基于马尔科夫链的主机异常检测方法研究

提出了基于马尔科夫链模型的主机异常检测方法,首先提取特权进程的行为特征,并在此基础上构造Markov模型。由Markov模型产生的状态序列计算状态概率,根据状态序列概率来评价进程行为的异常情况。利用Markov模型的构造充分提取特权进程的局部行为特征的相互关系。实验表明该模型算法简单、实时性强、检测率高、误报率低、适合用于在线检测。     

基于Improved-HMM的进程行为异常检测

针对传统隐马尔可夫模型(HMM)状态转移概率仅与前一状态有关的不足,提出了一种改进的隐马尔可夫模型(Im-proved-HMM),该模型考虑到状态转移概率与前两时刻状态相关,旨在提高异常检测准确率。用基于Improved-HMM的Baum-Welch(BW)算法对正常进程行为进行建模,并采用滑动窗口的方法,检测进程行为是否处于异常状态。实验结果表明,该模型的检测准确率高于传统的HMM模型,能及时、准确检测到进程行为的异常。     

基于改进PCA的古龙酸工业发酵过程关键阶段识别

针对古龙酸工业发酵过程动态特性和主元分析的特点,提出了基于时滞窗口的主成分分析方法来辨识发酵过程不同阶段。该方法首先确定与发酵过程的状态相关的在线变量数据,不需要历史数据,仅利用当前批次的数据。为了获得发酵过程的动态关系,引入时滞窗口,t时刻的动态系统状态由[t-D,t]时间段的测量值来表征,而不仅仅是t时刻。建立基于在线测量数据的带时滞窗口主成分分析,利用主成分分析后的主元计算统计指标Hotelling’s T2随时间的变化曲线。曲线中的奇异点包含动态行为更多的信息,用来检测不同发酵阶段的变动,可用于实时指导离线采样分析的时间,对提高生产过程的监控水平有重要意义。     

基于系统调用和齐次Markov链模型的程序行为异常检测

异常检测是目前入侵检测领域研究的热点内容.提出一种新的基于系统调用和Markov链模型的程序行为异常检测方法,该方法利用一阶齐次Markov链对主机系统中特权程序的正常行为进行建模,将Markov链的状态同特权程序运行时所产生的系统调用联系在一起,并引入一个附加状态;Markov链参数的计算中采用了各态历经性假设;在检测阶段,基于状态序列的出现概率对特权程序当前行为的异常程度进行分析,并根据Markov链状态的实际含义和程序行为的特点,提供了两种可选的判决方案.同现有的基于隐Markov模型和基于人工免疫原理的检测方法相比,提出的方法兼顾了计算成本和检测准确度,特别适用于在线检测.该方法已应用于实际入侵检测系统,并表现出良好的检测性能.     

基于偏爱度的多步Markov网页预测模型

随着WWW的迅速扩张和网络用户的急剧增加,准确预测Web用户的访问行为对减少用户的感知延时、提高网络服务质量具有重要作用。文章分析了传统Markov模型的优缺点,针对低阶Markov模型准确率不高,而高阶Markov模型状态空间复杂度较高的缺点,提出了一种新的K步Markov模型（K-Step Markov Model,K-SMM）,并引入了偏爱度的概念,建立了基于偏爱度的多步Markov网页预测模型（Preferred K-Step Markov Model,PKSMM）。实验结果表明,该模型可以获得更高的预测准确率与覆盖率,并能有效地降低存储复杂度。     

基于隐Markov模型的数据库异常检测技术

首先提出了一个刻画数据库用户正常行为的隐Markov模型,在此基础上设计了一个数据库异常检测算法.该算法在判断某个用户的操作序列是否发生异常的过程中,针对观测序列长度不断增加,但P{O/λ}观测值却越来越小的情况,引入了滑动窗口概念.算法中将用户操作序列划分为长度可调的滑动窗口,对该窗口中的序列X进行P{X/λ}计算,如果窗口的P{X/λ}值低于给定阈值ε,则该窗口中的短序列标记为"异常",如果异常短序列数目与总短序列数目之比超过另一给定的阈值δκ,就判断该数据库用户的行为异常.此外,还讨论了隐Markov模型参数设定和阈值选取等问题.     

基于矢量量化分析的有监督聚类异常检测方法研究

将聚类分析应用于监督学习,提出了基于矢量量化分析与Markov模型相结合的入侵检测方法.首先利用矢量量化方法对正常特权进程的短系统调用序列进行聚类分析,进而利用Markov模型来学习聚类之间的时序关系.由Markov模型产生的状态序列计算状态概率,根据状态序列概率来评价进程行为的异常情况.在矢量量化中利用动态分裂算法对短系统调用序列进行聚类分析,充分提取特权进程的局部行为特征的相互关系,因此可以在训练集很小的条件下使模型更精确、检测能力大大增强.实验表明,该算法准确率高、所需的训练集小(训练量小)、实时性强和占用系统资源少.     

半监督在线增量自学习异常检测方法研究

在深入分析现有基于监督学习和非监督学习方法的缺点后,提出了一个新颖的基于K-means与Markov模型相结合的半监督异常检测方法.半监督方法的学习样本包括已标示类别的样本和未标示样本,并且通过对已标示样本的学习来指导对未标示样本的学习来提高识别率.方法首先将经过标示的(正常的)系统调用序列投影到高维空间进行有监督聚类后,利用Markov模型来学习聚类间的时序关系,建立起正常行为的初始模型.由Markov模型产生的状态序列计算状态概率,根据状态序列概率来评价进程行为的异常情况.正常行为模型由2种关系确定:①空间分布关系(聚类);②空间的时序关系(Markov模型).在初始模型的导引下对未标示的序列进行学习,利用迭代过程对模型进行改进.实验表明,该算法能够在已标示样本较少的情况下通过对未标示样本的学习来改善模型的检测性能,达到在线增量学习的目的.     

基于特征的汉语词性标注模型

在隐马尔可夫模型的基础上提出了基于词汇特征的汉语词性标注模型．此模型不但考虑系统t时刻的状态(词类)对r l时刻的状态的影响，还把t时刻的观察(词)对t l时刻的状态的影响考虑进去，使模型更加精确．由于观察的数目较大，构造观察-状态转移概率矩阵的方法难以实用，于是给观察标以特征，并训练特征-状态转移概率矩阵，使概率矩阵占用较少的存储空间，实现了模型的精确和实用性的统一.     

Markov切换系统的随机稳定性分析

根据混合系统离散状态的动态行为和Markov链的状态也是离散的特点,提出了一类离散状态的动态行为是Markov链的混合系统。与传统的混合系统相比,这类系统能够刻画出混合系统离散动态行为的随机性,可以用来描述系统受到外界环境因素制约和内部突发事件等随机因素影响而发生变化的动态行为。根据动态系统的稳定性定义以及随机过程理论,给出了Markov线性切换系统的随机稳定性定义,并且分析了Markov线性切换系统的随机稳定性问题,给出了判定随机稳定性的充分必要条件。     

A model of extended, semisystematic visual search

OBJECTIVE: A model of semisystematic search was sought that could account for both memory retrieval and other performance-shaping factors. BACKGROUND: Visual search is an important aspect of many examination and monitoring tasks. As a result, visual search performance has been the topic of many empirical investigations. These investigations have reported that individual search performance depends on participant factors such as search behavior, which has motivated the development of models of visual search that incorporate this behavior. Search behavior ranges from random to strictly systematic; variation in behavior is commonly assumed to be caused by differences in memory retrieval and search strategy. METHODS: This model ultimately took the form of a discrete-time nonstationary Markov process. RESULTS: It yields both performance and process measures that include accuracy, time to perception, task time, and coverage while avoiding the statistical difficulties inherent to simulations. In particular, it was seen that as the search behavior becomes more systematic, expected coverage and accuracy increase while expected task time decreases. CONCLUSION: In addition to explaining these outcomes and their interrelationships from a theoretical standpoint, the model can predict these outcomes in practice to a certain extent as it can create an envelope defined by best- and worst-case search performance. APPLICATION: The model also has the capability of supporting assessment. That is, it can be used to assess the effectiveness of an individual's search performance, and to provide possible explanations for this performance, through the use of one or more of the output measures.     

Shape-and-behavior encoded tracking of bee dances

Behavior analysis of social insects has garnered impetus in recent years and has led to some advances in fields like control systems, flight navigation etc. Manual labeling of insect motions required for analyzing the behaviors of insects requires significant investment of time and effort. In this paper, we propose certain general principles that help in simultaneous automatic tracking and behavior analysis with applications in tracking bees and recognizing specific behaviors exhibited by them. The state space for tracking is defined using position, orientation and the current behavior of the insect being tracked. The position and orientation are parametrized using a shape model while the behavior is explicitly modeled using a three-tier hierarchical motion model. The first tier (dynamics) models the local motions exhibited and the models built in this tier act as a vocabulary for behavior modeling. The second tier is a Markov motion model built on top of the local motion vocabulary which serves as the behavior model. The third tier of the hierarchy models the switching between behaviors and this is also modeled as a Markov model. We address issues in learning the three-tier behavioral model, in discriminating between models, detecting and in modeling abnormal behaviors. Another important aspect of this work is that it leads to joint tracking and behavior analysis instead of the traditional track and then recognize approach. We apply these principles for tracking bees in a hive while they are executing the waggle dance and the round dance.     

TOP-N选择Markov预测模型

分析了访问用户和浏览器的行为,研究了现存的Markov预取模型,并分析了Markov预测模型的本质,在此基础上,提出了基于TOP N选择的Markov预测模型。该模型利用Web访问日志中请求次数大于N的URL生成TOP N,根据用户的访问会话生成Markov链。如果用户当前的访问会话与Markov链匹配,该Markov的下一URL在TOP N中,就把它取到本地缓存。实验表明,该预测模型能有效提高预测精度和命中率,在一定程度上还减少了带宽的需求。     

基于加权马尔可夫链的主动用户行为预测模型

建立有效的用户行为预测模型,准确地预测用户的上网行为,是当前网络主动管理地关键,传统的Markov模型是一种简单而有效的预测模型,但它存在测准确率低、预测覆盖率低以及存储复杂度高等缺点.提出了基于加权马尔可夫链模型,通过分析用户行为特征和最优状态分类的方法,预测网络用户行为.最后通过实验结果表明了该模型的可行性和实用性...     

基于高斯混合隐马尔科夫模型的自由换道识别

驾驶辅助系统被认为是解决交通安全问题的有效手段, 开发驾驶辅助系统的基础是对车辆的行为进行准确的识别, 以应用于车辆安全预警, 路径规划, 智能导航等方面. 目前存在的基于支持向量机模型, 隐马尔科夫模型, 卷积神经网络等行为识别方法还存在计算量与精度平衡的问题. 本文结合了隐马尔科夫模型与高斯混合模型, 提出了高斯混合隐马尔科夫模型, 利用美国联邦公路管理局NGSIM数据集对此方法进行了实验验证, 结果表明该方法对自由换道行为识别具有较高的精度. 本文还对高斯混合隐马尔科夫模型的实验参数进行了优化, 以期达到最好的识别效果, 为未来智能驾驶的车辆行为识别提供了参考.     

一种基于BP—HMM的字符识别方法

传统隐马尔柯夫模型广泛地应用在字符识别中,并具有较强的识别能力,但不能兼顾每个模型对其对应目标有很强的识别能力和模型之间差异性的最大化。该文提出的BP—隐马尔柯夫模型通过训练样本的不断训练,调整自身参数,解决了传统隐马尔柯夫模型不能解决的问题。计算机仿真结果表明:BP—隐马尔柯夫模型较传统的隐马尔柯夫模型有更强的抗干扰能力和更高的字符识别率。     

开放网络环境下软件运行时故障诊断研究

在开放网络环境中,软件运行时的故障诊断与查找是必要的.利用软件运行时的外在表现特征与所有可能的故障建立隐马尔可夫模型,在应用中收集软件运行时外在表现特征的数据,可以诊断出用普通方法不易诊断出的软件故障.在建立隐马尔可夫模型过程中,文中提出使用"3σ原则"来离散化连续型随机变量,其在变量离散化及确定参数先验值方面具有独特优势,操作既方便又符合实际情况,且具有严格的理论依据;同时,给出一个开放网络环境的应用案例.通过仿真实验,证实本文所提出的方法在软件运行时故障诊断方面较其他方法具有独特的优势.     

Measuring business cycle turning points in Japan with the Markov Switching Panel model

This paper employs a Markov Switching Panel model to measure business cycle turning points in Japan. This Markov Switching Panel model is simple and can easily be estimated following Hamilton's [J.D. Hamilton, A new approach to the economic analysis of nonstationary time series and the business cycle, Econometrica 57 (1989) 357–384] method. We find that this model is highly capable of identifying Japanese recessionary dates, and it also has a forecast performance that is equal to that of the Markov Switching Vector Autoregressive model. The implication that emerges here is that governments, their agencies and other business leaders in Japan and elsewhere should also employ the Markov Switching Panel model to secure complementary data.     

基于小波分析和HMM的语音识别模型建立与仿真

利用隐马尔可夫模型HMM优异的时序建模能力及小波变换可以对信号进行多尺度分析并有效提取信号的局部信息的特点,建立了混合语音识别模型.在语音信号的识别过程中考虑到了信号的非平稳性,采用并行识别的方法分别获取分类信息,根据混合模型的识别算法做出识别决策,减小了系统对环境的依赖性,提高了其自适应能力.仿真实验结果表明,混合模型识别结果比单一HMM模型或小波模型识别结果更佳,提高了整体的识别速度和识别率.     

软件交互行为的可信性分析与态势预测研究

研究现代分布式软件系统中交互实体的行为可信性问题,关注运行期意图、情景、行为和行为效应之间的关系,采用先进的统计机器学习工具分析行为踪迹规律,提出了一个新的软件行为分析与态势预测方法.针对松散聚合的交互实体间可能产生新的交互事件和行为模式的问题,本文用分层Dirichlet过程和无限隐Markov模型对被监测的交互接口数据进行聚类确定未知交互事件,用含有未知事件的序列进行行为模式的半监督学习,由管理者将其添加到规则与知识库中.在确定未知事件和行为模式时,用Beam抽样方法较其他方法(如Gibbs抽样)有更高的数据抽样和推理效率.当知识库的行为模式达到一定规模时,系统便可以无监督地对交互行为进行分析和预测.本文用HMM的Viterbi算法分析当前交互事件的最佳序列,从而确定当前交互行为的善恶,对恶意行为及时报警,对非恶意行为的后续趋势进行主动预测.通过仿真实验证实了该方法在软件行为分析与预测上具有独特的优势.