一种蚁群优化的WSN分布式入侵检测模型

针对无线传感器网络中入侵者能在多个节点上移动并隐藏攻击源头的特点,提出了一种基于蚁群优化的无线传感器网络分布式入侵检测模型。分析了现有入侵检测对未知攻击检测率和误报率方面的不足,在此基础上提出了分布式入侵检测的体系结构,设计了基于蚁群优化的入侵检测算法。仿真实验表明提出的方案能够提高无线传感器网络对未知攻击的检测率和降低对正常网络流量的误报率,较好地解决了路由攻击、Sinkhole攻击问题,能够降低入侵检测的能耗。     

基于词袋模型的分布式拒绝服务攻击检测

针对分布式拒绝服务（DDoS）攻击有效荷载快速变化,人工干预需要依赖经验设定预警阈值以及异常流量特征码更新不及时等问题,提出一种基于二进制流量关键点词袋（BSP-BoW）模型的DDoS攻击检测算法。该算法可以自动从当前网络的流量数据中训练得到流量关键点（SP）,针对不同拓扑网络进行自适应异常检测,减少频繁更新特征集带来的人工成本。首先,对已有的攻击流量和正常流量进行均值聚类,寻找网络流量中的SP;然后,将原有的流量转化映射到相应SP上使用直方图进行形式化表达;最后,通过欧氏距离进行DDoS攻击的分类检测。在公开数据库DARPA LLDOS1.0上的实验结果表明,所提算法的异常网络流量识别率优于现有的局部加权学习（LWL）、支持向量机（SVM）、随机树（Random Tree）、logistic回归分析（logistic）、贝叶斯（NB）等方法。所提的基于词袋聚类模型算法在拒绝服务攻击的异常流量识别中有很好的识别效果和泛化能力,适合部署在中小企业（SME）网络流量设备上。     

分布式网络异常攻击检测模型仿真分析

针对传统的异常攻击检测方法主要以异常攻击行为规则与网络数据隶属度大小进行判别,只能针对已知异常攻击进行检测,对新型异常攻击,检测算法率低,计算数据量大的问题。提出一种新的分布式网络异常攻击检测方式,通过对分布式网络内数据进行迭代聚类将正常和异常数据进行分类,建立矩阵映射模型进行数据矩阵对比,初步对异常攻击数据进行判断。在矩阵中建立粒子密度函数,通过粒子密度变化计算其异常攻击概率,最后对其数据进行加权和波滤确定数据异常攻击特征,建立攻击检测模型。仿真实验表明,优化的分布式网络异常攻击检测模型提高了异常数据攻击检测的自适应性,在网络信号受到攻击信号干扰情况下,仍然能够准确检测出带有攻击特征的小网络异常数据。有效提高了分布式网络的检测正确率,加快了检测速度和稳定性。     

大数据技术在计算机网络入侵检测中的研究

传统的网络入侵检测技术无法识别错综复杂的网络攻击,提出以大数据技术构建网络入侵检测模型,采用数据挖掘中聚类、分类和关联规则算法自动识别网络中攻击模式,这种方式能够快速学习和提取网络攻击的特征形态。仿真实验表明,基于大数据技术的网络入侵检测技术能够获得较高的攻击模式识别准确率。     

一种基于克隆网络聚类的入侵检测方法

将免疫克隆策略用于网络结构的聚类中，能够得到克隆网络对数据进行合理的聚类分析。采用克隆网络对入侵检测数据进行学习，即用一个小规模网络来表示海量数据，完成数据的压缩表示。再利用图论中的最小生成树对克隆网络的结构进行聚类分析，从而获得描述正常行为和异常行为的数据特征，实现合理的聚类。该算法可实现对大规模无标识原始数据的入侵检测，区分正常和异常行为，并能检测到未知攻击。在KDD CUP99数据集中进行了对比仿真实验，实验结果表明：相对于以前的算法，该算法较大地提高了对已知攻击和未知攻击的入侵检测率，并降低了误警率。     

基于HMM时间序列预测和混沌模型的DDoS攻击检测方法

分布式拒绝服务（DDoS）攻击是网络环境中最具破坏力的攻击方式之一,现有基于机器学习的攻击检测方法往往直接将某时刻的特征值代入分类器进行分类,没有考虑相邻时刻特征之间的联系,因而导致误报率和漏报率较高。提出一种基于隐马尔科夫模型HMM时间序列预测和混沌模型的DDoS攻击检测方法。针对大规模攻击网络流量的突发性,定义网络流量加权特征NTWF和网络流平均速率NFAR二元组来描述网络流量的特点;然后采用层次聚类算法对训练集进行分类,以获取隐层状态HLS序列,利用NTWF序列和HLS序列对HMM进行监督学习获得状态转移矩阵和混淆矩阵,以预测NTWF序列;最后通过混沌模型分析NTWF序列的预测误差,结合基于NFAR的规则来识别攻击行为。实验结果表明,与同类方法相比,所提方法具有较低的误报率和漏报率。     

基于自适应卷积滤波的网络近邻入侵检测算法

深度无线传感组合网络中的近邻路由节点入侵具有载荷快速变化性,难以对新出现的攻击类型和网络异常行为进行有效识别,因此提出一种基于自适应卷积滤波的网络近邻入侵检测算法。在深度无线传感组合网络的传输信道中进行网络流量采集,构建网络入侵信号模型,在时间和频率上分析网络入侵信号的能量密度和攻击强度等特征信息,构建自适应卷积滤波器进行网络传输信息的盲源滤波和异常特征提取;采用联合时频分析方法进行网络近邻入侵特征信息的频谱参量估计,根据频谱特征的异常分布状态进行无线传感组合网络近邻入侵检测。仿真实验结果表明,采用该方法进行网络入侵检测的准确率较高,对未知的网络流量样本序列具有较高的识别能力和泛化能力,且所提算法优于传统的HHT检测算法、能量管理检测方法。     

基于优化聚类算法的安全审计模型

论文针对网络未知入侵类型检测问题,提出了基于优化聚类算法的安全审计模型。由于攻击类型未知,无法设定聚类数目,这是影响聚类算法在日志分析中应用的主要问题。论文针对这种问题提出了优化的聚类算法,该算法由聚合阶段和优化阶段两部分组成,能自动实现初始聚类集合建立和组合优化,并通过简单的人工干预可准确地标识入侵行为。该算法处理未知入侵检测问题是可行,具有良好的可扩展性,大大降低了算法对控制参数的依赖性,提高了该方法的实用性。     

基于注意力机制的入侵检测生成对抗网络模型

针对传统基于生成对抗网络（GAN）模型存在生成对抗样本无效且训练效率低等问题,提出一种基于注意力机制的GAN模型,通过在生成器模块引入注意力机制,保留攻击流量攻击功能的同时,对输入向量的不同部分设置不同权值,以实现对关键特征信息的抽取,使得模型可以作出更准确的判断,同时提高训练的效率。生成器根据注意力特征图可以抽取攻击流量中的非功能特征进行修改,提高训练效率,结合判别器判别反馈结果,最终生成器可以生成保留攻击功能的有效对抗样本。实验针对基于卷积神经网络（CNN）类的深度入侵检测系统进行测试,验证了此基于注意力机制的GAN对抗攻击模型生成的对抗流量可以有效降低深度入侵检测系统的识别率,整体识别率降低超过10%,在注意力模块的帮助下模型能够针对重要特征进行训练,使得收敛速度更快、效率更高。     

基于人工免疫分类器的入侵检测方法

针对入侵检测系统准确率不高和难以检测未知攻击的缺点,将有限资源人工免疫分类器模型算法AIRS应用于入侵检测系统.首先从KDD CUP 99数据集中选取出部分正常数据和攻击数据,对AIRS算法进行训练.然后根据训练得到的模型,对包含己知攻击和未知攻击的不同异常类比的数据集进行测试.实验结果表明:AIRS算法对已知攻击的检测率大大提高,对未知攻击的识别率也有很大的提高.     

基于蚁群聚类的入侵检测技术研究*

针对现有的入侵检测对未知攻击检测率和误检率方面的不足,提出了基于蚁群聚类的入侵检测系统。首先研究了基本蚁群优化算法,在此基础上提出基于蚁群聚类的入侵检测算法,进而设计了基于蚁群聚类的入侵检测系统体系结构。结果表明,蚁群聚类算法的检测率和误报率较K-means聚类算法有明显改善,因此,采用蚁群聚类算法的入侵检测系统具有较好地自动检测入侵并防止未知攻击的特点。     

基于智能蜂群算法的DDoS攻击检测系统

随着大数据应用的普及,DDoS攻击日益严重并已成为主要的网络安全问题。针对大数据环境下的DDoS攻击检测问题,设计了一种融合聚类和智能蜂群算法(DFSABC_elite)的DDoS攻击检测系统。该系统将聚类算法与智能蜂群算法相结合来进行数据流分类,用流量特征分布熵与广义似然比较判别因子来检测DDoS攻击数据流的特征,从而实现了DDoS攻击数据流的高效检测。实验结果显示,该系统在类内紧密度、类间分离度、聚类准确率、算法耗时和DDoS检测准确率方面明显优于基于并行化K-means的普通蜂群算法和基于并行化K-means算法的DDoS检测方法。     

基于数据挖掘的网络入侵检测模型

入侵检测技术已经成为网络安全的新兴领域。该文针对入侵检测系统的特点与不足,提出了一种基于数据挖掘算法的网络入侵检测系统模型,能高效地进行误用检测与异常检测,可降低漏报率和误报率,同时应用聚类算法对边界区进行分析,可发现未知攻击,具有很好的实用性。     

基于增量集成学习的动态自适应SDN入侵检测

随着SDN网络应用的推广,SDN网络的安全也越来越受到重视,基于模式识别的网络入侵检测由于无法一次性收集完备的训练数据集,使得对未知的入侵行为识别率不高.为提高入侵检测系统的自适应性,提出了增量集成学习算法,并用该算法解决SDN入侵检测问题.该算法利用滑动窗口法获得数据块,对新的数据块进行训练获得子分类器,然后依据在历史数据块和当前数据块的分类结果筛选子分类器进行集成,使得分类模型不断完善从而能够自适应的识别未知攻击行为.通过在NSL-KDD数据集上的实验结果可以看到,该算法可以提高未知攻击的识别率.     

混合高斯变分自编码器的聚类网络

目的 经典的聚类算法在处理高维数据时存在维数灾难等问题,使得计算成本大幅增加并且效果不佳。以自编码或变分自编码网络构建的聚类网络改善了聚类效果,但是自编码器提取的特征往往比较差,变分自编码器存在后验崩塌等问题,影响了聚类的结果。为此,本文提出了一种基于混合高斯变分自编码器的聚类网络。方法 使用混合高斯分布作为隐变量的先验分布构建变分自编码器,并以重建误差和隐变量先验与后验分布之间的KL散度（Kullback-Leibler divergence）构造自编码器的目标函数训练自编码网络;以训练获得的编码器对输入数据进行特征提取,结合聚类层构建聚类网络,以编码器隐层特征的软分配分布与软分配概率辅助目标分布之间的KL散度构建目标函数并训练聚类网络;变分自编码器采用卷积神经网络实现。结果 为了验证本文算法的有效性,在基准数据集MNIST （Modified National Institute of Standards and Technology Database）和Fashion-MNIST上评估了该网络的性能,聚类精度（accuracy,ACC）和标准互信息（normalized mutual information,NMI）指标在MNIST数据集上分别为95.86%和91%,在Fashion-MNIST数据集上分别为61.34%和62.5%,与现有方法相比性能有了不同程度的提升。结论 实验结果表明,本文网络取得了较好的聚类效果,且优于当前流行的多种聚类方法。     

网络未知攻击检测的深度学习方法

为了实现入侵检测系统对未知攻击类型的检测,提出基于深度学习的网络异常检测方法。利用置信度神经网络,对已知类型流量和未知攻击流量进行自适应判别。基于深度神经网络,制定置信度估计方法评估模型分类结果,训练模型面向已知类型流量时输出高置信度值,识别到未知攻击流量时输出低置信度值,从而实现对未知攻击网络流量的检测,并设计自适应损失平衡策略和基于学习自动机的动态正则化策略优化异常检测模型。在网络异常检测UNSW-NB15和CICIDS 2017数据集上进行仿真实验,评估模型效果。结果表明,该方法实现了未知攻击流量的有效检测,并提高了已知类型流量的分类效果,从而增强了入侵检测系统的综合性能。     

基于人工蜂群算法的计算机网络DDoS攻击检测方法

计算机网络在DDoS入侵下容易出现停止服务、网络崩溃,为了提高网络安全性,提出基于人工蜂群算法的计算机网络DDoS攻击检测方法。根据特征样本之间的相关性构建计算机网络DDoS攻击的自适应的入侵检测信息分析模型,根据网络数据流与潜在空间之间的映射关系,结合测试样本和学习样本之间特征差异性进行DDoS攻击数据特征提取,在基站上设置入侵检测数据处理终端,采用人工蜂群算法实现对计算机网络攻击检测的个体最优值和全局最优值寻优,根据人工蜂群的动态寻优和组合优化结果,实现对组合网络流量数据间的攻击信息特征提取和聚类分析,解决计算机网络DDoS攻击检测过程中的连续多变量优化问题。仿真测试结果表明,采用该方法进行计算机网络DDoS攻击检测的寻优能力较好,精度和效率高于传统方法。     

基于重建误差的任务型对话未知意图检测

现有未知意图检测模型通常将语句映射到向量空间,并使用局部异常因子算法定义密度较小的特征点为未知意图,但经交叉熵损失训练的已知意图特征簇更加狭长,簇内的整体间距、密度和分散情况不均匀,进而增加了检测难度。针对上述问题,提出一种基于自动编码器重建误差的未知意图检测模型。在训练阶段,使用融入标签知识的联合损失函数训练已知意图分类器,使已知意图特征类间距离大且类内距离小,并利用这些特征训练一个仅能获取已知意图信息的自动编码器。在测试阶段,利用自动编码器将重建误差较大的样本视为未知意图,其余样本视为已知意图正常分类。在SNIPS数据集上的实验结果表明,在已知意图占比为25%、50%、75%时,该模型的Macro F1得分相比于表现最优的增强语义的高斯混合损失基线模型分别提升了16.93%、1.14%和2.37%,能够检测到更多的未知意图样本,同时在类别分布极不平衡的ATIS数据集上也有较好的性能表现。     

基于入侵意图的复合攻击检测和预测算法

复合攻击是网络入侵的主要形式之一.如何检测复合攻击是当前入侵检测研究的一个重要方向.这项研究对入侵检测的作用主要表现在以下几个方面:(1)减少误报和漏报;(2)实现对未知攻击的检测;(3)攻击预测.尤其是第3点,可能使被动的检测发展为主动的有针对性的防御.经过对复合攻击模式的大量研究,提出了一种基于入侵意图的复合攻击检测和预测算法.该算法采用扩展的有向图来表示攻击类别及其逻辑关系,按照后向匹配和缺项匹配的方式对报警进行关联,根据已关联攻击链的累计权值和攻击逻辑图中各分支的权值计算其可能性.该算法可以实现复合攻击的检测,在一定程度上预测即将发生的攻击,并且对未知攻击有一定的检测能力,还可以大幅度地减少误报和一定的漏报.最后介绍了相应的实验过程和结果分析,证明了算法的有效性.     

基于融合变分图注意自编码器的深度聚类模型

聚类作为数据挖掘和机器学习中最基本的任务之一,在各种现实世界任务中已得到广泛应用.随着深度学习的发展,深度聚类成为一个研究热点.现有的深度聚类算法主要从节点表征学习或者结构表征学习两个方面入手,较少考虑同时将这两种信息进行融合以完成表征学习.提出一种融合变分图注意自编码器的深度聚类模型FVGTAEDC(Deep Clustering Model Based on Fusion Varitional Graph Attention Self-encoder),此模型通过联合自编码器和变分图注意自编码器进行聚类,模型中自编码器将变分图注意自编码器从网络中学习(低阶和高阶)结构表示进行集成,随后从原始数据中学习特征表示.在两个模块训练的同时,为了适应聚类任务,将自编码器模块融合节点和结构信息的表示特征进行自监督聚类训练.通过综合聚类损失、自编码器重构数据损失、变分图注意自编码器重构邻接矩阵损失、后验概率分布与先验概率分布相对熵损失,该模型可以有效聚合节点的属性和网络的结构,同时优化聚类标签分配和学习适合于聚类的表示特征.综合实验证明,该方法在5个现实数据集上的聚类效果均优于当前先进的深度聚类方法.