基于失败连接流量偏离度的蠕虫早期检测方法

通过分析网络蠕虫攻击的特点，定义了能够反映蠕虫攻击特征的失败连接流量偏离度（FCFD）的概念，并提出了一种基于FCFD时间序列分析的蠕虫早期检测方法。该方法利用小波变换对FCFD时间序列进行多尺度分析，利用高频分量模极大值进行奇异点检测，从而发现可能的蠕虫攻击。同时给出了一种基于失败连接分析的蠕虫感染主机定位和蠕虫扫描特征提取方法。实验结果显示，该方法能够有效检测未知蠕虫的攻击。和已有方法相比，该方法具有更高的检测效率和更低的误报率。     

基于ISP分布的网络蠕虫检测系统

传统的通过追踪TCPSYN包来发现蠕虫扫描源的方法需要耗费探测点大量的存储和计算资源。基于ISP分布,提出了一种通过检测TCPRESET包来发现扫描源的网络蠕虫早期检测系统。它能够检测疑似网络蠕虫,防御伪造攻击,在正常和模拟蠕虫扫描情况下分别能够减轻探测点59.4%和28.9%的负荷。     

基于小波包和FCM聚类的电能表内异物检测

针对采集的电能表内异物晃动产生的声音信号,通过对声学识别流程传统端点检测方法的研究,提出了一种新的电能表内异物声音信号端点检测方法。结合小波包能量特征、短时TEO对数能量和模糊C-均值聚类(FCM),使用提取的小波包能量特征同支持向量机(SVM)完成电能表内异物声音的训练与识别。相较传统的基于阈值的端点检测算法,该端点检测算法处理后的异物检测准确率明显较高,能够更好地检测电能表内异物。     

基于扫描流量统计的本地网蠕虫检测方法

为了准确检测外网蠕虫对本地网的传播,在研究蠕虫扫描行为模式的基础上,提出一种基于扫描流量统计的本地网蠕虫检测方法,并给出蠕虫检测方法实现的总体思路、关键算法和检侧过程.该检侧方法分为异常流量检测和扫描包特征匹配检测两个步骤,即首先使用马尔科夫和坎泰利不等式在网络边界检测进入本地网的扫描流量,提取异常流量中的可疑扫描包的特征;然后监控本地网,检测与可疑扫描包特征相匹配的本地网扫描活动,进而判定本地网是否感染外网蠕虫.分析与初步实验证明,该方法能够检测准确检测外网蠕虫对本地网的传播.     

基于时间序列分析的应用层DDoS攻击检测

根据正常用户和攻击者在访问行为上的差异,提出一种基于IP请求熵(SRE)时间序列分析的应用层分布式拒绝服务(DDoS)攻击检测方法。该方法通过拟合SRE时间序列的自适应自回归(AAR)模型,获得描述当前用户访问行为特征的多维参数向量,并使用支持向量机(SVM)对参数向量进行分类来识别攻击。仿真实验表明,该方法能够准确区分正常流量和DDoS攻击流量,适用于大流量背景下攻击流量没有引起整个网络流量显著变化的DDoS攻击的检测。     

基于时间序列分析的分布式拒绝服务攻击检测

该文分析了分布式拒绝服务(DDoS)攻击的特点,提出了一种基于流连接密度(FCD)时间序列分析的DDoS攻击检测方法,该方法通过拟合FCD时间序列的自适应自回归模型,获得能够在多维空间描述当前流量状态的AAR模型参数向量序列,然后使用经过样本训练的支持向量机(SVM)分类器进行攻击识别;充分考虑了报警的时间间隔及分布情况,提出一种报警可信度评估算法对SVM分类结果进行二次处理,以消除网络流量噪声及分类错误所带来的影响．实验结果显示,该检测方法能够有效检测DDoS攻击,可信度评估算法能够明显减少误报,降低误报率,显著提高检测质量．     

基于本地网保护的蠕虫防御系统研究

为了阻止外网蠕虫向本地网的传播,设计了一个基于本地网保护的蠕虫防御系统.该系统通过监测外部主机连接本地网的连接强度、端口相似度和失败比率等统计信息预警蠕虫扫描行为和可疑外部主机,通过检测和丢弃来自可疑主机的蠕虫攻击包防御蠕虫向本地网传播.为了提高系统效率和减少系统对正常网络活动的影响,蠕虫攻击包检测采用了源地址跟踪和蠕虫特征匹配两级检测.最后建立了该蠕虫防御系统保护下的本地网蠕虫传播模型,并通过仿真实验验证了系统的有效性.     

基于EMD多模态特征融合支持向量机的故障诊断

针对非平稳时间序列信号,提出一种基于经验模态分解(EMD)的特征提取和多模态特征融合支持向量机的故障诊断方法,首先对原始信号进行EMD分解,选择能量最大的几个基本模式分量(IMF)并提取其小波包特征,获得对每个IMF独立的特征子集;然后在每个IMF特征子集中训练SVM弱分类器,并根据各特征子集对应的IMF能量权重进行加权融合,获得故障状态的强分类器,将该方法应用于6135型柴油机振动信号故障诊断中,实验结果表明了其可行性和有效性.     

基于WP-ICA及SVM的齿轮故障诊断研究

针对旋转机械设备齿轮故障诊断问题,为全面提取反映齿轮运行状态的特征信息,提出了基于WP(小波包)与ICA(独立成分分析)相融合的特征提取及SVM(支持向量机)相适配的故障诊断方法。用小波包对信号进行分析并提取其能量特征,采用独立成分分析方法对提取的能量特征进一步优化,进而得到反映齿轮运行状态的特征向量。最后采用支持向量机对齿轮运行状态的四种类型(正常、轻微故障、中等故障、断齿故障)进行诊断评估。通过纵向比较和横向比较研究表明,所提特征提取方法较单一的小波包特征提取方法更能全面反映齿轮状态信息。采用SVM方法进行齿轮故障模式诊断,较其它方法具有更高的分类准确率,达到了很好的诊断效果。     

基于有理双树复小波和SVM的滚动轴承故诊断方法

滚动轴承故障类型被支持向量机(SVM)智能识别的关键是故障特征的提取。为了提取最优的故障特征,提高SVM的分类识别精度,提出了基于有理双树复小波和SVM的滚动轴承故障诊断方法。首先通过双树复小波包变换将非平稳的振动信号分解得到不同频带的分量,然后对每个分量求能量并作归一化处理,最后将从各个频带分量中提取的能量特征参数作为支持向量机的输入来识别滚动轴承的故障类型。研究结果表明该方法可以有效、准确地识别轴承的故障模式。     

面向电力信息系统日志数据的注入攻击特征提取方法

电力数据安全随着电力信息网与互联网的接入变得尤为严峻,其数据与规模愈加庞大复杂。为了对其进行有效的安全分析及特征提取,提出一种基于特征提取的SQL注入攻击检测模型。从Web访问日志中提取SQL注入语法特征和行为特征,得到语法特征矩阵和行为特征矩阵数据集。以漏报率和误报率为评价指标,选取K-means、Naive Bayes、SVM和RF算法分别在两类数据集上实验。实验结果表明,与以语法特征矩阵作为数据集相比,行为特征矩阵在SQL注入攻击检测中具有更好的效果。此外SVM和RF检测效果较好,具有较低的漏报率和误报率,该方法能有效检测出SQL注入攻击。     

基于SVM的VANET黑洞攻击检测方法

车载自组网（ VANET）在遭受黑洞攻击时会丢失数据分组,影响网络正常通信。提出了针对黑洞攻击的特征向量选择方法,建立了正常情况和黑洞攻击情况下的车队仿真模型,并采用支持向量机（ SVM）的方法对VANET进行黑洞入侵检测。仿真结果表明：对于非源、目的节点以及攻击节点,采用该检测方法时都能够保持较高的检测率和较低的误检率,达到了基于单个节点通信数据判断当前 VANET是否遭受黑洞攻击的较好效果。     

基于SVM和模糊逻辑的告警相关性分析*

针对网络故障诊断中现有告警关联算法存在的网络动态适应性差、关联误报率高等问题,提出了一种基于支持向量机(support vector machine,SVM)和模糊逻辑的告警相关性分析算法。该算法在数据预处理部分采用滑动时间窗、时序模糊以及特征统计的方法解决了网络不确定性和数据格式规范化的问题,并通过SVM训练和识别完成相关性分析。DARPA攻击数据集测试结果表明,该算法误报、漏报率低,压缩率大,网络动态适应性好,提高了告警关联效率。     

基于改进的最大后验概率矢量量化和最小二乘支持向量机集成算法

针对目前说话人识别系统的效率问题,采用集成算法的策略,提出一种新的说话人识别系统框架。首先,考虑到传统的最大后验概率矢量量化(VQ-MAP)算法中只关注平均矢量而不考虑权重的问题,提出了改进的VQ-MAP算法,使用加权平均向量来代替平均向量;然后,由于支持向量机(SVM)算法相对耗时,故采用最小二乘支持向量机(LS-SVM)替代SVM算法;最后,在说话人识别系统中,利用改进的VQ-MAP算法所得参数集作为LS-SVM的训练样本。实验结果表明,基于改进的VQ-MAP和LS-SVM的集成算法,与传统的SVM算法相比,在均使用径向基函数(RBF)核函数时,对40人样本数据建模时间上减少接近40%;在阈值为1,测试语音时长为4 s时,与传统的VQ-MAP和SVM算法相比,误识率降低了1.1%,误拒率降低了2.9%,识别率提高了3.9%;在阈值为1,测试语音时长为4 s时,与传统的VQ-MAP和LS-SVM算法相比,误识率降低了3.6%,误拒率降低了2.7%,识别率提高了4.4%。结果表明,集成算法能够有效提高算法识别率,明显减少运算时间,同时降低误识率和误拒率。     

基于SVM分类器的XSS攻击检测技术

Web应用高速发展的同时产生了大量安全漏洞,跨站脚本攻击(XSS)就是危害最为严重的Web漏洞之一,而基于规则的传统XSS检测工具难以检测未知的和变形的XSS。为了应对未知的和变形的XSS,文中提出了一种基于支持向量机(SVM)分类器的XSS攻击检测方案。该方案在大量分析XSS攻击样本及其变形样本和正常样本的基础上,提取最具代表性的五维特征并将这些特征向量化,然后进行SVM算法的训练和测试。通过准确率、召回率和误报率3个指标来对分类器的检测效果进行评价,并优化特征提取方式。改进后的SVM分类器与传统工具和普通SVM相比性能均有所提升。     

基于AR谱分析的织物瑕疵自动检测

为实现快速和有效的织物瑕疵自动检测,提出了一种基于时间序列而不是图像的功率谱纹理分析方法.依据Burg auto regressive(AR)算法估计得到谱数据,从中提取能够反映纹理周期和取向等特点的特征,并首次采用支持向量数据描述模型来检测织物瑕疵纹理.对包含多种疵点的若干织物样本的检测结果表明,依照本文所述方案能够在保持较低的误譬率前提下达到较高的疵点栓出率,证明了所述方案的可行性.     

融合规则的条件随机场DDoS攻击检测方法

基于流量突发性、源IP地址的分散性、流非对称性等单一手段进行DDoS攻击检测,存在准确率低,虚警率高等问题。利用条件随机场不要求严格独立性假设与综合多特征能力的优点,提出了基于CRF模型融合特征规则集实现对DDoS攻击的检测方法,采用单边连接密度OWCD、IP包五元组熵IPE组成多维特征向量,仿真结果表明,在DARPA2000数据集下,检测准确率达99.82%、虚警率低于0.6%,且在强背景噪声干扰下无明显恶化。