入侵检测与聚类分析

传统的入侵检测方法在面对网络结构升级和未知攻击时，缺乏必要的扩展性和自适应能力，而基于机器学习的检测算法首先需要训练数据集进行训练，然后建立检测模型并通过测试数据集中入侵行为的检测结果来验证，此类方法由于获取类标识数据的困难性及其信息表达的局限性，降低了对未知攻击的检则能力。本文提出利用遗传聚类进行入侵检测算法IDUGC(Intrusion Detection Using Genetic Clustering)。实验结果表明，此算法在未知入侵检测方面是可行的、有效的，并具有良好的可扩展性。     

基于信息增益和随机森林分类器的入侵检测系统研究

目前,许多误用检测系统无法检测未知攻击,而异常检测系统虽然能够精确检测未知攻击,但由于入侵检测固有的特性,入侵事件与正常事件类间存在极大的不平衡性,这导致很难利用机器学习的方法高效地进行入侵行为检测.为此,提出了一种基于信息增益和随机森林分类器的入侵检测系统.为了解决类之间的不平衡性,对训练数据集应用了合成少数过采样算法.提出了一种基于信息增益的特征选择方法,并用于构建一个数据集的特征约减子集.首先,利用随机森林算法从训练集中建立入侵模型,构建误用检测模型,通过网络连接的特征来匹配检测已知攻击.然后,利用信息增益的特征选择方法,根据特征约减获得的特征,将不确定性攻击的网络连接数据通过随机森林进行聚类,进而实现未知攻击的检测.实验采用的NSL-KDD入侵检测数据集是KDDCUP99数据集的增强版本.由于入侵检测固有的特性,NSL-KDD数据集设计时类间存在极大的不平衡性.实验结果表明,结合合成少数过采样算法以及基于特征选择的信息增益的随机森林分类器对少数类别异常检测率可达到0.962.     

基于拆分、组装BP网络的入侵检测方法研究

提出了一种基于拆分、组装神经网络的入侵检测方法神经网络克服了以前在网络训练中易出现的训练时间过长、陷入局部极小的问题，使网络训练效率大大提高。该方法以网络数据源为主，同时考虑反映主机性能的数据源，并对特征数据进行了预处理，利用改进算法的学习能力和快速识别能力，实现了对用户行为的检测，尤其是在识别以前没有观察到的未知攻击方面具有较好性能．     

基于聚类分析的数据库入侵检测框架及其应用

针对现存数据库入侵检测研究需要纯训练集,该文提出一个基于聚类分析的数据库入侵检测框架,定义了数据库查询的表示方法及其相似度计算方法,研究了框架实现的3个核心算法。算法根据距离函数对原始审计数据进行聚类,并对每个聚类进行标记,利用异常检测引擎对实时查询进行检测。通过实验给出了对合法用户攻击的检测率和误报率,并分析了影响因素。     

基于CSA无监督模糊聚类算法的异常检测方法

为解决模糊k 均值算法对初始化敏感及易陷入局部极值的不足,提出了基于克隆选择算法(CSA)的无监督模糊聚类异常入侵检测方法. 应用结合了具有进化搜索、全局搜索、随 机搜索和局部搜索特点的克隆算子快速得到了全局最优聚类,并应用模糊检测算法检测网络中的异常行为模式. 该方法的优点是不需要人工对训练集分类,并且可以检测出未知的攻击. 仿真试验表明,该方法不但能检测出未知的攻击,而且具有较低的误报率和较高的检测率.     

小样本纠错的多层入侵检测分类研究

入侵检测对于网络安全至关重要,不平衡或易混淆的训练样本往往导致传统入侵检测算法效率不佳。为此,提出一种小样本纠错的多层检测分类模型。首先,通过正交投影降维分类算法,使用入侵检测数据集的训练集构建第一层的初筛分类器,将待测样本粗分为三类;然后基于支持向量机及随机森林算法构造第二层和第三层的级联分类器组,每层逐步纠错前面层,并细分至五类;最后,用开源入侵检测评测数据集NSL-KDD进行实验。实验结果表明,本文的方法显著提高了对于拒绝服务攻击（Denial of Service,DoS）、探测攻击（Probe）、未经授权的远程访问（Remote to Local,R2L）类攻击样本的准确率,整体召回率及准确率优于同类研究。     

采用自适应GHA神经网络的分类器设计

介绍了一种自适应逼近数据实质维的GHA神经网络学习算法。基于主元子空间分解的思想,给出了基于该算法的分类器刻画方法,对其中的刻画参数给出了详细的界定。该分类器采用监督学习机制进行训练,可以自动学习输入的主元特征子空间维数。在入侵检测领域,利用KDD CUP 1999数据集对该方法进行了仿真。采用正常连接数据训练GHA异常检测分类器,利用拒绝服务攻击数据进行了误用检测训练。并将测试结果与其他入侵检测方法进行了比较。     

基于蜜罐技术的网络入侵检测系统协作模型的研究与实现

针对当前互联网中传统的入侵检测系统无法对未知攻击作出有效判断,而造成信息误报和漏报的问题,从入侵检测和蜜罐的基本特点出发,提出了一种基于蜜罐技术的网络入侵检测系统协作模型,通过引诱黑客入侵,记录入侵过程,研究攻击者所使用的工具、攻击策略和方法等,提取出新的入侵规则,并实时添加到IDS规则库中,以提高IDS检测和识别未知攻击的能力,进一步提升网络的安全性能.     

面向入侵检测的机器学习方法综述

入侵检测方法是基于网络的入侵检测系统的核心,可以是基于特征的,也可以是基于异常的。基于特征的检测方法具有较高的检测率,但不能检测到未知新型攻击;基于异常的检测方法可以检测到新型攻击,但误报率较高。为了降低入侵检测的误报率并提高其检测率,许多机器学习技术被应用到入侵检测系统中。通过对大量带有入侵数据训练样本的学习,构建了一个用于区分正常状态和入侵状态的入侵检测模型。针对目前入侵检测系统存在的高误报率、低检测速度和低检测率等问题,对机器学习技术在入侵检测系统中的的优势、系统检测的通用数据集以及系统评估指标进行了详细阐述,并对未来研究趋势进行了展望。     

聚类分析算法在入侵检测中的应用研究

从数据挖掘的基本技术着手,分析了K-means聚类算法、基于相似度的聚类算法和蚁群聚类算法的特点,探讨了3种聚类算法在入侵检测系统中的应用步骤、计算方法,并通过实验测试,验证了3种算法对未知入侵行为检测的可行性。     

基于PCA和半监督聚类的入侵检测算法研究

针对网络入侵检测数据存在大量冗余信息和传统聚类算法对离群点检测不足的问题,提出一种基于主成分分析(principal component analysis, PCA)和半监督聚类的入侵检测算法。首先使用PCA对数据进行特征提取,消除数据间的冗余属性;然后利用少量已标记样本和成对约束信息,通过引入竞争凝聚让系统主动学习,以实现对大量未知样本的检测。在入侵检测数据集和UCI基准数据集上的实验结果表明,该算法能有效提高系统的性能。     

基于有限自动机的RFID入侵检测

利用RFID中间件的特点, 加入入侵检测异常检测模块, 通过对入侵者的攻击数据流与RFID系统内部的数据流进行对比后提取特征向量, 并通过对入侵数据流对应子模块的归纳建立有限自动机, 对有限自动机的归并来提高系统入侵检测的效率. 此外, 参照归并后的有限自动机对攻击进行分类, 通过对攻击本质的分析与提取来检测一部分入侵检测自动机里没有相应的攻击. 最后, 对固定攻击比例的访问事件样本乱序进行试验, 试验结果表示系统在3轮测试中均得到稳定的检测率.     

基于增量One-Class支持向量机的注册表异常检测

提出一种基于增量支持向量机的异常检测方法,利用Windows注册表建立了入侵检测模型,通过SVM算法实时判断当前对注册表的访问行为是否为异常状态来发现和识别入侵行为。实验表明：该方法对未知病毒和未知入侵行为具有较高检测率,可以提高在先验知识较少情况下的学习机推广能力。同时,考虑到注册表键值数量巨大,采用增量SVM算法可以在不影响检测性能的同时减少训练时间。     

基于数据挖掘的入侵检测精确度提升方法

入侵检测系统一直以来都是多层安全体系架构不可或缺的一部分,与传统的防御解决方案相比,基于数据挖掘的入侵检测有着较高的精确度,并能有效的识别未知的入侵模式,然而伪肯定率的存在也一直是阻止基于数据挖掘的入侵检测系统研究深入的最大阻碍,本文分析了影响入侵检测精确度的因素,提出了一种基于数据挖掘的有效提高精确度,降低伪肯定率的入侵检测方法。     

基于机器学习的入侵检测系统

针对现有入侵检测系统仔在的不足，研究了基于网络和误用的入侵检测系统Snort，提出了基于机器学习的Snort系统方案．使Snort不仅能通过模式匹配的方式检测到一些已知的攻击，还能通过自我学习检测到未知的攻击.     

基于聚类的网络入侵检测系统模型

入侵检测中对未知入侵的检测主要是由异常检测来完成的,传统异常检测方法需要构造一个正常行为特征轮廓的参考模型,但建立该特征轮廓使系统的开销巨大.对此,提出一种针对网络入侵检测的聚类算法,该方法的优点在于不需要用人工的或其他的方法来对训练集进行标识.在检测过程中,随着有效信息的不断增加,模型得到了更新,使增量聚类后的新模型与原有模型的检测性能相比,有很大提高.     

基于网络状态的入侵检测模型

本文提出了一种基于网络状态的入侵检测模型。该模型结合网络入侵的目标和特点，利用有穷自动机理论，基于网络协议来实现进程和操作系统的状态建立，从而可以发现未知的入侵，本文论证了应用该模型的可靠性，并利用通用入侵检测框架CIDF对应用该模型的入侵检测系统进行了描述，最后与其它入侵检测模型进行了比较。