基于支持向量数据描述的系统调用轨迹异常检测

通过监控主机系统调用的执行,可以在很大程度上发现入侵行为。建立支持向量数据描述(SVDD)的异常检测模型,通过对正常状态应用程序系统调用轨迹进行训练,使偏离正常模式的活动都被认为是潜在的入侵。通过对IE进程系统调用轨迹的优化处理,只利用少量的训练样本,试验获得了对异常样本99%的检测率,而虚警率不到1%。     

A differentiated one-class classification method with applications to intrusion detection

Intrusion detection has become an indispensable tool to keep information systems safe and reliable. Most existing anomaly intrusion detection techniques treat all types of attacks as equally important without any differentiation of the risk they pose to the information system. Although detection of all intrusions is important, certain types of attacks are more harmful than others and their detection is critical to protection of the system. This paper proposes a new one-class classification method with differentiated anomalies to enhance intrusion detection performance for harmful attacks. We also propose new extracted features for host-based intrusion detection based on three viewpoints of system activity such as dimension, structure, and contents. Experiments with simulated dataset and the DARPA 1998 BSM dataset show that our differentiated intrusion detection method performs better than existing techniques in detecting specific type of attacks. The proposed method would benefit even other applications in anomaly detection area beyond intrusion detection.     

基于支持向量数据描述的异常检测方法

提出了一种基于支持向量数据描述算法的异常检测方法。该方法将入侵检测看作是一种单值分类问题,建立正常行为的支持向量描述模型,通过该模型可以检测各种已知和未知的攻击行为。该方法是一种无监督的异常检测方法,能够在包含噪声的数据集进行模型训练,降低了训练集的要求。在KDD CUP99标准入侵检测数据集上进行实验,并与无监督聚类异常检测实验结果相比较,证实该方法能够获得较高检测率和较低误警率。     

基于加权模糊支持向量描述的旋转机械故障分类

基于支持向量数据描述良好的分类性能,针对旋转机械故障诊断中故障样本获取的特点,提出了基于正负类样本的加权模糊支持向量数据描述多类分类器,不仅考虑了正类样本,而且也充分考虑了负类样本对分类结果的影响.利用模拟故障样本对系统进行了实验,结果表明提出的方法在系统中具有良好的分类能力.     

基于类心距离的模糊支持向量数据描述

针对传统的支持向量数据描述模型忽略了样本分布的重要性,提出了基于类心距离的模糊支持向量数据描述算法,并将其应用在UCI机器学习数据库的二分类和多分类数据集中。该算法利用样本到两类中心距离的比值赋予样本权重,增大贡献度大的样本的权重,降低贡献度小的样本的权重,突出样本之间的差异性,从而提高了算法的分类效果。实验表明,该算法具有比传统支持向量数据描述更好的学习能力和分类效果。     

面向新异检测的启发式约减支持向量数据描述

针对支持向量数据描述(SVDD)单类分类方法运算复杂度高的缺点,提出一种启发式约减支持向量数据描述(HR-SVDD)方法。以启发的方式从原有训练集中筛选出部分样本构成约减训练集,对约减训练集进行二次规划解算,得到支持向量和决策边界。通过不同宽度系数高斯核SVDD特征的讨论,证明了HR-SVDD的有效性。人工数据集和真实数据集上的实验结果表明, HR-SVDD分类精度与传统支持向量数据描述相当,但具有更快的运算速度和更小的内存占用。     

基于相关熵和距离方差的支持向量数据描述选择性集成

提出基于信息理论学习中相关熵和距离方差的支持向量数据描述选择性集成。利用相关熵代替均方误差来度量集成的紧致性,构造出更为紧致的分类边界;利用距离方差集成度量集成中基分类器间的差异性,以提高集成模型的差异性;在目标函数中增加基于₁范数的正则化项,实现选择性集成。此外,利用半二次优化技术对所提选择性集成模型进行求解。与单个支持向量数据描述、基于Bagging的支持向量数据描述集成以及基于AdaBoost的支持向量数据描述集成相比,所提方法取得了更优的分类性能。     

基于支持向量数据描述的高速公路事件检测

提出了一种基于支持向量数据描述（SVDD）算法的快速事件检测方法。该算法把有事件样本和无事件样本分别用全体样本优化的SVDD算法进行优化。但每次只对那些对超球体边界有影响的数据进行优化。该方法既保留了全体样本优化SVDD算法的优点,又达到加快训练速度的目的。采用I～880数据库中实际交通的历史数据进行实验,并与全体样本优化SVDD实验结果相比较。实验证明该分类方法能够获得较高检测率和较低的误报率,且需要较短的训练时间,表明了所给方法的有效性和可行性。     

动态SVDD算法在数据流模式变化检测中的应用

针对现有数据流模式变化检测算法存在对离群点和噪声敏感等缺点,提出一种基于动态SVDD的数据流模式变化鲁棒检测算法。该算法不需要先验知识,通过建立子序列映像的最小超球体模型以排除离群点及减小噪声的影响。仿真实验验证了算法的有效性。     

属性约减与分类器融合实时入侵检测研究

针对入侵检测系统存在的对入侵事件高漏报率和误报率问题,提出利用粗糙集理论对数据集中的实值属性进行属性约简,然后把得到的特征向量送入分类器融合的Robust Online-SVM分类器,分类器对这些数字向量进行分类,处理结果送检测模块。检测模块按照报警关联分析策略,对报警序列进行基于规则关联分析。通过实验和比较发现,该融合算法可以实现在线训练,而且使用更少的支持向量,训练时间也大为缩短,在噪声数据存在的情况下检测正确率和虚警率比未改进前有一定程度的提升。