入侵检测系统中分层报警处理模型的研究*

针对入侵检测系统中报警泛滥的问题,提出了一种分层的报警数据处理模型,在不同层次对报警数据进行了过滤、归约、融合和关联。在过滤阶段,建立了知识库对误警进行了消除;在归约阶段,设计了归约算法,可以实时消除报警中的重复信息;在融合阶段,设计了一种基于聚类的融合算法,可以实时消除报警中的相似信息;在关联阶段,首先用频繁片段算法对训练数据进行了分析,发现其中的入侵模式,然后再以这些模式建立知识库,为基于聚类的关联算法提供攻击的相似信息以发现入侵模式。通过上述处理,减少了报警中的错误信息和无用信息,减轻了系统和管理员     

基于攻击图与报警相似性的混合报警关联模型

为了揭示入侵检测系统所生成的报警数据之间的关联关系和重构入侵攻击场景,提出了一种基于攻击图与报警数据相似性分析的混合报警关联模型。该模型结合攻击图和报警数据分析的优点,首先根据入侵攻击的先验知识定义初始攻击图,描述报警数据间的因果关联关系,再利用报警数据的相似性分析修正初始攻击图的部分缺陷,进而实现报警关联。实验结果表明,混合关联模型能够较好地恢复攻击场景,并能够完全修复攻击图中单个攻击步骤的缺失。     

基于攻击图与报警相似性的混合报警关联模型

为了揭示入侵检测系统所生成的报警数据之间的关联关系和重构入侵攻击场景,提出了一种基于攻击图与报警数据相似性分析的混合报警关联模型。该模型结合攻击图和报警数据分析的优点,首先根据入侵攻击的先验知识定义初始攻击图,描述报警数据间的因果关联关系,再利用报警数据的相似性分析修正初始攻击图的部分缺陷,进而实现报警关联。实验结果表明,混合关联模型能够较好地恢复攻击场景,并能够完全修复攻击图中单个攻击步骤的缺失。     

多步攻击告警关联模型构建与实现

为精简入侵检测系统产生的大量报警信息和分析攻击者的目的和动机,提出了新的报警信息关联模型。该模型通过事件关联把具有相似关系的报警信息关联后存储为元报警,然后根据报警类型知识库转换为超报警,最后根据超报警之间的因果关系进行攻击关联,构建出攻击关联图。实验表明,该模型提高了报警处理效率,对识别攻击意图和提高报警准确性有较好的效果。     

基于信息融合的网络安全态势评估模型

针对分布式拒绝服务(DDoS)攻击评估不准确和网络安全态势评估不全面的问题,提出了一种基于信息融合的网络安全态势评估模型。首先,提出了以数据包信息为原始数据的DDoS攻击威胁评估方法,提高了评估的准确性;然后,对原有的通用弱点评价体系(CVSS)进行改进并对漏洞脆弱性进行评估,使得评估更加全面;其次,结合客观权重和主观权重,并以序列二次规划(SQP)算法对组合权重进行寻优,降低了融合的不确定性;最后,将三者进行融合得到网络的安全态势。通过搭建入侵检测平台,利用不同的规则库,针对相同DDoS 攻击的报警数会相差3 个数量级,与依赖报警数评估方法相比,以数据包信息评估DDoS 攻击的方法可得到准确的DDoS攻击威胁态势。仿真对比结果表明,提出的模型和方法能够提高评估结果准确度。     

入侵检测系统中报警验证模块的设计与实现

传统入侵检测系统虽然可以根据特征匹配的方法检测出攻击企图,却无法验证攻击企图是否成功,生成的报警不仅数量巨大而且误警率很高。该文提出一种结合漏洞扫描工具对入侵检测系统生成的报警进行验证的方法,根据被攻击主机是否包含能使攻击成功的漏洞来判定攻击能否成功,对攻击的目标主机不存在对应漏洞的报警降低优先级,从而提高报警质量。说明了报警验证模型各部分的设计和实现方法,系统运行结果显示该方法能有效地压缩报警量,降低误警率,帮助管理员从大量数据中找到最应该关注的真实报警。     

安全协议类型漏洞攻击研究

类型漏洞攻击是对安全协议攻击的方法之一。当协议主体将所接收消息中的一种类型数据解释成其他类型数据时,就会发生类型漏洞攻击。该文描述了几种典型的类型漏洞攻击实例,结合实例指出了J.Heather等人提出的在消息中添加标识消息类型的附加信息以防止类型漏洞攻击的tag方法的局限性,并提出在协议实现中通过检测消息长度防止类型漏洞攻击的方法。     

基于DSimC和EWDS的网络安全态势要素提取方法

为了融合多源异构的网络安全信息,提取反映网络整体安全状况的要素信息,提出了一种基于相异度计算和指数加权vs证据理论的网络安全态势要素提取方法,该方法包括多源报警聚类和融合两个阶段。针对多源报警的不同阶段,首先研究一种基于DSimC的多源报警聚类方法,即通过计算报警之间的不同类型特征相异度来判断报警之间的相似程度;其次研究一种基于EWDS的多源报警融合方法,即通过融合不同数据源所提供的证据综合识别入侵攻击行为。实验结果表明,所提出的方法在TPR,FPR和DIR指标方面均取得了不错的效果,克服了单个安全设备误报率和漏报率高的问题,为进一步的网络安全态势评估和预测提供了有力的数据保障。     

基于Apriori算法的攻击行为时序关联规则检测方法

针对当前大部分入侵检测系统(IDS)的报警信息只包括对单独攻击行为的描述,缺少攻击行为之间的关联规则,使得IDS数量巨大的报警数据难以理解的问题,探索并实现了一种通过将报警信息进行关联生成报警序列,并且使用Apriori算法挖掘报警序列中的攻击行为时序关联规则的方法.实验证明了该方法能检测出报警数据中蕴含的各攻击行为之间的时序关联规则.     

基于网络数据包进出比率的DDoS检测方案研究

本文提出了一种基于网络数据包进出比率的DDoS检测方案,该方案在正常网络状态下计算不同类型（TCP、UDP和ICMP）数据包的进出比率,并用此进出比率维护一个滑动窗口,采用中心极限定理,根据滑动窗口的数据。估计正常进出比率的置信区间,然后通过验证当前网络数据包进出比率是否落入置信区间对网络状态作检测。该方案部署在网络的边界路由器中实时对网络的状态进行检测,能够检测不同类型的DDoS攻击并进行报警。     

离散小波变换Haar-LL的行人检测研究

提出一种基于二维离散Haar小波变换的局部二值模式(LBP)与局部梯度模式(LGP)的特征融合方法。对图像进行二维离散Haar小波变换,得到4个不同频率的子图像,对低频部分子图像提取LBP特征,对3个高频部分子图像提取LGP特征,将3个LGP特征并接融合后与LBP特征串接融合进行行人检测。在Matlab环境下利用支持向量机(SVM)对INRIA数据集进行5组实验,分别将该方法与梯度方向直方图(HOG)、金字塔梯度方向直方图(PHOG)、LBP、LGP进行检测率、检测时间、光照鲁棒性以及噪声鲁棒性对比。综合各项实验数据表明,该方法在光照鲁棒性以及噪声鲁棒性方面都能取得更好的效果。     

LDBP和LBP特征融合的行人检测

提出一种基于局部差分二值模型（Local Difference Binary Pattern,LDBP）和局部二值模型（Local Binary Pattern,LBP）的特征融合方法,以解决行人检测中检测精确度和鲁棒性不足的问题。对输入图像进行二维离散Haar小波变换,得到不同频率的四个子图像（LL,LH,HL和HH）;对低频部分子图像提取LDBP特征,以及对其他三个高频部分子图像提取LBP特征;采用主成分分析法（PCA）分别对得到的LDBP特征和LBP特征进行降维;融合降维后的LDBP特征和LBP特征进行行人检测。在INRIA数据集上采用支持向量机（SVM）进行测试,实验结果表明,该方法能有效地提高检测精确度,且具有较好的鲁棒性。     

无线传感器网络中的Sybil攻击检测方案

Sybil攻击是一种对无线传感器网络(WSN)危害巨大的攻击方式,它破坏WSN中的数据融合、公平资源分配等机制。为此,提出一种基于HCRL的Sybil攻击检测方案。该方案基本思想是Sybil节点创建的多个身份只拥有同一个物理位置,通过对HCRL算法的优化检测出Sybil节点。Sybil攻击对网络性能影响严重,而加入检测方案后网络性能有较大提升。通过仿真实验和性能分析证明了该方案的有效性和低系统开销。     

多特征融合的脑电情绪分类

为进一步探究不同类型特征互补性对脑电情绪分类的影响,提出一种基于多特征融合的脑电情绪分类新方法。对预处理后的脑电信号进行DE、MST和SampEn特征提取,采用双样本T检验去除冗余筛选出最优特征并融合,采用SVM分类模型来识别不同的情绪状态。在SEED-Ⅳ数据集上的实验结果表明,单一特征中DE的平均分类准确率最高（77.86%）,而融合非线性SampEn特征与功能连接MST属性后平均分类准确率得到进一步提升（84.58%）,不同时间段采集的数据上重测实验则证明了该方法的有效性与稳定性。     

基于改进的R-FCN带纹理透明塑料裂痕检测

为了解决利用传统的机器学习方法来检测带纹理透明塑料裂痕的检测精度和识别率不高的问题,提出一种改进的基于区域的全卷积网络（Region-based Fully Convolutional Networks,R-FCN）检测方法,通过对R-FCN中的残差网络（Residual Network,ResNet）特征提取网络进行混合尺度感受野融合处理,弥补了原网络对微小裂痕敏感度不高的缺点。实验表明,改进后的R-FCN检测方法的裂痕检测精度比基于传统机器学习支持向量机（Support Vector Machine,SVM）检测方法的裂痕检测准确率高20%左右,比未改进的R-FCN检测方法的检测准确率高8%,证明了该方法的有效性。     

结合卷积神经网络和三支决策的入侵检测算法

随着网络入侵行为的多样化和智能化,传统的入侵检测算法在面对高维特征、非线性的海量数据时,存在特征提取不充分、模型分类不够精确等问题,为此,提出了一种结合卷积神经网络（convolutional neural networks,CNN）和三支决策（three-way decision,TWD）的入侵检测算法。卷积神经网络具有优越的特征提取能力;同时,三支决策可以规避因信息不足而盲目分类造成的风险,且减少分类所耗费的时间。该方法通过卷积神经网络对高维数据进行特征提取,构建多粒度特征空间,然后基于三支决策理论对网络行为做出即时决策,对于无法即时决策的网络行为进行延迟决策,即对该部分网络行为再次特征提取以构建不同的粒度特征空间,最后输出分类结果。该方法建立的模型在NSL-KDD、CIC-IDS2017数据集上的实验结果表明,提出的算法可以提升入侵检测系统的性能。     

求解分布式顺序统计CFAR检测器参数的新方法

复杂条件下,分布式顺序统计恒虚警率（OS-CFAR）检测系统的参数选择和检测性能分析是一个典型的非线性优化问题,通常采用数值求解和计算机搜索的方法。但在复杂条件下,特别是当传感器数量较多,或采用分布式OS-CFAR这种双门限参数检测方式时,其计算量会异常庞大。提出了一种基于模拟退火的微粒群优化算法,将模拟退火思想引入到具有杂交和高斯变异的粒子群优化算法中,并采用具有递减w算法,保证算法具有较好的全局搜索能力和较好的收敛性。使用这种方法,在进化100代后,在保证精度达到0.000 001,可使所有的系统参数同时得到优化。仿真结果表明,同遗传算法比,虽然该方法收敛速度稍慢,但是可避免遗传算法的早熟问题,同时该方法实施简单方便,便于工程应用。     

一种基于HOG-LBP的高效车辆检测方法

针对形状特征在车辆检测中存在的误检现象,在分析误检原因的基础上,提出一种融合形状和纹理特征的车辆检测方法。对检测窗口中划分的胞元进行方向梯度直方图特征和统一化局部二进制模式算子的求解,统计检测窗口中各胞元的特征情况,在形成浏览窗口的形状和纹理特征过程中,采用主成分分析解决特征的高维度和冗余问题,结合支持向量机进行特征训练和检测实验。实验结果证明,该方法有效兼顾车辆图像的形状和纹理两方面的特征,在不影响检测速度的同时,明显降低了车辆检测的误检率,在时效和精度两方面都取得较好的效果。     

基于GAN-PSO-ELM的网络入侵检测方法

针对传统机器学习方法在处理非平衡的海量入侵数据时少数类检测率低的问题，提出一种融合生成式对抗网络（GAN）、粒子群算法（PSO）和极限学习机（ELM）的入侵检测（GAN-PSO-ELM）方法。对原始网络数据进行预处理，利用GAN并采用整体类扩充的方式对数据集进行少数类样本扩充。在扩充后的平衡数据集上，利用PSO算法优化ELM的输入权重与隐含层偏置，并建立入侵检测模型。在NSL-KDD数据集上进行仿真实验。实验结果表明，与SVM、ELM、PSO-ELM方法相比，GAN-PSO-ELM不仅具有较高的检测效率，而且在整体检测准确率上平均提高了3.74%，在少数类R2L和U2R上分别平均提高了28.13%和16.84%。     

基于递进式特征增强聚合的伪装目标检测

伪装目标检测（COD）旨在检测隐藏在复杂环境中的目标。现有COD算法在结合多层次特征时,忽略了特征的表达和融合方式对检测性能的影响。为此,提出一种基于递进式特征增强聚合的COD算法。首先,通过主干网络提取多级特征;然后,为了提高特征的表达能力,使用由特征增强模块（FEM）构成的增强网络对多层次特征进行增强;最后,在聚合网络中设计邻近聚合模块（AAM）实现相邻特征之间的信息融合,以突显伪装目标区域的特征,并提出新的递进式聚合策略（PAS）通过渐进的方式聚合邻近特征,从而在实现多层特征有效融合的同时抑制噪声。在3个公开数据集上的实验表明,所提算法相较于12种最先进的算法在4个客观评价指标上均取得最优表现,尤其是在COD10K数据集上所提算法的加权的F测评法和平均绝对误差（MAE）分别达到了0.809和0.037。由此可见,所提算法在COD任务上拥有较优的性能。