识库;其次,采用数据点与数据簇之间的不相似性来度量网络访问数据与正常模式和异常模式的相似性,从而判定网络访问数据的合法性;最后,当网络访问数据流发生演化时,通过重新聚类来更新知识库以反映网络访问的最近状态。在入侵检测数据集KDDCup99上进行实验,当初始聚类的样本数为10000,缓冲区聚类的样本数为10000,调节系数为0.9时,召回率达到91.92%,误报率达到0.58%,接近传统非实时检测模式的结果,但整个学习和检测过程只需扫描网络访问数据一次,并引入了知识库的更新机制,在入侵检测的实时性和适应性方面更具有优势。     

人工免疫算法在网络入侵检测中的应用

研究网络安全问题,由于网络受到各类攻击,当前入侵检测系统的最大问题是不能快速检测出新出现的异常入侵和较高的误报率.为了提高网络入侵检测正确率,提出一种人工免疫的网络入侵检测算法.网络入侵检测算法模拟了人工免疫系统中的匹配、否定选择、记忆等机制,通过人工免疫的“自我”和“非自我”识别能力对网络入侵行为进行检测.最后在Matlab平台上,对KDD CUP1999网络入侵数据集进行验证性测试,实验结果表明,提出的算法简单,检测准确,能识别出未知入侵信息,提高了检测效率,为设计提供了依据.     

混合入侵检测系统的研究

针对入侵检测系统中的误用检测和异常检测两种检测方法存在的不足,在研究混合型入侵检测系统的基础上,提出一种混合型入侵检测系统的设计方案.设计方案将两种检测方法混合,误用检测采用模式匹配算法;异常检测是利用自组织神经网络对数据进行聚类,然后通过有监督的学习矢量量化对初聚类的数据进行再分类,使异常检测模式库有更加清晰的规则集.最后对系统的关键模块进行了仿真实验.仿真实验结果表明,此设计方案提高了混合入侵检测系统的检测能力和检测的准确率.     

基于改进的深度信念网络的入侵检测方法

针对传统入侵检测方法很难快速准确地从海量无标签网络数据中提取特征信息以识别异常入侵,提出了基于改进的深度信念网络的softmax分类（IDBN-SC）入侵检测方法。利用改进的DBN对原始网络数据进行无监督特征学习,引入自适应学习速率减少训练网络模型所需要的时间;采用softmax分类器对获得的降维数据进行网络攻击类型识别。在NSL-KDD数据集上进行测试,相比其他入侵检测方法,实验结果表明IDBN-SC方法不仅识别准确率平均提高3.02%,而且其softmax分类器训练时间平均缩短5.58 s。     

数据流聚类算法在入侵检测中的应用

处理数据流的能力成为入侵检测系统面临的挑战,针对这一现状提出DC-stream算法,该算法采用在线离线两阶段聚类,设计了一套缓冲式异常点处理机制,在保证数据流聚类效率和精度的同时,能够过滤噪音数据。实验结果证明,该算法能在海量的网络数据流中及时有效地发现入侵行为,并具有较强的抗干扰能力。     

基于模糊粗糙集属性约简与GMM-LDA最优聚类簇特征学习的自适应网络入侵检测

网络入侵方式已日趋多样化,其隐蔽性强且变异性快,开发灵活度高、适应性强的实时网络安全监测系统面临严峻挑战.对此,提出一种基于模糊粗糙集属性约简(FRS-AR)和GMM-LDA最优聚类簇特征学习(GMM-LDA-OCFL)的自适应网络入侵检测(ANID)方法.首先,引入一种基于模糊粗糙集(FRS)信息增益率的属性约简(AR)方法以实现网络连接数据最优属性集选择;然后,提出一种基于GMM-LDA的最优聚类簇特征学习方法,以获得正常模式特征库和入侵模式库的最优特征表示,同时引入模式库自适应更新机制,使入侵检测模型能够适应网络环境动态变化.KDD99数据集和基于Nidsbench的网络虚拟仿真实验平台的入侵检测结果表明,所提出的ANID方法能有效适应网络环境动态变化,可实时检测出真实网络连接数据中的各种入侵行为,其性能优于当前常用的入侵检测方法,应用前景广阔.     

基于深度学习的网络流量异常预测方法

针对网络入侵检测系统（NIDS）能够检测当前系统中存在的网络安全事件,但由于自身的高误报率和识别安全事件产生的时延,无法提前对网络安全事件进行准确率较高的预警功能,严重制约了NIDS的实际应用和未来发展的问题,提出了基于深度学习的网络流量异常预测方法。该方法提出了一种结合深度学习算法中长短期记忆网络和卷积神经网络的预测模型,能够训练得到网络流量数据的时空特征,实现预测下一时段网络流量特征变化和网络安全事件分类识别,为NIDS实现网络安全事件的预警功能提供了方法分析。实验通过使用设计好的神经网络框架对入侵检测系统流量数据集CICIDS2017进行了训练和性能测试,在该方法下流量分类的误报率下降到0.26%,总体准确率达到了99.57%,流量特征预测模型R2的最佳效果达到了0.762。     

一种无线传感器网络混合入侵检测模型

简单介绍了无线传感器网络安全的重要性,在此基础上,提出了一种无线传感器网络混合入侵检测模型.此模型包括了3个模块,其中误用检测模块和异常检测模块用来发现入侵行为,决策模块做出反馈,帮助管理者及时了解网络情况,加强无线传感器网络的安全审查.异常检测模块使用BP神经网络作为核心,实验采用KDD CUP'99数据集,使用MA...     

基于HIS原理的复杂异构网络异常检测机制

异构网络的融合使网络安全问题更加复杂,独立式的安全机制已不再有效。为此,针对复杂异构网络的传染性和主要的外部网络攻击,提出一个基于人体免疫系统相关原理的异常检测机制,使异构网络中的各网络实体协同工作,检测网络攻击造成的网络异常。模拟实验结果证明,该异常检测机制能有效识别拒绝服务、分布式拒绝服务和蠕虫病毒等网络攻击。     

无线传感器网络中的一种基于移动Agent的动态入侵检测系统

无限传感器网络需要一种有效的、灵活的入侵检测方法来抵御入侵。根据无限传感器网络的特征,我们设计了一种基于移动Agent的动态入侵检测系统。该系统包括四种Agent,监控Agent、检测Agent、响应Agent和管理Agent。多个Agent分部合作,并采用异常检测算法进行检测,从而提高了无限传感器网络的安全性和可靠性,同时也降低了入侵检测时的能耗。     

异常检测测试平台的设计

提出了一种可以测试不同算法的异常检测测试平台.为适合大规模分布式网络,将网络分成不同网段,每个网段放置一个探测器IC,把不同IC提供的网络数据汇总至异常检测部件,在此进行异常分析,并根据分析结果对可能的入侵行为进行实时报警,其中的异常检测算法可以替换.最后,针对一种基于统计的异常检测算法进行了实验,并给出异常检测结果.     

网络流量异常检测中分类器的提取与训练方法研究

随着网络安全领域研究的不断深入,研究者提出了各种类型的流量异常检测方法,基于分类的方法是其中很重要的一类.但是因为网络环境的多样性和动态变化性,在训练数据集上具有很高精度的检测系统实际部署时可能出现大量的误报.文中针对训练模型难于获取以及部署环境的动态变化性问题,对分类器的选择、使用和训练方法进行了研究.首先把网络流量数据投影到不同维度的Hash直方图上构建检测向量,在检测向量的基础上对比了各类分类器,选用能够处理高维数据、泛化能力强的SVDD进行异常检测;采用增减式在线训练算法对分类器进行不断训练,提高异常检测系统的精度并减少训练成本;最后采用多步关联检测算法优化检测精度,并在新增样本中剔除明显的异常样本,减少训练成本提高分类精度.通过大量的真实网络流量数据验证了上述方法具有较高的检准率和较低的误报率,并能够有效减少训练成本.     

基于平均特征重要性和集成学习的异常检测

异常检测系统在网络空间安全中起着至关重要的作用,为网络安全提供有效的保障.对于复杂的网络流量信息,传统的单一的分类器往往无法同时具备较高检测精确度和较强的泛化能力.此外,基于全特征的异常检测模型往往会受到冗余特征的干扰,影响检测的效率和精度.针对这些问题,本文提出了一种基于平均特征重要性的特征选择和集成学习的模型,选取决策树(DT)、随机森林(RF)、额外树(ET)作为基分类器,建立投票集成模型,并基于基尼系数计算基分类器的平均特征重要性进行特征选择.在多个数据集上的实验评估结果表明,本文提出的集成模型优于经典集成学习模型及其他著名异常检测集成模型.且提出的基于平均特征重要性的特征选择方法可以使集成模型准确率平均进一步提升约0.13%,训练时间平均节省约30%.     

基于自编码器的网络异常检测研究综述

网络入侵检测技术是指对危害计算机系统安全的行为进行检测的方法,它是计算机网络安全领域中的必不可少的防御机制。目前,基于有监督学习的网络异常入侵检测技术具有较高的效率和准确率,该类方法获得了广泛关注,取得了大量的研究成果。但是这类方法需要借助大量标注样本进行模型训练。为减少对标注样本依赖,基于无监督学习或半监督学习的网络入侵检测技术被提出,并逐渐成为该领域的研究热点。其中,基于自编码器的网络异常检测技术是这方面技术的典型代表。该文首先介绍了各类自编码器的基本原理、模型结构、损失函数和训练方法。然后在此基础上将其分为基于阈值和基于分类的方法。其中,基于阈值的方法用又可分为基于重构误差和基于重构概率两类。合适的阈值对异常检测技术的成败至关重要,该文介绍了三种阈值的计算方法。接着对比分析了多个代表性研究工作的方法、性能及创新点,最后对该研究中存在的问题做了介绍,并对未来的研究方向做了展望。     

基于宽度学习的智能电网数据服务器流量异常检测算法

电力系统的信息网络是电力行业长久持续有效运行下的重要组成部分,而智能电网中电力网与信息网耦合下的复杂网络结构给信息通讯网络安全中的流量异常检测带来了巨大的挑战。传统机器学习算法与新兴的深度学习算法在解决流量异常检测问题领域往往存在着检测准确度低、实时性差等缺陷,而结合宽度学习与质量管理图的流量异常检测流程则有着训练速度快、准确性高、实时性强的优势,在一定程度上可以满足智能电网服务器流量异常检测需求,从而达到提升电网信息安全的目的。     

基于模糊数据挖掘和遗传算法的网络入侵检测技术

文章通过开发一套新的网络入侵检测系统来证实应用模糊逻辑和遗传算法的数据挖掘技术的有效性;这个系统联合了基于模糊数据挖掘技术的异常检测和基于专家系统的滥用检测,在开发异常检测的部分时,利用模糊数据挖掘技术来从正常的行为存储模式中寻找差异,遗传算法用来调整模糊隶属函数和选择一个合适的特征集合,滥用检测部分用于寻找先前行为描述模式,这种模式很可能预示着入侵,网络的通信量和系统的审计数据被用做两个元件的输入;此系统的系统结构既支持异常检测又支持滥用检测、既适用于个人工作站又可以适用于复杂网络。     

一种地球站异常检测系统的设计与实现

随着卫星通信网的推广,其安全性越来越重要。针对卫星通信网中可能出现的严重威胁其自身安全的地球站被盗用或伪造等问题,提出了地球站行为异常检测的概念,采用聚类分析和模式匹配相结合的检测方法,设计并实现了一个卫星通信网地球站异常检测系统。提出了一种改进的KFCM聚类异常检测算法,该算法可获得局部最优划分。实验结果表明,改进后的算法具有更好的聚类效果,系统达到了较好的检测性能。