一种基于多分类器协同训练的网络异常检测方法

基于机器学习的网络异常检测方法是入侵检测领域的重要研究内容.传统的机器学习方法需要大量的已标记样本对分类器进行训练,然而已标记样本通常较难获取,导致分类器训练困难;此外单分类器训练面临难以消除的分类偏向性和检测孔洞.针对上述问题,本文提出了一种基于多分类器协同训练的异常检测方法MCAD,该方法利用少量的已标记样本和大量的未标记样本对多个分类器进行协同训练,以减少分类的偏向性和检测孔洞.对比实验采用经典的网络异常检测数据集KDD CUP99对MCAD的异常检测性能进行验证。实验结果表明,MCAD有效地降低了检测器训练代价,提高了网络异常检测性能.     

基于MeAEG-Net的异常流量检测方法研究

异常流量检测现有方法大都是基于有监督的学习,在现实生活中获取并标记异常流量数据样本是极为困难的,存在诸多限制.此外,由于网络异常数据的多样性和复杂性,各种检测方法的自适应性较差,对新出现的异常流量难以判断.针对上述问题,本文设计了一个基于生成对抗网络和记忆增强模块的半监督异常流量检测框架MeAEG-Net（Memory Augment Based on Generative Adversarial Network）,通过只训练正常流量样本数据,比较生成器模块输入流量底层特征的重构误差来达到检测异常的目的.在模型中使用生成对抗网络来更好地训练生成器,生成器采用自编码器加解码器的结构来解决自编码器易受噪声影响的问题,并在自编码器子网络中添加记忆增强模块来削弱生成器模块的泛化能力,增大异常流量的重构误差.实验证明,本文提出的方法能在只学习正常流量数据样本的前提下达到很好的异常流量检测效果.     

小样本数据生成及其在异常检测中的应用

在不平衡数据的应用中,少量的负样本(异常数据)往往是检测准确率低的重要原因,如在主机异常检测领域中,异常样本过少使得检测效果不佳.为解决这一问题,该文改进了深度卷积生成对抗网络,使其更易于收敛和生成样本.再通过将改进的深度卷积生成对抗网络用于入侵检测评测数据集ADFA-LD异常样本的训练,构造出更多的异常样本.最后,为验证生成样本的效果,以多种异常检测方法检测对上述增加样本后的平衡数据进行实验,实验结果发现新增加的异常样本能被全部检测出,而且已测出的异常样本无漏检,实现了高检测率和低误报率.对比实验表明该文提出的小样本数据生成方法能有效解决某些数据不平衡的应用问题.     

基于纵横距离的单纯异常点检测算法及应用

首先讨论了异常点挖掘在数据挖掘过程中的重要性,产生异常点的原因,以及目前用于检测异常点的常用算法,指出了单纯应用距离法的局限性,提出了基于纵横距离的异常点检测算法,并给出了基于学生成绩检测的应用实例,该方法不需要进行大量的样本训练,在异常点检测方面有较好的效果.     

基于滑动时间窗的置信区间流量异常检测算法研究

针对网络流量异常,提出了一种滑动时间窗的置信区间的方法,该算法可以有效地对网络异常流量进行检测,给出安全警告.     

基于分层抽样的入侵检测方法

将分层抽样理论应用于网络入侵检测。通过统计网络数据包负载字段中的字节分布规律，得到数据包异常的度量，将此度量作为分层特征参数，用以从总体中抽取出有价值的样本。建立了基于Mahalanobis距离的异常检测模型对样本进行检测。实验结果表明，采用DARPA 1999年IDS评测数据集，在选定的97个待检测的攻击实例中，当保证误报率低于19／6时，本方法可以达到50%以上的检测准确率。     

基于核模糊C均值的异常检测方法

探索聚类方法在异常检测中的应用,提出了一种基于核的模糊C均值的异常检测方法.该方法使用核的模糊C均值对网络数据进行聚类,并使用基于簇内距离的判断规则对聚类结果进行标定,从而识别出攻击.使用KDD CUP1999数据集进行实验,结果表明本文表现出了高检测率和低误报率的良好性能.     

基于GANs-LightGBM的序贯三支异常用户检测研究

针对网络中异常数据类别分布的不平衡性和异常用户检测代价的敏感性,在序贯三支决策框架下,提出了一种基于生成式对抗网络和集成学习模型的异常用户检测方法.利用生成式对抗网络(generative adversarial nets,GANs)模型对异常/非异常数据进行类别平衡,并在多层次多粒度的特征空间下训练LightGBM模型,持续地处理不确定域的样本以识别异常用户.实验结果表明,与传统的机器学习算法相比,该方法在异常用户检测中具有较高的AUC值和较低的检测代价.     

一种基于核熵和人工免疫的网络异常检测方法

针对网络样本数据复杂且维数较高,导致异常检测模型容易遭受维数灾难这一问题,本文将核熵成分分析法应用到基于人工免疫的网络异常检测中,与传统的多元统计分析方法相比,核熵成分分析可以保证数据降维过程的信息熵损失更少,从而保留了更多有用的分类信息.基于降维后的数据,本文采用实值否定选择算法训练人工免疫检测器对网络异常样本进行检测.在入侵检测标准数据集KDD Cup99上进行了对比实验,实验结果表明,基于核熵成分分析的异常检测准确率从87.1%提高到了98.9%,有效地改进了网络异常检测的性能.     

基于无监督聚类算法的入侵检测

针对应用聚类方法检测入侵中参数人为指定的问题,提出了一种新的基于无监督的聚类算法.该方法不需要人为设置参数并且不受数据输入顺序的影响,聚类的形状是任意的,能够较真实地反映数据分布的具体性状.算法通过比较无类标训练集样本间的距离,根据距离最近的样本首先聚合成类的特性,在每一步聚类结束时,再次比较类间距离以及计算类内数据占总数据的比率来确定异常数据类.实验证明该算法处理未知入侵检测问题的检测率为89.5%,误报率为0.4%.     

自适应滤波实时网络流量异常检测方法

针对网络中的各种常见攻击,提出一种基于自适应滤波的网络流量异常检测方法.首先对多种流量指标进行递推最小二乘法预测,然后以预测误差所构造的统计量容许范围进行异常检测,最后对检测结果实施归一化评估.该方法具有无需任何历史训练数据、能大量减少报警次数、突出报警严重程度的特点.在DARPA入侵检测评估数据集上的实验表明,所提方法更适合检测拒绝服务攻击引起的异常,较之相同权向量下的同类方法,其异常检测率、误报率和检测速度等性能更好.     

基于流时间影响域的网络流量异常检测

针对如何提高网络流量异常行为检测准确率的问题,提出基于网络流时间影响域(TID)的网络流量检测模型.通过分析正常和异常情况下流量网络模型平均度的变化,构建了基于复杂网络平均度指标的网络流量异常检测算法.实验结果表明,基于网络流时间影响域的流量网络模型能合理地描述网络流量间的依赖关系,具有良好的检测性能,同时该网络模型仅需时间戳、源IP、目的IP三维网络特征即可实现,检测方法适用于绝大多数网络类型,检测效率优于其他网络流量异常检测方法,具有较高的普适性.     

面向蓄意攻击的网络异常检测方法

针对复杂网络受蓄意攻击频繁，而现有的检测方法大多忽略全局拓扑突变特征的问题.从网络全局拓扑的异常演化特征出发，提出网络路径相对变化系数(network path change coefficient，NPCC)r，量化节点间传输路径的变化.由斐波那契数列衍生出斐波那契演化域，用于区分正常和异常演化.将r作为核心度量参量，构建斐波那契演化域，形成网络异常检测方法，实现对异常的判定.结果表明，该检测方法的平均准确率为90%以上，高于最大公共子图(maximum common subgraph，MCS)及图编辑距离(graph edit distance，GED)的准确率，证明了所提检测方法的有效性.     

基于QPSO小波神经网络的网络异常检测

为了提高网络异常检测中,对异常状态的检测率,降低对正常状态的误判率,提出一种基于量子粒子群优化算法训练小波神经网络进行网络异常检测的新方法.利用量子粒子群优化算法(QPSO)训练小波神经网络,将小波神经网络(WNN)中的参数组合作为优化算法中的一个粒子,在全局空间中搜索具有最优适应值的参数向量.实验数据采用KDD CUP99数据集,实验结果表明:该学习算法与传统的梯度下降法(GD)和粒子群算法(PSO)相比,收敛速度快,具有更好的全局收敛性,提高了异常检测的准确性,同时该方法对于新的异常也有较高检测率.     

网络切片中物理节点的分布式在线异常检测方法

网络切片中的异常检测问题是实现网络切片自动化管理的重要研究内容,针对网络切片中物理节点的异常检测问题,提出了基于支持向量数据描述的分布式在线物理节点异常检测方法.基于支持向量数据描述建立了一种分布式的物理节点异常检测模型;通过引入随机近似函数,解决了数据分布式存储场景下的核函数计算问题,从而实现观测数据的切片内处理;基于随机梯度下降法,提出了一种在线的物理节点异常检测算法,保证了模型动态更新并减轻了异常数据导致的模型性能下降.在不同条件下进行了仿真分析,仿真结果表明,该方法可在避免切片间观测数据传输的同时,有效利用网络切片中虚拟网络功能的无标签观测信息检测物理节点异常.     

基于分形理论的网络流量异常检测技术

传统网络流量异常检测技术不能适应网络流量的复杂性,异常检测精度低,不能保证实时性,为此,提出一种新的基于分形理论的网络流量异常检测技术。通过FIR滤波方法对流量的时间序列进行预处理。采用Schwarz信息准则对网络流量异常检测问题进行处理,估测网络流量异常点数量与位置。采用R/S分析法求出自相似指数Hurst值,依据Hurst值对网络流量时间序列的分形特征进行分析。引入滑动窗口完成多网络流量异常点的检测,在检测异常点处对流量进行分形处理,依据自相似指数计算过程获取异常点间的流量自相似指数值,保存异常点之后的流量,为下一个流量异常点的检测提供依据。实验结果表明,所提技术实现过程简单,网络流量异常检测精度高,保证了实时性。     

一种优化FCN的视频异常行为检测定位方法

在视频异常行为检测过程中,为了提取出可分辨性更好的特征,同时兼顾运行速度,提出一种基于优化的全卷积网络(full convolution network,FCN)的异常行为检测与定位方法.对FCN进行优化,使用卷积神经网络(convolution neural network,CNN)的数个初始卷积层和一个额外卷积层,...     

基于负载预测的分布式拒绝服务攻击检测方法研究

通过分析分布式拒绝服务攻击(Distributed Denial Of Service,DDOS)的特点,提出一种基于主机负载-并发连接时间序列预测的DDOS攻击检测方法。该方法改进了传统的异常检测方法,对并发连接序列进行预测,以预测值作为对未来时段内主机负载正常状态的估计,增强了正常行为描述的时效性,提高了攻击检测率,并具有低延时特性。该方法涉及两项关键技术:一是预测技术,二是异常判断方法。为提高预测精度,首次将小波分析引入主机负载预测,建立了小波-神经网络预测模型;为提高异常判断准确性,采用了“滑动窗口”方式。实验表明,基于负载预测的DDOS攻击检测优于传统的异常检测方法。     

基于神经网络的程序异常监测

针对传统入侵检测系统的不足,研究了基于反向传播神经网络的程序异常检测方法,提出了一个改进的利用多层前馈网络的预测功能和异常区域判定方法检测系统异常的算法.详细讨论了算法的基本原理、数学基础、设计和实现方法.通过实验,分析算法的优缺点,验证了算法的可行性和有效性.