异常检测在报警关联分析中的应用

为了给报警关联提供时间控制以提高关联的合理性和效率将误报警流作为背景流量,真实报警作为整个报警流的异常.利用经典统计模型即均值方差模型检测报警流量强度的异常,进而把异常的时间段提供给报警关联,仅对异常时间段内的报警进行关联分析.实验显示,该检测模型能够为报警关联分析提供时间控制,使得关联分析能够取得更加精炼而有意义的结果.由于集中分析异常时间段内的报警,该模型可显著地帮助网络管理员节省时间和精力.     

基于报警数据融合的智能电网攻击检测方法

智能电网中信息技术的广泛使用为攻击者提供了更多的途径入侵和攻击电力系统,这已成为智能电网安全的最大隐患之一。提出了一种基于异常数据融合的智能电网攻击检测方法,通过入侵检测系统发现信息网络中的异常流量,利用标准化残差方法检测电力系统中的异常量测数据,通过关联信息网络和物理系统的异常报警数据来检测智能电网攻击事件。仿真实验表明该方法可以消除入侵检测与标准化残差检测产生的大量错误报警,显著提高智能电网攻击的检测精度。     

基于变化速率的单变量报警系统设计

报警系统是现代工业安全运行的重要组成部分,其作用是检测工业信号的异常状态,以便操作人员能及时处理系统的异常运行状况。传统的单变量报警系统大多通过监测模拟信号的幅值变化来判断系统是否发生异常,当信号幅值超出报警阈值则触发报警。目前工业中有部分信号,明显需要根据变化速率来判断系统发生异常,因此,设计了一种新的报警系统——速率报警器,通过判断分布稳定的历史变化速率样本集合来确定速率信号的报警阈值,利用基于时间序列的分段线性表示法计算过程信号的变化速率并判断系统是否发生异常,提高了报警系统的性能,使用数据仿真和工业案例验证该方法的有效性。     

自适应滤波实时网络流量异常检测方法

针对网络中的各种常见攻击,提出一种基于自适应滤波的网络流量异常检测方法.首先对多种流量指标进行递推最小二乘法预测,然后以预测误差所构造的统计量容许范围进行异常检测,最后对检测结果实施归一化评估.该方法具有无需任何历史训练数据、能大量减少报警次数、突出报警严重程度的特点.在DARPA入侵检测评估数据集上的实验表明,所提方法更适合检测拒绝服务攻击引起的异常,较之相同权向量下的同类方法,其异常检测率、误报率和检测速度等性能更好.     

基于变化趋势的闭环控制系统报警监控方法

在现代工业系统中,传统的闭环控制系统大多通过对监控信号设置报警阈值来检测系统的运行情况,但此类检测方法往往存在大量的干扰报警。本文提出一种基于变化趋势的闭环控制系统报警监控方法,用来在检测异常状况的同时,减少干扰报警次数。本方法首先确定控制信号滞后于过程输出信号的延迟时间,以此作为报警持续时间的阈值;其次将滑动窗口提取的过程输出信号及控制信号的子序列分别进行最优拟合,并对拟合结果进行定性趋势分析,用特征字符表示趋势变化的特征;最后对比两个信号的特征字符,当特征字符不一致的持续时间超过阈值时触发报警。本文通过实际工业案例验证了所提方法的有效性。     

基于VAE的核电运行状态监测方法

由于核反应堆发电的特殊性,核电厂对于生产安全的敏感度远胜于普通电厂。作为日常运维的重要环节,核电机组运行状态监测,对于核电厂的安全稳定运行具有重要意义。当前核电机组状态监测主要采用预设固定阈值报警结合人工监盘的方式,这种方式无法发现低于报警阈值的异常状态,同时存在一定程度的漏报风险。核电运行数据作为高维海量时序数据,具有正常样本和异常样本分布不均衡以及数据缺乏标签的问题,这限制了有监督深度学习方法的使用。本文提出了一种基于变分自编码器（Variational Auto-Encoders,VAE）构建的无监督深度学习模型对真实运行数据进行异常检测,通过正常运行数据学习正常模式下数据在隐空间的分布,并基于异常数据无法被良好重构的原理,通过重构误差的大小来判别当前状态是否异常。实验以核电机组化学和容积控制系统（Chemical and Volume Control System,RCV）中的上充泵为例,使用真实运行数据结合插入异常的方式对模型进行了验证,并与经典机器学习方法进行了对比。实验结果表明基于变分自编码器的模型能够有效检测到核电真实数据中的异常数据片段及离群点,检测精确率和召回率均高于90%,检测性能相对孤立森林和支持向量机等经典机器学习算法具有优势,具备一定的实用价值和研究意义。     

针织大圆机控制器的设计与实现

阐述了针织大圆机控制器的总体构架,并对控制器的关键技术油异常检测报警电路、变频器控制电路、断纱检测报警电路和控制显示电路进行了详细的论述,最后阐明了控制器软件设计的整体思路.控制器在变频器控制电路、控制显示电路和按键的软件消抖方面都采用了独特的设计方法.控制器的运行情况表明:对系统所采用的设计方法切实可行,具有一定的推广价值.     

基于嵌入式系统的异常检测模块设计与实现

将背景差分法和位移评测法相结合,提出基于嵌入式系统的目标异常检测模块算法模型。异常检测模块能对环境进行自动监测,当遇到监控画面有异常进入的运动物体时,系统能自动检测异常并将相应画面记录于终端存储卡中,及时发出异常报警并记录异常信息。通过验证,基于嵌入式系统的目标异常检测模块系统检测效果良好,运行性能稳定。     

自适应参数的网络异常流量检测方法

分布式拒绝服务(DDoS)攻击对互联网的稳定性和安全性构成了严重的威胁.对网络流量进行异常检测,发现异常后再对数据包进行分析,实施相应措施,有利于降低系统开销.该文给出了网络流量均值和阈值能够根据网络环境变化的自适应调整算法.分析了参数的设置对误报警、动态调整报警阈值等的影响.实验结果表明设计的系统是有效和正确的,可以在提高异常流量检测准确性的同时降低运行开销,可以直接应用于检测SYN洪水攻击等.     

基于小波变换和中值滤波器的主元分析方法

传统主元分析用于故障检测时,由于测量数据中含有噪声和异常点,从而导致系统的误报警.针对传统主元分析在处理含噪数据时的不足,给出了一种把小波变换、滑动中值滤波器和主元分析相结合的方法,利用小波变换和滑动中值滤波器的优点,对主元分析前的数据进行预处理,以去除噪声和异常点,减少和消除了虚警点,并将此方法运用于实际的故障检测中,取得了较好的检测效果,证实了该方法的有效性和可行性.     

基于DCFCM模糊聚类的入侵检测方法研究

作为一种主动的信息安全保障措施,入侵检测技术有效地弥补了传统安全保护机制所不能解决的问题.先进的检测算法是入侵检测研究的关键技术.首先提出新的相似度函数Dsim(),有效地解决了高维空间聚类选维和降维问题,实现了高效的聚类;接着将Dsim()与近似K-medians算法相结合,提出了新的模糊聚类算法----DCFCM,并将其用于入侵检测.解决了由尖锐边界、孤立点所带来的误报警和漏报警问题,实现了对异常行为的检测.仿真实验结果表明,该系统对网络正常数据和异常数据聚类,进行动态数据分析,实现异常检测的思想是有效的.在网络入侵数据检测中,DCFCM算法相对于传统的FCM算法有较高的检测率和较低的误警率.     

网络入侵的聚类算法研究与实现

入侵检测中对知入侵的检测主要由异常检测完成,传统的异常检测方法需要构造一个正常行为特征轮廓的参考模型,但建立该特征轮廓和确定异常性报警的门限值都比较困难,而且建立该特征轮廓使系统开销大.据此本文提出一种针对入侵检测的聚类算法和一种数据处理方法.该算法通过动态更新聚类中心和类内最大距离实现,收敛速度快,再结合对数据的预处理使聚类效果更好.实验结果表明,此算法用于以未知入侵检测为代表的特殊模式检测方面是可行和有效的.     

高级持续性威胁中攻击特征的分析与检测

针对高级持续性威胁的检测问题, 提出一种基于网络连接特征属性的检测方法. 通过数据采集、 特征提取、 异常检测和实时报警4个步骤, 选取网络连接的12种特征属性, 应用机器学习方法分析属性特征数据集, 建立高级持续性威胁攻击检测模型. 实验结果表明, 该方法对于高级持续性威胁攻击检测性能良好, 检测率较高, 误报率较低.     

一类支持向量机的设备状态自适应报警方法

为了提高对异常状态识别的适应性和有效性,提出了一种基于一类支持向量机的设备状态自适应报警方法.该方法使用一类支持向量机的在线算法,动态估计监测参数在高维特征空间中的最优分布区域,将新数据与上一时刻分布区域的相对距离作为异常指标,描述监测参数的统计特征变化,辨识出设备的异常状态.通过对仿真数据的报警效果分析,以及将该方法应用于对加热炉风机的振动监测中,得到的异常报警结果能够满足实际监测的需要,证明该方法具有异常的识别敏感性、缓慢劣化包容性和状态迁移适应性的特点.     

一种基于节点关联的报警置信度计算方法

大部分入侵检测系统的实现都会产生大量的报警信息,在一定程度上影响了系统管理,误报率也较高,影响了入侵检测的效果.针对这个问题,提出了一种基于节点关联的报警置信度计算方法,位于对等网络之上,节点在收到一系列入侵报警之后,需要进行节点关联,从而对报警信息进行融合,提取有效报警信息.其中根据关联对象的不同,节点关联又包括报警关联和信任关联两个层次,报警关联可用来判断入侵报警的有效性,信任关联可用来判断发起报警节点的可信性,给出了相关算法.仿真实验表明,使用该报警置信度计算方法可以提高入侵报警的检测准确率.     

入侵检测系统利用信息熵检测网络攻击的方法

针对传统入侵检测系统报警事件数量多、误报率高的问题,提出了一种基于信息熵的网络攻击检测方法。该方法利用雷尼熵对报警事件源IP地址、目标IP地址、源威胁度、目标威胁度以及数据报大小这5个属性香农熵的融合结果来表示网络状态,通过与正常网络状态的对比识别网络异常。真实攻击和人工合成攻击环境中的实验结果表明,该方法能在保持误报率低于1%的情况下命中率高于90%;与基于特征香农熵的攻击检测方法相比,该方法对攻击更敏感,最易检测出DoS攻击和主机入侵,其次是主机扫描和端口扫描,对蠕虫攻击的检测敏感度稍差。对比测试结果表明,该方法在提高命中率的同时,还能有效降低误报率。     

基于小波分析的多类型实时故障检测系统

介绍了一种可以针对不同故障信号进行检测的系统．该系统以小波分析为核心，实时检测信号的异常现象，并实时报警．通过设置异常信息的特征参数来实现多类型的故障检测．     

基于BP神经网络的改进型新奇检测技术诊断大跨度拱桥异常状态

为了诊断大跨度拱桥的异常状态,使用了基于BP神经网络的改进型新奇检测技术的方法,该方法通过BP神经网络对大量实测数据进行训练,得到桥梁状态正常时的新奇指标,并确定阈值,通过阈值判定是否发生异常. 经实际分析以及实测数据的验证,该方法可以较准确地识别大型桥梁异常情况,并可以定位异常区域,避免了模型误差的影响,大大提高了方法的实用价值,同时降低了漏警、虚报警,使识别结果更为准确,更符合实际要求.      

一起GIS设备“SF6气体压力降低”报警异常的分析

本文叙述了一起GIS设备"SF6气体压力降低"报警的异常现象和处理过程,以及处理过程中出现的新的异常情况,通过对GIS设备报警回路的深入解读,分析了异常发生的原因,并提出了解决方法。     

异常检测中单类分类算法和免疫框架设计

基于主机系统执行迹的异常检测系统可以检测类似U2R和R2L这两类攻击。由于攻击数据难以获取,往往只能得到正常的系统调用执行迹数据。该文设计了基于自组织特征映射的单类分类器的异常检测模型,只利用正常数据建立分类器,所有偏离正常模式的活动都被认为是入侵。通过对主机系统执行迹数据集的测试,试验获得了对异常样本接近100％的检测率,而误报警率为4．9％。该文将单类分类器作为抗体检测器,运用人工免疫学原理建立了分布式的异常检测框架,使入侵检测系统具有分布式、自组织和高效的特性,为建立分布式的入侵检测提出一种新的思路。