Intrusion detection based on system calls and homogeneous Markov chains

A novel method for detecting anomalous program behavior is presented, which is applicable to hostbased intrusion detection systems that monitor system call activities. The method constructs a homogeneous Markov chain model to characterize the normal behavior of a privileged program, and associates the states of the Markov chain with the unique system calls in the training data. At the detection stage, the probabilities that the Markov chain model supports the system call sequences generated by the program are computed. A low probability indicates an anomalous sequence that may result from intrusive activities. Then a decision rule based on the number of anomalous sequences in a locality frame is adopted to classify the program＇s behavior. The method gives attention to both computational efficiency and detection accuracy, and is especially suitable for on-line detection. It has been applied to practical host-based intrusion detection systems.     

一种挖掘频繁模式的数据库划分新方法

提出了一种新的数据库划分方法。该方法应用于需要产生候选项的频繁模式的挖掘过程,可以大大减少对数据库的扫描操作,提高数据挖掘效率,特别是对于较长模式的数据挖掘更是如此。该方法是将交易数据库按照交易的长度(或者说模式的长度)划分成若干个子数据库,将等长度的交易划分到同一个子数据库中,这样在获取候选项的支持度时,只需要扫描模式长度大于等于相应候选项长度的子数据库即可,从而减少了对数据库的扫描操作。给出了基于数据库划分的挖掘算法,通过理论推导和实验证明了该方法的有效性。     

基于区域特征分布式Web用户兴趣迁移模式

提出一种基于区域特征的分布式Web用户兴趣迁移模式挖掘模型DWICP,以及基于该模型的具有区域特征的用户识别方法和局部浏览兴趣迁移模式更新算法/全局浏览兴趣迁移模式更新算法,用于发现具有区域特征的用户浏览兴趣迁移模式.实验表明,该方法能够较好地解决分布式环境下Web访问行为模式研究中的区域分析需求,同时提高了用户浏览兴趣表示的准确性.     

一种不定长特征模式入侵检测模型及仿真分析

针对定长序列模式在刻画序列特征方面的不足,提出了一种不定长序列特征模式抽取算法,并以此为基础设计了一个新的入侵检测模型。模型引入了状态转移概念并将模式匹配检测和状态转移检测结合在一起,克服了已有模型只专注于单一特征检测的缺陷。实验证实,和单特征检测相比,该模型在保证检测率的同时降低了误报率,并且检测算法的效率也是可接受的。     

基于自适应哈希链的分布式频繁模式挖掘算法

针对分布式系统,提出了自适应哈希链结构的频繁模式挖掘算法。该算法首先在每个站点产生局部频繁1-项集,再产生全局频繁1-项集,根据全局频繁1-项集产生各站点的投影数据库,在各个站点分别扫描投影数据库中的交易,并根据站点可用内存情况形成相应大小的哈希链结构。通过挖掘各站点的哈希链结构得到全局频繁项集。给出了基本步骤和挖掘算法。研究表明该算法不但效率高,而且适应性强。     

基于暂态挖掘的非线性时间序列故障预报

针对实际工程系统故障建模困难、现有故障预报方法实时性差的问题.从一类挖掘的角度,设计了一种基于一类支持向量机的时间序列暂态挖掘算法,提出了一种既不需要系统近似模型也不需要故障训练数据和先验知识的直接故障预报方法.在系统运行的同时实现学习和预报.提高了实时性.同时该方法简单易用,克服了传统方法在预报故障前需要预测系统未来状态的缺点.具有很强的应用意义.以釜式反应嚣为对象进行的仿真实验证明了方法的有效性.     

基于数据挖掘的HLA仿真系统测试与评估

针对高层体系结构(high level architecture,HLA)仿真产生的海量数据,利用数据仓库以及数据挖掘技术进行测试与评估。通过基于HLA的C4ISR系统仿真为例,介绍了仿真数据仓库的存储模型。以战场中感知信息与客观信息的偏差程度作为评估指标,运用商业智能软件COGNOS,对C4ISR系统的情报侦察与电子对抗能力进行评估,发现并改正了仿真过程中出现的问题。实践证明了设计方案的有效性。     

灰色趋势关联聚类及其在数据挖掘中的应用

分析了数据库中"贫"信息数据的特点,以及"贫"信息数据挖掘问题的要求。应用一般系统理论,结合灰色趋势关联度,研究了灰色趋势关联系统及数学模型。作为该模型的应用,提出了灰色趋势关联聚类方法。以某大型酒业股份公司仅有的少量商品销售数据为数据挖掘对象,应用灰色趋势关联聚类方法,按商品销售增长趋势,对各类商品进行了聚类分析,得到了一种符合销售实际的聚类结果,阐明了灰色趋势关联聚类方法的有效性、方便性和实用性。     

自组织数据挖掘与回归分析方法的比较研究

采取定性分析、理论分析和实验研究相结合的方式,从三方面对自组织数据挖掘方法与回归分析方法进行比较:包括二者的算法过程,对不同对象的拟合和预测效果以及二者的联系。结果不仅揭示了二者的区别和联系,而且表明,自组织数据挖掘方法是复杂系统模拟预测的有效工具。     

基于目标跟踪与轨迹聚类的行人移动数据挖掘方法研究

随着物联网、大数据、人工智能等技术在安防领域不断取得突破性进展,公共视频监测系统近年来得到飞跃式发展.基于监控设备产生海量的非结构化视频数据,通过对监控视频中的行人轨迹进行分析和研究,可以挖掘出其中蕴含的行为模式,这对人群行为研究有着重要的研究价值.本文使用基于目标检测的多目标跟踪算法对地铁站出口,商场出口等场景中的行人移动轨迹进行提取,并在此基础上对行人的轨迹模式进行分析.针对行人轨迹的特点,在基于点密度聚类算法的基础上,提出并实现了基于轨迹相似度的轨迹聚类方法.结果表明,该方法能够有效的提取行人轨迹,并且从大规模轨迹数据中提取出轨迹模式.     

固定收益决策支持系统机理建模与数据挖掘的协同研究

以固定收益决策支持系统(FIDSS)的机理建模和数据挖掘的协同研究为重点,对FIDSS的结构分层设计、协同联结模式与协同作业功能进行了分析,对FIDSS的确定性关联、选择性关联和动态关联等三个层次上的机理建模与数据挖掘的交互方式进行了建构,以便进一步提高FIDSS的决策质量和对金融经济复杂系统管理的支持水平.     

神经网络专家系统及其数据挖掘技术的探讨

知识发现是目前数据库和机器学习的热门方向,本文在讲座了神经网络专家系统技术的基础上,探讨了如何在神经网络专家系统中融入发现的过程,给出了一个系统框架及其中的一些算法,并给予了深入讨论。     

基于FP-tree和支持度数组的最大频繁项集挖掘算法

提出了一个基于频繁模式树即FP-tree和支持度数组相结合的最大频繁项集挖掘算法,首先建立FP-tree,同时建立支持度数组,然后在此基础上建立最大频繁项集树MAXFP-tree,MAXFP-tree中包含了所有最大频繁项集,缩小了搜索空间,提高了算法的效率。算法分析和实验表明,该算法对稠密型数据集和稀疏型数据集均适用,并且特别适于挖掘具有长频繁项集的数据集。     

从数据中挖掘模糊规则及其系统实现

针对一类多输入单输出模糊逻辑系统，提出一种简单而有效的方法从数据库中挖掘模糊规则．该方法产生的模糊规则库具有良好的完备性和鲁棒性，从仿真实验可以看出利用数据挖掘方法建立的模糊系统具有更好的逼近能力．为了使该方法在应用上具有良好的通用性，设计和实现了基于组件技术的数据挖掘系统．     

Fault detection and diagnosis for data incomplete industrial systems with new Bayesian network approach

For the fault detection and diagnosis problem in largescale industrial systems,there are two important issues: the missing data samples and the non-Gaussian property of the data.However,most of the existing data-driven methods cannot be able to handle both of them.Thus,a new Bayesian network classifier based fault detection and diagnosis method is proposed.At first,a non-imputation method is presented to handle the data incomplete samples,with the property of the proposed Bayesian network classifier,and the missing values can be marginalized in an elegant manner.Furthermore,the Gaussian mixture model is used to approximate the non-Gaussian data with a linear combination of finite Gaussian mixtures,so that the Bayesian network can process the non-Gaussian data in an effective way.Therefore,the entire fault detection and diagnosis method can deal with the high-dimensional incomplete process samples in an efficient and robust way.The diagnosis results are expressed in the manner of probability with the reliability scores.The proposed approach is evaluated with a benchmark problem called the Tennessee Eastman process.The simulation results show the effectiveness and robustness of the proposed method in fault detection and diagnosis for large-scale systems with missing measurements.     

地面站数传系统的RBFNN模型及算法

针对难以建立精确数学模型的地面站数传系统,提出改进梯度迭代学习的径向基神经网络建模方法。改进梯度学习算法通过训练样本相关性矩阵的主成分分析确定网络隐含层初始节点数;改进迭代过程中网络参数的梯度信息计算方式,加快了迭代收敛速度;并增加结构调整过程,实现对网络规模的精简。通过采集地面站数传系统输入-输出数据,将改进梯度学习算法应用于网络离线训练,并给出具体实现步骤。地面站数传资源配置优化实例验证了模型具有较高泛化能力,且算法稳定性较佳。     

Fault detection observer design for networked control system with long time-delays and data packet dropout

Focusing on the networked control system with long time-delays and data packet dropout, the problem of observerbased fault detection of the system is studied. According to conditions of data arrival of the controller, the state observers of the system are designed to detect faults when they occur in the system. When the system is normal, the observers system is modeled as an uncertain switched system. Based on the model, stability condition of the whole system is given. When conditions are satisfied, the system is asymptotically stable. When a fault occurs, the observers residual can change rapidly to detect the fault. A numerical example shows the effectiveness of the proposed method.