改进的否定选择算法及其在入侵检测中的应用

否定选择算法(Negative Selection Algorithm,NSA)作为人工免疫系统的典型算法被广泛应用于入侵检测中.针对传统否定选择算法在处理入侵检测问题时出现的准确率低、误报率高以及检测器集合冗余度高等问题,提出了一种改进的否定选择算法并将其应用到入侵检测中.其主要思想是:首先通过密度峰值聚类算法对非自体抗原进行聚类,生成一类已知检测器,该检测器可检测已知入侵行为;然后定义异常点并将其优先作为候选检测器中心,计算和生成未知检测器,该检测器可检测未知入侵行为,以此降低检测器生成的随机性.在实验阶段,选择准确率(Accuracy,AC)和误报率(False Alarm,FA)作为评价指标.分别在KDDCUP99和CSE-CIC-IDS2018数据集上进行了仿真实验,实验结果表明,所提算法在这两种数据集上均有较低的误报率和较高的准确率,这验证了其具有较好的检测效果.     

基于免疫的异常检测中实值自体集优化算法*

针对免疫异常检测一直被忽视的实值自体集多分区、样本重叠率高和噪声等现象,以及造成的检测器生成代价高和边界漏洞等问题,提出一种实值自体集优化算法。算法通过模糊聚类算法处理集合多分区问题,利用高斯理论对自体集中的噪声样本、高重叠率等问题进行处理。通过Iris数据集和网络数据验证,算法可以有效地解决以上问题,提高生成检测器的效率和系统检测率。     

检测器实时生成算法及其应用

基于生物免疫系统中抗体的克隆机制与亲和度变异机制,提出一种可实时改变当前检测器集合的检测器生成算法用于入侵检测系统(IDS)。理论分析和应用结果表明,该算法通过较少的检测器即可检测出大量非自体空间中的异常变化,且能降低IDS系统的漏检率和误检率,提高报警的可信性。     

基于特征选择的模糊聚类异常入侵行为检测

网络攻击连接具有行为的多变性和复杂性等特征,利用基于传统聚类的行为挖掘技术来构建异常入侵检测模型是不可行的。针对网络攻击行为的特点,提出了基于特征选择的模糊聚类异常入侵模型。首先通过层次聚类算法改善了FCM 聚类算法结果对初始聚类中心的敏感性,再利用遗传算法的全局搜索能力克服了其在迭代时易陷入局部最优的缺点,并将它们结合构成一种AGFCM 算法;然后采用信息增益算法对网络攻击连接数据集的特征属性进行排序,同时利用约登指数来删减数据集的特征属性以确定特征属性容量;最后利用低维特征属性集和改进的FCM 聚类算法构建了异常入侵检测模型。实验结果表明该模型对绝大多数的网络攻击类型具有很好的检测能力,为解决异常入侵检测模型的误警率和检测率等问题提供了一种可行的解决途径。     

基于改进基因库的检测器生成算法

在基因库生成检测器算法中,一般是把被删除的记忆检测器进行基因突变后的基因或非自体集样本加入到基因库中来初始化并更新基因库。经过若干代之后,在基因库中会出现一些相似性比较大的基因,形成基因的聚类现象。通过定期的对基因库进行聚类,变异,约减,提高成熟检测器对入侵的检测多样性。实验结果表明,该方法是有效的,能在快速生成检测器的同时,提高对未知入侵的检测能力。     

基于免疫的检测漏洞问题研究

针对已有实值非选择算法中检测漏洞问题,提出一种改进的算法提高对检测漏洞的覆盖。算法基于可变长实值检测器实现,主要思想是把自体样本分为边界自体样本和非边界自体样本。在检测器的生成过程中,鉴别和记录边界自体样本;在对新样本的检测过程中,检测是否匹配边界自体。通过人工合成数据集2DSyntheticData和实际Iris 数据集对算法进行了验证。实验结果表明,算法检测率较高,在覆盖自体和非自体边界处的漏洞方面明显优于已有的算法。     

新的否定选择算法及其在疾病诊断中的应用

针对现有的否定选择算法存在检测率较低,检测器集合过大等问题,提出了一种结合非自体信息和二次移动的实值否定选择算法(NTMV-detector)。该算法基于训练集中的非自体和随机的方法生成候选检测器中心。二次移动的主要思路是:如果候选检测器中心与成熟检测器匹配,把它移出成熟检测器集;然后通过离候选检测器中心最近的两个自体来微调检测器的位置,确定检测器半径。实验证明,该方法可以有效地提高疾病诊断的诊断率,降低误诊率。     

基于免疫和模糊模式识别的检测器生成模型

分析了在检测器生成过程中引入模糊模式识别的原因,提出了一种基于免疫原理和模糊模式识别的检测器生成模型,该模型的核心算法是基于隶属度的检测器选择算法.详细描述了该算法的算法流程和检测器对非我抗原集合隶属度的计算算法,并简述了初始检测器生成算法和分层检测策略.设计了仿真试验,并将实验结果同传统方法进行了比较,详述了仿真实验中各个参数选择的依据和理由,试验结果表明新模型呈现较高的检测率和低的误检率.     

基于免疫多Agent的网络监控系统模型研究

研究入侵检测问题,针对网络免疫系统检测器训练速度慢、网络系统自适应性差和阈值量化等问题,提出了免疫多Agent的网络监控系统模型.在模型中,首先以抗体激活阈值为度量对网络事务集进行自体、非自体分类和网络成熟检测器的生成;然后对成熟检测器通过克隆优选策略和检测器影响权重函数进行分布式网络系统的成熟检测器筛选与优化,依据免疫系统的初次耐受应答生成能够对非自体抗原进行识别的记忆检测器;最后利用记忆检测器对实时获取的网络系统窗口数据进行抗原识别.仿真结果表明,提出的算法具有较好的检测率和较低的误测率,同时有效的降低了检测器的训练时间.     

通信垃圾文本识别的半监督学习优化算法

在对非平衡通信文本使用随机下采样来提高分类器性能时,为了解决随机下采样样本发生有偏估计的问题,提出基于否定选择密度聚类的下采样算法（NSDC-DS）。利用否定选择算法的自体异常检测机制改善传统聚类,将样本中心点和待聚类样本分别作为检测器和自体集,对两者进行异常匹配;使用否定选择密度聚类算法对样本相似性进行评估,改进传统的下采样方法,使用NBSVM分类器对采样后的通信样本进行垃圾识别;使用PCA对样本所具有的信息量进行评估,提出改进的PCA-SGD算法对模型参数进行调优,完成通信垃圾文本的半监督识别任务。为了验证改进算法的优越性,使用不平衡通信文本等多个数据集,在否定选择密度聚类、NSDC-DS算法、PCA-SGD与传统模型上进行对比分析。实验结果表明,改进的模型不仅具有较好的通信垃圾文本识别能力,而且具有较快和稳定的收敛速度。     

分布式网络异常攻击检测模型仿真分析

针对传统的异常攻击检测方法主要以异常攻击行为规则与网络数据隶属度大小进行判别,只能针对已知异常攻击进行检测,对新型异常攻击,检测算法率低,计算数据量大的问题。提出一种新的分布式网络异常攻击检测方式,通过对分布式网络内数据进行迭代聚类将正常和异常数据进行分类,建立矩阵映射模型进行数据矩阵对比,初步对异常攻击数据进行判断。在矩阵中建立粒子密度函数,通过粒子密度变化计算其异常攻击概率,最后对其数据进行加权和波滤确定数据异常攻击特征,建立攻击检测模型。仿真实验表明,优化的分布式网络异常攻击检测模型提高了异常数据攻击检测的自适应性,在网络信号受到攻击信号干扰情况下,仍然能够准确检测出带有攻击特征的小网络异常数据。有效提高了分布式网络的检测正确率,加快了检测速度和稳定性。     

一种基于克隆网络聚类的入侵检测方法

将免疫克隆策略用于网络结构的聚类中，能够得到克隆网络对数据进行合理的聚类分析。采用克隆网络对入侵检测数据进行学习，即用一个小规模网络来表示海量数据，完成数据的压缩表示。再利用图论中的最小生成树对克隆网络的结构进行聚类分析，从而获得描述正常行为和异常行为的数据特征，实现合理的聚类。该算法可实现对大规模无标识原始数据的入侵检测，区分正常和异常行为，并能检测到未知攻击。在KDD CUP99数据集中进行了对比仿真实验，实验结果表明：相对于以前的算法，该算法较大地提高了对已知攻击和未知攻击的入侵检测率，并降低了误警率。     

DBSCAN聚类算法在异常检测中的应用

运用数据挖掘的方法进行入侵检测已经成为网络安全领域的一个热点研究方向,该文主要对异常检测进行研究,将一种快速DBSCAN聚类算法应用到入侵检测中,通过对数据进行聚类,从而发现其中未知的攻击行为。该文以KDD99数据集为例做实验,证明了DBSCAN算法具有很好的聚类效果,实验结果得到了较高的检测率和较低的误报率。     

基于改进单类支持向量机的工业控制网络入侵检测方法

针对单类支持向量机（OCSVM）入侵检测方法无法检测内部异常点和离群点导致决策函数偏离训练样本的问题,提出了一种结合具有噪声的密度聚类（DBSCAN）方法和K-means方法的OCSVM异常入侵检测算法。首先通过DBSCAN算法,剔除训练数据中的离群点,消除离群点的影响;然后利用K-means划分数据类簇的方法筛选出内部异常点;最后利用OCSVM算法为每一个类簇建立单分类器用于检测异常数据。工控网络数据集上的实验结果表明,该组合分类器能够利用无异常数据样本检测出工控网络入侵,并且提高了OCSVM方法的检测效果。在气体管道网络数据集入侵检测实验中,所提方法的总体检测率为91.81%;而原始OCSVM算法则为80.77%。     

基于分布式统计时间序列的网络流量分析

研究网络数据在分布式存储下的相关性,有利于入侵检测整体的学习和指导优化数据的存储.重点研究了网络传输过程中各种类型数据的流量的这种相关性,提出了一种基于分布式统计(DS)的时间序列分析方法:根据网络协议间的关系将数据包分组,分析数量关系并给出报警阈值.仿真实验结果表明,该方法能较好地发现各种网络攻击.     

基于Web挖掘的Web服务器入侵检测研究

针对传统的防火墙技术和网络检测技术不再能准确、及时地发现对服务器的攻击行为提出了基于Web数据挖掘技术的一种服务器入侵检测方法：首先由目前已经掌握的对服务器攻击行为特征作为样本点,采用k-均值聚类分析算法进行无监督学习,生成K个聚类的特征攻击库;其次采用邻近分类算法,根据计算访问样本点与特征攻击库中心的距离对样本点进行归并;最后对特征攻击库中心点进行重新调整,确保对新的样本点行为分析更加准确。     

基于智能蜂群算法的DDoS攻击检测系统

随着大数据应用的普及,DDoS攻击日益严重并已成为主要的网络安全问题。针对大数据环境下的DDoS攻击检测问题,设计了一种融合聚类和智能蜂群算法(DFSABC_elite)的DDoS攻击检测系统。该系统将聚类算法与智能蜂群算法相结合来进行数据流分类,用流量特征分布熵与广义似然比较判别因子来检测DDoS攻击数据流的特征,从而实现了DDoS攻击数据流的高效检测。实验结果显示,该系统在类内紧密度、类间分离度、聚类准确率、算法耗时和DDoS检测准确率方面明显优于基于并行化K-means的普通蜂群算法和基于并行化K-means算法的DDoS检测方法。     

多协议交叉的HMM协议异常检测算法

随着网络攻击的不断多样化,现有的协议异常检测工作在准确率和实时性方面面临新的挑战。针对目前的协议异常检测方法只面向单一协议的恶意攻击而未考虑协议之间的关联,提出一种基于HMM的协议异常交叉检测算法。使用多个协议的语义关键词和时间标记来构造报文序列作为模型的训练集,提出协议报文语义合并算法并结合Baum-Welch算法构建多协议交叉的HMM,在序列化协议报文的同时收集子序列重复数来进一步校验HMM对存在大量循环操作的攻击行为的检测。通过在视频监控网络中进行仿真实验,证明该检测算法同现有的HMM异常检测方法相比,可以更准确地检测多种恶意攻击,同时具有一定的通用性。     

一种改进的半监督聚类入侵检测算法

针对网络环境,提出了一种新的半监督聚类入侵检测算法,将主动学习策略应用于半监督聚类过程中,利用少量的标记数据,生成用于初始化算法的种子聚类,通过辅助聚类过程,根据网络数据的特点,检测已知和未知攻击。主动学习策略查询网络中未标记数据与标记数据的约束关系,对标记数据可以快速获得k个不相交的非空近邻集,经检测结果证明,改进了算法的性能,且表明了算法的可行性及有效性。     

基于SDN的DDoS攻击防御系统

软件定义网络（SDN）是一种新兴网络架构,通过将转发层和控制层分离,实现网络的集中管控。控制器作为SDN网络的核心,容易成为被攻击的目标,分布式拒绝服务（DDoS）攻击是SDN网络面临的最具威胁的攻击之一。针对这一问题,本文提出一种基于机器学习的DDoS攻击检测模型。首先基于信息熵监控交换机端口流量来判断是否存在异常流量,检测到异常后提取流量特征,使用SVM+K-Means的复合算法检测DDoS攻击,最后控制器下发丢弃流表处理攻击流量。实验结果表明,本文算法在误报率、检测率和准确率指标上均优于SVM算法和K-Means算法。