基于粗糙集值约简改进算法的进程异常检测

提出一种新的基于粗糙集值约简和系统调用的进程异常检测方法。为了提高约简效率,改进了基于差别矩阵的粗糙集值约简算法。另外创建了一种新的检测模型,能在判断进程是否异常的基础上进一步识别异常种类。它以系统调用短序列中k个位置作为条件属性集,以进程类型作为决策属性,建立决策表;然后使用改进的值约简算法提取规则集,并对规则匹配的结果作统计;最后判断进程类别。实验表明该方法能高效准确地识别异常进程的种类。     

基于贝叶斯树的主机异常检测

主要研究Windows平台下异常检测方法,提出了一种利用Windows Native API调用序列和基于贝叶斯树算法的主机服务进程规则和对应概率分布的生成算法,并建立正常模型.根据长为N-1的Windows Native APIs调用序列预测第N个调用的概率分布,对生成的概率序列用U检验方法作为异常检测算法.实验结果...     

属性约简在基于归纳学习的入侵检测中的应用

使用基于粗糙集（Rough Set）约简并和抽样结合来约简KDD99的海量数据中的属性，降低属性之间的相关性。使用具有广泛数学基础的粗糙集约简海量网络侦听数据的属性，产生具有较好的独立性入侵检测属性集，学习的时间效率也得到提高。通过具有相通理论基础的决策树印证约简的有效性和检测的时间效率并生成检测规则。     

基于LDA模型的主机异常检测方法

基于系统调用序列的入侵检测是分析主机系统调用数据进而发现入侵的一种安全检测技术,其关键技术是如何能够更准确地抽取系统调用序列的特征,并进行分类。为此,引进LDA(Latent Dirichlet Allocation)文本挖掘模型构建新的入侵检测分类算法。该方法将系统调用短序列视为word,利用LDA模型提取进程系统调用序列的主题特征,并结合系统调用频率特征,运用kNN(k-Nearest Neighbor)分类算法进行异常检测。针对DAPRA数据集的实验结果表明,该方法提高了入侵检测的准确度,降低了误报率。     

基于粗集理论与神经网络技术规则提取的研究

为了从大量数据中获取有用的知识,提出了基于粗集与神经网络技术的数据挖掘方法。首先利用粗集理论消除冗余的属性,得到数据集的一些规则,然后利用这些规则构造神经网络,利用神经网络技术完善粗糙规则。文章就这一技术的研究方法作了综述,并提出了改进的粗集约简方法.     

A HOST ANOMALY DETECTION METHOD BASED ON LDA MODEL

基于系统调用序列的入侵检测是分析主机系统调用数据进而发现入侵的一种安全检测技术,其关键技术是如何能够更准确地抽取系统调用序列的特征,并进行分类.为此,引进LDA( Latent Dirichlet Allocation )文本挖掘模型构建新的入侵检测分类算法.该方法将系统调用短序列视为word,利用LDA模型提取进程系统调用序列的主题特征,并结合系统调用频率特征,运用kNN(k-Nearest Neighbor)分类算法进行异常检测.针对DAPRA数据集的实验结果表明,该方法提高了入侵检测的准确度,降低了误报率.     

基于粗集理论与神经网络技术规则提取的研究

为了从大量数据中获取有用的知识,提出了基于粗集与神经网络技术的数据挖掘方法.首先利用粗集理论消除冗余的属性,得到数据集的一些规则,然后利用这些规则构造神经网络,利用神经网络技术完善粗糙规则.文章就这一技术的研究方法作了综述,并提出了改进的粗集约简方法.     

基于“桶”分类的快速属性约简算法

粗糙集中的属性约简算法如PawlakZ约简算法及Skowron算法均可有效找到约简的属性集,但都要花费巨大的时间、空间,且对于大数据集约简几乎不可能。针对以上经典算法的不足,文章提出一种快速属性约简算法。算法先将所有样本按决策属性分类,且用不同颜色的桶来装样本。其次,通过深度搜索结合广度搜索的策略,利用几个条件属性集的交集划分得到数据集的约简。在运算过程中,不断地删除交集中的数据,可有效提高效率。实验表明,该算法切实可行,可快速地找到属性约简集,并结合实例,说明了算法的可行性。     

改进的属性约简算法及其在肝癌微血管侵犯预测中的应用

基于邻域粗糙集的属性约简算法在进行属性约简时只考虑单一属性对决策属性的影响,未能考虑各属性间的相关性,针对这个问题,提出了一种基于卡方检验的邻域粗糙集属性约简算法（ChiS-NRS）。首先,利用卡方检验计算相关性,在筛选重要属性时考虑相关属性之间的影响,在降低时间复杂度的同时提高了分类准确率;然后,将改进的算法与梯度提升决策树（GBDT）算法组合以建立分类模型,并在UCI数据集上对模型进行验证;最后,将该模型应用于预测肝癌微血管侵犯的发生。实验结果表明,与未约简、邻域粗糙集约简等几种约简算法相比,改进算法在一些UCI数据集上的分类准确率最高;在肝癌微血管侵犯预测中,与卷积神经网络（CNN）、支持向量机（SVM）、随机森林（RF）等预测模型相比,提出的模型在测试集上的预测准确率达到了88.13%,其灵敏度、特异度和受试者操作曲线（ROC）的曲线下面积（AUC）分别为87.10%、89.29%和0.90,各指标都达到了最好。因此,所提模型能更好地预测肝癌微血管侵犯的发生,能辅助医生进行更精确的诊断。     

基于粗糙集-神经网络的入侵检测方法研究

提出了一种融合粗糙集与神经网络的入侵检测方法。首先用粗糙集约简属性、简化神经网络设计,然后通过神经网络进行入侵检测。实验结果表明该方法优于其他同类方法。     

一种基于粗糙集属性约简的支持向量异常入侵检测方法

实现了一种粗糙集属性约简和支持向量机分类相结合的异常入侵检测方法。针对网络连接记录特征属性高维的特点,采用粗糙集属性约简的方法压缩数据空间,然后采用υ-SVM两分类方法处理约简和正规化后的数据。基于DARPA1998数据源的实验表明,与采用全部属性的υ-SVM两分类方法相比,该方法具有与之相当的分类精度,但有效地降低了检测时间,减少了存储空间。     

基于粗糙集理论的入侵检测新方法

提出了一种高效低负荷的异常检测方法，用于监控进程的非正常行为，该方法借助于粗糙集理论从进程正常运行情况下产生的系统调用序列中提取出一个简单的预测规则模型，能有效地检测了进程的异常运行状态，同其它方法相比，用粗糙集建立正常模型要求的训练数据获取简单，而且得到的模型更适用于在线检测，实验结果表明，该方法的检测效果优于同类的其它方法。     

A rough set theory based method for anomaly intrusion detection in computer network systems

Abstract: Intrusion detection is important in the defense‐in‐depth network security framework. This paper presents an effective method for anomaly intrusion detection with low overhead and high efficiency. The method is based on rough set theory to extract a set of detection rules with a minimal size as the normal behavior model from the system call sequences generated during the normal execution of a process. It is capable of detecting the abnormal operating status of a process and thus reporting a possible intrusion. Compared with other methods, the method requires a smaller size of training data set and less effort to collect training data and is more suitable for real‐time detection. Empirical results show that the method is promising in terms of detection accuracy, required training data set and efficiency.     

基于非平衡数据下不完备混合型信息系统的属性约简

完备混合型信息系统下的粗糙集模型是传统粗糙集模型的重要扩展,目前关于非平衡数据属性约简的研究仅限于完备混合型的粗糙集模型。针对这一问题,提出一种基于不完备混合型信息系统的非平衡数据属性约简。本文首先将传统的粗糙集模型进行推广,提出不完备混合型信息系统下的粗糙集模型;然后针对数据的非平衡性,根据上下边界区域和类分布的不均匀性定义了一种新的属性重要度;在基于区别矩阵的基础上设计出一种非平衡数据的属性约简算法。实验分析表明该算法针对不完备非平衡数据的属性约简具有一定的有效性和优越性。     

基于最小集合覆盖的属性约简算法

在粗糙集理论的各种应用中,属性约简算法具有重要的意义,因而对属性约简算法的研究一直是粗糙集理论研究中的重点问题之一。在对属性约简算法充分研究的基础上提出一种基于最小覆盖集的粗糙集属性约简算法,即通过构造知识系统的一种改进的相关矩阵将属性约简简化为最小覆盖问题。将该算法与文献[7]中的算法进行实验比较并对结果进行分析,实验结果表明,当随着数据量增大时该算法具有更小的时间复杂度。     

基于改进二元萤火虫群优化算法和邻域粗糙集的属性约简方法

针对数据降维和去冗问题,提出基于改进的二元萤火虫群优化算法和邻域粗糙集的属性约简方法.首先,运用反向学习协同初始化种群,并基于Sigmoid变化函数的映射进行二进制编码,引入Lévy飞行位置更新策略,提出改进二元萤火虫群优化算法.再以邻域粗糙集作为评价准则,以改进算法作为搜索策略,进行属性约简.最后,通过在标准UCI数据集上的实验验证属性约简方法的有效性,并验证文中算法具有较优的收敛速度和精度.     

基于免疫原理与粗糙集理论的入侵检测方法

针对目前基于进程系统调用的入侵检测方法中存在的问题,提出了一种基于免疫原理与粗糙集理论的入侵检测方法。该方法在对系统调用序列中的循环序列进行置换的基础上,借助于粗糙集理论,提取出一个简单的最小预测规则模型;同时融合免疫原理的有关机制,在检测模型中加入对已知入侵的快速检测引擎。同其他方法相比,该方法不需要完备的进程系统调用数据,而且得到的规则简单,更适用于实时检测。实验结果表明,该方法的检测效果优于同类的其他方法。     

基于粗糙集和遗传约简算法的入侵检测方法

采用改进的贪心算法和遗传算法结合的混合遗传算法进行属性约简,并利用值约简后生成的入侵检测规则,提出一种基于粗糙集理论和遗传约简算法的入侵检测方法。基于KDDCUP99数据集的实验表明该方法取得了良好的入侵检测效果,并且改进的混合遗传算法生成约简的速度更快。     

基于系统调用的异常入侵检测

监视程序行为是近年基于主机的异常入侵检测的研究热点,构建程序行为模型是进行异常检测的关键。该文根据构建程序行为模型时,从系统调用抽取的信息和异常检测中使用的系统调用序列的粒度以及异常检测器记录的信息,分析和比较了基于程序行为的异常检测技术,并对该项研究作了展望。