数据挖掘在网络异常检测中的应用

简要介绍了入侵检测技术,研究将数据挖掘技术应用于网络异常检测,应用数据挖掘中的关联分析方法和序列模式分析的方法提取网络审计数据中的正常或异常的行为模式,这种模式用频繁情节规则表示.     

基于数据挖掘的人侵检测技术研究

介绍了入侵检测的一些基本概念,以及如何将数据挖掘应用于入侵检测;并给出了数据挖掘技术的定义、入侵检测模型、基于数据挖掘的入侵检测框架;提出了用户行为模式的异常检测、更新自动机算法及合适状态的评价算法.     

基于元学习的网络入侵协同检测框架

提出了一种基于元学习的网络入侵协同检测框架.利用数据挖掘/分布式数据挖掘技术提取检测到新型攻击行为的模式,并实时地加入攻击特征库;利用元学习方法进行协同检测,并给了出一个改进的最佳检测模型的搜索算法,能够自动地调整分类算法的参数和系统阈值.     

数据挖掘技术在Web网站安全中的应用

Web网站的安全是影响商务网站发展的一个十分重要的问题。介绍了数据挖掘技术及其在Web网站安全中的应用。从三个层次讨论Web网站的安全:基于数据挖掘技术的网络入侵检测,实现网站低层网络级安全;在系统用户级实现异常检测,防止系统用户的越权行为;对Web日志进行数据挖掘,发现Web用户的异常行为,实现高层安全。     

基于数据挖掘的入侵检测技术研究

介绍了入侵检测的一些基本概念,以及如何将数据挖掘应用于入侵检测;并给出了数据挖掘技术的定义、入侵检测模型、基于数据挖掘的入侵检测框架;提出了用户行为模式的异常检测、更新自动机算法及合适状态的评价算法。     

基于压缩感知算法的传感器网络异常事件检测

为改善传感器网络异常事件检测效果,提出一种基于压缩感知算法的传感器网络异常事件检测模型.首先采集传感器网络状态信息,并采用压缩感知算法对信息进行采样和重构,在减少传感器网络异常事件检测信息的同时,删除一些无效信息;然后从重构后的传感器网络异常事件检测信息中提取特征,组成传感器网络异常事件检测的特征向量;最后采用极限学习机建立传感器网络异常事件检测模型,并进行传感器网络异常事件检测仿真实验,分析模型的性能.实验结果表明,压缩感知算法可加快传感器网络异常事件检测速度,且传感器网络异常事件检测率高于95%,明显高于其他传感器网络异常事件检测模型.     

基于混合生成网络的软件系统异常状态评估

针对现有软件系统异常状态评估方法过度依赖数据标注、对时序数据的时间依赖性关注较低和系统异常状态难以量化等问题,提出一种基于混合生成网络的软件系统异常状态评估方法.首先,通过对长短期记忆网络（long short-term memory network, LSTM）与变分自动编码器（variational auto-encoder, VAE）的融合,设计一种LSTM-VAE混合生成网络,并以该网络为基础构建基于LSTM-VAE混合生成网络的系统异常状态检测模型,由LSTM对系统数据的时序特征进行提取并由VAE对系统数据的分布进行建模.然后,由LSTM-VAE异常状态检测模型处理系统关键特征参数,获取系统关键特征参数的异常度量值.最后,利用耦合度方法对传统的线性加权和方法进行优化,通过加权耦合度优化方法计算得到软件系统异常状态的量化值,从而实现对软件系统的异常状态评估.实验结果表明,本文模型对软件系统的异常时序数据具有较好的检测能力,其对系统异常状态的评估结果更为合理、有效.     

基于混合入侵检测技术的网络入侵检测方法

总结了异常检测和误用检测的优缺点,结合其优点,并克服其缺点,提出了基于混合入侵检测技术的网络入侵检测系统模型.对于同一行为,异常检测结果和误用检测结果不总是一样的,跟踪算法有效地解决了异常检测结果与误用检测结果不完全相同的问题;采用了数据挖掘方法建立正常行为轮廓库,并采用了全序列比较法和相关函数法实现异常检测引擎;提出的模型较基于单一入侵检测技术的模型相比,具有更好的检测效果.     

用数据挖掘的方法构建可扩展的入侵检测系统

利用审计程序提取了一个能够描述每个网络连接或者主机会话的扩展的属性集 ,并利用数据挖掘程序学习那些可以精确描述入侵行为和正常活动的规则 .这些规则可以用于滥用检测和异常检测 .并且提出了一个数据挖掘在构建可扩展的入侵检测系统时的框架 ,针对不同方式的入侵 ,该框架采用不同的模式进行检测 ,并形成最后的结论     

基于光流块统计特征的视频异常行为检测算法

提出了一种基于光流块统计特征的视频异常行为检测算法.该算法首先对训练集视频序列的光流场进行分块及预处理,而后提取光流块的统计特征,所提取的块统计特征同时包括了光流块的幅度信息和相位信息,通过训练集得到的光流块统计特征训练出对应的正常行为的高斯混合模型(GMM).测试集通过同样的方式提取光流块统计特征,通过计算所提取统计特征以多大的概率属于GMM判定所检测光流块的异常程度.实验结果表明,该算法能够在一定程度上解决运动物体一致性和部分遮挡问题,并提高了异常行为检测的准确率.     

基于时间序列分析的网络流量异常检测

针对传统模型无法对网络流量异常进行准确识别和检测的问题,提出一种基于时间序列分析的网络流量异常检测模型.首先提取网络流量的原始数据,并对原始数据进行小波阈值去噪处理,消除干扰因素的影响;然后采用时间序列分析法挖掘网络流量数据之间的变化关系,建立网络流量异常检测模型;最后通过仿真实验验证检测模型的有效性和优越性.实验结果表明,时间序列分析法可以准确、及时地检测网络流量的异常行为,且结果优于目前其他网络流量异常检测模型.     

基于混沌差分优化算法的网络入侵检测系统

开发一套新的网络入侵检测系统来证实应用混沌差分优化算法入侵检测技术的有效性。这个系统联合了基于混沌差分优化算法的异常检测和基于专家系统的滥用检测,在开发异常检测的部分时,利用混沌差分挖掘技术来从正常的行为存储模式中寻找差异,根据混沌差分进化算法的全局搜索性选择一个合适的特征集合,滥用检测部分用于寻找特征集合中异常行为描述模式,这种模式很可能预示着入侵,网络的通信量和系统的数据被用做两个元件的输入。此系统的系统结构既支持异常检测又支持滥用检测、既适用于个人工作站又可以适用于复杂网络。     

基于模糊数据挖掘技术的入侵检测算法与应用

基于数据挖掘技术的入侵检测技术是近年来研究的热点,目前有不少入侵检测系统中都采用了关联分析的数据挖掘方法,现有的关联分析算法只能够解决数据中分类属性的挖掘,对于数值属性则不能直接使用,然而网络流量数据中包含了许多反映入侵状况的数值属性,已有学者提出了将数值属性先进行分类而后再进行关联分析的挖掘方法,然而这种方法带来的问题是在进行异常和正常划分时存在明确的界限,即“尖锐边界问题”,由于网络安全概念自身具有一定的模糊性,因此明确的界限可能会导致误报和漏报的情况产生,从而影响检测效果,文中提出了一种基于模糊关联挖掘技术的入侵检测算法,并采用遗传算法确定划分模糊集合的隶属度函数参数,最后的实验结果说明了该算法的有效性。     

基于随机森林的车载CAN总线异常检测方法

针对目前车载网络的信息安全问题, 在控制器局域网(CAN)总线异常检测方法的基础上, 提出一种基于随机森林模型的CAN总线报文异常检测方法. 首先用采集的大量正常和异常报文数据构造随机森林模型, 并进行一系列的参数调整; 然后将待检测的CAN总线报文输入到对应ID的随机森林模型中; 最后通过模型完成报文正常或异常的分类. 仿真实验结果表明, 该模型能有效检测出总线上的异常数据, 提升了汽车运行的安全性.     

基于流量状态特性的网络异常流量检测模型研究

提出了一种网络流量异常状态统计模型--混合二次网络状态G(X2,DKS,DKKS,DAKS)模型.该模型从动态性原则以及降低误检率和漏检率思想出发,改进原有统计模型,建立了可以动态设定描述网络流量状态参数的加权统计模型.基于混合二次网络状态模型G(X2,DKS,DKKS,DAKS)的入侵检测系统进一步证明了该模型可以更大程度上提高异常检测性能,降低其误检率和漏检率.     

基于特征组合分析的主泵异常检测方法

为了解决传统阈值法在核电站主泵状态数据异常检测中的误判、实时性差等问题,提出一种基于单维状态数据特征分析和多维状态数据特征分析相结合的方法。对于单维状态参量,使用AR(auto regressive)模型拟合获得模型参数,再结合SOM(self organizing maps)神经网络的量化结果得到单维状态参量随时间变化的过渡概率序列;对于多维状态参量,使用OPTICS(ordering points to identify the clustering structure)算法聚类生成不同的模式组;然后根据两类特征提取结果综合分析,得到异常检测模型;最后将检测模型应用于主泵状态数据异常检测,并与其他方法进行比较。实验结果表明此模型在准确性、实时性上更具优势。     

融合双重自监督信号的图异常检测

图异常检测是网络研究中的一项重要内容。为解决以往工作中常依赖单一自监督信号而不能很好地检测多类型异常的问题,提出一种融合结构和属性的自监督图异常检测模型。首先选取目标节点,再基于图元邻接矩阵采样得到对应的负例节点;其次,构造正负子结构,并基于图卷积网络学习子结构表示以得到结构自监督信号;再次,依托自编码器对属性进行重构以获得属性自监督信号,解决节点匿名化带来的属性平滑问题;最后,通过对比学习对重构前后的正负实例对进行差值学习,以实现异常检测。在4个数据集上进行了3组实验,结果表明模型能够有效检测图中的异常节点。