一种基于聚类的异常检测方法

利用数据挖掘技术对网络中的海量数据进行分析从而发现入侵行为已成为目前异常检测研究的重点.为了进一步提高入侵行为检测的质量,提出了一种改进的异常检测算法.该方法首先将训练数据集转换为标准的单位特征度量空间,然后利用改进算法对数据进行划分,以找到聚类中心.最后对改进算法进行了性能分析与比较,实验结果表明:算法具有良好的稳定...     

基于神经网络的网络异常研究与实现

论文首先根据网络数据特征、异常特点,提出了网络异常诊断的目标,在对比分析神经网络算法后,根据网络异常特征,选取免疫聚类算法来构建网络异常分析模型,根据模型设计了相应的异常分析算法。免疫聚类算法充分利用了网络设备离散特征,同时产生的网络数据具有连续性,把采集的数据构建成向量,根据向量值,计算出每个时间点的数据特征值,然后根据检测器来分析出产生异常的网络设备。其次,根据网络流量设备分流且具有转发特征,设计了免疫约束的网络流量分析模型,从流量数据约束行为、节点的权重等进行分析,完成了网络流量异常检测和分析。     

基于质心Voronoi图的网络异常检测算法

网络异常检测技术是入侵检测领域研究的热点内容,但由于存在着误报率较高等问题,并未在实际环境中得以大规模应用。基于质心Voronoi图,提出一种新的异常检测算法。在该算法中,首先利用质心Voronoi图来对样本数据进行聚类,然后基于聚类结果,计算出各个样本点的点密度,并以此来判断样本数据是否异常。最后,通过基于KDD Cup 1999 数据集的实验测试,仿真结果表明,新算法在具有较低的误报率的同时,也具有良好的检测率。     

基于图神经网络的工控网络异常检测算法

网络异常检测技术成为入侵检测领域的重点研究内容,但由于目前网络异常检测大多都停留在单点网络异常检测,对不断更新的联合异常攻击和恶意软件无法做出快速及时的相应.本文提出了一种基于图神经网络的工控网络异常检测算法,融合网络节点自身属性以及网络拓扑结构中邻域节点的信息实现对网络异常的检测.首先,每个网络节点获取蕴含了连接节点的特征信息以及节点之间交互信息的状态向量;其次,每个节点使用不动点理论对网络进行迭代更新;最后,根据节点自身信息以及邻域节点信息通过神经网络提取更高层次的特征作为该节点的表示,最后用聚类进行工控网络节点异常行为检测.实验结果表明,本文提出算法在具有较高检测率的同时,也具有较高的鲁棒性.     

基于图模块度聚类的异常检测算法

社会网络的数据规模在不断扩大,现存的异常检测算法对复杂社会网络进行检测的效果不理想,提出了一种基于图模块度聚类的异常检测算法(anomaly detection algorithm based on graph modularity clustering, GMC＿AD),该算法适用于解决受网络规模以及复杂度的限制导致检测效率不高的问题。GMC＿AD算法在分析网络拓扑结构的基础上,通过引入异常节点加权机制和模块度聚类算法进行异常检测。GMC＿AD算法主要在三个方面进行改进：a)设计网络中节点演化的量化策略,以此识别具有异常演化行为的节点来得到异常节点集合;b)通过模块度聚类的方法降低网络规模;c)在计算网络波动值的过程中使用加权机制合理考虑异常节点的影响,再通过网络波动值变化来检测异常。基于真实社会网络VAST、EU＿E-mail和ENRON进行对比实验,GMC＿AD算法准确地检测出异常发生的时段,实验结果显示在事件检测敏感性上提高了50%～82%,在异常检测运行效率上提高了30%～70%。实验结果表明,GMC＿AD算法不仅提高了异常检测算法的准确率和敏感性,还提高了异常检测算法的效率...     

基于机器学习的网络流量异常检测

为了提高网络流量异常的检出率,研究基于机器学习的网络流量异常检测方法。先通过K-means聚类算法分别得到网络流量异常数据簇,再将其输入双向长短期记忆网络和注意力机制模型,实现网络流量异常检测。实验结果表明,所提方法实用性良好,可提升网络流量异常检测的性能。     

基于稳态模型的流异常检测算法

在日常网络管理中如何实时、准确地判定流量异常是网络异常检测中的难点问题。提出了一种基于稳态模型的流异常检测算法，采用加权均值和方差计算相结合的统计学方法对网络流量稳态模型进行建模和更新，并使用ROC曲线进行异常检测模型的性能评估。研究表明，该算法复杂度较低，资源占用小，能够很好地实现实时自动报警功能。实验结果对进一步探索实时的网络流异常检测方法和预测算法具有参考价值。     

演化数据流上的连续异常检测

基于滑动窗口的异常检测是数据流挖掘研究的一个重要课题,在许多应用中数据流通常在一个分布网络上传输,解决这类问题时常采用分布计算技术,以便获得实时高质量的计算结果。对分布演化数据流上连续异常检测问题,进行形式化地阐述,提出了两个基于核密度估计的异常检测定义和算法,并通过大量真实数据集的实验,表明该算法具有良好的高效性和可扩展性,完全适应数据流应用的需求。     

基于PSO模式搜索的网络异常检测方法研究

传统网络异常检测方法检测精准度低的问题是目前网络安全网研究的热点,笔者提出基于PSO模式搜索的网络异常检测方法研究。依据IP包收到和发出速度,进行网络异常特征提取,结合实际网络情况构建异常检测模型、数据预处理、剔除干扰数据等完成方案检测流程。通过仿真实验可知,该方法检测精准度较高,可为网络正常运行提供保障。     

基于生物免疫原理的网络入侵检测研究

针对目前网络入侵检测系统普遍存在的误报、漏报及自适应差等问题,将生物免疫原理应用于网络入侵检测系统中,构建了一个新的基于生物免疫原理的网络入侵检测模型。介绍了生物免疫系统的原理,论述了生物免疫原理在网络入侵检测中的应用,详细阐述了该模型的工作原理及流程,并对该模型使用的否定选择算法和克隆选择算法进行了描述和分析。实验结果表明,该模型系统提高了入侵检测率,降低了虚警率,整体检测性能较好。     

人工智能在入侵检测系统中的应用

人工智能技术在滥用检测和异常检测中都起了重要作用。文章介绍了目前应用于入侵检测系统中的主要的人工智能技术即专家系统、人工神经网络、数据挖掘技术、人工免疫技术、自治Agent、数据融合等技术,可以相信入侵检测和人工智能的紧密结合必会极大地提高现有入侵检测系统的性能,同时促进更多人工智能算法的提出并应用于入侵检测这个新的领域。     

An immune optimization based deterministic dendritic cell algorithm

Anomaly detection is an important issue, which has been deeply studied in different research domains and application fields. The dendritic cell algorithm (DCA) is one of the most popular artificial immune system inspired approaches to handle anomaly detection problems. The performance of DCA depends significantly on the parameters used to compute the relationship between input instance and detectors. However, we find that while the DCA’s performance is good in practical applications, it is difficult to analyze due to the empirical based parameters and lacks adaptability. This paper studies how to effectively learn appropriate parameters for deterministic DCA (dDCA) for anomaly detection tasks. In particular, we propose a novel immune optimization based dDCA (IO-dDCA) for anomaly detection. It consists of dDCA classification, T cell (TC) classification, gradient descent optimization and immune nonlinear dynamic optimization. First, the dDCA is regarded as a binary classifier, and the data instances which are labeled as normal will be classified by a T cell inspired classification method, so as to improve the classification performance of dDCA. Then, to improve dDCA’s adaptability, gradient descent is adopted for dDCA parameters’ optimization. Finally, the immune nonlinear model is introduced to adjust learning rate in gradient descent to find the optimal parameters. The theoretical and experimental performance analysis of IO-dDCA show effectiveness of the novel approach through simulations, and the experimental results show that the proposed IO-dDCA has good classification accuracy.

     

Information fusion for anomaly detection with the dendritic cell algorithm

Dendritic cells are antigen presenting cells that provide a vital link between the innate and adaptive immune system, providing the initial detection of pathogenic invaders. Research into this family of cells has revealed that they perform information fusion which directs immune responses. We have derived a dendritic cell algorithm based on the functionality of these cells, by modelling the biological signals and differentiation pathways to build a control mechanism for an artificial immune system. We present algorithmic details in addition to experimental results, when the algorithm was applied to anomaly detection for the detection of port scans. The results show the dendritic cell algorithm is successful at detecting port scans.     

一种地球站异常检测系统的设计与实现

随着卫星通信网的推广,其安全性越来越重要。针对卫星通信网中可能出现的严重威胁其自身安全的地球站被盗用或伪造等问题,提出了地球站行为异常检测的概念,采用聚类分析和模式匹配相结合的检测方法,设计并实现了一个卫星通信网地球站异常检测系统。提出了一种改进的KFCM聚类异常检测算法,该算法可获得局部最优划分。实验结果表明,改进后的算法具有更好的聚类效果,系统达到了较好的检测性能。     

基于免疫优势多克隆网络的异常检测

为实现无监督异常检测,提出一种用于网络数据训练学习的免疫优势多克隆网络聚类算法。根据抗体抗原亲合度,通过免疫优势、克隆、交叉、非一致变异、禁忌克隆和克隆死亡等人工免疫系统算子,实现抗体网络的进化学习和自适应调节。以一个小规模的网络映射原始数据集的内在结构,利用基于凝聚的层次聚类方法对网络结构进行分析,从而获得描述正常和异常行为的数据特征。仿真结果表明,该算法适用于大规模、无标识数据的异常检测,并能检测出未知攻击。     

基于免疫算法与支持向量机的异常检测方法

在异常检测中, 应用支持向量机算法能使检测系统在小样本的条件下具有良好的泛化能力。 但支持向量机的参数取值决定了其学习性能和泛化能力，且大量无关或冗余的特征会降低分类的性能。基于此，提出了一种基于免疫算法的支持向量机参数和特征选择联合优化的方法。免疫算法是一种新的有效随机全局优化技术，它具有不易陷入局部最优、解的精度高、收敛速度快等优点。 仿真结果表明算法在提高异常检测的检测正确率的同时相应的测试时间也在缩短。     

异常检测中正常行为规则性的度量

异常检测是防范新型攻击的基本手段,正常行为的规则性是影响检测能力的基本因素．在使用信息熵作为分析工具的基础上,提出了一种度量异常检测中正常行为规则程度的方法,并将这种方法用于对两个异常检测实例的分析,从理论上分析了如何改造特征以获得更多的规则性信息．在此理论的基础上,针对不同的数据类型提出了两种新的异常检测算法．     

基于TSK模糊控制系统的网络异常检测

在网络异常检测中,为了提高对异常状态的检测率,降低对正常状态的误判率,该文提出利用TSK模糊控制系统进行网络异常检测的新方法。在对TSK模糊控制系统的训练中采取梯度下降算法,充分发挥梯度下降局部细致搜索优势。实验数据采用KDDCUP99数据集,实验结果表明,基于梯度下降的模糊控制系统提高了异常检测的准确性。     

一种自适应的人工免疫异常检测算法

提出了一种基于免疫的自适应异常检测算法SAIM,该算法通过对训练抗原的学习,形成最优的抗体对记忆细胞集进行进化和更新,通过记忆细胞集采用KNN方法投票进行异常检测。实验采用著名UCI机器学习数据库的Hepatitis标准数据集,获得的分类准确率为93.5%,与现有同类算法进行比较,SAIM所取得的准确率具有一定的优越性。     

A multi-objective artificial immune algorithm for parameter optimization in support vector machine

Support vector machine (SVM) is a classification method based on the structured risk minimization principle. Penalize, C; and kernel, σ parameters of SVM must be carefully selected in establishing an efficient SVM model. These parameters are selected by trial and error or man's experience. Artificial immune system (AIS) can be defined as a soft computing method inspired by theoretical immune system in order to solve science and engineering problems. A multi-objective artificial immune algorithm has been used to optimize the kernel and penalize parameters of SVM in this paper. In training stage of SVM, multiple solutions are found by using multi-objective artificial immune algorithm and then these parameters are evaluated in test stage. The proposed algorithm is applied to fault diagnosis of induction motors and anomaly detection problems and successful results are obtained.