基于机器学习的用户行为异常检测模型

针对LaneT等人提出的用户行为异常检测模型的不足,提出了一种新的IDS异常检测模型。该模型改进了用户行为模式和行为轮廓的表示方式,采用了新的相似度赋值方法,在对相似度流进行平滑时引入了“可变窗长度”的概念,并联合采用多个判决门限对用户行为进行判决。基于Unix用户shell命令数据的实验表明,该文提出的检测模型具有更高的检测性能。     

基于模式挖掘的用户行为异常检测

行为模式通常反映了用户的身份和习惯，该文阐述了针对Telnet会话中用户执行的shell命令，利用数据挖掘中的关联分析和序列挖掘技术对用户行为进行模式挖掘的方法，分析了传统的相关函数法在应用于序列模式比较时的不足，提出了基于递归式相关函数的模式比较算法，根据用户历史行为模式和当前行模式的比较相似度来检测用户行为中的异常，最后给出了相应的实验结果。     

一种改进的IDS异常检测模型

基于机器学习的异常检测是目前IDS研究的一个重要方向．该文对一种基于机器学习的用户行为异常检测模型进行了描述，在此基础上提出一种改进的检测模型．该模型利用多种长度不同的shell命令序列表示用户行为模式，建立多个样本序列库来描述合法用户的行为轮廓，并在检测中采用了以shell命令为单位进行相似度赋值的方法．文中对两种模型的特点和性能做了对比分析，并介绍了利用UNIX用户shell命令数据进行的实验．实验结果表明，在虚警概率相同的情况下改进的模型具有更高的检测概率．     

基于兴趣的用户聚类分析在入侵检测中的应用

在入侵检测中对用户进行聚类,可以改善安全分析的效率,有助于发现潜在非法用户.在聚类中提出按照访问兴趣对用户进行聚类分析,在用户访问兴趣度量中综合考虑网页内容和浏览路径因素.在聚类分析中,依据访问兴趣定义提出新的相似度计算方法.利用传递闭包法对用户进行聚类.算法可以提高用户聚类的准确性,试验结果表明该算法是有效的.     

面向Unix和Linux平台的网络用户伪装入侵检测

基于主机的入侵检测是目前网络安全领域研究的热点内容。提出了一种基于数据挖掘和变长序列匹配的用户伪装入侵检测方法,主要用于Unix或Linux平台上以shell命令为审计数据的主机型入侵检测系统。该方法针对用户行为复杂多变的特点以及审计数据的短时相关性,利用多种长度不同的shell命令短序列来描述用户行为模式,并基于数据挖掘技术中的序列支持度在用户界面层对网络合法用户的正常行为进行建模;在检测阶段,采用了基于变长序列匹配和判决值加权的检测方案,通过单调递增相似度函数赋值和加窗平滑滤噪对被监测用户当前行为的异常程度进行精确分析,能够有效降低误报率,增强了检测性能的稳定性。实验表明,同目前典型的伪装入侵检测方法相比,该方法在检测准确度和计算成本方面均具有较大优势,特别适用于在线检测。     

基于最大访问模式挖掘的数据库异常行为检测

引入访问模式描述用户访问数据库系统的主要行为特征,利用从数据库审计记录中挖掘的最大访问模式来检测数据库系统的异常行为.基于FP-tree结构,提出了一种最大访问模式挖掘算法MMAP.基于数据库系统中关系之间的外键依赖提出了一种关系距离约束,进一步减少挖掘算法的搜索空间.基于MMAP算法建立了一个检测模型,测试表明该模型能有效地检测数据库系统的异常行为.     

Web点击流的频繁模式聚类算法

用户在访问Web站点时会碰到很多问题，主要原因是Web站点对用户需求缺乏适应性。为了提高Web用户的服务质量和用户的满意度，在用户访问网站点击流形成频繁序列模式的基础上，提出基于距离函数的聚类分析以及基于时间相似度函数的二次聚类分析算法。该算法可以求取频繁序列的相关性和反映用户对网页的兴趣的相似度，对下一步改善Web站点的结构及存在形式使站点达到更好的效果起先导作用。     

一种基于模糊综合评判的入侵异常检测方法

目前国际上已实现的大多数入侵检测系统是基于滥用检测技术的，异常检测技术还不太成熟，尤其是基于网络的异常检测技术，如何提高其准确性、效拿和可用性是研究的难点．提出了一种面向网络的异常检测算法FJADA，该算法借鉴了模糊数学的理论，应用模糊综合评判工具来评价网络连接的“异常度”，从而确定该连接是否“入侵”行为．实验证明，该方法能检测出未知的入侵方式，而且准确性较高．     

用户行为异常检测在安全审计系统中的应用

提出一种基于数据挖掘的用户行为审计方法，通过对正常审计数据进行分类预处理获取其他传统方法容易遗漏的正常模式，结合使用关联规则以及序列模式挖掘技术对用户行为进行模式挖掘，根据模式相似度比较来检测用户行为的异常。将此方法应用于实际的安全审计系统，得到了较好的效果。     

基于动态社会行为和用户背景的协同推荐方法

针对传统协同过滤推荐算法推荐精度低及冷启动的问题,提出了一种基于动态社会行为和用户背景的协同推荐方法。作为用户标注行为的结果,变化的标签体现了用户行为的动态性。该方法首先根据动态社会化标签得出用户的动态兴趣偏好相似度,然后根据用户背景信息计算出用户相似度,最后计算基于时间权重的用户评分相似度,并集成上述3个相似度找出最近邻居集,以为目标用户提供更加准确的个性化推荐。实验结果证明,该方法不仅能较好地解决数据稀疏和冷启动的问题,还能有效提高推荐算法的精确度。     

基于划分和凝聚层次聚类的无监督异常检测

将信息熵理论应用于入侵检测的聚类问题,给出在混合属性条件下数据之间距离、数据与簇之间距离、簇与簇之间距离的定义,以整体相似度的聚类质量评价标准作为聚类合并的策略,提出了一种基于划分和凝聚层次聚类的无监督的异常检测算法。算法分析和实验结果表明,该算法具有较好的检测性能并能有效检测出未知入侵行为。     

基于聚类算法的异常入侵检测模型的研究与实现

针对目前网络入侵检测现状，提出了将聚类算法应用到异常入侵检测中，并对K-means算法进行了改进。实验采用KDD Cup1999的测试数据，结果表明该方法是有效的。     

基于SVM技术的入侵检测

针对日益严重的网络入侵事件,提出了一种新的入侵检测方法．在对网络数据进行深刻的分析和研究的基础上,提出了基于支持向量机的入侵检测方法．首先,对1类SVM进行了必要的改进,使异常点聚集为一类（即环绕原点的一类）．然后,使用抽象化的网络数据对SVM进行训练,生成入侵事件的SVM分类器．实验表明,该方法是行之有效的．     

基于序列模式挖掘的入侵检测技术研究

提出了一种基于数据挖掘的智能化入侵检测技术．其思想是通过将网络审计数据转化为时序数据库，对其进行序列模式挖掘以提炼出用户行为模式，并由此进行异常检测．在挖掘过程中，本文提出了一种新的挖掘松散的间断序列模式的算法．     

一种基于动态聚类的异常入侵检测方法

运用数据挖掘方法进行入侵检测已经成为网络安全领域的一个重要研究方向。提出一种动态聚类的数据挖掘方法进行异常入侵检测，该方法将不同用户行为的特征动态聚集，根据各个子的类支持度与预设的检测阈值比较来区分正常与异常。由于动态聚类算法在每次聚类过程中都检验归类的合理性，因此获得很好的聚类效果。实时检测试验得到了较高的检测率和较低的误报率。     

一种用户任务级别上的数据库入侵检测方法

通常，更新数据库中一个数据项之前可能读或者写一些数据项，更新一个数据项后，可能也有一些数据项被更新。依据数据之间的这种依赖关系，本文提出一种用户任务级别 的数据依赖挖掘算法，从数据库日志中挖掘出用户任务事务中存在的数据依赖关系。如果在检测阶段发现同一用户任务中有事务与挖掘出的数据依赖关系不符合，则可判断此
此用户任务中有异常活动出现。     

基于聚类融合的入侵检测

随着互联网的飞速发展,网络安全的问题日趋严重,传统的网络安全技术已难以应对日益繁多的网络攻击。因此入侵检测便应运而生了,而且其重要性日益提高。基于聚类分析的入侵检测已经成为其主要研究方向。聚类分析是一种有效的异常入侵检测方法,可用以在网络数据集中区分正常流量和异常流量。但单一的聚类算法很难达到预期的效果,为了提高入侵检测的效果,文中采用聚类融合技术,提出一种基于Co—assocition的模糊聚类融合算法,通过实验检测能显著提高检测率和降低误报率。     

基于数据挖掘和本体的实时入侵检测系统

通过分析现有入侵检测技术,提出了一种建立入侵检测系统的新方法。该方法结合误用检测技术和异常检测技术,利用数据挖掘能高效地从大量的审计数据中挖掘出代表行为特征的频繁模式和本体可以对对象的本质进行描述的特点,并加入相似度以判断是否发生入侵,同时决定是否更新规则本体库。经分析该系统可以有效地提高检测的效率。     

神经模糊入侵检测系统的研究

当前大多数入侵检测系统都是misuse detection,均不能检测已知攻击的变种,而少数基于用户行为的异常检测系统不仅会侵犯合法用户的隐私权,而且不能发现不良用户通过慢慢改变其行为躲过检测的欺骗行为。文章提出了一种新的基于进程行为的神经模糊入侵检测系统,有效地解决了上述问题,极大地提高了入侵检测系统的性能。     

基于孤立点检测的入侵检测方法研究

本文提出了一种基于孤立点检测的核聚类入侵检测方法。方法的基本思想是首先将输入空间中的样本映射到高维特征空间中,并通过重新定义特征空间中数据点到聚类之间的距离来生成聚类,并根据正常类比例Ｎ来确定异常数据类别,然后再用于真实数据的检测。该方法具有更快的收敛速度以及更为准确的聚类,并且不需要用人工的或其他的方法来对训练集进行分类。实验采用了KDD99的测试数据,结果表明,该方法能够比较有效的检测入侵行为。