基于粗糙集理论的免疫系统设计与实现

文章在深入分析免疫系统的基础上,提出了一种针对系统调用序列的高效低负的异常检测方法,该方法借助粗糙集理论分析进程正常运行时产生的系统调用序列,提取最简的预测规则模型。与其他方法相比,用粗糙集理论建立正常模型要求的训练数据获取简单,生成的小规则集利于实时检测,能更有效地检测进程的异常运行状态。具有这样免疫特性规则模型可以在局部和全局不同层次上检测入侵攻击,具有较好的自适应性、可扩展性和智能性。实验证明该方法的检测效率明显优于其他建模方法。     

基于粗糙集理论的安全考试系统*

为了进一步提高结合了传统静态安全技术和动态安全技术的计算机考试系统的安全性,提出了一种基于粗糙集理论的静态安全技术与动态安全技术相结合的高效低负荷的防御方法,用于监控进程的非正常行为。该方法从进程正常运行情况下产生的系统调用序列中提取出一个简单的预测规则模型,能有效地检测出进程的异常运行状态。同原有系统相比,用粗糙集理论建立正常模型要求的训练数据获取简单,而且得到的模型更适用于在线检测。实验结果表明,该系统的安全性优于原考试系统。     

基于免疫原理与粗糙集理论的入侵检测方法

针对目前基于进程系统调用的入侵检测方法中存在的问题，提出了一种基于免疫原理与粗糙集理论的入侵检测方法。该方法在对系统调用序列中的循环序列进行置换的基础上，借助于粗糙集理论，提取出一个简单的最小预测规则模型；同时融合免疫原理的有关机制，在检测模型中加入对已知入侵的快速检测引擎。同其他方法相比,该方法不需要完备的进程系统调用数据,而且得到的规则简单，更适用于实时检测。实验结果表明,该方法的检测效果优于同类的其他方法。     

Linux进程行为结构提取与异常检测

研究了Linux进程行为结构及其异常检测问题。讨论了程序结构和程序踪迹之间的联系，认为正常运行的进程在整体结构上总具有一定的规律性，并据此提出了进程行为“结构异常”的概念。在此基础上，采用Markov链概率预报模型，提出了一种序列分段检测的新策略，将进程的结构异常检测和统计异常检测有机结合起来，实验结果初步表明该方法是可行、有效的。最后简要说明了方法的优点和不足。     

基于粗糙集值约简改进算法的进程异常检测

提出一种新的基于粗糙集值约简和系统调用的进程异常检测方法。为了提高约简效率,改进了基于差别矩阵的粗糙集值约简算法。另外创建了一种新的检测模型,能在判断进程是否异常的基础上进一步识别异常种类。它以系统调用短序列中k个位置作为条件属性集,以进程类型作为决策属性,建立决策表;然后使用改进的值约简算法提取规则集,并对规则匹配的结果作统计;最后判断进程类别。实验表明该方法能高效准确地识别异常进程的种类。     

系统调用序列的Markov模型及其在异常检测中的应用

建立了计算机系统中系统调用序列的Markov模型，并在此模型的基础上提出了一种用于计算机异常检测的方法，文章利用统计方法分析进程中系统调用的发生情况，定义了一个依赖于状态转移概率的失配因子，并用它来计算失配率，由此判断被监视进程进行的操作是正常行为还是异常行为，文章还提出了一种基于遗忘因子的状态转移概率的更新算法。     

基于马尔科夫链的主机异常检测方法研究

提出了基于马尔科夫链模型的主机异常检测方法,首先提取特权进程的行为特征,并在此基础上构造Markov模型。由Markov模型产生的状态序列计算状态概率,根据状态序列概率来评价进程行为的异常情况。利用Markov模型的构造充分提取特权进程的局部行为特征的相互关系。实验表明该模型算法简单、实时性强、检测率高、误报率低、适合用于在线检测。     

基于Rough Set理论的网络入侵检测系统研究

本文提出了一种基于Rough set理论(Rough Set Theory，RST)的网络入侵检测系统，用于监控网络的异常行为。该方法使用Rough set理论对网络连接数据提取检测规则模型。使用Rough set理论提取规则模型，能有效地处理数据挖掘方法中存在的不完整数据、数据的离散化等问题。实验表明，同其它方法相比，用Rough set理论建立的模型对DoS攻击的检测效果优于其它模型。     

基于静态马尔可夫链模型的实时异常检测

马尔可夫链模型可以用来描述系统的正常行为模式，文中提出了一种基于静态马尔可夫链的异常检测方法，在此基础上进行了算法实现。实验结果表明该方法实现简单，准确率较高，可适用于不同环境下的实时检测。     

基于基因规划的主机异常入侵检测模型

异常检测技术假设所有的入侵行为都会偏离正常行为模式.尝试寻找一种新的异常入侵检测模型改善准确性和效率.模型利用应用程序的系统调用序列,通过基因规划建立了正常行为模式.模型的一个例程管理一个进程.当它发现进程的实际系统调用序列模式偏离正常的行为模式时,会将进程设标记为入侵,并采取应急措施.还给出了基因规划的适应度计算方法以及两个生成下一代的基本算子.通过与现有一些模型的比较,该模型具有更好的准确性和更高的效率.     

A rough set theory based method for anomaly intrusion detection in computer network systems

Abstract: Intrusion detection is important in the defense‐in‐depth network security framework. This paper presents an effective method for anomaly intrusion detection with low overhead and high efficiency. The method is based on rough set theory to extract a set of detection rules with a minimal size as the normal behavior model from the system call sequences generated during the normal execution of a process. It is capable of detecting the abnormal operating status of a process and thus reporting a possible intrusion. Compared with other methods, the method requires a smaller size of training data set and less effort to collect training data and is more suitable for real‐time detection. Empirical results show that the method is promising in terms of detection accuracy, required training data set and efficiency.     

基于粗糙集的进化神经网络入侵检测系统研究

针对目前实时入侵检测系统所处理的网络数据具有的非线性和高维的特点,提出基于粗糙集理论的进化神经网络入侵检测方法。对网络中截获的数据,利用粗糙集属性约简方法对其属性集进行约简,得到影响分类精度的重要属性。把约简后形成的训练样本进行数值化和归一化处理,作为神经网络的输入数据,再利用遗传算法较强的宏观搜索能力和全局寻优的特点,优化神经网络权值,并在此基础上进行神经网络学习,从而建立入侵检测系统的优化分析模型。实验结果表明,该算法学习速度快,有效提高了入侵检测系统的检测效率。     

基于模糊粗糙集属性约简与GMM-LDA最优聚类簇特征学习的自适应网络入侵检测

网络入侵方式已日趋多样化,其隐蔽性强且变异性快,开发灵活度高、适应性强的实时网络安全监测系统面临严峻挑战.对此,提出一种基于模糊粗糙集属性约简(FRS-AR)和GMM-LDA最优聚类簇特征学习(GMM-LDA-OCFL)的自适应网络入侵检测(ANID)方法.首先,引入一种基于模糊粗糙集(FRS)信息增益率的属性约简(AR)方法以实现网络连接数据最优属性集选择;然后,提出一种基于GMM-LDA的最优聚类簇特征学习方法,以获得正常模式特征库和入侵模式库的最优特征表示,同时引入模式库自适应更新机制,使入侵检测模型能够适应网络环境动态变化.KDD99数据集和基于Nidsbench的网络虚拟仿真实验平台的入侵检测结果表明,所提出的ANID方法能有效适应网络环境动态变化,可实时检测出真实网络连接数据中的各种入侵行为,其性能优于当前常用的入侵检测方法,应用前景广阔.     

基于集成降噪自编码的在线网络入侵检测模型

针对神经网络在线入侵检测模型训练时易出现过拟合和泛化能力弱的问题,提出基于改进的集成降噪自编码在线入侵检测模型以区分正常和异常的流量模式。降噪自编码减少了训练数据与测试数据的差别,缓解过拟合问题,提高模型的性能。同时阈值的选择方法直接影响网络入侵检测模型检测精度,该阈值采用随机方法确定,无须于离线入侵检测,不需通过完整的数据集即可选择最佳的阈值。采用CICIDS2017中的异常的数据流对模型进行测试,准确率分别为90.19%。结果表明,作为一种在线检测模型,提出的异常检测模型优于其他异常检测方法。     

入侵检测中的OCSVM方法综述

通常,在入侵检测的研究中把入侵行为看成是一个二分类问题,即正常和异常,这就需要一个被完全标记为正常和异常的训练数据集.而在实际应用中,很难找到这样的数据集,并且对于一些新的没有标记过的入侵行为,传统的入侵检测方法不能检测出来.而基于OCSVM的入侵检测不需要任何标记数据,并且能够从未标记的数据集中发现异常.     

一种非纯净训练数据异常入侵检测方法

异常入侵检测系统在训练阶段建立对象的正常行为模型，在测试阶段把它与对象的行为进行比较，如果出现了大于给定域值的偏差，就认为发生了入侵．通常建立对象正常行为模型的方法是用没有入侵的数据训练系统．这种方法存在实用性和可靠性方面的缺陷：人工合成的训练数据基表可以保证没有攻击，但它与入侵检测系统将要实际工作的环境有很大的差别；而从实际使用环境提取的训练数据又不能保证不合有攻击．本文提出了一种基于网络的非纯净训练数据的异常入侵检测方法ADNTD（Anomaly Detection for Noisy Training Data），它通过过滤训练数据中的低概率特征域的方法过滤掉训练数据中的攻击数据并建立网络的正常行为模型，以保证即使训练数据含有攻击的情况下仍能取得较好的检测效果．实验结果显示：在训练数据含有攻击时，ADNTD的性能明显好于以前的系统；在采用纯净数据训练时，ADNTD也具有与以前的系统相当的性能；ADNTD用带有攻击的数据训练的情况下仍能达到以前的同类系统用纯净数据训练相同的检测性能．     

用改进的权值树进行入侵检测

提出了一种使用系统调用序列检测入侵的新算法。算法对权值树作了一定的改进,首先使用正常序列生成权值树森林,随后对权值树作了基于海明距离的剪枝,保留了主要的正常序列。在检测过程中扫描异常调用序列,通过权值树得到对应的权值序列,同时注意了经验的利用和更新。使用这种结构不仅可以检测是否出现异常,而且能满足实时性的要求。实验取得了理想的结果。     

SVM在网络流量异常检测中的应用研究

传统的异常入侵检测算法存在误报、漏报率高等问题。为此,将支持向量机应用于网络流量异常检测,提出一种基于支持向量机的网络流量异常检测模型。实验证明,该模型具有较高的检测率,对未知攻击的检测精度也很高,说明了采用支持向量机技术进行入侵检测的有效性。