异常检测测试平台的设计

提出了一种可以测试不同算法的异常检测测试平台.为适合大规模分布式网络,将网络分成不同网段,每个网段放置一个探测器IC,把不同IC提供的网络数据汇总至异常检测部件,在此进行异常分析,并根据分析结果对可能的入侵行为进行实时报警,其中的异常检测算法可以替换.最后,针对一种基于统计的异常检测算法进行了实验,并给出异常检测结果.     

基于变动和式累积检验算法的DDoS攻击检测

在SYN Flooding攻击检测中,为了检测算法能够实时快速准确地完成检测功能,在异常发生时能够在最短时间内发出警告,同时又必须保证警告结果的准确.根据网络TCP通信业务中SYN数据包与FIN(RST)数据包流量的变化特点,利用变动和式累积检验算法PCUSUM建立检测系统,对归一化后的SYN包与FIN(RST)包差值进行实时监控,检测网络流量异常.检测过程中,算法不需要建立正常业务和攻击行为的详细模型,仿真结果表明,在保持相同检测准确度情况下,算法对SYN Flooding攻击具有较短的报警时间,提高了检测系统的性能.     

一种基于数据挖掘的拒绝服务攻击检测技术

提出了一种新的、基于数据挖掘的DoS攻击检测技术--DMDoSD,它首先利用Apriori关联算法从原始网络数据中提取流量特征,然后利用K-means聚类算法自适应地产生检测模型,这两种算法的结合能够实时地、自动地、有效地检测DoS攻击.DMDoSD除了向现有的IDS发出攻击报警外,还进一步利用关联算法分析异常网络数据包,确定攻击特征,为DoS攻击的防御提供支持.     

基于时序关联智慧城市边缘数据异常检测算法

针对智慧城市边缘感知数据类型多、数据维度大和存在数据异常等问题,提出基于时序的边缘检测异常数据算法。对解决该问题的基于边缘计算的智慧城市物联网、大数据分析框架进行设计,同时设计边缘服务增强现实框架;对智慧城市边缘检测异常数据问题进行定义,设计检测流程和时序关联计算算法,提出基于时序关联的智慧城市边缘检测异常数据算法。对设计的算法,利用感知设备采集数据,进行大量实验与仿真对比分析,实验结果表明,该算法在解决时序关联多维数据异常检测的准确率和召回率方面,具有一定的优越性。     

利用角点历史信息的异常行为识别算法

针对视频监控场景中的异常行为事件,如突然的奔跑、人群的异常聚集等现象,提出一种利用角点运动历史图策略的行为识别算法,即首先通过角点提取算法进行场景角点提取;然后通过时间累积获取角点的历史图,通过角点历史图将场景中的角点划分为静态角点和动态角点;最后通过动态角点分析完成监控场景异常行为分析识别。新算法充分利用了图像的时空信息,并且克服了场景光照影响,增强了异常行为检测与识别的准确性。通过真实场景实验可以看出,新算法能够对不同监控场景的异常行为进行准确检测,并且其检测速度快,满足实际应用需求。     

社区异常行为智能识别防盗报警系统仿真

当前社区智能识别防盗报警系统采用广角视频人工识别异常行为,不能实时对社区异常行为进行监控和报警,存在报警误报率较高、报警延时较长、准确率较低等问题。针对上述问题,提出基于社区异常行为智能识别防盗报警系统,介绍了智能识别防盗报警系统的总体架构,包括图像采集模块、异常行为检测模块、远程监控模块、防盗报警模块四部分组成,并结合运动目标颜色特征的粒子滤波算法实现了对社区异常行为实时监控和实时报警。实验结果表明,所设计的智能识别防盗报警系统,报警误报率较低、报警延时较短、准确率较高。     

基于电力大数据的用户侧数据异常检测方法研究

针对现有电力大数据的异常检测方法存在的准确度低、检测效率慢等问题，在数据挖掘的基础上，提出了一种将孤立森林算法和局部离群因子算法相结合的电力大数据异常检测方法。从全局和局部两个方面对电力大数据进行异常检测，提高了电力大数据检测的优越性。为了验证该方法检测结果的优越性，通过仿真对该方法进行对比分析。结果表明，与传统的异常检测方法相比，该方法具有更高的检测效率，能够更准确地检测出用户侧电力数据异常值。     

入侵检测系统中分层报警处理模型的研究*

针对入侵检测系统中报警泛滥的问题,提出了一种分层的报警数据处理模型,在不同层次对报警数据进行了过滤、归约、融合和关联。在过滤阶段,建立了知识库对误警进行了消除;在归约阶段,设计了归约算法,可以实时消除报警中的重复信息;在融合阶段,设计了一种基于聚类的融合算法,可以实时消除报警中的相似信息;在关联阶段,首先用频繁片段算法对训练数据进行了分析,发现其中的入侵模式,然后再以这些模式建立知识库,为基于聚类的关联算法提供攻击的相似信息以发现入侵模式。通过上述处理,减少了报警中的错误信息和无用信息,减轻了系统和管理员     

数据挖掘算法在入侵检测中的应用研究

该文对入侵检测的现状进行了分析,在此基础上重点研究了数据挖掘算法在异常检测和误用检测中的具体应用。对于异常检测,主要研究了分类算法;对于误用检测,主要研究了模式比较和聚类算法,在模式比较中又以关联规则和序列规则为重点研究对象。最后对目前数据挖掘算法在入侵检测中应用所面临的难点进行了分析,并指明了今后的研究方向。     

检测器实时生成算法及其应用

基于生物免疫系统中抗体的克隆机制与亲和度变异机制,提出一种可实时改变当前检测器集合的检测器生成算法用于入侵检测系统(IDS)。理论分析和应用结果表明,该算法通过较少的检测器即可检测出大量非自体空间中的异常变化,且能降低IDS系统的漏检率和误检率,提高报警的可信性。     

基于流量异常分析多维优化的入侵检测方法

入侵检测系统在检测和预防各种网络异常行为的过程中,海量和高维的流量数据使其面临着低准确率和高误报率的问题。本文提出一种基于流量异常分析多维优化的入侵检测方法,该方法在入侵检测数据的横向维度和纵向维度两个维度进行优化。在横向维度优化中,对数量较多的类别进行数据抽样,并采用遗传算法得到每个类别的最佳抽样比例参数,完成数据的均衡化。在纵向维度优化中,结合特征与类别的相关分析,采用递归特征添加算法选择特征,并提出平均召回率指标评估特征选择效果,实现训练集的低维高效性。基于优化的入侵检测数据,进一步通过训练数据集得到随机森林分类器,在真实数据集UNSW_NB15评估和验证本文提出的算法。与其他算法相比,本文算法具有高准确率和低误报率,并在攻击类型上取得了有效的召回率。     

一种动态的入侵检测系统负载均衡算法

目前的入侵检测不仅需要模式匹配，而且需要协议异常检测，提出了一种新动态的负载均衡算法,采用两层结构，对网络流量按照服务类型进行初步划分之后分别对每部分流量进行二次分配，并对每种类型的流量进行相应的协议异常检测。该算法能在不牺牲系统性能的前提下有效提高网络入侵检测系统的检测效率，降低误检率，并可有效地适应网络流量的变化，降低漏检率。     

基于KQPSO聚类算法的网络异常检测

提出一种基于KQPSO聚类算法的网络异常检测模型.该模型利用K-Means聚类算法的结果重新初始化粒子群,聚类过程都是根据数据间的Euclidean（欧几里德）距离。再通过量子粒子群优化算法（QPSO）寻找聚类中心。最后进行仿真模拟,实验结果表明,该模型对网络异常检测是有效的。     

基于模糊C均值算法的入侵检测方法

聚类分析是一种有效的异常入侵检测方法,可用以在网络数据集中区分正常流量和异常流量。采用模糊C均值聚类算法对网络流量样本集进行划分,从中区分正常流量和异常流量,并针对入侵检测问题的特性提出了聚类中心确定方法。最后,利用KDD99数据集进行实验,证明该算法能够有效地发现异常流量。     

基于SDN的DDoS攻击防御系统

软件定义网络（SDN）是一种新兴网络架构,通过将转发层和控制层分离,实现网络的集中管控。控制器作为SDN网络的核心,容易成为被攻击的目标,分布式拒绝服务（DDoS）攻击是SDN网络面临的最具威胁的攻击之一。针对这一问题,本文提出一种基于机器学习的DDoS攻击检测模型。首先基于信息熵监控交换机端口流量来判断是否存在异常流量,检测到异常后提取流量特征,使用SVM+K-Means的复合算法检测DDoS攻击,最后控制器下发丢弃流表处理攻击流量。实验结果表明,本文算法在误报率、检测率和准确率指标上均优于SVM算法和K-Means算法。     

一种基于行为分析的程序异常检测方法

从系统资源保护的角度出发,分析并归纳了进程访问资源的异常行为特征,提出了一种基于行为分析的程序异常检测方法。该方法通过在运行的系统上设置资源防护检查点,采用用户模式API 拦截技术实时检测进程操作资源的行为,并运用贝叶斯算法对程序行为特征作组合分析,发现异常时进行告警。     

基于蚁群算法的IP网络流量矩阵估计

针对IP网络流量矩阵(TM)估计的高度病态性,导致很难精确估计网络流量矩阵,因此提出了一种基于蚁群优化(ACO)算法的IP网络流量矩阵估计方法。通过适当的建模,将流量矩阵估计问题转化为最优化问题,再通过蚁群算法求解模型,有效解决了网络流量矩阵估计。通过测试结果分析,与现存的方法相比,所提算法的精度比最大熵和二次规划稍差,但这两种方法复杂度太高,不适用于大规模网络,因此,在网络规模较大的情况下,算法是较优的,可提高流量矩阵估计的精度。     

基于小波的网络流量异常协同相变检测

针对网络流量表现出的非线性和非平稳性等复杂的动力学特征,提出一种基于小波的网络流量异常协同相变检测方法。该方法从网络流量时间序列的离散小波域出发,利用序参量的非线性动力学方程描述网络流量系统的复杂行为,采用势函数来刻画网络流量系统的非平稳相变过程,进一步分析了网络流量状态与各种攻击模式之间的变化关系,并通过协同学模型对网络流量序参量进行演化,当相应序参量收敛时,即可检测到相应的攻击模式或是正常流量模式。最后,采用了DARPA 1999数据集进行了实验测试,网络流量异常的平均检测率达到了90.00%,而平均误检率只有15.03%。实验结果表明,基于小波的协同相变方法可以用于网络流量异常检测。     

基于iForest和LOF的流量异常检测

异常检测在现代大规模分布式系统的安全管理中起着重要作用,而网络流量异常检测则是组成异常检测系统的重要工具。网络流量异常检测的目的是找到和大多数流量数据不同的流量,并将这些离群点视为异常。由于现有的基于树分离的孤立森林（iForest）检测方法存在不能检测出局部异常的缺陷,为了克服这个缺陷,提出一种基于iForest和局部离群因子（LOF）近邻集成的无监督的流量异常检测方法。首先,改进原始的iForest与LOF算法,在提升检测精度的同时控制算法时间;然后分别使用两种改进算法进行检测,并将结果进行融合以得到最终的检测结果;最后在自制数据集上对所提方法进行有效性验证。实验结果表明,所提方法能够有效地隔离出异常,获得良好的流量异常检测效果。     

基于信息熵理论的教育网异常流量发现*

为提高异常流量发现的效率,解决传统流量分析方法效率较低、异常检测能力弱的问题,对骨干路由器的netflow流数据采用基于多个信息熵的联合指标并结合基于滑动窗口的熵流突发检测算法来实现网络异常的发现;并利用各指标熵值的相关度分析将指标分类,根据已知的异常类型对每一类指标的异常检测范围作出总结。通过实验成功剔除了冗余度高的指标,将网络异常流量分为了能准确地被联合指标识别出的四种类型。实验证明,该异常检测方案实用性强,较传统的流量分析方法在异常类型的判断上更加准确和有效。