基于数据随机性特征和极速学习机的加密数据流识别

为了在不解密加密数据的前提下获取加密数据流的类型信息,提出一种基于数据随机性特征和模式识别的加密数据流识别方法。该方法利用加密数据与非加密数据,或者不同类型加密数据0,1分布的随机性特性作为分类特征,再利用模式识别方法对不同数据进行建模,从而实现对不同类型数据的自动识别。首先利用NIST随机性测试方法对数据流进行分析,将得到的15类随机性测试得分作为分类特征;然后对不同类型的数据流分别建立分类模型;最后利用训练好的数据模型对未知数据流进行识别。仿真实验显示,与仅用单个随机性特征进行明密数据识别相比,采用模式识别方法可以将错分率由原来的60%以上下降到30%左右;进一步利用滤波器方法对15类随机性特征进行优化降维,平均错分率进一步下降到15%左右。     

基于改进KNN算法的网络数据流异常识别方法

传统识别方法未对异常数据流进行分类，导致识别正确率不高，提出基于改进K最邻近（K-Nearest Neighbor,KNN）算法的网络数据流异常识别方法。通过预处理异常数据流，提取异常数据流的特征，并以此作为基础，利用KNN算法统计异常数据流的类别，并分类所出现的异常数据。之后，通过计算不同网络环境下识别异常数据的时长，完成网络异常数据流的识别。在仿真实验中，与以往的网络数据流异常识别方法相比，提出的基于改进KNN算法的网络数据流异常识别方法具有更好的识别效果，识别正确率更高。     

基于危险理论的三级异常处理系统模型

针对基于传统免疫理论的异常检测系统的不足,研究了一个新的基于危险理论的三级异常处理系统模型.新的模型对异常数据流进行三级处理,第一级异常处理模块对危险进行检测并分离出非危险的误入侵数据,第二级模块处理的对象则是危险的异常入侵数据,对其进行适当的危险分类,最后在第三级模块将危险消除.此模型的设计提高了系统对"危险"的识别效率,有效的降低了危险的误报率和漏报率,并且具有较强的鲁棒性和学习认知能力.     

基于改进的SVM方法的异常检测研究

利用非参数检验的方法提取出对分类结果影响显著的特征变量,提出一种改进的 SVM多分类方法（D-SVM）,其融合了判别分析,可以解决样本不均衡导致的分类不准确和误报率高的问题。将多分类问题处理成一个个二分类问题,D-SVM既可以保持SVM较好的分类准确性,同时又可以不受样本不均衡的影响,具有较低的误报率。将 D-SVM 应用到 KDD99数据集,结果表明,该方法具有较高的分类准确性和较低的误报率。     

基于UDP统计指印混合模型的VoIP流量识别方法

针对VoIP加密负载流量识别的难题,提出一种基于UDP统计指印混合模型的VoIP流量识别方法,以提高VoIP流量的识别精度和分类稳定性.该模型改进了统计指印模型中基于单一的网络流相异度来判定流量类别的方法,将UDP流的统计特征与网络流的统计指印相异度结合以共同训练一个支持向量机分类模型,把基于分类阈值点的分类转换到基于多维特征的高维空间中的分类面的分类,综合运用包层次和流层次统计特征,降低了因网络不稳定造成的统计特征偏差对分类模型精确度的影响.实验结果表明,该模型对VoIP流量的分类精确度达到97％以上,与统计指印模型和支持向量机模型相比分类稳定性更好.     

基于决策树的P2P流量识别方法研究

针对新型P2P业务采用净荷加密和伪装端口等方法来逃避检测的问题,提出了一种基于决策树的P2P流量识别方法.该方法将决策树方法应用于网络流量识别领域,以适应网络流量的识别要求.决策树方法通过利用训练数据集中的信息熵来构建分类模型,并通过对分类模型的简单查找来完成未知网络流样本的分类.实验结果验证了C4.5决策树算法相比较Na(i)ve Bayes、Bayes Network算法,处理相对简单且计算量不大,具有较高的数据处理效率和分类精度,能够提高网络流量分类精度,更适用于P2P流量识别.     

基于实例迁移的数据流分类挖掘方法

为解决数据流分类过程中样本标注和概念漂移问题，提出了一种基于实例迁移的数据流分类挖掘模型.首先，该模型用支持向量机作学习器，用所得分类模型中的支持向量构建源领域，待分类的当前数据块为目标域.然后，借助互近邻思想在源域中挑选目标域中样本的真邻居进行实例迁移，避免发生负迁移.最后，通过合并目标域和迁移样本形成训练集，提高标注样本数量，增强模型的泛化能力.理论分析和实验结果表明，所提方法具有可行性，相比其它学习方法在分类准确性方面更具优势.     

基于聚类假设的数据流分类算法*

获取数据流上样本的真实类别的代价很高,因此标记所有样本的方式缺乏实用性,而随机标记部分样本又会导致模型的不稳定.针对上述问题,文中提出基于聚类假设的数据流分类算法.基于通过聚类算法分到同类中的样本可能具有相同类别这一聚类假设,利用训练数据集上的聚类结果拟合样本的分布情况,在分类阶段有目的性地选取很难分类或潜在概念漂移的样本更新模型.为了训练数据集上每个类别的样本,建立各自对应的基础分类器,当数据流中样本的类别消失或重现时,只需要冻结或激活与之对应的基础分类器,而无需再重新学习之前已经掌握的知识.实验表明,文中算法能够在适应概念漂移的前提下,减少更新模型需要的样本数量,并且取得和当前数据流上的分类算法相当或更好的分类效果.     

类别严重不均衡应用的在线数据流学习算法

集成式数据流挖掘是对存在概念漂移的数据流进行学习的重要方法。对于类别分布严重不均衡的应用,集成式数据流挖掘中数据块的学习方式导致样本数多的类别的分类精度高,样本数少的类别的分类精度低的问题,现有算法无法满足此类应用的需求。针对上述问题,对基于回忆机制的集成式数据流学习算法MAE(Memorizing based Adaptive Ensemble)进行改进,提出面向类别严重不均衡应用的在线数据流学习算法UMAE(Unbalanced data Lear-ning based on MAE)。UMAE算法为每个类别设置了一个样本滑动窗口,对于新到达的数据块,其样本依据自身的类别分别进入相应的滑动窗口,最后利用各类别滑动窗口内的样本构建用于在线学习的数据块。与5种典型的数据流挖掘算法的比较结果表明,UMAE算法在满足实时性的同时,不仅整体分类精度高,而且对于样本数很少的小类别的分类精度有大幅度提高;对于异常检测等类别分布严重不均衡的应用,UMAE算法的实用性明显优于其他算法。     

基于集成聚类的流量分类架构

流量分类是优化网络服务质量的基础与关键.机器学习算法利用数据流统计特征分类流量,对于识别加密私有协议流量具有重要意义.然而,特征偏置和类别不平衡是基于机器学习的流量分类研究所面临的两大挑战.特征偏置是指一些数据流统计特征在提高部分应用识别准确率的同时也降低了另外一部分应用识别的准确率.类别不平衡是指机器学习流量分类器对样本数较少的应用识别的准确率较低.为解决上述问题,提出了基于集成聚类的流量分类架构（traffic classification framework based on ensemble clustering,简称TCFEC）.TCFEC由多个基于不同特征子空间聚类的基分类器和一个最优决策部件构成,能够提高流量分类的准确率.具体而言,与传统的机器学习流量分类器相比,TCFEC的平均流准确率最高提升5%,字节准确率最高提升6%.