基于改进多目标遗传算法的入侵检测集成方法

针对现有入侵检测算法中存在着对不同类型攻击检测的不均衡性以及冗余或无用特征导致的检测模型复杂与检测精度下降的问题,提出了一种基于改进多目标遗传算法的入侵检测集成方法.利用改进的多目标遗传算法生成检测率与误报率均衡优化的最优特征子集的集合,并采用选择性集成方法挑选精确的、具有多样性的基分类器构造集成入侵检测模型.实验结果表明,该算法能够有效地解决入侵检测中存在的特征选择问题,并在保证较高检测精度的基础上,对不同类型的攻击检测具有良好的均衡性.     

基于改进非广延熵特征提取的双随机森林实时入侵检测方法

在网络骨干链路的高速、大数据量环境下,相对于正常数据,攻击及异常数据相对较少,进行实时入侵检测难度大。针对此问题,提出了一种基于改进非广延熵特征提取和双随机森林的实时入侵检测方法。利用非广延熵,提取出流量属性取值分布的多维特征,通过对非广延熵的改进来降低特征间的相关性。使用完整的特征样本集建立第一个随机森林检测模型,使用包含攻击数据的特征样本子集建立第二个随机森林检测模型,通过双随机森林检测算法实现对少量异常的有效检测。实验结果表明,该方法能够在有限流量信息的基础上获得较高的检测精确率和召回率,其时间和空间复杂度适当,适合于对骨干链路的实时入侵检测。     

面向网络入侵检测的GAN-SDAE-RF模型研究

针对传统机器学习方法在处理不平衡的海量高维数据时罕见攻击类检测率低的问题,提出了一种基于深度学习的随机森林算法的入侵检测模型,为了避免传统的随机森林面对高维数据和不平衡数据时分类精度低、稳定性差和对罕见攻击类检测率低的问题,引入生成式对抗网络（GAN）和栈式降噪自编码器（SDAE）对随机森林算法（RF）进行改进。将罕见攻击类数据集输入GAN神经网络中,生成新的攻击类样本,改善网络入侵数据在样本集中不均衡分布的情况,通过堆叠深层的SDAE逐层抽取网络数据的分布规则,并结合各个编码层的系数惩罚和重构误差,来确定高维数据中与入侵行为相关的特征,基于降维后的特征数据构建森林决策树。采用UNSW-NB15数据集的实验结果表明,与SVM、KNN、CNN、LSTM、DBN方法相比,GAN-SDAE-RF整体检测准确率平均提高了9.39%、误报率和漏报率平均降低了9%和15.24%以及在少数类Analysis、Shellcode、Backdoor、Worms上检测率分别提高了26.8%、27.98%、27.85%、39.97%。     

非平衡技术在高速网络入侵检测中的应用

针对现有的高速网络入侵检测系统丢包率高、检测速度慢以及检测算法对不同类型攻击检测的非平衡性等问题,提出了采用两阶段的负载均衡策略的检测模型。在线检测阶段对网络数据包按协议类型进行分流的检测,离线建模阶段对不同协议类型的数据进行学习建模,供在线部分检测。在讨论非平衡数据处理的各种采样技术基础上,采用改进后的过抽样少数样本合成过采样技术（SMOTE）对网络数据进行预处理,采用AdaBoost 、随机森林算法等进行分类。另外对特征选取等方面进行了实验,结果表明SMOTE过抽样可提高各少数类的检测,随机森林算法分类效果好而且建模所用的时间稳定。     

基于无指导离群点检测的网络入侵检测技术

讨论了基于无指导离群点检测的网络入侵检测技术及实现框架.技术方法首先在网络数据包上通过改进的随机森林算法建立了网络服务模型,然后通过确定网络服务模型上的离群点实现网络入侵检测.还通过在KDD'99数据集上对所提出的技术实现入侵检测的实验及结果进行了讨论并与其他无指导异常检测方法进行了比较.     

基于人工免疫分类器的入侵检测方法

针对入侵检测系统准确率不高和难以检测未知攻击的缺点,将有限资源人工免疫分类器模型算法AIRS应用于入侵检测系统.首先从KDD CUP 99数据集中选取出部分正常数据和攻击数据,对AIRS算法进行训练.然后根据训练得到的模型,对包含己知攻击和未知攻击的不同异常类比的数据集进行测试.实验结果表明:AIRS算法对已知攻击的检测率大大提高,对未知攻击的识别率也有很大的提高.     

XGBoost-RF的物联网入侵检测模型

针对物联网入侵检测中检测数据不平衡导致的分类不准确的问题,提出了一种基于极端梯度提升树和随机森林相结合的物联网入侵检测模型.首先,针对物联网应用环境中产生的大量数据,对数据进行数据归一化处理.然后,利用XGBoost算法对其中的特征进行重要性评分,选择最优特征.最后,结合改进的随机森林算法,解决因数据不平衡导致的分类不准确的问题.仿真试验表明所提模型能有效的进行数据最优特征选择及合理地检测分类,同RF算法、SVM算法、Tree-SVM模型和RF-GDBT模型相比,所提模型的检测准确率有效改善.     

一种用于入侵检测的改进的动态机器学习模型

介绍并改进了一种基于动态模型的，用于入侵检测系统的机器学习算法。该算法抽取出IP分组和TCP连接的23个属性域，经过训练得到规则集。结合改进后的模型，使用该规则集对1999 DARPA入侵检测离线评估数据集进行了测试，取得了较好的结果。     

基于增量式GHSOM神经网络模型的入侵检测研究

传统的网络入侵检测方法利用已知类型的攻击样本以离线的方式训练入侵检测模型,虽然对已知攻击类型具有较高的检测率,但是不能识别网络上新出现的攻击类型.这样的入侵检测系统存在着建立系统的速度慢、模型更新代价高等不足,面对规模日益扩大的网络和层出不穷的攻击,缺乏自适应性和扩展性,难以检测出网络上新出现的攻击类型.文中对GHSOM(Growing Hierarchical Self-Organizing Maps)神经网络模型进行了扩展,提出了一种基于增量式GHSOM神经网络模型的网络入侵检测方法,在不破坏已学习过的知识的同时,对在线检测过程中新出现的攻击类型进行增量式学习,实现对入侵检测模型的动态扩展.作者开发了一个基于增量式GHSOM神经网络模型的在线网络入侵检测原型系统,在局域网环境下开展了在线入侵检测实验.实验结果表明增量式GHSOM入侵检测方法具有动态自适应性,能够实现在线检测过程中对GHSOM模型的动态更新,而且对于网络上新出现的攻击类型,增量式GHSOM算法与传统GHSOM算法的检测率相当.     

网络入侵检测中属性分组的随机森林算法

入侵检测是数据挖掘的一个重要应用领域,目前基于数据挖掘的入侵检测方法很多,而基于随机森林的方法具有比较好的性能,但仍存在一些问题。通过分析网络入侵数据得到不同输入属性与分类结果的关系,提出了一种基于属性分组的随机森林算法,并应用该算法对KDD’99数据集分类。实验结果表明,该算法的训练速度和分类准确率都比原算法有较大提高。     

基于有穷自动机的网络扫描检测算法研究与实现

网络扫描通常是入侵的前奏，准确的检测网络扫描可以对网络入侵起到重要的预警作用．现有的网络扫描检测机制都过于简单且易于被攻击者逃避．提出了一种基于有穷自动机模型检测网络扫描的入侵预警算法（FSA-based intrusion pre—alert algorithm，SBIPA），用自动机状态迁移图表达扫描报文序列，同时设计了3种不同的机制基于自动机模型对扫描事件进行检测，并讨论了算法实现中的关键技术．实验表明，该算法能在更准确的检测普通扫描的同时，对分布式、多类型混杂扫描等现有技术难以检测的隐蔽扫描也有很好的检测效果。有效弥补了现有同类技术的不足．     

粒子群算法和K近邻相融合的网络入侵检测

为了提高网络入侵检测效果,提出一种粒子群优化算法（PSO）和K最近邻相融（KNN）的网络入侵检测模型（PSO-KNN）。首先特征子集和KNN参数作为一个粒子,然后通过粒子之间的信息交流和相互协作,找到最优特征子集和KNN参数,从而建立最优网络入侵检测模型,最后利用KDD 1999数据集对模型性能进行测试。结果表明,相对于其他入侵检测算法,PSO-KNN更有效地精简网络数据特征,提高分类算法的网络入侵检测速度及检测率。     

粒子群模糊聚类算法在入侵检测中的研究

目前模糊C均值聚类算法广泛应用于入侵检测算法中,但是存在聚类数目难以确定,目标函数的局部极小点使得算法容易陷入局部最优的现象,影响入侵检测的准确率。鉴于此,文中提出一种基于粒子群算法的模糊聚类算法,引入PSO全局搜索能力和粒子翻转变异操作,避免传统C均值聚类算法对孤立点敏感,容易陷入局部最优,过早收敛的问题。最后通过实验结果表明,新算法检测率明显优于C均值聚类算法,能很好地应用于目前入侵检测系统之中。     

基于网络协议解析的入侵检测系统的研究

传统的基于模式匹配的入侵检测系统没有充分利用网络协议的规则,存在计算量大、准确率低等缺点。本文在网络协议分析的基础上,提出了基于网络协议解析的新的入侵检测系统模型。该系统能大大减少数据运算匹配量,为基于协议解析的入侵检测方法提供了一个更加广阔的发展平台。     

基于改进模拟退火的优化K-means算法

针对K-means算法全局搜索能力的不足,提出了一种基于改进模拟退火的优化K-means(SA-KM)的聚类算法,该算法克服了K-means聚类算法对初始聚类中心选择敏感问题。为了提高SA-KM算法的聚类划分质量,提出了一种用于评价聚类结果的评价函数,该函数更为准确地反映类内距离和类间距离。仿真结果表明使用该算法在进行入侵检测时,能够检测出多种类型的入侵行为,能够保持较高的网络入侵检测率和较低网络入侵的误报率。     

基于SMOTE和GBDT的网络入侵检测方法研究

现有基于机器学习的入侵检测方法大多专注于提高整体检测率和降低整体的漏报率,忽视了少数类别的检测率和漏报率。为此,提出了一种基于SMOTE (Synthetic Minority Oversampling Technique )和GBDT(Gradient Boosting Decision Tree)的入侵检测方法。其核心思想是首先在预处理阶段使用SMOTE技术提高少数类别的样本数量,且对多数类别样本降采样,最后在平衡数据集上训练GBDT分类器。利用KDD99数据集进行实验验证,并与在原始训练集上训练的分类器、KDD99竞赛的最好成绩对比,结果表明,该方法在保持较高的整体正确率的同时较大程度上降低了少数类的漏报率。     

基于人工免疫系统的入侵检测研究

人工免疫系统（AIS）作为解决入侵检测问题的一种方法,已经显示其突出的优点并得到快速发展。为使入侵检测系统的研究者更进一步了解基于AIS的入侵检测研究进展,回顾基于第1代和第2代AIS的入侵检测常用算法,并指出算法特点。阐述树突细胞算法（DCA）适合于解决入侵检测问题的优势,给出针对DCA算法的未来研究工作,包括该算法的形式化描述、通过分片思想实现DCA在线分析组件以及DCA输入数据的自动数据预处理。     

基于最近邻策略的入侵检测方法研究

针对目前网络入侵检测系统中,大多数网络异常检测技术仍存在误报率较高、对建立检测模型的数据要求过高、检测率不高等问题。从用户的传输行为出发,研究体现用户行为的数据报文中的IP地址、端口号、报文类型、报文长度,对异常检测的需求、审计数据的具体特征进行分析,提出了一种基于最近邻策略的用户传输行为入侵检测算法-IDNN算法。通过仿真实验,表明IDNN算法在针对不同用户应用服务行为的入侵检测中效果明显。     

基于排挤遗传算法的入侵检测方法

传统遗传算法在入侵检测系统中构造的规则单一,导致检测率低,为了构造更加精确和完备的入侵规则,提出了一种基于确定性排挤遗传的规则构造算法,该算法使用确定性排挤来产生下一代种群,能够有效保持种群多样性,获得全部最优解。给出了算法的步骤和仿真,以网络数据集KDDCup99为对象,详细分析了利用该算法来生成入侵规则的具体实现过程,对染色体编码和适应度函数进行了设计和实现。最后通过实验证明了此算法的有效性,可以较好地获得入侵检测规则。