基于数据增强的DBN-ELM入侵检测方法

随着工业4.0时代的到来,工控安全事件频发,工控信息安全问题已经备受关注。由于工控环境较为复杂,导致传统机器学习方法在分类大量工控数据时存在收敛速度慢、泛化性较差以及数据分布不均衡等问题。为了解决此类问题,本研究采用一种基于WGAN-GP数据增强并运用深度信念网络和极限学习机相结合的深度学习入侵检测方法,本方法基于一种梯度惩罚的生成对抗网络数据增强并将深度信念网络（deep belief network,DBN）自动提取特征的能力与极限学习机（extreme learning machine, ELM）快速学习的能力相结合。采用加拿大网络安全研究所公布的 CICIDS2017 数据集对所提出的算法进行测试,经过对比实验证明了该方法精度更高,收敛速度更快。为了验证所提出算法在工控环境中的适用性,本研究同时采用密西西比州立大学天然气管道数据集进行验证,证明了该算法在工业环境中具有高精度、误报率低等优点,为工业入侵检测的研究提供了一种新的研究思路。     

基于 PCA 和 ELM 的网络入侵检测技术

针对基于传统 BP(Back Propagation)神经网络算法的入侵检测技术收敛速度慢和检测率不高的问题, 提 出了一种基于主成分分析(PCA: Principal Component Analysis)和极限学习机(ELM: Extreme Learning Machine ) 算法相结合的入侵检测方法。 对提取的特征矩阵采用了 PCA 降维, 并使用 ELM 算法对 4 类常见的攻击类型进 行了多分类检测。 实验结果表明, 该方法正确率高达 98. 337 5%, 检测时间仅 1. 851 7 s, 与传统方法相比缩短 了 2 ~6 倍, 同时还提高了检测率和精度, 降低了误报率和漏报率。 最终改善了正确率、 误报率、 漏报率、 检测 率、 精度和测试时间 6 项指标。     

基于SDAE的终端区气象场景模式识别方法

气象条件是影响终端区航空器运行安全及效率的主要因素之一。为提高终端区气象场景模式识别精度,采用基于堆叠降噪自编码(SDAE)的聚类模型,在输入层添加随机噪声、构建3层自编码、逐层贪婪训练,降维后的特征作为聚类的输入,实现气象场景的模式识别。以天津滨海国际机场2022年气象观测数据为例,基于SDAE与欧氏距离、汉明距离、曼哈顿距离等传统相似性距离度量方法,分别使用K-medoids与FCM两种聚类方法进行验证。结果表明：基于SDAE的相似性度量在K-medoids与FCM聚类中均表现最优,与其他相似性度量相比差异率分别达到22.4%,12%,17.7%与24.8%,10.7%,11.8%,且运算时间最短,证明了基于SDAE的度量、聚类效果最优,最终识别出8个气象场景,各场景分类清晰明确。     

一种基于粒子群优化和核极限学习机的入侵检测算法

针对网络入侵检测准确率低、误报率高的问题,本文提出了一种基于粒子群优化和极限学习机的入侵检测算法。粒子群优化算法(PSO)是一种群智能算法,核极限学习机(KELM)是一种学习速度快、泛化能力强的经典核机器学习的方法,但是极限学习机对核函数及参数的选择直接影响它的分类性能。本文算法中利用粒子群算法优化核极限学习机的核参数,采用学习能力强且线性组合泛化能力强的全局性核函数,形成了多核极限学习机,可以有效提高单核极限学习机（ELM）分类器的性能。最后通过实验对算法性能做了对比分析,实验结果验证了本文算法的有效性。     

基于网络数据基因表达方法的人工免疫入侵检测技术

针对计算机入侵检测和生物免疫所具有的高度相似性,提出了一种基于网络数据基因表达方法基础之上的人工免疫入侵检测模型。使用了克隆选择算法,并通过适应度和亲和度相结合的保优策略,解决了检测器过早收敛的问题。分析了该系统模型的工作流程,介绍了实验情况并对今后的研究方向进行了展望。     

基于分层抽样的入侵检测方法

将分层抽样理论应用于网络入侵检测。通过统计网络数据包负载字段中的字节分布规律,得到数据包异常的度量,将此度量作为分层特征参数,用以从总体中抽取出有价值的样本。建立了基于Mahalanobis距离的异常检测模型对样本进行检测。实验结果表明,采用DARPA 1999年IDS评测数据集,在选定的97个待检测的攻击实例中,当保证误报率低于19／6时,本方法可以达到50%以上的检测准确率。     

入侵检测方法浅析

计算机系统和网络安全的有效性,是当今信息安全领域亟待解决的问题。因此需要找到一种新的防御方法,在这种情况下入侵检测应运而生。本文主要从数据来源和检测方法两个方面对入侵检测方法进行了论述。     

利用粒子群优化的极限学习机入侵检测算法

针对网络入侵检测准确率低、误报率高的状况,通过理论分析与仿真实验,提出一种利用粒子群优化的极限学习机入侵检测算法.该算法利用粒子群算法优化核极限学习机的核参数,采用学习能力和线性组合泛化能力强的全局性核函数,形成多核极限学习机,可以有效提高单核极限学习机分类器的性能.通过仿真实验对其性能进行了对比分析,结果验证了该算法的有效性.     

基于空间降维和多核支持向量机的网络入侵检测

提出空间降维和多核支持向量机算法进行网络入侵检测;从网络中抓取数据包,通过局部线性嵌入数据降维获得属性降维后的数据样本;通过差异化设置参与局部线性嵌入运算的邻居数,验证适合样本集的邻居数,将多项式核函数、高斯核函数和Sigmoid核函数进行两两组合,分别验证多核支持向量机的网络入侵检测性能.结果表明,在合理设置局部线性...     

基于多任务联合学习的入侵检测方法

针对目前大多数的网络入侵检测方法存在模型泛化能力较弱以及训练数据集类别不平衡等问题,考虑到网络流量同时具有时间性与空间性的特点,提出了一种基于多任务联合学习的入侵检测方法.首先对数据流量进行预处理,并将数据通过注意力层初始化其权重分布;然后通过胶囊网络(CapsuleNet)与简单循环单元(SRU)分别提取流量数据的空...     

基于SMOTE和机器学习的网络入侵检测

网络入侵检测已经广泛运用机器学习模型,但是研究者们多关注模型选择和参数优化,很少考虑数据不平衡的影响,往往会导致少数类入侵样本的检测效果较差.针对该问题,以SMOTE （synthetic minority oversampling technique）数据再平衡算法为研究重点,应用入侵检测数据集KDD99作为原始训练集,使用简单抽样和SMOTE算法生成再平衡训练集.采用多种机器学习模型分别在原始训练集和再平衡训练集进行5折交叉验证.实验结果表明,与原始训练集相比,使用再平衡训练集建模能够在不降低甚至提高多数类样本识别效果前提下,使少数类样本的识别准确率和召回率增强10%～20%.因此,SMOTE算法对不平衡样本下的网络入侵检测有显著的提升作用.      

基于数据挖掘技术的网络入侵检测系统

提出了一种基于数据挖掘技术建立入侵检测系统的方法。研究了如何在入侵检测中对审计数据进行数据挖掘，从系统审计数据中提取出描述正常和异常行为的特征和规则，从而建立攻击检测模型，并提出了全套步骤。     

基于数据挖掘的主机入侵行为检测

提出利用序列模式挖掘方法得到频繁入侵命令序列，将频繁入侵命令转换为底层入侵检测器的检测规则用于检测用户的可疑行为．为了消除误报，设计了一个基于入侵事件状态的关联引擎，将频繁入侵命令序列作办关联规则，并提出了一种新的入侵关联算法，该算法不仅考虑了每类主机入侵行为的序列特征，也反映了不同类型主机入侵行为之间的因果关系，体现了主机入侵行为的多样性和复杂性．实验结果表明，该入侵关联模型对各类主机入侵行为的检测效果良好，误报率明显降低，特别是下载类和信息获取类主机入侵行为的误报降低了20%左右。     

基于DSCNN-BiLSTM的入侵检测方法

针对传统的入侵检测方法无法有效提取网络流量数据特征的问题,提出了一种基于DSCNN-BiLSTM的入侵检测方法,该方法引入了深度可分离卷积代替标准卷积从而减少了模型参数,降低了计算量,并应用双向长短期记忆网络(BiLSTM)提取长距离依赖信息的特征,充分考虑了前后特征之间的影响.首先,通过主成分分析法(PCA)对网络流量数据进行特征降维,并创新性地将一维网络流量数据转化为三维图像数据;然后,分别运用深度可分离卷积神经网络(DSCNN)和双向长短期记忆网络(BiLSTM)提取网络流量数据的空间特征和时间特征;最后,利用KDDCUP99数据集进行训练、验证和测试.实验结果表明,与其他传统的入侵检测方法相比,该方法具有更高的准确率和更低的漏报率.     

基于网络安全的入侵检测与防范

针对目前网络发展现状,分析了入侵技术及安全性问题,介绍了网络安全防范措施,提出了“防火墙加上入侵检测系统(IDS)”的新一代网络安全概念,分析和总结了安全技术未来的发展趋势。     

基于HMM和自组织映射的网络入侵检测算法

随着网络入侵多样化的发展,传统的防火墙、数据加密等防御方法已经很难保证系统和网络资源的安全,为此,设计了基于隐形马尔科夫模型HMM和自组织映射SOM的网络入侵检测方法.首先建立了自组织映射-HMM的双层入侵检测模型,采用样本数据训练SOM网,然后将测试数据输入SOM模型获得观察序列对应的攻击类别的后验概率,将此后验概率用于训练HMM模型获得概率初始分布和状态转移概率等各参数.最后,通过比较测试数据在各模型下发生概率的大小来获取对应的攻击类别.仿真实验表明本研究方法能有效实现网络入侵检测,较经典的HMM方法以及改进的神经网络方法,具有较高的检测率和较低的误报率,同时具有较少的检测时间.     

基于网络入侵检测系统的技术改进

本文从研究入侵检测技术人手，介绍了入侵检测系统的分类；然后分析了基于网络的入侵检测系统（NIDs）的技术方法及其优缺点，指出了当前基于网络的入侵检测系统存在的问题和所面临的挑战．本文在对基于网络的入侵检测系统的研究中，提出将主机知识、网络域知识结合到检测系统中去，解决了检测系统易受插入攻击、躲避攻击的问题．本文还提出了检测子网的概念，根据检测需要将物理子网划分为几个检测子网，可以实现负载的分流和检测任务的专业化分工，负载分流可以彻底解决高速网对网络入侵检测系统的威胁，专业化分工可以大大提高检测引擎的处理速度．     

变分自编码器和注意力机制的异常入侵检测方法

针对传统的机器学习算法在检测未知攻击方面表现不佳的问题,提出了一种基于变分自动编码器和注意力机制的异常入侵检测方法,通过将变分自编码器和注意力机制相结合,实现使用深度学习方法从基于流量的数据中检测异常网络流量的目标。所提方法利用独热编码和归一化技术对输入数据进行预处理;将数据输入到基于注意力机制的变分编码器中,采集训练样本中隐含特征信息,并将其融入最终潜变量中;计算原始数据与重建数据之间的重建误差,进而基于适当的阈值判断流量的异常情况。实验结果表明,与其他入侵检测方法相比,所提方法明显改善了入侵检测的精度,不仅可以检测已知和未知攻击,而且还可以提高低频次攻击的检测率。     

一种基于RBAC的数据库入侵检测方法

由于数据库系统结构的复杂性,数据库入侵检测比主机和网络入侵检测更复杂,有更多难题需要去解决.该文提出了数据库日志的三种抽象表示法,利用SQL查询结构稳定性,使用序列模式挖掘算法提取角色的序列模式进行数据库入侵检测.同时,考虑到具体数据库系统的应用语义,该文利用数据库系统的聚类函数进行统计相关属性的改变而进行异常检测,两种方法结合起来既考虑了数据库查询结构的稳定性、通用性,又考虑了数据库系统的应用语义,试验结果证明,该综合方法和单一采用这两种方法相比,有较高的准确率,同时有较低的误报率、漏报率.