基于遗传算法的集成神经网络入侵检测系统

介绍集成神经网络的基本概念及其算法理论,提出基于遗传算法的集成神经网络入侵检测方法,并以KDDCUP99作为数据源给出应用该方法进行入侵检测的性能.通过与单个神经网络的比较,说明基于遗传算法的集成神经网络检测方法能克服单个分类算法的缺陷,提高入侵检测系统的检测率.     

基于随机子空间法的多Agent分布式入侵检测

提出了一种基于随机子空间的多Agent分布式入侵检测方法。该方法把支持向量机作为检测Agent的核心检测算法,通过引入随机子空间生成具有知识互补特性的多个Agent,将其分布于网络的各个检测节点,用集成的思想把各Agent的结论进行合成。采用这种多Agent的分布式检测可以有效地提高系统的鲁棒性。实验表明这种方法的检测精度高于单个SVM和Bagging方法。     

特征和分类器联合优化的网络入侵检测算法

为了提高网络入侵检测正确率,利用特征选择和检测分类器参数间的相互联系,提出一种特征和分类器联合优化的网络入侵检测算法。联合优化方法将网络状态特征和分类器参数作为遗传算法的个体,网络入侵检测正确率作为个体适应度函数,通过选择、交叉和变异等遗传操作获得最优特征和分类器参数,利用KDD 1999数据集对联合优化算法进行验证性测试。实验结果表明,相对于其他入侵检测算法,联合优化算法既解决了特征与分类器不匹配带来的入检测检测能力下降,又提高了网络入侵检测正确率和效率,为网络入侵检测提供了一种新的研究思路。     

基于蜂群算法的网络入侵检测模型优化

基于网络入侵检测的蜂群算法优化模式是一个用于网络入侵检测开发的专用编程接口．基于该编程接口,在Linux平台上设计和实现了一个复杂的入侵检测系统．基于网络入侵检测的蜂群算法与差分进化算法（DE）混合,采取数据信息处理模式,可以按照双群结构的要求,进行数据信息独立分析,从而能够产生数据信息交换功能．通过分布式技术对蜂群进行空间分析,通过空间信息搜索工具,保证学习策略功能能够完成．从仿真实验看提高种群解的质量．设计了一种简单入侵检测模式的描述语言,对入侵检测的特征数据库进行优化,对网络异常行为进行入侵检测．     

Training genetic programming on half a million patterns: an example from anomaly detection

The hierarchical RSS-DSS algorithm is introduced for dynamically filtering large datasets based on the concepts of training pattern age and difficulty, while utilizing a data structure to facilitate the efficient use of memory hierarchies. Such a scheme provides the basis for training genetic programming (GP) on a data set of half a million patterns in 15 min. The method is generic, thus, not specific to a particular GP structure, computing platform, or application context. The method is demonstrated on the real-world KDD-99 intrusion detection data set, resulting in solutions competitive with those identified in the original KDD-99 competition, while only using a fraction of the original features. Parameters of the RSS-DSS algorithm are demonstrated to be effective over a wide range of values. An analysis of different cost functions indicates that hierarchical fitness functions provide the most effective solutions.     

融合多智能技术的网络入侵检测模型

网络入侵检测的关键问题是要使得检测准确率最大化,误警率最小化。为了解决这个问题,提出了集成多种智能学习范型的入侵检测模型。该模型融合了线性遗传规划,自适应神经模糊推理系统和随机森林学习算法。在分类前,使用两层的特征选择过程来约简特征,并在分别评估了每种学习算法的性能基础上,给出了融合规则。实验表明:融合多智能技术的入侵检测系统的性能要优于任何一个单一的分类器。     

A weighted intrusion detection model of dynamic selection

In view of the difficulty of existing intrusion detection methods in dealing with new forms, large scale, and high concealment of network intrusion behaviors, this paper presents a weighted intrusion detection model of the dynamic selection (WIDMoDS) based on data features. The aim is to customize intrusion detection models for network intrusion data sets of different types, sizes and structures. First, according to data features, single classifiers are clustered using a hierarchical clustering algorithm based on the classifiers evaluation indicators, and then, the classifiers selection is by means of accuracy of the single classifiers, in addition, the data-classifier applicable indicators (DCAI) and of the classifiers performances are used for calculating the weights of subjective and objective, and then calculating combined weight ranks. Finally, a custom intrusion detection model is generated by the Weight-voting (W-voting) algorithm. Our experiments show that this model can optimize the number of classifiers based on the data sets features, reduce the problem of redundant or insufficient classifiers in the ensemble process. A new network intrusion detection model of combining the classifier characteristics with the dataset attributes can improve the accuracy of intrusion detection.

     

基于BP神经网络的入侵检测算法

为解决传统入侵检测算法存在的高漏报率及高误报率问题,结合BP神经网络算法的优点,提出一种采用遗传算法来优化BP神经网络算法的入侵检测算法。该算法通过遗传算法找到BP神经网络的最适合权值,采用优化的BP神经网络对网络入侵数据进行学习和检测,解决直接使用BP学习造成的训练样本数量过大而难以收敛的问题,同时缩短样本训练时间,提高BP神经网络分类正确率。仿真实验结果表明,与传统网络入侵检测算法相比,该算法的训练样本时间更短,具有较好的识别率和检测率。     

基于遗传规划和集成学习的恶意软件检测

近年来恶意软件不断地发展变化,导致单一检测模型的准确率较低,使用集成学习组合多种模型可以提高检测效果,但集成模型中基学习器的准确性和多样性难以平衡。为此,提出一种基于遗传规划的集成模型生成方法,遗传规划可以将特征处理和构建集成模型两个阶段集成到单个程序树中,解决了传统恶意软件集成检测模型难以平衡个体准确率和多样性的问题。该方法以集成模型的恶意软件检出率作为种群进化依据,保证了基学习器的准确性;在构建集成模型时自动选择特征处理方法、分类算法和优化基学习器的超参数,通过输入属性扰动和算法参数扰动增加基学习器的多样性,根据优胜劣汰的思想进化生成具有高准确性和多样性的最优集成模型。在EMBER数据集上的结果表明,最优集成模型的检测准确率达到了98.88%;进一步的分析表明,该方法生成的模型具有较高的多样性和可解释性。     

基于神经网络集成的入侵检测方法的研究

针对目前入侵检测中存在的误检率高、对新的入侵方法不敏感等问题,提出了一种基于神经网络集成的入侵检测方法。使用负相关法训练神经网络集成,采用tf×idf的系统调用编码方式作为输入。实验结果表明,与单神经网络方法相比,神经网络集成弥补了神经网络方法在检测数据上的不足,在保证较高的入侵检测率的前提下,保持了较低的误检率。     

蜂群算法在网络入侵检测模式中优化研究

基于网络入侵检测的蜂群算法优化模式是一个用于网络入侵检测开发的专用编程接口.基于该编程接口,本文在Linux平台上设计和实现了一个复杂的入侵检测系统.基于网络入侵检测的蜂群算法与差分进化算法（DE）混合,采用双种群结构,两种独立进化,在适当的时候两种群之间进行信息交换,从而在维持种群多样性的同时加速进化过程.为了使初始种群尽可能均匀分布在搜索空间,采用了基于方向学习的策略来初始化种群,从仿真实验看提高种群解的质量.设计了一种简单入侵检测模式的描述语言,对入侵检测的特征数据库进行优化,对网络异常行为进行入侵检测.     

基于GQPSO算法的网络入侵特征选择方法

高维网络数据中的无关属性和冗余属性容易使分类算法的网络入侵检测速度变慢、检测率降低。为此,提出一种基于遗传量子粒子群优化(GQPSO)算法的网络入侵特征选择方法,该方法将遗传算法中的选择变异策略与QPSO有机结合形成GQPSO算法,并以网络数据属性之间的归一化互信息量作为该算法适应度函数,指导其对网络数据的属性约简,实现网络入侵特征子集的优化选择。在KDDCUP1999数据集上进行仿真实验,结果表明,与QPSO算法、PSO算法相比,该方法能更有效地精简网络数据特征,提高分类算法的网络入侵检测速度及检测率。     

基于改进多目标遗传算法的入侵检测集成方法

针对现有入侵检测算法中存在着对不同类型攻击检测的不均衡性以及冗余或无用特征导致的检测模型复杂与检测精度下降的问题,提出了一种基于改进多目标遗传算法的入侵检测集成方法.利用改进的多目标遗传算法生成检测率与误报率均衡优化的最优特征子集的集合,并采用选择性集成方法挑选精确的、具有多样性的基分类器构造集成入侵检测模型.实验结果表明,该算法能够有效地解决入侵检测中存在的特征选择问题,并在保证较高检测精度的基础上,对不同类型的攻击检测具有良好的均衡性.     

Automated discovery of concise predictive rules for intrusion detection

This paper details an essential component of a multi-agent distributed knowledge network system for intrusion detection. We describe a distributed intrusion detection architecture, complete with a data warehouse and mobile and stationary agents for distributed problem-solving to facilitate building, monitoring, and analyzing global, spatio-temporal views of intrusions on large distributed systems. An agent for the intrusion detection system, which uses a machine learning approach to automated discovery of concise rules from system call traces, is described.

We use a feature vector representation to describe the system calls executed by privileged processes. The feature vectors are labeled as good or bad depending on whether or not they were executed during an observed attack. A rule learning algorithm is then used to induce rules that can be used to monitor the system and detect potential intrusions. We study the performance of the rule learning algorithm on this task with and without feature subset selection using a genetic algorithm. Feature subset selection is shown to significantly reduce the number of features used while improving the accuracy of predictions.     

基于神经网络集成的入侵检测研究

提出一种新的基于神经网络集成的入侵检测方法。首先通过有区别地对待不同的训练数据训练神经网络，提高对小类别入侵的检测能力并防止网络训练中的退化现象；然后利用一种新的改进遗传算法优化集成网络的权，提高系统整体性能。理论和实验表明该方法具有较好的检测能力。     

基于聚类融合的入侵检测

随着互联网的飞速发展,网络安全的问题日趋严重,传统的网络安全技术已难以应对日益繁多的网络攻击。因此入侵检测便应运而生了,而且其重要性日益提高。基于聚类分析的入侵检测已经成为其主要研究方向。聚类分析是一种有效的异常入侵检测方法,可用以在网络数据集中区分正常流量和异常流量。但单一的聚类算法很难达到预期的效果,为了提高入侵检测的效果,文中采用聚类融合技术,提出一种基于Co—assocition的模糊聚类融合算法,通过实验检测能显著提高检测率和降低误报率。     

基于遗传优化神经网络的网络入侵特征检测

为了提高网络入侵检测正确率,提出一种遗传优化神经网络的网络入侵特征选择和检测算法。该方法先将网络状态特征和RBF神经网络参数作为遗传算法的个体,把检测正确率作为适应度函数;然后利用遗传算法的选择、交叉和变异等操作对网络状态特征和RBF神经网络参数进行优化,最后利用KDD 1999数据集对算法性能进行测试。测试结果表明：遗传优化神经网络能够快速获得最优网络状态特征和分类器参数,同时提高了网络入侵检测正确率。     

入侵检测技术研究综述

近年来,入侵检测已成为网络安全领域的热点课题。异常检测和误用检测是入侵检测的主要分析方法,前者包括统计分析、模式预测、神经网络、遗传算法、序列匹配与学习、免疫系统、基于规范、数据挖掘、完整性检查和贝叶斯技术,后者包括专家系统、基于模型、状态转换分析、Petri网络、协议分析和决策树,其它还有报警关联分析、可视化和诱骗等分析技术。入侵检测系统的体系结构分为集中式结构和分布式结构,高性能检测技术、分布式构架、系统评估、标准化和安全技术融合是其今后重要的发展方向。     

基于粗糙集的进化神经网络入侵检测系统研究

针对目前实时入侵检测系统所处理的网络数据具有的非线性和高维的特点,提出基于粗糙集理论的进化神经网络入侵检测方法。对网络中截获的数据,利用粗糙集属性约简方法对其属性集进行约简,得到影响分类精度的重要属性。把约简后形成的训练样本进行数值化和归一化处理,作为神经网络的输入数据,再利用遗传算法较强的宏观搜索能力和全局寻优的特点,优化神经网络权值,并在此基础上进行神经网络学习,从而建立入侵检测系统的优化分析模型。实验结果表明,该算法学习速度快,有效提高了入侵检测系统的检测效率。     

分类器动态集成的入侵数据流检测算法

入侵数据流具有快速更新以及概念漂移的特点,静态集成分类器无法及时反映整个空间的数据分布,入侵检测正确率不高,对此,文中提出了一种单分类器动态集成的入侵检测方法,该方法动态分配各分类器权值并用区间估计检查概念漂移并更新分类器。实验结果表明,在处理超平面构造的数据流上,分类效果优于多数投票、加权投票两种静态分类方法,在真实入侵实数据集上有高检测率。