基于Spark的随机森林的网络入侵检测方法

随着信息数据传输内容的不断丰富,信息传输方式的多样化,在网络安全管理中,需要改变传统网络安全管理以被动管理为主的模式,强化网络攻击的主动检测能力。基于Spark的随机森林算法在目前的理论研究中,已经取得了较为深入的研究成果,同时由于其在实际运行中所具有的优势,在应用于网络入侵检测中,具有较好的实用效果。本文对这方面的研究进行简要说明,以期为后续研究工作的开展起到应有的支撑作用。     

基于代数特征的多光谱图像特征提取方法

多光谱图像特征提取的好坏直接关系着目标识别算法的复杂程度,也影响着最终目标识别的性能。研究了一维主成分分析（1DPCA）、二维主成分分析（2DPCA）、一维奇异值分解(1DSVD)和二维奇异值分解(2DSVD)等代数特征提取方法,并用这些方法构成图像识别框架的特征提取部分,通过识别率的大小来验证是否适合于多光谱图像特征提取。实验结果表明：①与可见光图像目标识别相比,PCA和SVD特征更适合于红外图像目标识别;②训练样本分类时,PCA和SVD特征的识别性能改善不明显;③训练样本少时,SVD重构图像、2DSVD和1DPCA特征的识别性能较好。     

基于主成分分析的改进贝叶斯网络入侵检测研究

传统的贝叶斯网络入侵检测技术中,未考虑到入侵检测数据集中属性数量过多的问题,导致贝叶斯网络构造过程中计算量过大,严重影响了检测效率;传统的贝叶斯网络入侵检测技术,在检测的过程中也没有考虑到当前网络受到的攻击行为和安全状态,仅仅根据原始训练数据集生成的贝叶斯网络进行测试,对检测精度造成一定的影响。针对上述两个问题,提出结合主成分分析和滑动窗口的贝叶斯网络入侵检测技术,仿真实验表明,改进后的技术能够大大降低数据维数,提高运算效率和检测精度。     

基于频域数据采样和时域信号同步的超宽带时间反转成像

提出一种基于频域数据取样和时域信号同步的超宽带（Ultrawideband,UWB）时间反转（Time-Reversal,TR）成像方法.单个发射机发射UWB脉冲信号到探测区域,时间反转镜（Time Reversal Mirror,TRM）的每个天线单元对散射信号进行细频和粗频数据采样,得到各自单元的频率-频率-多站数据矩阵（individual-FF-MDM）.把所有单元的该矩阵堆砌起来,形成一个全体单元的频率-频率-多站数据矩阵（full-FF-MDM）,并对full-FF-MDM进行奇异值分解（Singular Value Decomposition,SVD）,得到耦合了目标位置信息的左奇异值向量.将每一个左奇异值向量变换成时域脉冲回传辐射,则来自TRM各单元的回传辐射信号在相应目标处同时到达波形的最大值,而在非该目标处则不能同时达到最大值.于是,定义各单元的回传信号乘积作为目标成像函数,可获得良好的横向和纵向分辨率.     

基于 K 均值多重主成分分析的 App-DDoS 检测方法

针对应用层分布式拒绝服务攻击,利用Web日志的数据挖掘方法提出一种K均值多重主成分分析算法和基于该算法的App-DDoS检测方法。首先,通过分析正常用户和攻击者的访问行为区别,给出提取统计属性特征的方法;其次,根据主成分分析法的数据降维特性并利用最大距离划分法,提出一种K均值多重主成分分析算法,构建基于该算法的检测模型。最后,采用CTI-DATA数据集及模拟攻击获取的数据集,进行与模糊综合评判、隐半马尔科夫模型、D-S证据理论3种检测方法的App-DDoS攻击检测对比实验,实验结果证明 KMPCAA检测算法具有较好的检测性能。     

NETWORK INTRUSION DETECTION METHOD BASED ON RS-MSVM

A new method called RS-MSVM （Rough Set and Multi-class Support Vector Machine） is proposed for network intrusion detection. This method is based on rough set followed by MSVM for attribute reduction and classification respectively, The number of attributes of the network data used in this paper is reduced from 41 to 30 using rough set theory. The kernel function of HVDM-RBF （Heterogeneous Value Difference Metric Radial Basis Function）, based on the heterogeneous value difference metric of heterogeneous datasets, is constructed for the heterogeneous network data. HVDM-RBF and one-against-one method are applied to build MSVM. DARPA （Defense Advanced Research Projects Agency） intrusion detection evaluating data were used in the experiment. The testing results show that our method outperforms other methods mentioned in this paper on six aspects： detection accuracy, number of support vectors, false positive rate, falsc negative rate, training time and testing time.     

基于变电站的入侵防御网络安全评估模型

网络攻击是最重要的变电站安全问题之一,为了更好地识别易受攻击的变电站,首先需要对侦察活动进行建模。在此基础上研究相应的网络攻击和防御策略。利用马尔可夫决策过程建立了变电站控制权竞争中的入侵防御模型。在模型中考虑了目标变电站、入侵者和防御者的关键特征。因此,通过求解模型,可以得到入侵者和防御者的最优策略。通过这些策略可以对变电站的网络安全状态进行评估。仿真实验结果验证了所提出的模型以及相应策略的可行性。     

基于奇异值分解的多卫星信号盲检测

针对非合作低信噪比环境下的卫星通信信号检测问题,在信号子空间维数估计的基础上,提出了一种基于奇异值分解的多卫星信号盲检测方法。该方法充分利用奇异值与特征值之间的关系,设计检测统计量将多个信号能量集中起来进行考虑,以适应更低的信噪比,并从理论上对检测性能进行了推导分析。仿真结果表明,该方法简单高效,针对不同的卫星信号,在虚警概率小于1%、信噪比为-11 dB时,盲检测概率均可达90%以上;同时能够在低信噪比环境下适应多信号环境,且其计算量相对特征值方法减少了一个数量级,更适合应用在星载设备上。     

基于改进的GHSOM的入侵检测研究

提出了一种基于改进的生长型分级自组织映射(GHSOM,growing hierarchical self-organizing maps)神经网络的入侵检测方法。改进的GHSOM具有传统GHSOM多层分级的特点,同时能够处理含有数值类型成员和字符类型成员的混合输入模式向量,提高了入侵检测的效率。对KDD Cup 99数据集和模拟数据集进行的入侵检测模拟实验表明,改进的GHSOM算法对各种类型的攻击有着较高的检测率。     

基于非负矩阵分解算法进行盲信号分离

独立分量分析(ICA)已被广泛运用于线性混合模型的盲源分离问题,但却有两个重要的限制:信源统计独立和信源非高斯分布。然而更有意义的线性混合模型是:观测信号是非负信源的非负线性混合,信源之间可以统计相关且可以为高斯分布。本文针对盲源分离问题,提出了一种运用新近国际上提出的一种非负矩阵分解算法(NMF算法)进行统计相关信源的盲源分离方法,该方法没有信源统计独立和信源非高斯分布的限制,只要信源之间没有一阶原点统计相关,则可很好实现对信源的分离。大量仿真及与传统ICA进行盲源分离的比较,验证了运用NMF进行包括统计相关信源和高斯分布信源的盲源分离的可行性和有效性。     

一种分布式网络入侵检测系统

在分析了传统入侵检测技术后,提出了一种基于CORBA的分布式的网络入侵检测系统结构。该结构不仅能够避免分布式系统中存在的单点失效问题,还可以平衡计算并提高系统整体的效率,使入侵检测系统能够适应计算机及互联网络的迅速发展。     

基于频域奇异值分解的LPI雷达信号降噪

随着低截获技术在战场上的大量使用,侦察接收机接收到的低截获（LPI）信号大多都湮没在噪声中。为了准确地检测威胁目标,在研究时域奇异值分解（SVD）降噪的基础上,提出了基于频域SVD的LPI雷达信号降噪方法。仿真实验表明,该方法可以将LPI雷达常用的线性调频连续波（LFMCW）信号和二相编码（BPSK）信号的信噪比从0 dB提升到6 dB以上。频域SVD降噪使侦察机发现LPI雷达的概率大大提高。     

基于移动代理的入侵检测系统模型的研究

阐述了基于移动代理的入侵检测系统的优势,提出了一个使用移动代理技术的入侵检测系统MAAFID。首先由数据收集代理(DCA)在网络中随机移动并收集信息,然后将收集到的信息传递给数据分析代理(DAA)来评估入侵发生的可能性。本文重点讨论了系统中数据收集代理的数目与检测出入侵发生的可能性二者之间的定量关系,最后还给出了一个仿真结果。     

基于Dempster-Shafer理论的GHSOM入侵检测方法

结合证据推理DS理论,提出了基于Dempster-Shafer理论的GHSOM神经网络入侵检测方法,一方面处理数据不确定性中的随机性和模糊性问题,可以在噪音环境下保持良好的检测率,此外通过证据融合理论缩小数据集,有效控制网络的动态增长。实验结果表明,基于Dempster-Shafer理论的GHSOM入侵检测方法实现了对子网拓展规模在检测中的动态控制,提升了在网络规模不断扩展时的动态适应性,在噪音环境下具有良好的检测准确率,提升了GHSOM入侵检测方法的扩展性。     

基于PCANet的脉搏信号亚健康检测

目前亚健康状态识别中脉搏信号特征提取困难, 且多依赖于手工提取特征而影响识 别率。针对这一问题,本文提出了一种基于主成分分析网络(Principal Component A nalysis Network,PCANet)的脉搏信号亚健康检测新方法。首先对预处理的脉搏信号进行特征提取; 其次 将这些特征进行哈希编码,直方图分块,作为特征描述;然后使用分类器将健康和亚健康的 两类 脉搏信号进行分类识别,并与传统特征提取方法的分类效果进行比较。实验结果表明本文方 法对 亚健康状态识别达到了较高的准确率,相比传统的特征提取方法,PCANet方法在识别率上提 高 了10%以上,因此,本文所提出的方法能够有效地区分健康与亚健康 状态,为亚健康状态的 检测提供了一种新的参考依据。     

Projection spectral analysis: A unified approach to PCA and ICA with incremental learning

Projection spectral analysis is investigated and refined in this paper, in order to unify principal component analysis and independent component analysis. Singular value decomposition and spectral theorems are applied to nonsymmetric correlation or covariance matrices with multiplicities or singularities, where projections and nilpotents are obtained. Therefore, the suggested approach not only utilizes a sum-product of orthogonal projection operators and real distinct eigenvalues for squared singular values, but also reduces the dimension of correlation or covariance if there are multiple zero eigenvalues. Moreover, incremental learning strategies of projection spectral analysis are also suggested to improve the performance.     

基于两水平算法的入侵检测系统的研究

针对现有入侵检测系统的检测时间范围具有一定局限性的缺陷,提出了一种基于两水平算法的入侵检测系统模型(TAIDS)。该模型利用两水平算法结合GMDH多层迭代的求解方法,按照不同时间范围的数据同时建模,可扩大系统检测入侵行为的时间范围。通过目标系统分析,寻求入侵影响因素之间的关系,建立最优模型, 有效地降低了漏检率和误检率。给出了系统框架和建模算法具体步骤,通过与Snort和NIDES入侵检测系统的仿真实验比较,证明该系统模型的有效性。     

基于聚类学习算法的网络入侵检测研究

目前的入侵检测系统存在着在先验知识较少的情况下推广能力差的问题。在入侵检测系统中应用聚类算法,使得入侵检测系统在先验知识少的条件下仍具有良好的推广能力。首先介绍入侵检测研究的发展概况和聚类算法;接着提出了基于聚类算法的入侵检测方法;然后以KDD99这类常用的入侵检测数据为例,讨论了该方法的工作过程;最后将计算机仿真结果进行了分析。通过实验和比较发现,基于聚类学习算法的入侵检测系统能够比较有效地检测真实网络数据中的未知入侵行为。     

基于TSVD-SCN的光纤入侵信号识别算法研究

采用随机配置网络(SCN,Stochastic configurat ion network)对光纤振动信号进行识别,常由于光 纤预警系统的背景噪声问题使得网络的隐含层输出接近奇异,直接影响了SCN对光纤数据的 识别准确率。 因此本文提出了一种基于截断奇异值分解(Truncated singular value decomposition,TS VD)的SCN 方法(TSVD-SCN) 对光纤入侵信号进行识别。TSVD-SCN通过对网络的隐含层输出进行SVD分解并设置阈值去 除其中较小的 奇异值,以减少隐含层输出矩阵的条件数,提升网络识别率。本文利用占空比,平均幅差函 数,FFT求能 量占比的方法进行特征提取,采用基于TSVD-SCN算法对不同入侵振动特征矢量进行分类识 别。实验证明, 本文所提算法模型精度比SCN的模型精度更高,可以准确识别光纤入侵信号类型,对SCN网 络在实际应用中对分类精度的提高有着重要意义。     

基于网络数据安全的入侵检测系统分析

基于网络数据的安全性,论述了入侵检测系统的基本概念。针对目前入侵检测系统中存在的问题,提出了两种新型的入侵检测系统的结构模型。