基于支撑矢量机和Windows Native API的异常检测方法

借鉴Unix类系统下基于系统调用的主机异常检测理论，通过追踪Windows本机应用编程接口调用序列，对Windows系统下的主机异常检测进行研究．在异常序列检测中，结合使用对小数据集具有较好推广能力的支撑矢量机方法，进而取得较高的检测准确率．实验表明NativeAPI可为Windows平台下基于主机的异常检测系统提供一种可能的数据源．     

基于隐马尔可夫模型的程序行为异常检测

针对入侵检测中普遍存在误报与漏报过高的问题，提出了一种基于隐马尔可夫模型的程序行为异常检测新方法．该方法以程序正常执行过程中产生的系统调用序列为研究对象，建立计算机的正常程序行为模型．在入侵检测时，先对测试的系统调用数据用滑动窗口划分得到短序列，再根据正常程序行为的隐马尔可夫模型求得每个测试短序列的输出概率，如果系统调用短序列的输出概率低于给定阈值，则将该短序列标定为“不匹配”，如果测试数据中不匹配的短序列数占总短序列数的百分比超过另一给定阈值，该模型就认为此程序行为异常．实验结果表明，与Forrest和Lee的方法相比，所提方法的检测率的最大提高率可达590％．     

基于系统调用序列的状态转换检测新方法

以系统调用序列为对象提出一种新的状态转换检测方法，它结合历史系统调用序列和当前系统调用进行分析，提取直接和间接转换，并采用多元统计方法为转换加入参数，累计异常度．测试表明该模型有较高检测率和可操作性，比原方法更能有效得检测出未知类型入侵．     

基于Windows API调用序列的恶意代码检测方法

为解决现有恶意代码检测方法存在的特征提取能力不足、检测模型泛化性弱的问题，提出了一种基于Windows API调用序列的恶意代码检测方法.使用N-gram算法和TF-IDF算法提取序列的统计特征，采用Word2Vec模型提取语义特征，将统计特征和语义特征进行特征融合，作为API调用序列的特征.设计了基于Stacking的三层检测模型，通过多个弱学习器构成一个强学习器提高检测模型性能.实验结果表明，提出的特征提取方法可以获得更关键的特征，设计的检测模型的准确率、精确率、召回率均优于单一模型且具有良好的泛化性，证明了检测方法的有效性.     

Markov链模型在异常检测上的应用研究

Markov链模型作为一种统计分析方法是异常检测的重要分析手段，论文分别从单步、多步Markov链和基于Markov链的序列预测三个方面，研究了Markov链模型在异常检测检测上的应用。实验表明，该方法在不需要任何攻击领域知识的情况下，能很好检测出SendMail系统调用的异常行为。     

基于隐马尔可夫模型(HMM)的系统调用异常检测

HMM用来检测一个系统调用短序列是否异常,根据异常系统调用短序列占该进程所有短序列的百分比来判断该进程是否是入侵.考虑到当一个入侵发生时,会产生大量的异常系统调用,导致其邻近系统调用与正常系统调用不匹配.为此我们对HMM的异常检测方法作了进一步改进,改进后的方法对异常更敏感,误报率更低.     

一种电梯交通流异常值检测算法

本文总结了至今为止国内外使用较为广泛的异常值检测算法及其相应的改进算法,并在此基础上得出一种电梯交通流序列异常值检测算法,仿真结果表明该算法能收到较好的效果。     

基于K-Nearest Neighbor分类算法的异常检测模型

入侵检测成了信息安全中不可缺少的安全措施 ,而异常检测是入侵检测研究中的热点 .提出了一种新的异常检测算法 ,用 K- Nearest Neighbor分类算法对特权程序 (或进程 )的系统调用进行分析 ,通过计算系统调用出现的频度判断进程是否异常 .测试表明 ,该方法具有良好的检测性能和较低的误报率 ,占用的系统资源较少 ,是一种合理可行的检测方法     

一种新的发现偏离模式的线性算法

在分析Arning算法和其改进算法的基础上，提出一种新的发现偏离模式的线性算法．该算法将使数据序列突然发生大幅度波动的数据认作例外．已发现的例外被用数据序列平均值代替，在此基础上进行下一例外的发现．实验证明，该算法克服了例外集对数据次序的敏感性，并且下一例外发现不受上一例外发现的影响，从而可以重加有效的发现数据序列中的例外集．     

一种改进的自动分割镜头的方法

对现有传统分割算法进行分析，提出了一种改进的自动分割镜头的算法．通过计算视频序列相邻帧之间的灰度差值及色彩差异，自适应进行视频镜头的边界检测和闪光检测．这种算法将帧差法和直方图法这两种传统算法相结合，有效地提高了检出率及精确率，是一种简便、快捷的算法．     

一种改进的SVM多类分类算法在入侵检测中的应用

入侵检测作为网络安全的关键技术,成为了当前网络安全研究的热点,入侵检测算法的准确率和推广性能是研究的重点。基于二叉树的思想和超球支持向量机的特点,本文提出了一种改进的SVM多类分类入侵检测算法。本文通过引入相似度函数作为权值,选取相似性最小的两类样本构造两类分类器,采用自下而上的方法构造多个两类超球SVM分类器,并将该多类分类算法应用于入侵检测中。利用KDD CUP 1999入侵检测数据进行了仿真实验,实验结果表明,该算法能有效提高检测准确率、推广性能也得到较好改善。     

异常检测中单类分类算法和免疫框架设计

基于主机系统执行迹的异常检测系统可以检测类似U2R和R2L这两类攻击。由于攻击数据难以获取，往往只能得到正常的系统调用执行迹数据。该文设计了基于自组织特征映射的单类分类器的异常检测模型，只利用正常数据建立分类器，所有偏离正常模式的活动都被认为是入侵。通过对主机系统执行迹数据集的测试，试验获得了对异常样本接近100％的检测率，而误报警率为4．9％。该文将单类分类器作为抗体检测器，运用人工免疫学原理建立了分布式的异常检测框架，使入侵检测系统具有分布式、自组织和高效的特性，为建立分布式的入侵检测提出一种新的思路。     

基于积分通道特征的异常行为检测算法

对视频中的行人异常行为检测问题进行了研究。针对传统行人异常行为检测算法在准确性和兼容性方面的不足,提出一种基于积分通道特征的异常行为检测算法;该算法利用背景分割和行人信息统计的方式,对不同背景下的视频模型进行了建模。结合对行人个体的轨迹分析,对运动个体的位置进行异常行为检测。算法首先对检测区域采取区域划分,然后采用改进的积分通道特征行人检测算法对目标进行检测,最后采取Mean-shift算法对目标进行跟踪。最后的实验数据表明该算法整体性能有所提高。     

基于模糊决策树的入侵检测规则生成技术

针对计算机免疫系统模型GECISM中的类MC Agent,利用模糊决策树Fuzzy-Id3算法并使用应用程序中的系统调用作为数据集构造决策树,从而生成计算机免疫系统中的入侵检测规则,并与C4.5算法生成规则进行了对比分析,利用Fuzzy-Id3算法方法生成的规则对未知数据集进行分类有较低的误报率和漏报率.     

基于能量和鉴别信息的语音端点检测算法

为提高实时通信中语音端点检测系统的性能,提出了一种基于能量和鉴别信息的端点检测算法。该算法利用帧信号的能量、子带信号的能量等参数,计算该帧信号与噪声帧基于子带能量分布概率的鉴别信息。算法通过利用鉴别信息,能够在包括语音帧在内的所有帧中更新噪声的能量,从而更准确地跟踪噪声能量的变化。实验结果表明:与基于能量的端点检测算法相比,该方法在信噪比变化比较剧烈的情况下仍然能够较准确地进行端点检测,在0~10 dB范围内变化的坦克噪声环境中,准确率比后者提高约24%。     

基于自适应轮廓匹配的视频运动车辆检测和跟踪

为了对高空拍摄的交通场景进行图像处理，实现对运动车辆的检测和跟踪，以获得车辆的运行轨迹，在固定模板的基础上，利用自适应轮廓匹配算法，结合误检判断和轮廓分解，较好地检测出了车辆轮廓，并能避免由于两辆车靠近带来的误检．将自适应轮廓匹配思想移植到车辆跟踪中，可以实现较为准确的跟踪．计算机检测和人工检测的比对实验表明，在一定的条件下，这种算法有效消除了误检和多检现象，其正确检出率达到95．01％，即使存在一定的漏检，也可以通过插值实现填充．     

一种面向网店商品搜索的中文分词系统设计

文章设计新的数据结构对网店商品的原始数据进行加工处理,形成一个存储所有商品信息的词条字典。结合全切分算法,实现对用户输入关键词的完全切分,并通过和词条字典的匹配得到所有候选的词条组合。为了消除分词过程中的歧义和不合理的词条组合,系统结合商品类目树的存储结构,通过算法和引入权值计算的方法对词条组合进行排序,得到最佳结果。     

Semi-valid Fuzz Testing Case Generation for Stateful Network Protocol

Network protocols are divided into stateless and stateful.Stateful network protocols have complex communication interactions and state transitions.However,the existing network protocol fuzzing does not support state transitions very well.This paper focuses on this issue and proposes the Semi-valid Fuzzing for the Stateful Network Protocol(SFSNP).The SFSNP analyzes protocol interactions and builds an extended finite state machine with a path marker for the network protocol; then it obtains test sequences of the extended finite state machine,and further performs the mutation operation using the semi-valid algorithm for each state transition in the test sequences; finally,it obtains fuzzing sequences.Moreover,because different test sequences may have the same state transitions,the SFSNP uses the state transition marking algorithm to reduce redundant test cases.By using the stateful rule tree of the protocol,the SFSNP extracts the constraints in the protocol specifications to construct semi-valid fuzz testing cases within the sub-protocol domain,and finally forms fuzzing sequences.Experimental results indicate that the SFSNP is reasonably effective at reducing the quantity of generated test cases and improving the quality of fuzz testing cases.The SFSNP can reduce redundancy and shorten testing time.     

SNORT规则匹配算法改进

检测引擎作为入侵检测系统(IDS)的核心模块,基本上采用基于模式匹配的检测方法,选择设计1个好的模式匹配算法对入侵检测系统的性能至关重要。对SNORT的原有规则匹配算法bm进行改进,在改进规则匹配算法中,将具有相同前缀的规则生成1棵规则树,在规则匹配的过程中将数据包内容和规则树进行匹配,在匹配时,可以和多个规则同时进行,大大减少了在规则匹配中花费的时间,从而提高了SNORT的性能。改进后的系统和原来系统进行了几种测试,通过测试改进后的系统比原来的系统速度明显提高。在流量大的情况,丢包情况也减少了。