基于轻量化关联规则挖掘的安全日志审计技术研究

为了对云计算平台中日志审计数据进行安全分析,提出一种采用改进的关联规则的日志信息挖掘方法,以便有效识别事故类型或者预防可能出现的各种恶意入侵。该方法采用典型的关联规则Apriori算法对比挖掘系统日志和用户行为模式的异常信息,并通过删除稀疏矩阵集合中的弱相关项目集和可调节最小置信度的策略,对Apriori算法进行轻量化改进。在多次迭代运算得到最大项目集后运用于日志审计。仿真实验结果表明,改进的Apriori算法可以有效减少对数据库的扫描次数,提高挖掘效率,具有一定的推广价值。     

基于异常行为的海洋气象传感网的入侵检测方法研究

应对海洋气象传感网面临的异常数据流攻击,分析安全机制,针对其复杂庞大的网络结构和节点内分布极端不平衡的数据流,对基于异常行为的海洋气象传感网入侵检测方法进行研究,并搭建入侵检测系统。重点考虑数据集不平衡问题,使用深度生成网络CVAE-GAN学习数据集中少数类的分布,实现有效的数据生成。使用基于OPTICS的去噪算法清除多数类中噪声点,清晰化类别边界。从数据角度入手,降低数据集不平衡率,减小不平衡数据集对入侵检测系统的影响,提高分类器对少数类异常流量的识别能力。仿真结果表明,所提系统能够有效识别各类异常流量,尤其是少数类异常流量,所采用的不平衡数据集处理方法对分类器的检测能力有显著提高。     

基于日志数据的窗口化异常检测方法

传统的异常检测方法采用不定时巡检和用户反馈等被动方式发现问题,效率低、无法主动发现故障。本文提出了一种基于日志数据的窗口化异常检测方法,首先对历史日志数据进行预处理,获取日志模式库,再将日志数据转换成事件统计矩阵,结合COPOD算法快速定位异常点,及时发现具体异常日志,保证检测高效及准确。经实验数据表明,本文提出的异常检测方法能有效检测出多事件中存在的异常数据,且在大数据处理过程中效率较高。     

结合DL-safe规则发现日志本体频繁模式的方法

为发现语义Web使用记录中所蕴含的有效信息,本文提出了一种挖掘日志本体频繁Web访问模式的方法。该方法引入应用访问规则集和观察集分别表示日志信息动态变化的语义规则和使用事实,并在DL安全的限定下将日志本体和应用访问规则集相结合构成一个推理过程可判定的混合知识库。在此基础上,利用日志本体中事件整分关系的语义构建访问模式学习的事务模型,并采用ILP的方法学习生成频繁用户访问模式树,解决了推理访问模式中非描述逻辑原子的问题。实验结果表明该方法的可用性和有效性。     

一种无冗余的Web日志挖掘算法

Web日志挖掘是Web数据挖掘的一个重要研究领域。Web日志挖掘通过发现Web日志中用户的访问规律和模式,可以提取出其中潜在的规律和信息,人们对这个领域的研究也日益重视。然而,传统的基于关联规则的Web日志挖掘算法都是基于所有关联规则的。这种方式往往挖掘产生大量的候选规则,而且存在大量冗余的规则。提出了一种新的无冗余的Web日志挖掘算法,该算法通过引入频繁闭项集合最小关联规则的概念,从而解决了以往基于所有关联规则挖掘算法中出现的上述问题。     

大数据场景下基于机器学习的5G云网告警关联分析

提出一种基于关联规则挖掘算法的5G云网告警分析方案,对机器学习算法FP-Growth进行契合5G云网告警场景的改进和应用,利用现网告警数据展开告警关联分析工作,挖掘网元及云侧告警之间的关联关系,并进行告警压缩和收敛,为5G云网故障分析和定位提供有效帮助。此外,基于实际告警数据对Apriori和FP-Growth算法的性能进行了比较,结果表明,FP-Growth关联规则挖掘算法与Apriori相比效率更高,更适合海量数据场景下的告警关联分析。     

基于序列关联的病毒感染行为模式

大型企业的计算机终端数量往往成千上万,积累了海量病毒感染日志数据,这些数据隐藏的模式并没有被充分挖掘和利用。利用序列关联算法对病毒感染数据进行挖掘,发现有趣的序列关联规则,这些规则反映了计算机终端病毒感染行为模式。基于序列关联规则,提出有效解决措施和一种信息安全管理机制,以降低计算机终端感染病毒的概率。     

基于本地主机传播行为的蠕虫预警新方法

对于利用漏洞扫描技术传播的蠕虫进行预警，传统方法存在着诸如无法区分P2P数据流，无法检测利用多个端口传播蠕虫等问题。针对这些问题，结合对网络蠕虫行为模式的分析，提出了一种改进的算法，并建立了基于该算法的预警模型。最后对该方法的可行性和各项性能进行了分析，发现新方法能更有效的预警未知的网络蠕虫。     

基于领域知识内嵌的深度学习网络流量预测研究

首先针对流量数据可能存在的时域分布突变问题设计了一种基于JS散度的异常检测算法，以获得能够反映流量变化规律的数据。而考虑到网络流量的自相似性、长时相关性和周期性特点，提出一种基于卷积生成网络和自适应注意力元网络组成的动态时域生成流量预测模型（GDTN），能够有效地降噪、生成和预测流量数据，并根据不同输入条件动态分配不同多时域流量特征的重要性。最后在智能城域网端口数据集上进行实验，验证了该算法相比于多种经典时序预测算法在预测准确度、存储资源占用和时间效用等方面具备明显优势。     

5G电力虚拟专网中基于联邦对抗学习的分布式异常检测算法

针对5G电力虚拟专网中高维、不均衡和分布式的数据特征，提出了一种基于联邦对抗学习的分布式异常检测算法。首先，鉴于生成对抗网络在获取高维复杂数据分布方面的优势，采用具有梯度惩罚的Wasserstien生成对抗网络(WGAN-GP)模型对网元中的多维运行数据进行分析和监控并获取其分布情况。其次，基于5G电力虚拟专网的管理架构，设计了一种基于联邦对抗学习的分布式异常检测框架，使分布式电力切片管理器能够协同训练全局异常检测模型，增强模型泛化能力。最后，通过数值仿真验证了基于联邦对抗学习的分布式异常检测算法的训练效率和检测性能。     

基于主成分分析和深度自编码高斯混合模型的无监督异常数据检测方法研究

在异常数据检测中，由于数据量过大和数据特征维度过高，往往会导致数据标定困难、数据冗余、算法效率降低等。针对以上问题，将主成分分析（PCA）特征选择算法与深度自编码高斯混合模型（DAGMM）相结合，提出一种新的无监督异常数据检测方法 PCA-DAGMM。该方法首先利用PCA特征选择算法对数据进行预处理，去除对分类效果增益较小的冗余数据，降低运算成本；然后将特征选择后的数据输入到DAGMM模型中进行训练。基于kddcup99数据集和CIC-IDS-2017数据集进行实验，并与多种特征选择算法进行对比，实验结果表明，PCA-DAGMM方法可以有效优化分类器性能，提高分类器训练效率，适用于解决网络流量异常检测问题，F1指数在kddcup99数据集和CIC-IDS-2017数据集上比DAGMM模型分别提高了4.37%和1.06%，训练时间减少了14.43%和8%。     

多聚类融合算法在频繁非法访问检测中的应用

针对频繁非法访问的检查问题，提供了一种机器学习方法来检测登录场景中的频繁非法访问活动。通过特征工程的方法分析登录日志数据，筛选提取有效特征，再使用聚类方法对登录特征数据进行检测，分类出正常用户和异常用户。为了提高无监督识别算法的精度，提出了多聚类融合的检测算法，从多个聚类算法的角度，精确识别出登录日志中的频繁非法访问用户。实验结果证明，该方法可以更准确地提取登录场景中各项指标异常的用户，并可以扩展适应其他频繁非法访问场景。     

基于动态阈值核密度估计的登录异常检测

登录验证是各种信息系统的第一道门户，是保障系统安全的重中之重。但用户账号通常面临着两种风险：一是账号被撞库，二是账号被盗。其中，撞库是指黑客利用第三方泄露的账号和密码生成对应的字典库来尝试批量登录目标系统或网站的行为。针对用户登录日志通常是稀疏数据的问题，提出了一种基于动态阈值核密度估计的登录异常检测方法。该方法能够在稀疏登录日志上建立动态阈值，通过核密度估计计算用户登录历史基线，并在此基线上完成用户登录异常检测。对比实验结果表明，该算法能够有效地进行异常登录检测，并针对稀疏登录数据有着更好的检测效果。     

基于果蝇优化算法的斗轮堆取料机异常状态检测方法

目前对于斗轮堆取料机异常状态检测存在检测精度较低的问题,现提出基于果蝇优化算法的斗轮堆取料机异常状态检测方法。通过对斗轮堆取料机的在线监测数据进行预处理,得到参数特征数据集,利用优化后的果蝇算法构建出斗轮堆取料机异常状态检测模型,实现对斗轮堆取料机的精准检测。最后通过对比实验,建立斗轮堆取料机仿真模型,利用两种检测方法对模型异常状态进行检测,通过实验可得出提出的检测方法在检测精度上要优于传统的异常状态检测方法的结论,为研究同类型的异常状态检测方法提供积极的借鉴意义。     

红外预警卫星探测波段地球背景辐射仿真研究

针对红外预警卫星探测波段遥感数据难以获取的问题,研究了基于地表温度反演的红外预警卫星探测波段地球背景辐射仿真方法。采用了通用型单通道算法对FY-3/MERSI数据集进行地表温度反演,得到了全球地表温度分布图。在此基础上,构建了地表红外辐射模型,充分考虑了海拔、大气模式、地表类型等因素对地表辐射的影响,利用MATLAB与MODTRAN进行联合编程完成每个像元对应的地表辐射计算,实现了红外预警卫星探测波段地球背景辐射场景的图像生成。仿真结果表明:仿真图像分辨率高,能够准确反映红外预警卫星探测波段的地球背景辐射特性,可为研究红外预警卫星作战效能评估和目标识别技术提供场景数据支撑。     

一种基于移动用户行为的回路融合社区发现算法

针对现有基于派系的重叠社区发现算法难以对移动社会化网络实施的问题,该文给出一种基于移动用户行为的回路融合社区发现算法。该算法首先通过分析移动用户行为构建移动社会化网络,利用k-EC(k-Elementary Circuit)简单回路发现算法寻找移动社会化网络的k阶回路作为社区核,并按照给定的规则对社区核进行融合,得到初步社区;然后通过计算移动用户行为的相关度将余下的离散节点加入到相应的初步社区,得到最终的社区;最后通过公开数据集和仿真数据集验证了该算法在移动社会化网络社区发现方面的可行性和有效性。     

基于IPFIX的DNS异常行为检测方法

提出了一种基于IPFIX（IP数据流信息输出）网络流量数据准确检测可疑和异常DNS、识别DNS流量放大攻击行为的算法。该算法已在清华大学校园网实际部署运行,能够有效检测到校园网内部DNS的异常行为并发送告警信息,从而及时控制攻击行为,实现异常流量的及时监测和预警。     

IP城域网网元拓扑发现及比对一致性研究

本文提取IP城域网的网元架构,针对运营商网监维需求,对基于生成树的IPOSS提出定位到端口的由叶子节点发起直至根节点的网元通用拓扑发现(GTD)算法,在以RADIUS拨号清单比对校验过程中,提出改进的网元加权(WA)拓扑发现算法,改善了拓扑一致性指标。由于运营商对拓扑数据的可靠、可信的电信级要求,提出用户拨号清单作为"蚂蚁"节点,自根节点逆向发现业务拓扑路径的用户"蚂蚁"路径特征拓扑发现(APC)算法。可信的网元拓扑数据能有效提高TMN维护水平,并为全面自动业务开通(APO)提供基础数据。     

一种智能网异常话单大数据处理方法

针对移动智能网运维缺少业务异常预警和故障定位的支撑手段现状,本文提出了一种智能网异常话单大数据处理方法.通过Hadoop大数据处理架构提升了智能网话单大数据存储和处理能力,基于话单大数据和智能网异常话单查询分析系统实现了智能网呼叫追溯、业务质量异常的主动预警和实时定位等功能,解决了智能网现网业务异常发现滞后于用户投诉、已有手段无法快速进行问题定位等问题,有效提升了用户感知和用户满意度.     

大数据环境下并行数据流预测及优化方法

以模糊集成联机分析处理(On-Line Analytical Processing,OLAP)为基础对关联规则挖掘算法进行改进,该算法为多维联机研究提供一种关联规则计算架构。基于模糊数据立方体的知识发现,为用户提供灵活的多维数据层次抽象模式。在多维数据集的多维属性处理中,引入模糊数据立方体作为问题措施补充,并利用不同层次的模糊关联规则构造模糊数据立方体,然后利用权重和多层次的概念构建模糊加权多层次关联规则。最后,通过对所提算法在合成数据集以及2000年中国人口普查的数据仿真测试,验证了基于OLAP的挖掘方法要比离散关联规则挖掘方法、单独支持阈值关联规则及最小挖掘项集关联规则三种对比算法,在最小支持度、置信度、权重均值等指标上,性能更加优异。