基于GANs-LightGBM的序贯三支异常用户检测研究

针对网络中异常数据类别分布的不平衡性和异常用户检测代价的敏感性,在序贯三支决策框架下,提出了一种基于生成式对抗网络和集成学习模型的异常用户检测方法.利用生成式对抗网络(generative adversarial nets,GANs)模型对异常/非异常数据进行类别平衡,并在多层次多粒度的特征空间下训练LightGBM模型,持续地处理不确定域的样本以识别异常用户.实验结果表明,与传统的机器学习算法相比,该方法在异常用户检测中具有较高的AUC值和较低的检测代价.     

基于AMCNN-LSTM的电力无线接入专网异常流量检测

为了减轻电力无线专网系统因网络业务增多而带来的网络攻击以及异常流量入侵的安全事故隐患,提出了一种基于注意力机制的卷积-长短期记忆网络(convolution-long short-term memory network based on attention mecha-nism,AMCNN-LSTM)模型.该模型为避免序列特征稀疏分布的问题,采用卷积神经网络(convolutional neural net-work,CNN)提取时间序列数据特征并转化为维度固定的稠密向量;为防止记忆丢失和梯度分散问题,使用融合注意力机制的CNN单元来捕捉重要的时间序列细粒度特征;将CNN提取局部特征与长短期记忆网络(long short-term memory network,LSTM)提取序列特征的优势相结合,对电力接入专网流量数据进行异常检测.通过在电力网真实数据集上实验表明,基于注意力机制的算法能够在150轮次迭代下达到89.14％的召回率及89.67％的综合F-meas-ure得分.所提出的模型能够及时、准确地检测电力网络异常流量,有效提高检测效率及准确度.     

基于卷积神经网络的入侵检测算法

作为深度学习的一种有效算法,深度卷积网络已成功应用在处理图像、视频和音频等领域.通过建立一卷积神经网络模型并应用于网络入侵检测,选取的卷积核与数据进行卷积操作提取特征的局部相关性从而提高特征提取的准确度.采集到的网络数据通过多层"卷积层-下采样层"的处理对网络中正常行为和异常行为的特征进行深度刻画,最后通过多层感知机进行正确分类.KDD 99数据集上的实验表明,文中提出的卷积神经网络模型与经典BP神经网络、SVM算法等相比,有效提高了入侵检测识别的分类准确性.      

基于混合生成网络的软件系统异常状态评估

针对现有软件系统异常状态评估方法过度依赖数据标注、对时序数据的时间依赖性关注较低和系统异常状态难以量化等问题,提出一种基于混合生成网络的软件系统异常状态评估方法.首先,通过对长短期记忆网络（long short-term memory network, LSTM）与变分自动编码器（variational auto-encoder, VAE）的融合,设计一种LSTM-VAE混合生成网络,并以该网络为基础构建基于LSTM-VAE混合生成网络的系统异常状态检测模型,由LSTM对系统数据的时序特征进行提取并由VAE对系统数据的分布进行建模.然后,由LSTM-VAE异常状态检测模型处理系统关键特征参数,获取系统关键特征参数的异常度量值.最后,利用耦合度方法对传统的线性加权和方法进行优化,通过加权耦合度优化方法计算得到软件系统异常状态的量化值,从而实现对软件系统的异常状态评估.实验结果表明,本文模型对软件系统的异常时序数据具有较好的检测能力,其对系统异常状态的评估结果更为合理、有效.     

融合残差网络的CR-BiGRU入侵检测模型

针对当前网络攻击的复杂性和多样性,传统模型提取流量特征不足且准确率较低的问题,提出一种融合残差网络改进的CR-BiGRU混合模型的网络入侵检测方法.首先将数据集进行归一化以及独热编码处理,然后利用基于残差网络的卷积神经网络提取空间特征,最后使用双向门控神经网络提取时间特征,完成模型的训练并实现异常网络的入侵检测.为表明模型的适用性,基于数据集NSL-KDD和UNSW-NB15进行对比分析实验,结果表明,该方法基于上述数据集准确率分别达99.40%和83.79%,明显优于经典网络入侵检测算法,能有效提升检测网络入侵的精度,从而更好保证网络数据的通信安全.     

基于多层感知机改进型Xception人脸表情识别

针对使用深度学习提取人脸表情图像特征时易出现冗余特征,提出了一种基于多 层感知机（MLP）的改进型 Xception 人脸表情识别网络 . 该模型将 Xception 网络提取的特征输 入至多层感知机中进行加权处理,提取出主要特征,滤除冗余特征,从而使得识别准确率得到 提升 . 首先将图像缩放为 48*48,然后对数据集进行增强处理,再将这些经过处理的图片送入 本文所提网络模型中. 消融实验对比表明：本文模型在CK+数据集、JAFFE数据集和MMI数据 集上的正确识别率分别为98.991%、99.02%和80.339%,Xception模型在CK+数据集、JAFFE数 据集和 MMI 数据集上的正确识别率分别为 97.4829%、90.476% 和 74.0678%,Xception+2lay 模 型在 CK+数据集、JAFFE 数据集和 MMI 数据集上的正确识别率分别为 98.04%、84.06% 和 75.593%. 通过以上消融实验对比,本文方法的识别正确率明显优于Xception模型与Xception+ 2lay模型. 与其他模型相比较也验证了本文模型的有效性.     

基于自注意力机制的网络流量异常检测方法

网络中异常流量的有效检测对网络安全至关重要.以机器学习方法为主的异常流量检测技术,对流量数据采用特征选择方法进行降维并提取最优特征,但容易忽略数据特征之间的关联性,存在异常流量的检测率低、误报率高等问题.为了提高异常流量检测性能,论文在提取流量数据特征的过程中引入自注意力机制进行相关性学习,并结合深度卷积神经网络提出一种有效的网络流量异常检测模型.实验结果表明：通过引入自注意力机制,论文所提出的检测方法能够提取更准确的流量特征,并使得异常流量检测率高、误报率低.     

结合二次特征提取和LSTM-Autoencoder的网络流量异常检测方法

为解决大多数网络流量异常检测方法准确度低、误报率高等问题,提出一种基于长短期记忆网络自编码(LSTM-Autoencoder)的网络流量异常检测方法.首先,将真实网络流量从数据包和会话流级别两方面提取数据特征.为了丰富原始特征,采用离散小波变换(DWT)分解原始特征向量得到更高维特征.考虑真实网络环境可能存在异常数据,采用Grubbs准则对数据进行平滑操作,以防止非人为异常数据干扰训练LSTM-Autoencoder模型.使用已训练的LSTM-Autoencoder模型对训练数据进行重构,通过分析重构误差分布确定检测阈值.最后,对真实网络流量进行测试,分析了模型结构以及外部噪声对检测性能的影响,实验结果验证了所提方法的正确性.与其他基于数据重构的检测方法相比,所提方法具有更高的检测准确度和更优的检测性能.     

融合FCN和LSTM的视频异常事件检测

针对传统视频异常检测模型的缺点,提出一种融合全卷积神经(FCN)网络和长短期记忆(LSTM)网络的网络结构.该网络结构可以进行像素级预测,并能精确定位异常区域.首先,利用卷积神经网络提取视频帧不同深度的图像特征;然后,把不同的图像特征分别输入记忆网络分析时间序列的语义信息,并通过残差结构融合图像特征和语义信息;同时,采用跳级结构集成多模态下的融合特征并进行上采样,最终获得与原视频帧大小相同的预测图.所提网络结构模型在加州大学圣地亚哥分校(UCSD)异常检测数据集的ped 2子集和明尼苏达大学(UMN)人群活动数据集上进行测试,均取得了较好的结果.在UCSD上的等错误率低至6.6%,曲线下面积达到了98.2%,F_1分数达到了94.96%;在UMN上的等错误率低至7.1%,曲线下面积达到了93.7%,F_1分数达到了94.46%.     

基于多层次深度学习网络的行人重识别

提出了多层级特征融合模型,该模型利用深度学习网络提取行人图像的全局特征和局部特征,并将全局和局部特征联合起来,以生成更具辨识度的描述符.在模型中,基于部分的多层级网络用于提取不同网络深度的局部特征,从而将网络底层到高层中提取的局部特征组合起来.全局—局部网络分支则提取网络深层的局部特征和全局特征,用于识别行人.该模型在三个数据集上进行了实验并得到了更好的结果.     

基于数据挖掘的网络状态异常检测

针对目前网络状态异常行为检测正确率低的问题,提出一种基于数据挖掘的网络状态异常检测模型.首先提取网络状态信号,通过小波变换对信号进行预处理,并提取网络状态异常检测的特征;然后通过回声状态网络对网络状态异常检测进行建模,并通过遗传算法对回声状态网络的参数进行优化;最后采用网络状态异常数据集对模型的有效性进行测试.测试结果表明,数据挖掘技术可以准确检测各种网络状态异常行为.     

四阶段端到端的用户异常用电模式检测网络

为减少输配电过程中用户异常用电行为所造成的经济损失,提出了一种新颖的端到端的用户异常用电检测网络模型,该模型基于主成分分析网络（Principal Component Analysis network,PCANet）.与传统PCANet不同的是,其中采用四阶段特征映射模型.通过前三阶段特征映射提取网络获取用户用电数据中的正常、异常用电序列特征.该过程中,为了提高PCANet的检测精度,将第一阶段PCA所获取的特征通过下采样嵌入到第二阶段PCA中.将第三阶段PCA输出作为第四阶段小波神经网络（Wavelet neural networks,WNN）的输入,从而进一步了提高模型的检测精度.通过实验对比分析文中所提方法与传统异常用电检测方法表明：所提出的方法具有更高的检测准确性与鲁棒性,可以有效检测出用户异常用电行为.     

基于反向选择的网络异常学习行为识别方法

网络学习中,异常学习行为不易及时被察觉和纠正,可能会导致严重的学习问题.网络异常学习行为具有多样性和不确定性,难以通过规则直接界定.借鉴生物免疫系统识别病原体的原理设计的反向选择算法,能自适应识别未知异常,并具有实时性、动态性、多样性、鲁棒性等特征.借助主成分分析法从网络学习行为日志数据中抽取行为特征,构成多维空间的学习行为向量,通过优化训练集改进了反向选择算法并设计了基于该算法的网络异常学习行为识别方法 .在真实数据集上的实验结果表明：该方法的识别率优于朴素高斯贝叶斯、决策树、支持向量机等常用算法,能够及时对异常学习行为进行早期预警,为干预和改进学习效果提供客观依据.该方法不需要人工干预,能识别未知的异常行为,具有多样性和较高的自适应性.     

网络切片中物理节点的分布式在线异常检测方法

网络切片中的异常检测问题是实现网络切片自动化管理的重要研究内容,针对网络切片中物理节点的异常检测问题,提出了基于支持向量数据描述的分布式在线物理节点异常检测方法.基于支持向量数据描述建立了一种分布式的物理节点异常检测模型;通过引入随机近似函数,解决了数据分布式存储场景下的核函数计算问题,从而实现观测数据的切片内处理;基于随机梯度下降法,提出了一种在线的物理节点异常检测算法,保证了模型动态更新并减轻了异常数据导致的模型性能下降.在不同条件下进行了仿真分析,仿真结果表明,该方法可在避免切片间观测数据传输的同时,有效利用网络切片中虚拟网络功能的无标签观测信息检测物理节点异常.     

基于OS-ELM和SDAE的Wi-Fi入侵检测方法

为解决大多数Wi-Fi网络入侵检测方法实时性差、误报率高等问题,提出一种基于在线序列极限学习机(OS-ELM)的实时Wi-Fi网络入侵检测系统模型.首先,考虑到实验样本数据中正常与异常数据极不平衡的问题,采用SMOTE算法对数据样本中的异常数据和正常数据进行平衡处理操作,使分类器的分类效果不受样本数据集中多数类样本的影响.然后使用栈式降噪自编码网络(SDAE)对平衡后的数据进行降维,消除无关或冗余特征降低检测建模规模,避免维度灾难.最后,在AWID数据集进行处理并输入到OS-ELM分类器中,结果表明:与其他基于浅层学习算法的检测方法相比,所提方法可有效地精简数据特征,降低了检测时间,同时在检测精度和误报率方面也体现出了更优性能.     

基于随机森林的车载CAN总线异常检测方法

针对目前车载网络的信息安全问题, 在控制器局域网(CAN)总线异常检测方法的基础上, 提出一种基于随机森林模型的CAN总线报文异常检测方法. 首先用采集的大量正常和异常报文数据构造随机森林模型, 并进行一系列的参数调整; 然后将待检测的CAN总线报文输入到对应ID的随机森林模型中; 最后通过模型完成报文正常或异常的分类. 仿真实验结果表明, 该模型能有效检测出总线上的异常数据, 提升了汽车运行的安全性.     

基于DNN-FM模型的网络入侵检测研究

与随着网络技术的飞速发展,主动防御网络入侵比以往更加重要.误报率高和检测率低的主要原因之一是不能很好的对数据集间的特征进行交互学习.在本文中,我们提出了一种可以对低阶和高阶特征进行交互学习的模型.模型DNN-FM在新的神经网络体系结构中结合了因子分解机和深度神经网络对低阶和高阶特征进行交互学习.在KDD99数据集上进行...     

基于生成式对抗网络的自监督多元时间序列异常检测方法

异常检测是数据挖掘的重要研究方向之一.工业设备的各项指标以多元时间序列的形式被传感器监测，多元时间序列的异常检测对保障安全和提高服务质量至关重要，但是异常的定义相对模糊，具有异常标签的数据很稀少.此外，多元时间序列具有复杂的时间依赖性和随机性，使异常检测存在许多问题.提出CPCGAN模型，使用自监督学习的方法对多元时序数据进行异常检测.首先使用对比学习的方法得到多元时序数据的表示向量，再将具有先验信息的表示向量作为输入用来训练生成式对抗网络，通过生成式对抗网络的重构误差来确定异常.在五个数据集上与五种无监督异常检测方法进行对比，实验结果证明提出的方法能有效地检测两类异常，并且，在大多数数据集上的表现更好.     

基于eBPF与LSTM的DDoS攻击检测系统

针对网络异常流量检测中的DDoS攻击检测,以往的基于深度学习的解决方案都是在脱离系统实体的数据集上构建模型和优化参数,提出并实现一种使用Linux内核观测技术eBPF(extended Berkeley Packet Filter)与深度学习技术结合的基于网络流量特征分析的网络异常流量检测系统。系统采用eBPF直接从Linux内核网络栈最底层高效地采集网络流量特征数据,然后使用基于长短记忆网络LSTM(Long Short Term Memory)构建的深度学习系统检测网络异常流量。在具体实现中,系统首先通过Linux内核网络栈最底层XDP(eXpress Data Path)中的eBPF程序挂载点采集网络流量特征数据。之后,使用LSTM构建神经网络模型和预测分类。将系统应用于一个仿真实验网络环境得出的实验结果表明,系统的识别精确度达到97.9%,同时,在使用该系统的情况下,网络中的TCP与UDP通信的吞吐率仅平均下降8.53%。结果表明：系统对网络通信影响较低,同时也实现了较好的检测效果,具有可用性,为网络异常流量检测提供了一种新的解决方法。     

基于时空融合深度学习的工业互联网异常流量检测方法

基于流量异常发现网络中的攻击行为具有普适性优势，而传统的异常流量检测方法难以适应大量复杂的工业互联网流量特征提取，针对此问题提出一种基于时空融合深度学习的工业互联网异常流量检测方法。对类别不平衡的流量数据进行预处理操作，以形成样本分布较为均衡的流量数据集;使用融合聚合残差变换网络和门控循环单元的深度学习模型从空间和时间维度上提取流量数据特征，实现时空融合的流量数据特征的综合提取;通过Softmax分类器对流量数据进行分类。实验测试结果表明，所提方法具有较高的准确率和F1值，分别可达到94.7%和95.47%。与传统的异常流量检测方法相比，所提方法提高了对工业互联网异常流量数据的检测指标，且模型的运行时间相对较短。