一种基于隐马尔可夫模型的IDS异常检测新方法

提出一种新的基于隐马尔可夫模型的异常检测方法,主要用于以shell命令或系统调用为原始数据的IDS。此方法对用户(或程序)行为建立特殊的隐马尔可夫模型,根据行为模式所对应的序列长度对其进行分类,将行为模式类型同隐马尔可夫模型的状态联系在一起,并引入一个附加状态。由于模型中各状态对应的观测值集合互不相交,模型训练中采用了运算量较小的的序列匹配方法,与传统的Baum-Welch算法相比,大大减小了训练时间。根据模型中状态的实际含义,采用了基于状态序列出现概率的判决准则。利用UNIX平台上用户shell命令数据进行的实验表明,此方法具有很高的检测准确性,其可操作性也优于同类方法。     

基于聚类分析的网络数据流异常检测方法

为加强对网络数据流异常检测误报率的控制,进行多维度的动态化检测,营造更加稳定、可靠的数据流异常检测方法。文章结合聚类分析技术,构建网络数据流异常检测方法。先进行数据流模态的描述,针对数据的异常状态,完成并行聚类特征提取,随即布设K-means异常感应节点,并以此作为基础,逐步构建聚类衰减检测模型,采用交叉部署法实现数据流异常检测。最终的异常检测结果表明:对比于传统概率数据流异常检测组、传统多模态数据流异常检测组,文章所设计的聚类分析数据流异常检测组最终得出的数据流异常检测误报率仅为1.01,实现了较为有效的控制,进一步提升了异常检测能力,逐步营造更加稳定、安全的检测环境,结构更加可靠、精准,具有实际的应用价值。     

MOADA-SVR：一种基于支持向量回归的多元在线异常检测方法

网络异常检测对于保证网络稳定高效运行极为重要。基于主成分分析的全网络异常检测方法虽然具有很好的检测性能,但无法满足在线检测的要求。为了解决此问题,引入流量矩阵模型,利用支持向量回归及其支持向量解的在线稀疏化方法建立流量的一种常态模型,提出了一种基于支持向量回归的多元在线异常检测算法MOADA-SVR。理论分析和因特网实测数据分析表明,该算法与主成分分析算法相比具有类似的检测效果,但具有更低的存储和计算开销。     

基于入侵特征选择的网络异常数据检测模型

为了提高网络运动可靠性和安全性,针对传统的防火墙检测方法对网络异常数据检测准确性不高的问题,提出一种基于入侵特征选择的网络异常数据检测模型。对网络传输信道中的数据采用关联维求解方法进行特征挖掘提取,并对提取的关联维信息特征进行优选实现入侵信息识别和分类,结合模糊C均值聚类算法实现对网络异常数据的有效挖掘和检测。仿真结果表明,该检测模型能提高对网络异常数据和入侵信息的有效识别和检测能力。     

一种改进的基于残差网络的异常初至检测方法

针对地震资料处理过程中产生的异常初至,为了寻找一种自动检测方法以节约人工成本,结合一系列数据处理,利用改进的残差网络,提出一种基于图像多标签分类思路的自动异常初至检测方法.通过自建地震图像数据集FB779,在该数据集上进行训练和测试.最终测试结果表明,所提方法在检测精确率和召回率上分别提升至87.27％和84.17％,...     

基于大数据技术的网络异常检测方法

在当今的经济和科技环境下,网络运用已经成为人们生活的一部分。随着网络技术的逐渐升级,人们的生活与网络之间的联系也越来越紧密,但是随之而来的还有一系列网络故障问题,而这也是网络公司必须面对的问题。众所周知,网络故障会给人们的工作和生活带来一定的影响,而为了给网络用户带来更好的使用体验,就要及时处理网络异常并采取有效的行动,以减少网络故障的发生。大数据分析技术是解决网络故障的有效工具之一,其能够很好地帮助相关人员进行故障诊断,因而本文对大数据背景之下网络异常的检测方法进行了探索,希望能够更好地促进网络技术的长远发展。     

NMF-NAD：基于NMF的全网络流量异常检测方法

提出了一种基于非负矩阵分解(NMF,non-negative matrix factorization)的多元异常检测算法(NMF-NAD,NMF based network-wide traffic anomalies detection),该算法首先采用非负子空间方法对流量矩阵进行重构,然后基于重构误差利用Shewhart控制图进行异常检测。模拟实验与因特网实测数据的分析表明,NMF-NAD算法有较高的检测精度和较低的处理复杂度。     

一种面向流量异常检测的概率流抽样方法

针对基于概率抽样的网络流量异常检测数据集构造过程中无法同时兼顾大、小流抽样需求及未区分flash crowd与流量攻击等问题,该文提出一种面向流量异常检测的概率流抽样方法。在对数据流按目的、源IP地址进行分类的基础上,将每类数据流抽样率定义为其目的、源IP地址抽样率的最大值,并在抽样过程中对数据流抽样数目向上取整,保证每类数据流至少被抽样一次,使抽样得到的数据集可有效反映原始流量在大、小流和源、目的IP地址方面的分布性。采用源IP地址熵刻画异常流源IP地址分散度,并基于源IP地址熵阈值设计攻击流抽样算法,降低由flash crowd引起的非攻击异常流抽样概率。仿真结果表明,该方法能同时满足大、小流抽样需求,具有较强的异常流抽样能力,可抽样到所有与异常流相关的可疑源、目的IP地址,并能在抽样过程中过滤非攻击异常流。     

一种新的基于Markov链模型的用户行为异常检测方法

提出一种新的基于Markov链模型的用户行为异常检测方法。该方法利用一阶齐次Markov链对网络系统中合法用户的正常行为进行建模,将Markov链的状态同用户执行的shell命令序列联系在一起,并引入一个附加状态;在检测阶段,基于状态序列的出现概率对用户当前行为的异常程度进行分析,并根据Markov链状态的实际含义和用户行为的特点, 采用了较为特殊的判决准则。与Lane T提出的基于隐Markov模型的检测方法相比,该方法的计算复杂度较低,更适用于在线检测。而同基于实例学习的检测方法相比,该方法则在检测准确率方面具有较大优势。文中提出的方法已在实际入侵检测系统中得到应用,并表现出良好的检测性能。     

一种基于离散时间段的测运控数据异常检测方法

卫星遥测数据是了解卫星工作状态、 进行卫星故障诊断的重要依据.针对卫星在轨运行时间长、 遥测参数类型多、数据量大和数据变化缓慢等特点,提出了一种基于离散时间段的卫星测运控数据异常检测方法,解决了因数据量大导致检测处理困难、耗时长的问题.验证结果表明,该方法能够基于小样本数据量快速、有效地分析卫星长期运行中遥测参数的变化...     

时间序列不确定数据流中异常数据检测方法

结合小波分析和不确定聚类方法的优点,提出一种基时间序列不确定数据流的异常数据检测方法,该方法主要考虑数据流中元组的不确定性,同时平衡检测的计算代价与检测精度。仿真实验证明,该检测方法能够良好地适应数据流的不确定性。在一定条件下可获得相当好的检测效果。     

数据流异常检测及其在僵尸网络检测中的应用

目前大多关于P2P僵尸网络检测的研究都采用传统的逆向工程方法,这些方法检测都比较准确,但其工程实施难度太大,效率较低,且对于变种病毒,该类检测方法无能为力。本文尝试通过数据流异常检测技术的应用,找到一种适合数据流应用场景的异常检测方法,并尝试将其应用于P2P僵尸病毒的检测当中,通过监控网络数据流,能够有效地发现P2P僵尸病毒在传播过程当中的特殊行为,并通过捕获这些行为来实现发现僵尸主机的目的。     

基于隐马尔可夫模型的用户行为异常检测新方法

提出一种基于隐马尔可夫模型的用户行为异常检测方法,主要用于以shell命令为审计数据的主机型入侵检测系统。与Lane T提出的检测方法相比,所提出的方法改进了对用户行为模式和行为轮廓的表示方式,在HMM的训练中采用了运算量较小的序列匹配方法,并基于状态序列出现概率对被监测用户的行为进行判决。实验表明,此方法具有很高的检测准确度和较强的可操作性。     

高速实时的一种邮件蠕虫异常检测模型

提出了一种基于带泄漏的积分触发测量方法的电子邮件蠕虫异常检测方法,用来检测邮件蠕虫在传播过程中的流量异常。根据邮件流量所表现出的明显的日周期特性和周周期特性,首先计算出当前邮件流量和历史邮件流量的最小Hellinger距离,通过带泄漏的积分触发方法把邮件流量的Hellinger积累起来,从而把邮件蠕虫在传播过程中没有明显流量特征的慢速酝酿阶段的异常特征进行积累,达到在其进入快速传播期之前检测出异常的目的。检测过程只需要检查邮件的流量信息,因而适合大规模高速网络的异常检测。     

基于事件字典的行人异常事件检测

近年来极端行为和暴恐行为严重威胁着公共安全,行人异常事件检测已成为研究的热点问题.为了克服传统方法中对异常事件定义的模糊性、对行人异常行为特征的描述不够准确的缺点,提出一种基于事件字典的行人异常事件检测方法.本文方法的创新之处是构造了一种行人特征描述子,能够有效描述行人的身体各部分的变化规律,利用行人特征描述子提取样本的特征进行聚类分析,构建事件字典,预测事件的类别.在标准数据集BEHAVE Interactions Test Case Scenarios、UMN、UCSD上与LDA(Latent Dirichlet Allocation,潜在狄利克雷分布)和双稀疏字典的对比实验表明,该方法对于异常行为的检测准确有较高的检测准确率.     

一种航天器异常检测案例关联方法

针对航天器异常检测系统中故障案例作用发挥不明显的问题,基于异常检测规则知识和故障案例,设计了一种关键词提取模式和全新的关联引擎,在航天器异常检测结果和故障案例之间建立了一种快速的关联机制,充分发挥了航天器异常检测系统中关联案例在故障识别、故障定位方面的作用。应用实例表明,该方法具有关联故障案例全面、数据处理运行高效的特点。     

基于光度数据的多域光网络异常信息检测方法研究

当前大部分异常信息检测方法均存在依赖异常信息特征,从被检测目标发现攻击行为的弊端,不适于多域光网络异常信息检测,为此,提出一种基于光度数据的多域光网络异常信息检测方法.设计了光度数据采集平台结构,通过单片双通道高速流水线式A/D转换器完成对光度数据的实时采集.针对采集的光度数据,利用时间间隔步隆过滤器,通过二维步隆过滤...     

Simultaneous image classification and annotation based on probabilistic model

The paper proposes a novel probabilistic generative model for simultaneous image classification and annotation.The model considers the fact that the category information can provide valuable information for image annotation.Once the category of an image is ascertained,the scope of annotation words can be narrowed,and the probability of generating irrelevant annotation words can be reduced.To this end,the idea that annotates images according to class is introduced in the model.Using variational methods,the approximate inference and parameters estimation algorithms of the model are derived,and efficient approximations for classifying and annotating new images are also given.The power of our model is demonstrated on two real world datasets:a 1 600-images LabelMe dataset and a 1 791-images UIUC-Sport dataset.The experiment results show that the classification performance is on par with several state-of-the-art classification models,while the annotation performance is better than that of several state-of-the-art annotation models.