用于异常检测的单级免疫学习算法

基于对多级免疫学习算法(M ILA)的批评性研究,提出了单级免疫学习算法(SILA)。该算法适用于低维度特征量的异常检测,提高了探测器训练的效率和效益,而且对M ackey-G lass时间序列数据的检测取得了很好的实验结果。     

基于TLR异常检测系统的DC算法研究

在数据异常检测实验中,针对传统DC(Dendritic Cell)算法的检测不够精确的问题,结合生物免疫体系中天然免疫的TLR(Toll-Like Receptor)的工作机制,提出一种基于TLR异常检测系统的DC算法。该算法首先利用DC算法得到成熟与半成熟的DC,再将这两类DC作为输入提供给TLR进行处理,最后通过对激活TC的刺激水平来判断是否异常。     

基于网络的漏洞检测系统的设计

在深入探讨其功能和特性的基础上,设计出一种网络漏洞检测系统模型,详述了此模型的组成、相应模块的主要功能及系统运行过程。     

数据挖掘在免疫入侵检测中的应用

论述了数据挖掘在免疫IDS系统中的应用，详细描述了关联规则和序列模式挖掘算法，在一定程度上弥补了阴性选择算法的不足。并提出了一个新的基于数据挖掘和人工免疫的入侵检测模型，克服了现有入侵检测模型的缺点。     

一种提高检测效率的V-detector优化算法的设计

实值阴性选择算法V-detector在产生检测器时不能确保检测器具有较大的覆盖范围,其结果是检测器集合中的检测器数量过多,检测效率较低。为提高检测效率,提出了V-detector优化算法,一方面,通过合理确定检测器的中心点位置及检测半径,扩展了检测器的覆盖范围;另一方面,优化算法采用假设检验的判定方法判断检测器集合对非自体空间的覆盖率。假设检验融合到检测器集合的生成进程中,在确保检测器集合满足覆盖率要求的条件下,减少了检测器集合中的检测器数量。实验结果表明,与原算法相比,优化算法使检测器集合中检测器的数量大幅度下降,检测效率得到提高。     

基于免疫阴性选择算法的异常入侵检测

生物免疫系统的保护机制为我们设计计算机入侵检测系统带来了巨大的灵感,使得计算机免疫成为能解决复杂入侵问题的一种信息安全技术而备受关注.在本文中,我们提出一个新的异常入侵检测算法,该算法能够快速生成有效的检测器,并能实时检测入侵.     

基于人工免疫原理的入侵检测研究

将人工免疫的原理运用到计算机入侵检测系统中,充分利用了人工免疫系统的分布性、自适应性和高效性.为入侵检测系统的高误报率和缺乏自适应性问题的解决提供了一个模型框架.并对生成检测器的阴性算法进行了描述.     

软件漏洞检测系统的设计研究

结合fuzzing技术、API序列特征匹配技术及特征函数参数检测技术等,开发研究了一种新的软件漏洞检测系统。能有效发掘Window环境下的软件中潜在的未知安全漏洞,提高了软件漏洞检测效率。     

基于免疫的网络动态实时异常检测模型

网络异常检测已成为入侵检测系统发展的重要方向.现有异常检测模型对检测模式描述为一种静态方式,缺乏良好的自适应性和协同性,检测率低,难以满足高速网络环境下实时检测的需求.针对此,借鉴人体免疫系统优异的自学习自适应机制,提出了一种新的基于免疫的网络动态实时异常检测模型NAIM.该模型通过对检测模式进行动态描述,结合抗体细胞动态克隆原理,探讨种痘及疫苗分发机制,实现检测模式随真实网络环境同步演化,从而提高网络异常检测的准确性和及时性.     

分布式漏洞检测系统的设计与实现

针对目前主流的漏洞检测工具检测时间长、误报率高以及使用攻击代码影响系统运行等缺点,提出了一种基于OVAL的分布式漏洞检测系统,采用基于主机的漏洞检测方法发现系统存在的安全漏洞.该系统由检测代理和中心管理子系统组成,其中检测代理执行检测插件对目标主机系统进行漏洞检测,而中心管理子系统提供安全知识定义和检测算法.经实验测试,与其他漏洞检测工具相比,具有检测速度快、精度高、对网络运行状况影响小和可扩展性强的优点.适用于检测大规模局域网中各主机系统的漏洞状况.     

异常检测在报警关联分析中的应用

为了给报警关联提供时间控制以提高关联的合理性和效率将误报警流作为背景流量,真实报警作为整个报警流的异常.利用经典统计模型即均值方差模型检测报警流量强度的异常,进而把异常的时间段提供给报警关联,仅对异常时间段内的报警进行关联分析.实验显示,该检测模型能够为报警关联分析提供时间控制,使得关联分析能够取得更加精炼而有意义的结果.由于集中分析异常时间段内的报警,该模型可显著地帮助网络管理员节省时间和精力.     

网络入侵异常检测中数据预处理的研究

在网络入侵异常检测中,数据预处理是一个非常重要的步骤,数据预处理的好坏直接影响后续检测的准确性．本文针对基于层次聚类的网络入侵异常检测中两个问题,在数据预处理阶段做出改进,一是属性冗余和属性权重问题,运用粗集理论对各个属性赋予权重并进行属性约减,二是粗集理论中连续数据离散化问题,提出了针对数据特点的自适应离散化算法,该算法是根据样本属性值分布来决定离散间隔,最后针对两个改进方法进行了实验,并与采用现有离散化方法进行了对比,实验结果证明了该算法的有效性和准确性．     

基于联邦学习的网络异常检测

作为一类网络安全的基础研究,网络异常检测技术目前还存在检测准确率低、误报率高以及缺乏标签数据等问题。为此提出一种融合联邦学习和卷积神经网络的网络入侵检测分类模型（CNN-FL）,可有效解决多个参与者在不共享隐私数据的情况下进行一个全局模型的协作训练时所带来的问题。该模型无需汇集模型训练所需要的数据进行集中计算,只是传递加密的梯度相关数据,即可利用多源数据协同训练同一模型,并解决缺乏标签数据的问题。随后将该模型应用于二分类和多分类方法中,并在同一基准数据集NSL-KDD上进行了实验比较与分析,实验结果表明,与其他研究方法相比,所提CNN-FL分类模型在二分类以及多分类中具有较高的识别性能和分类精度。     

用于异常检测的实值否定选择算法

针对已有实值否定选择算法检测器生成过程的不足,提出了一种优化的检测器生成算法。充分利用自体空间的分布,优化检测器生成的中心位置,扩大检测器的半径,尽可能生成覆盖范围大的检测器;使用覆盖率期望值作为算法结束的一个控制参数,有效地避免了冗余检测器的产生。建立了异常检测系统的形式化描述,定义了一个新的异常检测性能衡量指标——错误率。最后,通过人工合成数据集2DSyntheticData以及实际的Iris数据集及Biomedical数据集对算法进行了验证。试验结果表明,相比V-detector算法,本文算法提高了检测率,降低了错误率,减少了所需检测器数量,整体检测性能较优。     

多无人机编队异常检测的偏差补偿估计

为避免多假设检验及概率不等式的复杂性,采用数据驱动的检测法,无需无人机的先验结构信息,仅利用无人机模型的输入-输出观测数据序列来实现多无人机编队的异常检测。对于各架无人机的非线性未知关系式,利用可无限逼近的基函数簇将原非线性未知关系式展开,将其表示成回归矢量与参数矢量的线性回归形式。采用最小二乘法求解参数估计矢量,再通过残差来设计异常检测器。当非线性关系式中仅包含有输入量时,通过最小二乘法得到的残差异常检测器可达到较好的性能。当非线性关系式中同时包含有输入和输出量时,由最小二乘法得到参数估计矢量是有偏估计,此有偏估计势必会影响最终的残差异常检测器。因此在有偏参数估计矢量中添加偏差补偿项,使之成为无偏估计矢量;并推导此偏差补偿项的表示形式,证明添加此偏差补偿项后的无偏性,提出替换偏差补偿项中某矩阵的构造方法。最后用仿真算例验证所提方法的有效性。     

Methods for Increasing Creditability of Anomaly Detection System

Based on Bayes‘ theorem we point out that the false positive rate must be lower than the intrusion base rate in order to make the Alarm Credibility Probability of the intrusion detection system exceed 50%. We present the methods that have been used in our developing intrusion detection system AIIDS (artificial immune intrusion detection systems) to increase the creditability of anomaly detection system. These methods include increasing the regularities of the system call trace by use of Hidden Markov Model (HMM), making every antibody or detector has finite lifetime, offering the detector a co-stimulate signal to illustrate whether there is damage in the system according to the integrity, confidentiality, or availability of the system resource.     

基于误用检测与异常行为检测的整合模型

针对入侵检测中普遍存在检测率低与误报过高的问题,采用基于多维-隐马尔可夫模型的检测方法和基于Apriori算法的误用检测技术相结合的入侵检测系统(intrusion detection system,IDS)模型.新模型减少了单纯使用某种入侵检测技术时的漏报率和误报率,同时在异常检测模块中采用了隐马尔可夫与简单贝叶斯分...     

基于相对熵的网络流量异常检测方法

网络流量的异常检测是网络安全领域一个重要分支,目标是及时准确地检测网络中发生的突发攻击事件。现有流量异常检测方法如数据挖掘、小波分析等方法或因检测效果较差,或因算法复杂,难以满足实时在线流量检测的应用需求。文中引入信息熵概念,通过对网络流量进行分维和分层实时计算网络流量相对熵,提出了一种基于相对熵的流量异常检测方法,算法时间复杂度为O(N×log2N×D)。实验分析表明,当检测率达到0.80～0.85时,误报率控制在0.03～0.05,可同时满足系统实时性和准确性要求。     

基于神经网络的程序异常监测

针对传统入侵检测系统的不足,研究了基于反向传播神经网络的程序异常检测方法,提出了一个改进的利用多层前馈网络的预测功能和异常区域判定方法检测系统异常的算法.详细讨论了算法的基本原理、数学基础、设计和实现方法.通过实验,分析算法的优缺点,验证了算法的可行性和有效性.