一种基于危险理论的入侵检测算法

分析了危险理论的基本机制,针对当前基于传统免疫学的入侵检测技术存在的不足,提出了一种基于危险理论的入侵检测算法模型。在该算法模型中,系统只对“危险”进行响应,提高了系统的检测效率,同时将系统资源情况作为判断“危险”的一个因素,有效的降低了误报率和漏报率。     

基于危险理论的多代理异常入侵检测研究

为了提高分布式网络中异常入侵检测的效率,在对危险理论和人工免疫技术的研究基础之上,提出了一种基于危险理论的多代理异常人侵检测模型,对模型架构和工作原理进行了详细的描述.模型分为三层,在识别"非我"之前,先对主机和网络资源实时监控并进行数据采集,利用云模型对危险进行判定,由危险信号激活免疫识别.该模型能根据定义的危险级别有效地识别出"有害的非我",保障系统的可用性,在一定程度上改善伪肯定和伪否定现象,提高检测系统性能.     

基于PC-LINMAP耦合赋权及云理论的入侵检测系统

提出一种基于PC-LINMAP耦合赋权、云理论来判断系统入侵发生可能性大小的新方法。首先运用PC-LINMAP耦合赋权法计算系统主要性能指标的权值，并将得到的权值与理想状态下各个性能指标的数值做加权融合，从而得到理想状态下的综合评价结果。将任意时刻通过加权融合得到的数值与理想状态下得到的综合评价结果相比较得出偏差值，最后基于云理论构造定性评测云发生器并结合偏差的大小对当前入侵发生的可能性进行定性描述。实验结果表明了该方法的有效性。     

一种新的基于SVM权重向量的云分类器*

提出了一种用支持向量机（SVM）权重向量解决高维对象分类的方法,并结合云理论建立了基于SVM权重向量的云分类器。采用云模型建立训练集的各属性模型,分类模型由属性模型集成得到,属性权重根据SVM权重向量得到,属性权重越大,其对分类的贡献越大;反之,越小。将新分类器与云模型分类器对积雨云、卷云和卷层云进行分类模拟实验,新分类器的分类准确度比后者总体提升了, 经过交叉验证, 结果表明新分类器性能稳定。     

一种基于图的异常入侵检测新算法

根据主机系统异常入侵过程中Windows native API序列的瞬时高频性,提出一种基于图的异常入侵检测算法。该算法首先将每个Native API映射成为图中的一个点,并以其为起点的子序列作为该点的路径、Native API的前后调用关系为边;其次,对图中每个点记录各自的路径,在这些点的路径中找到若干个圈,圈定义为因对同一个Native API重复调用而在图中出现的回路;然后,对组成圈的所有边权值根据一定规则更新;最后利用图的边与其邻边权值差计算出异常指数,判断该序列是否异常。实验结果表明该算法在Windows平台下能实时有效地检测出异常入侵和病毒的Native API序列。     

一种网络流量异常检测算法*

提出了一种网络流量异常检测新算法。该算法将线性模型与小波变换相结合,解决了阈值监控无法告警和监测的问题。在实际的网络数据SNMP MIB以及Netflow的应用检测中,性能较好。与GLR算法相比,异常点的判断更加及时、准确、可靠。     

一种异常入侵检测系统误报率抑制方法*

抑制入侵检测系统(IDS)的误报率是提高其检测结果可信性的重要途径。通过分析异常入侵检测系统的误报率问题,提出了基于人工免疫思想,动态构建正常系统轮廓,抑制误报率的方法。建立了自体、抗原、抗体的动态变化模型和演化机制,并进行了仿真实验。结果表明该方法可以有效降低异常入侵检测系统误报率。     

一种基于Hopfield网络的异常检测方法

目前的入侵检测系统缺乏从先前所观察到的进攻进行概括并检测已知攻击的细微变化的能力。本文描述了一种基于最小二乘估计（LS）模型的入侵检测算法，该算法利用神经网络的特点，具有从先前观测到的行为追行概括进而判断将来可能发生的行为的能力。本文在前人工作的基础上提出了一种在异常检测中用反馈神经网络构建程序行为的特征轮廓的思想，给出了神经网络算法的选择和应用神经网络的设计方案。实验表明在异常检测中用反馈神经网络构建程序行为的特征轮廓，能够大大提高检测系统对偶然事件和入侵变异的自适应性和异常检测的速度。     

基于多维云模型的入侵检测

通过研究多维云模型机理，给出了定性与定量之间转换的云模型的形式化表示，用来反映语言值中蕴涵的模糊性和随机性，解释了多条定性规则同时被激活的不确定推理过程。实验采用了KDD99的测试数据，结果表明，该方法能够比较有效地检测真实网络数据中的未知入侵行为。     

基于 D-S证据理论的网络异常检测方法

网络异常检测技术是入侵检测领域研究的热点内容,但由于存在着误报率较高、检测攻击范围不够全面、检测效率不能满足高速网络实时检测需求等问题,并未在实际环境中得以大规模应用.基于D-S证据理论,提出了一种网络异常检测方法,能够融合多个特征对网络流量进行综合评判,有效地降低了误报率和漏报率,并引入自适应机制,以保证在实时动态变化的网络中的检测准确度.另外,选取计算代价小的特征以及高效的融合规则,保证了算法的性能满足高速检测的要求.该方法已实现为网络入侵检测原型系统中的异常检测模块.通过DARPA 1999年IDS基准评测数据的实验评测表明,该方法在低误报率的前提下,达到了69%的良好检测率,这一结果优于DARPA 1999年入侵检测系统评测优胜者EMERALD的50%检测率和同期的一些相关研究成果.     

基于云计算的数据异常智能检测技术研究

针对传统数据异常智能检测技术无法实现检测率与误检率同步的问题,提出一种基于云计算的数据异常智能检测技术。该技术结合聚类分析算法,通过计算相似度实现异常数据与正常数据之间的分类,从而达到数据异常检测的目的,其过程如下:首先对待检测数据进行预处理,然后从预处理后的数据中提取代表性特性,接着计算待检测数据与数据特征之间的相似度,并按照相似度大小筛选出异常数据,最后进行异常数据响应,并进行相应处理。结果表明:与结合神经网络算法、深度学习算法、随机森林算法等传统数据异常检测技术相比,本技术在保证检测率的同时,降低了误检率,误检率分别降低0.19%,0.4%、0.53%。     

云自适应遗传算法

传统自适应遗传算法(AGA)虽能有效提高收敛速度,却难以增强算法的鲁棒性.以当代种群平均适应度为期望Ex,根据云模型"3En"规则确定熵En,由X条件云发生器自适应调整交叉变异概率,提出云自适应遗传算法(CAGA).由于云模型云滴具有随机性和稳定倾向性特点,使交叉变异概率值既具有传统AGA的趋势性,满足快速寻优能力;又具有随机性,且当种群适应度最大时并非绝对的零概率值,有利于提高种群多样性,从而大大改善避免陷入局部最优的能力.典型函数优化实验表明,与标准遗传算法(SGA)和AGA相比,CAGA具有更好的收敛速度和鲁棒性.     

基于时序分析的工控异常检测算法研究

随着信息化及工业化的不断融合发展、开放通信协议的引入、智能终端设备的发展,工控系统网络环境由最初的封闭隔离环境变得与外部的连通性不断增强,导致工控系统的安全风险变得更加复杂多变。异常检测技术作为信息安全防护中重要的组成部分,可有效地发现在工控网络中不符合预期行为模式的异常事件。考虑到时间作为工业流量中的本质特性,文章开展了基于时序分析的异常检测算法研究,提出了一种基于Top-k的矩阵分布评估算法,实验结果证实此评估算法可有效地检测工控网络环境下的异常事件。     

一种基于聚类的异常检测方法

利用数据挖掘技术对网络中的海量数据进行分析从而发现入侵行为已成为目前异常检测研究的重点.为了进一步提高入侵行为检测的质量,提出了一种改进的异常检测算法.该方法首先将训练数据集转换为标准的单位特征度量空间,然后利用改进算法对数据进行划分,以找到聚类中心.最后对改进算法进行了性能分析与比较,实验结果表明:算法具有良好的稳定...     

基于异常因子的异常模式探测算法

时间序列挖掘中不同的数据集中的异常模式的长度未必相同.提出的算法使用异常因子作为模式的异常度量,利用模式的k-距离和中位数来计算异常因子,使用二次回归算法来探测时间序列中的所有模式和其长度范围,在这个范围内使用变长方法来判断一个模式是否异常,然后合并相邻的异常模式.为了验证算法的有效性和健壮性,使用人工合成数据和标准数据集对算法进行了测试,得到了较为满意的效果.     

基于KQPSO聚类算法的网络异常检测

提出一种基于KQPSO聚类算法的网络异常检测模型.该模型利用K-Means聚类算法的结果重新初始化粒子群,聚类过程都是根据数据间的Euclidean（欧几里德）距离。再通过量子粒子群优化算法（QPSO）寻找聚类中心。最后进行仿真模拟,实验结果表明,该模型对网络异常检测是有效的。     

改进的云自适应粒子群算法

为了提高粒子群算法的寻优速度和精度,提出一种改进的云自适应粒子群算法（MCAPSO）。算法中根据粒子适应度值把种群分为三个子群,分别采用不同的惯性权重生成策略和进化策略,普通子群粒子采用云自适应惯性权重,有效地调整了算法的全局与局部搜索能力。选取了五个基准函数进行测试,与其他PSO算法作了比较。仿真结果表明该方法是有效的。     

基于检测域划分的虚拟机异常检测算法

虚拟机的正常运行是支撑云平台服务的重要条件,由于云平台下虚拟机存在数量规模大、运行环境随时间动态变化的特点,管理系统难以针对每个虚拟机进行训练数据采集以及统计模型的训练。为了提高在上述环境下异常检测系统的实时性和识别能力,提出基于改进k中心点聚类算法的检测域划分机制,在聚类迭代更新步骤上进行优化,以提升检测域划分的速度,并通过检测域策略的应用来提高虚拟机异常检测的效率和准确率。实验及分析表明,改进的聚类算法拥有更低的时间复杂度,采用检测域划分机制的检测方法在虚拟机异常检测中拥有更高的效率和准确率。     

基于W-Kmeans算法的DNS流量异常检测

为了对DNS查询进行有效检测,及时发现DNS流量异常,提出了适合于检测DNS流量异常的权重Kmeans (WKmeans)算法.对CN顶级域2009年5月19日的原始查询日志抽取有用信息,提取相关的向量特征,对不同的向量特征赋予不同的权重值.利用W-Kmeans算法对查询日志进行聚类检测,并分析了算法各种参数选择的影响.5.19事件的DNS查询检测结果表明,W-Kmeans算法可以有效检测DNS流量异常的发生.     

Network anomaly detection based on selective ensemble algorithm

The Journal of Supercomputing - In order to reduce the loss of information of the majority class samples in the resampling process, combining the distribution of class samples and the...