基于并列GRU分类模型的日志异常检测方法

为了能够更有效地检测出系统日志的异常,该文对现有基于深度学习的日志异常检测算法Deeplog进行了研究和改进,提出一种基于并列门循环单元(Gate recurrent unit, GRU)分类模型的日志异常检测方法。该方法包含模型训练阶段和异常检测阶段。在训练阶段,利用日志模板解析器解析原始日志数据集中的日志模板,进而生成日志模板滑动窗口数据集和相应的日志模板频度向量集,并作为输入训练成并列GRU分类模型;在检测阶段,利用并列GRU分类模型,对进程日志序列进行异常检测。试验结果表明,该文提出的异常检测方法比现有方法在查全率、调和分数等评价指标上均有明显改善和提升。     

面向并发程序的重构一致性检测方法

针对并发软件重构后可能带来的行为不一致问题,提出了一种重构一致性检测方法,该方法使用控制流分析和数据流分析检测重构前后的变化,使用同步依赖分析检测重构前后同步依赖关系的变化.针对对象重用性、静态共享字段、死锁3种典型的引起并发错误的情况,设计了3种检测算法对重构前后程序的不一致性进行检测.依据该方法,在WALA软件分析框架下实现了一个原型检测工具.在实验中,使用该工具在SPECjbb2005和HSQLDB测试程序上进行了验证,并与Schafer等提出的方法进行比较,实验结果表明,该方法能够有效地发现并发软件重构的不一致行为.     

一种面向特定网络服务的异常检测方法

通过对入侵检测技术以及攻击种类的分析,发现常用的网络流量模型和简单的应用模型不能很好地检测R2L(Remote to Local)和U2R(User to Root)两类攻击.为此,提出一种面向特定网络服务的异常检测方法,考虑了特定网络服务的负载知识,结合信息论相关理论和n-gram分析方法,对正常服务请求报文的类型、长度、负载分布建立模型,对检测对象计算其特征异常值,有效检测R2L和U2R两类攻击.将该方法与误用检测结合,能有效提高入侵检测的准确性.     

一种基于混合属性数据集的异常检测方法

针对混合属性数据集对象间差异性度量丢失原有数据特性的问题,引入了新的差异性度量方法,构造出对象的混合属性异常因子。在此基础上提出一种新的基于混合属性数据集的局部密度异常检测算法。实验结果表明,该算法高效可行,检测精度高,且参数设置简单。     

基于注意力机制多特征融合与文本情感分析的日志异常检测方法

现有的基于深度学习和神经网络的日志异常检测方法通常存在语义信息提取不完整、依赖日志序列构建和依赖日志解析器等问题.基于注意力机制多特征融合和文本情感分析技术,提出了一种日志异常检测方法 .该方法首先采用词嵌入方法将日志文本向量化以获取日志消息的词向量表示,接着将词向量输入到由双向门控循环单元网络和卷积神经网络组成的特征提取层中分别提取日志消息的上下文依赖特征和局部依赖特征,使用注意力机制分别加强两种特征中的关键信息,增强模型识别关键信息的能力.使用基于注意力机制的特征融合层为两种特征赋予不同权重并加权求和后输入由全连接层构成的输出层中,实现日志消息的情感极性分类,达到日志异常检测的目的 .在BGL公开数据集上的实验结果表明,该模型的分类准确率和F1值分别达到了96.36%和98.06%,与同类日志异常检测模型相比有不同程度的提升,从而证明了日志中的语义情感信息有助于异常检测效果的提升,并且经过实验证明了使用注意力机制的模型可以进一步提高文本情感分类效果,进而提升日志异常检测的准确率.     

粗糙集理论中基于距离的异常检测

针对现实世界中的不确定与不完整数据,根据粗糙集理论的框架提出了一种基于距离的异常检测方法.由于粗糙集理论是处理不确定性与不完整性的一种有效工具,因此该方法可以从不确定与不完整的数据中高效地检测出异常.另外,定义了2种特定的距离度量,用来计算2个对象之间的距离.最后,对粗糙集理论中基于距离的异常检测算法也进行了讨论.     

面向车联网泛洪攻击的流量异常检测方法

为了有效检测车联网环境下的泛洪攻击,缓解泛洪攻击对车联网的不良影响,该文提出了面向车联网环境下针对泛洪攻击的轻量化流量异常检测方法。通过在路侧单元使用Hurst自相似参数估计方法计算车联网数据包流量的自相似变化曲线,检测流量异常变化,并上传异常时段的数据包信息到云端,云端统计各节点发送数据包情况,通过检测数据包大小异常变化来检测发起泛洪攻击的恶意节点。通过对车联网实际网络流量仿真计算结果表明,该流量异常检测方法能在低中高3种泛洪攻击强度下,有效检测出恶意节点。     

基于小波的异常检测方法研究

针对DDoS攻击引起的网络异常,提出基于小波变换的检测方法.将网络流量分解到不同的频段,根据高频段频谱能量,即小波方差的变化对网络流量异常进行检测.为提高预警的准确性,吸取了路由器的设计思想,用LRU Cache滤掉长时流发现突发流量,实验证明本尝试是有效的.     

面向蓄意攻击的网络异常检测方法

针对复杂网络受蓄意攻击频繁,而现有的检测方法大多忽略全局拓扑突变特征的问题.从网络全局拓扑的异常演化特征出发,提出网络路径相对变化系数(network path change coefficient,NPCC)r,量化节点间传输路径的变化.由斐波那契数列衍生出斐波那契演化域,用于区分正常和异常演化.将r作为核心度量参量,构建斐波那契演化域,形成网络异常检测方法,实现对异常的判定.结果表明,该检测方法的平均准确率为90%以上,高于最大公共子图(maximum common subgraph,MCS)及图编辑距离(graph edit distance,GED)的准确率,证明了所提检测方法的有效性.     

一种基于趋势分析的网络性能异常检测方法

计算机网络的规模越来越大,结构越来越复杂,网络负担过重,导致网络性能下降,网络性能监控备受关注。提出一种基于趋势分析的网络性能异常检测方法．通过建立历史RTT性能数据的正常模型,根据模型得到的随机变化分量采用滑动窗口平均的方法用实测RTT数据进行性能异常检测。OPNET仿真实验和实际数据监测表明,方法具有高检测率和较低的误警率。     

一种用于异常检测的网络流量抽样方法

为了减小抽样数据对网络异常检测的影响,提出了一种新的可变抽样率的网络流量抽样方法.通过利用哈希模式匹配算法,将到达的数据报文按流标识分类并记录下该报文在流中的位置,然后根据报文所属流的位置顺序减函数来设置不同的报文抽样概率.实验结果表明,所提方法增加了短流报文的抽样概率,解决了由于随机报文抽样方法偏向于长流抽样而导致的网络异常丢弃的问题,从而提高了异常检测的正确性.     

采用SOM-BMU距离度量的异常检测方法

提出了一种基于SOM-BMU距离度量的网络异常检测方法,该方法通过t分布,构建了被测样本到BMU距离的置信区间,当被检测样本与BMU之间的距离不在该置信区间内时,认定网络异常发生.此外,为了提高该方法的自适应性,引入了滑动窗口的操作.实验阶段,对比了基于OC-SVM的网络异常检测方法.实验表明,该方法具有较高检测率、低误报率和自适应性的特点.     

A Hybrid Unsupervised Clustering-Based Anomaly Detection Method

In recent years, machine learning-based cyber intrusion detection methods have gained increasing popularity. The number and complexity of new attacks continue to rise; therefore, effective and intelligent solutions are necessary. Unsupervised machine learning techniques are particularly appealing to intrusion detection systems since they can detect known and unknown types of attacks as well as zero-day attacks. In the current paper,we present an unsupervised anomaly detection method, which combines Sub-Space Clustering(SSC) and One Class Support Vector Machine(OCSVM) to detect attacks without any prior knowledge. The proposed approach is evaluated using the well-known NSL-KDD dataset. The experimental results demonstrate that our method performs better than some of the existing techniques.     

利用残差分析的网络异常流量检测方法

针对网络异常流量检测中大数据小异常造成的难题,提出了一种新的基于残差分析的网络异常流量检测方法。从多个角度提取网络流量的特征属性,以准确刻画正常行为和异常行为之间的差异性。利用提取的特征属性构建属性矩阵,采用流之间的相似性构建邻接矩阵。使用属性矩阵和邻接矩阵构建网络异常检测模型,采用CUR矩阵分解方法重构属性矩阵得到主模式,对属性矩阵和重构的属性矩阵进行残差计算进而获得残差矩阵。对残差矩阵中的每一个流计算其残差,根据每个流的残差和预设阈值进行异常判定。采集了西安交通大学校园网流量数据进行实验,实验结果表明:所提方法在不需要任何先验知识的情况下能够使异常检测率达到90%以上;与其他异常检测方法相比,所提方法不仅具有较高的检测率,而且能够实现异常源定位。     

一种基于BIRCH的异常检测技术

文章针对KNN存在的复杂度过高的问题,提出应用把BIRCH算法的层次聚类思想近似地计算weight的Bireh Out算法,以降低其复杂度,同时利用孤立点挖掘的思想做异常检测．通过在KDD99数据集上的实验,我们验证了算法的有效性．     

自适应滤波实时网络流量异常检测方法

针对网络中的各种常见攻击,提出一种基于自适应滤波的网络流量异常检测方法.首先对多种流量指标进行递推最小二乘法预测,然后以预测误差所构造的统计量容许范围进行异常检测,最后对检测结果实施归一化评估.该方法具有无需任何历史训练数据、能大量减少报警次数、突出报警严重程度的特点.在DARPA入侵检测评估数据集上的实验表明,所提方法更适合检测拒绝服务攻击引起的异常,较之相同权向量下的同类方法,其异常检测率、误报率和检测速度等性能更好.     

自适应参数的网络异常流量检测方法

分布式拒绝服务(DDoS)攻击对互联网的稳定性和安全性构成了严重的威胁.对网络流量进行异常检测,发现异常后再对数据包进行分析,实施相应措施,有利于降低系统开销.该文给出了网络流量均值和阈值能够根据网络环境变化的自适应调整算法.分析了参数的设置对误报警、动态调整报警阈值等的影响.实验结果表明设计的系统是有效和正确的,可以在提高异常流量检测准确性的同时降低运行开销,可以直接应用于检测SYN洪水攻击等.     

轻量级主机数据采集与实时异常事件检测方法研究

针对特征值匹配方法不能检测未知异常的缺点以及常驻采集代理占用大量系统资源的问题,提出一种主机数据采集和异常检测方法。采用智能化的移动代理实现主机数据采集,大幅度降低系统中数据采集代理的数量;结合实时异常检测的需求,采用主成分分析方法对所收集的主机信息进行维度约减,并采用聚类方法对降维后的数据进行聚类分析,挖掘其中的异常点;为消除随机异常点对检测结果的影响,采用基于连续时间窗口的主机异常检测方法实现主机异常的准确检测。实验结果表明:与传统方法相比,数据规模相当的情况下,所提方法的时间复杂度减少了50%以上,检测准确率达到了95%以上,适用于主机异常的实时检测。