数据挖掘在异常入侵检测系统中的应用

在分析现有入侵检测技术和系统的基础上,本文提出了一种基于数据挖掘和可滑动窗口的异常检测模型,该模型综合利用了关联规则和序列模式算法对网络数据进行充分挖掘,分别给出了基于时间窗口的训练阶段和检测阶段的挖掘算法,并建立贝叶斯网络,进一步判定规则挖掘中的可疑行为,提高检测的准确率。     

采用分类挖掘模式提取网络入侵模型

在WenkeLee的基于数据挖掘技术的网络入侵检测系统结构基础上,通过融合异常入侵检测模块和误用入侵检测模块,构建了一种新的基于数据挖掘技术的自适应网络入侵检测系统结构。描述了对审计数据进行分类挖掘来提取描述正常和异常行为的特征和规则的方法。采用基于决策树和基于关联规则的两种分类方法实现了改进的结构模型中的建模模块,并挖掘出能够反映网络行为的分类规则。     

基于数据挖掘算法的网络入侵检测系统研究

回顾了当前入侵检测技术和数据挖掘技术,分析了Snort网络入侵检测系统存在的问题,重点研究了数据挖掘中的关联算法Apriori算法和聚类算法K一均值算法;在Snort入侵检测系统的基础上,增加了正常行为挖掘模块、异常检测模块和新规则生成模块,构建了基于数据挖掘技术的网络入侵检测系统模型。新模型能够有效地检测新的入侵行为,而且提高了系统的检测效率。     

基于数据挖掘的网络异常行为检测技术设计与实现

既有的基于数据挖掘技术的入侵检测将研究重点放在误用检测上。提出了基于数据挖掘技术的网络异常检测方案，并详细分析了核心模块的实现。首先使用静态关联规则挖掘算法和领域层面挖掘算法刻画系统的网络正常活动简档，然后通过动态关联规则挖掘算法和领域层面挖掘算法输出表征对系统攻击行为的可疑规则集，这些规则集结合从特征选择模块中提取网络行为特征作为分类器的输入，以进一步降低误报率。在由DAR-AP1998入侵检测评估数据集上的实验证明了该方法的有效性。最后，对数据挖掘技术在入侵检测领域中的既有研究工作做了，总结。     

基于模糊序列模式挖掘的网络异常检测

序列模式挖掘技术在网络入侵检测中极具应用潜力。该文将模糊序列模式挖掘引入网络异常检测,构建了基于模糊序列模式挖掘的网络异常检测模型,介绍了模型中的主要工作流程。     

数据挖掘在网络异常检测中的应用

随着网络的普及,网络安全已经成为一个非常重要的课题。在Internet中存在大量的数据,数据挖掘（Data mining）是一种从大量数据中自动挖掘新知识并对数据进行描述的数学方法。异常检测是入侵检测（IDS）的一种,它对网络及用户正常行为的特征进行描述,并通过对于正常网络行为的偏差比较实现入侵检测。在该项目中,利用K-Mean数据挖掘的方法对网络数据加以描述并用于网络的异常检测。     

入侵检测系统中关联规则挖掘技术的研究

在入侵检测系统中使用关联规则分析,挖掘网络数据中系统特征之间的关联关系,创建正常行为库,找出异常连接.描述了一种改进的FP_树算法--NFP_树算法,用以进行入侵检测关联规则的挖掘,实验证明,此算法比传统的关联算法在入侵检测中的应用效果更好.     

基于旁路监听的数据库安全审计系统

通过分析数据库安全审计机制,提出一种基于旁路监听的数据库安全审计系统框架,并实现了针对Oracle数据库的安全审计系统。涉及Java网络抓包、TNS协议解析、SQL语法解析和数据库安全检测等技术实现,提出一种发现用户正常行为规则的异常检测算法。系统实验结果表明该系统能有效对Oracle数据库进行实时安全审计,并实现了数据库操作行为的安全检测。     

宏观网络安全数据挖掘系统设计*

为了发现宏观网络的正常和异常运行模式,以及对宏观网络的安全态势进行分析,介绍了一种宏观网络安全数据挖掘系统设计的范例。该系统利用收集的各种宏观网络安全数据来进行数据挖掘和态势评估,并通过图形用户界面对结果进行了分析。着重介绍系统设计所采取的技术路线、安全数据获取方式、系统组成模块、实现方法和系统设计评价。     

基于空间域的图像噪声检测技术

图像质量检测技术可以代替人工巡检的方式对视频质量进行自动检测,对监控系统中视频图像出现的异常进行准确分析、判断和报警,以保障规模不断扩大的网络视频监控系统的正常运行。基于空间域的图像噪声检测技术,利用图像的邻域信息特征与各类噪声异常在空间域上的轮廓和方向分布,并结合OpenCV图像处理技术,实现对噪点、雪花和条纹异常的检测。空间域噪声检测算法,与人的视觉感知相一致,可以用于监控视频的实时检测。     

大尺度IP网络流量异常特征的多时间序列数据挖掘方法*

降低漏报率和误检率是网络流量异常检测的难点问题之一。本文提出了一种大规模通信网络流量异常特征分析的多时间序列数据挖掘方法,把多个网络流量特征参数构成的时间序列作为一个整体进行分析研究,进行多时间序列数据挖掘产生网络流量异常相关的有效关联规则,对整个通信网络的安全威胁进行准确地描述。Abilene网络数据验证了本文的方法。     

基于EKM-AE模型的无监督主机入侵检测方法

针对深度学习方法运用于入侵检测时需要大量标注数据集和难以实时检测的缺陷,利用网络流量中正常数据多于异常数据的一般规律,提出一种结合集成K-means聚类和自编码器的EKM-AE(ensemble K-means and autoencoder)入侵检测方法.首先通过集成K-means聚类从实时抓取的网络流量中得出正常样例,用于训练自编码器,然后由完成训练的自编码器执行入侵检测.在虚拟局域网主机环境下进行了入侵检测实验,结果表明,在绝大多数实际应用场景(正常流量多于异常流量)下该方法具有良好的检测性能,且具有全过程无监督、可实时在线检测的优点,对主机网络安全有良好的提升作用.     

改进关联规则数据挖掘在网络入侵检测中的应用

随着网络技术的广泛应用,网络系统的安全变得至关重要。入侵检测是保护网络系统安全的关键技术和重要手段,但现行的入侵检测达不到实际应用的需求。关联规则挖掘可以从海量数据中发现正常和异常的行为模式,有效地检测入侵。因此,研究关联规则的数据挖掘对于提高入侵检测的准确性和时效性具有非常重要的意义。     

基于t-SNE降维预处理的网络流量异常检测

网络流量中大多数流量都是正常的,但经常会出现偏离正常范围的异常流量,主要由DDOS攻击、渗透攻击等恶意的网络行为引起,这些异常行为通常会导致网络质量下降,甚至网络直接瘫痪。因此引入网络安全态势的预测,在仅知道正常网络流量的情况下判断网络中的异常。异常检测是一种网络安全态势的预测方法,用来判断网络中是否有异常。现有的异常检测算法由于无法准确提取网络数据包的低维特征导致算法的性能不佳,因此,需要找到网络数据包的准确的低维特征表示,该低维特征表示能够区分网络数据包是正常的还是有攻击的。为此,本文引入基于t-SNE降维的NLOF异常检测算法。该算法采用t-SNE算法自动预处理网络数据包以获得低维的网络数据包特征,之后将得到的低维的网络数据包特征作为NLOF算法的输入进行异常检测。其中,本文的NLOF算法首先采用k-means算法将网络数据包聚类成为K个簇,并将网络数据包数量小于N个的簇标记为异常簇,之后将未被标记为异常簇的网络数据包作为LOF算法的输入进行异常检测。在ISCX2012数据集上的实验结果表明,基于t-SNE降维的LOF算法达到最优性能时,准确率为98.46%,精确度为98.38%,检测率为98.54%,FAR为0.66%。该算法比基于现有最新算法的准确率、检测率和F1分别高3.18个百分点、0.02个百分点和0.01个百分点。基于t-SNE降维的NLOF算法达到最优性能时,准确率为98.53%,精确度为98.86%,检测率为98.86%,FAR为0.32%。该算法比基于现有最新算法的准确率、检测率和F1分别高3.25个百分点、0.34个百分点和0.41个百分点。这是异常检测中首次采用t-SNE算法自动提取低维的网络数据包特征。此外,LOF算法仅能捕获异常点,而本文的NLOF算法能够同时捕获异常点和异常簇。     

基于网络流量分析的入侵检测技术的研究

本文介绍了入侵检测系统的概念、分类和常用的入侵分析技术,对常见的引起流量异常的原因进行了简单的介绍,并设计了一种使用时间序列分析的网络流量异常检测的实时入侵检测系统原型,用于监测局域网的网络流量。该流量异常检测系统能够对整个局域网或者一些核心服务器和主机的异常流量进行识别和判断。     

网络环境自适应的流量特征拟态技术

流量拟态技术将传输数据伪装成特定白名单协议以突破网络流量审查,实现隐蔽数据传输。随着检测对抗的愈加激烈,基于静态规则的混淆隐蔽传输技术局限性愈加突显,在混淆固有特征时容易形成新的网桥协议指纹。设计并实现基于当前网络环境特征的自适应流量拟态协议网桥,通过对环境中正常HTTP流量的特征提取分析,预测生成拟态网桥采用的混淆特征。实验证明该自适应网桥能够动态生成拟态规则,生成流量与真实流量具有较高相似度,拟态所需的冗余数据在可接受范围内。同时论证了当前基于特征的流量协议检测技术在面临高复杂度的流量拟态时所存在的局限性。     

基于网络流量分析的入侵检测技术的研究

本文介绍了入侵检测系统的概念、分类和常用的入侵分析技术，对常见的引起流量异常的原因进行了简单的介绍，并设计了一种使用时间序列分析的网络流量异常检测的实时入侵检测系统原型，用于监测局域网的网络流量。该流量异常检测系统能够对整个局域网或者一些核心服务器和主机的异常流量进行识别和判断。     

软件定义网络中的异常流量检测研究进展

软件定义网络(software defined networking,简称SDN)是一种新型的网络架构.SDN将控制层从数据层分离并开放网络接口,以实现网络集中控制并提高网络的可扩展性和编程性.但是SDN也面临诸多的网络安全威胁.异常流量检测技术可以保护网络安全,防御恶意流量攻击.对SDN异常流量检测进行了全面的研究,归纳了数据平面和控制平面可能遭受到的网络攻击;介绍并分析了位于应用平面、控制平面和中间平台的异常流量检测框架;探讨了异常流量识别机制、负载均衡机制、异常流量追溯机制和异常缓解机制;最后指明SDN异常流量检测在未来工作中的研究方向.     

神经网络和IP标记在DDoS攻击防御中的应用

DDoS(Distributed Denial of Service)攻击是在传统的DoS攻击上产生的新的网络攻击方式,是Internet面临的最严峻威胁之一,这种攻击带来巨大的网络资源消耗,影响正常的网络访问.DDoS具有分布式特征,攻击源隐蔽,而且该类攻击采用IP伪造技术,不易追踪和辨别.任何网络攻击都会产生异常流量,DDoS也不例外,分布式攻击导致这种现象更加明显.主要研究利用神经网络技术并借助IP标记辅助来甄别异常流量中的网络数据包,方法是:基于DDoS攻击总是通过多源头发起对单一目标攻击的特点,通过IP标记技术对路由器上网路包进行标记,获得反映网络流量的标记参数,作为神经网络的输入参数相量;再对BP神经网络进行训练,使其能识别DDoS攻击引起的异常流量;最后,训练成熟的神经网络即可在运行时有效地甄别并防御DDoS攻击,提高网络资源的使用效率.通过实验证明了神经网络技术防御DDoS攻击是可行和高效的.     

基于信息熵的网络流异常监测和三维可视方法

通过分析网络流量可以反映网络运行情况,挖掘异常行为,感知网络安全态势。为了监测网络运行状况和流量异常情况,提高用户对网络流量态势的感知体验,针对大规模网络流量的数据量大和维度广的特点,提出了一种准实时流量数据报出机制,设计了基于三维可视化的流量监测系统,并结合基于信息熵的流量异常挖掘方法,通过人工监测和数据挖掘,实现了异常流量可视化监测,提高了异常检测成功率。给出了监测系统的设计方案和实现结果,解决了网络数据流从抽象到具象的可视化问题,提供了一种更加直观的态势展现方案,提高了用户对网络态势的感知认识能力。