基于报警数据融合的智能电网攻击检测方法

智能电网中信息技术的广泛使用为攻击者提供了更多的途径入侵和攻击电力系统,这已成为智能电网安全的最大隐患之一。提出了一种基于异常数据融合的智能电网攻击检测方法,通过入侵检测系统发现信息网络中的异常流量,利用标准化残差方法检测电力系统中的异常量测数据,通过关联信息网络和物理系统的异常报警数据来检测智能电网攻击事件。仿真实验表明该方法可以消除入侵检测与标准化残差检测产生的大量错误报警,显著提高智能电网攻击的检测精度。     

基于隐马尔可夫模型的无线局域网媒体接入控制层入侵检测方法

将无线局域网媒体接入控制(MAC)层字段作为检测入侵的分析对象,提出了基于隐马尔可夫模型(HMM)的无线局域网MAC层入侵检测方法.采用了基于控制台、服务器、代理的3层分布式无线局域网入侵检测框架;基于HMM模型对无线局域网的MAC帧头部进行建模;利用正常的无线局域网络数据对HMM进行训练,并记忆正常系统下的数据包行为.由此,检测发现了出现概率小的数据包或数据包序列,并制定了入侵检测阈值.试验结果表明,所提方法对已有的无线局域网MAC层攻击的误报率和漏报率比较低,并能检测未知攻击.     

基于移动模糊推理的DoS攻击检测方法

通过对入侵检测中模糊技术应用和移动模糊推理方法的研究,设计并实现了基于移动模糊推理的DoS攻击入侵检测系统.首先,描述了移动模糊推理方法与模糊推理步骤;其次,详细阐述了用时间差与IP地址分布变化的DoS攻击检测方法与基于移动模糊推理的攻击检测系统,创建了用于检测的模糊规则,确定网络攻击.最后,把DoS攻击工具与DARPA 98数据集作为入侵检测数据集,对基于移动模糊推理的方法与现行方法进行测试,验证了所提方法的有效性.     

自适应滤波实时网络流量异常检测方法

针对网络中的各种常见攻击,提出一种基于自适应滤波的网络流量异常检测方法.首先对多种流量指标进行递推最小二乘法预测,然后以预测误差所构造的统计量容许范围进行异常检测,最后对检测结果实施归一化评估.该方法具有无需任何历史训练数据、能大量减少报警次数、突出报警严重程度的特点.在DARPA入侵检测评估数据集上的实验表明,所提方法更适合检测拒绝服务攻击引起的异常,较之相同权向量下的同类方法,其异常检测率、误报率和检测速度等性能更好.     

基于改进胶囊网络的过程控制攻击检测方法

为解决传统入侵检测算法无法准确识别过程控制攻击的问题,提出一种基于改进胶囊网络的过程控制攻击检测方法。该算法利用多层卷积在提取复杂输入特征方面的优势,将原始流量转化为灰度图像进行初级特征提取;同时引入残差连接以解决梯度消失问题,利用胶囊网络特有的动态路由机制对初级特征进行聚类。使用2017 QUT＿S7comm数据集进行实验。结果表明：所提方法在测试集上的准确率可达94.64%,在验证集上对各类攻击的识别准确率均在90%以上,实验证明所提方法可以有效预防针对工控系统的过程控制攻击。     

一种基于少量异常标签的SQL注入攻击检测方法

SQL注入攻击通过入侵目标数据库实现对数据的窃取或破坏,危害性极大.SQL注入攻击检测可帮助及时发现潜在的安全威胁,从而有利于数据库安全防护.然而在智能交通系统中,由于其内部的复杂性和SQL注入攻击新变种的不断涌现,可供机器学习模型训练的异常标签样本往往较少,使得现有大多数SQL注入攻击检测方法容易存在模型过拟合和性能退化的问题.针对上述问题,本文综合考虑智能交通系统和SQL注入攻击的特点,设计了一种基于比特编码的SQL注入攻击检测框架.该框架无需预训练词嵌入模型和进行语法规则解析.基于该框架,本文提出基于注意力机制的半监督SQL注入攻击检测模型(ASDM).该模型首先通过重构数据样本,学习样本特征的中心趋势和离散程度等高层次特征,表达特征后验分布和特征偏离程度;接着将该高层次特征与数据编码特征融合,突出不同类别数据间的差异;最后引入注意力机制和残差网络构造检测器输出判定结果,以使模型能够根据重要程度对特征施加不同的关注力度,同时具有较强的泛化能力.实验结果表明：本文方法在数据标签不平衡的情况下,相较于其他SQL注入攻击检测方法具有更优的检测性能;并能够检测未知SQL注入攻击.     

基于时空融合深度学习的工业互联网异常流量检测方法

基于流量异常发现网络中的攻击行为具有普适性优势，而传统的异常流量检测方法难以适应大量复杂的工业互联网流量特征提取，针对此问题提出一种基于时空融合深度学习的工业互联网异常流量检测方法。对类别不平衡的流量数据进行预处理操作，以形成样本分布较为均衡的流量数据集;使用融合聚合残差变换网络和门控循环单元的深度学习模型从空间和时间维度上提取流量数据特征，实现时空融合的流量数据特征的综合提取;通过Softmax分类器对流量数据进行分类。实验测试结果表明，所提方法具有较高的准确率和F1值，分别可达到94.7%和95.47%。与传统的异常流量检测方法相比，所提方法提高了对工业互联网异常流量数据的检测指标，且模型的运行时间相对较短。     

基于生成对抗网络的入侵检测类别不平衡问题数据增强方法

数据类别不平衡问题是制约机器学习技术在入侵检测领域应用效果的重要因素。当训练数据不均衡时,训练得到模型的分类结果往往倾向多数类,从而极大影响分类效果。针对基于机器学习算法进行入侵检测时训练样本不均衡以及由于数据隐私性导致训练样本不足和更新慢的问题,提出一种基于生成对抗网络和深度神经网络相结合的入侵数据增强方法,以实现样本集的类别均衡。通过NSL-KDD数据集对模型评估,本文所提方法不仅具有较高的准确率,而且对未知攻击和只有少数样本的攻击类型具有较高的检测率。     

基于异常流量可视化的通信网络入侵攻击路径智能跟踪技术

为了解决通信网络的安全问题,防止通信网络被入侵,通过异常流量可视化方法研究了一种有效的通信网络入侵攻击路径跟踪技术。把流量采集点网卡设置成多样模式,对通信网络中的镜像流量进行采集。针对交换机上内外网间的端口流量,通过流量处理中心将不同网段采集点流量数据集合在一起统一处理,产生流量态势。针对采集及经处理后的流量,通过Set Timer()定时器函数发送消息,对消息进行处理,重绘窗口,实现流量可视化显示。将流量不对称性、SYN/ACK不对称性和方差过大作为异常流量特征参数,对异常流量进行检测。对流量异常入口进行限速处理,逐级向上进行限速,使得路径中已进行限速路由器下的全部路由器均限速,被标记的流量不会由于拥塞被删除。在减缓入侵的状态下通过异常流量,按照标记对攻击路径进行跟踪。结果表明,通过选择异常流量特征可有效检测异常流量;所提技术路径跟踪收敛速度与误报率比其他技术更低。可见,所提技术跟踪准确性好,整体性能优。     

基于AMCNN-LSTM的电力无线接入专网异常流量检测

为了减轻电力无线专网系统因网络业务增多而带来的网络攻击以及异常流量入侵的安全事故隐患,提出了一种基于注意力机制的卷积-长短期记忆网络(convolution-long short-term memory network based on attention mecha-nism,AMCNN-LSTM)模型.该模型为避免序列特征稀疏分布的问题,采用卷积神经网络(convolutional neural net-work,CNN)提取时间序列数据特征并转化为维度固定的稠密向量;为防止记忆丢失和梯度分散问题,使用融合注意力机制的CNN单元来捕捉重要的时间序列细粒度特征;将CNN提取局部特征与长短期记忆网络(long short-term memory network,LSTM)提取序列特征的优势相结合,对电力接入专网流量数据进行异常检测.通过在电力网真实数据集上实验表明,基于注意力机制的算法能够在150轮次迭代下达到89.14％的召回率及89.67％的综合F-meas-ure得分.所提出的模型能够及时、准确地检测电力网络异常流量,有效提高检测效率及准确度.     

拟态防御下的网络流量异常检测架构

网络流量异常检测是负载均衡、入侵检测、流量工程等应用的基础，但现有检测方案在遭受网络攻击、服务器发生软错误等异常情况下缺乏足够鲁棒性.为此，引入拟态防御思想，提出一种基于拟态防御的网络流量异常检测架构.通过设计多个异构检测模块，以增强检测鲁棒性.为减少拟态化构造引入的额外开销，设计了索引数据结构、迷你执行体.基于真实流量数据的初步实验结果表明，采用的多模裁决机制减少了检测假阳性，所提架构平均准确率强于传统异常检测方案.     

A Hybrid Unsupervised Clustering-Based Anomaly Detection Method

In recent years, machine learning-based cyber intrusion detection methods have gained increasing popularity. The number and complexity of new attacks continue to rise; therefore, effective and intelligent solutions are necessary. Unsupervised machine learning techniques are particularly appealing to intrusion detection systems since they can detect known and unknown types of attacks as well as zero-day attacks. In the current paper,we present an unsupervised anomaly detection method, which combines Sub-Space Clustering(SSC) and One Class Support Vector Machine(OCSVM) to detect attacks without any prior knowledge. The proposed approach is evaluated using the well-known NSL-KDD dataset. The experimental results demonstrate that our method performs better than some of the existing techniques.     

一种面向特定网络服务的异常检测方法

通过对入侵检测技术以及攻击种类的分析,发现常用的网络流量模型和简单的应用模型不能很好地检测R2L(Remote to Local)和U2R(User to Root)两类攻击.为此,提出一种面向特定网络服务的异常检测方法,考虑了特定网络服务的负载知识,结合信息论相关理论和n-gram分析方法,对正常服务请求报文的类型、长度、负载分布建立模型,对检测对象计算其特征异常值,有效检测R2L和U2R两类攻击.将该方法与误用检测结合,能有效提高入侵检测的准确性.     

基于自动编码器和长短时记忆网络的智能汽车故障诊断方法研究

智能汽车故障诊断技术对于保障智能汽车安全行驶具有重要意义,本文针对智能汽车传感器数据异常检测和车辆运动的异常检测提出了一系列故障诊断方法. 针对非时序传感器数据,采用基于超限学习框架的自动编码器,对正常数据进行特征压缩学习其特征表示,再利用压缩的特征重构数据,根据重构误差的大小判断数据是否异常. 针对时序传感器数据,采用多层长短时记忆网络学习时序数据之间的时间依赖关系来预测当下时刻的数据值,根据预测误差的大小判断数据是否异常. 提出一种阈值随误差大小动态变化的自适应阈值确定方法,使得决策变量对于异常值相对敏感. 进一步地,采用车辆自行车运动学模型和Kalman滤波,利用Jarque-Bera测试对预测值和量测值残差的正态性进行检验来检测车辆运动是否异常. 实际场地测试验证了本文所提出的方法可以有效检测非时序或时序传感器数据的异常,并对车辆运动是否异常进行检测.     

融合双重自监督信号的图异常检测

图异常检测是网络研究中的一项重要内容。为解决以往工作中常依赖单一自监督信号而不能很好地检测多类型异常的问题,提出一种融合结构和属性的自监督图异常检测模型。首先选取目标节点,再基于图元邻接矩阵采样得到对应的负例节点;其次,构造正负子结构,并基于图卷积网络学习子结构表示以得到结构自监督信号;再次,依托自编码器对属性进行重构以获得属性自监督信号,解决节点匿名化带来的属性平滑问题;最后,通过对比学习对重构前后的正负实例对进行差值学习,以实现异常检测。在4个数据集上进行了3组实验,结果表明模型能够有效检测图中的异常节点。     

基于时间序列分析的网络流量异常检测

针对传统模型无法对网络流量异常进行准确识别和检测的问题,提出一种基于时间序列分析的网络流量异常检测模型.首先提取网络流量的原始数据,并对原始数据进行小波阈值去噪处理,消除干扰因素的影响;然后采用时间序列分析法挖掘网络流量数据之间的变化关系,建立网络流量异常检测模型;最后通过仿真实验验证检测模型的有效性和优越性.实验结果表明,时间序列分析法可以准确、及时地检测网络流量的异常行为,且结果优于目前其他网络流量异常检测模型.     

基于生成对抗单分类网络的异常声音检测

针对正常和异常声音可能具有较大的相似性, 有时无法利用自编码器重构误差大小区分的问题, 提出一种生成对抗单分类网络方法进行异常声音检测, 通过多次训练, 该方法学习正常样本的分布特征. 在测试过程中, 测试正常样本能以极小的误差进行重构, 而异常样本重构效果较差, 在某些频率段会发生畸变, 从而给出判别分类结果. 实验采用UrbanSound8K公开数据集和实测电机声音数据集进行了测试, 获得该方法的准确率分别为86.3%和98.1%, 比卷积自动编码器等主要深度学习方法分别提高了5.0%和3.0%.