基于隐Markov模型的数据库异常检测技术

首先提出了一个刻画数据库用户正常行为的隐Markov模型,在此基础上设计了一个数据库异常检测算法.该算法在判断某个用户的操作序列是否发生异常的过程中,针对观测序列长度不断增加,但P{O/λ}观测值却越来越小的情况,引入了滑动窗口概念.算法中将用户操作序列划分为长度可调的滑动窗口,对该窗口中的序列X进行P{X/λ}计算,如果窗口的P{X/λ}值低于给定阈值ε,则该窗口中的短序列标记为"异常",如果异常短序列数目与总短序列数目之比超过另一给定的阈值δκ,就判断该数据库用户的行为异常.此外,还讨论了隐Markov模型参数设定和阈值选取等问题.     

基于异常的终端级入侵检测

入侵检测技术作为计算机防护的主要技术手段, 因具有适应性强、能识别新型攻击的优点而被广泛研究, 然而识别率和误报率难以保证是该技术的主要瓶颈. 为了提升异常检测技术的识别率并降低误报率, 提出了一种终端级入侵检测算法(terminal-level intrusion detection algorithm, TL-IDA). 在数据预处理阶段把终端日志切割成连续的小块命令序列, 并引入统计学的常用指标为命令序列构建特征向量, 再使用TL-IDA算法通过特征向量对用户建模. 在此基础上, 还提出了一种滑动窗口判别法, 用于判断系统是否遭受攻击, 从而提升入侵检测算法的性能. 实验结果表明, TL-IDA算法的平均识别率和误报率分别达到了83%和15%, 优于同类的基于异常技术的终端级入侵检测算法ADMIT、隐马尔可夫模型法等.     

面向Unix和Linux平台的网络用户伪装入侵检测

基于主机的入侵检测是目前网络安全领域研究的热点内容。提出了一种基于数据挖掘和变长序列匹配的用户伪装入侵检测方法,主要用于Unix或Linux平台上以shell命令为审计数据的主机型入侵检测系统。该方法针对用户行为复杂多变的特点以及审计数据的短时相关性,利用多种长度不同的shell命令短序列来描述用户行为模式,并基于数据挖掘技术中的序列支持度在用户界面层对网络合法用户的正常行为进行建模;在检测阶段,采用了基于变长序列匹配和判决值加权的检测方案,通过单调递增相似度函数赋值和加窗平滑滤噪对被监测用户当前行为的异常程度进行精确分析,能够有效降低误报率,增强了检测性能的稳定性。实验表明,同目前典型的伪装入侵检测方法相比,该方法在检测准确度和计算成本方面均具有较大优势,特别适用于在线检测。     

滑动窗口数据流聚类算法在IDS中的应用

针对传统入侵检测系统难于适应日益增长数据量对实时处理能力的需求问题,运用滑动窗口、数据流聚类技术,设计了基于滑动窗口数据流聚类算法,并构建了基于该算法的IDS网络安全防御模型。通过对该模型仿真验证,证明该网络安全防御模型能较好地适应高速网络的入侵检测需求。     

在时间序列相似性问题中滑动窗口的确定

作为一个非平凡命题,大多数时间序列相似性查找方法都涉及到了对原数据的维度简约.在保持原序列中有效信息量的同时,尽量降低计算复杂度是这些算法的关键.讨论滑动窗口在时间序列相似性降维技术中的实际应用,从中发现确定自适应滑动窗口大小的一种新方法.通过对时序特征值分布函数的挖掘,发现时间序列中的若干有效点,从而确定一组合适的滑动窗口大小,并根据序列变化的来决定最佳的滑动窗口.     

数据挖掘在异常入侵检测系统中的应用

在分析现有入侵检测技术和系统的基础上，本文提出了一种基于数据挖掘和可滑动窗口的异常检测模型，该模型综合利用了关联规则和序列模式算法对网络数据进行充分挖掘，分别给出了基于时间窗口的训练阶段和检测阶段的挖掘算法，并建立贝叶斯网络，进一步判定规则挖掘中的可疑行为，提高检测的准确率。     

基于滑动窗口预测的水文时间序列异常检测

针对水文时间序列分析与决策中存在的数据质量问题,提出了基于滑动窗口预测的水文时间序列异常检测算法。首先基于滑动窗口对时间序列进行子序列分割,再以子序列为基础建立预测模型对未来值进行预测,并将预测值和实测值间差异范围大于预设阈值的序列点判定为异常。探讨了算法中的滑动窗口和参数设置,并以实例数据对算法进行了验证。实验结果表明,所提算法不仅能够有效挖掘出水文时间序列中的异常点,而且将异常检测的灵敏度和特异度分别提高到80%和98%以上。     

基于增量集成学习的动态自适应SDN入侵检测

随着SDN网络应用的推广,SDN网络的安全也越来越受到重视,基于模式识别的网络入侵检测由于无法一次性收集完备的训练数据集,使得对未知的入侵行为识别率不高.为提高入侵检测系统的自适应性,提出了增量集成学习算法,并用该算法解决SDN入侵检测问题.该算法利用滑动窗口法获得数据块,对新的数据块进行训练获得子分类器,然后依据在历史数据块和当前数据块的分类结果筛选子分类器进行集成,使得分类模型不断完善从而能够自适应的识别未知攻击行为.通过在NSL-KDD数据集上的实验结果可以看到,该算法可以提高未知攻击的识别率.     

一种新的网络入侵模式提取算法及其应用

该文在分析国内外现有入侵检测技术和系统的基础上,提出了一种基于实时入侵时态知识模型和可变滑动窗口的实时模式提取算法,并在此基础上,实现了基于规则的、层次化的智能入侵检测原型系统(RIDES)。实验结果表明:该系统不仅能快速检测网络入侵,而且具有一定的学习能力,能够适应不同的网络应用环境。     

基于shell命令和多重行为模式挖掘的用户伪装攻击检测

伪装攻击是指非授权用户通过伪装成合法用户来获得访问关键数据或更高层访问权限的行为.近年来,伪装攻击检测在保障网络信息安全中发挥着越来越大的作用.文中提出一种新的用户伪装攻击检测方法.同现有的典型检测方法相比,该方法在训练阶段改进了对用户行为模式的表示方式,通过合理选择用户行为特征并基于阶梯式的序列模式支持度来建立合法用户的正常行为轮廓,提高了用户行为描述的准确性和对不同类型用户的适应性;在充分考虑shell命令审计数据时序特征的基础上,针对伪装攻击行为复杂多变的特点,提出基于多重行为模式并行挖掘和多门限联合判决的检测模型,并通过交叉验证和等量迭代逼近方法确定最佳门限参数,克服了单一序列模式检测模型在性能稳定性和容错能力方面的不足,在不明显增加计算成本的条件下大幅度提高了检测准确度.文中提出的方法已应用于实际检测系统,并表现出良好的检测性能.     

一种基于动态自适应数据窗口的模糊k-均值聚类缺失数据估算算法

完整性是数据质量的一个重要维度,由于数据本身固有的不确定性、采集的随机性及不准确性,导致现实应用中产生了大量具有如下特点的数据集:1)数据规模庞大;2)数据往往是不完整、不准确的.因此将大规模数据集分段到不同的数据窗口中处理是数据处理的重要方法,但缺失数据估算的相关研究大都忽视了数据集的特点和窗口的应用,而且回定大小的数据窗17容易造成算法的准确性和性能受窗口大小及窗口内数据值分布的影响.假设数据满足一定的领域相关的约束,首先提出了一种新的基于时间的动态自适应数据窗口检测算法,并基于此窗口提出了一种改进的模糊k-均值聚类算法来进行不完整数据的缺失数据估算.实验表明较之其他算法,不仅能更适应数据集的特点,具有较好的性能,而且能够保证准确性.     

基于自适应邻域的核密度动态目标分割方法

经典的核密度估计背景模型使用固定的背景样本邻域来抑制背景运动形成的伪目标,无法适应不同背景的运动规律,导致不能抑制同一拍摄场景中所有背景运动形成的伪目标。因此在经典核密度估计的背景建模基础上,使用图像配准技术,能实现对不同运动背景区域的邻域尺寸自适应选择,并且在同一拍摄场景中可适应更多的背景运动类型,抑制更多类型的伪目标。实验结果证明,该方法对大部分由背景运动导致的伪目标有很好的抑制作用。     

基于城区距离的自适应加权均值滤波算法

针对传统滤波窗口不能自适应扩展以及标准均值滤波易造成图像边缘模糊的缺陷,提出一种基于城区距离的自适应加权均值滤波算法。首先,利用开关滤波思想检测出噪声点;其次,对于每一噪声点,依据城区距离扩展窗口,窗口的大小根据窗口内信号点的个数自适应地调节;最后,将窗口内足够数量信号点的灰度的加权平均值作为噪声点的灰度值,实现对噪声点的有效恢复。实验结果表明,该算法能够有效地滤除椒盐噪声,尤其对噪声密度较大的图像,去噪效果更加显著。     

Edge detection and edge-preserved compression for error-diffused images

In this paper, a new approach to edge detection and image compression of bilevel error-diffused images is proposed. The proposed approach is directly applied to the error-diffused images without any inverse halftoning technique. The main idea behind the proposed edge detection method is to compute the consistency value of each pixel of the error-diffused image, and the computed values are then clustered into two classes to obtain the desired edges. Here, the consistency value is a function of the mass center and geometric center of the window; more precisely, it represents the possibility that the area covered by the window can be uniform. As for compression, each error-diffused input image is compressed by dividing the image into non-overlapping blocks with size 8 × 8, then each highly-consistent block is encoded by its average illumination, and each lowly-consistent block is transmitted directly using the original bitmap. The threshold to distinguish these two kinds of blocks is automatically calculated based on the compression rate required by the users. The complexity of our compression technique is low, and this fast method can be used in real-time application.     

Driver identification based on hidden feature extraction by using adaptive nonnegativity-constrained autoencoder

In this paper, we propose a new driver identification method using deep learning. Existing driver identification methods have the disadvantages that the size of the sliding time window is too large and the feature extraction is relatively subjective, which leads to low identification accuracy and long prediction time. We first propose using an unsupervised three-layer nonnegativity-constrained autoencoder to adaptive search the optimal size of the sliding window, then construct a deep nonnegativity-constrained autoencoder network to automatically extract hidden features of driving behavior to further complete driver identification. The results from the public driving behavior dataset indicate that relative to conventional sparse autoencoder, dropout-autoencoder, random tree, and random forest algorithms, our method can effectively search the optimal size of the sliding time window, and the window size is shortened from the traditional 60s to 30s, which can better preserve the intrinsic information of the data while greatly reducing the data volume. Furthermore, our method can extract more distinctive hidden features that aid the classifier to map out the separating boundaries among the classes more easily. Finally, our method can significantly shorten the prediction time and improve the timeliness under the premise of improving the driver identification performance and reducing the model overfitting.     

From user interface design to the support of intelligent and adaptive interfaces: an overhaul of user interface software infrastracture

Research on adaptive interfaces in the past has lacked support from user interface tools which allow interfaces to be easily created and modified. Also, current user interface tools provide no support for user models which can collect task-oriented information about users. Developing an adaptive interface requires a user model and an adaptation strategy. It also, however, requires a user interface which can be adapted. The latter task is often time-consuming, especially in relation to more sophisticated user interfaces.

The paper presents a user interface design environment, UIDE, which has a different software infrastracture. Designers use high-level specifications to create a model of an application and links from the application to various interface components. The model is the heart of all the design and run-time support in UIDE, including automatic dialog sequencing and help generation. UIDE provides automatic support for collecting task-oriented information about users, by the use of its high-level specifications in its application model as a basic construct for a user model. Some examples of adaptive interfaces and adaptive help are presented that use the information that is collectable in UIDE.     

改进的自适应中值滤波算法

中值滤波窗口大小影响滤波器性能,3×3滤波窗口可以很好地保持图像细节。提出一种新的自适应中值滤波方法。将3×3窗口中心的极值点作为候选噪声点,若候选噪声点仍然是7×7窗口的极值点,则该点即是噪声点。若以噪声点为中心的3×3滤波窗口的中值不是噪声,则噪声用中值替换。重复以上过程,直到没有噪声点被替换。如果图像中仍然存在大的噪声团块,则噪声用相邻的三个信号点的灰度均值替换。实验结果表明,该方法能够有效去除脉冲噪声,并在抑制噪声的同时很好地保护图像的细节。     

The PMESC Programming Library for Distributed-Memory MIMD Computers

Efficient programming of task-parallel problems, where the number and execution times of the computational tasks can vary unpredictably, demands an asynchronous and adaptive approach. In this sort of approach, however, such fundamental programming issues as load sharing, data sharing, and termination detection can present difficult programming problems. This paper presents the PMESC library for managing task-parallel problems on distributed-memory MIMD computers within the context of the SPMD (single program, multiple data) programming model. PMESC offers support for all of the application-independent programming issues involved in SPMD task-parallel computation in a portable and efficient way while still allowing users to customize their codes. Because different problems may require different strategies to achieve good performance, PMESC is based on a straightforward model in which different building blocks can be easily put together and changed to accommodate the particular needs of the different applications. The library provides an interface that allows users to program a virtual machine and thereby ignore the details associated with message passing and machine architecture. These features make PMESC accessible to a wide variety of users.     

采用数据挖掘和代理技术的入侵检测系统研究

入侵检测系统是一种检测网络入侵行为并能够主动保护自己免受攻击的一种网络安全技术,是网络防火墙的合理补充.介绍了应用几种数据挖掘方法进行入侵检测的过程,并在此基础上提出了一个采用数据挖掘技术的基于代理的网络入侵检测系统模型.该模型由一定数量的代理组成,训练和检测过程完全不同与其它系统.由于代理的自学习能力,该系统具有自适应性和可扩展性.     

根据灰度值信息自适应窗口的半全局匹配

目的 立体匹配算法是立体视觉研究的关键点,算法的匹配精度和速度直接影响3维重建的效果。对于传统立体匹配算法来说,弱纹理区域、视差深度不连续区域和被遮挡区域的匹配精度依旧不理想,为此选择具有全局匹配算法和局部匹配算法部分优点、性能介于两种算法之间、且鲁棒性强的半全局立体匹配算法作为研究内容,提出自适应窗口与半全局立体匹配算法相结合的改进方向。方法 以通过AD（absolute difference）算法求匹配代价的半全局立体匹配算法为基础,首先改变算法匹配代价的计算方式,研究窗口大小对算法性能的影响,然后加入自适应窗口算法,研究自适应窗口对算法性能的影响,最后对改进算法进行算法性能评价与比较。结果 实验结果表明,匹配窗口的选择能够影响匹配算法性能、提高算法的适用范围,自适应窗口的加入能够提高算法匹配精度特别是深度不连续区域的匹配精度,并有效降低算法运行时间,对Cones测试图像集,改进的算法较改进前误匹配率在3个测试区域平均减少2.29%;对于所有测试图像集,算法运行时间较加入自适应窗口前平均减少28.5%。结论 加入自适应窗口的半全局立体匹配算法具有更优的算法性能,能够根据应用场景调节算法匹配精度和匹配速度。