基于K-MEANS聚类的分支定界算法在网络异常检测中的应用

网络异常检测技术是入侵检测领域研究的热点之一。在异常检测中,针对其存在的对训练集中关键数据的 选取不准确、选取过程耗时较长、检测的误报率过高等问题,结合经典的K-MEANS算法和分支定界算法,建立起一 种网络异常检测模型,以有效地提高在大量训练集中选取关键数据的准确率,同时降低数据选取的时耗。通过大量基 于著名的KDD Cup 1999数据集的实验,表明此模型能够达到较高的检则准确性,并能有效地控制检测错误报警的发 生。     

基于NetFlow的网络异常流量检测

NetFlow可以提供网络中IP流的信息。这些流的信息有多种用途，包括网管、网络规划、ISP计费等。在网络安全领域，NetFlow提供的IP流信息可以用来分析网络中的异常流量，这是对现有的基于特征的NIDS的很好的补充。本文介绍了Net—Flow—based Anomaly Traffic Analyzer，一个基于NetFlow的网络异常流量检测系统，并通过一些实验证明了该系统的有效性。     

带有度约束的最小耗费生成树的分支限界算法

最小耗费生成树算法已很成熟,如Dijkstra's 算法,Prim’s 算法等。但在实际应用中我们常会碰到一类问题,对最小耗费生成树中每个结点的度数有所限制。这便是带有度约束bi(i=1,2,…,n)的最小耗费生成树(DCMCST)问题,在管道系统、通信、计算机网络中均会遇到这样的问题。本文提出一种分枝界限算法来产生DCMCST。     

多跳无线网络中基于分支限界法的广播算法

现有的广播算法一般采用分层的方法构建近似的最多叶子最短生成树作为广播树。分析此类算法存在的不足,提出利用分支限界的思想建立最多叶子最短生成树引导广播操作的方法。分析和仿真结果表明,与基于分层的广播算法相比,基于分支限界法的广播算法具有更低的转发比且不增加广播树的深度,能更有效地节省带宽和能量资源。     

基于Q-学习算法的异常检测模型

针对网络入侵的不确定性导致异常检测系统误报率较高的不足,提出一种基于Q-学习算法的异常检测模型(QLADM)。该模型把Q-学习、行为意图跟踪和入侵预测结合起来,可获得未知入侵行为的检测和响应。通过感知环境状况、选择适当行为并从环境中获得不确定奖赏值,有效地判断动态系统的入侵行为和降低误报率。给出了该模型框架和各模块的功能描述,经实验验证该模型是有效的。     

基于熵的网络异常流量检测研究综述

网络流量异常检测及分析作为一种重要的网络监管控制手段,是网络及安全管理领域的重要研究内容.本文探讨了网络异常流量的种类,简述了基于传统的异常检测方法在网络异常流量检测中的应用以及存在的问题.针对基于信息熵、相对熵、活跃熵等熵值理论在网络异常流量检测中的研究,阐述了基于熵值理论的异常检测在国内外的研究进展情况.总结了当前基于熵值理论的异常检测研究工作中存在的问题及改进方向.     

网络异常入侵检测研究

本文介绍了计算机入侵检测技术的基本原理和过程,比较了异常检测与误用检测的优缺点．分析了基于数据挖掘的技术在异常入侵检测的应用。     

基于滥用检测和异常检测的入侵检测系统

随着Internet的高速发展，网络安全问题越来越引入注目。在层出不穷的黑客技术中，内部攻击始终占据着很大的成分；与此同时，现有的防火墙技术不能满足人们对网络安全的要求，因此所谓的入侵检测系统越来越多地引起了人们的重视。文章介绍了一种异常检测方法和一种滥用检测方法，并根据所描述的方法构造了一个入侵检测系统，实验证明，该系统可以检测到已知的大部分的入侵行为。     

工控网络异常检测中基于灵敏度的动态迁移算法

随着工控网络信息化程度的不断提高,工控网络逐渐变得更加开放,一方面给工业生产提供了便捷,但另一方面也带来了安全隐患。工控网络作为重要的基础设施,一旦受到攻击将产生严重损害。近年来不少学者使用网络异常检测技术来发现工控网络中潜在的安全隐患,取得不错的成果。然而工控网络中的数据往往缺少标注,这限制了传统监督学习类算法在工控网络安全领域的应用。基于非监督学习的算法可以在缺少标注的场景下实现异常检测,但是往往存在算法性能较差的问题,而迁移学习类算法可以通过在源域上学习后迁移到只有少量标注的目标域实现在少标注情况下的较高性能。为了进一步提高在缺少标注的工控网络中进行异常检测的性能,本文提出一种工控网络异常检测中基于灵敏度的动态迁移算法。首先该算法基于迁移学习的思想,在有标注的源域中进行训练后迁移到缺乏标注的目标域,可以在缺少标注的工控网络环境下进行异常检测。其次得益于门控循环单元的记忆效应,该算法可以有效利用工控网络数据内在的时序关联性,进一步提高算法异常检测的能力。同时该算法中的基于参数灵敏度因子对参数进行动态迁移的方法,改进了传统迁移学习微调方法对源域和目标域数据底层特征学习不均衡的不足。在...     

基于方位一致性的分支点检测算法

针对传统角点的缺陷,提出一种能够提取局部结构信息的分支点检测算法.首先在梯度强度图像中按照梯度方向进行非最大抑制,得到边缘点的亚像素位置;然后利用方位一致性滤除噪声及不相关边缘的干扰,并根据倾角方向对剩余的边缘点进行分组;再对分支点的整数位置进行求精,得到分支点的亚像素位置;最后根据分支点的最优位置更新边缘点倾角,计算最优的分支边缘倾角.实验结果证明,该算法具有较好的分支点定位精度和分支边缘倾角精度,对噪声干扰及对比度变化具有较好的鲁棒性.     

基于自编码器的网络异常检测研究综述

网络入侵检测技术是指对危害计算机系统安全的行为进行检测的方法,它是计算机网络安全领域中的必不可少的防御机制。目前,基于有监督学习的网络异常入侵检测技术具有较高的效率和准确率,该类方法获得了广泛关注,取得了大量的研究成果。但是这类方法需要借助大量标注样本进行模型训练。为减少对标注样本依赖,基于无监督学习或半监督学习的网络入侵检测技术被提出,并逐渐成为该领域的研究热点。其中,基于自编码器的网络异常检测技术是这方面技术的典型代表。该文首先介绍了各类自编码器的基本原理、模型结构、损失函数和训练方法。然后在此基础上将其分为基于阈值和基于分类的方法。其中,基于阈值的方法用又可分为基于重构误差和基于重构概率两类。合适的阈值对异常检测技术的成败至关重要,该文介绍了三种阈值的计算方法。接着对比分析了多个代表性研究工作的方法、性能及创新点,最后对该研究中存在的问题做了介绍,并对未来的研究方向做了展望。     

基于平均特征重要性和集成学习的异常检测

异常检测系统在网络空间安全中起着至关重要的作用,为网络安全提供有效的保障.对于复杂的网络流量信息,传统的单一的分类器往往无法同时具备较高检测精确度和较强的泛化能力.此外,基于全特征的异常检测模型往往会受到冗余特征的干扰,影响检测的效率和精度.针对这些问题,本文提出了一种基于平均特征重要性的特征选择和集成学习的模型,选取决策树(DT)、随机森林(RF)、额外树(ET)作为基分类器,建立投票集成模型,并基于基尼系数计算基分类器的平均特征重要性进行特征选择.在多个数据集上的实验评估结果表明,本文提出的集成模型优于经典集成学习模型及其他著名异常检测集成模型.且提出的基于平均特征重要性的特征选择方法可以使集成模型准确率平均进一步提升约0.13%,训练时间平均节省约30%.     

基于直推式方法的网络异常检测方法

网络异常检测技术是入侵检测领域研究的热点和难点内容,目前仍然存在着误报率较高、对建立检测模型的数据要求过高、在复杂的网络环境中由于"噪音"的影响而导致检测率不高等问题.基于改进的TCM-KNN(transductive confidence machines for K-nearest neighbors)置信度机器学习算法,提出了一种网络异常检测的新方法,能够在高置信度的情况下,使用训练的正常样本有效地对异常进行检测.通过大量基于著名的KDD Cup 1999数据集的实验,表明其相对于传统的异常检测方法在保证较高检测率的前提下,有效地降低了误报率.另外,在训练集有少量"噪音"数据干扰的情况下,其仍能保证较高的检测性能;并且在采用"小样本"训练集以及为了避免"维灾难"而进行特征选取等优化处理后,其性能没有明显的削减.     

基于图神经网络的工控网络异常检测算法

网络异常检测技术成为入侵检测领域的重点研究内容,但由于目前网络异常检测大多都停留在单点网络异常检测,对不断更新的联合异常攻击和恶意软件无法做出快速及时的相应.本文提出了一种基于图神经网络的工控网络异常检测算法,融合网络节点自身属性以及网络拓扑结构中邻域节点的信息实现对网络异常的检测.首先,每个网络节点获取蕴含了连接节点的特征信息以及节点之间交互信息的状态向量;其次,每个节点使用不动点理论对网络进行迭代更新;最后,根据节点自身信息以及邻域节点信息通过神经网络提取更高层次的特征作为该节点的表示,最后用聚类进行工控网络节点异常行为检测.实验结果表明,本文提出算法在具有较高检测率的同时,也具有较高的鲁棒性.     

多协议交叉的HMM协议异常检测算法

随着网络攻击的不断多样化,现有的协议异常检测工作在准确率和实时性方面面临新的挑战。针对目前的协议异常检测方法只面向单一协议的恶意攻击而未考虑协议之间的关联,提出一种基于HMM的协议异常交叉检测算法。使用多个协议的语义关键词和时间标记来构造报文序列作为模型的训练集,提出协议报文语义合并算法并结合Baum-Welch算法构建多协议交叉的HMM,在序列化协议报文的同时收集子序列重复数来进一步校验HMM对存在大量循环操作的攻击行为的检测。通过在视频监控网络中进行仿真实验,证明该检测算法同现有的HMM异常检测方法相比,可以更准确地检测多种恶意攻击,同时具有一定的通用性。     

基于决策树的网络流量异常分析与检测

针对现有网络流量异常检测方法准确率较低的问题,提出基于决策树的网络流量异常分析与检测方法。研究网络流量结构特征及流量异常的交叉熵表示方法。采用C4.5算法建立决策树模型,将具有连续性的属性值离散化,根据最大信息增益比逐层选取分类属性,依此规则对流量数据进行分类。实验结果表明,当该方法的检测准确率达90%以上时,误报率可控制在5%以内,与同类方法相比能更准确地发现网络流量异常并进行分类。     

在线自适应网络异常检测系统模型与算法

随着因特网等计算机网络应用的增加,安全问题越来越突出,对具有主动防御特征的入侵检测系统的需求日趋紧迫.提出一个轻量级的在线自适应网络异常检测系统模型,给出了相关算法.系统能够对实时网络数据流进行在线学习和检测,在少量指导下逐渐构建网络的正常模式库和入侵模式库,并根据网络使用特点动态进行更新.在检测阶段,系统能够对异常数据进行报警,并识别未曾见过的新入侵.系统结构简单,计算的时间复杂度和空间复杂度都很低,满足在线处理网络数据的要求.在DARPA KDD 99入侵检测数据集上进行测试,10%训练集数据和测试集数据以数据流方式顺序一次输入系统,在40s之内系统完成所有学习和检测任务,并达到检测率91.32% 和误报率0.43% 的结果.实验结果表明系统实用性强,检测效果令人满意,而且在识别新入侵上有良好的表现.     

FART在非监督式网络异常检测中的应用

目前的入侵检测系统主要采用的是基于特征的误用方法。另外,近几年出现的基于数据挖掘技术的入侵检测方法则需要依靠带标识的训练数据来保证检测效果,然而在现实环境中,训练数据往往是难以获得的。与之相比,非监督式的异常检测系统则具有独特的优势,它无需大量的带标识的、用于标明各种攻击的训练数据,而只需要寻找和定义正常的分类,因此,它具有在不具备任何先验知识的情况下发现新型攻击的能力。文章提出了一种采用模糊自适应谐振网(fuzzyART)发现网络入侵的新方法,并在最后采用KDDCUP99的测试数据集对该方法进行了评估,证实了该方法在网络异常检测中的有效性。     

基于序列模式的异常检测

数据挖掘技术是目前国际上的研究热点，入侵检测作为一种主动的信息安全保障措施，有效地弥补了传统安全防护技术的缺陷。文中把数据挖掘中的序列模式方法应用于入侵检测系统，摒弃了以前入侵检测方法需要根据专家经验建立攻击模式库的不足，具有较强的灵活性，能检测出未知的攻击手段。为了比较用户在正常情况下所形成历史模式和从包含异常行为的检测数据中挖掘出的当前模式，文中还设计了相似度函数。最后给出了具体实验步骤，并针对9个Unix用户的实验结果证明了该方法的可行性。