电子对抗系统网络入侵检测技术优化研究

近年来,随着互联网技术的飞速发展,网络入侵防御技术成为互联网安全研究领域中的重要课题。针对现有电子对抗系统存在的网络后台安全逻辑欠缺,导致系统安全度降低、外端数据监测机制断裂的问题,提出电子对抗系统网络入侵检测技术优化研究方法。采用网络电子数据动态交互流特征定向技术、数据溢出监测算法与数据完整度监测机制三大模组对现有问题进行针对性解决。从问题产生根源对电子对抗系统网络入侵检测技术进行优化,通过仿真实验测试表明,提出电子对抗系统网络入侵检测技术优化研究方法具有入侵源监测响应速度快、准确度高、扩展性强、应用性好的特点。     

基于CNN和LSTM深度网络的伪装用户入侵检测

用户伪装入侵检测技术作为一种主动式安全防护技术已成为当前的研究热点。现有的用户伪装入侵检测技术存在难以准确建模用户行为模式的缺陷。利用卷积神经网络(convolution neural network,CNN)处理局部关联性数据和特征提取的优势,以及长短期记忆(long short-term memory,LSTM)神经网络捕获数据时序性和长程依赖性的优势,设计了一种结合卷积和长短期记忆的深度神经网络(CCNN-LSTM)用于伪装入侵检测。该方法具有较强的学习能力,能自动学习数据的表征而无需人工提取复杂特征,在面对复杂高维的海量数据时具有较强的潜力。实验结果表明,该方法具有更高的检测率及更低的检测代价,其性能胜过多个基线系统。     

网络入侵特征优化检测方法仿真

网络入侵特征的伪装程度越来越高,使得入侵特征与正常数据特征在分类效果上的倾斜度越来越接近.传统的采用特征分类的入侵检测方法对训练入侵特征数据集的最佳类分布未知,都是假定误分类代价均等,只注重分类的精度敏感,忽视了类型间的区别,造成入侵检测不准.提出了一种敏感性数据挖掘的网络入侵特征检测算法.利用主成分分析方法,提取网络操作数据中的主成分,去除冗余数据,将网络入侵特征的敏感性引入到检测过程中,利用敏感性数据挖掘方法,获取网络操作数据中的恶意入侵操作行为的特征,从而完成网络入侵特征检测.实验结果表明,利用改进算法进行网络入侵特征优化检测,能够准确获取网络操作行为中的异常特征.     

面向Unix和Linux平台的网络用户伪装入侵检测

基于主机的入侵检测是目前网络安全领域研究的热点内容。提出了一种基于数据挖掘和变长序列匹配的用户伪装入侵检测方法,主要用于Unix或Linux平台上以shell命令为审计数据的主机型入侵检测系统。该方法针对用户行为复杂多变的特点以及审计数据的短时相关性,利用多种长度不同的shell命令短序列来描述用户行为模式,并基于数据挖掘技术中的序列支持度在用户界面层对网络合法用户的正常行为进行建模;在检测阶段,采用了基于变长序列匹配和判决值加权的检测方案,通过单调递增相似度函数赋值和加窗平滑滤噪对被监测用户当前行为的异常程度进行精确分析,能够有效降低误报率,增强了检测性能的稳定性。实验表明,同目前典型的伪装入侵检测方法相比,该方法在检测准确度和计算成本方面均具有较大优势,特别适用于在线检测。     

基于shell命令和多重行为模式挖掘的用户伪装攻击检测

伪装攻击是指非授权用户通过伪装成合法用户来获得访问关键数据或更高层访问权限的行为.近年来,伪装攻击检测在保障网络信息安全中发挥着越来越大的作用.文中提出一种新的用户伪装攻击检测方法.同现有的典型检测方法相比,该方法在训练阶段改进了对用户行为模式的表示方式,通过合理选择用户行为特征并基于阶梯式的序列模式支持度来建立合法用户的正常行为轮廓,提高了用户行为描述的准确性和对不同类型用户的适应性;在充分考虑shell命令审计数据时序特征的基础上,针对伪装攻击行为复杂多变的特点,提出基于多重行为模式并行挖掘和多门限联合判决的检测模型,并通过交叉验证和等量迭代逼近方法确定最佳门限参数,克服了单一序列模式检测模型在性能稳定性和容错能力方面的不足,在不明显增加计算成本的条件下大幅度提高了检测准确度.文中提出的方法已应用于实际检测系统,并表现出良好的检测性能.     

融合随机森林和梯度提升树的入侵检测研究

网络入侵检测系统作为一种保护网络免受攻击的安全防御技术,在保障计算机系统和网络安全领域起着非常重要的作用.针对网络入侵检测中数据不平衡的多分类问题,机器学习已被广泛用于入侵检测,比传统方法更智能、更准确.对现有的网络入侵检测多分类方法进行了改进研究,提出了一种融合随机森林模型进行特征转换、使用梯度提升决策树模型进行分类的入侵检测模型RF-GBDT,该模型主要分为特征选择、特征转换和分类器这3个部分.采用UNSW-NB15数据集对RF-GBDT模型进行了实验测试,与其他3种同领域的算法相比,RF-GBDT既缩短了训练时间,又具有较高的检测率和较低的误报率,在测试数据集上受试者工作特征曲线下的面积可达98.57%.RF-GBDT对于解决网络入侵检测数据不平衡的多分类问题具有较显著的优势,是一种切实可行的入侵检测方法.     

基于CNN和SVM的报文入侵检测方法

为了进一步提高网络异常检测的准确率, 本文在对现有入侵检测模型分析的基础上, 提出了一种基于卷积神经网络和支持向量机的网络报文入侵检测方法. 该方法首先将数据预处理成二维矩阵, 为了防止算法模型过拟合, 利用permutation函数将数据随机打乱, 然后利用卷积神经网络CNN从预处理后的数据中学习有效特征, 最后通过支持向量机SVM分类器将得到的向量进行分类处理. 在数据集选择上, 采用网络入侵检测常用的权威数据集—京都大学蜜罐系统数据集, 通过与GRU-Softmax、GRU-SVM等现有检测率较高的模型进行实验对比, 该模型在准确率上最高分别提高了19.39% 和12.83%, 进一步提升了网络异常检测的准确度. 同时, 本研究所提出方法在训练速度和测试速度上有较大提高.     

一种流异常自动检测系统的研究与实现

该文通过分析网络入侵检测的现状,给出了现有网络入侵检测技术的局限性,尤其针对现有网络流定性分析安全技术的不足,在分析了网络流的变化规律的基础上,指出可以利用网络流的灰色特性,预测网络流的异常。论文重点讨论了预测模型——GM(1,1)模型,在此基础上给出了一个基于灰色系统理论的网络流入侵检测系统——FAAD(流异常自动检测)网络监控系统。FAAD使用GM(1,1)模型,通过基于灰色系统理论的网络流异常检测算法,分析预测网络流值与实际网络流的偏差,判定网络是否受到入侵。论文最后给出了实验结果与该系统的评估。     

基于大数据技术的交互式网络恶意入侵行为检测方法沈溶溶

为提高交互式网络的安全性,优化现有网络入侵检测方法,引进大数据技术,以交互式网络为例,设计一种针对网络入侵行为的全新检测方法。首先,绘制基于大数据技术的网络恶意入侵行为特征提取流程图,进行网络数据的归一化与标准化处理;其次,计算信息流密集度,对恶意入侵行为在网络中表现的多种状态进行识别;最后,从模糊分析角度对入侵行为进行聚类,输出聚类结果,完成网络恶意入侵行为的检测。实验结果表明,该方法可以实现对网络中异常行为数据的高精度检测,检测率最高可以达到99.42%,能够为网络安全运营提供更好的保障。     

基于膨胀卷积和门控循环单元组合的入侵检测模型

基于机器学习的入侵检测模型在网络环境的安全保护中起着至关重要的作用。针对现有的网络入侵检测模型不能够对网络入侵数据特征进行充分学习的问题,将深度学习理论应用于入侵检测,提出了一种具有自动特征提取功能的深度网络模型。在该模型中,使用膨胀卷积来增大对信息的感受野并从中提取高级特征,使用门控循环单元（GRU）模型提取保留特征之间的长期依赖关系,再利用深层神经网络（DNN）对数据特征进行充分学习。与经典的机器学习分类器相比,该模型具有较高的检测率。在著名的KDD CUP99、NSL-KDD和UNSW-NB15数据集上进行的实验表明,该模型具有由于其他分类器的性能。具体来说,该模型在KDD CUP99数据集上的准确率为99.78%,在NSL-KDD数据集上的准确率为99.53%,在UNSW-NB15数据集上的准确率为93.12%。     

智能化入侵检测技术

在分析网络数据多位属性特征模型的基础上，结合当前入侵检测技术的发展现状，给出了网络入侵检测系统采用基于代理的分布式结构，以及利用数据挖掘技术和数据融合技术对于海量网络数据进行处理的解决方案，从大量网络数据中提取用户行为特征，从而提高系统检测的效率。     

入侵检测系统中特征匹配的改进

有效的入侵检测是保证系统安全所必不可少的。特征匹配是现有入侵检测系统所使用的基本方法。网络的高速发展,现有的特征匹配方法已成了高速网络环境下入侵检测的瓶颈。文章论述了通过在现有匹配方法的基础上引入协议分析的多层次入侵检测匹配,能减小目标匹配范围,提高系统检测效率。     

基于多层交叉熵的网络入侵数据自主防御系统设计

为了提高无线动态压缩感知网络的入侵检测能力,提出一种基于多层交叉熵的网络入侵数据自主防御系统设计方法,构建网络入侵数据检测方法,采用大数据挖掘技术进行无线动态压缩感知网络的入侵大数据挖掘,对挖掘的入侵数据采用频谱超分辨识别方法进行特征提取,构建无线动态压缩感知网络入侵检测的动态多层数据分布结构模型,采用关联映射方法进行网络入侵数据的信号结构重组,结合模糊自适应调度方法进行入侵数据的多层交叉熵调度,根据入侵数据的异常性特征分布实现自主检测和入侵特征定位。采用嵌入式的Linux开发工具进行网络入侵数据自主防御系统设计,结合程序加载和交叉编译实现入侵检测算法的自动读写和检测输出。测试结果表明,采用该方法进行网络入侵数据自主防御系统设计,提高了对入侵数据的检测主动性和准确性,从而提高了网络安全性。     

一种基于免疫入侵检测的攻击路径标志技术研究

针对免疫入侵检测和攻击源追踪结合技术进行了研究。采用分布式免疫入侵检测系统与数据包标记理论, 利用免疫入侵检测系统实时分析的网络数据特征指导路径标志技术动态处理, 使路径标志方法能动态自适应不同网络数据特征, 快速识别攻击路径, 为免疫入侵检测系统针对攻击路径培养特征检测器提供路径信息。实验表明这一方案能快速重构出攻击路径信息, 在收敛效率、误报率方面的表现优于目前的概率包标记算法, 能为免疫入侵检测系统提供特征路径信息。     

基于主成分分析和循环神经网络的入侵检测模型

针对网络数据特征维度高、现有的入侵检测方法准确率低的问题,该文提出了一种基于主成分分析(PCA)和循环神经网络(RNN)的入侵检测方法PCA-RNN。该方法先对网络数据进行预处理,通过主成分分析法对数据进行特征降维和降噪,找出含有最大信息的主成分特征子集,然后对处理后的数据使用循环神经网络进行分类训练。实验使用基于Python的TensorFlow平台,并采用NSL-KDD作为实验数据集。实验结果表明,与常用的基于机器学习和深度学习方法的入侵检测技术相比较,该文提出的入侵检测方法可有效地提高检测的准确性。     

基于数据挖掘的三层入侵检测分析模型

本文针对现有入侵检测系统的不足，根据入侵和正常访问模式各种不同的网络数据表现形式以及特定数据分组的出现规律。提出分层的网络检测模型，并在各个检测层建议运用不同的数据挖掘方法代替人工方法抽取入侵特征，以达到提高检测速度和克服人工抽取入侵特征的主观性的目的。其中运用的数据挖掘算法主要有：关联挖掘、数据分类。     

基于最近邻策略的入侵检测方法研究

针对目前网络入侵检测系统中,大多数网络异常检测技术仍存在误报率较高、对建立检测模型的数据要求过高、检测率不高等问题。从用户的传输行为出发,研究体现用户行为的数据报文中的IP地址、端口号、报文类型、报文长度,对异常检测的需求、审计数据的具体特征进行分析,提出了一种基于最近邻策略的用户传输行为入侵检测算法-IDNN算法。通过仿真实验,表明IDNN算法在针对不同用户应用服务行为的入侵检测中效果明显。     

在线自适应网络异常检测系统模型与算法

随着因特网等计算机网络应用的增加,安全问题越来越突出,对具有主动防御特征的入侵检测系统的需求日趋紧迫.提出一个轻量级的在线自适应网络异常检测系统模型,给出了相关算法.系统能够对实时网络数据流进行在线学习和检测,在少量指导下逐渐构建网络的正常模式库和入侵模式库,并根据网络使用特点动态进行更新.在检测阶段,系统能够对异常数据进行报警,并识别未曾见过的新入侵.系统结构简单,计算的时间复杂度和空间复杂度都很低,满足在线处理网络数据的要求.在DARPAKDD99入侵检测数据集上进行测试,10%训练集数据和测试集数据以数据流方式顺序一次输入系统,在40s之内系统完成所有学习和检测任务,并达到检测率91.32%和误报率0.43%的结果.实验结果表明系统实用性强,检测效果令人满意,而且在识别新入侵上有良好的表现.     

基于人工蜂群算法的分布式入侵攻击检测系统

针对网络入侵攻击检测系统检测准确率与计算效率较低的问题,提出一种基于人工蜂群算法的分布式入侵攻击检测系统。将训练集划分为若干的子集,使用特征选择方法提取特征集中类内相关性高、类外相关性低的特征;对人工蜂群算法进行修改,通过引入全局搜索能力强的算法提高人工蜂群算法的性能;根据优化的特征子集与规则集对网络入侵攻击行为进行分类处理。基于网络入侵数据集的实验结果表明,该系统实现了较高的检测性能和计算效率。