基于机器学习的入侵检测系统研究

入侵检测系统存在特征不能自动生成、特征库更新慢、无法适应大量数据等缺点。该文该文提出了基于机器学习的入侵检测系统，将遗传算法和贝叶斯分类算法结合使用，使得检测规则可以自动生成，克服手工编码的不精确、更新慢的缺陷，同时能够处理和分析大数量数据。最后给出了实验分析结果。     

基于机器学习算法的恶意PDF检测模型

随着互联网的高速发展和办公自动化的日益普及,PDF（portable document format）文件已经成为全球电子文档分发的开放式标准,由于PDF文档的高实用性和普遍适应性,使其成为有针对性钓鱼攻击的有效载体。恶意代码对计算机的严重破坏性,检测和防止含有恶意代码的PDF文档已日益成为计算机安全领域的重要目标。通过从文档中提取特征数据,提出了一个基于机器学习算法的恶意PDF检测框架,最后并通过实验验证了其检测模型的有效性。     

基于增量式学习的网络攻击检测数学建模仿真

针对现有网络攻击检测数学模型,存在网络攻击检测率较低、网络攻击误报率较高、检测时效性较差等问题,构建一种基于增量式学习的网络攻击检测数学模型.首先利用拓扑几何学原理构建一个网络信息之间的拓扑结构关系,再利用该关系进行网络信息去噪,去噪后对数据做零均值化处理和对时间序列进行拟合.最后利用拟合得到的时间序列进行网络攻击判定...     

基于机器学习的用户行为异常检测模型

针对LaneT等人提出的用户行为异常检测模型的不足,提出了一种新的IDS异常检测模型。该模型改进了用户行为模式和行为轮廓的表示方式,采用了新的相似度赋值方法,在对相似度流进行平滑时引入了“可变窗长度”的概念,并联合采用多个判决门限对用户行为进行判决。基于Unix用户shell命令数据的实验表明,该文提出的检测模型具有更高的检测性能。     

基于机器学习的浏览器挖矿检测模型研究

浏览器挖矿通过向网页内嵌入挖矿代码,使得用户访问该网站的同时,非法占用他人系统资源和网络资源开采货币,达到自己获益的挖矿攻击。通过对网页挖矿特征进行融合,选取八个特征用以恶意挖矿攻击检测,同时使用逻辑回归、支持向量机、决策树、随机森林四种算法进行模型训练,最终得到了平均识别率高达98.7%的检测模型。同时经实验得出随机森林算法模型在恶意挖矿检测中性能最高;有无Websocket连接、Web Worker的个数和Postmessage及onmessage事件总数这三个特征的组合对恶意挖矿检测具有高标识性。     

基于贝叶斯学习的集成流量分类方法

NB方法条件独立性假设和BAN方法小训练集难以建模。为此,提出一种基于贝叶斯学习的集成流量分类方法。构造单独的NB和BAN分类器,在此基础上利用验证集得到各分类器的权重,通过加权平均组合各分类器的输出,实现网络流量分类。以Moore数据集为实验数据,并与NB方法和BAN方法相比较,结果表明,该方法具有更高的分类准确率和稳定性。     

网络入侵检测中的支持向量机主动学习算法

入侵检测系统已经成为网络安全技术的重要组成部分,然而传统的异常入侵检测技术需要通过对大量训练样本的学习,才能达到较高的检测精度,而大量训练样本集的获取在现实网络环境中是比较困难的。文章研究在网络入侵检测中,采用基于支持向量机(SVM)的主动学习算法,解决训练样本获取代价过大带来的问题。文中通过基于SVM的主动学习算法与传统的被动学习算法的对比实验,显示出主动学习算法与传统的学习算法相比,能有效地减少学习样本,极大地提高入侵检测系统的分类性能。     

利用朴素贝叶斯方法实现异常检测

在入侵检测系统中,如何构造有效的异常检测模块是当前国际上研究的热点,目前人们也提出了许多不同的方法。该文利用朴素贝叶斯方法构造异常检测模块,并利用DARPA98数据作为训练和测试集。实验结果表明,在用小样本训练的情况下,检测率达到令人满意的结果,具有一定的使用价值。     

基于机器学习的日志异常检测综述

日志异常检测是当前数据中心智能运维管理的典型核心应用场景.随着机器学习技术的快速发展和逐步成熟,将机器学习技术应用于日志异常检测任务已经形成热点.首先,文章介绍了日志异常检测任务的一般流程,并指出了相关过程中的技术分类和典型方法.其次,论述了日志分析任务中机器学习技术应用的分类及特点,并从日志不稳定性、噪声干扰、计算存储要求、算法可移植性等方面分析了日志分析任务的技术难点.再次,对领域内相关研究成果进行了梳理总结和技术特点的比较分析.最后,文章从日志语义表征、模型在线更新、算法并行度和通用性3个方面讨论了日志异常检测今后的研究重点及思考.     

基于改进的深度信念网络的入侵检测方法

针对传统入侵检测方法很难快速准确地从海量无标签网络数据中提取特征信息以识别异常入侵,提出了基于改进的深度信念网络的softmax分类（IDBN-SC）入侵检测方法。利用改进的DBN对原始网络数据进行无监督特征学习,引入自适应学习速率减少训练网络模型所需要的时间;采用softmax分类器对获得的降维数据进行网络攻击类型识别。在NSL-KDD数据集上进行测试,相比其他入侵检测方法,实验结果表明IDBN-SC方法不仅识别准确率平均提高3.02%,而且其softmax分类器训练时间平均缩短5.58 s。     

基于极限学习机的玻璃瓶口缺陷检测方法研究

针对目前玻璃空瓶回收再生产过程中造成瓶口缺陷破损的在线实时检测难题,提出一种基于极限学习机(Extreme Learning Machine, ELM)的检测算法。首先对采集的瓶口进行预处理,通过研究表面缺陷,提取灰度方差等6种表面特征。然后运用遗传算法对极限学习机的输入层层的阈值和权值进行优化,提高算法的检测精度。最后现场选取569个样本对所设计ELM分类器进行训练学习与测试,并与LVQ算法、BP分类器对比实验。结果表明该算法能够满足对机器视觉检测系统缺陷检测高速高精度的要求。     

基于深度学习的DDoS攻击检测模型

构建了基于粒子群优化卷积神经网络(PSO-CNN)的分布式拒绝服务攻击(DDoS)攻击检测模型.利用卷积神经网络的权值共享和最大池化自动挖掘网络数据流特征,引入粒子群对卷积核进行优化,在提升模型训练效率的同时,增强了模型的全局寻优能力.实验结果表明,该模型能够有效检测DDoS攻击,具有较高的检测准确率.     

基于机器学习的第三方SDK漏洞检测技术研究

随着智能手机的普及,手机应用市场的发展也变得如火如荼.开发人员在新应用的开发中,会用到一些第三方提供的SDK,但是其经常存在安全漏洞,对用户的隐私造成威胁.本文基于机器学习的方法设计了针对Android第三方SDK的漏洞检测系统,同时利用设计出的检测系统对常见的50款第三方SDK进行了漏洞测试,发现50个样本中有31个...     

网络未知攻击检测的深度学习方法

为了实现入侵检测系统对未知攻击类型的检测,提出基于深度学习的网络异常检测方法。利用置信度神经网络,对已知类型流量和未知攻击流量进行自适应判别。基于深度神经网络,制定置信度估计方法评估模型分类结果,训练模型面向已知类型流量时输出高置信度值,识别到未知攻击流量时输出低置信度值,从而实现对未知攻击网络流量的检测,并设计自适应损失平衡策略和基于学习自动机的动态正则化策略优化异常检测模型。在网络异常检测UNSW-NB15和CICIDS 2017数据集上进行仿真实验,评估模型效果。结果表明,该方法实现了未知攻击流量的有效检测,并提高了已知类型流量的分类效果,从而增强了入侵检测系统的综合性能。     

基于SVM主动学习的入侵检测系统

研究在入侵检测中,采用基于支持向量机(SVM)的主动学习算法,解决小样本下的机器学习问题。该文提出了基于SVM主动学习算法的系统框架及适用于入侵检测系统的SVM主动学习算法,讨论了候选样本集的组成比例、候选样本集数量及核函数的不同参数选取对检测结果的影响。通过实验验证,基于SVM主动学习算法与传统SVM算法相比,能有效地减少学习样本数,提高检测精度。     

基于深度神经网络和联邦学习的网络入侵检测

在高速网络环境中,对复杂多样的网络入侵进行快速准确的检测成为目前亟待解决的问题。联邦学习作为一种新兴技术,在缩短入侵检测时间与提高数据安全性上取得了很好的效果,同时深度神经网络（DNN）在处理海量数据时具有较好的并行计算能力。结合联邦学习框架并将基于自动编码器优化的DNN作为通用模型,建立一种网络入侵检测模型DFC-NID。对初始数据进行符号数据预处理与归一化处理,使用自动编码器技术对DNN实现特征降维,以得到DNN通用模型模块。利用联邦学习特性使得多个参与方使用通用模型参与训练,训练完成后将参数上传至中心服务器并不断迭代更新通用模型,通过Softmax分类器得到最终的分类预测结果。实验结果表明,DFC-NID模型在NSL-KDD与KDDCup99数据集上的准确率平均达到94.1%,与决策树、随机森林等常用入侵检测模型相比,准确率平均提升3.1%,在攻击类DoS与Probe上,DFC-NID的准确率分别达到99.8%与98.7%。此外,相较不使用联邦学习的NO-FC模型,DFC-NID减少了83.9%的训练时间。     

基于行为模式挖掘的骨干网攻击检测算法

针对Internet骨干网面临的主要攻击行为,提出一种基于攻击行为模式的建模方法。基于行为模式挖掘设计一种快速检测算法,提出一种基于双页表结构的攻击信息树的构建算法。实验结果证明该检测方法能够实时地检测骨干网中已知或未知的攻击,定位报告受害源。     

基于机器学习与大数据技术的入侵检测方法研究

为有效检测网络的攻击行为,提出了基于机器学习与大数据技术的入侵检测方法。首先分析当前网络入侵检测算法,描述了大数据分析技术的网络入侵原理,然后将GRU神经网络与SVM分类算法相结合,最后使用网络入侵检测数据集进行实验。实验结果表明基于GRU-SVM模型的网络入侵检测成功率高于其他模型,网络入侵检测整体效果得到改善,保证...     

一种基于改进流形学习方法的云计算入侵检测模型

基于互联网的超级计算模式云计算引起了人们极大的关注,也面临着越来越多的安全威胁。主要构建能够适应云计算环境的入侵检测系统框架。将非线性流形学习算法引入本课题提出的模型,作为特征提取模块对云计算环境下采集的网络数据进行预处理;给出经典流形学习算法LLE的改进研究,以提高后续分类性能。实验表明,该算法是可行和高效的。     

基于Stacking融合模型的Web攻击检测方法

随着计算机技术与互联网技术的飞速发展,Web应用在人们的生产与生活中扮演着越来越重要的角色。但是在人们的日常生活与工作中带来了更多便捷的同时,却也带来了严重的安全隐患。在开发Web应用的过程中,大量不规范的新技术应用引入了很多的网站漏洞。攻击者可以利用Web应用开发过程中的漏洞发起攻击,当Web应用受到攻击时会造成严重的数据泄露和财产损失等安全问题,因此Web安全问题一直受到学术界和工业界的关注。超文本传输协议(HTTP)是一种在Web应用中广泛使用的应用层协议。随着HTTP协议的大量使用,在HTTP请求数据中包含了大量的实际入侵,针对HTTP请求数据进行Web攻击检测的研究也开始逐渐被研究人员所重视。本文提出了一种基于Stacking融合模型的Web攻击检测方法,针对每一条文本格式的HTTP请求数据,首先进行格式化处理得到既定的格式,结合使用Word2Vec方法和TextCNN模型将其转换成向量化表示形式;然后利用Stacking模型融合方法,将不同的子模型(使用配置不同尺寸过滤器的Text-CNN模型搭配不同的检测算法)进行融合搭建出Web攻击检测模型,与融合之前单独的子模型相比在准确率、召回率、F1值上都有所提升。本文所提出的Web攻击检测模型在公开数据集和真实环境数据上都取得了更加稳定的检测性能。