市场微结构的股市交易异常行为检测

股票市场存在诸多弊端,如滥用客户信息,价格操纵等.股市监控是金融监管体系中不可缺少的一环,它对市场交易的诚信、公平和公开透明起到重要作用.现有检测交易异常行为的诸多方法中,很少分析股市即日数据并挖掘潜在的交易行为来检测异常.股市是一个复杂的非线性系统,一套可行高效的异常行为检测方法是股市异常行为监控的重要课题.提出一种基于市场微结构的异常交易行为检测方法,该方法能较有效地检测出股市存在的异常交易行为.最后,通过实例说明该方法的可行性和有效性.     

基于动态分析的控制流劫持攻击检测

控制流完整性策略能够有效地防御控制流劫持类攻击,但复杂的控制流图构建使该策略的实际部署非常困难.为了有效地针对控制流劫持攻击的检测手段,提出一种基于程序异常行为来检测控制流劫持攻击的方法,并基于该方法实现了控制流劫持攻击检测系统.实验表明,该方法能够有效地检测出由控制流劫持攻击造成的各种程序异常行为,基于该方法的攻击检测系统运行效果良好,能够方便的部署到实际应用环境中.     

智能视频分析的车辆异常行为检测方法

针对目前车辆异常行为检测中的检测实时性问题,提出了一种基于智能视频分析技术的车辆异常行为检测方法。车辆出现异常行为时车辆位置变化、速度变化及运动方向变化较大。通过背景差分法检测运动车辆,并采用均值漂移算法跟踪运动车辆,获取车辆位置、速度、运动方向等车辆异常行为判别参数,对3种判别参数的状态函数加权融合检测车辆行为。为验证该算法的有效性,将对真实交通场景中采集的交通视频进行车辆运行状态检测实验。实验结果证明该算法能及时有效地检测出交通场景中的车辆异常行为。     

Markov链模型在异常检测上的应用研究

Markov链模型作为一种统计分析方法是异常检测的重要分析手段，论文分别从单步、多步Markov链和基于Markov链的序列预测三个方面，研究了Markov链模型在异常检测检测上的应用。实验表明，该方法在不需要任何攻击领域知识的情况下，能很好检测出SendMail系统调用的异常行为。     

四阶段端到端的用户异常用电模式检测网络

为减少输配电过程中用户异常用电行为所造成的经济损失,提出了一种新颖的端到端的用户异常用电检测网络模型,该模型基于主成分分析网络（Principal Component Analysis network,PCANet）.与传统PCANet不同的是,其中采用四阶段特征映射模型.通过前三阶段特征映射提取网络获取用户用电数据中的正常、异常用电序列特征.该过程中,为了提高PCANet的检测精度,将第一阶段PCA所获取的特征通过下采样嵌入到第二阶段PCA中.将第三阶段PCA输出作为第四阶段小波神经网络（Wavelet neural networks,WNN）的输入,从而进一步了提高模型的检测精度.通过实验对比分析文中所提方法与传统异常用电检测方法表明：所提出的方法具有更高的检测准确性与鲁棒性,可以有效检测出用户异常用电行为.     

基于流时间影响域的网络流量异常检测

针对如何提高网络流量异常行为检测准确率的问题,提出基于网络流时间影响域(TID)的网络流量检测模型.通过分析正常和异常情况下流量网络模型平均度的变化,构建了基于复杂网络平均度指标的网络流量异常检测算法.实验结果表明,基于网络流时间影响域的流量网络模型能合理地描述网络流量间的依赖关系,具有良好的检测性能,同时该网络模型仅需时间戳、源IP、目的IP三维网络特征即可实现,检测方法适用于绝大多数网络类型,检测效率优于其他网络流量异常检测方法,具有较高的普适性.     

一种基于客户端行为的邮件帐户异常检测方法

在对邮件用户WebMail登录、ESMTP验证发送邮件、POP3接收邮件的三种邮件客户端行为统计特征分析研究的基础上,提取ESMTP验证次数、POP3验证次数两种特征建立客户端行为模型,提出一种基于邮件用户客户端行为的邮件帐户异常检测方法,并应用到华中科技大学校园网邮件系统中.实验证明,该方法能有效、快速地检测出异常的...     

基于行为监控的木马检测系统研究及实现

为了检测木马型病毒,分析了现有木马检测措施,设计并实现了一个基于行为监控的木马检测系统,介绍了该系统的软件结构和运行机制,描述了基于Winsock2 SPI和NDIS HOOK的网络通信检测技术、基于内核调度监控的进(线)程检测技术.测试表明,该系统能准确识别出被检测程序在安装阶段、启动阶段和网络通信阶段的行为.     

基于分层驱动的Windows内核rootkit关键技术

研究了基于Windows操作系统分层驱动技术的内核rootkit,阐述了rootkit如何加入分层驱动程序链,并从IRP中获取数据以及自我隐藏技术,最后讨论了rootkit的检测技术.     

一种面向网络行为因果关联的攻击检测方法

为了能在攻击目标受损之前检测到攻击事件,提出了面向网络行为因果关联的攻击检测方法.该方法基于SNMP管理信息库数据,根据攻击目标的异常行为,首先利用Granger因果关联检验(GCT)从检测变量中挖掘出与异常变量存在整体行为关联的基本攻击变量,然后针对异常行为特征再次利用GCT从基本攻击变量中挖掘出与异常变量存在局部行为关联的攻击变量,最后根据攻击变量和异常变量之间的因果关系,构建面向攻击方检测的攻击关联规则.在Trin00 UDPFlood检测实验中,所提方法成功挖掘出攻击变量udpOutDatagram,取得了满意的检测效果.实验结果表明,该方法能够在攻击方检测到攻击事件,为及时阻止攻击过程向攻击目标进一步扩散提供预警.