基于Linux的未知木马检测系统研究及实现

针对传统木马检测方法对未知木马识别能力低下的缺陷,结合行为监控和人工免疫学,建立并实现了一个基于Linux的未知木马检测系统。该系统具备自主检测和自学习功能,结合内容检测,利用网络监控检测局域网内部计算机的木马存在情况。实验测试表明,该系统降低了检测的漏报率,具有良好的检测效果。     

基于多数据流分析的木马检测方法

传统基于单数据流的木马检测方法在实际应用中具有较高的误报率,为此提出一种基于多数据流分析的木马检测方法.通过对应用程序的数据流进行聚类形成数据流簇,在数据流簇上提取相应属性特征描述木马的通信行为,并采用集成学习方法对改进的C4.5决策树分类算法进行多轮训练,生成检测规则,建立检测模型.实验表明,基于多数据流分析的木马检测方法有效降低了传统基于单数据流检测的误报率,并且对无控制端的木马通信数据流具有较好的检测能力,产生的重复报警信息也大大减少,提高了基于数据流的木马检测方法的实用性.     

木马网络通信特征提取模型的设计与实现

由于木马等窃密型恶意程序对网络安全的危害性日益增加,为了提高网络入侵检测系统对木马的检测效果,研究分析了木马的网络通信形式和特点,结合一种改进的序列联配算法,设计并实现了一个木马网络通信特征自动提取模型.该模型提高了对木马通信特征进行分析的自动化程度和准确性,实例测试表明了该模型的实用性和有效性.     

利用序列分析的远控木马早期检测方法研究

远控木马(RAT)是一类以窃取机密信息为主要目的的恶意程序,严重威胁着网络空间安全.现阶段基于网络的远控木马检测方法大多对数据流的完整性有较高的要求,其检测存在一定程度的滞后.在分析远控木马通信会话建立后初期流量的序列特性的基础上,提出了一种利用序列分析的远控木马早期检测方法.该方法以远控木马被控端和控制端交互中第一条TCP流为分析对象,重点关注流中由内部主机向外部网络发送且数据包传输层负载大于α字节的第一个数据包(上线包)及其后续数个数据包,从中提取包含传输负载大小序列、传输字节数和时间间隔在内的三维特征并运用机器学习算法构建了高效的早期检测模型.实验结果表明,该方法具备快速检测远控木马的能力,其通过远控木马会话建立后初期的少量数据包即可高准确率地检测出远控木马流量.     

基于网络通信指纹的启发式木马识别系统

对比传统木马检测技术的原理及特点,根据网络数据流检测木马的需求,提出一种基于网络通信特征分析的木马识别方法。引入通信指纹的概念扩展通信特征的外延,用实验方法归纳木马在连接、控制和文件传输阶段表现出的通信指纹信息,设计并实现一个启发式木马网络通信指纹识别系统。测试结果表明,该系统运行高效、检测结果准确。     

人工免疫在未知木马检测中的应用研究*

针对传统木马检测技术比较被动这一缺陷,提出一种基于人工免疫原理的木马检测方法。利用人工免疫具有自适应以及免疫学习能力的特点,将人工免疫原理应用到木马检测中。分析了数据来源特征,给出了计算抗体与抗原或抗体与抗体之间相似度以及抗体的适应度公式,建立了一个木马检测系统模型;实验测试了利用人工免疫的方式检测木马能有效提高木马检测的检测率,减少误报率。     

执行依赖启发式动态规划PMSM控制策略研究

永磁同步电机算法中的PID参数固定不变,自适应能力较差;近似动态规划具有自学习能力,能动态调整参数,增强系统的自适应能力;文章将近似动态规划中的代表性算法——执行依赖启发式动态规划与类PI网络相结合,根据环境反馈对各个策略进行评价,选取评价最优的策略在线调整动作网络参数,对永磁同步电机进行自适应最优控制;仿真结果表明,执行依赖启发式动态规划加PI控制算法在系统速度变化和负载变化过程中,动态效果和稳态精度优于传统PID控制.     

融合互近邻降噪的动态数据流分类研究

动态数据流分类挖掘应用场景逐渐增多,如何辨识出动态数据流中概念漂移和噪声信息成为数据流分类研究中的重点。因此提出一种具备噪声检测能力的动态数据流增量式分类挖掘模型解决此类问题。当动态数据流中出现样本信息与分类模型概念不相容时,采用互近邻思想检测样本是否为噪声,在此基础上用支持向量机作为学习器,通过增量式学习解决数据流中概念漂移。在两种不相容度量标准下,结合理论分析和实验,证明了所提的分类方案是有效可行的。     

基于灰色预测可变裕度PID网络自适应算法

为了综合控制拥塞链路的队列长度,提高AQM系统对动态网络环境的自适应能力,提出了一种基于灰色预测和考虑可变裕度PID控制的自适应TCP网络主动队列管理。首先,建立相角和幅值裕度与网络参数相关的PID自适应主动队列(TCP/AQM)控制论模型,该模型可以根据网络参数的变化而动态改变控制参数,以提高AQM网络动态自适应能力,及系统的鲁棒性;其次,将灰色预测引入该模型,实现路由器队列长度的超前预测,补偿带有PID反馈模块的AQM算法给队列造成的时滞影响。与其他算法的仿真结果相比较,该设计算法能够使信息流在较短的时间内稳定在期望队列长度阈值附近。     

基于Haar小波的队列动态多尺度自适应智能预测

为降低网络拥塞风险和实现对网络队列缓存资源状态预测,基于智能控制技术和多尺度表示方法,通过引进自适应补偿模糊因子,运用Ｈａａｒ小波的优良特性,构造了一类在线无监督学习实时预测补偿模糊神经网络,提出了基于Ｈａａｒ队列动态多尺度融合自适应智能预测方案．仿真表明,该预测策略对于自相似特性数据流在队列缓存动态具有较好的预测能力．     

自组织增量学习神经网络综述

自组织增量学习神经网络SOINN（self-organizing incremental neural network）是一种基于竞争学习的两层神经网络,用于在没有先验知识的情况下对动态输入数据进行在线聚类和拓扑表示,同时,对噪音数据具有较强的鲁棒性.SOINN的增量性,使得它能够发现数据流中出现的新模式并进行学习,同时不影响之前学习的结果.因此,SOINN能够作为一种通用的学习算法应用于各类非监督学习问题中.对SOINN的模型和算法进行相应的调整,可以使其适用于监督学习、联想记忆、基于模式的推理、流形学习等多种学习场景中.SOINN已经在许多领域得到了应用,包括机器人智能、计算机视觉、专家系统、异常检测等.     

利用木马的自启动特性对其进行监控*

特洛伊木马作为一种新型的计算机网络入侵程序,比其他病毒对网络环境中计算机信息资源的危害都要大.提出利用木马的一个重要特征--自启动特性对其进行监控.通过挂接系统服务,对注册表和文件系统进行监控,从而实现木马检测.与传统的检测方法相比,这种方法能有效地检测已知的和新出现的木马.由于是在内核中实现监控,一般木马很难逃避这种检测.     

An incremental neural learning framework and its application to vehicle diagnostics

This paper presents a framework for incremental neural learning (INL) that allows a base neural learning system to incrementally learn new knowledge from only new data without forgetting the existing knowledge. Upon subsequent encounters of new data examples, INL utilizes prior knowledge to direct its incremental learning. A number of critical issues are addressed including when to make the system learn new knowledge, how to learn new knowledge without forgetting existing knowledge, how to perform inference using both the existing and the newly learnt knowledge, and how to detect and deal with aged learnt systems. To validate the proposed INL framework, we use backpropagation (BP) as a base learner and a multi-layer neural network as a base intelligent system. INL has several advantages over existing incremental algorithms: it can be applied to a broad range of neural network systems beyond the BP trained neural networks; it retains the existing neural network structures and weights even during incremental learning; the neural network committees generated by INL do not interact with one another and each sees the same inputs and error signals at the same time; this limited communication makes the INL architecture attractive for parallel implementation. We have applied INL to two vehicle fault diagnostics problems: end-of-line test in auto assembly plants and onboard vehicle misfire detection. These experimental results demonstrate that the INL framework has the capability to successfully perform incremental learning from unbalanced and noisy data. In order to show the general capabilities of INL, we also applied INL to three general machine learning benchmark data sets. The INL systems showed good generalization capabilities in comparison with other well known machine learning algorithms.     

基于Faster R-CNN和增量学习的车辆目标检测

随着深度学习的研究热潮,近年来对车辆目标的检测逐步从机器学习方法转变为深度学习方法.目前,大多数深度学习方法对车辆目标的检测都存在不同程度的错检漏检问题.针对车辆目标检测中存在的小目标的错检漏检、截断式待检目标的漏检和重叠遮挡待检目标的漏检等问题,提出一种基于增量学习数据集的车辆目标检测方法,该方法与Faster R-CNN算法结合对车辆目标实现检测和分类.在实验的最后,分别从主观判断和客观检测数据两个方面,对比了车辆目标检测中未使用增量学习方法和使用增量学习方法对实验结果的影响.实验证明,使用基于增量学习和Faster R-CNN的车辆目标检测方法在主观判断方面对错检漏检的目标有明显地改善效果,从客观数据分析,使用该方法与未使用增量学习方法相比,VGG16网络mAP值提升了4%,ResNet101网络mAP值提升了6%.     

新型含噪数据流集成分类的算法

针对数据流中概念漂移和噪声问题,提出一种新型的增量式学习的数据流集成分类算法。首先,引入噪声过滤机制过滤噪声;然后,引入假设检验方法对概念漂移进行检测,以增量式C4.5决策树为基分类器构建加权集成模型;最后,实现增量式学习实例并随之动态更新分类模型。实验结果表明,该集成分类器对概念漂移的检测精度达到95%~97%,对数据流抗噪性保持在90%以上。该算法分类精度较高,且在检测概念漂移的准确性和抗噪性方面有较好的表现。     

Incremental deep forest for multi-label data streams learning

Multi-label learning has attracted many attentions. However, the continuous data generated in the fields of sensors, network access, etc., that is data streams, the scenario brings challenges such as real-time, limited memory, once pass. Several learning algorithms have been proposed for offline multi-label classification, but few researches develop it for dynamic multi-label incremental learning models based on cascading schemes. Deep forest can perform representation learning layer by layer, and does not rely on backpropagation, using this cascading scheme, this paper proposes a multi-label data stream deep forest (VDSDF) learning algorithm based on cascaded Very Fast Decision Tree (VFDT) forest, which can receive examples successively, perform incremental learning, and adapt to concept drift. Experimental results show that the proposed VDSDF algorithm, as an incremental classification algorithm, is more competitive than batch classification algorithms on multiple indicators. Moreover, in dynamic flow scenarios, the adaptability of VDSDF to concept drift is better than that of the contrast algorithm.

     

一种基于数据流分析的网络行为检测

为了更好地对网络行为进行分析, 提出了一种基于数据流分析的网络行为检测方法。通过分析网络系统体系架构, 对网络行为进行形式化建模, 并针对网络行为特点提出了一种基于与或图的行为描述方法, 最终设计实现了基于数据流分析的网络行为检测算法。实验证明该方法能在多项式时间内完成数据流事件中的关系分析, 而且与其他算法相比, 能有效提高网络行为检测的查准率。     

A new method of mining data streams using harmony search

Incremental learning has been used extensively for data stream classification. Most attention on the data stream classification paid on non-evolutionary methods. In this paper, we introduce new incremental learning algorithms based on harmony search. We first propose a new classification algorithm for the classification of batch data called harmony-based classifier and then give its incremental version for classification of data streams called incremental harmony-based classifier. Finally, we improve it to reduce its computational overhead in absence of drifts and increase its robustness in presence of noise. This improved version is called improved incremental harmony-based classifier. The proposed methods are evaluated on some real world and synthetic data sets. Experimental results show that the proposed batch classifier outperforms some batch classifiers and also the proposed incremental methods can effectively address the issues usually encountered in the data stream environments. Improved incremental harmony-based classifier has significantly better speed and accuracy on capturing concept drifts than the non-incremental harmony based method and its accuracy is comparable to non-evolutionary algorithms. The experimental results also show the robustness of improved incremental harmony-based classifier.     

一种基于Bagging-SVM的智能传感器集成学习方法

集成多个传感器的智能片上系统( SoC)在物联网得到了广泛的应用.在融合多个传感器数据的分类算法方面,传统的支持向量机( SVM)单分类器不能直接对传感器数据流进行小样本增量学习.针对上述问题,提出一种基于Bagging-SVM的集成增量算法,该算法通过在增量数据中采用Bootstrap方式抽取训练集,构造能够反映新信息变化的集成分类器,然后将新老分类器集成,实现集成增量学习.实验结果表明:该算法相比SVM单分类器能够有效降低分类误差,提高分类准确率,且具有较好的泛化能力,可以满足当下智能传感器系统基于小样本数据流的在线学习需求.