一种基于聚类的异常流量检测算法

通过分析常见异常流量的内在特征,在Chameleon算法的基础上,设计了一种基于聚类的异常流量检测算法。通过对DARPA1998数据集的实验结果表明,该算法能够在没有先验知识的前提下,对影响正常网络性能的异常流量有较高的检测准确率。     

一种无监督异常入侵检测的簇异常度量方法

文中主要研究用Pearson相关系数计算记录与簇、簇与簇间符号属性距离的方法;在这个方法中,提出了一种新的簇异常度量—近似平均距离AAD,AAD综合了一个簇的局部异常度,即簇的内部点密度,和该簇在整个簇结构中的全局异常度,即该簇与其它簇的距离;提出了依据AAD对聚类后的簇分类,并以已分类簇结构作为检测模型进行无监督异常检测的方法,通过异常检测能及时地对每个记录分类,从而能及时发现入侵行为,减小由入侵造成的损失;最后用KDD 99评估数据集所作的实验表明,用AAD作为簇的分类度量的方法比其它相关研究具有更高的检测率和更低的误警率。     

一种无监督网络入侵检测算法

多数入侵检测方法对训练数据集存在依赖,带标识的训练数据集在现实环境中难以被获取,无法保证所得标签数据能覆盖所有可能出现的攻击。该文提出基于无人监督聚类和混沌模拟退火算法的网络入侵检测方法,混沌模拟退火算法实现对聚类结果的优化,求得聚类的全局最优解,提高了数据分类的准确性和检测效率。在KDD CUP 1999上的仿真实验结果表明,该算法可实现预期效果。     

基于混合属性处理的无监督异常检测

针对目前入侵检测系统应用时处理类别型数据能力欠缺、误报率高的问题,提出一种改进的无监督异常检测算法。该算法基于k-原型聚类思想对包含混合属性数据聚类,在此基础上运用ID3算法进行分类,有效地解决了k-原型算法的局部最优问题以及对初始聚类数的选取有较强依赖性的问题。实验表明,该算法与现有方法相比具有较好的检测性能并能有效检测出未知入侵行为。     

异常检测算法分析

介绍了异常检测的算法，如基于统计的异常检测算法，基于深度的检测算法等，并重点分析了近些年来的一些新发展，如基于距离的异常检测，基于密度的异常检测以及面向高维数据的异常检测，并优缺点。     

一种两阶段异常检测方法

提出了一种新的距离和对象异常因子的定义，在此基础上提出了一种两阶段异常检测方法TOD，第一阶段利用一种新的聚类算法对数据进行聚类，第二阶段利用对象的异常因子检测异常．TOD的时间复杂度与数据集大小成线性关系，与属性个数成近似线性关系，算法具有好的扩展性，适合于大规模数据集．理论分析和实验结果表明TOD具有稳健性和实用性．     

一种高效异常检测方法

借鉴万有引力思想提出了一种差异性度量方法和度量类偏离程度的方法,以此为基础提出了一种基于聚类的异常检测方法。该异常检测方法关于数据集大小和属性个数具有近似线性时间复杂度,适合于大规模数据集。理论分析以及在真实数据集上的实验结果表明,该方法是有效的,稳健并且实用。     

遗传聚类算法在基于网络异常入侵检测中的应用

传统的入侵检测方法在面对多变的网络结构时缺乏可扩展性,而且在未知的攻击类型面前也缺乏适应性。因此,提出一种新的检测方法——基于遗传聚类的网络异常检测（NAIDGC）算法。对聚类中心采用二进制编码,把每一个点到它们各自的聚类中心的欧几里得距离的总和作为相似度量,通过遗传算法寻找聚类中心。计算机仿真结果显示了此算法对入侵检测是有效的。     

基于无监督聚类混合遗传算法的入侵检测方法

在利用聚类进行入侵检测的方法中,有效地进行聚类是关键。为了对未标识数据进行聚类,提出了一种新的无监督入侵检测方法。该方法克服了聚类算法中对数据输入顺序敏感和需要预设聚类数目的缺点,减少了所需参数个数。通过初始聚类簇的建立和混合遗传算法对初始聚类进行优化组合两阶段的方法来实现聚类,克服了初始聚类对结果的影响,提高了聚类质量,并进行检测入侵。实验结果表明该方法有较好的检测率和误检率。     

非监督学习算法应用于异常检测的效果评估

目前的入侵检测系统普遍使用基于特征库的方法进行检测,这种方法需要已知类别标签的数据集来进行训练,而得到这种数据集的代价一般都很大。因此,我们对“非监督学习”算法应用于异常检测的检测效果进行了评估,我们共评估了三种算法-聚类算法、K-近邻算法和一类SVM算法,其结果令人满意。     

基于Q-学习算法的异常检测模型

针对网络入侵的不确定性导致异常检测系统误报率较高的不足,提出一种基于Q-学习算法的异常检测模型(QLADM)。该模型把Q-学习、行为意图跟踪和入侵预测结合起来,可获得未知入侵行为的检测和响应。通过感知环境状况、选择适当行为并从环境中获得不确定奖赏值,有效地判断动态系统的入侵行为和降低误报率。给出了该模型框架和各模块的功能描述,经实验验证该模型是有效的。     

基于改进K均值聚类的异常检测算法

通过改进传统K-means算法的初始聚类中心随机选取过程,提出了一种基于改进K均值聚类的异常检测算法。在选择初始聚类中心时,首先计算所有数据点的紧密性,排除离群点区域,在数据紧密的地方均匀选择K个初始中心,避免了随机性选择容易导致局部最优的缺陷。通过优化选取过程,使得算法在迭代前更加接近真实的聚类类簇中心,减少了迭代次数,提高了聚类质量和异常检测率。实验表明,改进算法在聚类性能和异常检测方面都明显优于原算法。     

基于NIS的异常检测算法

该文根据生物免疫系统的免疫识别机理提出了一种基于NIS的异常检测算法来识别计算机系统运行的性能异常,将健康的系统状态作为“自我”,不健康的系统状态作为“非我”,多次应用阴性选择充当过滤器,并以遗传算法进化检测子,最后仿真实验验证了算法具备较好的检测性能。     

一种基于系统调用序列的异常检测模型

在利用相对差异度和差异密度表征实时系统调用序列与正常序列偏差的基础上,提出了一种新的检测实时序列异常与否的方法。试验表明该方法简单易操作,并能保证较高的检测率。     

应用层异常检测方法研究

目前绝大部分异常检测方法只利用数据包的头部信息来检测网络攻击,即仅仅从网络层、传输层来分析网络的异常情况.而研究表明现在的网络攻击主要发生在应用层,因此从应用层来分析网络异常的研究就显得十分重要.首先介绍了入侵检测和异常检测的研究现状,突出强调了应用层异常检测的重要性,接着详细介绍了目前几种主要的应用层异常检测方法,最后讨论了应用层异常检测所面临的挑战.     

基于混合式聚类算法的离群点挖掘在异常检测中的应用研究

为了提高异常检测系统的检测率,降低误警率,解决现有异常检测所存在的问题,将离群点挖掘技术应用到异常检测中,提出了一种基于混合式聚类算法的异常检测方法(NADHC)。该方法将基于距离的聚类算法与基于密度的聚类算法相结合从而形成新的混合聚类算法,通过k-中心点算法找出簇中心,进而去除隐蔽性较高的少量攻击行为样本,再将重复增加样本的方法结合基于密度的聚类算法计算出异常度,从而判断出异常行为。最后在KDD CUP 99数据集上进行实验仿真,验证了所提算法的可行性和有效性。     

基于主成分分析的无监督异常检测

入侵检测系统在训练过程中需要大量有标识的监督数据进行学习,不利于其应用和推广．为了解决该问题,提出了一种基于主成分分析的无监督异常检测方法,在最小均方误差原则下学习样本的主要特征,经过压缩和还原的互逆过程后能最大限度地复制样本信息,从而根据均方误差的差异检测出异常信息．构建的仿真系统经过实验证明,基于主成分分析的无监督异常检测方法能够在无需专家前期参与的情况下检测出入侵,实验结果验证了其有效性．     

基于K-MEANS聚类的分支定界算法在网络异常检测中的应用

网络异常检测技术是入侵检测领域研究的热点之一。在异常检测中,针对其存在的对训练集中关键数据的 选取不准确、选取过程耗时较长、检测的误报率过高等问题,结合经典的K-MEANS算法和分支定界算法,建立起一 种网络异常检测模型,以有效地提高在大量训练集中选取关键数据的准确率,同时降低数据选取的时耗。通过大量基 于著名的KDD Cup 1999数据集的实验,表明此模型能够达到较高的检则准确性,并能有效地控制检测错误报警的发 生。     

基于危险模式的异常检测模型

阐述了危险模式的概况及运行机制,提出了一种基于危险模式的异常检测模型以及相关的算法。该模型通过分析实时系统调用序列中的危险信号,进而判断是否为入侵事件。实验结果表明,该方法具有较高的有效性和检测率。     

异常检测模式判定策略的研究

针对异常检测模式判定问题,在对现有异常检测模式性能评估技术分析的基础上设计出一种异常检测模式性能评估方法,并利用该方法给出一种基于理想异常检测临界值的异常检测模式判定策略。