基于联邦迁移学习的应用系统日志异常检测研究

迄今为止，基于日志的异常检测研究已经取得了很多进展，然而，在现实条件下仍旧存在两个挑战：（1） 是日志数据通常以“数据孤岛”形式储存在不同的服务器上，单一公司或组织的日志数据中异常样本量不足，且异常模式较为固定，很难通过这些数据训练出一个准确率高的检测模型. 为了解决这个问题，将不同来源的日志数据整合成更大的数据集可以提高模型训练的效果但可能会在数据传输过程中产生日志数据泄露问题；（2） 是不同应用系统类型的日志数据通常在结构和语法上存在差异，简单地整合并用于训练模型效果不佳. 基于以上原因，本文提出一种基于联邦迁移学习的日志异常检测模型训练框架LogFTL，该框架利用基于匹配平均的联邦学习算法，在保证客户端数据隐私安全的前提下于服务器聚合客户端的模型参数形成全局模型，再将全局模型分发给客户端并基于客户端的本地数据进行迁移学习，优化客户端本地模型针对自身常见异常行为的检测能力. 经过实验表明，本文提出的LogFTL框架在联邦学习场景下效果超过了传统的日志异常检测方法，同时也证明了该框架中迁移学习的效果.     

基于注意力机制多特征融合与文本情感分析的日志异常检测方法

现有的基于深度学习和神经网络的日志异常检测方法通常存在语义信息提取不完整、依赖日志序列构建和依赖日志解析器等问题.基于注意力机制多特征融合和文本情感分析技术,提出了一种日志异常检测方法 .该方法首先采用词嵌入方法将日志文本向量化以获取日志消息的词向量表示,接着将词向量输入到由双向门控循环单元网络和卷积神经网络组成的特征提取层中分别提取日志消息的上下文依赖特征和局部依赖特征,使用注意力机制分别加强两种特征中的关键信息,增强模型识别关键信息的能力.使用基于注意力机制的特征融合层为两种特征赋予不同权重并加权求和后输入由全连接层构成的输出层中,实现日志消息的情感极性分类,达到日志异常检测的目的 .在BGL公开数据集上的实验结果表明,该模型的分类准确率和F1值分别达到了96.36%和98.06%,与同类日志异常检测模型相比有不同程度的提升,从而证明了日志中的语义情感信息有助于异常检测效果的提升,并且经过实验证明了使用注意力机制的模型可以进一步提高文本情感分类效果,进而提升日志异常检测的准确率.     

基于独热编码和卷积神经网络的异常检测

目前基于深度学习的网络异常检测是入侵检测领域新的研究方向,但是大部分研究都是利用数据挖掘处理后的特征数据进行特征学习和分类。该文利用UNSWNB15作为主要研究数据集,利用独热编码对数据集中的原始网络包进行编码,维度重构后形成二维数据,并利用GoogLeNet网络进行特征提取学习,最后训练分类器模型进行检测。实验结果表明:该方法能有效处理原始网络包并进行网络攻击检测,检测精度达到99%以上,高于基于特征数据进行的深度学习检测方法。     

基于GRU算法的轨道交通客流预测模型

轨道交通的高速发展,使得站点的客流压力加剧,拥挤问题也带来了安全隐患.为简化客流预测模型训练时间,轻量化模型,采用K-means聚类,将客流数据进行分类,归一化数据,简化数据分布.在划分训练集和测试集后,分别利用长短时记忆网络(LSTM)模型和门控循环单元(GRU)模型对数据集进行训练.在不同时间粒度下分析了模型的可行性,对比两种算法的损失函数和运行时间.实验结果表明,在预测结果的准确性相近的情况下,GRU模型比LSTM模型有更短的拟合时间,同时模型本身更加简单,有着更好的适用性.     

一种基于多分类器协同训练的网络异常检测方法

基于机器学习的网络异常检测方法是入侵检测领域的重要研究内容.传统的机器学习方法需要大量的已标记样本对分类器进行训练,然而已标记样本通常较难获取,导致分类器训练困难;此外单分类器训练面临难以消除的分类偏向性和检测孔洞.针对上述问题,本文提出了一种基于多分类器协同训练的异常检测方法MCAD,该方法利用少量的已标记样本和大量的未标记样本对多个分类器进行协同训练,以减少分类的偏向性和检测孔洞.对比实验采用经典的网络异常检测数据集KDD CUP99对MCAD的异常检测性能进行验证。实验结果表明,MCAD有效地降低了检测器训练代价,提高了网络异常检测性能.     

基于FisherVector的图像精细分类方法

该发明提出一种基于Fisher Vector的图像精细分类方法,用以解决现有图像精细分类方法中存在分类准确率低的技术问题,包括如下步骤:读取图像库数据,得到包含各个类别的训练图像集和测试图像集;提取训练图像集和测试图像集中每幅图像的RGB特征;求取关于训练图像集RGB特征描述的混合高斯参数;求取匹配图像块集的Fisher Vector特征矢量;求取训练图像集的最终特征描述和测试图像集的最终特征描述;利用SVM对训练图像集的最终特征描述进行训练,得到分类模型;利用分类模型对测试图像集的最终特征描述进行分类。该发明具有分类准确率较高的优点,可应用于互联网通信、交通和公共安全领域。     

面向不稳定日志的一致性异常检测方法

系统日志被用作系统异常检测的主要数据源.现有的日志异常检测方法主要利用从历史日志中提取的日志事件数据构建检测模型，即假设日志数据随时间的推移其分布规律具有稳定性.然而，在实践中，日志数据往往包含以前未出现过的事件或序列.这种不稳定性有两种来源：1）日志发生了概念漂移；2）日志处理过程中引入了噪声.为缓解日志中出现的不稳定问题，设计了基于置信度协同多种算法的异常检测模型EBCAD（Ensemble-Based Conformal Anomaly Detection）.首先，用统计量p值度量日志之间的不一致性，选择多个合适的集成算法作为不一致性度量函数计算不一致性得分进行协同检测；然后，设计了基于置信度的更新机制来缓解日志不稳定问题，将新日志的不一致性得分添加到已有得分集，更新日志异常检测的经验；最后，根据协同检测得到的置信度与预设置信水平大小来判断不稳定日志是否异常.实验结果表明，在HDFS日志数据集中，当不稳定数据注入率从5%增加到20%时，EBCAD模型的F1值仅从0.996降低到0.985；在BGL_100K日志数据集中，当不稳定数据注入率从5%增加到20%时，EBCAD的F1值仅从0.71降低到0.613.证明EBCAD在不稳定日志中可以有效检测到异常.     

CWGAN-DNN：一种条件Wasserstein生成对抗网络入侵检测方法

针对现有的基于机器学习的入侵检测系统对类不平衡数据检测准确率低的问题,提出一种基于条件Wasserstein生成对抗网络(CWGAN)和深度神经网络(DNN)的入侵检测(CWGAN-DNN).CWGAN-DN N通过生成样本来改善数据集的类不平衡问题,提升对少数类和未知类的检测效率.首先,通过变分高斯混合模型(VGM)对原始数据中的连续特征进行处理,将连续特征的高斯混合分布进行分解;然后利用CWGAN学习预处理后数据的分布并生成新的少数类数据样本、平衡训练数据集;最后,利用平衡训练集对DNN进行训练,将训练得到的DNN用于入侵检测.在NSL-KDD数据集上进行的实验结果表明:利用CWGAN生成的数据进行训练,DNN的分类准确率和F1分数提升了5％,AUC下降了2％;与其他类均衡方法相比,CWGAN-DNN的准确率至少提升了3％、F1分数和AUC提升了1％.     

Web用户异常行为检测的优化研究

为了优化对于Web日志记录的用户异常行为的检测能力,提出一种基于决策树算法的Web用户异常行为检测算法.从给定已有标签的数据集中,根据Relief-F算法来度量特征,引进混淆矩阵的概念选择合适的阈值 ε,选取比阈值大的统计量分量,其所对应的的特征组成用来训练学习器的特征集.将划分后的相关特征集利用C4.5算法构建模型,...     

基于HMM-BIC的说话人日志系统

该文提出一种改进的基于隐Markov模型(HMM)和Bayes信息准则(BIC)的说话人日志系统。它用来检测会议语音数据中"谁在什么时候说话"。在对说话人模型进行Gauss混合模型(GMM)建模的时候,考虑到用来建模的数据通常会比较短,首先训练一个通用背景模型,然后用最大后验概率(MAP)准则得到相应片段的模型。在NIST 2004年举办的说话人日志评测任务数据集RT-04S上的实验结果表明:该系统与国际主流系统相比有一定的优势。     

基于联邦学习的网络异常检测

作为一类网络安全的基础研究,网络异常检测技术目前还存在检测准确率低、误报率高以及缺乏标签数据等问题。为此提出一种融合联邦学习和卷积神经网络的网络入侵检测分类模型（CNN-FL）,可有效解决多个参与者在不共享隐私数据的情况下进行一个全局模型的协作训练时所带来的问题。该模型无需汇集模型训练所需要的数据进行集中计算,只是传递加密的梯度相关数据,即可利用多源数据协同训练同一模型,并解决缺乏标签数据的问题。随后将该模型应用于二分类和多分类方法中,并在同一基准数据集NSL-KDD上进行了实验比较与分析,实验结果表明,与其他研究方法相比,所提CNN-FL分类模型在二分类以及多分类中具有较高的识别性能和分类精度。     

面向电力大数据日志分析平台的异常监测集成预测算法

随着电力企业网络技术的发展,传统和新生的日志处理系统已不能满足大数据状态下的日志分析要求,为了实现系统日志异常分析的目标,该文提出一种基于时间序列的系统异常数量集成预测算法和面向该算法的评价体系。该算法对多种分类预测算法进行集成,对收集到的日志数据进行分类预测,进而实现了以综合最优的准确度预测系统的异常数量,评价体系很好地支持了该算法的工作,算法增强了日志分析平台的安全性。     

基于改进ConvNeXt的COVID-19胸部图像分类

针对新型冠状病毒感染胸部 X-ray 图像分类任务数据集样本过少,现有的两阶段分类器和三阶段分类器模型对高纬度的图像特征提取效果差,模型训练慢等问题,提出一种基于 ConvNeXt 卷积神经网络改进的分类任务算法 ConvNeXt-AT。 ConvNeXt-AT 分类模型首先通过在 ConvNeXt Block 层添加混合域注意力机制 CBAM 来提高图像特征提取能力,不仅考虑了通道间的信息交互能力还考虑到了空间域上像素间的联系,得到 ConvNeXt-AT 模型;然后针对 X-ray 图片常见的泊松噪声使用全变差正则化方法对数据集进行降噪处理;最后在 COVID-19 公开的大型数据集共 21165 张图片进行对比实验。 实验结果表明,在训练数据集充分的情况下,改进的 ConvNeXt-AT 模型相较于常用分类模型 ResNet-50、MobileNet、EfficientNet 以及原 ConvNeXt-T 在准确率上分别提升了 2%、2. 7%、2. 1%、1. 9%。 最后通过 Grad-CAM 显示类激活图的图像可视化方法证明改进方法是可行的,模型具有很好的鲁棒性。     

基于数据挖掘的异常入侵检测系统

在分析现有入侵检测技术和系统的基础上,提出了一种基于数据挖掘和可滑动窗口的异常检测模型,该模型综合利用了关联规则和序列模式算法对网络数据进行充分挖掘,分别给出了基于时间窗口的训练阶段和检测阶段的挖掘算法,并建立贝叶斯网络,进一步判定规则挖掘中的可疑行为,提高检测的准确率.     

ID-DC:基于分布式聚类的入侵检测方法

提出了基于分布式聚类的异常入侵检测方法ID-DC,通过对训练集进行分布式聚类产生聚簇模型,采用基于双参考点的标识算法Double-Reference标记异常簇,不需要具有类别标签的训练集且可自动确定聚簇模型的个数.实验中采用了网络入侵检测数据集KDD-CUP-99来训练模型.实验结果表明:通过采用分布式聚类算法建立的分布式入侵检测模型可有效地检测攻击,检测率高,误警率低.     

基于逻辑回归的增量式异常用电行为检测方法

用户异常用电行为的检测是电力公司需要重点解决的问题。目前异常用电检测通常采用数据分析的方法,主要包括聚类和分类两种,在处理固定数据集时校测准确率和效率均较高。但是此类方法在处理增量数据时,每次数据增量更新时均需要将增量数据与原始数据合并后重新建模才能获得新的检测模型,而用户的用电数据是频繁更新的且最新的数据更能体现出用户的用电习惯,因此在异常用电行为检测时必须考虑增量数据,而现有检测方法在进行增量式异常用电行为检测时效率很低。为解决数据增量式更新的情况下异常用电行为检测方法性能低下的问题,提出了一种基于逻辑回归的增量式异常用电行为检测方法,仅需对增量数据进行建模即可得到面向全局数据集的检测模型,无需对全局数据进行重新建模,提高检测算法的执行效率。当用户电量数据产生增量时,仅需对增量数据构建检测模型,再与原始数据的检测模型相结合,即可得到基于全部数据的检测模型。实验结果表明,该方法在保证检测结果准确性的同时,极大地提高了算法执行效率,且对计算和存储资源的需求较低。     

基于深度神经网络剪枝的两阶段遥感图像目标检测

在高分辨率遥感图像目标检测中,受云雾、光照、复杂背景、噪声等因素影响,现有目标检测方法虚警率高、速度慢、精确度低.为此提出基于深度神经网络剪枝的两阶段目标检测(object detection based on deep pruning,ODDP)方法.首先,给出深度神经网络剪枝方法,基于深度神经网络剪枝分别提出自主学习区域提取网络算法与优化训练分类网络算法;然后,将上述两算法用于卷积神经网络,得到两阶段目标检测模型.实验结果表明,在NWPU VHR-10高分辨率遥感数据集上,相比现有目标检测方法,ODDP的检测速度和精度均有一定提升.     

传感器网络时间序列数据的事件分类研究

目前智能环境中传感器网络所采集的海量数据面临着进行有效事件的模式分类及异常检测的难题.为了有效对智能环境中传感器网络采集的时间序列数据所表征的事件进行分类,提出了基于协方差特征空间映射数据的聚类分析方法.通过对采集得到的时间序列数据按时隙进行划分,映射到协方差特征空间,然后对映射后的数据进行了动态密度聚类,从而实现对事件的分类;并根据聚类结果建立分类模板,作为对日常事件进行分类划分的检测方法,同时利用所得的分类模板,实现对异常事件的检测.实验结果表明,基于协方差特征空间映射数据的聚类分析方法能有效对传感器网络采集的时间序列数据所表征的事件进行分类,并能有效提升异常事件的检测及筛选效果.     

统一身份认证日志集中管理与账号风险检测

为提升统一身份体系的安全性,检测账号异常登录和盗用事件,以上海交通大学为例,梳理了接受统一身份账号登录的所有网络服务,对各入口认证日志做分布式采集和格式统一,实现了身份认证日志的集中审计管理.基于对用户校园网服务使用习惯的分析,设计了基于行为的账号风险评估算法,利用地址数据和威胁情报对日志进行扩充,根据用户使用模式分析标注正常登录和风险访问行为,对账户提取16种特征后使用机器学习方法进行异常检测.实验结果表明,使用随机森林算法分类可在0.1%的低误报率条件下取得89.5%的检出率,效果明显优于传统基于异地登录检测的方法.将检测模型应用于实际日志1个月,发现了375个存在风险的账号.     

基于DenseNet的机载雷达动目标检测

针对传统机载雷达运动目标检测方法所需训练距离单元较多的问题,将运动目标检测问题转化为多分类问题.首先,基于少量训练距离单元数据构建分类所需的训练数据集;然后,基于卷积神经网络DenseNet构建多类分类器;最后,利用训练后的分类器提取雷达空时回波数据特征,进行目标检测和参数估计.仿真结果表明:基于DenseNet的机载雷达动目标检测方法能够有效检测目标,估计目标的距离、多普勒频率等参数.相比传统空时自适应处理方法,该方法能够显著减少所需训练距离单元数量;相比现有基于分类的目标检测方法,该方法能够有效提高目标检测和参数估计的准确度.