基于误用检测与异常行为检测的整合模型

针对入侵检测中普遍存在检测率低与误报过高的问题,采用基于多维-隐马尔可夫模型的检测方法和基于Apriori算法的误用检测技术相结合的入侵检测系统(intrusion detection system,IDS)模型.新模型减少了单纯使用某种入侵检测技术时的漏报率和误报率,同时在异常检测模块中采用了隐马尔可夫与简单贝叶斯分...     

基于Windows Native API序列的异常检测模型

针对Windows操作系统受到的越来越多的严重攻击，提出一种基于Native API序列的多步一致模型和指数迭代检测算法，实现了从内核空间检测Windows操作系统中的异常入侵．通过设计内核虚拟设备来截获系统服务分配表，从而可实时地获取Native API信息．用被截获的正常Native API数据建立一步和二步一致模型，并以此描述进程的正常行为．在检测过程中，通过指数迭代检测算法，可对不断出现的Native API的正常指数进行度量．采用报警提取算法对正常指数进行分析可惟一地确定对应的攻击，为管理员及时掌握系统的安全状况提供了保证．在不同的Windows操作系统环境下的实验结果表明，该方法有较好的检测精度．     

Markov链模型在异常检测上的应用研究

Markov链模型作为一种统计分析方法是异常检测的重要分析手段，论文分别从单步、多步Markov链和基于Markov链的序列预测三个方面，研究了Markov链模型在异常检测检测上的应用。实验表明，该方法在不需要任何攻击领域知识的情况下，能很好检测出SendMail系统调用的异常行为。     

基于隐马尔可夫模型的程序行为异常检测

针对入侵检测中普遍存在误报与漏报过高的问题，提出了一种基于隐马尔可夫模型的程序行为异常检测新方法．该方法以程序正常执行过程中产生的系统调用序列为研究对象，建立计算机的正常程序行为模型．在入侵检测时，先对测试的系统调用数据用滑动窗口划分得到短序列，再根据正常程序行为的隐马尔可夫模型求得每个测试短序列的输出概率，如果系统调用短序列的输出概率低于给定阈值，则将该短序列标定为“不匹配”，如果测试数据中不匹配的短序列数占总短序列数的百分比超过另一给定阈值，该模型就认为此程序行为异常．实验结果表明，与Forrest和Lee的方法相比，所提方法的检测率的最大提高率可达590％．     

云环境下基于多属性信息熵的虚拟机异常检测

针对云环境下虚拟机因资源耗尽或程序运行错误而发生性能逐步恶化的异常现象,提出了一种基于多属性信息熵的检测方法.首先,计算每次采样的多个虚拟机状态属性的联合2-范数.然后,统计该联合2-范数的取值在一定时间内的出现频率,计算出各虚拟机状态属性的联合信息熵.当该熵值取最大值时,执行异常检测.期间,以各联合2-范数的移动加权均值及方差为基础构建检测变量,利用非参数CUSUM算法完成异常状态的判定.基于Hadoop的实验结果表明:该方法既能降低偶发暂态异常引发的虚警干扰,又能在虚拟机运行状态出现显著异常之前准确地发出告警.     

基于LSTM-WGAN的时间序列数据异常检测

在时序数据中发现隐藏的异常行为或事件,可以保障生产安全,具有重要意义。目前的异常检测模型存在训练不稳定、容易产生梯度消失的问题,影响异常检测效果,针对该问题,提出一种LSTM-WGAN模型,WGAN负责捕获变量之间的潜在关联,进一步提升了LSTM的检测能力。同时,以Wasserstein距离代替交叉熵损失训练判别器和生成器,结合重构损失以及判别损失实现异常检测。在NAB公开数据集上的实验结果表明LSTM-WGAN相较于基准模型在准确率、召回率以及F1得分上都有较大幅度的提升。     

基于时间序列分析的网络流量异常检测

针对传统模型无法对网络流量异常进行准确识别和检测的问题,提出一种基于时间序列分析的网络流量异常检测模型.首先提取网络流量的原始数据,并对原始数据进行小波阈值去噪处理,消除干扰因素的影响;然后采用时间序列分析法挖掘网络流量数据之间的变化关系,建立网络流量异常检测模型;最后通过仿真实验验证检测模型的有效性和优越性.实验结果表明,时间序列分析法可以准确、及时地检测网络流量的异常行为,且结果优于目前其他网络流量异常检测模型.     

基于卡尔曼滤波的考生异常行为检测与识别

为了利用考场的监控视频提高监考效率,节约人力资源,提出了结合累积背景差分与帧差进行异常检测,利用卡尔曼滤波跟踪学生异常行为并提取异常特征,使用Softmax分类器进行分类识别的方法,实现了考生异常行为的自动识别检测与分类。实验结果表明,能够对考生的异常行为进行有效的检测与分类,提高了考场监控能力。     

基于视频的人体异常行为检测与识别

提出了一种运动目标检测算法,通过三帧差分法,可以从视频图像中提取出运动目标的轮廓.通过三帧差分法分别对人体正常行走和人体摔倒两种行为进行检测,提取出人体在两种行为的运动过程中的特征.提出一种基于改进Hu矩不变性的人体异常行为识别算法,对人正常行走和摔倒两种行为进行识别.正常行走是正常行为,摔倒则为异常行为.实验证明,该方法对在本研究的实验环境下的正常行走和摔倒两种行为识别率很高,有一定实用价值.     

基于Markov链模型的被动测试错误检测算法

通过分析如何将概率统计的思想应用到基于有限状态机的协议被动测试上,在Markov链模型基础上,提出了一种新的被动测试错误检测算法,并给出了与已有算法的比较.从比较结果可知,新算法只需要知道有限状态机中转换的概率分布和最终观察到的输入/输出对的概率分布,就可以解决已有算法存在的问题,因此适用范围更广,同时还探讨了单个错误定位问题.     

基于时间序列的异常检测算法的研究

在时间序列数据下,针对传统的器件故障检测技术对不同的器件检测率低、小样本数据分类不平衡等问题,对数据异常检测准确率造成很大的影响。该文构建一种机器学习和深度学习相结合的时间序列异常检测算法,针对时间序列数据分类不平衡问题,引入合成少数类过采样技术（Synthetic Minority Oversampling Technique,SMOTE）,使得各类别之间的数据达到均衡状态,用最小绝对收缩和选择算法（Least Absolute Shrinkage and Selection Operator,LASSO）进行特征选择,从而得到对异常检测结果影响较大的特征项,最后,使用基于添加注意力机制的长短期记忆网络（Long Short-Term Memory,LSTM）作为异常检测分类器,完成基于时间序列异常检测算法的实现。     

基于t-LeNet与时间序列分类的窃电行为检测

窃电行为是导致电力企业电能与经济效益损失的重要原因.提出了一种基于t-LeNet(Time-Series Specific Version of LeNet Model)与时间序列分类(Time Series Classification, TSC)的窃电行为检测方法:首先,获取用户用电量时序数据,使用降采样方法生成训练集;然后,使用t-LeNet神经网络训练并预测得到分类结果,判断用户是否存在窃电行为.使用国家电网真实用户的用电量数据集进行了实验验证.实验结果表明,所提方法相较于基于Time-CNN(Time Convolutional Neural Network)、MLP(Muti-Layer Perception)的时间序列分类方法,在综合评价指标、精确率、召回率指标上均有不同程度提高,其对窃电行为的检测具有可行性与有效性.     

基于序列注意力机制的卷积神经网络异常检测

随着互联网的飞速发展,Web攻击已经成为目前最严峻的网络安全威胁之一.一小段潜藏在正常Web请求中的恶意代码极有可能导致严重的信息泄露或其他安全事故.针对这一威胁,现有的研究主要集中于模式匹配与语法分析.然而,模式匹配和语法分析严重依赖于人力与专家知识,且通常只能检测出是否具有威胁,但不能定位恶意代码区域.提出一种新的卷积神经网络算法,可以从Web请求中检测出SQL注入攻击、Command攻击、本地文件包含和跨站脚本攻击等.得益于序列注意力机制,所提出的算法还可以从URL中定位出恶意代码的位置.实验结果表明,SA-CNN可以有效检测和定位URL中的恶意代码,并在几个公开的短文本分类数据集上也有良好的表现.     

数据挖掘在检测农业补贴中欺诈行为的应用——基于异常检测与神经网络模型

随着国家对农业发展扶持力度的不断加大,农业补贴申请资金得到提高的同时,其种类也在逐渐扩充.因此,如何检测农业补贴申请中的欺诈行为是一项值得关注的研究课题.通过对clementine 12.0中的案例数据分别构建异常检测和神经网络模型,对农业补贴申请记录中的欺诈行为进行检测,并借助clementine12.0的可视化实验平台直观、有效地观察检测结果.实验结果表明:提出的方法可以明显地提高检测欺诈行为的效率及准确率,具有一定的启发和借鉴意义.     

基于虚拟机的网格计算模型

基于对网络计算中安全因素及实现环节的考虑,提出一种基于虚拟机和中间件的网格计算模型。该虚拟机是传统操作系统进程(虚拟机监视程序)和文件(虚拟机状态)的合并,对该模型做出了定性的讨论,并且从性能的角度作出了相应的可行性分析。最后,还叙述了该方法和虚拟机上网格计算架构所带来的中间件的竞争。     

基于Markov网络的检索模型

基于Markov网络的信息检索模型提出一种贝叶斯网络推广的检索模型,该模型利用词项在文档集中的共现信息来构造Markov网络,通过该索引项子Markov网络来加载附加查询证据源,计算文档与查询之间的相关性概率,由此概率进行文档排序. 实验结果表明,本文提出的Markov网络模型比其他传统的检索方法具有更优的检索性能.     

基于深度学习特征的异常行为检测

已有的异常行为检测大多采用人工特征,然而人工特征计算复杂度高且在复杂场景下很难选择和设计一种有效的行为特征.为了解决这一问题,结合堆积去噪编码器和改进的稠密轨迹,提出了一种基于深度学习特征的异常行为检测方法.为了有效地描述行为,利用堆积去噪编码器分别提取行为的外观特征和运动特征,同时为了减少计算复杂度,将特征提取约束在稠密轨迹的空时体积中;采用词包法将特征转化为行为视觉词表示,并利用加权相关性方法进行特征融合以提高特征的分类能力.最后,采用稀疏重建误差判断行为的异常.在公共数据库CAVIAR和BOSS上对该方法进行了验证,并与其它方法进行了对比试验,结果表明了该方法的有效性.     

基于交叉熵的用户行为异常检测

介绍了一种基于交叉熵模型的用户行为异常检测的方法,在实验条件完全相同的情况下,通过改变模型的参数,得到了大量的实验数据。实验结果表明,与隐马尔可夫模型相比,交叉熵模型较简单、识别性能较高、特别是训练时间可以忽略不计。     

基于邮件行为异常的垃圾邮件客户端检测

针对僵尸客户端可能存在的垃圾邮件发送行为,从邮件发送的过程和原理入手,提出一种基于邮件行为异常的僵尸客户端检测方法.实验结果显示,正常主机和正在进行垃圾邮件发送的僵尸客户端在进行邮件发送时存在非常显著的差异.