基于HMM和自组织映射的网络入侵检测算法

随着网络入侵多样化的发展,传统的防火墙、数据加密等防御方法已经很难保证系统和网络资源的安全,为此,设计了基于隐形马尔科夫模型HMM和自组织映射SOM的网络入侵检测方法。首先建立了自组织映射-HMM的双层入侵检测模型,采用样本数据训练SOM网,然后将测试数据输入SOM模型获得观察序列对应的攻击类别的后验概率,将此后验概率用于训练HMM模型获得概率初始分布和状态转移概率等各参数。最后,通过比较测试数据在各模型下发生概率的大小来获取对应的攻击类别。仿真实验表明本研究方法能有效实现网络入侵检测,较经典的HMM方法以及改进的神经网络方法,具有较高的检测率和较低的误报率,同时具有较少的检测时间。     

基于DBSCAN＿GAN＿XGBoost的网络入侵检测方法

由于网络异常流量检测中异常流量数据占比不平衡,导致模型不能对稀有攻击类别流量进行充分学习,从而影响模型训练和检测精度。针对这一问题,提出一种基于DBSCAN＿GAN＿XGBoost的网络入侵检测模型,该模型在对稀有攻击类样本进行扩充时,着重扩充更容易让机器学习产生混淆的噪声样本。首先,利用DBSCAN算法对提取出的稀有攻击类别数据进行聚类处理,生成一个或多个子簇,并提取出簇内样本和游离在簇外的噪声样本;然后,使用生成对抗网络模型对提取出的簇内样本和噪声样本分别进行样本扩充,改变数据集中原有的样本比例;最后,使用重新构建后的数据集对以决策树作为基分类器的XGBoost算法进行训练,并完成网络异常流量数据的检测。采用UNSW-NB15数据集进行对比实验,实验结果表明：DBSCAN＿GAN＿XGBoost模型的准确率和精确率分别为98.76%和96.5%,比样本扩充前分别提高了15.63百分点和19.60百分点,有效地提高了稀有攻击类别的检测精度。     

基于信息增益和随机森林分类器的入侵检测系统研究

目前,许多误用检测系统无法检测未知攻击,而异常检测系统虽然能够精确检测未知攻击,但由于入侵检测固有的特性,入侵事件与正常事件类间存在极大的不平衡性,这导致很难利用机器学习的方法高效地进行入侵行为检测.为此,提出了一种基于信息增益和随机森林分类器的入侵检测系统.为了解决类之间的不平衡性,对训练数据集应用了合成少数过采样算法.提出了一种基于信息增益的特征选择方法,并用于构建一个数据集的特征约减子集.首先,利用随机森林算法从训练集中建立入侵模型,构建误用检测模型,通过网络连接的特征来匹配检测已知攻击.然后,利用信息增益的特征选择方法,根据特征约减获得的特征,将不确定性攻击的网络连接数据通过随机森林进行聚类,进而实现未知攻击的检测.实验采用的NSL-KDD入侵检测数据集是KDDCUP99数据集的增强版本.由于入侵检测固有的特性,NSL-KDD数据集设计时类间存在极大的不平衡性.实验结果表明,结合合成少数过采样算法以及基于特征选择的信息增益的随机森林分类器对少数类别异常检测率可达到0.962.     

基于多变量时序数据的对抗攻击与防御方法

为了保证时序数据攻击检测模型的安全性,提出了基于多变量时间序列数据的对抗攻击与对抗防御方法.首先,针对基于自编码器的攻击检测模型,设计了在测试阶段实施的逃逸攻击.其次,针对设计的对抗攻击样本,提出了一种基于雅克比(Jacobian)正则化方法的对抗攻击防御策略,将模型训练过程中的Jacobian矩阵作为目标函数中的正则项,提高了深度学习模型对对抗攻击的防御能力.在工业水处理数据集BATADAL上进行实验,验证了所提出的对抗攻击方法和对抗防御方法的有效性.     

基于FCM的分布式学习方法

在大规模网络入侵检测应用中,针对模块化神经网络算法学习精度高但效率相对较低的特点,采用SOM算法作为基本学习方法并利用其神经元竞争特性,引入模糊聚类FCM对SOM输出权值进行融合学习分类,在保持SOM高精度的基础上,大幅减少了学习时间。最后采用入侵检测数据集KDDCUP99进行测试,结果验证了算法的高检测率和较好的效率。     

基于累积量的DoS攻击检测算法

针对现有DoS攻击检测算法中检测率较低,检测时间较长的问题,提出一种基于高阶统计量的DoS攻击检测算法.算法分割并量化网络流量数据包,提取累积量特征,将累积量应用到DoS攻击检测中.通过分析1998DARPA入侵检测数据集,该算法能够有效检测DoS攻击.相对于传统基于网络流量熵值的异常检测法,该算法在检测精度上有较大提高,在1 s的时间窗口内,检测率提高了8%.     

基于WOWA-FCM的复合攻击检测模型

为有效处理复合攻击检测中的诸多不确定性及复杂性因素,提出了基于WOWA-FCM的复合攻击检测模型.WOWA-FCM检测模型从攻击意图分析的角度,利用模糊认知图(Fuzzy Cognitive Maps, FCM)对初级入侵警报进行因果关联;并结合脆弱性知识与系统配置信息,利用WOWA(Weighted Ordered Weighted Averaging)算子融合关联数据.WOWA-FCM检测模型不仅能识别复合攻击各个阶段、构建完整的攻击视图,并且能动态地评判攻击进度和目标系统的安全状态.WOWA-FCM模型简化了传统的复合攻击检测过程,并具有较强的适应性.Mstream DDoS攻击检测实验证明了方法的有效性.     

双层聚类模型在日志数据分析中的应用

提出了一种基于自组织特征映射(SOM)神经网络和模糊c-均值(FCM)的双层聚类方法,对Web日志中的日志数据集进行聚类.第一层是无监督SOM神经网络聚类方法,它所产生的类的个数大大减少了原始数据集的个数,降低了FCM对类初始中心点的依赖;然后利用FCM聚类算法的优势对第一层中产生的类的中心点进行聚类,从而大大减少了聚类的时间复杂度;最后通过平行坐标技术可视化展示聚类前后的日志数据集,方便对日志数据进行分析.     

DDoS攻击检测模型的设计

为了有效检测服务器是否受到DDoS攻击,设计了一种基于朴素贝叶斯分类算法的DDoS攻击检测模型. 首先大量抓取服务器数据包,选择受到DDoS攻击时产生较明显变动的5种特征数据作为基本参数,所有数据可分为受攻击与未受攻击两类. 然后利用正态分布函数拟各合特征量的分布情况,并计算出各个特征量的条件概率. 最后,选取测试数据,得到测试数据在贝叶斯公式下被分为受攻击与未受攻击两类的后验概率,并通过比较此两个后验概率值的大小,判断出服务器是否受到DDoS攻击. 该模型经MATLAB仿真实验的验证,获得了较高的准确率,保证了对DDoS攻击的有效检测,并由C＋＋代码进行实现.     

基于自适应Kalman滤波的网联车系统数据攻击检测

针对车联网环境下车辆自适应巡航系统的数据攻击检测问题,提出一种基于自适应卡尔曼滤波的网联车巡航系统数据攻击检测方法.首先,结合网联车自适应巡航控制系统模型,建立随机数据攻击、隐蔽虚假数据攻击和拒绝服务(Denial of service,DoS)数据攻击的数学模型,考虑网联车巡航系统存在不可测的未知测量噪声场景,设计测...     

基于支持向量数据描述的高效异常数据检测算法

为了解决大规模数据中的异常检测问题,提出了基于支持向量数据描述(SVDD)的高效离群数据检测算法。该算法的核心思想为:首先利用SVDD获得包含单类数据的最小球形边界,然后通过该边界对未知样本数据进行分类,并利用最小闭包球算法对SVDD分类器进行优化求解。在UCI机器学习数据集和入侵检测数据集上将该算法与其他离群数据检测算法进行了实验比较,结果表明,该算法不仅获得了更高的检测准确率,而且具有较低的运行时间。     

多源非平衡交通检测数据的异常识别方法

为保证交通检测数据的准确性并服务于实时的交通状态判别和预测,交通大数据采用多种检测源数据协同处理并利用机器学习的方法进行异常识别.异常检测数据的识别主要基于机器学习中AdaBoost方法实现.在算法的训练过程中,为消除单一检测源数据的离群现象,训练数据选取同一路段上多种检测源提供的数据集.在算法的决策过程中,通过代价敏感方法的优势来改进AdaBoost的决策.实验结果表明:基于非均衡特性改进的AdaBoost模型迫使分类器更加关注了待识别的异常样本,增强了AdaBoost决策过程中训练决策树规则的代表性,提高了异常类样本的分类准确率.高速公路实例检测数据集验证了改进算法与相关经典算法的检测准确度、误检率、误警率等指标,其中改进模型与原模型相比,准确率提高了5.547%,误检率减低了6.792%.多种算法的ROC曲线对比表明改进的AdaBoost方法筛选交通检测样本的可靠度更高,可有效调整由非平衡数据导致的分类误差.     

局部密度嵌入的结构单类支持向量机

针对现有单类分类器对目标数据先验信息考虑的不足,在结构单类支持向量机(structured one-class support vector machine,SOCSVM)中嵌入局部密度信息,提出局部密度嵌入的结构单类支持向量机(SOCSVM with local density embedding ldSOCSVM)。借助K近邻(K-nearest neighbor, KNN)揭示目标数据局部密度,并进一步诱导出权重因子作用于样本点。该算法充分利用目标数据的全局信息及局部密度信息,从而提高分类器的泛化能力。UCI数据集上的实验结果验证了ldSOCSVM的有效性。     

Real-Time Patient-Specific ECG Arrhythmia Detection by Quantum Genetic Algorithm of Least Squares Twin SVM

The automatic detection of cardiac arrhythmias through remote monitoring is still a challenging task since electrocardiograms (ECGs) are easily contaminated by physiological artifacts and external noises, and these morphological characteristics show significant variations for different patients. A fast patient-specific arrhythmia diagnosis classifier scheme is proposed, in which a wavelet adaptive threshold denoising is combined with quantum genetic algorithm (QAG) based on least squares twin support vector machine (LSTSVM). The wavelet adaptive threshold denoising is employed for noise reduction, and then morphological features combined with the timing interval features are extracted to evaluate the classifier. For each patient, an individual and fast classifier will be trained by common and patient-specific training data. Following the recommendations of the Association for the Advancements of Medical Instrumentation (AAMI), experimental results over the MIT-BIH arrhythmia benchmark database demonstrated that our proposed method achieved the average detection accuracy of 98.22%,99.65% and 99.41% for the abnormal, ventricular ectopic beats(VEBs) and supra-VEBs(SVEBs), respectively. Besides the detection accuracy, sensitivity and specificity, our proposed method consumes the less CPU running time compared with the other representative state of the art methods. It can be ported to Android based embedded system, henceforth suitable for a wearable device.     

基于Adaboost层叠式分类器的人脸检测算法仿真

详细研究了基于Adaboost的层叠式人脸检测算法。构建了一个层叠式分类器系统,其由多个弱分类器构建一个强分类器,再由多个强分类器最终构建一个层叠式分类器系统。通过增加层叠式分类器的级数来降低人脸误识率,增加层叠式分类器的个数来提高人脸检测率,使得层叠式分类器具有不断扩展升级的能力。仿真实验结果证明,采用这种策略成功的降低了误识率和计算时间,显著提高了检测性能,其检测效果稳定,并且完全可以适用于实时视频人脸检测。     

使用聚类稳定性分析方法增强单类学习算法

针对传统单类学习模型对多模态或多密度分布数据描述能力不足的问题,将集成聚类和聚类稳定性分析引入单类学习.首先将确定聚类簇个数与确定聚类簇分布统一到同一个增强单类学习框架中,之后各聚类簇互为正负类分别建起立多个单类分类模型,最后采用最大融合体积方法融合其决策边界.以经典的支持向量数据描述(SVDD)为例,设计了基于集成聚类的稳定支持向量数据描述算法——ECS-SVDD.在标准UCI数据集和一个真实恶意程序行为数据集上的实验结果表明,ECS-SVDD的性能较单个支持向量数据描述及同类单类学习方法更优.该方法可直接推广到其他最小包含体积集合类型的单类学习算法上,以增强单类学习算法处理多模态和多密度分布数据的能力.     

基于支持向量机的MSPC方法及其应用

针对传统多变量统计过程控制（MSPC）方法在故障检测、故障原因分析和故障识别中的难点，提出了多元特征提取方法与基于支持向量机（SVM）的一类分类器设计、特征选择以及多类分类器设计方法相结合的一种完整的MSPC新方法.该方法在故障检测中可去除特征满足特定分布的假设前提，并可确定多个统计量的控制限；在故障原因分析中综合考虑故障对于各个变量大小的影响以及变量变化对于故障分类的重要性，提高了关键变量选择的准确性；并且故障识别是基于SVM对故障特征分类的优良特性，避免了传统判别法中经验准则的引入.上述方法在标准仿真平台Tennessee Eastman过程上结合主元分析（PCA）进行了应用，结果显示了其优越性.     

一种树形结构的实时道路车辆识别方法

针对实时道路车辆识别是车辆计算机辅助驾驶、自主导航以及主动安全的关键技术,给出了一种基于树形结构的车辆识别方法。该方法采用Haar—like特征来表达车辆特征,选择GentleAda Boost算法训练出强分类器,最后将多个强分类器组合成树形结构。通过建立样本库,对车辆识别分类器进行了训练,并对分类器的性能进行了实验。结果表明：对750个目标车辆进行识别,识别率为74．4％,识别时间为34．4ms。说明树形结构的车辆识别方法具有较好的实时性和一定的鲁棒性。     

采用自适应GHA神经网络的分类器设计

介绍了一种自适应逼近数据实质维的GHA神经网络学习算法。基于主元子空间分解的思想,给出了基于该算法的分类器刻画方法,对其中的刻画参数给出了详细的界定。该分类器采用监督学习机制进行训练,可以自动学习输入的主元特征子空间维数。在入侵检测领域,利用KDD CUP 1999数据集对该方法进行了仿真。采用正常连接数据训练GHA异常检测分类器,利用拒绝服务攻击数据进行了误用检测训练。并将测试结果与其他入侵检测方法进行了比较。     

基于人工免疫核聚类的支持向量数据描述方法

为使支持向量数据描述(SVDD)能应用于无监督多分类情况,提出了一种基于人工免疫核聚类的支持向量数据描述(AIKCSVDD)方法。AIKCSVDD将人工免疫核聚类产生的记忆抗体作为目标数据点,使用SVDD方法进行多类学习。在AIKCSVDD中,一方面实现了用核聚类方法解决各类数据边界不清晰的长处与免疫网络聚类方法全局收敛、不需要先验知识的优点的有机结合;另一方面,由于用记忆抗体代替原始数据进行学习,从而更好展现了原始数据的全局分布特征。与基于K-means聚类multi-SVDD方法相比,AIKCSVDD不需要事先指定分类数;在人工数据集和UCI数据集上的实验表明,在为multi-SVDD指定分类数的情况下,AIKCSVDD仍比multi-SVDD具有更好的分类性能。