基于支持向量数据描述的异常检测方法

提出了一种基于支持向量数据描述算法的异常检测方法。该方法将入侵检测看作是一种单值分类问题,建立正常行为的支持向量描述模型,通过该模型可以检测各种已知和未知的攻击行为。该方法是一种无监督的异常检测方法,能够在包含噪声的数据集进行模型训练,降低了训练集的要求。在KDD CUP99标准入侵检测数据集上进行实验,并与无监督聚类异常检测实验结果相比较,证实该方法能够获得较高检测率和较低误警率。     

聚类和时间序列分析在入侵检测中的应用

入侵检测通过收集各种网络数据,从中分析和发现可能的入侵攻击行为。聚类算法是一种无监督分类方法,能够很好地用于入侵检测。提出一种基于聚类分析和时间序列模型的异常入侵检测方法,该方法不需要手动标示的训练数据集就可以探测到很多不同类型的入侵行为。实验结果表明,该方法用于入侵检测具有较高的检测率和较低的误报率。     

基于模糊SOFM的网络入侵检测方法

针对目前入侵检测系统误报率过高、检测率不高和对未知入侵检测能力有限的缺陷,提出一种基于模糊SOFM的网络入侵检测方法,经训练后可形成一个稳定的神经网络系统,有效地识别网络正常行为和异常行为。采用KDD99数据集对系统进行实验,结果表明,系统在保持误报率低于3%的情况下,入侵检测率最高可以达到92%以上。     

一种基于孤立点检测的入侵检测方法

孤立点检测在入侵检测中有着重要的意义,故将基于RNN的孤立点检测方法应用于网络入侵检测当中.先将数据集用于神经网络的训练,然后使用训练后的RNN对网络数据进行孤立度测量,根据度量结果判定是否为入侵行为.实验表明,该算法取得了很好的效果.     

基于健壮主成分分类器的无监督异常检测方法研究

入侵检测系统在训练过程中需要大量有标识的监督数据进行学习,不利于其应用和推广,经典主成分分析方法对离群数据非常敏感,进而导致分类准确性的下降。为了解决该问题,提出了一种基于健壮主成分分类器的方法,得到被离群数据干扰较少的主成分。根据主成分空间距离和数据重构误差构建异常检测模型。实验表明：该方法能够有效检测未知入侵,在检测率、误警率方面都达到较满意的结果。     

一种基于孤立点检测的入侵检测方法

孤立点检测在入侵检测中有着重要的意义，故将基于RNN的孤立点检测方法应用于网络入侵检测当中。先将数据集用于神经网络的训练，然后使用训练后的RNN对网络数据进行孤立度测量，根据度量结果判定是否为入侵行为。实验表明，该算法取得了很好的效果。     

基于人工示例训练的神经网络集成入侵检测

提出一种基于人工示例训练的神经网络集成入侵检测方法。使用不同的训练数据集训练不同的成员网络,以此提高成员网络之间的差异度。在保证成员网络个数的基础上,选择差异度较大的成员网络构成集成,以提高系统的整体性能。实验结果表明,与当前流行的集成算法相比,该方法在保证较高入侵检测率的前提下,可保持较低的误检率,并对未知入侵也具有较高的检测率。     

基于大数据技术的交互式网络恶意入侵行为检测方法沈溶溶

为提高交互式网络的安全性,优化现有网络入侵检测方法,引进大数据技术,以交互式网络为例,设计一种针对网络入侵行为的全新检测方法。首先,绘制基于大数据技术的网络恶意入侵行为特征提取流程图,进行网络数据的归一化与标准化处理;其次,计算信息流密集度,对恶意入侵行为在网络中表现的多种状态进行识别;最后,从模糊分析角度对入侵行为进行聚类,输出聚类结果,完成网络恶意入侵行为的检测。实验结果表明,该方法可以实现对网络中异常行为数据的高精度检测,检测率最高可以达到99.42%,能够为网络安全运营提供更好的保障。     

基于GR-CNN算法的网络入侵检测模型设计与实现

针对现有网络入侵检测系统对网络行为检测准确率较低、实时性较差、泛化性能较低的问题,利用深度学习具有良好分类性能及强泛化能力等优点,设计基于增益率算法和卷积神经网络算法的网络入侵检测模型。采用增益率筛选数据集数据特征,在保证入侵检测准确率的同时,缩短卷积神经网络训练时间。实验结果表明,该模型相比其他基于机器学习的入侵检测模型具有较高的准确率和较强的泛化能力,同时优化卷积神经网络训练方式,保证准确率的同时使神经网络训练时间减少了77%。     

基于网络流统计数据的伪装入侵检测

伪装入侵是指非授权用户伪装成合法用户进入系统访问关键数据或执行非法操作的行为,现有伪装入侵检测方法大多通过获取用户敏感数据对用户特征进行建模。针对上述问题,提出一种基于网络流统计数据的伪装入侵检测方法,使用网络流统计数据作为用户特征,并结合AdaBoost与支持向量机对用户特征进行训练与预测。在一个真实网络抓包数据集上的实验结果表明,该方法能在有效抵御伪装入侵的同时不侵犯用户隐私,系统检测率为97.5%、误报率为1.1%,且系统检测延时仅为毫秒级,证明了其检测性能优于现有伪装入侵检测方法。     

一种基于快速增量SVM的入侵检测方法

针对基于支持向量机(SVM)的入侵检测方法检测率低、检测速度慢的问题,提出一种基于快速增量SVM的入侵检测方法 B-ISVM。该方法在确定邻界区后筛选其中的样本进行训练,完成分类超平面的初步构造,利用筛选因子提取支持向量,再进行基于KKT条件的增量学习,实现增量SVM分类器的构造。实验结果表明,该方法可以提高入侵检测率和检测速度,拥有更好的分类性能。     

基于层次决策表增量学习算法的网络入侵检测

针对网络入侵检测系统面临的检测规则更新问题,提出一种解决方法,用粗糙集层次决策表表示系统的入侵检测规则,利用其增量学习算法完成新规则的学习。仿真实验结果表明,与仅用决策表规则的系统相比,使用层次决策表表示规则的系统所用的训练时间更短,漏报率低,对于Probe和R2L&U2R入侵具有更好的检测效果。     

自适应类增量学习的物联网入侵检测系统

传统物联网入侵检测系统难以实时检测新类别攻击,为此,提出一种基于堆叠稀疏自编码器（SSAE）和自组织增量神经网络（SOINN）的物联网入侵检测方法。SSAE对已知类别的攻击样本进行稀疏编码和特征提取,所提取的特征输入SOINN,SOINN形成符合流量特征空间分布的拓扑结构。当出现新类别训练样本的特征时,SOINN自适应地生成新节点以建立新的局部拓扑结构。为了保留SSAE在旧类别样本上的知识,对SOINN已有的拓扑结构施加约束,通过误差反向传递间接约束SSAE权重的变化。针对SOINN在新类别上产生的新局部拓扑结构进行自适应聚合和优化,从而实现新类别样本学习。实验结果表明,该方法能基于新类别数据对模型进行增量训练而无需历史类别数据,在CIC-IDS2017数据集的动态数据流中能有效检测新类别攻击同时缓解旧类别数据中存在的灾难性遗忘问题,在初始已知数据集上的准确率达到98.15%,完成3个阶段的类别增量学习后整体准确率仍能达到57.34%,优于KNN-SVM、mCNN等增量学习方法。     

一种基于聚类的有指导的入侵检测方法

提出了一种新的距离定义和基于聚类的有指导的入侵检测方法CBSID(Clustering-based and Supervised Interusion Detection)．该方法在带标记的训练集上进行聚类．以聚类结果作为分类模型对未见数据进行分类．该方法对于参数和数据输入顺序具有稳健性．可增量更新分类模型．不同于一般的有指导的入侵检测方法．该方法对未知入侵有一定的检测能力．在KDDCUP99数据集上的测试结果表明，CBSID有理想的性能(高的检测率和低的误报率)．     

基于距离加权模板约简和属性信息嫡的增量SVM入侵检测算法

为了解决SVM入侵检测方法检测率低、误报率高和检测速度慢等问题,提出了一种基于距离加权模板约简和属性信息嫡的增量SVM入侵检测算法。该算法对K近部样本与待测样本赋予总距离加权权重,对训练样本集进行约简,并以邻界区分割和基于样本属性信息墒对聚类样本中的噪声点和过拟合点进行剔除,以样本分散度来提取可能支持向量机,并基于KKT条件进行增量学习,从而构造最优SVM分类器。实验仿真证明,该算法具有较好的检测率和检测效率,并且误报率低。     

特征选择的轻量级入侵检测系统

特征选择能够很好地消除冗余和噪音特征,有利于提高入侵检测系统的检测速度和效果,因而对基于特征选择的入侵检测系统进行研究是必要的,也符合入侵检测领域的发展趋势。提出了一种基于过滤器模式的轻量级入侵检测系统,无论是在数据集的特征选择算法还是分类器的参数优化上,都给出了有效的实施策略,提高了检测速度,降低了分类干扰,提高了入侵检测的检测率。     

基于聚类分析的网络入侵检测模型

为提高网络入侵检测系统的入侵识别能力,提出一种基于模糊C均值(FCM)聚类的入侵检测模型。该模型包括数据预处理器、FCM聚类处理器、类中心集更新器和检测系统,可以同时处理数值属性与符号属性。实验结果表明,与其他模型相比,该模型具有较低的误警率和较高的检测率。     

基于特征选择的轻量级入侵检测系统

基于特征选择的入侵检测系统处理的数据含有大量的冗余与噪音特征,使得系统耗用的计算资源很大,导致系统训练时间长、实时性差,检测效果不好.特征选择算法能够很好地消除冗余和噪音特征,为了提高入侵检测系统的检测速度和效果,对基于特征选择的入侵检测系统进行研究是必要的.综述了这一领域的研究进展,从过滤器、封装器、混合器3种模式对基于特征选择的轻量级入侵检测系统进行分类比较,分析和总结各种系统的优缺点以及它们各自适用的条件,最后指出入侵检测领域特征选择的发展趋势.特征选择不仅可以提升入侵检测系统的性能,而且使得对入侵检测的研究向特征提取算法的方向转移.     

特征和分类器联合优化的网络入侵检测算法

为了提高网络入侵检测正确率,利用特征选择和检测分类器参数间的相互联系,提出一种特征和分类器联合优化的网络入侵检测算法。联合优化方法将网络状态特征和分类器参数作为遗传算法的个体,网络入侵检测正确率作为个体适应度函数,通过选择、交叉和变异等遗传操作获得最优特征和分类器参数,利用KDD 1999数据集对联合优化算法进行验证性测试。实验结果表明,相对于其他入侵检测算法,联合优化算法既解决了特征与分类器不匹配带来的入检测检测能力下降,又提高了网络入侵检测正确率和效率,为网络入侵检测提供了一种新的研究思路。     

基于前馈多层感知器的网络入侵检测的多数据包分析

提出了一种新型网络入侵检测模型,在该模型中,首先将截获的数据包结合历史数据包数据库进行协议分析,找出可能存在的入侵行为的相关数据包,然后采用前馈多层感知器神经网络对这些相关的数据包进行回归分析,最终获得检测结果。该模型与传统采用单数据包检测方式的网络入侵检测系统(NIDS)模型相比,具有更低的漏检率。