基于数据流频繁模式挖掘的入侵检测模型

计算机网络入侵通常具有高频度特性,因此,识别是否正常访问,对数据流中重复元素的挖掘,给出频度指标,是一种重要的依据.提出一种基于数据流频繁模式的改进型AFP算法,该算法采用滑动窗口树技术,单遍扫描数据流及时捕获网络上的最新模式信息,并将该算法应用在入侵检测模型中正常数据和异常数据的在线挖掘.解决了有限存储和无限数据流的矛盾.实验结果表明,该模型有较高的报警率和较低的误报率.     

关联规则挖掘技术在冠心病诊断中的应用

针对传统的关联规则算法挖掘效率低且产生的频繁项集庞大的缺陷,提出一种改进的基于直接频繁闭超项集理论的关联规则挖掘算法。该算法针对候选频繁闭项集具有快速检测闭合性和缩减查找范围的优势,有效地提高了挖掘效率。在冠心病诊断中的应用结果表明,该算法可有效地挖掘冠心病诊疗规则。     

一种面向物流数据分析的路径序列挖掘算法ImGSP

为了有效地挖掘物流管理系统中的物流频繁路径序列模式,提出了一种针对物流数据分析的路径序列挖掘算法ImGSP算法.ImGSP算法通过对原始路径数据库筛选,选出路径序列长度大于或等于候选序列长度的路径序列,有针对性地产生过度候选序列,来约减候选序列.实验结果表明:ImGSP算法能够有效地减少候选序列数量,生成频繁路径序列模式,进而产生物流中有用的规则.该方法不仅缩小了扫描数据库的规模,而且减少了生成频繁序列的候选序列集合.     

数据流挖掘算法在网络安全中的应用研究

入侵检测技术是网络安全中的核心技术,把数据流中频繁项集的挖掘应用于入侵检测系统中正常和异常数据分析已是当前网络安全中的一个重要发展方向.流入网络流中的数据高速并且无限到达,所以利用传统多遍扫描数据库的挖掘技术来构建入侵检测模型已受到局限.针对频繁模式多维的特点,提出了一种新型数据结构SW.Tree,并给出了一种高效的挖掘网络访问数据流的挖掘算法,把这种算法应用于网络入侵检测模型中频繁模式的挖掘,取得了较好的成效.     

一种新的高速网格入侵检测系统模型

提出了一种新的高速网格入侵检测系统模型,将入侵检测系统部署于网格环境,并采用基于特征匹配的检测技术;为了实现网格中各种资源使用的负载均衡,采用改进的遗传算法进行任务的分配;为了实现对分布式攻击的检测,采用数据融合和频繁模式挖掘技术进行报警的合成与关联分析.该模型不仅能够利用网格资源进行攻击检测,而且实现了网格资源使用的负载均衡.     

基于改进频繁模式树的最大频繁项目集更新挖掘算法

在挖掘最大频繁项目集的过程中,通过改变最小支持度阈值可以挖掘更有用的最大频繁项目集,为此提出了一种最大频繁项目集更新挖掘算法UAMMFI(Updating Algorithm for Mining Maximal Frequent Itemsets)。算法基于改进后的频繁模式树结构,在更新挖掘过程中,不需产生候选项目集和条件模式树,并且充分利用先前已挖掘的最大频繁项目集中包含的信息,快速更新挖掘出最小支持度阈值变化后的最大频繁项目集。实验结果表明,算法能够高效更新挖掘最大频繁项目集。     

基于基频状态和帧间相关性的单通道语音分离算法

提出一种基于基频状态和帧间相关性的单通道混合语音分离算法.首先,从混合语音中提取2个源语音的基频进行状态编码,基于编码的基频状态构造自适应字典,并通过引入基频信息在字典层面对各源语音信号进行区分.然后,采用频繁模式挖掘算法,提取基频状态为1时字典的频繁1项子集,缩减字典尺寸.最后,以基于正交匹配追踪的分离语音为基础,检测分离效果差的混合语音帧,搜索与其相关度最高的平移后的邻近分离语音帧进行叠加,并采用软掩蔽方法进行第二次分离校正.仿真实验结果表明,该算法获取的分离语音信噪比优于现有的2种经典语音分离算法,并且该算法采用频繁模式挖掘算法大大减小了运算量.     

基于PrefixSpan的快速交互序列模式挖掘算法

为了克服序列模式挖掘过程中重复运行挖掘算法而产生的时空消耗,提出了一个快速、简单而有效序列模式的交互式算法FISPM,利用前次挖掘得到的序列构造序列模式数据库用来存储挖掘出来的所有序列, 通过缩减本次挖掘所要构造投影数据库的频繁项的数量来减少构造投影数据库所需的时间以及投影数据库的大小,从而减少时间和空间消耗,提高挖掘效率.通过设置全局最小支持度来减少算法迭代次数. 实验结果证明在交互挖掘过程中FISPM效率优于PrefixSpan.     

一种基于节点关联的报警置信度计算方法

大部分入侵检测系统的实现都会产生大量的报警信息,在一定程度上影响了系统管理,误报率也较高,影响了入侵检测的效果.针对这个问题,提出了一种基于节点关联的报警置信度计算方法,位于对等网络之上,节点在收到一系列入侵报警之后,需要进行节点关联,从而对报警信息进行融合,提取有效报警信息.其中根据关联对象的不同,节点关联又包括报警关联和信任关联两个层次,报警关联可用来判断入侵报警的有效性,信任关联可用来判断发起报警节点的可信性,给出了相关算法.仿真实验表明,使用该报警置信度计算方法可以提高入侵报警的检测准确率.     

半结构化文档数据流的快速频繁模式挖掘

为了提高半结构化文档数据流的挖掘效率,对原有挖掘算法StreamT进行了改进,提出了一种半结构化文档数据流的快速频繁模式挖掘算法--FStreamT.该算法针对利用集合存储候选频繁模式效率较低的缺点,采用枚举树存储候选频繁模式,可以有效地提高对候选频繁模式集合进行查找和更新的效率,同时利用频繁模式的单调性和枚举树的特点减小了维护负边界的搜索空间,从而提高了整个算法的效率.理论分析和实验结果表明,算法FStreamT与算法StreamT相比具有较高的效率,是有效可行的.     

Two-Stage Algorithm for Correlating the Intrusion Alerts

To solve the problem of the alert flooding and information semantics in the existing Intrusion Detection System(IDS), we present a two-stage algorithm for correlating the alerts. In the first stage, the high-level alerts is integrated by using the Chronicle patterns based on time intervals, which describe and match the alerts with the temporal time constrains of an input sequence. In the second stage, the preparing relationship between the high-level alerts is defined, which is applied to correlate the high-level alerts, and the attack scenario is constructed by drawing the attack graph. In the end a given example shows the performances of this twostage correlation algorithm in decreasing the number and improving the information semantic of the intrusion alerts produced by the IDS.     

网络入侵检测系统的拒绝服务攻击的检测与防御

针对网络入侵检测系统的拒绝服务攻击(DOS)具有难于检测与防御的特点，提出了一种新颖的检测与防御算法。该算法通过分析告警的频率与分散度来检测DOS攻击，并采用分阶段切换的方式将状态检测由正常模式转为紧急模式，丢弃不属于正常TCP会话的数据包，以实现对DOS的防御。性能分析和实验结果表明，该算法能够及时发现、防御DOS攻击，有效地阻止DOS攻击所造成的系统破坏。     

基于改进蚁群算法与遗传算法组合的网络入侵检测

为提高网络入侵检测的检测效果,提出一种基于改进蚁群算法与遗传算法组合的网络入侵检测方法.该方法采用遗传算法(genetic algorithm,GA)对网络入侵的特征集进行快速选取,为后续特征提取打下基础;对传统蚁群算法(ant colony optimization,ACO)的节点选择策略和信息素更新策略进行改进,提出一种改进的蚁群算法,提高对最优特征的选择效果,采用改进的蚁群算法对特征进一步选择;采用支持向量机(support vector machine,SVM)统计机器学习方法建立各类网络入侵的检测分类器.仿真实验结果表明,新的网络入侵检测方法综合GA和改进蚁群算法的优势,能够获得更好的入侵特征,从检测正确率、误报率和漏报率3个方面综合比较,新的网络入侵检测方法具有更好的网络入侵检测效果,且提高了检测速率.     

基于信息熵的无线传感网入侵检测遗传算法

无线传感网作为正在兴起的物联网的基础设施,在快速发展的同时却面临着多种信息安全风险。提出了一种基于信息熵的无线传感网入侵检测遗传算法,将信息熵和遗传算法应用于检测过程所用比对库的训练,采用异常检测和特征检测结合方法进行入侵检测。仿真实验结果表明,该算法能快速地生成比对库,在入侵检测过程中的收敛性和精确度都有明显改善,其对入侵的检测率高于99．5％,误检率低于0．5％。     

基于改进的BP神经网络的入侵检测研究

本文提出了引入可调因子和遍历局部最小并逃逸的方法,以解决标准BP算法中误差曲面过于平坦导致迭代次数增加、易陷入局部最小的缺点,并将此算法应用到网络入侵检测系统,对五类入侵行为进行检测。实验结果表明,改进后的BP算法大大缩短了系统响应时间并降低了检测系统的漏检率和误检率,极大改善了入侵检测系统的性能。     

基于地址关联图的分布式IDS报警关联算法

当前入侵检测系统产生的报警洪流往往使管理员无法处理,大大降低了IDS系统的有效性. 对原始报警事件的关联分析可以从大量报警中提取出有效的攻击事件;分析攻击者的真正意图,对大规模分布式入侵检测系统有重要意义. 为此综合分析了现有报警关联算法的优点和不足,提出了一种基于地址关联图(ACG)的报警关联算法. 该算法用地址关联图模型对分布式IDS原始报警事件进行分析,以得到不同攻击之间的关联和发生步骤,得到攻击者的攻击路径,进而分析攻击者的意图. 该算法无需提前制定关联知识库或提前训练关联模型,因此易于实现.     

基于WM算法改进的多模式匹配算法

为提高入侵检测系统整体的性能和效率,在研究经典的WM(Wu-Manber)多模式匹配算法的基础上,提出一种改进的WM多模式匹配算法.该算法使用后缀表方法,减少了匹配过程中模式字符串与文本的比较次数.实验结果表明,该算法有效提高了入侵检测系统匹配的速度和效率.     

数据挖掘在入侵检测技术中的应用研究

针对入侵检测系统的特点,分析了数据挖掘在入侵检测技术中应用的研究现状,并利用数据挖掘技术在处理海量警报数据方面的优势,提出了一个入侵警报分析系统模型,通过对入侵检测系统产生的警报进行分析,减少了警报数量,提高了系统的检测效率和实用性.     

CPN攻击建模及警报相关性算法设计

为提高当前入侵检测系统的预警质量和分析预测能力,用染色Petri网(colored petrinet,CPN)构造了攻击模型,系统性地设计了警报信息相关性分析算法.通过把"警报"和"攻击"作为2个不同实体参与模型运算,将目前主要采用的过滤观察信息为基础的关联方法提升为信息推理的演算方法.应用CPN模型转换、极小覆盖集命题等方法,对本领域中的难点问题即复合攻击、合作攻击进行了理论分析和算法设计.在此基础上开发了警报信息相关性分析(alerts correlationanalvsis system,ACAS)实验系统,实验结果表明算法系统对于提高入侵检测系统的警报质量和分析预测能力是可行、有效的.     

IBM算法及其在Snort系统下的实现

入侵检测系统匹配算法是影响检测效率的关键,为进一步提高系统性能和检测效率,对Snort系统采用的BM算法进行了改进,提出了IBM算法.该算法以两个字符为单位计算右移量,增大了文本串的滑动距离,有效地减少了匹配次数;将IBM算法应用于Snort,并在Windows平台下实现了基于改进算法的Snort系统.实验结果表明,该系统能够有效地检测各种攻击,与原系统相比检测效率有了明显的提高.