基于Gabor小波变换的机载SAR海面风向反演方法

给出了一种基于Gabor小波变换的机载合成孔径雷达（SAR）海面风向反演的新方法。该方法利用Gabor小波对SAR图像进行二次小波分解,并对小波系数作FFT变换来获取图像谱,其低波数谱连线的垂线方向就是海面风场的风向。利用该方法获得了SAR图像海面风向信息,并与àtrous算法反演结果、浮标测得的海面风向（真值）进行了比较。实验结果表明,采用该方法获得的机载SAR海面风向反演结果与海面浮标实测数据吻合,比àtrous算法有较大改进。     

基于活跃熵的网络异常流量检测方法

提出了一种基于活跃熵的网络异常流量检测新方法,将受监控的目标网络视为一个整体系统,对进出系统的网络数据流所形成的NetFlow记录进行分析,分别统计二者的活跃度并计算它们的活跃熵。在进行活跃熵的计算时,根据流量大小选择不同的尺度来降低误报率,从而能更有效地检测网络流量中存在的异常。在实际网络环境下的模拟实验结果表明,与传统检测方案相比,基于活跃熵的网络异常流量检测方法能够更有效地检测出具有随机特征的网络异常流量。     

基于AR模型的网络异常检测

在网络流量管理中流量异常的一般检测方法是阈值监控，文章提出一种新的异常检测方法，选取适当的SNMP管理信息库变量，建立对相关变量的局部AR（自回归）模型，检测并分析一种服务器故障引起的流量异常，获得该故障的特征向量模型；该检测方法比阈值方法有更强的检测功能，并与传统GLR测试方法进行对比。     

基于卫星图像时间序列连续异常检测方法优缺点

本文作者依据多年工作经验,对卫星图像时间序列连续异常检测方法优缺点进行了研究分析,以便和同行切磋与交流。     

基于HMM的通信流量异常检测

选用HMM在原模型的基础上针对算法下溢、概率转移矩阵过大、计算结果P(O|Ψ)值过小等问题分别进行优化.使用优化后的HMM对训练集进行训练,并根据训练结果,调整部分参数使模型正确率得到提高.实验结果证明HMM在通信流量时间序列异常检测方面效果更好.HMM作为异常检测的基本算法,因其不需要针对每种类型的异常点分别进行优化,从而降低了复杂度,且对未知异常值也有一定的检测能力.     

基于信息熵的网络异常检测及入侵防御系统设计

面对传统检测技术、过滤技术漏报率高而检测不及时的问题,提出了基于信息熵的网络异常检测及入侵防御系统设计.将主机探测器部署在Linux操作系统上,采集相关数据,并传递给分析模块,部署策略管理中心,根据指令作出相应决策;依赖Web服务器,监听TCP端口,并发送反馈信息,结合熵理论推导熵计算公式,分析网络异常情况,计算熵的估...     

基于深度迁移学习的多变量时间序列异常检测

多变量时间序列异常检测是指从相互关联的多个单变量时间序列中识别不正常的事件或行为的过程。现有的多变量时间序列异常检测方法在应用到新领域时,由于样本分布差异导致检测性能下降。而重新训练模型需要大量新领域的标注数据,且不能有效利用源领域的领域知识。针对这一问题,提出了一种基于深度迁移学习的多变量时间序列异常检测框架,该框架设计了编码器-解码器结构来提取多变量时间序列的特征,同时通过最小化嵌入层向量的距离来减小领域分布差异。基于该框架,提出一种基于ConvLSTM和最大均值差异(MMD)的多变量时间序列异常检测迁移学习方法,并利用解码后的重构误差检测多变量时间序列中的异常。最后,在服务器和空气质量两个多变量时间序列数据集上进行了实验。实验结果显示,目标域训练样本较少时,所提方法在迁移后的检测F1值比迁移前分别提升1.8%和4.2%。对比直接在目标域少量样本上训练模型,F1值提升了约9%。实验表明,所提迁移学习框架和方法对于有效提升多变量时间序列异常检测的性能。     

NMF-NAD：基于NMF的全网络流量异常检测方法

提出了一种基于非负矩阵分解(NMF,non-negative matrix factorization)的多元异常检测算法(NMF-NAD,NMF based network-wide traffic anomalies detection),该算法首先采用非负子空间方法对流量矩阵进行重构,然后基于重构误差利用Shewhart控制图进行异常检测。模拟实验与因特网实测数据的分析表明,NMF-NAD算法有较高的检测精度和较低的处理复杂度。     

基于特征向量的两阶段异常检测方法研究

针对水文行业对数据异常模式检测的实时性要求,提出一种基于特征向量的两阶段异常检测方法。先提取时间序列特征形成符号化的特征向量,再使用改进的K-means方法进行聚类,最后用改进的INN对聚类结果进行评估并将聚类后得到的类簇设成相应特征模型。实验表明,该方法实现了对字符串序列的高效准确的聚类,有效检测出异常模式。     

基于时间分段的贝叶斯网络异常检测方法

论文提出一种将时间分段函数与贝叶斯统计模型相结合的方法来进行网络异常检测,该方法通过使用加入时间函数的贝叶斯统计模型来发现和判定网络中的异常,利用贝叶斯理论在解决不确定问题方面的优点与网络环境中流量随时间变化的函数相结合,来发现大量事件之间的联系,对系统行为进行分类,建立起异常入侵检测模型,通过这个模型能够分析判断网络异常行为的发生。通过将该方法加入到西安交大捷普的入侵检测系统中可以发现,该方法能有效提高检测网络异常的检测率。     

利用互信息进行网络异常检测的熵特征优选

首先讨论了传统流量统计分析的缺点,指出熵分析能够反映更多潜在的信息,发现传统流量统计分析不能发现的网络异常.其次,讨论了流量熵和计数熵的不同,指出两者应该配合使用,不能如现有研究中一样片面地使用其中一种.最后,用互信息法分析了两种熵的常用特征,实验发现两者分别呈现冗余状态,在剔除冗余之后检测的效率有明显提高,且不失检测...     

Multi-step attack detection method based on network communication anomaly recognition

In view of the characteristics of internal fixed business logic,inbound and outbound network access behavior,two classes and four kinds of abnormal behaviors were defined firstly,and then a multi-step attack detection method was proposed based on network communication anomaly recognition.For abnormal sub-graphs and abnormal communication edges detection,graph-based anomaly analysis and wavelet analysis method were respectively proposed to identify abnormal behaviors in network communication,and detect multi-step attacks through anomaly correlation analysis.Experiments are carried out on the DARPA 2000 data set and LANL data set to verify the results.The experimental results show that the proposed method can effectively detect and reconstruct multi-step attack scenarios.The proposed method can effectively monitor multi-step attacks including unknown feature types.It provides a feasible idea for detecting complex multi-step attack patterns such as APT.And the network communication graph greatly reduces the data size,it is suitable for large-scale enterprise network environments.     

GAD:topology-aware time series anomaly detection

To solve the problems of anomaly detection,intelligent operation,root cause analysis of node equipment in the network,a graph-based gated convolutional codec anomaly detection model was proposed for time series data such as link delay,network throughput,and device memory usage.Considering the real-time requirements of network scenarios and the impact of network topology connections on time series data,the time dimension features of time series were extracted in parallel based on gated convolution and the spatial dependencies were mined through graph convolution.After the encoder composed of the spatio-temporal feature extraction module encoded the original input time series data,the decoder composed of the convolution module was used to reconstruct the time series data.The residuals between the original data and the reconstructed data were further used to calculate the anomaly score and detect anomalies.Experiments on public data and simulation platforms show that the proposed model has higher recognition accuracy than the current time series anomaly detection benchmark algorithm.     

基于单分类支持向量机和主动学习的网络异常检测研究

对基于支持向量机和主动学习的异常检测方法进行了研究,首先利用原始数据采用无监督方式建立单分类支持向量机模型,然后结合主动学习找出对提高异常检测性能最有价值的样本进行人工标记,利用标记数据和无标记数据以半监督方式对基于单分类支持向量机的异常检测模型进行扩展。实验结果表明,所提方法能够利用少量标记数据获取性能提升,并能够通过主动学习减小人工标记代价,更适用于实际网络环境。     

TCM-KNN网络异常检测算法优化研究

基于TCM-KNN(transductive confidence machine for K-nearest neighbors)网络异常检测方法,采用过滤器模式的特征选择方法和基于聚类的样本选择方法分别从精简异常检测的特征空间以及选择使用少量高质量的训练样本进行训练,从而高效地对网络异常进行检测.基于著名的KDD Cup 1999数据集的实验表明:这2种优化方法在保证TCM-KNN异常检测算法高检测率和低误报率的前提下,极大地减少了该算法的训练开销和检测开销,因而该轻量级检测方法适用于现实的网络应用环境.     

异常检测技术在移动设备及网络安全防护中的应用

网络安全就是采取一定的手段对网络系统进行保护,避免用户系统内部的硬件、软件以及数据遭到他人的损坏、修改或者泄露,从而保障系统运行的安全性和可靠性。在移动设备和网络的安全防护中,由于恶意软件更新速度较快、移动网络本身稳定性较差,使得异常检测得到了广泛的应用和研究。文中探讨了异常检测技术在移动设备及网络安全防护中的应用,以期为网络安全相关研究提供借鉴意义。     

面向网络环境的SQL注入行为检测方法

SQL注入攻击是Web应用面临的主要威胁之一,传统的检测方法针对客户端或服务器端进行。通过对SQL注入的一般过程及其流量特征分析,发现其在请求长度、连接数以及特征串等方面,与正常流量相比有较大区别,并据此提出了基于长度、连接频率和特征串的LFF（length-frequency-feature）检测方法,首次从网络流量分析的角度检测SQL注入行为。实验结果表明,在模拟环境下,LFF检测方法召回率在95%以上,在真实环境下,该方法也取得较好的检测效果。     

在网络安全事件流中异常检测的方法

针对网络安全事件流中异常检测问题,定义网络安全异常事件模式为候选频繁情节,基于无折叠出现的频繁度定义研究网络安全事件流中频繁情节发现方法.该方法中,针对事件流的特点,提出了频繁度密度概念;针对网络安全异常事件模式的时间间隔限制,利用事件流中滑动窗口设计算法;针对复合攻击模式的特点,对算法进行剪枝.实验证明本文方法的时空复杂性、漏报率符合网络安全事件流中异常检测的需求.     

Anomaly detection in smart grid based on encoder-decoder framework with recurrent neural network

Anomaly detection in smart grid is critical to enhance the reliability of power systems. Excessive manpower has to be involved in analyzing the measurement data collected from intelligent motoring devices while performance of anomaly detection is still not satisfactory. This is mainly because the inherent spatio-temporality and multi-dimensionality of the measurement data cannot be easily captured. In this paper, we propose an anomaly detection model based on encoder-decoder framework with recurrent neural network (RNN). In the model, an input time series is reconstructed and an anomaly can be detected by an unexpected high reconstruction error. Both Manhattan distance and the edit distance are used to evaluate the difference between an input time series and its reconstructed one. Finally, we validate the proposed model by using power demand data from University of California, Riverside (UCR) time series classification archive and IEEE 39 bus system simulation data. Results from the analysis demonstrate that the proposed encoder-decoder framework is able to successfully capture anomalies with a precision higher than 95%.