基于突变级数的网络流量异常检测

针对网络流量发生异常时产生的突变特征,提出了一种基于突变级数的网络流量的异常检测方法.该方法首先计算网络流量的特征量,选择其中能显著性反映网络流量自相似性、非线性、非平稳性及复杂的动力学结构特性的特征量;然后将其作为突变理论的控制变量,利用蝴蝶突变模型的突变级数对网络流量异常进行检测.实验结果表明该方法具有较高的检测率和较低的误检率.     

NIDS警报分析系统模型设计与分析

网络入侵检测系统(N IDS)是一种检测网络入侵行为的工具,但在实际应用中,警报量多、误警率高,已经严重制约了N IDS的发展。文章分析了其产生的原因,提出了一种基于异常检测技术的N IDS警报分析系统模型;重点讨论了数据挖掘技术在该模型中的应用。     

结合异常检测的X射线安检图像识别方法

针对Faster R-CNN模型对X射线安检图像中危险品检测准确率低、误检率高的问题,提出了一种前置预分类头部的X射线安检图像检测网络(pre-classification Faster R-CNN,PC-Faster R-CNN)。该模型在骨干网络之后,区域建议网络(Region Proposal Networks, RPN)之前新增一个预分类模块先对X射线安检图像进行异常检测,提高模型对正常图像的识别能力;同时引入兴趣区域对齐(RoIAlign)模块,减小兴趣区域池化层(RoIPooling)引起的量化误差,进而提升Faster R-CNN的检测性能。新模型将浅层卷积层的低级边缘特征输入到预分类模块,使其学习正常图像的高级语义特征,从而改善整个模型的识别性能。实验结果表明,与原始的Faster R-CNN相比,本文模型对危险品的检测精度提升了9.03%,误检率降低了24.03%;同时预分类头部使得模型较大地提高了检测效率,比原始的Faster R-CNN提升了44.54%。     

A Framework for an Adaptive Anomaly Detection System with Fuzzy Data Mining

0 IntroductionWith the ever-increasing growth of computer networksand emergence of electronic commerce in recentyears ,computer security has become a priority. The mostwidely deployed methods for detecting attacks employ misusedetectiontechniques .Such methods can only detect previouslyknown attacks that have a corresponding pattern,since thepattern database has to be manually revisedfor each newtypeof attack that is discovered. These li mitations have led to anincreasinginterest in intrusion …     

基于误用检测与异常行为检测的整合模型

针对入侵检测中普遍存在检测率低与误报过高的问题,采用基于多维-隐马尔可夫模型的检测方法和基于Apriori算法的误用检测技术相结合的入侵检测系统(intrusion detection system,IDS)模型.新模型减少了单纯使用某种入侵检测技术时的漏报率和误报率,同时在异常检测模块中采用了隐马尔可夫与简单贝叶斯分...     

基于免疫的网络动态实时异常检测模型

网络异常检测已成为入侵检测系统发展的重要方向.现有异常检测模型对检测模式描述为一种静态方式,缺乏良好的自适应性和协同性,检测率低,难以满足高速网络环境下实时检测的需求.针对此,借鉴人体免疫系统优异的自学习自适应机制,提出了一种新的基于免疫的网络动态实时异常检测模型NAIM.该模型通过对检测模式进行动态描述,结合抗体细胞动态克隆原理,探讨种痘及疫苗分发机制,实现检测模式随真实网络环境同步演化,从而提高网络异常检测的准确性和及时性.     

一种新的蠕虫检测和控制方法

在分析网络蠕虫连接请求和网络正常连接请求差异的基础上,提出一种新的蠕虫检测和控制方法.该方法针对网络蠕虫攻击特定端口以及攻击地址发散的特性,采用基于端口的多工作集区分网络蠕虫连接请求和网络正常连接请求,在蠕虫控制中使用多延迟队列处理可疑连接请求,避免了不同端口流量之间的相互影响;针对网络正常连接请求的暂时突发特征,利用令牌桶控制多延迟队列的输出,缩短了正常连接请求在延迟队列中的停留时间.测试表明,在主机感染了蠕虫后,新方法将误报率从85%降低到12%,对正常连接请求的平均延迟时间从95.4s降低到5.6s.     

基于信度函数的冲突证据组合新方法

为了有效地处理冲突证据,提出了一种基于信度函数的新方法.设计了一个证据信度函数,并用此函数来计算证据之间的后验权重分配.给出了先验权重和后验权重的合成方法,从而得到最终权重分配.采用最终权重对现有证据进行加权平均,并采用Dempster-shafer组合规则进行融合,从而得到最终融合结果.与其他方法相比,该方法考虑的因素更全面、适用性更强.实例表明,该方法能够比其他方法更快、更有效地识别出目标.     

网络入侵异常检测中数据预处理的研究

在网络入侵异常检测中,数据预处理是一个非常重要的步骤,数据预处理的好坏直接影响后续检测的准确性．本文针对基于层次聚类的网络入侵异常检测中两个问题,在数据预处理阶段做出改进,一是属性冗余和属性权重问题,运用粗集理论对各个属性赋予权重并进行属性约减,二是粗集理论中连续数据离散化问题,提出了针对数据特点的自适应离散化算法,该算法是根据样本属性值分布来决定离散间隔,最后针对两个改进方法进行了实验,并与采用现有离散化方法进行了对比,实验结果证明了该算法的有效性和准确性．     

双稳随机共振系统的检测性能研究

利用朗之万双稳系统准稳态输出信号的概率密度函数,分别采用统计检测的极大极小化准则和Neyman-Pearson准则,推导出了利用双稳系统进行信号检测的虚警率和检测率的表达式.在不同的信噪比下,通过参数调节法得到了系统的最佳参数,采用Monte-Carlo仿真得到了最佳参数条件下的虚警率和检测率,对基于双稳系统的信号检测有了全面的认识.     

一种基于多分类器协同训练的网络异常检测方法

基于机器学习的网络异常检测方法是入侵检测领域的重要研究内容.传统的机器学习方法需要大量的已标记样本对分类器进行训练,然而已标记样本通常较难获取,导致分类器训练困难;此外单分类器训练面临难以消除的分类偏向性和检测孔洞.针对上述问题,本文提出了一种基于多分类器协同训练的异常检测方法MCAD,该方法利用少量的已标记样本和大量的未标记样本对多个分类器进行协同训练,以减少分类的偏向性和检测孔洞.对比实验采用经典的网络异常检测数据集KDD CUP99对MCAD的异常检测性能进行验证。实验结果表明,MCAD有效地降低了检测器训练代价,提高了网络异常检测性能.     

一种面向特定网络服务的异常检测方法

通过对入侵检测技术以及攻击种类的分析,发现常用的网络流量模型和简单的应用模型不能很好地检测R2L(Remote to Local)和U2R(User to Root)两类攻击.为此,提出一种面向特定网络服务的异常检测方法,考虑了特定网络服务的负载知识,结合信息论相关理论和n-gram分析方法,对正常服务请求报文的类型、长度、负载分布建立模型,对检测对象计算其特征异常值,有效检测R2L和U2R两类攻击.将该方法与误用检测结合,能有效提高入侵检测的准确性.     

基于支持向量机的网络流量异常检测

提出了一种基于支持向量机的网络流量异常检测方法.分析了支持向量机的基本原理,结合网络流量异常检测的特点,讨论了异常检测的特征选择问题;提出了网络流量对称性、TCP报文SYN和SYN/ACK对称性以及协议分布等具有鲁棒性的特征参数,描述了数据的预处理方法.测试结果表明,所选特征参数可有效地检测网络攻击导致的流量异常变化,说明基于支持向量机的检测方法具有较好的泛化能力.     

基于动态模糊神经网络的入侵检测系统

针对传统的网络安全防范技术存在的缺陷和入侵检测在动态安全模型中的重要地位和作用,提出了基于模糊理论、神经网络和遗传算法结合的新方法--动态模糊神经网络,并且给出基于动态模糊神经网络的入侵检测系统构建体系.该系统在实际应用中收到了较好的效果.     

非均匀噪声环境下网络小扰动入侵源定位检测方法研究

非均匀噪声环境下网络小扰动数据入侵具有信号振幅小、攻击性强等特点,传统方法对小扰动入侵检测准确率低、漏报率高,不能对小扰动入侵源进行准确的定位和检测。提出一种基于生物免疫学的入侵源定位检测系统设计,搭建适用于非均匀噪声环境下网络小扰动入侵检测的软硬件平台,对输入检测系统的数据进行预处理,模拟生物免疫系统信息处理机制,通过不断更新规则库识别出"友好"数据和"非友好"数据,最后进行亲和力计算和数据匹配,实现非均匀噪声环境下网络小扰动入侵源定位和检测。通过仿真试验证明提出的方法能够有效地完成对小扰动入侵源的定位和检测。     

因果网的非稳态流量异常检测系统设计

网络入侵检测中的流量异常检测方法存在着虚警率较高的问题，为此提出了结合因果网的非稳态流量异常检测系统。该系统采用基于发生新事件的先验概率和趋势来评估异常的思想，借助机器学习方法建立非稳态正常模型，并在由此得到的基本异常事件集的基础上，采用因果网进行进一步数据挖掘，给出了综合系统的原型设计。     

应用支持向量机实现分布式入侵检测

描述了一种应用支持向量机构建的分布式入侵检测系统模型 ,介绍了支持向量机的机器学习原理、训练过程以及在线检测流程 .仿真结果表明系统提高了对未知入侵的检测能力     

基于分布式网络入侵检测系统的研究及其实现

在分析现有网络入侵检测系统局限性的基础上，提出一个基于模式匹配误用检测技术的分布式网络入侵检测系统模型。该模型可用于应用层协议分析，提高了检测精度；采用协议流分析技术，减少了检测时间与误报率；采用中断会话和防火墙联动，可实现主动响应；在主体智能协作与负载平衡上考虑了其分布式的特性；在Linux环境下构建基于实时智能协作引擎的原型系统，验证该模型的特性。     

A Scalable Intrusion Detection System for IPv6

0 IntroductionIPv6 ,as a new, widely available version of Internet proto-col , contains numerous features that make it attractivefroma securitystandpoint[1].IPv6is not a panaceafor securi-ty,though, because the basic mechanisms for transportingpackets across the network stay mostly unchanged,and theupper-layer protocols that transport the actual application dataare mostly unaffected.IPv6 is usually deployed without cryp-tographic protections of any kind in real environment[2].So,IPv6 securi…     

A Neural Network Approach for Misuse and Anomaly Intrusion Detection

An MLP(Multi-Layer Perceptron)/ Elman neural network is proposed in this paper, which realizes classification with memory of past events using the real-time classification of MI.P and the memorial functionality of Elman. The system‘s sensitivity for the memory of past events can be easily reconfigured without retraining the whole network. This approach can be used for both misuse and anomaly detection system. The intrusion detection systems(IDSs) using the hybrid MLP/Elman neural network are evaluated by the intrusion detection evaluation data sponsored by U. S. Defense Advanced Research Projects Agency (DARPA). The results of experiment are presented in Receiver Operating Characteristic (ROC) curves. The capabilites of these IDSs to identify Deny of Service(DOS) and probing attacks are enhanced.