基于手肘法的聚类算法的内部威胁检测方法

随着网络技术的发展,信息系统面临着各种各样的威胁,其中内部威胁更加具有隐蔽性和破坏性.本文根据用户行为的特征,提出了一种基于手肘法的聚类算法的内部威胁检测方法,通过手肘法选取最优K值后,用聚类算法对用户的行为进行异常检测。通过基于公开数据集CERT的实验表明,该方法对内部威胁的异常检测具有一定的理论意义和实用价值.     

数字货币交易所洗钱行为检测

数字货币交易中的洗钱行为区别于传统金融犯罪形态，传统反洗钱技术手段难以直接适用. 针对数字货币交易所面对的洗钱行为检测需求和检测难点，通过定义交易行为，构建了一个层次化加权的交易行为特征描述体系，提出了一个结合孤立点检测和小类簇检测的数字货币交易行为异常检测方法，实现从交易行为到交易用户的洗钱可疑程度的量化度量. 在真实数字货币交易所数据集上进行评估实验，结果显示，异常交易行为、可疑洗钱用户、显著性异常交易行为和隐蔽性异常交易行为的检测准确率分别为96.02%、95.05%、95.83%和95.81%，均优于基准算法. 同时，本文算法的特征体系能对检测结果做出有效解释，帮助数字货币交易所安全员快速开展后续调查和取证工作.     

基于用电特征分析的异常用电检测方法

针对目前异常用电检测中存在的专变用户窃电率高、窃电模式难以察觉、使用窃电检测模型查找窃电用户过程中训练集不足的问题,提出了一种基于用电特征分析的无监督方式异常用电检测方法.该检测方法引入离群点查找算法,量化了海量数据中不同异常用电行为,将其提取为异常用电特征序列,并且根据专变用户不同计量方式和用电特点,构建了基于局部离...     

基于相似度分析的蠕虫检测算法

近年来,蠕虫逐渐成为一种主要的网络威胁.文中针对现有蠕虫检测算法误检率高的问题,提出了一种基于相似度分析的蠕虫检测算法.该算法通过分析异常数据序列与蠕虫行为特征之间的相似性,实现对基本累计异常行为特征检测算法的优化;同时,考虑到复杂的网络环境,利用卡尔曼滤波器的预测功能实现对检测阈值的动态调整.仿真结果表明,与基本累计...     

一类基于模式分类算法的入侵检测系统

目前,入侵检测技术(IDS)作为网络安全领域研究的焦点,主要分为两种:误用检测和异常检测,误用检测是根据已知的入侵手段建立一个规则库,待检测的信息与库中规则进行匹配达到检测目的.优点是检测结果准确率高,缺点是只能检测到已知入侵类型.异常检测是通过构造正常的用户轮廓来检测用户的行为,优点是可以检测到未知的入侵行为,但是技术不成熟,误报率高.本文尝试通过结合二者的优点,同时创建了描述正常用户行为和异常行为两个向量集,并引入一种广泛应用于图象处理技术中的模式识别算法依据这两个向量集来判断待测用户行为的属性,识别出黑客的入侵行为.     

一种基于Web日志挖掘的用户偏爱度度量方法

分析了用户访问Web站点的浏览日志,度量用户的浏览行为.实验从实际获得的Web日志着手,进行Web日志的挖掘,提取用户浏览Web的行为特性数据.通过时间阈值进行会话的划分,选取合适的数据预处理,归一化后生成数据模式向量,引入人工神经网络中的自组织特征映射(SOM)模型,对用户访问倾向聚类,对用户浏览的偏爱度进行度量,为Web站点的进化提供依据.     

基于光流块统计特征的视频异常行为检测算法

提出了一种基于光流块统计特征的视频异常行为检测算法.该算法首先对训练集视频序列的光流场进行分块及预处理,而后提取光流块的统计特征,所提取的块统计特征同时包括了光流块的幅度信息和相位信息,通过训练集得到的光流块统计特征训练出对应的正常行为的高斯混合模型(GMM).测试集通过同样的方式提取光流块统计特征,通过计算所提取统计特征以多大的概率属于GMM判定所检测光流块的异常程度.实验结果表明,该算法能够在一定程度上解决运动物体一致性和部分遮挡问题,并提高了异常行为检测的准确率.     

云计算环境下非法用户入侵行为的检测与分析

为提高云计算环境下非法用户入侵行为的检测效果,设计一种新型云计算环境下非法用户入侵行为的检测模型.首先提取云计算环境下非法用户入侵行为特征,采用主成分分析对特征进行特征筛选;然后采用最小二乘支持向量机对非法用户入侵行为进行分类和检测,并采用粒子群算法确定最小二乘支持向量机的参数;最后选择具体非法用户入侵数据集对模型的有效性进行验证.结果表明,该模型能获得较高正确率的非法用户入侵行为检测结果,加快了非法用户入侵行为的检测速度.     

一种基于URL路径的页面用户聚类方法

结合Web用户浏览行为的特点,提出了一种基于路径的Web页面相似度聚类算法,使用用户的浏览行为描述和用户对页面的访问次数建立Web站点的访问矩阵,并在此基础上对站点进行URL用户聚类。最后,使用标准数据集进行了试验,证明基于此种相似度计算方法的URL聚类算法对Web用户聚类是有效的。     

两种基于统计的入侵检测技术

异常检测是防范新型攻击的基本手段.使用两种基于统计的异常检测技术检测网络入侵,一种是基于最大熵原理先从理论上得到正常用户行为的概率分布,然后再设定检测阈值;另一种是基于K-近邻算法,该算法不需要预先知道分布,也能很好地完成异常检测的任务.最后使用DARPA 99的部分入侵测试数据对两种方法进行了测试,并对它们的优缺点进行了比较.     

数据挖掘技术在Web网站安全中的应用

Web网站的安全是影响商务网站发展的一个十分重要的问题。介绍了数据挖掘技术及其在Web网站安全中的应用。从三个层次讨论Web网站的安全:基于数据挖掘技术的网络入侵检测,实现网站低层网络级安全;在系统用户级实现异常检测,防止系统用户的越权行为;对Web日志进行数据挖掘,发现Web用户的异常行为,实现高层安全。     

复合式入侵检测方法的研究

所提出的复合式入侵检测算法是基于行为建模算法和模式匹配算法两种入侵检测算法的有效结合,其中行为建模算法扩展了基于异常的入侵检测算法,而模式匹配算法完全实现了基于特征的入侵检测算法.自适应的行为建模算法根据用户的行为和程序的行为建立合法的行为模板,而不需要任何人工干预.两种入侵检测算法能够有效的降低误报率的发生.采用Servlet Filter技术的安全代理是一个具有一定入侵分析功能的智能插件.     

一种基于差异度聚类的异常入侵检测算法

基于差异度聚类分析,提出了一种新的异常入侵检测算法DCAIDA,详细介绍了基于差异度聚类分析的用户行为模型建立算法和异常入侵检测算法.通过对原始用户行为数据进行差异度聚类分析,建立用户行为模型,并依据聚类模型对实时的用户行为进行分类,以此判断是否发生入侵.在KDD CUP 1999上的仿真实验结果表明:该算法检测率高、误报率低,且对新攻击类型有一定的检测能力,可实现预期效果.     

SVM-KNN 分类器在异常行为检测中的应用

提出了一种新的异常行为检测方法,将SVM算法和KNN算法结合,在对识别样本判别时,当其与最优分类面的距离大于给定阈值时,采用SVM分类算法,否则采用KNN算法,从而减少了SVM算法的错误率.实验结果表明,SVM-KNN算法对异常行为检测的准确率达到95.86%.     

基于时间特征的网络流量异常检测

为了解决传统网络管理方法不能适应网络复杂性、不能准确刻画网络异常行为的问题.采用一种基于时间特征的网络流量异常检测模型,研究分析网络流量的变化规律.利用指数平滑预测算法对未来网络流量进行预测,利用中心极限定理并结合实际经验确定动态的网络流量阈值,对当前和未来的网络流量异常进行检测.研究结果表明:当网络流量发生异常时,该模型能够进行有效的检测,能准确地描述网络的运行状况.该算法提高了网络流量检测的智能性,具有较高的实用价值.     

基于逻辑回归的增量式异常用电行为检测方法

用户异常用电行为的检测是电力公司需要重点解决的问题。目前异常用电检测通常采用数据分析的方法,主要包括聚类和分类两种,在处理固定数据集时校测准确率和效率均较高。但是此类方法在处理增量数据时,每次数据增量更新时均需要将增量数据与原始数据合并后重新建模才能获得新的检测模型,而用户的用电数据是频繁更新的且最新的数据更能体现出用户的用电习惯,因此在异常用电行为检测时必须考虑增量数据,而现有检测方法在进行增量式异常用电行为检测时效率很低。为解决数据增量式更新的情况下异常用电行为检测方法性能低下的问题,提出了一种基于逻辑回归的增量式异常用电行为检测方法,仅需对增量数据进行建模即可得到面向全局数据集的检测模型,无需对全局数据进行重新建模,提高检测算法的执行效率。当用户电量数据产生增量时,仅需对增量数据构建检测模型,再与原始数据的检测模型相结合,即可得到基于全部数据的检测模型。实验结果表明,该方法在保证检测结果准确性的同时,极大地提高了算法执行效率,且对计算和存储资源的需求较低。     

基于改进密度聚类的异常检测算法

提出一种基于改进密度聚类的异常检测算法(ADIDC), 通过在各特征列上分别进行密度聚类, 并根据各特征对正常轮廓的支持度进行特征加权, 解决了聚类分析方法在异常检测应用中误报率较高的问题. 通过大量基于异常检测数据集 KDD Cup 1999的实验表明, 其相对于传统异常检测方法在保证较高检测率的前提下, 有效地降低了误报率, 对某些与正常行为相近的特殊攻击检测率明显提高. 同时利用特征权值进行特征筛选提高了其检测性能和效率, 更适应实时检测要求.     

基于粗糙集的多类人群异常行为识别算法

为解决现有基于人工设计特征行为识别方法缺少多类异常行为分类研究和受人工影响大等问题,提出和实现了基于粗糙集的多类中低密度人群异常行为识别算法.该算法首先提取目标人群的人数、帧平均加速度、矩形框的距离势能、方向混乱熵,以及帧间混乱程度五个运动特征量,利用粗糙集从中学习以获取决策规则,再对正常、四散、同向加速跑、突然聚集和群殴这五类人群行为进行分类,并定量对比分析本文算法和其他同类算法处理同一视频集的分类效果.结果表明:与随机森林法等其他同类算法相比,该算法不仅能够有效检测出人群异常行为,还能准确地对五类人群行为进行分类,其识别准确率和覆盖率均有明显提升.     

基于可拓集的入侵检测模型

针时入侵行为特征表现的隐蔽性、不确定性和多样性问题,提出一种基于物元模型和可拓集的入侵检测模型.利用多评价特征类物元描述多特征表现的入侵行为,建立每一个评价特征的关联函数并进行运算,得到综合关联函数以建立多特征物元可拓集,作为检测该入侵行为的模型.对于待检测行为,通过计算其与可拓集的综合关联度来判定是否为入侵行为以及异常的程度,不同的综合关联函数能够实现基于多特征融合的不同检测方法,该模型被应用到网络异常流量检测中.     

基于反向选择的网络异常学习行为识别方法

网络学习中,异常学习行为不易及时被察觉和纠正,可能会导致严重的学习问题.网络异常学习行为具有多样性和不确定性,难以通过规则直接界定.借鉴生物免疫系统识别病原体的原理设计的反向选择算法,能自适应识别未知异常,并具有实时性、动态性、多样性、鲁棒性等特征.借助主成分分析法从网络学习行为日志数据中抽取行为特征,构成多维空间的学习行为向量,通过优化训练集改进了反向选择算法并设计了基于该算法的网络异常学习行为识别方法 .在真实数据集上的实验结果表明：该方法的识别率优于朴素高斯贝叶斯、决策树、支持向量机等常用算法,能够及时对异常学习行为进行早期预警,为干预和改进学习效果提供客观依据.该方法不需要人工干预,能识别未知的异常行为,具有多样性和较高的自适应性.