基于深度学习的网络流量异常识别与检测

针对传统的工控网络流量数据在复杂网络环境下特征维度高,特征处理复杂度高,模型检测效率低等问题,本文使用了一种基于随机森林(random forest, RF)和长短期记忆网络(long short-term memory, LSTM)结合的流量异常识别与检测方法.首先使用随机森林算法计算流量特征的重要度评分,筛选出重要特征,剔除冗余特征,然后使用LSTM进行异常流量的识别与检测.为了评估模型的有效性与优越性,本文使用准确率、精确率、召回率和F1-score进行模型评价,并与传统的机器学习方法 Naive Bayes、QDA、KNN算法进行对比.实验结果表明,在公开数据集CIC-IDS-2017中,异常流量识别的总体准确率达99%.与传统的机器学习算法相比,该方法有效地提高了复杂网络环境下异常检测的准确性和效率,在工业控制网络安全和异常检测方面具有实际应用价值.     

基于C-LSTM的传感器数据流半监督在线异常检测算法

在传感器网络中,有监督的异常数据检测算法的检测准确率以及鲁棒性受限于有标注数据集的构建,无监督异常数据检测算法往往导致较高的误报率(FPR).为解决上述问题,针对到达服务器端的传感器数据流提出了一种基于卷积神经网络(CNN)和长短时记忆网络(LSTM)的半监督在线异常检测算法.本算法利用K-means判别检测误差,并在检测中利用新数据重新训练机器学习模型,从而提高模型在长时间范围内的异常检测准确度.为了评估本算法的性能,使用因特尔伯克利实验室数据集IBRL(Intel Berkeley Research Lab)完成仿真实验,并与同类算法进行对比.实验结果表明,与同类算法相比,本算法对各个数据集都具有较高的召回率和F1-Score;应用K-means聚类的半监督模型,其异常检测结果更稳定.     

基于特征增强和优化SVM的工控入侵检测

针对工控入侵检测系统数据质量低、模型优化差等问题,提出一种基于特征增强和优化支持向量机(LMDRT-AWPRPSO-SVM)的工控入侵检测方法,从数据和模型两方面进行改进.数据方面,针对工控系统缺乏高质量数据,通过对数边际密度比变换(LMDRT)生成新的数据特征,提高数据的质量;模型方面,为解决SVM参数优化过程中易陷入局部极小等问题,采用种群聚集度指导权重自适应变化和粒子重构策略改进粒子群算法(AWPRPSO),增强优化算法搜索能力.使用工控标准数据集进行实验,其结果表明,该方法提高了数据的质量,优化了SVM模型性能,构建的检测模型在检测精度与训练时间方面均有改善.     

基于DBSCAN的环境传感器网络异常数据检测方法

随着传感器网络环境监控应用的发展,传感器网络测量数据的异常检测近年来受到学术界和工业界的高度关注.提出一种基于DBSCAN(Density BasedSpatialClusteringofApplicationwithNoise)的异常数据检测方法,该方法利用距离定义数据的相似度进行划分聚类,使用DBSCAN算法提取环境特征集,并根据特征集对异常数据进行检测.最后,基于真实的传感器网络完成了多组实验,实验结果表明该方法能够实时准确地检测出异常数据.     

分层依赖关系建模的工控异常检测方法

为解决当前主流工控流量异常检测方法检测覆盖率较低的问题,分析这类检测方法的特点,综合考虑通信流量中流量层、数据包层及内容层3种影响因素,提出一种分层依赖关系建模的工控异常检测方法.使用流量、数据包以及内容3个层次的特征,通过并行LSTM神经网络构建不同层内数据间的依赖关系,建立粒度由粗到细的分层依赖关系模型,扩大流量特征建模的覆盖率,提升对工控异常流量的检测能力.实验结果表明,该方法检测精确率达到了96.9％,与不分层的模型相比检测精确率提高了7.2％.     

一种基于重构误差的交通轨迹异常检测方法

传感器技术的飞速发展催生了大量交通轨迹数据,轨迹异常检测在智慧交通、城市规划、道路监控等领域具有重要的应用价值。针对传统基于距离和有监督机器学习异常检测方法提取有效特征困难、容易出现过拟合、异常检测效果差等问题,提出了一种基于轨迹重构误差的无监督异常检测方法。该方法使用基于循环神经网络的自编码器对输入轨迹进行重构,通过最小化重构输出和原始输入之间的差异,使模型学习正常轨迹的运动特征。重构误差大于异常阈值的轨迹被判定为异常轨迹。为了避免人工标注异常,利用数据驱动的交通模拟方法,合成了包含不同异常类型的轨迹数据。基于交通轨迹标注数据的实验结果表明,该方法的异常检测性能在各项指标上显著优于传统基于距离的方法以及机器学习分类算法,验证了该无监督方法的有效性和实用性。     

基于行为模型的工控异常检测方法研究

目前,工业控制系统(Industrial Control Systems,ICS)网络安全已经成为信息安全领域的重点问题,而检测篡改行为数据及控制程序等攻击是ICS网络安全的难点问题,据此提出了基于行为模型的工控异常检测方法。该方法从工控网络流量中提取行为数据序列,根据ICS的控制和被控过程构建正常行为模型,通过比较分析实时提取的行为数据与模型预测的行为数据,判断是否出现异常。通过实验分析,验证了所提方法能有效实现对篡改行为数据及控制程序等攻击的异常检测。     

基于改进自编码模型的工业时序数据异常检测

针对传统异常检测模型在处理工业多维时序数据时特征提取不充分、抗干扰能力弱等问题,提出一种改进的自编码模型,有效结合了门控循环网络的时序信息记忆能力和收缩自编码器的鲁棒特征提取能力,能够同时捕获不同特征变量之间的非线性相关性和单个变量自身的时序相关性。采取半监督学习异常检测方法,使用正常数据训练模型收敛,并根据待检测数据输入模型后计算出的异常得分来判定异常样本。基于真实的工业传感器数据进行实验后的结果表明,该方法有效提高了异常检测的准确度和可靠性。     

基于注意力机制的CNN-LSTM的ADS-B异常数据检测

广播式自动相关监视(ADS-B)是民航新一代空中交通管理系统的重要组成部分,由于协议没有数据加密和认证,导致容易受到数据攻击.为了准确检测ADS-B数据攻击,基于ADS-B数据的时序性,提出了一种基于注意力机制的卷积神经网络-长短期记忆网络(convolutional neural networks-long short-term memory, CNN-LSTM)异常数据检测模型.首先,利用CNN提取ADS-B数据的特征,然后以时序形式将特征向量输入到LSTM中,最后使用注意力机制进行网络参数优化,实现对ADS-B数据的预测,通过计算预测误差,来进行异常检测.实验表明,该模型能够很好地检测出模拟的4种类型的异常数据,与其他机器学习方法相比,具有更高的准确率和F1分数.     

基于CGWO优化高斯过程的工控入侵检测

工业控制系统的数据具有非线性、冗余特征多的特点,传统的入侵检测方法并不适用.为提高检测的准确率、降低漏报率,将应用范围最广的工控协议Modbus/TCP作为研究对象,提出CGWO-GP的检测模型.利用拉普拉斯特征映射(L E)在处理非线性数据上的优势处理工控数据;为避免检测模型参数陷入局部最优,提出基于柯西变异算子的灰狼优化算法(CGWO)对高斯过程(GP)参数进行优化.采用密西西比州立大学提出的工控标准数据集进行实验,与多种算法进行多组对比,实验结果表明,所提检测模型表现更优,准确率均值为98.96％,漏报率均值为0.44％,误报率均值为0.13％.     

基于KPCA的监控系统传感器异常诊断方法

针对监控系统数据异常时,故障检测准确性不高的问题,提出一种基于监控系统传感器异常的核主元分析(KPCA)检测方法.利用平方预报误差(SPE)统计量和均方贡献值法进行故障检测和故障源的定位,改善了主元分析(PCA)应用于非线性系统故障检测准确性低的问题.分别利用基于KPCA和PCA的故障检测模型进行仿真比较.实验结果表明:KPCA提高了非线性监控系统传感器异常诊断的准确性.     

一种无线传感器网络混合入侵检测模型

简单介绍了无线传感器网络安全的重要性,在此基础上,提出了一种无线传感器网络混合入侵检测模型.此模型包括了3个模块,其中误用检测模块和异常检测模块用来发现入侵行为,决策模块做出反馈,帮助管理者及时了解网络情况,加强无线传感器网络的安全审查.异常检测模块使用BP神经网络作为核心,实验采用KDD CUP'99数据集,使用MA...     

基于数据流时空特征的WSN异常检测及异常类型识别

异常数据检测及异常类型识别有助于提高无线传感器网络的数据质量,基于分类的异常检测算法存在传感器数据分类特征提取困难,无法进一步区分异常数据类型等问题,而基于时空特征的异常检测方法存在过度依赖于数据的假设分布等问题。针对这些问题,提出一种融合数据流时空特征和多分类模型的异常检测算法,算法首先基于Markov链提取传感器数据流的时空特征,然后将时空特征作为多分类卷积神经网络模型的输入特征,对数据流进行异常检测及异常类型识别。结果表明:该算法在不同数据集上均表现出较高的检测准确率以及较低的漏检率和误检率,可以有效地检测无线传感器网络中的异常值并判断异常类型。     

MHD角速度传感器随机漂移误差补偿方法研究

为了补偿磁流体动力学(MHD)角速度传感器的随机漂移误差,在对其建立时间序列模型的基础上,采用卡尔曼滤波算法对MHD角速度传感器的漂移数据进行了处理,并用方差和Allan方差分析的方法,对滤波前后的数据进行了分析对比.实验结果表明此方法能有效地提高MHD角速度传感器的测量精度.     

基于多标签分类的传感器网络数据故障检测算法

传感器网络中多种数据故障会同时出现,为了同时检测出多种数据故障,使用多标签分类模型对传感器网络数据故障的检测过程进行建模.为了提高多标签分类器对数据故障的检测性能,提出了一种基于多标签ReliefF和遗传算法的特征选择算法.该方法将ReliefF扩展成可以对特征子集进行评估的多标签ReliefF,特征选择过程首先使用遗传算法搜索特征子集,然后使用多标签ReliefF对特征子集进行评估.在三个多标签分类器上的实验结果表明,提出的特征选择算法可以显著地提升多标签分类器对传感器网络数据故障的检测性能.     

基于投影寻踪的无线传感器网络入侵检测模型

提出基于投影寻踪(PP)算法解决无线传感器网络入侵检测问题,利用PP算法将高维数据投影到低维数据空间,使得多特征属性的节点数据准确聚集.通过节点属性投影值的浮动来检测节点是否受到攻击.实验结果表明:基于PP的无线传感器网络入侵检测的方法在减少计算量,降低检测能耗的情况下,可以得到比传统的误差反向传播(BP)模型检测方法得到更好的检测效果.     

基于多特征融合的云平台异常检测方法

为了充分利用云平台不同子系统的多特征信息,进一步提升云平台异常检测精度,提出基于距离约束与解空间优化的多特征融合模型.在特征距离约束前提下,利用迭代法求解,使单一子系统训练误差之和最小,实现多特征自动融合并获得最优输出解,并引入高次幂系数避免模型退化.同时,该模型进一步拓展为增量模型,保证云平台数据实时计算.提出的特征融合模型可在降低高维特征信息间冗余的同时挖掘云平台多子系统互补、潜在知识,提升异常识别效果.基于开源框架OpenStack构建私有云平台,实时采集运行数据,验证提出异常检测模型的可行性,并对比现有方法获得更高的异常检测精度.     

基于排列熵与决策级多传感器数据融合的P2P僵尸网络检测方法

提出了一种基于排列熵和决策级多传感器数据融合的P2P僵尸网络检测算法。首先分别构建流量异常检测传感器和异常原因区分传感器:前者利用排列熵刻画网络流量的复杂度特征(该特征并不依赖于特定类型的P2P僵尸网络),通过利用Kalman滤波器检测该特征是否存在异常;后者利用TCP流量特征在一定程度上减弱P2P应用等网络应用程序对P2P僵尸网络检测的误差影响。最后利用D-S证据理论对上述传感器的检测结果进行决策级数据融合以获得最终的检测结果。实验表明,提出的方法可有效检测新型P2P僵尸网络。     

基于图偏差网络的外部自编码器时间序列异常检测

随着互联网和连接技术的提高, 传感器产生的数据逐渐趋于复杂化. 深度学习方法在处理高维数据的异常检测方面取得较好的进展, 图偏差网络(graph deviation network, GDN)学习传感器节点之间关系来预测异常, 并取得一定的效果. 针对图偏差网络模型缺少对时间依赖性以及异常数据不稳定的处理, 提出了基于图偏差网络的外部自编码器模型(graph deviation network-based external attention autoencoder, AEEA-GDN)深度提取表征, 此外在模型训练时引入自适应学习机制, 帮助网络更好地适应异常数据的变化. 在3个现实收集传感器数据集上的实验结果表明, 基于图偏差网络的外部自编码器模型比基线方法更准确地检测异常, 且总体性能更优.     

基于多维度特征分析的KPI异常检测

为帮助运维人员提前发现未知风险,减少因异常风险带来的损失,提出多种特征融合的异常检测方法.对关键性能指标(KPI)进行多维度的特征提取,使用主成分分析方法(PCA)进行降维,对降维后的数据按照时序模式,使用小波分解提取出高频特征与低频特征,使用极限梯度提升(XGBoost)模型进行异常检测.实验结果表明,该方法有较好的普适性、查全率和准确度较高,受试者工作特征(ROC)曲线也普遍优于其它模型.