后验概率图与补白模型二次融合的关键词识别

使用全连接神经网络结合Softmax分类器对汉语的408个音节建立音节分类器,利用等长处理后的特征向量训练Softmax分类器,将Softmax分类器输出概率作为后验概率图,与隐马尔科夫补白模型（HMM/Filler）进行第一次融合,得到子后验概率图隐马尔科夫模型（Posteriorgram-HMM）. 针对关键词训练样本较少的问题,将标注样本进行强制切分,得到HMM每个状态上的训练数据. 将隐马尔科夫最大后验概率基线模型（HMM-MAP）与Posteriorgram-HMM进行第二次融合,提出最大后验概率图隐马尔科夫模型（Posteriorgram-HMM-MAP）. 在数据集上训练模型后,使用测试数据对其进行测试. 结果表明：Posteriorgram-HMM-MAP的综合识别率相比Posteriorgram-HMM提升了3.55%,相比HMM/Filler提升了10.29%.     

One-Class分类器及其在异常检测中的应用

由于攻击数据难以获取,往往只能得到一类数据,即正常网络数据,这也是模式识别领域的单类问题(one-class)要解决的问题.本文改造了传统的SOM(自组织特征映射)模型,建立了基于SOM的单类分类器,并对其进行了改进.通过对入侵检测标准评估数据集上的测试,在保证总体性能的情况下,模型对选择的3种攻击的平均检测率保持在98%以上,而误报警率在4%左右.     

基于E~2LSH的特定人物快速检索方法

自组织特征映射是一种无监督的神经网络,目前广泛应用于入侵检测中。文章提出了一种基于改进的SOM的入侵检测方法,可更有效的处理包含数值型和字符型的输入向量,优化了训练中的权值调整策略。最后,使用KDD Cup 99数据集进行实验,结果表明改进的SOM算法检测率较高。     

入侵检测与聚类分析

传统的入侵检测方法在面对网络结构升级和未知攻击时 ,缺乏必要的扩展性和自适应能力 ,而基于机器学习的检测算法首先需要训练数据集进行训练 ,然后建立检测模型并通过测试数据集中入侵行为的检测结果来验证 ,此类方法由于获取类标识数据的困难性及其信息表达的局限性 ,降低了对未知攻击的检则能力。本文提出利用遗传聚类进行入侵检测算法IDUGC(IntrusionDetectionUsingGeneticClustering)。实验结果表明 ,此算法在未知入侵检测方面是可行的、有效的 ,并具有良好的可扩展性     

DDoS攻击检测模型的设计

为了有效检测服务器是否受到DDoS攻击,设计了一种基于朴素贝叶斯分类算法的DDoS攻击检测模型. 首先大量抓取服务器数据包,选择受到DDoS攻击时产生较明显变动的5种特征数据作为基本参数,所有数据可分为受攻击与未受攻击两类. 然后利用正态分布函数拟各合特征量的分布情况,并计算出各个特征量的条件概率. 最后,选取测试数据,得到测试数据在贝叶斯公式下被分为受攻击与未受攻击两类的后验概率,并通过比较此两个后验概率值的大小,判断出服务器是否受到DDoS攻击. 该模型经MATLAB仿真实验的验证,获得了较高的准确率,保证了对DDoS攻击的有效检测,并由C＋＋代码进行实现.     

不平衡数据下基于CNN的网络入侵检测

深度学习的自学习能力可以实现入侵检测系统的不断更新及扩展,增强入侵检测系统的防范能力,但目前大部分基于深度学习的网络入侵检测研究都未考虑到数据集类别不平衡问题.针对此问题,提出了一种类别重组技术结合Focal Loss损失函数的处理方法,用于原始网络入侵流量分类.该方法把原始流量生成灰度图输入卷积神经网络CNN进行特征提取学习,类别重组技术保证了训练集中攻击类别间的相对均衡,而Focal Loss损失函数通过影响类别权重提高了CNN模型对复杂样本的关注.在三个CNN模型上进行了实验,macro-f1分别提高了9.41%, 1.65%和4.39%,结果表明该方法能够有效处理网络入侵检测中的类别不平衡问题,且明显提高了少数类样本的识别精度.     

入侵检测与聚类分析

传统的入侵检测方法在面对网络结构升级和未知攻击时，缺乏必要的扩展性和自适应能力，而基于机器学习的检测算法首先需要训练数据集进行训练，然后建立检测模型并通过测试数据集中入侵行为的检测结果来验证，此类方法由于获取类标识数据的困难性及其信息表达的局限性，降低了对未知攻击的检则能力。本文提出利用遗传聚类进行入侵检测算法IDUGC(Intrusion Detection Using Genetic Clustering)。实验结果表明，此算法在未知入侵检测方面是可行的、有效的，并具有良好的可扩展性。     

一种基于RBM的深层神经网络音素识别方法

为提高连续语音识别中的音素识别准确率,采用深可信网络提取语音音素后验概率进行音素识别.首先利用受限玻尔兹曼机的学习原理,对深可信网络进行逐层的预训练;然后通过增加一个“软最大化（softmax）”输出层,得到用于音素状态后验概率检测的深层神经网络,并采用后向传播算法进行网络权值的精细调整;最后以后验概率为HMM发射概率,使用Viterbi解码器进行音素识别.针对TIMIT语料库的实验结果表明,该系统的音素识别率优于GMM/HMM,MLP/HMM和TANDEM系统性能.     

基于攻击行为预测的网络防御策略

为了有效阻止网络攻击行为,提出一种基于攻击行为预测的网络攻击防御方法.针对入侵者的攻击行为具有强的随机性和不确定性,部署高交互蜜罐网络,采集入侵者攻入主机后的攻击数据,构建攻击状态转移图;利用隐马尔可夫模型(HMM)具有较为精确的似然度概率计算的特点,设计网络攻击行为预测模型.以攻击行为预测模型为核心,结合常用的入侵防御系统,构建主动防御策略,并开发相应的原型系统,将之部署到真实的网络系统中进行攻击实验.通过累计5个月真实数据的训练和验证,预测模型的准确率达到80%.结果表明该策略具有良好的网络攻击对抗性,可有效地用于预防网络攻击.     

一种处理混合型属性的无监督异常入侵检测方法

针对目前入侵检测技术训练时处理类别型数据能力欠缺、误报率高的问题,提出一种处理混合型属性的无监督异常入侵检测方法,定义了类别型属性各取值之间的差异度,使得在对训练集进行无监督学习、生成检测模型过程中,能够同时有效地处理数值型属性和类别型属性．理论分析表明所定义的类别型属性值差异度既保留了类别型属性各取值之间的本质特征．同时也没有改变数据集的原始维数．实验中采用了网络入侵检测数据集KDD-CUP-99来训练模型．实验结果表明,采用的混合型属性处理方法进行聚类所建立的入侵检测模型,与现有方法相比,检测率高．     

基于聚类分析的人工神经网络洪水预报模型研究

应用模糊C均值(FCM)和自组织映射网络(SOM)两种方法将洪水流量过程线进行分解,并聚成不同的类别,结合多层前馈神经网络(MFN)建立了两个综合神经网络模型(FCMMFN和SOMMFN),进行洪水预报。在王家厂水库流域洪水预报的应用结果表明,两种聚类方法能够将流量过程分解为具有不同内在规律的若干过程,两种综合神经网络模型预报精度均优于单一的多层前馈网络模型,而且FCMMFN的精度高于SOMMFN。     

一种基于调节因子的动态自组织映射网络流量分类方法

针对当前自组织映射网络在流量分类中存在的不足,提出一种新的动态增长自组织映射模型DS GSOM用于流量分类。该方法采用灵活可控的网络结构,引入调节因子EF来控制网络生长,可以按需要方便地在任意合适位置生成新结点,实现层次聚类,所生成的网络结点数目远远低于传统的SOFM方法,训练周期短,算法执行效率明显高于SOM和GSOM。实验分析结果表明该分类方法准确率和召回率明显优于自组织映射网络的其它流量分类方法。     

基于DBSCAN_GAN_XGBoost的网络入侵检测方法

由于网络异常流量检测中异常流量数据占比不平衡,导致模型不能对稀有攻击类别流量进行充分学习,从而影响模型训练和检测精度.针对这一问题,提出一种基于DBSCAN_GAN_XGBoost的网络入侵检测模型,该模型在对稀有攻击类样本进行扩充时,着重扩充更容易让机器学习产生混淆的噪声样本.首先,利用DBSCAN算法对提取出的稀有...     

基于HMM模型的老年人出行异常检测

针对老年人出行异常的检测问题,提出一种基于HMM模型的出行行为检测方法。将出行轨迹的坐标点作为模型的训练数据,改进了HMM模型中隐藏状态的确定方法,建立老年人日常行为模型,然后提出一种判别分析方法用于找出检测轨迹对应的状态序列,计算该轨迹序列的输出概率并与阈值相比较,从而判断是否出现异常行为。通过实验证明了该方法对老年人行为异常检测有较高的准确性。     

复杂模式保留拓扑的平面映射及其应用

采用自组织映射(Self-Organize Map,SOM)网络,将复杂化学模式映射于平面,并保留模式群的高维空间拓扑结构,从而可以清晰地反映出化学模式间复杂的几何关系．还提出了获胜邻域和学习率的调整方案,用以改进SOM网络的训练效率,并将8维橄榄油样本映射于网络的输出平面,成功地实现了聚类,进而在分类预报中取得良好效果．     

基于贝叶斯攻击图的动态安全风险评估模型

攻击者通过分析网络中漏洞的相互关联关系逐步攻破多个漏洞,而攻击图模型虽然能描述网络内潜在威胁的传播路径,但未充分考虑攻击事件对攻击图中所有属性节点置信度的动态影响。为此,提出一种基于贝叶斯攻击图的动态风险评估(dynamic risk assessment based on Bayesian attack graphs, DRA-BAG)模型。该模型运用贝叶斯信念网络建立用于描述攻击行为中多步原子攻击间因果关系的概率攻击图,其中采用通用漏洞评分系统指标计算漏洞利用成功概率,并利用局部条件概率分布表评估属性节点的静态安全风险;进而结合入侵检测系统观测到的实时攻击事件,运用贝叶斯推理方法对单步攻击行为的后验概率进行动态更新,最终实现对目标网络整体安全性的评估。实验结果表明,本文方法可评估动态安全风险和推断攻击路径,为实施安全防护策略提供依据。     

节点相关的隐马尔可夫模型的网络安全评估

针对基于隐马尔可夫（HMM）的网络风险评估中未考虑网络节点相关性的问题,结合图论,建立节点关联（NNC）状态转换矩阵,以入侵告警值（IDS）为输入,用改进的HMM模型计算出攻击路径．通过模型能进一步得到任意长度攻击序列的攻击成功率．实验结果证明,该方法简捷有效,有利于发现网络节点的脆弱性,掌握网络安全状况.     

基于信息增益和随机森林分类器的入侵检测系统研究

目前,许多误用检测系统无法检测未知攻击,而异常检测系统虽然能够精确检测未知攻击,但由于入侵检测固有的特性,入侵事件与正常事件类间存在极大的不平衡性,这导致很难利用机器学习的方法高效地进行入侵行为检测.为此,提出了一种基于信息增益和随机森林分类器的入侵检测系统.为了解决类之间的不平衡性,对训练数据集应用了合成少数过采样算法.提出了一种基于信息增益的特征选择方法,并用于构建一个数据集的特征约减子集.首先,利用随机森林算法从训练集中建立入侵模型,构建误用检测模型,通过网络连接的特征来匹配检测已知攻击.然后,利用信息增益的特征选择方法,根据特征约减获得的特征,将不确定性攻击的网络连接数据通过随机森林进行聚类,进而实现未知攻击的检测.实验采用的NSL-KDD入侵检测数据集是KDDCUP99数据集的增强版本.由于入侵检测固有的特性,NSL-KDD数据集设计时类间存在极大的不平衡性.实验结果表明,结合合成少数过采样算法以及基于特征选择的信息增益的随机森林分类器对少数类别异常检测率可达到0.962.     

深度自编码网络在入侵检测中的应用研究

当前网络环境下的网络数据呈现出比以往更为庞大、复杂和多维的特性,传统的机器学习方法面临复杂的高维数据需要手动提取大量特征,特征提取过程复杂且计算量大,不利于当前入侵检测实时性和准确性的要求.基于此,以降低数据维度和消除冗余信息为目的,综合利用深度自编码网络(DAN)和BP算法,提出了基于DAN-BP的入侵检测模型.首先通过叠加多个自编码网络构成深度自编码网络模型,将网络特征数据作为模型的输入,使模型能够智能的逐层抽取网络数据的分布规则,从而获得新的低维特征数据集;然后利用BP算法对学习到的低维数据进行分类识别.文中通过在自编码网络中加入正则化修正,防止训练出的自编码网络直接复制输入信息而影响训练效果;且在输入数据中添加噪声,通过学习原始数据和输出数据重构误差达到去噪的目的,从而使得学习到的新的特征数据具有更强的鲁棒性.对比了传统的降维方法和当前入侵检测方法,结果表明本文方法在分类准确率、误报率和检测速率上均具有较优的效果.     

基于SOM的高维化工过程数据粗差判别

针对石油化工生产过程样本数据呈高维的特征.提出了基于自组织映射(Self-Organizing Map,SOM)网络的粗差判别方法.并实际应用于初馏塔生产过程.首先应用SOM网络对初馏塔生产过程数据进行保留拓扑结构的降维映射,然后通过对其映射平面神经元间距离的可视化分析,实现数据粗差判别.研究结果表明用SOM网络来发现高维复杂生产过程数据中的粗差具有很好的可视化效果及应用前景.