基于协议分析的并行聚类入侵检测模型

模糊P均值聚类（FCM）的算法是在硬P均值算法（HCM）发展而来的,虽然改进了硬产均值算法的聚类效果,但带来了时间复杂度的增加．提出了一种基于协议分析分类的并行入侵检测模型,根据协议分析将大的数据集进行分类。构成不同的数据集,先对各个数据集进行FCM聚类。然后对每个FCM聚类的结果再次进行FCM聚类．构成并行处理系统．采用协议分析技术结合高速数据包捕捉、协议解析等技术来进行分布式入侵检测,可以提高入侵检测的速度．     

基于信息增益和随机森林分类器的入侵检测系统研究

目前,许多误用检测系统无法检测未知攻击,而异常检测系统虽然能够精确检测未知攻击,但由于入侵检测固有的特性,入侵事件与正常事件类间存在极大的不平衡性,这导致很难利用机器学习的方法高效地进行入侵行为检测.为此,提出了一种基于信息增益和随机森林分类器的入侵检测系统.为了解决类之间的不平衡性,对训练数据集应用了合成少数过采样算法.提出了一种基于信息增益的特征选择方法,并用于构建一个数据集的特征约减子集.首先,利用随机森林算法从训练集中建立入侵模型,构建误用检测模型,通过网络连接的特征来匹配检测已知攻击.然后,利用信息增益的特征选择方法,根据特征约减获得的特征,将不确定性攻击的网络连接数据通过随机森林进行聚类,进而实现未知攻击的检测.实验采用的NSL-KDD入侵检测数据集是KDDCUP99数据集的增强版本.由于入侵检测固有的特性,NSL-KDD数据集设计时类间存在极大的不平衡性.实验结果表明,结合合成少数过采样算法以及基于特征选择的信息增益的随机森林分类器对少数类别异常检测率可达到0.962.     

用一种改进的蚁群聚类算法进行网络入侵检测

针对蚁群聚类算法在聚类结果中出现部分数据划分不够准确的问题,提出蚁群聚类改进算法。对已有蚁群聚类算法的结果簇做调整,从而得到更好的聚类结果。使用KDD Cup 1999入侵检测数据集所作的实验结果表明,聚类效果改进明显,入侵检测率有所提高。     

基于改进k-means算法的入侵检测方法设计

在网络安全问题日益突出的今天,如何迅速而有效地利用入侵检测系统发现各种入侵行为,对于保证系统和网络资源的安全十分重要。改进的k-means聚类算法解决了传统聚类算法在入侵检测领域所面临的混合类型数据相异度计算的问题。理论分析表明,此方法具有较好的时间复杂度,适合采用增量聚类,具有较好的扩展性,而且适用干任何数据类型,可应用于大规模的数据集。     

一种面向入侵检测的半监督聚类算法

为了解决传统的入侵检测聚类算法准确率较低这个问题,结合半监督学习的思想,提出了一种面向入侵检测的半监督聚类算法。首先利用样本数据集中的部分标记数据,生成用于初始化聚类的种子集,通过计算样本数据集中标记点与每个类簇中标记点均值的欧氏距离,得到每类的初始聚类中心,实现了入侵检测数据的准确识别。该算法有效地避免了传统聚类算法中初始聚类中心选择的盲目性和随机性,提高了检测率。实验结果表明,在处理入侵检测数据时,该算法能够充分利用少量类标记信息进行半监督学习,较传统的K-means算法聚类效果更好,检测准确率更高。     

基于分布式哈希表的分布式子空间聚类算法

提出一种基于分布式哈希表(DHT)的分布式子空间聚类(DISCLUS)算法,该算法对各结点存储的数据分别进行子空间聚类,对聚类结果进行合并,得到分布式系统的聚类结果.针对子空间聚类的特点,提出结果集缩减和结果集剪枝策略对结点间通讯进行优化.为实现结点聚类结果合并,提出分布式表决算法(DDV).该算法利用底层覆盖网的拓扑结构进行层次化表决信息收集,在动态网络环境中实现了对所有结点的无冗余覆盖.理论分析和实验表明,DISCLUS算法的聚类误差和通讯性能能够较好地适应系统数据集规模、网络规模和数据空间维度的增加.     

基于边界样本的训练样本选择方法

以入侵检测系统中的分类器设计为例，研究分类器训练样本选择问题。提出了一种大规模数据集的训练样本选择方法，首先通过聚类将训练数据划分成不同的子集缩小搜索范围；然后根据聚类内离散度和样本的覆盖区域选择样本，保留每个聚类的边界样本，删除内部样本。 即保留了典型样本，减少了训练样本数量，从而保证分类器的性能并且训练效率较高。     

入侵检测与聚类分析

传统的入侵检测方法在面对网络结构升级和未知攻击时 ,缺乏必要的扩展性和自适应能力 ,而基于机器学习的检测算法首先需要训练数据集进行训练 ,然后建立检测模型并通过测试数据集中入侵行为的检测结果来验证 ,此类方法由于获取类标识数据的困难性及其信息表达的局限性 ,降低了对未知攻击的检则能力。本文提出利用遗传聚类进行入侵检测算法IDUGC(IntrusionDetectionUsingGeneticClustering)。实验结果表明 ,此算法在未知入侵检测方面是可行的、有效的 ,并具有良好的可扩展性     

软件缺陷数据集的数据质量优化

数据集的质量对软件缺陷预测模型的效果至关重要.针对传统数据集特征过多导致的学习速度较慢以及缺陷样本远少于无缺陷样本的类不平衡问题,提出一种基于主成分分析法(Principal Component Analysis,PCA)和数据加权增广的数据集优化方法:通过PCA方法对数据进行降维,有效去除了冗余数据,减少模型的学习时...     

密度不均衡数据分类算法

针对不均衡数据下分类超平面偏移、少数类识别率较低的问题,提出一种基于样本密度的不均衡数据分类算法。该算法首先计算样本密度和类样本密度,依据类样本密度之间的关系确定聚类类数, 然后利用K-means聚类算法对多数类样本进行聚类,用聚类所得类中心作为样本集取代原多数类样本集, 最后对新构造的训练集进行训练得到最终决策函数。其实验结果表明,该算法能够提高SVM在不均衡数据下的分类性能,尤其是少数类的分类性能。       

入侵检测系统中基于PCA和C-SSGA的双向数据压缩

针对入侵检测数据中的冗余特征和冗余实例,提出一种基于主成分分析和混合稳态遗传算法的双向数据压缩方法.利用主成分分析对特征进行压缩,有效地去除特征之间的冗余性;用混合稳态遗传算法进行实例压缩,大大缩减了实例的数量;提出一个基于神经网络的入侵检测系统模型,该模型具有多分类、易于更新系统及快速适应新型入侵的特点.在KDD CUP’99上的实验表明,提出的方法是有效的,可以用于处理大数据集的压缩问题.     

Fast network intrusion detection system using adaptive binning feature selection

Aiming at the problems of the low detection rate of traditional intrusion detection systems and the long training and detection time of intrusion detection systems based on deep learning,an adaptive binning feature selection algorithm using the information gain is proposed,which is combined with LightGBM to design a fast network intrusion detection system.First,the original data set is preprocessed to standardize the data;then the redundant features and noise in the original data are removed through the adaptive binning feature selection algorithm,and the original high-dimensional data are reduced to the low-dimensional data,thereby improving the accuracy of the system and reducing the training and detection time;finally,LightGBM is used for model training on the training set selected by the characteristics to train an intrusion detection system that can detect attack traffic.Through verification on the NSL-KDD data set,the proposed feature selection algorithm only takes 27.35 seconds in feature selection,which is 96.68% lower than that by the traditional algorithm.The designed intrusion detection system has an accuracy rate of 93.32% on the test set,and its training time is low.Compared with the existing network intrusion detection system,the accuracy rate of the proposed system is higher,and its model training speed is faster.     

一种基于信息论模型的入侵检测特征提取方法

在网络入侵检测中,由于原始数据特征维度高和冗余特征多,导致入侵检测系统的存储负担增加,检测分类器性能降低。针对该问题本文提出了一种基于信息论模型的入侵检测特征提取方法。它以具有最大信息增益的特征为搜索起点,利用搜索策略和评估函数迭代调整数据集分类标记、已选取特征子集和候选特征三者之间的相关度,最后通过终止条件确定选取特征子集。以入侵检测样本数据集为实验数据,将该方法选取的特征向量运用到支持向量机分类算法中,在特征维度大幅度降低的情况下,检测精度变化很小。实验结果证明了本方法的有效性。     

基于BFOA和K-means的复合入侵检测算法

K-means算法对初始聚类中心及簇数K的选择敏感,导致聚类结果不稳定,会对IDS(intrusion detection system, IDS)的检测结果产生重要影响。针对该问题,提出一种基于细菌觅食优化算法(bacterial foraging optimization algorithm, BFOA)和K-means相复合的入侵检测算法(HIDS)。HIDS算法首先基于距离阈值方法动态确定簇数K,再利用BFOA优化生成初始聚类中心,使得选择的初始聚类中心达到全局最优,从而解决了K-means算法的聚类结果不稳定的问题,进而提高入侵检测的准确率。为验证算法的有效性和测试算法性能,将HIDS在KDD99数据集上进行试验测试,入侵检测率可达98.33%。试验结果表明该方法能够有效提高检测率并且降低误检率。     

基于聚类的网络入侵检测系统模型

入侵检测中对未知入侵的检测主要是由异常检测来完成的,传统异常检测方法需要构造一个正常行为特征轮廓的参考模型,但建立该特征轮廓使系统的开销巨大.对此,提出一种针对网络入侵检测的聚类算法,该方法的优点在于不需要用人工的或其他的方法来对训练集进行标识.在检测过程中,随着有效信息的不断增加,模型得到了更新,使增量聚类后的新模型与原有模型的检测性能相比,有很大提高.     

聚类分析在入侵检测系统中的改进

本文针对传统的聚类算法在入侵检测系统中的不足,提出一种基于密度的初始聚类中心的选择方法,可克服普通K-Means中的需人工确定K值的问题,用此算法改进的入侵检测模型能够获得很好的聚类效果。对比实验结果,发现使用改进后的算法与传统的K-Means相比可以获得更高的检测率和较低的误报率。     

结合主动学习和半监督学习的网络入侵检测算法

为提高网络入侵检测的分类效率,提出一种结合主动学习和半监督学习的入侵检测算法。结合入侵检测实际,对主动学习算法进行简化,用有标记样本训练生成2个分类器,实现对未标记样本的预测;将2个分类器预测不一致的未标记样本作为信息量丰富的样本,使用半监督学习算法进行标记;最后, 把新增加的新标记样本添加到主动学习和半监督学习的训练集中,训练各自分类器, 反复迭代直到未标记样本集为空, 并用最新的有标记样本集训练形成最终的分类器。使用KDD CUP 99数据集进行入侵检测实验,其结果表明,与SVM方法相比,其分类率提高了4.3%,且较好地缩减了问题规模。       

基于CSA无监督模糊聚类算法的异常检测方法

为解决模糊k 均值算法对初始化敏感及易陷入局部极值的不足,提出了基于克隆选择算法(CSA)的无监督模糊聚类异常入侵检测方法. 应用结合了具有进化搜索、全局搜索、随 机搜索和局部搜索特点的克隆算子快速得到了全局最优聚类,并应用模糊检测算法检测网络中的异常行为模式. 该方法的优点是不需要人工对训练集分类,并且可以检测出未知的攻击. 仿真试验表明,该方法不但能检测出未知的攻击,而且具有较低的误报率和较高的检测率.     

基于邻域关系的网络入侵检测特征选择

入侵检测数据集具有数据量大、特征敷众多、连续型数据的特点.粗糙集是一种有效处理不确定性、不一致性、海量数据的有效分类工具,其特点是保持入侵检测数据集的分类能力不变,进行特征选择.为了避免传统粗糙集特征选择方法所必需的离散化过程带来的信息损失,引入邻域粗糙集模型,提出基于邻域关系的网络入侵检测数据特征选择方法.该方法从所有特征出发,根据特征重要度逐步删除冗余的特征,最后得到关键特征组进行分类研究.在CUP99入侵检测数据集上进行特征选择,并进行了分类实验,实验结果表明该方法是有效可行的.