基于隐马尔可夫模型的程序行为异常检测

针对入侵检测中普遍存在误报与漏报过高的问题，提出了一种基于隐马尔可夫模型的程序行为异常检测新方法．该方法以程序正常执行过程中产生的系统调用序列为研究对象，建立计算机的正常程序行为模型．在入侵检测时，先对测试的系统调用数据用滑动窗口划分得到短序列，再根据正常程序行为的隐马尔可夫模型求得每个测试短序列的输出概率，如果系统调用短序列的输出概率低于给定阈值，则将该短序列标定为“不匹配”，如果测试数据中不匹配的短序列数占总短序列数的百分比超过另一给定阈值，该模型就认为此程序行为异常．实验结果表明，与Forrest和Lee的方法相比，所提方法的检测率的最大提高率可达590％．     

关于异常检测中正常行为模式库创建算法的研究

基于程序行为的异常检测方法主要通过建立程序正常行为模式库来检测入侵。本文对异常检测中正常行为模式库的创建算法进行了研究,主要利用基于Teiresias算法的变长模式抽取方法构建程序正常行为模式库,并与TIDE方法作了比较。     

基于HHMM的多线索融合和事件推理方法

为了解决基于内容检索技术中低层特征与高层语义之间存在语义间隔问题提出了基于多层次线索与事件的分层模型,以及相应的基于分层隐Markov模型(HHMM)的多线索融合和事件推理方法。其中线索是对事件进行推理的要素,它是低层特征与事件之间的中间层次。在将视频流分割为镜头后,从各个镜头中抽取若干与事件密切相关的线索,构造并训练各事件的HMM模型,用于融合线索和进行事件推理。由于输入视频通常包含多个事件,不可避免会遇到时域分割问题,因此构造一个HHMM模型用于同时进行视频流的合理分割和事件的识别。对足球视频的大量实验结果表明,该方法可有效地检测足球视频事件,并在抽取的线索不完全可靠的情况下具有一定的鲁棒性。     

Markov链模型在异常检测上的应用研究

Markov链模型作为一种统计分析方法是异常检测的重要分析手段，论文分别从单步、多步Markov链和基于Markov链的序列预测三个方面，研究了Markov链模型在异常检测检测上的应用。实验表明，该方法在不需要任何攻击领域知识的情况下，能很好检测出SendMail系统调用的异常行为。     

Anomaly Detection System Based on Principal Component Analysis and Support Vector Machine

This article presents an anomaly detection system based on principal component analysis （PCA） and support vector machine （SVM）. The system first creates a profile defining a normal behavior by frequency-based scheme, and then compares the similarity of a current behavior with the created profile to decide whether the input instance is norreal or anomaly. In order to avoid overfitting and reduce the computational burden, normal behavior principal features are extracted by the PCA method. SVM is used to distinguish normal or anomaly for user behavior after training procedure has been completed by learning. In the experiments for performance evaluation the system achieved a correct detection rate equal to 92.2% and a false detection rate equal to 2.8%.     

一种基于系统行为序列特征的Android恶意代码检测方法

基于行为特征建立机器学习模型是目前Android恶意代码检测的主要方法,但这类方法的特征集中各行为特征相互独立,而行为特征间的顺序关系是反映恶意行为的重要因素。为了进一步提高检测准确率,提出了一种基于系统行为序列特征的Android恶意代码检测方法。该方法提取了程序运行发生的敏感API调用、文件访问、数据传输等系统活动的行为序列,基于马尔科夫链模型将系统行为序列转换为状态转移序列并生成了状态转移概率矩阵,将状态转移概率矩阵和状态发生频率作为特征集对SAEs模型进行了学习和训练,最后利用训练后的SAEs实现了对Android恶意代码的检测。实验结果证明,提出的方法在准确率、精度、召回率等指标上优于典型的恶意代码检测方法。     

基于误用检测与异常行为检测的整合模型

针对入侵检测中普遍存在检测率低与误报过高的问题,采用基于多维-隐马尔可夫模型的检测方法和基于Apriori算法的误用检测技术相结合的入侵检测系统(intrusion detection system,IDS)模型.新模型减少了单纯使用某种入侵检测技术时的漏报率和误报率,同时在异常检测模块中采用了隐马尔可夫与简单贝叶斯分...     

基于模糊聚类理论的入侵检测数据分析

入侵检测系统是网络和信息安全构架的重要组成部分,主要用于区分系统的正常活动和可疑及入侵模式,但是它所面临的挑战是如何有效的检测网络入侵行为以降低误报率和漏报率.基于已有入侵检测方法的不足提出利用模糊C-均值聚类方法对入侵检测数据进行分析,从而发现异常的网络行为模式.通过对CUP99数据集的检测试验表明该方法不但可行而且准确性及效率较高.     

A self-adaptive negative selection algorithm used for anomaly detection

A novel negative selection algorithm (NSA), which is referred to as ANSA, is presented. In many actual anomaly detection systems, the training data is just partially composed of the normal elements, and the self/nonself space often varies over time. Therefore, anomaly detection system has to build the profile of the system based on a part of self elements and adjust itself to adapt those variables. However, previous NSAs need a large number of self elements to build the profile of the system, and lack adaptability. In order to overcome these limitations, the proposed approach uses a novel technique to adjust the self radius and evolve the nonself-covering detectors to build an appropriate profile of the system. To determine the performance of the approach, the experiments with well-known dataset were performed. Results exhibited that our proposed approach outperforms previous techniques.     

一种大气急流计算方法

异常检测是计算机视觉的一个经典问题.针对异常样本稀少在真实场景中异常很难被捕捉，且标签难以获取，提出一种仅用正常样本进行训练的端到端异常检测模型.首先，通过自动编码器对输入图像进行编码，得到它的低维特征；然后，用一个自回归概率密度估计器对低维特征的概率分布进行正则约束，解码器再将其恢复至原始输入大小；最后，使用一个分类器来判断生成图片的真假.编解码器之间使用了跳线连接，能够最大限度地提高该模型对正常样本的记忆能力.本文在CIFAR 10和UCSD Ped2数据集上进行了实验，测试结果显示，IFAR 10总共10个类别的平均曲线下面积（AUC）达到73.5%，UCSD Ped2的平均曲线下面积（AUC）达到95.7%.结果证明，该模型能够明显提高异常检测的效果.     

基于模糊数据挖掘技术的入侵检测算法与应用

基于数据挖掘技术的入侵检测技术是近年来研究的热点,目前有不少入侵检测系统中都采用了关联分析的数据挖掘方法,现有的关联分析算法只能够解决数据中分类属性的挖掘,对于数值属性则不能直接使用,然而网络流量数据中包含了许多反映入侵状况的数值属性,已有学者提出了将数值属性先进行分类而后再进行关联分析的挖掘方法,然而这种方法带来的问题是在进行异常和正常划分时存在明确的界限,即“尖锐边界问题”,由于网络安全概念自身具有一定的模糊性,因此明确的界限可能会导致误报和漏报的情况产生,从而影响检测效果,文中提出了一种基于模糊关联挖掘技术的入侵检测算法,并采用遗传算法确定划分模糊集合的隶属度函数参数,最后的实验结果说明了该算法的有效性。     

特定应用环境下的入侵检测架构

异常检测可以认为是通过对用户正常行为及系统正常应用环境的学习来识别异常的过程．由于系统及应用环境的复杂性,异常检测还难以达到很高的识别精度．为此,针对在物理上与Internet网完全隔离的计算机网络应用环境,亦即内网,提出基于mobile agent(MA)的多层次入侵检测架构,利用自组织映射网络方法,在不同层次的agent中建立二堆网格的自组织映射网络模型,分别检测目标系统不同层次上的异常现象．实验结果表明,在入侵者攻击的持续时间内,本系统通过多次采样的办法可以使检测率提高到满意的程度．     

建筑用户在室行为预测新方法

准确预测建筑用户在室行为可显著提高建筑能耗模拟精度,并进一步帮助建筑设计及运行控制优化.当前进行在室行为预测时所采用的主要是基于隐马尔可夫链方法的数学模型,该模型考虑了在室行为的时间关联性,可平稳有效地预测在室行为.然而现有隐马尔科夫模型难以准确描述在室行为动态变化规律以及在室行为与可观测参数之间的关联,降低了模型预测精度.针对该问题,本文提出一种基于状态转移的时变隐马尔科夫模型.该模型采用时变状态转移概率矩阵量化不同时刻在室行为的动态变化特征及关联,同时该模型基于状态转移计算可观测参数的概率分布以定量描述在室行为对可观测参数的影响.本文采用比利时某办公室在室行为数据库进行了相关建模和验证,结果表明该模型可更有效地捕捉在室状态变化,从而提高了在室行为预测精度.     

基于混沌差分优化算法的网络入侵检测系统

开发一套新的网络入侵检测系统来证实应用混沌差分优化算法入侵检测技术的有效性。这个系统联合了基于混沌差分优化算法的异常检测和基于专家系统的滥用检测,在开发异常检测的部分时,利用混沌差分挖掘技术来从正常的行为存储模式中寻找差异,根据混沌差分进化算法的全局搜索性选择一个合适的特征集合,滥用检测部分用于寻找特征集合中异常行为描述模式,这种模式很可能预示着入侵,网络的通信量和系统的数据被用做两个元件的输入。此系统的系统结构既支持异常检测又支持滥用检测、既适用于个人工作站又可以适用于复杂网络。     

基于网络连接统计的分布式拒绝服务攻击检测

分析了分布式拒绝服务(D istributed D en ial of Serv ice,DDoS)攻击原理及其攻击特征,提出了一种基于网络连接统计的DDoS攻击检测方法。该方法利用DDoS攻击的固有特性,从网络连接数据的统计分析中探寻系统正常行为的特征分布,建立DDoS攻击检测模型。通过模拟攻击实验验证了检测方法的可行性。实验结果表明:该方法能快速有效地实现对DDoS攻击的检测,并对其他网络安全检测研究具有一定的指导意义。     

基于混合入侵检测技术的网络入侵检测方法

总结了异常检测和误用检测的优缺点,结合其优点,并克服其缺点,提出了基于混合入侵检测技术的网络入侵检测系统模型.对于同一行为,异常检测结果和误用检测结果不总是一样的,跟踪算法有效地解决了异常检测结果与误用检测结果不完全相同的问题;采用了数据挖掘方法建立正常行为轮廓库,并采用了全序列比较法和相关函数法实现异常检测引擎;提出的模型较基于单一入侵检测技术的模型相比,具有更好的检测效果.     

一类基于模式分类算法的入侵检测系统

目前,入侵检测技术(IDS)作为网络安全领域研究的焦点,主要分为两种:误用检测和异常检测,误用检测是根据已知的入侵手段建立一个规则库,待检测的信息与库中规则进行匹配达到检测目的.优点是检测结果准确率高,缺点是只能检测到已知入侵类型.异常检测是通过构造正常的用户轮廓来检测用户的行为,优点是可以检测到未知的入侵行为,但是技术不成熟,误报率高.本文尝试通过结合二者的优点,同时创建了描述正常用户行为和异常行为两个向量集,并引入一种广泛应用于图象处理技术中的模式识别算法依据这两个向量集来判断待测用户行为的属性,识别出黑客的入侵行为.     

Chi-square Distance在协议异常检测中的应用

针对Juan M提出的一种基于马尔可夫链的随机协议异常检测模型和评估方法存在的不足进行改进．改进后的模型增加了一些必要的状态，初始概率和转换概率更加精确．实验表明，将Chi—Square Distance和马尔可夫链方法相结合来检测协议异常，可克服原方法的不足，能有效检测到SYN Flooding攻击．     

基于UML的软件可靠性测试用例生成的混合模型

为了解决实时控制系统软件可靠性测试用例生成的问题，在分析操作剖面模型和Markov链模型的基础上，提出了一种基于UML的混合模型．该模型用操作剖面模型来定义使用用例，并将状态图嵌入其中以表述该用例的动态特性．通过平展状态图获得使用图，使用图按一定的概率迁移，从而获得用Markov链表示的使用模型，而操作剖面模型定义的使用用例集与Markov链表述的状态迁移模型可结合生成可靠性测试用例．通过雷达波束调度软件可靠性测试表明，按所提模型在各测试周期生成的测试用例集的框架稳定性比较好，测试用例极少出现重复现象，它综合了操作剖面模型和Markov链模型的优点，可用于开发实时控制系统的软件可靠性测试用例．