基于改进的随机森林算法的入侵检测模型

针对现有入侵检测算法对不同类型的攻击检测的不均衡性和对攻击的响应时间较差的问题.将随机森林算法引入到入侵检测领域,构造了基于改进的随机森林算法的入侵检测模型,并把这种算法用于基于网络连接信息的数据的攻击检测和异常发现.通过对DARPA数据的入侵检测实验,其结果表明,基于改进的随机森林算法的入侵检测模型是可行的、高效的,对数据集DARPA中所包含的4种类型的攻击检测具有良好的均衡性.     

基于特征选择的网络入侵检测方法

针对现有入侵检测算法中存在着冗余或噪音特征导致的检测模型精度下降与训练时间过长的问题进行了研究,将特征选择算法引入到入侵检测领域,提出了一种基于特征选择的入侵检测方法.利用不同的离散化与特征选择算法生成具有差异的多个最优特征子集,并对每个特征子集进行归一化处理,用分类算法对提取后的特征进行学习建模.通过实验将该方法与基于传统算法（决策树、朴素贝叶斯、支持向量机）的入侵检测方法作比较,实验结果表明,该方法有效地提高了检测攻击的准确率,并且降低了模型的训练时间.     

面向入侵检测的基于多目标遗传算法的特征选择

针对刻画网络行为的特征集中存在着不相关或冗余特征,从而导致入侵检测性能下降的问题,本文提出了一种基于多目标遗传算法的特征选择方法,将入侵检测中的特征选择问题视为多目标优化问题来处理。实验结果表明,该方法能够实现检测精度与检测算法复杂性的均衡优化,在显著提高检测算法效率的同时,检测精度也有所提高。     

面向DDoS入侵检测的报文特征提取方法

机器学习算法是当前检测网络入侵的主要方法。然而,现有入侵检测方法提取攻击报文特征的维度较小,导致检测精度偏低。针对该问题,文章提出了面向DDoS入侵检测的报文特征提取方法(DDoS Message Feature Extraction,DMFE)。该方法在分析DDoS攻击过程的基础上,根据报文协议将DDoS攻击分为五类,并针对不同的类型提取其特征向量,增加了攻击报文特征的维度与表达能力,有利于提升入侵检测算法的精度。模拟实验结果表明,DMFE与现有的其他特征提取方法相比,能够有效地提高基于神经网络、K-近邻等入侵检测方法的精度。此外,DMFE受分类算法种类影响弱,可以适用于多种机器学习算法并取得了几乎相同的效率。     

基于多层自组织映射和主成分分析的入侵检测方法*

首先改进了自组织映射学习和分类算法,通过引入自定义变量匹配度、约简率和约简样本量化误差,提出了一种新的基于多层自组织映射和主成分分析入侵检测模型与算法。模型运用主成分分析算法对输入样本进行特征约简,运用分层思想对分类精度低的聚类进行逐层细分,解决了单层自组织映射分类不精确的问题。实验结果表明该模型用于入侵检测的效果良好,能准确区分攻击与否且能进一步指出攻击的具体类型。     

结合SVM的交互式遗传算法在入侵检测中的应用

针对入侵检测中存在样本少、特征多、难于将实际经验与现有算法有机结合的问题,将交互式遗传算法应用到入侵检测技术中,并结合SVM的特点,设计出改进后的分类识别算法。实验证明,将SVM与交互式遗传算法相结合应用于入侵检测领域中,算法有效、可行,而且能获得很好的检测率。     

基于优化数据处理的深度信念网络模型的入侵检测方法

针对目前网络中存在的对已知攻击类型的入侵检测具有较高的检测率,但对新出现的攻击类型难以识别的缺陷问题,提出了一种基于优化数据处理的深度信念网络（DBN）模型的入侵检测方法。该方法在不破坏已学习过的知识和不严重影响检测实时性的基础上,分别对数据处理和方法模型进行改进,以解决上述问题。首先,将经过概率质量函数（PMF）编码和MaxMin归一化处理的数据应用于DBN模型中;然后,通过固定其他参数不变而变化一种参数和交叉验证的方式选择相对最优的DBN结构对未知攻击类型进行检测;最后,在NSL-KDD数据集上进行了验证。实验结果表明,数据的优化处理能够使DBN模型提高分类精度,基于DBN的入侵检测方法具有良好的自适应性,对未知样本具有较高的识别能力。在检测实时性上,所提方法与支持向量机（SVM）算法和反向传播（BP）网络算法相当。     

基于增量式GHSOM神经网络模型的入侵检测研究

传统的网络入侵检测方法利用已知类型的攻击样本以离线的方式训练入侵检测模型,虽然对已知攻击类型具有较高的检测率,但是不能识别网络上新出现的攻击类型.这样的入侵检测系统存在着建立系统的速度慢、模型更新代价高等不足,面对规模日益扩大的网络和层出不穷的攻击,缺乏自适应性和扩展性,难以检测出网络上新出现的攻击类型.文中对GHSOM(Growing Hierarchical Self-Organizing Maps)神经网络模型进行了扩展,提出了一种基于增量式GHSOM神经网络模型的网络入侵检测方法,在不破坏已学习过的知识的同时,对在线检测过程中新出现的攻击类型进行增量式学习,实现对入侵检测模型的动态扩展.作者开发了一个基于增量式GHSOM神经网络模型的在线网络入侵检测原型系统,在局域网环境下开展了在线入侵检测实验.实验结果表明增量式GHSOM入侵检测方法具有动态自适应性,能够实现在线检测过程中对GHSOM模型的动态更新,而且对于网络上新出现的攻击类型,增量式GHSOM算法与传统GHSOM算法的检测率相当.     

改进遗传算法优化的BP神经网络入侵检测研究

入侵检测是一种主动的安全防护技术,能够对网络内部和外部的攻击进行防御.基于神经网络的入侵检测是常用的智能检测方法,其中BP神经网络是比较常用的神经网络模型.针对BP神经网络算法易陷入局部极值和收敛速度慢等问题,将神经网络与遗传算法相结合,用改进的遗传算法优化BP神经网络权值.     

神经网络在入侵检测中的应用

神经网络具有自组织、自学习和推广能力的优势,将其应用于IDS中是目前网络安全领域的研究热点。基于神经网络的入侵检测方法不仅对于已知的攻击模式具有较好的识别能力,而且具有检测未知攻击的能力。介绍了入侵检测的概念和入侵检测系统的分类,分析了入侵检测技术存在的问题,提出了改进BP算法神经网络的入侵检测模型,最后利用MATLAB验证算法改进的有效性。     

一种基于进化神经网络的混合入侵检测模型

为了提高入侵检测系统的检测率并降低误报率,将误用检测技术和异常检测技术进行结合,以克服采用单一技术的缺陷。采用改进的进化神经网络作为检测引擎,首先,通过对遗传算法进行改进,弥补实数编码全局寻优能力差的缺陷,且降低计算的复杂度,提高进化收敛速度;然后,将改进的遗传算法和BP神经网络的LM算法进行结合,进一步克服神经网络学习阶段训练速度慢和易陷入局部最优的缺点,进而提高神经网络的分类能力和模式识别能力。采用 KDDCUP99数据集作为训练与测试数据集进行实验,结果表明,基于改进的进化神经网络建立的混合入侵检测模型在数据特征规则的提取速度、检测精度以及识别新的攻击类型方面有明显改善。     

基于多目标进化算法的入侵检测特征选择

针对入侵检测系统要求检测率和误报率均衡优化,提出一种由顺序搜索策略改进的多目标进化算法,对特征空间进行压缩,以选择最优特征子集。实验结果表明,改进的多目标进化算法实现了检测率与误报率的均衡优化,较好地提高了入侵检测系统的性能。     

基于Fisher-PCA和深度学习的入侵检测方法研究

为了在攻击形式多样化、入侵数据海量及多维化的环境中快速、准确地识别网络攻击,提出了一种融合Fisher-PCA特征提取与深度学习的入侵检测算法。通过Fisher特征选择算法选出重要的特征组成特征子集,然后基于主成分分析法（Principal Component Analysis,PCA）将特征子集进行降维,提取出了分类能力强的特征集。构建了一种新的DNN（Deep Neural Networks）深度神经网络模型对网络攻击数据和正常数据进行识别与分类。在KDD99数据集上进行试验,结果表明这种入侵检测算法与传统的ANN、SVM算法相比,在准确率上分别提高了12.63%、6.77%,在误报率上由原来的2.31%、1.96%降为0.28%,与DBN4 、PCA-CNN算法相比,在准确率和检测率保持基本相同的同时有着更低的误报率。     

基于CPSO-LSSVM的网络入侵检测

为提高网络入侵检测效果,提出一种结合混沌粒子群优化（CPSO）算法和最小二乘支持向量机（LSSVM）的网络入侵检测模型。将网络特征和LSSVM参数编码成二进制粒子,根据网络入侵检测正确率和特征子集维数权值构造粒子群目标函数。通过粒子群找到最优特征子集和LSSVM参数,同时引入混沌机制保证粒子群的多样性,防止早熟现象的出现,从而建立最优网络入侵检测模型。采用KDD99数据集进行性能测试,结果表明,该模型不仅能获得最优特征子集和LSSVM参数,而且提高了入侵检测速度和正确率,降低了入侵检测误报率和漏报率。     

基于改进双重深度Q网络的入侵检测模型

入侵检测技术作为网络安全有效的防御手段,是网络安全体系中的重要组成部分。随着互联网的快速发展,网络数据量快速增加,网络攻击更加趋于复杂化和多元化,目前主流的入侵检测技术无法有效识别各种攻击。针对实际网络环境中正常流量和攻击流量数据不平衡,且对攻击类流量检测率低的问题,基于深度强化学习提出一种基于改进双重深度Q网络的CBL_DDQN网络入侵检测模型。该模型将一维卷积神经网络和双向长短期记忆网络的混合网络模型引入深度强化学习的DDQN框架,并使用深度强化学习中的反馈学习和策略生成机制训练智能体来对不同类别的攻击样本进行分类,在一定程度上减弱了训练模型过程中对数据标签的依赖性。采用Borderline-SMOTE算法降低数据的不平衡度,从而提高稀有攻击的检测率。通过NSL_KDD和UNSW_NB15数据集对模型的性能进行评估,结果表明：该模型在准确率、精确率、召回率这三项指标上均取得了良好的结果,检测效果远优于Adam-BNDNN、KNN、SVM等检测方法,是一种高效的网络入侵检测模型。     

基于互信息加权集成迁移学习的入侵检测方法

入侵检测系统（IDS）已成为网络安全体系结构中的必要组成部分。在面对现代网络安全需求时,现有的入侵检测方法的可行性和持续性仍然存在提高空间,主要体现在更早地发现入侵威胁和提高入侵检测系统的检测精准度,为此提出一种基于互信息加权的集成迁移学习（ETL）入侵检测方法。首先,通过迁移策略对多组特征集进行建模;然后,使用互信息度量在迁移模型下特征集在不同域中的数据分布;最后,根据度量值对多个迁移模型进行集成加权,得到集成迁移模型。该方法通过学习新环境下的少量有标记样本和以往环境下的大量有标记样本的知识,可以建立效果优于传统非集成、非迁移的入侵检测模型。使用基准NSL-KDD数据集对该方法进行评估,实验结果表明,所提方法具有良好的收敛性能,并提高了入侵检测的精准率。     

Genetic-fuzzy rule mining approach and evaluation of feature selection techniques for anomaly intrusion detection

Classification of intrusion attacks and normal network traffic is a challenging and critical problem in pattern recognition and network security. In this paper, we present a novel intrusion detection approach to extract both accurate and interpretable fuzzy IF-THEN rules from network traffic data for classification. The proposed fuzzy rule-based system is evolved from an agent-based evolutionary framework and multi-objective optimization. In addition, the proposed system can also act as a genetic feature selection wrapper to search for an optimal feature subset for dimensionality reduction. To evaluate the classification and feature selection performance of our approach, it is compared with some well-known classifiers as well as feature selection filters and wrappers. The extensive experimental results on the KDD-Cup99 intrusion detection benchmark data set demonstrate that the proposed approach produces interpretable fuzzy systems, and outperforms other classifiers and wrappers by providing the highest detection accuracy for intrusion attacks and low false alarm rate for normal network traffic with minimized number of features.     

融合随机森林和梯度提升树的入侵检测研究

网络入侵检测系统作为一种保护网络免受攻击的安全防御技术,在保障计算机系统和网络安全领域起着非常重要的作用.针对网络入侵检测中数据不平衡的多分类问题,机器学习已被广泛用于入侵检测,比传统方法更智能、更准确.对现有的网络入侵检测多分类方法进行了改进研究,提出了一种融合随机森林模型进行特征转换、使用梯度提升决策树模型进行分类的入侵检测模型RF-GBDT,该模型主要分为特征选择、特征转换和分类器这3个部分.采用UNSW-NB15数据集对RF-GBDT模型进行了实验测试,与其他3种同领域的算法相比,RF-GBDT既缩短了训练时间,又具有较高的检测率和较低的误报率,在测试数据集上受试者工作特征曲线下的面积可达98.57%.RF-GBDT对于解决网络入侵检测数据不平衡的多分类问题具有较显著的优势,是一种切实可行的入侵检测方法.     

基于数据筛选策略的入侵检测研究

网络入侵检测系统存在着检测网络未知攻击困难、漏报率高、自身性能难以适应大规模网络数据的处理等缺点.在入侵检测过程中引入了一种大规模数据筛选算法,并对其进行改进,有效地进行了数据的约简,约简后的小样本数据应用于基于支持向量机的网络入侵检测系统中,使其能够在较短时间内处理大规模网络数据.实验结果表明,该改进算法能有效地筛选出边界向量,在很少降低检测精度的情况下有效地减少了检测模型的建立时间,从而提高了检测速度.     

结合优化支持向量机与K-means++的工控系统入侵检测方法

针对工业控制系统传统单一检测算法模型对不同攻击类型检测率和检测速度不佳的问题，提出一种优化支持向量机和K-means++算法结合的入侵检测模型。首先利用主成分分析法（PCA）对原始数据集进行预处理，消除其相关性；其次在粒子群优化（PSO）算法的基础上加入自适应变异过程避免在训练的过程中陷入局部最优解；然后利用自适应变异粒子群优化（AMPSO）算法优化支持向量机的核函数和惩罚参数；最后利用密度中心法改进K-means算法与优化后的支持向量机组合成入侵检测模型，从而实现工业控制系统的异常检测。实验结果表明，所提方法在检测速度和对各类攻击的检测率上得到明显提升。