基于模糊C均值算法的入侵检测方法

聚类分析是一种有效的异常入侵检测方法,可用以在网络数据集中区分正常流量和异常流量。采用模糊C均值聚类算法对网络流量样本集进行划分,从中区分正常流量和异常流量,并针对入侵检测问题的特性提出了聚类中心确定方法。最后,利用KDD99数据集进行实验,证明该算法能够有效地发现异常流量。     

聚类算法在入侵检测中的应用

入侵检测中对未知入侵的检测主要由异常检测完成,传统的异常检测方法需要构造一个正常行为特征轮廓的参考模型,但获取完全正常的数据比较困难。介绍的聚类技术是应用到入侵异常检测中的一种较为新颖的技术,是一种无需指导的异常检测技术,可以区分哪些是正常记录,哪些是异常记录。分析了将聚类方法应用于入侵检测中的可行性及对数据处理的标准化方法。另外,给出了基于覆盖的聚类算法与两种经典聚类算法的比较。     

基于模糊聚类的网络入侵检测

聚类分析是一种有效的异常入侵检测方法,本文提出基于模糊C-均值聚类的网络入侵检测算法。用KDD Cup1999数据集的仿真试验结果表明算法的可行性、有效性和扩展性,并有效提高了聚类检测的检测率,降低了误报率。     

基于自控粒子群优化的入侵数据分析

基于异常的入侵检测方法难以有效地获得一个用于建立正常行为模式的正常数据训练集,而粒子群优化模糊聚类算法的初始化聚类数目一般凭经验确定,准确性不高。为此,提出一种自控粒子群优化模糊聚类算法。从网络数据中提取训练集,并初始化具有不同聚类数目的粒子群,在迭代过程中,根据不同粒子群的聚类有效性函数,通过列控制向量对各粒子群规模进行调整,由此实现聚合。实验结果表明,该方法的聚类结果准确率高,可以为基于异常的入侵检测方法提供可靠的训练数据。     

基于聚类融合的入侵检测

随着互联网的飞速发展,网络安全的问题日趋严重,传统的网络安全技术已难以应对日益繁多的网络攻击。因此入侵检测便应运而生了,而且其重要性日益提高。基于聚类分析的入侵检测已经成为其主要研究方向。聚类分析是一种有效的异常入侵检测方法,可用以在网络数据集中区分正常流量和异常流量。但单一的聚类算法很难达到预期的效果,为了提高入侵检测的效果,文中采用聚类融合技术,提出一种基于Co—assocition的模糊聚类融合算法,通过实验检测能显著提高检测率和降低误报率。     

基于模糊聚类的网络入侵检测

聚类分析是一种有效的异常入侵检测方法,本文提出基于模糊C-均值聚类的网络入侵检测算法。用KDD Cup 1999数据集的仿真试验结果表明算法的可行性、有效性和扩展性,并有效提高了聚类检测的检测率,降低了误报率。     

基于高维度数据单元划分算法的异常检测

文章借鉴CLIQUE聚类算法关于高维度数据空间单元划分的思想,将该思想引入到异常入侵检测中,并通过非均衡划分方法对该算法进行改进,力图建立一个对高维度入侵检测数据有效的异常检测模型。同时结合遗传算法,基于预定义的入侵检测数据集对高维度的入侵检测数据进行了数据维度约简的研究。     

模糊聚类在入侵检测中的应用

入侵检测系统是网络和信息安全构架的重要组成部分．本文对现有入侵检测技术所存在不足进行分析的基础上．将改进的模糊C均值聚类算法应用于入侵检测。实验采用KDD99数据集进行测试，结果表明，该方法具有可行性和有效性。     

模糊聚类在入侵检测中的应用

入侵检测系统是网络和信息安全构架的重要组成部分,本文对现有入侵检测技术所存在不足进行分析的基础上,将改进的模糊C均值聚类算法应用于入侵检测。实验采用KDD99数据集进行测试,结果表明,该方法具有可行性和有效性。     

基于密度和网格的入侵检测算法研究

该文用一种基于密度和网格的混合聚类算法构造出一种适合入侵检测系统使用的异常检测算法。通过基于密度聚类算法和基于网格聚类算法的有效结合,使之更加适用于如今大流量下的入侵检测。最后,使用KDDCUP99数据集对算法进行测试结果表明,本算法能获得较理想的检测率和误检率,并有较好的系统性能。     

一种基于粒子群的入侵检测研究

当今攻击网络的手段是多种多样的,为保护网络的用户不受来自网络的攻击,网络在使用中需要安全设备和安全技术。入侵检测技术是一种安全检测技术,该技术能够来阻止网络攻击行为。但要阻止网络的攻击行为,必须检测到该行为。本文在简述了入侵检测技术,粒子群知识后,然后提出了粒子群在入侵检测技术上的应用。该技术在入侵检测上的应用将使得检测方法具有一定的智能性,将粒子群技术应用到入侵检测中属于是首次。本文提出的具有一定智能性检测算法可分为两个步骤：①首先通过函数y=f（x）判断链路中的数据流是否在正常范围内,还是属于异常。②然后如果某种数据流属于异常的流,则使用粒子群算法来对未知属性数据流的属性进行定性判断。本文提出的算法具有一定的智能性,能够作为现有的入侵检测算法的补充。     

基于粗糙集理论的入侵检测新方法

提出了一种高效低负荷的异常检测方法，用于监控进程的非正常行为，该方法借助于粗糙集理论从进程正常运行情况下产生的系统调用序列中提取出一个简单的预测规则模型，能有效地检测了进程的异常运行状态，同其它方法相比，用粗糙集建立正常模型要求的训练数据获取简单，而且得到的模型更适用于在线检测，实验结果表明，该方法的检测效果优于同类的其它方法。     

Mining network data for intrusion detection through combining SVMs with ant colony networks

In this paper, we introduce a new machine-learning-based data classification algorithm that is applied to network intrusion detection. The basic task is to classify network activities (in the network log as connection records) as normal or abnormal while minimizing misclassification. Although different classification models have been developed for network intrusion detection, each of them has its strengths and weaknesses, including the most commonly applied Support Vector Machine (SVM) method and the Clustering based on Self-Organized Ant Colony Network (CSOACN). Our new approach combines the SVM method with CSOACNs to take the advantages of both while avoiding their weaknesses. Our algorithm is implemented and evaluated using a standard benchmark KDD99 data set. Experiments show that CSVAC (Combining Support Vectors with Ant Colony) outperforms SVM alone or CSOACN alone in terms of both classification rate and run-time efficiency.     

基于LEGClust算法的入侵检测方法

针对LEGClust算法在合并簇的过程中易将异常簇并入正常簇的问题,提出一种改进的LEGClust算法,将LEGClust算法应用于入侵检测,发现数据集内任意形状簇,建立入侵检测模型,找出异常数据。在KDD CUP1999数据集上的仿真实验结果表明,该方法能提高入侵检测能力。     

基于改进单类支持向量机的工业控制网络入侵检测方法

针对单类支持向量机（OCSVM）入侵检测方法无法检测内部异常点和离群点导致决策函数偏离训练样本的问题,提出了一种结合具有噪声的密度聚类（DBSCAN）方法和K-means方法的OCSVM异常入侵检测算法。首先通过DBSCAN算法,剔除训练数据中的离群点,消除离群点的影响;然后利用K-means划分数据类簇的方法筛选出内部异常点;最后利用OCSVM算法为每一个类簇建立单分类器用于检测异常数据。工控网络数据集上的实验结果表明,该组合分类器能够利用无异常数据样本检测出工控网络入侵,并且提高了OCSVM方法的检测效果。在气体管道网络数据集入侵检测实验中,所提方法的总体检测率为91.81%;而原始OCSVM算法则为80.77%。     

基于频繁模式的离群点挖掘在入侵检测中的应用

针对网络安全数据高维度的特征,对传统离群点检测不能有效发现的网络数据中入侵行为细节进行检测。提出一种基于频繁模式的算法,通过检测数据项的频繁模式和关联规则,剥离数据流中或安全日志数据中的噪声和异常点,计算安全数据的加权频繁离群因子,精确定位离群点,最后从中自动筛选出异常属性。实验证明,该方法在较好的空间复杂性与时间复杂性下,能有效地发现在高维安全数据中异常的属性。     

基于集成降噪自编码的在线网络入侵检测模型

针对神经网络在线入侵检测模型训练时易出现过拟合和泛化能力弱的问题,提出基于改进的集成降噪自编码在线入侵检测模型以区分正常和异常的流量模式。降噪自编码减少了训练数据与测试数据的差别,缓解过拟合问题,提高模型的性能。同时阈值的选择方法直接影响网络入侵检测模型检测精度,该阈值采用随机方法确定,无须于离线入侵检测,不需通过完整的数据集即可选择最佳的阈值。采用CICIDS2017中的异常的数据流对模型进行测试,准确率分别为90.19%。结果表明,作为一种在线检测模型,提出的异常检测模型优于其他异常检测方法。     

一种融合Kmeans和KNN的网络入侵检测算法

网络入侵检测算法是网络安全领域研究的热点和难点内容之一。目前许多算法如KNN、TCMKNN等处理的训练样本集都比较小,在处理大样本集时仍然非常耗时。因此,提出了一种适应大样本集的网络入侵检测算法(Cluster-KNN算法)。该算法分为离线数据预处理(数据索引)和在线实时分类两个阶段:离线预处理阶段建立大样本集的聚簇索引;在线实时分类阶段则利用聚簇索引搜索得到近邻,最终采用KNN算法得出分类结果。实验结果表明:与传统的KNN算法相比,Cluster-KNN算法在分类阶段具有很高的时间效率,同时在准确率、误报率和漏报率方面与其它同领域入侵检测方法相比也具有相当的优势。Cluster-KNN能够很好地区分异常和正常场景,且在线分类速度快,因而更适用于现实的网络应用环境。     

一种网络入侵检测中的数据包采样方法 *

数据包采样方法是提升数据包处理能力很好的方法 ,在网络流量监测分析中得到了广泛应用。然而 ,传统的数据包采样算法应用在 IDS中会极大降低入侵检测率。针对入侵检测的特性 ,利用攻击流量和正常流量在时间上的连续性 ,提出了一种新的数据包采样方法 ,在保证检测率的前提下 ,极大地提升了 IDS的处理能力。