网络切片中物理节点的分布式在线异常检测方法

网络切片中的异常检测问题是实现网络切片自动化管理的重要研究内容,针对网络切片中物理节点的异常检测问题,提出了基于支持向量数据描述的分布式在线物理节点异常检测方法.基于支持向量数据描述建立了一种分布式的物理节点异常检测模型;通过引入随机近似函数,解决了数据分布式存储场景下的核函数计算问题,从而实现观测数据的切片内处理;基于随机梯度下降法,提出了一种在线的物理节点异常检测算法,保证了模型动态更新并减轻了异常数据导致的模型性能下降.在不同条件下进行了仿真分析,仿真结果表明,该方法可在避免切片间观测数据传输的同时,有效利用网络切片中虚拟网络功能的无标签观测信息检测物理节点异常.     

二值无线传感网络下异常活动的分布式检测

针对无线传感网络下的异常活动检测问题,提出了异常活动分布式检测方法(distributed abnormal activity detection approach,DetectingAct). DetectingAct将活动的定义从轨迹扩展到轨迹和持续时间的组合,将异常活动定义为在数据分布上与正常活动,即数据中反复出现的活动,偏差较大的活动,利用节点自身计算资源和存储资源进行检测. DetectingAct采用时间相关的频繁项集挖掘算法(duration-dependent frequent pattern mining algorithm,DFPMA )从数据中挖掘正常活动. 算法采用了非监督学习方法,避免了监督学习需要大量标记数据的缺点;按分布式存储机制(distributed knowledge storage mechanism,DKSM)将正常活动模式存入各节点;用分布式检测算法(distributed abnormal activity detection algorithm,DAADA )检测活动. 理论分析和实验结果表明,分布式检测方法相比传统的活动检测算法,实时性更强,平均检测长度为轨迹的78.2%,精度更高,准确率达到96.9%.      

ID-DC:基于分布式聚类的入侵检测方法

提出了基于分布式聚类的异常入侵检测方法ID-DC,通过对训练集进行分布式聚类产生聚簇模型,采用基于双参考点的标识算法Double-Reference标记异常簇,不需要具有类别标签的训练集且可自动确定聚簇模型的个数.实验中采用了网络入侵检测数据集KDD-CUP-99来训练模型.实验结果表明:通过采用分布式聚类算法建立的分布式入侵检测模型可有效地检测攻击,检测率高,误警率低.     

基于PCA的无监督异常检测方法研究

针对现有的无监督异常检测技术的不足之处,提出了一种基于样本分布异常数据实例度量方法;将主成分分析方法应用到异常检测中解决数据集高维数据的降维问题.提出一种新的无监督异常检测算法μ-UAD,并对该算法进了性能评估.实验表明,该算法具有较好的检测性能.     

Ad Hoc网络的一种入侵检测模型

对Ad Hoc网络的路由安全性问题进行了研究,提出了一种分布式网络协作入侵检测模型,该模型建立在路由协议之上,针对不同的路由协议,分析其安全漏洞,总结攻击行为的判定规则,进行本地入侵检测;在此基础上,以多点协作的联合检测机制提高检测的正确率;并从节省网络资源的角度对入侵检测模型进行优化配置.以AODV路由协议为例介绍了该模型的工作机制,利用仿真软件NS2搭建网络仿真平台进行仿真实验,结果表明,该检测模型能更好地保障网络安全.     

基于生成式对抗网络的自监督多元时间序列异常检测方法

异常检测是数据挖掘的重要研究方向之一.工业设备的各项指标以多元时间序列的形式被传感器监测，多元时间序列的异常检测对保障安全和提高服务质量至关重要，但是异常的定义相对模糊，具有异常标签的数据很稀少.此外，多元时间序列具有复杂的时间依赖性和随机性，使异常检测存在许多问题.提出CPCGAN模型，使用自监督学习的方法对多元时序数据进行异常检测.首先使用对比学习的方法得到多元时序数据的表示向量，再将具有先验信息的表示向量作为输入用来训练生成式对抗网络，通过生成式对抗网络的重构误差来确定异常.在五个数据集上与五种无监督异常检测方法进行对比，实验结果证明提出的方法能有效地检测两类异常，并且，在大多数数据集上的表现更好.     

一种基于移动Agent分布式入侵检测系统

针对目前入侵检测系统的不足,将新型分布式处理技术移动Agent与入侵检测融为一体,提出了一种基于移动代理的分布式入侵检测系统(DIDS)的模型;实现了基于该模型的分布式入侵检测系统;采取了保证分布式入侵检测系统自身安全的防范措施.通过移动代理,各Agent相互独立,同时能在网络中自由移动,并具有良好的灵活性,降低了网络通信量和系统负载,有效保证系统的安全.     

一种分布式入侵检测系统模型研究

针对传统的入侵检测方法存在的局限性,分析了分布式入侵检测系统的优势,并在此基础上提出了一种新的分布式入侵检测系统的模型,并对其各个功能模块进行了设计.该系统模型兼具基于特征和基于异常行为的特点,采用主机配置和网络布置相互配合的方式,并能与防火墙联动进行入侵防范.     

多学科协同过程设计模型的共享与交互技术

针对多学科协同产品设计的需求,提出了一种基于.3D格式共享模型的协同过程交互控制技术.分析了基于共享模型视图的多学科协同设计模式,建立了浏览器/服务器(B/S)结构、消息驱动的协同过程产品模型共享环境,给出了双令牌的基于设计优先权和排序时间的共享模型互操作方法,完成了设计消息的XML封装、交换与共享.在基于Web的分布式、异构环境下完成了原型系统开发.该方法为协同产品设计过程提供了一个分布式的、应用模型共享的工作空间.     

融合双重自监督信号的图异常检测

图异常检测是网络研究中的一项重要内容。为解决以往工作中常依赖单一自监督信号而不能很好地检测多类型异常的问题,提出一种融合结构和属性的自监督图异常检测模型。首先选取目标节点,再基于图元邻接矩阵采样得到对应的负例节点;其次构造正负子结构,并基于图卷积网络学习子结构表示以得到结构自监督信号;再次,依托自编码器对属性进行重构以获得属性自监督信号,解决节点匿名化带来的属性平滑问题;最后通过对比学习对重构前后的正负实例对进行差值学习,以实现异常检测。在4个数据集上进行了3组实验,结果表明模型能够有效检测图中的异常节点。     

ID—DC：基于分布式聚类的人侵检测方法

提出了基于分布式聚类的异常入侵检测方法ID—DC，通过对训练集进行分布式聚类产生聚簇模型，采用基于双参考点的标识算法Double—Reference标记异常簇，不需要具有类别标签的训练集且可自动确定聚簇模型的个数．实验中采用了网络入侵检测数据集KDD—CUP-99来训练模型．实验结果表明：通过采用分布式聚类算法建立的分布式入侵检测模型可有效地检测攻击，检测率高，误警率低．     

基于密度峰值聚类的电力大数据异常值检测算法

为了解决传统算法检测准确性低,复杂性高不适于电力大数据异常值检测的问题,通过密度峰值聚类算法研究了电力大数据异常值检测问题。分析了密度峰值聚类算法的聚类过程。按照聚类中心选择原则,通过相邻距离和密度的归一化乘积对聚类点的差异度进行衡量,按照差异度的统计特性与改变趋势选择最大的一组点当成聚类中心。按照z空间填充曲线与高维数据点z携带位置信息特性提出基于z的分布式密度峰值聚类算法,降低异常检测复杂性,以达到电力大数据异常值检测要求。采用优化后的密度峰值聚类算法对电力大数据异常值进行检测,在局部密度超过阈值,同时距离超过阈值的情况下,认为相应电力数据点为异常值。将基于距离的检测算法和基于密度的检测算法作为对比进行测试,结果表明:所提算法得到的异常电力数据点,和实际情况相符,和其他两种算法相比没有出现错检测和漏检测的情况。可见所提算法适于电力大数据异常值检测,且检测结果准确性高。     

基于瀑布型混合技术的异常检测算法

针对隔离森林(iForest: isolation Forest)算法对局部异常点检测能力较低, LOF(Local Outlier Factor)算法 检测时间较长的问题, 提出了基于瀑布型混合技术的隔离森林算法 iForest-WHT(isolation Forest based on Waterfall Hybrid Technology)。 该算法借鉴瀑布型混合技术思想, 将隔离森林算法作为过滤器, 以分割路径为阈 值判断依据, 将路径小于阈值的数据放入候选异常子集, 继而使用考虑极值影响的改进的 LOF 算法对候选异 常子集进一步精化, 得到更加精确的异常点。 实验结果证明, 该算法能以较高的效率识别局部异常点, 提高了 算法的 F 1 值, 并且降低原 LOF 算法的误检率。     

基于时间序列分析的网络流量异常检测

针对传统模型无法对网络流量异常进行准确识别和检测的问题,提出一种基于时间序列分析的网络流量异常检测模型.首先提取网络流量的原始数据,并对原始数据进行小波阈值去噪处理,消除干扰因素的影响;然后采用时间序列分析法挖掘网络流量数据之间的变化关系,建立网络流量异常检测模型;最后通过仿真实验验证检测模型的有效性和优越性.实验结果表明,时间序列分析法可以准确、及时地检测网络流量的异常行为,且结果优于目前其他网络流量异常检测模型.     

基于负载预测的分布式拒绝服务攻击检测方法研究

通过分析分布式拒绝服务攻击(Distributed Denial Of Service,DDOS)的特点,提出一种基于主机负载-并发连接时间序列预测的DDOS攻击检测方法。该方法改进了传统的异常检测方法,对并发连接序列进行预测,以预测值作为对未来时段内主机负载正常状态的估计,增强了正常行为描述的时效性,提高了攻击检测率,并具有低延时特性。该方法涉及两项关键技术:一是预测技术,二是异常判断方法。为提高预测精度,首次将小波分析引入主机负载预测,建立了小波-神经网络预测模型;为提高异常判断准确性,采用了“滑动窗口”方式。实验表明,基于负载预测的DDOS攻击检测优于传统的异常检测方法。     

基于混合入侵检测技术的网络入侵检测方法

总结了异常检测和误用检测的优缺点,结合其优点,并克服其缺点,提出了基于混合入侵检测技术的网络入侵检测系统模型.对于同一行为,异常检测结果和误用检测结果不总是一样的,跟踪算法有效地解决了异常检测结果与误用检测结果不完全相同的问题;采用了数据挖掘方法建立正常行为轮廓库,并采用了全序列比较法和相关函数法实现异常检测引擎;提出的模型较基于单一入侵检测技术的模型相比,具有更好的检测效果.     

传感器网络时间序列数据的事件分类研究

目前智能环境中传感器网络所采集的海量数据面临着进行有效事件的模式分类及异常检测的难题.为了有效对智能环境中传感器网络采集的时间序列数据所表征的事件进行分类,提出了基于协方差特征空间映射数据的聚类分析方法.通过对采集得到的时间序列数据按时隙进行划分,映射到协方差特征空间,然后对映射后的数据进行了动态密度聚类,从而实现对事件的分类;并根据聚类结果建立分类模板,作为对日常事件进行分类划分的检测方法,同时利用所得的分类模板,实现对异常事件的检测.实验结果表明,基于协方差特征空间映射数据的聚类分析方法能有效对传感器网络采集的时间序列数据所表征的事件进行分类,并能有效提升异常事件的检测及筛选效果.     

基于图演化事件的主机群异常检测模型

针对网络环境中出现的以服务为聚合的通信行为和以分布式攻击为典型的新型协同攻击模式,提出了基于图演化事件的主机群异常检测模型。分析了行为主体潜在的社会化关系、聚集成簇的主机群及其群体行为的动态特性,该模型具有无参数、数据量级可扩展的特点。定义并提出了图动态演化事件及检测算法,实现异常主机群检测。本模型在Spark上实现和部署,还从实际计算机和网络环境提取数据进行分析和验证。实验结果表明,该模型能够有效刻画群体行为,揭露重要的图演化事件,准确定位异常发生的主机群,其群成员主机的检测率达到95.09%。