基于Apriori算法的攻击行为时序关联规则检测方法

针对当前大部分入侵检测系统(IDS)的报警信息只包括对单独攻击行为的描述,缺少攻击行为之间的关联规则,使得IDS数量巨大的报警数据难以理解的问题,探索并实现了一种通过将报警信息进行关联生成报警序列,并且使用Apriori算法挖掘报警序列中的攻击行为时序关联规则的方法.实验证明了该方法能检测出报警数据中蕴含的各攻击行为之间的时序关联规则.     

基于不确定性知识发现的入侵报警关联方法

针对入侵检测系统报警信息量大、琐碎和分散的问题,提出了一种基于不确定性知识发现的入侵报警关联方法。该方法的知识发现部分采用提出的不确定性序列模式发现算法—CWINEPI对报警数据进行序列模式发现,并将经过筛选后获得的入侵报警序列模式转化成入侵报警精简规则;再对入侵报警序列模式进行关联以获取攻击模式,并转化为入侵场景重建规则。入侵报警关联部分利用获取的入侵报警精简规则和入侵场景重建规则,以模式匹配方法构造报警关联引擎,对多个入侵检测系统上报的入侵报警进行关联。美国国防部高级研究计划局2000年入侵评测数据（DARPA2000）的报警数据验证了知识发现部分的良好性能;测试环境中的入侵报警的关联结果表明了该方法是高效、可行的。     

基于物元的流程报警系统重构算法及应用

根据流程工业的特点,提出了流程工业系统的物元表示方法.结合流程报警系统的特点,提出了面向时序数据的关联函数的计算方法和基于可拓学的系统重构方法.采用关联函数对重构系统进行聚类处理,建立了面向流程工业应用的实用系统重构算法.通过在乙烯裂解炉报警系统中的应用,验证了该算法的有效性.     

入侵检测系统报警聚合关联研究

针对现有入侵检测系统有产生的报警信息的重复率高、漏报高等问题,文中提出一种报警信息处理模型,该模型采用基于分类的属性相似度报警聚合,能更好的消除重复报警;引进的漏报算法,一定程度解决了现有报警关联如因果关联和序列关联应报警漏报而导致关联失败的问题,提高入侵检测系统的检准率。最终让管理员更加能够快速准确的判断攻击类型,并做相应处理。最后用darpa2000数据集测试实现的相应的算法。     

入侵检测系统报警聚合关联研究

针对现有入侵检测系统有产生的报警信息的重复率高、漏报高等问题,文中提出一种报警信息处理模型,该模型采用基于分类的属性相似度报警聚合,能更好的消除重复报警;引进的漏报算法,一定程度解决了现有报警关联如因果关联和序列关联应报警漏报而导致关联失败的问题,提高入侵检测系统的检准率。最终让管理员更加能够快速准确的判断攻击类型,并做相应处理。最后用darpa2000数据集测试实现的相应的算法。     

数据关联的时序有限自动机模型的建模方法

介绍了一种用时序自动机为数据关联问题建模的方法，对数据关联问题的研究方法做了新的尝试。目前有多种数据关联算法，对这些方法的分析和评价成为急于解决的问题。鉴于观测信息的时序性，该文以有限自动机(FA)为基础，将时间序列引入到有限自动机中，定义了时序有限自动机(TFA)，建立了数据关联(DA)的时序有限自动机模型，用于判断关联算法得到的航迹准确性。     

基于相关性分析的工业时序数据异常检测

多维时间序列上的异常检测,是时态数据分析的重要研究问题之一.近年来,工业互联网中传感器设备采集并积累了大量工业时间序列数据,这些数据具有模式多样、工况多变的特性,给异常检测方法的效率、效果和可靠性均提出更高要求.序列间相互影响、关联,其隐藏的相关性信息可以用于识别、解释异常问题.基于此,提出一种基于序列相关性分析的多维时间序列异常检测方法.首先对多维时间序列进行分段、标准化计算,得到相关性矩阵,提取量化的相关关系;然后建立了时序相关图模型,通过在时序相关图上的相关性强度划分时间序列团,进行时间序列团内、团间以及单维的异常检测.在真实的工业设备传感器数据集上进行了大量实验,实验结果验证了该方法在高维时序数据的异常检测任务上的有效性.通过对比实验,验证了该方法从性能上优于基于统计和基于机器学习模型的基准算法.该研究通过对高维时序数据相关性知识的挖掘,既节约了计算成本,又实现了对复杂模式的异常数据的精准识别.     

针对隐含约束条件的报警关联判别算法

因果关联法是当前报警关联所普遍采用的方法之一,这种方法的基础在于判断两条报警之间的关联性.然而,此项研究所面对的一个重要问题是判别报警之间的间接联系.因此,首先对报警关联的一般方法进行形式化描述,以此阐述传统的因果关联算法存在的局限性,并分析存在隐含约束关系时关联的难点所在,讨论各种隐含约束关系的存在形式,最终提出针对隐含约束关系的报警关联判别算法(CDAIR),特别是针对时间约束、定位约束和访问控制约束的判别方法.对该算法给出了相应实验的实验过程以及实验结果,证实了算法的有效性.     

煤矿瓦斯异常数据报警方法应用研究

对基于极差值、最小值、相关系数3种关联模型的煤矿瓦斯异常数据报警方法在应用中存在的2个传感器之间数据的延滞时间如何确定、传感器误差的影响、报警的准确率等问题进行了详细分析,提出应采用数据曲线比较法而不是距离风速计算法来确定延滞时间,同时发现巷道中瓦斯气团的运动速度低于风速的现象并对这一现象进行了初步解释;提出采用数理统计法消除传感器误差影响的方法;结合现场数据,对3种关联模型的准确率进行了验证,结果表明该报警方法完全可以在实际中有效应用。     

入侵检测系统中分层报警处理模型的研究*

针对入侵检测系统中报警泛滥的问题,提出了一种分层的报警数据处理模型,在不同层次对报警数据进行了过滤、归约、融合和关联。在过滤阶段,建立了知识库对误警进行了消除;在归约阶段,设计了归约算法,可以实时消除报警中的重复信息;在融合阶段,设计了一种基于聚类的融合算法,可以实时消除报警中的相似信息;在关联阶段,首先用频繁片段算法对训练数据进行了分析,发现其中的入侵模式,然后再以这些模式建立知识库,为基于聚类的关联算法提供攻击的相似信息以发现入侵模式。通过上述处理,减少了报警中的错误信息和无用信息,减轻了系统和管理员     

Alarm management practices in natural gas processing plants

In industrial data sets, groups of variables often move together. Monitoring all these variables may result in many nuisance alarms. However, it is possible to take advantage of redundant information to design and reduce the size of alarm sets. The present work reports the application of an alarm management protocol based on alarm priorization to three large Natural Gas Processing Plants, during a three year period, and also investigates the use of different correlation analyses techniques as tools to assist in the further reduction of the number of alarms. The results show that the adopted practices enable the reduction of alarms.     

一种基于时间序列面向预警的警报分析方法

本文通过对警报数据的观察和分析，提出了一种基于时间序列分析理论适合对大规模网络IDS警报数据进行实时宏观分析的新方法。该方法利用正常情况下每天IDS警报数的自相似性来建立IDS警报数的季节模型，并利用该模型和警报数在宏观上的关系对网络中出现的像DDoS和蠕虫等大规模入侵进行预警。理论分析和实验结果表明，此方法能及时发现网络中的大规模网络入侵并进行预警，并具有比基于网络流量异常的入侵预警方法准确和与IDS集成好的优点。     

基于相关性分析的网络故障预测

在网络管理领域,相关性分析愈来愈发挥出重要的作用。与传统的专家系统方法相比,相关性分析等数据挖掘方法,不仅能够有效克服知识获取、更新困难的瓶颈,而且,能够从海量网络管理信息中,快速挖掘出先前未知的却有潜在价值的信息和模式。通过对故障、告警数据的讨论分析,文章研究利用相关性分析,从历史告警序列数据中,挖掘潜在的相关性规则,讨论并定义了相关性的类型、相关性规则的表示语言、相关性规则的生成算法,最后讨论了运用相关性规则进行网络故障预测的方法。     

一种基于FSM的告警事件关联方法

对告警事件进行关联处理,去除冗余告警,是网络管理需要解决的一个关键问题。如果考虑事件间的时间关系,问题将变得更为复杂。因此,在充分考虑事件间的时间关系基础上,提出了一种基于有限状态机（FSM）的事件关联模型,并利用该模型设计了一个告警关联处理器,它能够正确地实现事件关联,有效减少冗余告警的发生。     

网络故障管理中的自动告警关联

研究了故障管理中的故障定位，提出了一套新的、完整的告警关联方案。告警的时间关联中采用了模糊逻辑推理事件之间的最佳时间关系。对关联窗口的选择进行了讨论，提出了一种新的关联窗口选择方法以保证故障的告警集合的完整性，并证明了其有效性。告警的聚类关联采用依赖关系图模型，给出了一种最大公因数贪心算法。通过分析对比该算法与完全搜索算法和传统贪心算法的复杂性，证明了其在故障告警域重叠度较小情况下的有效性。     

基于关联规则的通信网络告警相关性分析模型

在通信网络运行过程中．每天都会产生大量告警，将数据挖掘中的关联规则发现技术用于分析历史告警数据，可发现告警相关性规则。这些规则可辅助故障定位和告警过滤，以减轻网络管理员的工作强度，提高工作效率。本文分析了通信网络原始告警信息的特点，提出了一个基于关联规则的通信网络告警相关性分析模型，该模型通遏对原始告警数据进行预处理，不仅有效地解决了网络告警时间不同步问题，使得处理后的告警数据可直接用一般的关联规则挖掘工具发现告警相关规则，还大大地压缩了挖掘结果，提高了规则的准确率。初步的实验表明这种分析模型具有实用价值。     

基于改进GSP的电力通信告警关联挖掘研究

随着电力通信网络规模不断扩大,网架结构日益复杂,其网络告警产生的原因与机理也多种多样。面对繁多复杂的通信告警,需要减少对人工专家知识的依赖,提高故障定位的准确性和效率。论文分析了主流通信告警关联分析方法存在的不足,针对电力通信网络设备网元数量多、告警数据数量大等特点,将序列模式挖掘与网络拓扑约束相结合,有效提高了电力通信告警关联分析的效率和精度。通过算例分析,该方法对电力通信告警关联分析具有较好的适用性,对提升通信运维管理水平具有一定的实际意义。     

网络入侵检测系统中的警报聚类

到目前为止,网络管理员对入侵检测系统(IDS)所产生的警报还是以在辅助工具下的手工操作进行整理,从而得到一个高级别的攻击描述。为了有效融合多种入侵检测系统报警信息,提高警告的准确性,警报聚类自动分析工具被建议使用来产生高级别的攻击描述。除此之外,警报聚类自动分析工具还可以有效地分析威胁,融合不同的信息源,例如来自于不同IDS中的信息源。该文提出了新的警报聚类系统,以便把来自于多种IDS所产生的警报进行警报聚类,产生攻击描述。实验结果表明,通过警报聚类模块有效地总结攻击可以产生高级别的警报,并大幅度地减少了要提交给管理员的警报数量。此外,以这些高级别警报为基础还可以进一步地进行威胁分析。     

现代化工流程报警系统优化算法及应用

过量的流程报警信息给操作者的决策和诊断带来困难,根据现代化工流程报警的特点,提出基于动态模糊聚类算法对化工流程报警系统进行合理分组,采用模糊差异驱动决策算法对报警等级排序,在线优化流程报警系统,提高报警系统的有效性。结合乙烯裂解炉系统的报警优化验证了提出的优化算法的有效性,对现代化工过程参数报警系统管理和操作优化具有较强的实用性。