基于分层抽样的入侵检测方法

将分层抽样理论应用于网络入侵检测。通过统计网络数据包负载字段中的字节分布规律，得到数据包异常的度量，将此度量作为分层特征参数，用以从总体中抽取出有价值的样本。建立了基于Mahalanobis距离的异常检测模型对样本进行检测。实验结果表明，采用DARPA 1999年IDS评测数据集，在选定的97个待检测的攻击实例中，当保证误报率低于19／6时，本方法可以达到50%以上的检测准确率。     

开发基于Snort的安全网管和实时检测系统

本系统基于网络入侵检测系统(NIDS)模型,放置在比较重要的网段内,不停地监视网段中的各种数据包.对可疑的数据包进行特征分析.如果数据包与系统内置的特定规则吻合,入侵检测系统就会发出警报.此外还提供部分安全网管功能,如数据流量统计和当前活动连接查看等.本系统主要适用的环境是中小型企业网络或校园网.     

面向入侵检测系统的模式匹配算法研究

针对入侵检测系统对基于攻击特征的网络数据包的检测效率低和丢包率高的问题,在分析典型的模式匹配算法的基础上,提出了一种Boyer Moor Horspool Fast(BMHF)匹配算法.引入一个新的判断函数Q(X)指出字符X在模式串中出现的次数,当出现次数为1时可以利用已匹配的信息加大移动距离,同时利用文本串中不匹配字符后面的一个字符进行匹配,从而得到一个移动距离.将不同移动规则下获得的移动距离的最大值作为实际的移动距离,依次进行,直到匹配完成.实验结果表明,BMHF算法的CPU运算时间比典型的模式匹配算法可平均节省5.7%,平均匹配次数减少12.5%.     

入侵检测集群中的动态自适应负载均衡算法

为了解决传统入侵检测系统无法应付高速网络的问题,提出了入侵检测群集的动态自适应负载均衡算法,该算法给每个节点设置了一个数据包接受区间,通过对网络报文的报头信息做哈希(Hash)运算,把数据包映射到某个节点的接受区间内;根据节点的处理能力和负载调节各个节点接受区间的宽度,从而合理分配各个节点上的网络流量,充分利用所有节点的计算资源。理论分析和实验结果表明,该算法在高带宽环境中有较高的效率。     

并行入侵检测系统的动态自适应负载均衡算法

网络入侵检测系统的处理速度难以跟上网络的速度,使用多个分析引擎并行处理网络报文可以大幅度提高网络入侵检测系统的性能。考虑到负载均衡的要求,提出了一种并行入侵检测系统的动态自适应负载均衡算法,该算法给每个分析引擎设置了一个数据包接受区间,通过对网络报文的报头信息做哈希运算,把数据包映射到分析引擎的接收区间内;根据分析引擎的处理能力和负载情况调节各个分析引擎接受区间的宽度,从而合理分配每个分析引擎上的网络流量,充分利用所有分析引擎的计算能力。理论分析和实验结果表明,该算法在高带宽环境中有较高的效率。     

基于数据挖掘的网络入侵检测系统模型的研究

论述了入侵检测系统的基本概念,结合异常检测和滥用检测,提出了基于数据挖掘的网络入侵检测系统模型。介绍了该系统模型的基本思想,该系统模型通过将预处理的网络数据包送到数据挖掘过程控制模块,产生出能精确描述入侵行为和系统正常行为模式的规则,并且自动产生精确适用的检测模型。     

基于行为分布的DDoS攻击检测方法

分布式拒绝服务(distributed denial of service,DDoS)攻击能够在短时间内产生巨量的数据包耗尽目标主机或网络的资源,经过研究发现这些伪造的数据包在一个特定的时间内有着合法数据包所不具备的函数特点。因此,本文提出了行为分布的模型,一旦有可疑流流入服务器,则开始计算这些可疑流的行为分布差异,如果该差异小于一个设定的阈值,则判断有DDoS攻击发生;反之则为合法的数据访问。根据NS-3的模拟实验,证明该模型能够有效的从合法访问中区分出DDoS攻击流,对提前控制DDoS攻击的发生具有重要的意义。     

基于自适应模型的数据库入侵检测方法

提出了一种基于自适应模型数据库入侵检测方法(ASIDS).该方法基于矩阵和最小支持度函数的AprioriZ关联算法,依据在训练和自适应入侵检测阶段产生数据库的操作特征,用户根据实际需求动态调整最小支持度函数的值,更高效挖掘操作特征.结合层次聚类算法产生动态规则库,通过计算待检测数据操作特征与规则库中聚类的距离是否超过聚类间最大距离来判断异常,以避免已有检测系统中判断"边界尖锐"问题,并实时把正常操作特征归入动态规则库,通过对报警信息的关联分析降低误警率.实验结果表明,ASIDS能够实时地进行入侵检测,具有很高的检测率和较低的误警率.     

基于高速网络环境的Snort主动包过滤预处理器研究

提出一种Snort主动包过滤预处理插件,在高速网络环境下,通过主动丢弃对检测误报率影响较小的数据包减轻系统负载,避免Snort在超负荷运行情况下的随机丢包现象。由于异常数据包主要来自于每个网络流前面的一定数量的数据包。因此,该预处理器实时地监控Snort的负载变化,当检测引擎负载超过一定阈值时,主动过滤掉网络流后面的正常数据包。实验表明,使用主动包过滤预处理器并采用一定的Snort调整行为可以在保证较低误报率的前提下有效降低Snort的漏报率,提高系统的检测效率。     

粗糙集理论中基于距离的异常检测

针对现实世界中的不确定与不完整数据,根据粗糙集理论的框架提出了一种基于距离的异常检测方法.由于粗糙集理论是处理不确定性与不完整性的一种有效工具,因此该方法可以从不确定与不完整的数据中高效地检测出异常.另外,定义了2种特定的距离度量,用来计算2个对象之间的距离.最后,对粗糙集理论中基于距离的异常检测算法也进行了讨论.     

基于行车声音端点检测的交通量统计

基于传统特征的行车声音端点检测法存在重叠有车段识别率低、双门限阈值较难确定的问题,针对这两个问题,探索性地将梅尔频率倒谱系数(Mel frequency cepstral coefficients,MFCC)倒谱距离特征和短时能量特征进行了融合并应用于交通量检测。首先选取了周围环境较为安静的一个双车道路段,并采集了该路段上包含重叠有车段的行车声音;其次提取了行车声音的短时能量特征和MFCC倒谱距离特征,并对它们在端点检测中的优劣进行了分析对比;再次提出了一种融合短时能量特征和MFCC倒谱距离特征的新特征,并基于新特征将传统的双门限判决思路改进成了单门限判决思路;最后利用新特征对有车段进行端点检测并统计交通量。实验结果表明:基于融合特征的端点检测方法能有效解决重叠有车段识别率低和双门限阈值较难确定的问题。     

网络入侵的聚类算法研究与实现

入侵检测中对知入侵的检测主要由异常检测完成,传统的异常检测方法需要构造一个正常行为特征轮廓的参考模型,但建立该特征轮廓和确定异常性报警的门限值都比较困难,而且建立该特征轮廓使系统开销大.据此本文提出一种针对入侵检测的聚类算法和一种数据处理方法.该算法通过动态更新聚类中心和类内最大距离实现,收敛速度快,再结合对数据的预处理使聚类效果更好.实验结果表明,此算法用于以未知入侵检测为代表的特殊模式检测方面是可行和有效的.     

基于卡尔曼自回归的LTE天线端口数检测算法

在长期演进(long term evolution, LTE)系统中,传统天线端口数检测使用盲检测的方式分别对1,2和4端口数进行解码,直至物理广播信道系统消息成功通过循环冗余码校验,该方法会产生大量的计算冗余和时延。针对这一问题,提出一种改进的卡尔曼自回归天线端口数检测算法,该算法通过提取不同天线端口对应的小区参考信号得到信道状态信息,并将信道状态的相位信息进行卡尔曼自回归拟合,将自回归拟合后的相位与接收信号相位作差得到的平均值与预设判决门限进行比较,以得到天线端口数判决结果。理论分析与仿真结果表明,改进算法相较于传统盲检测算法节省的时间开销可达49%。在相同信噪比下,相较于其他优化后的门限判决算法,改进算法最多提高约10%的检测成功率且具有更优的抗频偏性能。     

微通信元系统构架下拥塞控制服务元的设计

提出了把拥塞控制机制做成独立且又易扩展的拥塞控制类服务元．它结合了模糊随即早期检测算法和模糊漏桶算法的优点，加入了站到站抑制信号的反馈，使网络中数据流量抖动平缓，并能及时响应和缓解拥塞情况．     

基于隐马尔可夫模型的程序行为异常检测

针对入侵检测中普遍存在误报与漏报过高的问题，提出了一种基于隐马尔可夫模型的程序行为异常检测新方法．该方法以程序正常执行过程中产生的系统调用序列为研究对象，建立计算机的正常程序行为模型．在入侵检测时，先对测试的系统调用数据用滑动窗口划分得到短序列，再根据正常程序行为的隐马尔可夫模型求得每个测试短序列的输出概率，如果系统调用短序列的输出概率低于给定阈值，则将该短序列标定为“不匹配”，如果测试数据中不匹配的短序列数占总短序列数的百分比超过另一给定阈值，该模型就认为此程序行为异常．实验结果表明，与Forrest和Lee的方法相比，所提方法的检测率的最大提高率可达590％．     

一种面向特定网络服务的异常检测方法

通过对入侵检测技术以及攻击种类的分析,发现常用的网络流量模型和简单的应用模型不能很好地检测R2L(Remote to Local)和U2R(User to Root)两类攻击.为此,提出一种面向特定网络服务的异常检测方法,考虑了特定网络服务的负载知识,结合信息论相关理论和n-gram分析方法,对正常服务请求报文的类型、长度、负载分布建立模型,对检测对象计算其特征异常值,有效检测R2L和U2R两类攻击.将该方法与误用检测结合,能有效提高入侵检测的准确性.     

Research on internet traffic classification techniques using supervised machine learning

Internet traffic classification is vital to the areas of network operation and management. Traditional classification methods such as port mapping and payload analysis are becoming increasingly difficult as newly emerged applications (e.g. Peer-to-Peer) using dynamic port numbers, masquerading techniques and encryption to avoid detection. This paper presents a machine learning (ML) based traffic classification scheme, which offers solutions to a variety of network activities and provides a platform of performance evaluation for the classifiers. The impact of dataset size, feature selection, number of application types and ML algorithm selection on classification performance is analyzed and demonstrated by the following experiments: (1) The genetic algorithm based feature selection can dramatically reduce the cost without diminishing classification accuracy. (2) The chosen ML algorithms can achieve high classification accuracy. Particularly, REPTree and C45 outperform the other ML algorithms when computational complexity and accuracy are both taken into account. (3) Larger dataset and fewer application types would result in better classification accuracy. Finally, early detection with only several initial packets is proposed for real-time network activity and it is proved to be feasible according to the preliminary results.     

基于计算机视觉的驾驶员疲劳状态检测预警技术研究

疲劳驾驶是造成交通事故的主要原因之一,为提高驾驶员疲劳驾驶状态的智能化检测水平,提出一种基于计算机视觉的面部多特征疲劳驾驶检测算法。该算法采用多线程优化后的Dlib（图像处理开源库）实现对驾驶员面部的定位与追踪,利用Dlib开源库中的人脸关键点检测器对驾驶员面部关键特征点进行提取,实时计算驾驶员眼部的纵横比（EAR）和嘴部长宽比（MAR）,并以自制视频流数据集作为实验样本计算出相关阈值,有效提高了检测算法的普适性,在此基础上,计算出眨眼频率、闭眼次数、眼睛闭合时间百分比（perclos）以及打哈欠频率这四个反映驾驶员疲劳状态的指标,并利用数学方法进行指标实时融合,根据融合指标的数值对驾驶员疲劳状态进行分级,最终通过实验验证该疲劳检测系统的准确性。结果表明,提出的综合疲劳指标能够准确反映在不同环境和光照下驾驶员的疲劳状态和发展趋势,驾驶员疲劳判定的正确率达到97.5%以上。     

基于辅助粒子滤波的盲多用户检测快速算法

针对粒子滤波在盲多用户检测中计算复杂的问题，构建了一种低复杂度的辅助粒子滤波盲多用户检测快速算法．在同步快变平衰落信道下，该算法对超过门限数目的粒子进行分类，并以匹配滤波检测器的检测值作为相应类别粒子权系数的加速依据，以不同类别粒子的概率差闽值及匹配滤波检测器的检测值作为粒子滤波所需粒子数目是否足够的判断准则，自动调节不同情况下所需的粒子数目，通过降低粒子数目来降低粒子滤波盲多用户检测算法的计算复杂度．仿真结果表明，辅助粒子滤波快速算法在多用户检测性能上可与原粒子滤波算法相比拟，且计算量可降低30％～40％．     

基于流量特征识别的哑终端安全管控系统

网络摄像头、网络打印机这类基于IP协议无用户交互界面的物联网哑终端通常基于嵌入式系统开发,存在程序固化难以更新、计算资源有限、采用简单的安全认证机制等问题,出现安全漏洞难以进行升级很容易被攻击者控制发起网络攻击.针对上述问题,本文设计并实现了基于流量特征识别的哑终端安全管控系统.该系统提取终端的流量特征,实现终端的身份鉴别和行为监管.在设备接入时,提取终端的流量静态特征实现身份鉴别;在设备接入后通过分析流量动态行为特征判断其是否存在异常行为.发现异常行为后阻断会话连接.该系统在实验环境和实测环境下性能均表现较好,设备识别准确率达到96.6%,异常检测准确率达到97.7%,可有效检测DOS、端口扫描等网络攻击行为.