基于Transformer神经网络模型的网络入侵检测方法

网络入侵检测一直以来都是网络安全中亟待解决的关键任务之一,传统网络入侵检测方法主要通过提取多维特征,采用机器学习方法构建检测模型,大多忽略了入侵行为的时间相关性.通过提取网络入侵行为的时序特征,设计基于降维特征的多头自注意力机制Transformer网络模型,以解决传统串行化时序神经网络模型不易收敛且时间开销较大的问题,通过选取最优的损失函数和训练参数进行并行化训练,实现网络入侵行为检测.实验结果表明,基于Transformer网络模型的网络入侵检测方法在多个数据集上均获得了99％以上的精度和检出率.     

A Neural Network Approach for Misuse and Anomaly Intrusion Detection

An MLP(Multi-Layer Perceptron)/ Elman neural network is proposed in this paper, which realizes classification with memory of past events using the real-time classification of MI.P and the memorial functionality of Elman. The system‘s sensitivity for the memory of past events can be easily reconfigured without retraining the whole network. This approach can be used for both misuse and anomaly detection system. The intrusion detection systems(IDSs) using the hybrid MLP/Elman neural network are evaluated by the intrusion detection evaluation data sponsored by U. S. Defense Advanced Research Projects Agency (DARPA). The results of experiment are presented in Receiver Operating Characteristic (ROC) curves. The capabilites of these IDSs to identify Deny of Service(DOS) and probing attacks are enhanced.     

变分自编码器和注意力机制的异常入侵检测方法

针对传统的机器学习算法在检测未知攻击方面表现不佳的问题,提出了一种基于变分自动编码器和注意力机制的异常入侵检测方法,通过将变分自编码器和注意力机制相结合,实现使用深度学习方法从基于流量的数据中检测异常网络流量的目标。所提方法利用独热编码和归一化技术对输入数据进行预处理;将数据输入到基于注意力机制的变分编码器中,采集训练样本中隐含特征信息,并将其融入最终潜变量中;计算原始数据与重建数据之间的重建误差,进而基于适当的阈值判断流量的异常情况。实验结果表明,与其他入侵检测方法相比,所提方法明显改善了入侵检测的精度,不仅可以检测已知和未知攻击,而且还可以提高低频次攻击的检测率。     

基于改进蚁群算法与遗传算法组合的网络入侵检测

为提高网络入侵检测的检测效果,提出一种基于改进蚁群算法与遗传算法组合的网络入侵检测方法.该方法采用遗传算法(genetic algorithm,GA)对网络入侵的特征集进行快速选取,为后续特征提取打下基础;对传统蚁群算法(ant colony optimization,ACO)的节点选择策略和信息素更新策略进行改进,提出一种改进的蚁群算法,提高对最优特征的选择效果,采用改进的蚁群算法对特征进一步选择;采用支持向量机(support vector machine,SVM)统计机器学习方法建立各类网络入侵的检测分类器.仿真实验结果表明,新的网络入侵检测方法综合GA和改进蚁群算法的优势,能够获得更好的入侵特征,从检测正确率、误报率和漏报率3个方面综合比较,新的网络入侵检测方法具有更好的网络入侵检测效果,且提高了检测速率.     

LVQ神经网络的红外光谱火灾早期预警算法

对前期大量试验采集的火灾气体数据进行特征提取,找出能够代表火灾整体特征的过程特征信息.通过体积分数曲线拟合分析,提取出体积分数、速度和加速度估值等火灾特征信息参量,建立适合于火灾早期探测的学习向量量化(LVQ)神经网络算法.通过对比分析证明,该算法比传统火灾探测器报警时间提前3～21 min,且对于真假火灾可进行准确识...     

一种基于可拓距的特征变换方法及其在网络入侵检测中的应用

作为识别攻击或异常行为以保护网络安全的重要步骤之一,网络入侵检测常常与数据挖掘或机器学习技术结合应用.如今,随着网络数据的爆炸性增长,传统的入侵检测技术面临着海量数据检测处理的问题,现有入侵检测系统往往难以同时满足实时性和有效性的需求.本文尝试将可拓学中的可拓距概念引入网络入侵检测研究中,提出了一种基于可拓距的特征变换方法,将数据点的原特征映射为簇外中心距和簇内可拓距这两大部分,根据原始数据多维特征生成新的特征,以达到特征降维的目的,旨在同时满足网络入侵检测系统的实时性和有效性的需求.本文使用KDD CUP 99作为仿真数据集测试所提出的基于可拓距的方法在网络入侵检测特征变换中的应用效果.实验结果表明,较之传统的KNN算法,基于可拓距的方法明显地减少了检测时间,而同时其检测率的下降可以控制在1%之内,具有较好的时效性优势.     

基于LVQ神经网络的植物种类识别

提出一种基于学习矢量量化（LVQ）神经网络的计算机植物种类识别新方法. 使用2-D不变矩、 多尺度2-D Gabor滤波器等多种方法分别提取了叶片的几何特征和纹理特征, 应用LVQ神经网络识别植物种类. 实验结果表明, 该方法对植物种类的识别效率较高.     

一种基于PCA技术的入侵检测特征提取方法

为了提取入侵检测数据信息的特征和提高入侵检测系统的处理效率,提出一种基于PCA（Principal Components Analysis）技术的入侵检测特征提取方法,并利用Matlab统计工具箱对该方法进行仿真实验.实验结果表明,利用该方法所提取的特征足以代表入侵检测数据的主要信息,根据特征提取结果所进行的数据压缩处理是可行的.     

基于多层神经网络的智能家居入侵检测方法

依托物联网技术的智能家居面临多重信息安全风险,现有智能家居入侵检测方案存在难以处理大量高维度数据、检测率低、误检率高、依赖经验确定网络层数等问题。提出一种融合深度学习与模糊神经网络的多层神经网络入侵检测方法;基于深度学习完成数据特征的学习,将高维数据映射为低维数据;基于网络重构误差训练并优化确定网络深度。仿真测试结果表明,该方案可有效提高对攻击行为的检测准确率和检测效率;针对远程非法访问的检测率可达到94%,对拒绝服务攻击的检测准确率可达96%,对网络中新型攻击的检测率超过60%。     

基于DSCNN-BiLSTM的入侵检测方法

针对传统的入侵检测方法无法有效提取网络流量数据特征的问题,提出了一种基于DSCNN-BiLSTM的入侵检测方法,该方法引入了深度可分离卷积代替标准卷积从而减少了模型参数,降低了计算量,并应用双向长短期记忆网络(BiLSTM)提取长距离依赖信息的特征,充分考虑了前后特征之间的影响.首先,通过主成分分析法(PCA)对网络流量数据进行特征降维,并创新性地将一维网络流量数据转化为三维图像数据;然后,分别运用深度可分离卷积神经网络(DSCNN)和双向长短期记忆网络(BiLSTM)提取网络流量数据的空间特征和时间特征;最后,利用KDDCUP99数据集进行训练、验证和测试.实验结果表明,与其他传统的入侵检测方法相比,该方法具有更高的准确率和更低的漏报率.     

光纤网络入侵中的未感染节点检测

光纤网络采用开放性较强的分布式结构,易受到恶意数据和代码的入侵,提出基于多元节点属性分类的光纤网络入侵未感染节点检测算法研究。依据节点测距原理,提取光纤网络中全部节点的位置信息;选定与未感染节点类型相关的光纤节点特征属性,并针对节点属性和入侵类型建模;依据多元分类算法对提取的光纤节点样本空间采样特征数据进行学习和分类,识别出光纤网络中的未感染节点。仿真实验表明,提出的节点检测算法克服了传统算法的弊端和不足,能够有效降低通信成本和节点能耗、提高入侵检测率、延长光纤网络生命周期。     

由粗到精分层技术下的复杂网络入侵检测方法研究

摘要：复杂网络具有开放性、互联性和共享性,易受到大规模的入侵,采用传统“一对一”方式构建网络入侵检测器,检测费时,实时性检测差。为了提高复杂网络入侵检测性能,提出一种引入由粗到精分层概念的多层网络入侵检测模型,在传统的LSSVM分类器基础上,对分类过程进一步细分,建立一种由粗到精策略,构造多层的网络入侵分类器,在精细分类层,将引入拥挤度和隔离度因子的粒子群优化分类器,以提高入侵分类器性能。最后采用KDD 99数据集进行仿真测试。结果表明,相对于其它检测模型,该模型不仅加快了入侵检测速度,满足入侵检测实时性,同时提高了网络入侵检测率,为网络安全提供了有效保证。     

机器学习技术在胸癌诊断中的应用

为了提高胸癌诊断的识别精度,提出了应用机器学习方法建立胸癌诊断模型。其中描述细胞特征的参量作为模型的输入,细胞的类别对应模型的输出。选取三种机器学习方法作为建立模型的训练算法,分别为反向传播(Back Propagation,BP)神经网络、学习矢量量化网络(Learning Vector Quantity,LVQ)和支持向量机(Support Vector Machine,SVM)。仿真结果显示三种机器学习方法所见的诊断模型均具有较高的识别率(BP:97.28%,LVQ:98.06%,SVM:98.45%),可作为有效地识别方法用于其他医学诊断研究。     

一种基于多分类器协同训练的网络异常检测方法

基于机器学习的网络异常检测方法是入侵检测领域的重要研究内容.传统的机器学习方法需要大量的已标记样本对分类器进行训练,然而已标记样本通常较难获取,导致分类器训练困难;此外单分类器训练面临难以消除的分类偏向性和检测孔洞.针对上述问题,本文提出了一种基于多分类器协同训练的异常检测方法MCAD,该方法利用少量的已标记样本和大量的未标记样本对多个分类器进行协同训练,以减少分类的偏向性和检测孔洞.对比实验采用经典的网络异常检测数据集KDD CUP99对MCAD的异常检测性能进行验证。实验结果表明,MCAD有效地降低了检测器训练代价,提高了网络异常检测性能.     

半监督技术和主动学习相结合的网络入侵检测方法

针对当前网络入侵具有多样性和易变性, 单一方法很难获得理想网络入侵检测结果的问题, 为提高网络入侵检测正确率, 有效拦截各种网络入侵, 提出一种将半监督技术与主动学习相结合的网络入侵检测方法. 首先, 采集网络入侵数据, 提取网络入侵特征, 并采用半监督技术根据特征对网络入侵数据进行聚类处理; 其次, 采用主动学习算法对聚类后的数据进行训练, 构建网络入侵检测的分类器, 并引入蚁群算法对构建网络入侵检测的分类器进行优化; 最后, 采用标准数据集对网络入侵检测方法进行仿真测试. 测试结果表明, 该方法解决了当前入侵检测方法存在的缺陷, 提升了网络入侵检测正确率, 漏检率和误检率明显少于经典网络入侵检测方法, 同时缩短了网络入侵检测时间, 改善了网络入侵检测效率, 能更好地保证网络通信和数据传输安全.     

基于卷积神经网络的入侵检测算法

作为深度学习的一种有效算法,深度卷积网络已成功应用在处理图像、视频和音频等领域.通过建立一卷积神经网络模型并应用于网络入侵检测,选取的卷积核与数据进行卷积操作提取特征的局部相关性从而提高特征提取的准确度.采集到的网络数据通过多层"卷积层-下采样层"的处理对网络中正常行为和异常行为的特征进行深度刻画,最后通过多层感知机进行正确分类.KDD 99数据集上的实验表明,文中提出的卷积神经网络模型与经典BP神经网络、SVM算法等相比,有效提高了入侵检测识别的分类准确性.      

Methods for Increasing Creditability of Anomaly Detection System

Based on Bayes‘ theorem we point out that the false positive rate must be lower than the intrusion base rate in order to make the Alarm Credibility Probability of the intrusion detection system exceed 50%. We present the methods that have been used in our developing intrusion detection system AIIDS (artificial immune intrusion detection systems) to increase the creditability of anomaly detection system. These methods include increasing the regularities of the system call trace by use of Hidden Markov Model (HMM), making every antibody or detector has finite lifetime, offering the detector a co-stimulate signal to illustrate whether there is damage in the system according to the integrity, confidentiality, or availability of the system resource.     

Intrusion Detection Method for Program Vulnerability via Library Calls

Library function call sequence is the direct reflection of a program＇s behavior. The relationship between program vulnerability and library calls is analyzed, and an intrusion detection method via library calls is proposed, in which the short sequences of library call are used as signature profile. In this intrusion detection method, library interposition is used to hook library calls, and with the discussion of the features of the library call sequence in detail, an algorithm based on information-theory is applied to determine the appropriate length of the library call sequence. Experiments show good performance of our method against intrusions caused by the popular program vulnerabilities.     

Anomaly Detection with Artificial Immune Network

Inspired by the immune network theory, an adaptive anomaly detection paradigm based on artificial immune network, referred as APAI, is proposed. The implementation of the paradigm includes： initially, the first is to create the initial antibody network; then, through the learning of each training antigen, the antibody network is evolved and updated by the optimal antibodies. Finally, anomaly detection process is accomplished by majority vote of the k nearest neighbor antibodies in the network. The experiments used the famous Sonar Benchmark dataset in our study, which is taken from the UCI machine learning database. The obtained detection accuracy of APAI was 97.7%, which was very promising with regard to the other classification applications in the literature for this problem. In addition to its nonlinear classification properties, APAI possesses biological immune network properties such as clonal selection, immune network, and immune memory, which can be applied to pattern recognition, classification, and etc.