基于隐马尔可夫模型的用户行为异常检测新方法

提出一种基于隐马尔可夫模型的用户行为异常检测方法,主要用于以shell命令为审计数据的主机型入侵检测系统。与Lane T提出的检测方法相比,所提出的方法改进了对用户行为模式和行为轮廓的表示方式,在HMM的训练中采用了运算量较小的序列匹配方法,并基于状态序列出现概率对被监测用户的行为进行判决。实验表明,此方法具有很高的检测准确度和较强的可操作性。     

基于最大频繁序列模式挖掘的App-DDoS攻击的异常检测

为了动态、准确、高效地描述用户的访问行为,实现对不同应用层分布式拒绝服务(Application-layer Distributed Denial of Service, App-DDoS)攻击行为的透明检测,该文提出基于最大频繁序列模式挖掘的ADA_MFSP(App-DDoS Detection Algorithm based on Maximal Frequent Sequential Pattern mining)检测模型。该模型在对正常Web访问序列数据库(Web Access Sequence Database, WASD)及待检测WASD进行最大频繁序列模式挖掘的基础上,引入序列比对平均异常度,联合浏览时间平均异常度、请求循环平均异常度等有效检测属性,最终实现攻击行为的异常检测。实验证明：ADA_MFSP模型不仅能有效检测各类App-DDoS攻击,且有良好的检测灵敏度。     

基于时空LBP加权社会力模型的人群异常检测

针对基于传统社会力模型的人群异常行为检测算法忽视了场景中各个区域信息差异性的问题,考虑到时空LBP序列谱特征的计算简单性和区域代表性,提出了一种基于时空LBP加权社会力模型的人群异常行为检测算法,将时空LBP序列谱特征所包含的时域特性和区域信息融入社会力模型,使得社会力模型更为精确地对人群行为进行建模。实验证明,与传统算法相比,改进后的算法在异常行为的查准率与查全率上有很大的提高。     

基于大数据机器学习的进程行为异常检测方法

针对已有的进程行为异常检测模型的不足,本文给基于机器学习的思想,提出一种新的进程行为异常检测方法.该方法通过将系统调用序列的时间顺序向量化,作为机器学习的输入,使用k邻近分类和朴素贝叶斯分类两种机器学习算法,对于进程行为的特征向量进行异常分类和训练,得到检测检测模型并进行异常检测,达到进程行为异常检测的目的.     

隐马尔可夫模型应用于入侵检测系统的研究

现在入侵检测系统面临着巨大挑战，越来越复杂的计算机网络系统，越来越高明的入侵手段要求入侵检测技术不断快速向前发展。对于入侵检测的实现手段也要多样化。 本文提出了一种基于隐马尔可夫模型的异常检测新方法——隐马尔可夫状态时延序列嵌入法（HMMTide）。这种方法的主要思想是用HMM模型的隐含状态序列的局部模型，即隐马尔可夫状态短序列，实现对正常行为的特征的刻画。通过对被测行为产生的隐马尔科夫状态序列局部模式与已建立的正常模型进行比较实现异常检测。该方法具有从不完整的数据中进行异常分析的能力，减少了对系统资源的需求。对HMMTjde方法进行了仿真实验，实验结果表明采用HMM方法后，虚警率大大降低了，而且在构建正常行为特征库时，对数据完整性的要求也大大降低了。     

基于数据挖掘和变长序列模式匹配的程序行为异常检测

异常检测是目前入侵检测领域研究的热点内容.提出一种基于数据挖掘和变长序列模式匹配的程序行为异常检测方法,主要用于Unix或Linux平台上以系统调用为审计数据的主机型入侵检测系统.该方法利用数据挖掘技术中的序列模式对特权程序的正常行为进行建模,根据系统调用序列的支持度在训练数据中提取正常模式,并建立多种模式库来表示一个特权程序的行为轮廓.在检测阶段,考虑到审计数据和特权程序的特点,采用了变长序列模式匹配算法对程序历史行为和当前行为进行比较,并提供了两种判决方案,能够联合使用多个窗长度和判决门限对程序行为进行判决,提高了检测的准确率和灵活性.文中提出的方法已应用于实际入侵检测系统,并表现出良好的检测性能.     

一种基于隐马尔可夫模型的IDS异常检测新方法

提出一种新的基于隐马尔可夫模型的异常检测方法,主要用于以shell命令或系统调用为原始数据的IDS。此方法对用户(或程序)行为建立特殊的隐马尔可夫模型,根据行为模式所对应的序列长度对其进行分类,将行为模式类型同隐马尔可夫模型的状态联系在一起,并引入一个附加状态。由于模型中各状态对应的观测值集合互不相交,模型训练中采用了运算量较小的的序列匹配方法,与传统的Baum-Welch算法相比,大大减小了训练时间。根据模型中状态的实际含义,采用了基于状态序列出现概率的判决准则。利用UNIX平台上用户shell命令数据进行的实验表明,此方法具有很高的检测准确性,其可操作性也优于同类方法。     

基于子空间重构的无监督时间序列异常检测

时间序列异常检测旨在寻找时间序列中不符合预期的数据,为相关人员提供有价值的信息,一直以来都受到学术界和工业界的广泛关注。然而,现有时间序列异常检测方法大多忽略了复杂数据中的多种模式,不能充分利用已有模式信息进行有效的特征学习,造成检测效果不理想。为此,本文提出了一种基于子空间重构的无监督时间序列异常检测模型。首先,将原始时间序列转换至低维潜在空间,利用高斯混合模型在潜在空间聚类,将原始时间序列分割为多个独立子空间。之后,各个子空间训练子模型,实现多模式捕获。最后,通过各个子模型重构,实现异常检测。该模型在UCR和MIT-BIH的6个数据集上的检测效果显著地优于已有方法,证明了方法的有效性。     

基于Windows系统调用的异常检测模型

论文提出了一个基于Windows系统调用序列检测的异常检测模型,并在原有的系统调用序列串算法的基础上引入了系统调用参数以及系统调用虚地址空间来对程序行为进行精确分析。     

一种新的基于Markov链模型的用户行为异常检测方法

提出一种新的基于Markov链模型的用户行为异常检测方法。该方法利用一阶齐次Markov链对网络系统中合法用户的正常行为进行建模,将Markov链的状态同用户执行的shell命令序列联系在一起,并引入一个附加状态;在检测阶段,基于状态序列的出现概率对用户当前行为的异常程度进行分析,并根据Markov链状态的实际含义和用户行为的特点, 采用了较为特殊的判决准则。与Lane T提出的基于隐Markov模型的检测方法相比,该方法的计算复杂度较低,更适用于在线检测。而同基于实例学习的检测方法相比,该方法则在检测准确率方面具有较大优势。文中提出的方法已在实际入侵检测系统中得到应用,并表现出良好的检测性能。     

基于奇异值分解更新的多元在线异常检测方法

网络异常检测对于保证网络稳定高效运行极为重要。基于主成分分析的全网络异常检测算法虽然具有很好的检测性能,但无法满足在线检测的要求。为了解决此问题,该文引入流量矩阵模型,提出了一种基于奇异值分解更新的多元在线异常检测算法MOADA-SVDU,该算法以增量的方式构建正常子空间和异常子空间,并实现网络流量异常的在线检测。理论分析表明与主成分分析算法相比,该算法具有更低的存储和计算开销。因特网实测的流量矩阵数据集以及模拟试验数据分析表明,该算法不仅实现了网络异常的在线检测,而且取得了很好的检测性能。     

基于TBM双层融合架构的航路属性异常检测

航路飞行目标的属性异常检测是确保及时发现飞行异常的关键问题.常用的概率框架需要受到先验信息的局限.可传递置信模型（Transferable Belief Model，TBM）不需要先验信息，能高效处理异质信息，但是传统的TBM无法处理时间上的不连续与不确定性，因此针对异常航路目标检测问题，将马尔可夫模型与TBM框架结合，建立了基于TBM的双层融合架构，实现了多特征融合航路属性异常检测.第一层是通过对多属性冲突信息的分析，实现对多特征的检测，并通过特征贡献度分析，对多特征信息进行打折后再融合；第二层是通过在时间序列上的指派融合，对比预测值和观测值差异，检测航路目标异常变化.仿真试验验证，在切换航路场景与偏离回归场景中，相较动态证据推理方法，本文方法具有更好的决策准确性与时间精确度.     

Multi-step attack detection method based on network communication anomaly recognition

In view of the characteristics of internal fixed business logic,inbound and outbound network access behavior,two classes and four kinds of abnormal behaviors were defined firstly,and then a multi-step attack detection method was proposed based on network communication anomaly recognition.For abnormal sub-graphs and abnormal communication edges detection,graph-based anomaly analysis and wavelet analysis method were respectively proposed to identify abnormal behaviors in network communication,and detect multi-step attacks through anomaly correlation analysis.Experiments are carried out on the DARPA 2000 data set and LANL data set to verify the results.The experimental results show that the proposed method can effectively detect and reconstruct multi-step attack scenarios.The proposed method can effectively monitor multi-step attacks including unknown feature types.It provides a feasible idea for detecting complex multi-step attack patterns such as APT.And the network communication graph greatly reduces the data size,it is suitable for large-scale enterprise network environments.     

基于大数据的电力信息网络流量异常检测机制

随着智能电网建设的加强,电力信息网络及其承载的业务系统得到迅猛发展,网络业务流量的检测和预警具有重要的安全意义.针对目前电力信息网络缺乏处理流量异常问题的有效技术手段,提出了一种基于大数据的电力信息网络流量异常检测机制,并通过对改进的局部异常因子(M-LOF)和支持向量域数据描述(SVDD)两种常用异常检测算法的对比分析,总结出适合电力信息网络的流量异常检测方法.     

基于机器学习的用户实体行为分析技术在账号异常检测中的应用

伴随企业业务的不断扩增和电子化发展,企业自身数据和负载数据都开始暴增。然而,作为企业核心资产之一的内部数据,却面临着日益严峻的安全威胁。越来越多以周期长、频率低、隐蔽强为典型特征的非明显攻击绕过传统安全检测方法,对大量数据造成损毁。当前,用户实体行为分析(User and Entity Behavior Analytics,UEBA)系统正作为一种新兴的异常用户检测体系在逐步颠覆传统防御手段,开启网络安全保卫从“被动防御”到“主动出击”的新篇章。因此,将主要介绍UEBA在企业异常用户检测中的应用情况。首先,通过用户、实体、行为三要素的关联,整合可以反映用户行为基线的各类数据;其次,定义4类特征提取维度,有效提取几十种最能反映用户异常的基础特征;再次,将3种异常检测算法通过集成学习方法用于异常用户建模;最后,通过异常打分,定位异常风险最大的一批用户。在实践中,对排名前10的异常用户进行排查,证明安恒信息的UEBA落地方式在异常用户检测中极其高效。     

基于构造性核覆盖算法的异常入侵检测

将构造性核覆盖算法引入入侵检测研究中,提出了一种基于构造性核覆盖的异常入侵检测算法,用于监控进程的非正常行为.首先分析了核覆盖分类算法应用于入侵检测的可能性,然后具体描述了核覆盖算法在异构数据集下的推广,提出了基于核覆盖的异常入侵检测模型.并以sendmail系统调用序列数据集为例,详细讨论了该模型的工作过程.最后将实验仿真结果与其它方法进行了比较,结果表明,该方法的检测效果优于同类的其它方法.     

基于贝叶斯融合的时空流异常行为检测模型

针对直接利用卷积自编码网络未考虑视频时间信息的问题,该文提出基于贝叶斯融合的时空流异常行为检测模型。空间流模型采用卷积自编码网络对视频单帧进行重构,时间流模型采用卷积长短期记忆(LSTM)编码-解码网络对短期光流序列进行重构。接着,分别计算空间流模型和时间流模型下每帧的重构误差,设计自适应阈值对重构误差图进行二值化,并基于贝叶斯准则对空间流和时间流下的重构误差进行融合,得到融合重构误差图,并在此基础上进行异常行为判断。实验结果表明,该算法在UCSD和Avenue视频库上的检测效果优于现有异常检测算法。     

基于核函数Fisher鉴别的异常入侵检测

将核函数方法引入入侵检测研究中,提出了一种基于核函数Fisher鉴别的异常入侵检测算法,用于监控进程的非正常行为。首先分析了核函数Fisher鉴别分类算法应用于入侵检测的可能性,然后具体描述了核函数Fisher鉴别算法在异构数据集下的推广,提出了基于核函数Fisher鉴别的异常入侵检测模型。并以Sendmail系统调用序列数据集为例,详细讨论了该模型的工作过程。最后将实验仿真结果与其它方法进行了比较,结果表明,该方法的检测效果优于同类的其它方法。     

基于OpenFlow流表的云网络异常行为主动监测和处理

云数据中心的网络异常行为不仅对网络设备造成严重业务负荷,同时也显著影响云用户使用体验。云计算环境中的共享资源模式和云用户迥然不同的业务形态,使得网络分析和异常行为定位变得更加困难。本文针对云数据中心的网络异常行为进行特征提取和分析,并基于sdn云数据中心的网络架构和原理进行深度剖析,总结出基于openflow流表的网络异常行为判定方法。同时采用自动化运维手段,制定了一套网络异常行为自动化检测和封堵的智能系统,实现对网络异常行为的快速处理。