基于告警事件特征的网络攻击行为实时预警研究

针对当前网络告警数据误报率过高以及新型网络攻击行为难以预测的问题,本文提出基于告警事件特征的网络攻击行为预测方法：首先通过FP_tree树挖掘告警事件属性间的强关联规则,如果挖掘得到的频繁项与正常网络的访问事件属性频繁项相关,则剔除虚假告警事件;接着,采用序列模式算法挖掘正确告警事件的序列关系,如果该序列与某种网络攻击行为序列相关,则形成网络攻击的事件组合规则,实现网络攻击行为的有效预警。通过相关的实验过程和结果分析,表明本文提出的方法能够有效、实时预警网络的攻击行为,具有一定的应用性和扩展性。     

基于Web使用数据挖掘的个性化推荐系统设计

Web使用挖掘是实现个性化推荐系统的有效途径。通过对网站日志数据进行挖掘发现频繁访问模式,再结合活动用户的访问页面序列来实现个性化的在线推荐。本文从体系架构及功能模块两个方面进行分析,提出了基于Web使用数据挖掘的个性化推荐系统架构。它包括三个方面:数据预处理、频繁访问路径挖掘及在线推荐。     

基于改进聚类算法的Web异常数据挖掘软件设计

以往Web异常数据挖掘软件通常采用小波变换和回声状态网络模型,存在数据库内闭频繁项集"左边"数据循环散布现象,大大降低了异常数据挖掘精度。研究Web异常数据挖掘的软件开发与改进方法,通过post Web异常数据挖掘的堆栈弹出,保障Web数据库内不出现闭频繁项集"左边"数据循环散布现象。在此基础上,采用改进的K-means算法设计用户行为数据分类模块分类用户行为数据,采用异常检测模块通过MapReduce中的map函数确定数据的异常访问类型,Combine和Reduce函数汇总异常访问类型一致的异常检测数据,输出Web异常数据,并采用警告触发模块进行警告。经实验证明,所研究方法挖掘Web异常数据的平均准确度约为97.86%,挖掘不同规则中异常数据的平均结果为96.88%,说明此方法具有较高的挖掘精度和实用性。     

Web挖掘中基于RD_Apriori算法发现用户频繁访问模式

从Web日志数据中发现用户的频繁访问模式，可分为两步进行。首先把经过预处理后的目志数据转换为最大前向引用的集合，然后使用Apriori算法挖掘出频繁访问模式。本文针对挖掘的第二步提出了一种基于缩减数据库(Reduced Database)的RD—Apriori算法，此算法能够准确、高效地挖掘各种长度不同的频繁访问模式。     

基于数据挖掘算法的移动电子商务群体用户访问控制模型

基于数据挖掘算法的移动电子商务群体用户访问控制模型,挖掘群体用户在移动电子商务网络中的频繁浏览页面,提高用户访问控制精确度。先通过MFP数据挖掘算法获取用户最大向前引用序列,通过用户最大向前引用序列建立基于数据挖掘算法的用户访问控制模型,模型中的事件产生器接收最大向前引用序列数据后,事件分析处理器利用决策树的贪心算法创建序列数据决策树,通过属性选择度量算法形成多重分类器分类序列数据,响应单元在接收序列数据为正常数据时输出相应值且同意用户访问,在接收序列数据为异常数据时抑制序列数据并拒绝用户访问。实验结果表明,该模型在并发用户数量为200人时,再次登录的响应时间仅为524 ms,可有效控制移动电子商务群体用户对于网站的访问响应时间,在移动电子商务网站3 500条信息中拦截危险访问信息准确率高达95%以上。     

加权序列模式在临床异常行为检测中的应用

目前临床异常行为检测的研究主要采用病症关联、费用控制和临床序列模式挖掘等方法。在临床序列模式挖掘方法中的临床医疗行为模式库的建立,只是简单的挖掘支持度满足阈值的频繁序列,忽略了出现频率低但在价格、用量上偏高的医疗行为。针对诊疗过程中出现频率少但属于盲目用贵药和过量用药等大处方医疗行为,文中提出改进的加权临床序列模式挖掘算法,挖掘正常临床医疗行为库的加权临床序列模式,为后续异常检测做准备。     

基于 K 均值多重主成分分析的 App-DDoS 检测方法

针对应用层分布式拒绝服务攻击,利用Web日志的数据挖掘方法提出一种K均值多重主成分分析算法和基于该算法的App-DDoS检测方法。首先,通过分析正常用户和攻击者的访问行为区别,给出提取统计属性特征的方法;其次,根据主成分分析法的数据降维特性并利用最大距离划分法,提出一种K均值多重主成分分析算法,构建基于该算法的检测模型。最后,采用CTI-DATA数据集及模拟攻击获取的数据集,进行与模糊综合评判、隐半马尔科夫模型、D-S证据理论3种检测方法的App-DDoS攻击检测对比实验,实验结果证明 KMPCAA检测算法具有较好的检测性能。     

结合DL-safe规则发现日志本体频繁模式的方法

为发现语义Web使用记录中所蕴含的有效信息,本文提出了一种挖掘日志本体频繁Web访问模式的方法。该方法引入应用访问规则集和观察集分别表示日志信息动态变化的语义规则和使用事实,并在DL安全的限定下将日志本体和应用访问规则集相结合构成一个推理过程可判定的混合知识库。在此基础上,利用日志本体中事件整分关系的语义构建访问模式学习的事务模型,并采用ILP的方法学习生成频繁用户访问模式树,解决了推理访问模式中非描述逻辑原子的问题。实验结果表明该方法的可用性和有效性。     

基于改进聚类算法的网络平台异常数据挖掘方法

为提高挖掘结果与对应异常数据类型之间的关联度,确保挖掘结果能够为网络平台异常状态识别提供有力依据,文章引入改进聚类算法,开展网络平台异常数据挖掘方法设计研究.通过基于改进聚类算法的网络平台运行数据分类、网络平台异常检测、网络平台分布式最大频繁序列提取、最大频繁序列数据比对与挖掘,提出一种全新的挖掘方法.通过对比实验结果...     

序列模式挖掘两种典型算法的研究

近年来,序列模式挖掘或序列挖掘已经成为数据挖掘的一个重要方面。序列模式挖掘是指从序列数据库发现相对时间或者其他顺序出现的频繁子序列。文中首先介绍了序列模式分析的基本概念,然后对序列模式的两种经典算法(GSP算法和Perfix Span算法)进行了描述,之后对这两种算法进行了分析和比较,分析比较的结果对序列模式挖掘应用到Web日志挖掘具有一定的参考价值。下一步的工作是进一步探讨算法的优化问题,主要研究如何缩小搜素空间,更好的提高算法效率。     

一种基于区间时序逻辑模型检测的入侵检测算法

Model checking based on linear temporal logic reduces the false negative rate of misuse detection. However, linear temporal logic formulae cannot be used to describe concurrent attacks and piecewise attacks. So there is still a high rate of false negatives in detecting these complex attack patterns. To solve this problem, we use interval temporal logic formulae to describe concurrent attacks and piecewise attacks. On this basis, we formalize a novel algorithm for intrusion detection based on model checking interval temporal logic. Compared with the method based on model checking linear temporal logic, the new algorithm can find unknown succinct attacks. The simulation results show that the new method can effectively reduce the false negative rate of concurrent attacks and piecewise attacks.     

基于数据挖掘和特征选择的入侵检测模型

提出了一种基于SVM特征选择和C4.5数据挖掘算法的高效入侵检测模型.通过使用该模型对经过特征提取后的攻击数据的训练学习,可以有效地识别各种入侵,并提高检测速度.在经典的KDD 1999入侵检测数据集上的测试说明：该数据挖掘模型能够高效地对攻击模式进行训练学习,能够采用选择的特征正确有效地检测网络攻击.     

Monitoring the Application-Layer DDoS Attacks for Popular Websites

Distributed denial of service (DDoS) attack is a continuous critical threat to the Internet. Derived from the low layers, new application-layer-based DDoS attacks utilizing legitimate HTTP requests to overwhelm victim resources are more undetectable. The case may be more serious when such attacks mimic or occur during the flash crowd event of a popular Website. Focusing on the detection for such new DDoS attacks, a scheme based on document popularity is introduced. An Access Matrix is defined to capture the spatial-temporal patterns of a normal flash crowd. Principal component analysis and independent component analysis are applied to abstract the multidimensional Access Matrix. A novel anomaly detector based on hidden semi-Markov model is proposed to describe the dynamics of Access Matrix and to detect the attacks. The entropy of document popularity fitting to the model is used to detect the potential application-layer DDoS attacks. Numerical results based on real Web traffic data are presented to demonstrate the effectiveness of the proposed method.      

A Large-Scale Hidden Semi-Markov Model for Anomaly Detection on User Browsing Behaviors

Many methods designed to create defenses against distributed denial of service (DDoS) attacks are focused on the IP and TCP layers instead of the high layer. They are not suitable for handling the new type of attack which is based on the application layer. In this paper, we introduce a new scheme to achieve early attack detection and filtering for the application-layer-based DDoS attack. An extended hidden semi-Markov model is proposed to describe the browsing behaviors of web surfers. In order to reduce the computational amount introduced by the model's large state space, a novel forward algorithm is derived for the online implementation of the model based on the M-algorithm. Entropy of the user's HTTP request sequence fitting to the model is used as a criterion to measure the user's normality. Finally, experiments are conducted to validate our model and algorithm.      

Detection algorithm for cache pollution attacks based on node state model in content centric networking

Aiming at cache pollution attacks in content centric networking,the attacks were quantitatively described by three parameters,namely number of pollution contents,distribution of attack requests and attack intensity,then the cache state model of node under attack was built.Benefited from the analysis of key parameters of cache node,the attack detection principle based on node state model was put forward,correspondingly,two attack detection algorithms were instantiated with the observation parameters of cache replacement ratio and request arrival rate.The simulation results show that proposed algorithm can obtain good detection performance under each decentralized attack and centralized attack.     

无线Mesh网络中的虫洞攻击检测研究

为了有效检测出无线mesh网络中的虫洞攻击,针对微软提出的支持多射频的链路质量源路由MR-LQSR(multi-radio link-quality souse routing)协议提出了一种虫洞攻击模型,并根据虫洞攻击及无线mesh网的特点,在基于端到端的虫洞攻击检测算法、投票机制、邻居检测机制和基于身份加密技术的基础上提出一种基于端到端的虫洞攻击检测机制.最后通过理论分析和实验证实了该机制能有效地抵御无线mesh网中的虫洞攻击和提高无线mesh网的安全性.     

一种新的DDoS攻击检测算法

为了准确及时的进行DDoS攻击检测,提出了一种新的DDoS攻击检测算法。该算法在基于传统的小波分析检测DDoS攻击的基础上融入了主成分分析法和小波分析法中DDoS检测方法,并根据该算法设计相应的模型和算法来检测 DDoS 攻击,并且引入信息论中的信息熵对源IP地址的分散程度进行度量,根据初始阶段Hurst指数及熵值的变化自适应地设定阈值以检测攻击的发生。实验结果表明,该方法大幅度的提高了DDoS检测的速度。     

一种针对基于SVM入侵检测系统的毒性攻击方法

在机器学习被广泛应用的背景下,本文提出一种针对基于SVM（Support Vector Machine）入侵检测系统的新颖攻击方法——毒性攻击.该方法通过篡改训练数据,进而误导SVM的机器学习过程,降低入侵检测系统的分类模型对攻击流量的识别率.本文把这种攻击建模为最优化问题,利用数值方法得到攻击样本.通过包含多种攻击类型的NSL-KDD数据集进行实验,从攻击流量的召回率和精度这两个指标对攻击效果进行评估,与已有方法相比,实验结果表明本文方法可更有效地降低入侵检测系统的识别率.本文希望通过该研究进一步认识针对机器学习的新颖攻击,为下一步研究对应的防御机制提供研究基础.     

基于PROBE的DDOS攻击检测分析

分布式拒绝服务(DDOS)攻击是目前严重威胁网络安全和影响网站服务质量的一种攻击手段DDOS攻击就是利用多个分布式攻击源向攻击对象发送超出攻击目标处理能力的海量数据包,来消耗可用系统和带宽资源,从而导致网络服务瘫痪的一种攻击.目前有很多方法检测和防御DDOS攻击,传统的检测和防范措施是基于特征匹配的检测往往要求有一定的先验知识难以区分突发正常流量与DDOS攻击.本文通过介绍PROBE技术来检测应对DDOS攻击,并探究了PROBE在DDOS攻击检测中的应用策略.