图嵌入和LSTM自动编码器结合的BGP异常检测

针对BGP异常数据的检测问题,依托互联网公开的真实BGP更新报文数据,重点结合网络的拓扑特征及时序变化特点,提出一种新的基于图嵌入特征和LSTM自动编码器的BGP异常检测方法.首先利用BGP数据中AS_PATH属性信息,构建基于时间序列的网络拓扑图的动态嵌入特征数据集,然后使用LSTM自动编码器模型对数据进行检测,发现...     

基于图神经网络的工控网络异常检测算法

网络异常检测技术成为入侵检测领域的重点研究内容, 但由于目前网络异常检测大多都停留在单点网络异常检测, 对不断更新的联合异常攻击和恶意软件无法做出快速及时的相应. 本文提出了一种基于图神经网络的工控网络异常检测算法, 融合网络节点自身属性以及网络拓扑结构中邻域节点的信息实现对网络异常的检测. 首先, 每个网络节点获取蕴含了连接节点的特征信息以及节点之间交互信息的状态向量; 其次, 每个节点使用不动点理论对网络进行迭代更新; 最后, 根据节点自身信息以及邻域节点信息通过神经网络提取更高层次的特征作为该节点的表示, 最后用聚类进行工控网络节点异常行为检测. 实验结果表明, 本文提出算法在具有较高检测率的同时, 也具有较高的鲁棒性.     

融合知识的多视图属性网络异常检测模型

属性网络异常检测在网络安全、电子商务和金融交易等领域中具有重要的理论与现实意义,近年来受到了越来越多的关注.大多数异常检测方法凭借网络有限的属性或结构信息进行决策生成,往往难以对异常模式做出可靠的描述.此外,网络节点对应的实体往往关联着丰富的领域知识,这些知识对于异常的识别具有重要的潜在价值.针对上述情况,提出一种融合知识的多视图网络异常检测模型,在多视图学习模式下通过数据与知识的互补融合实现了对异常节点的有效识别.首先,使用TransR模型由领域知识图谱抽取知识向量表示,并借助输入网络的拓扑关系构造其孪生网络.接着,在多视图学习框架下构建属性编码器和知识编码器,分别将属性网络及其孪生网络嵌入到各自的表示空间,并聚合为统一网络表示.最后,综合不同维度上的重构误差进行节点异常分数评价,从而识别网络中的异常节点.在真实网络数据集上的对比实验表明,提出的模型能够实现对领域知识的有效融合,并获得优于基线方法的异常检测性能.     

IBNAD:一种基于交互的5G核心网网络功能异常检测模型

现有 5G(5th Generation Mobile Communication Technology)核心网异常检测主要基于信令流量深度解析, 但较少利用核心网网络功能交互关系的作用。针对上述问题, 提出一种基于交互的 5G 核心网网络功能异常检测模型。首先, 该模型以行为分析为驱动, 基于信令流量和网络功能注册数据提取多维属性, 通过行为画像来表征网络功能行为模式, 并采用集成学习算法RFECV(Recursive Feature Elimination with Cross-Validation)进行属性特征选择, 降低特征维度的同时筛选出与区分网络功能行为模式高度相关的属性特征。然后, 模型基于网络功能交互关系对核心网进行图建模, 建模后的图数据融合了网络功能属性信息和交互信息。最后, 模型通过基于空间域的图卷积网络聚合邻域节点属性信息和结构信息来融合行为模式特征, 新生成的节点表示用于分类, 从而将核心网网络功能异常检测问题转化为图节点分类问题。通过在 free5GC 仿真平台上采集数据, 并在搭建的异常检测系统中的实验表明, 该模型的异常检测性能优于基于属性特征分析的传统机器学习模型、基于结构特征分析的图嵌入模型及部分 5G 核心网异常检测模型。10%数据集作为训练集时, 所提模型的准确率比支持向量机模型提高 6.6%, 比Struc2vec 模型提高 13%, 比深度神经网络模型提高 8%。     

基于外观和动作特征双预测模型的视频异常行为检测

为了在视频异常行为检测中更加充分地运用外观和动作信息,设计出了一种能同时捕捉外观和动作信息的孪生网络模型。该网络的两个分支采用相同的自编码器结构,其中的外观子网络以连续几帧RGB图作为输入来预测下一帧,而动作子网络则输入RGB帧差图来预测未来帧差图。此外,考虑到影响基于预测的方法的检测效果的原因之一,即正常样本的多样性以及自编码器网络强大的“生成”能力,即对部分异常样本也有很好的预测效果,因此在编码器与解码器之间加入一个学习并存储正常样本的“原型”特征的记忆增强模块,从而使异常样本能获得更大的预测误差。在Avenue、UCSD-ped2和ShanghaiTech三个公共的异常数据集上进行了广泛的实验。实验结果表明,相较于其他基于重建或预测的视频异常行为检测方法,所提方法取得了更优异的表现。具体来说,该方法在Avenue、UCSD-ped2和ShanghaiTech数据集上的平均曲线下面积（AUC）分别达到了88.2%、97.5%和73.0%。     

基于图神经网络的动态网络异常检测算法

动态变化的图数据在现实应用中广泛存在,有效地对动态网络异常数据进行挖掘,具有重要的科学价值和实践意义.大多数传统的动态网络异常检测算法主要关注于网络结构的异常,而忽视了节点和边的属性以及网络变化的作用.提出一种基于图神经网络的异常检测算法,将图结构、属性以及动态变化的信息引入模型中,来学习进行异常检测的表示向量.具体地,改进图上无监督的图神经网络框架DGI,提出一种面向动态网络无监督表示学习算法Dynamic-DGI.该方法能够同时提取网络本身的异常特性以及网络变化的异常特性,用于表示向量的学习.实验结果表明,使用该算法学得的网络表示向量进行异常检测,得到的结果优于最新的子图异常检测算法SpotLight,并且显著优于传统的网络表示学习算法.除了能够提升异常检测的准确度,该算法也能够挖掘网络中存在的有实际意义的异常.     

基于图偏差网络的外部自编码器时间序列异常检测

随着互联网和连接技术的提高, 传感器产生的数据逐渐趋于复杂化. 深度学习方法在处理高维数据的异常检测方面取得较好的进展, 图偏差网络(graph deviation network, GDN)学习传感器节点之间关系来预测异常, 并取得一定的效果. 针对图偏差网络模型缺少对时间依赖性以及异常数据不稳定的处理, 提出了基于图偏差网络的外部自编码器模型(graph deviation network-based external attention autoencoder, AEEA-GDN)深度提取表征, 此外在模型训练时引入自适应学习机制, 帮助网络更好地适应异常数据的变化. 在3个现实收集传感器数据集上的实验结果表明, 基于图偏差网络的外部自编码器模型比基线方法更准确地检测异常, 且总体性能更优.     

融合自注意力和自编码器的视频异常检测

目的 视频异常检测通过挖掘正常事件样本的模式来检测不符合正常模式的异常事件。基于自编码器的模型广泛用于视频异常检测领域,由于自监督学习的特征提取具有一定盲目性,使得网络的特征表达能力有限。为了提升模型对正常模式的学习能力,提出一种基于Transformer和U-Net的视频异常检测方法。方法 首先,编码器对输入的连续帧进行下采样提取低层特征,并将最后一层特征图输入Transformer编码全局信息,学习特征像素之间的相关信息。然后解码器对编码特征进行上采样,通过跳跃连接与编码器中相同分辨率的低层特征融合,将全局空间信息与局部细节信息结合从而实现异常定位。针对近景康复动作的异常反馈需求,本文基于周期性动作收集了一个室内近景数据集,并进一步引入动态图约束引导网络关注近景周期性运动区域。结果 实验在4个室外公开数据集和1个室内近景数据集上与同类方法比较。在室外数据集CUHK(Chinese University of Hong Kong)Avenue,UCSD Ped1(University of California, San Diego, pedestrian1),UCSD Ped2,L...     

基于流知识图谱的通信网络流连接行为分析

图模型能够直观、完整地刻画网络流的连接模式,在网络流行为分析中具有独特的优势,但现有图模型方法存在构图方式单一、信息包含不完整、分析手段不够丰富等问题,通过借鉴知识图谱的概念,提出一种基于流知识图谱的网络流行为分析模型——网络流连接图。通过收集网络流信息构造网络流连接关系的基本模型,基于网络流属性信息设定图节点等级和边权值,在此基础上,利用节点与边的筛选规则提取网络应用行为的核心连接方式和简化网络规模,采用复杂网络特征分析方法提取网络流行为特征参数。实验结果表明,网络流连接图能够充分利用网络流行为测量数据中的可用信息,准确刻画网络应用流连接关系的固有特征,有效地检测与识别DDoS攻击、蠕虫传播以及端口扫描等网络异常行为,同时网络流连接图表现出良好的可扩展性,适合多种图挖掘算法的应用。     

基于多通道图卷积自编码器的图表示学习

针对基于图卷积的自编码器模型对原始图属性和拓扑信息的保留能力有限、无法学习结构和属性之间深度关联信息等问题,提出基于多通道图卷积自编码器的图表示学习模型。设计拓扑和属性信息保留能力实验,验证了基于图卷积的自编码器模型具备保留节点属性和拓扑结构信息的能力。构建特定信息卷积编码器和一致信息卷积编码器,提取图的属性空间特征、拓扑空间特征以及两者关联特征,生成属性嵌入、拓扑嵌入和一致性嵌入,同时建立与编码器对称的卷积解码器,还原编码器过程。使用重构损失、局部约束和一致性约束,优化各编码器生成的低维嵌入表示。最终将蕴含不同图信息的多种嵌入进行融合,生成各节点的嵌入表示。实验结果表明,该模型在BlogCatalog和Flickr数据集上节点分类的Micro-F1和Macro-F1明显高于基线模型,在Citeseer数据集上节点聚类的精度和归一化互信息相比于表现最优的基线模型提升了11.84%和34.03%。上述实验结果证明了该模型采用的多通道方式能够在低维嵌入中保留更丰富的图信息,提升图机器学习任务的性能表现。     

入侵检测系统研究

入侵检测系统是基础设施安全系统的最重要组成部分之一。主要从入侵检测系统的定义、原理、入侵检测系统模型、分类方法、检测技术、评价标准几个方面对入侵检测做了研究。最后指出了当前入侵检测系统存在的不足以及未来应做的工作。     

入侵检测系统研究

入侵检测系统是基础设施安全系统的最重要组成部分之一.主要从入侵检测系统的定义、原理、入侵检测系统模型、分类方法、检测技术、评价标准几个方面时入侵检测做了研究.最后指出了当前入侵检测系统存在的不足以及未来应做的工作.     

两层入侵检测系统模型

在剖析入侵检测系统（IDS）两种模型－误用模型（Misuse Detectio,MD)和异常检测（Anomaly Detection,AD)的基础上，提出了一种两层的入侵检测分析模型，把基于聚类分析的异常检测模型和基于图的误用检测模型结合起来，融合了两种模型的优点，以达到更高的效率。     

网络入侵检测研究进展综述

网络入侵检测技术是网络安全研究的热点,对近年来误用入侵检测和异常入侵检测方法的研究成果进行了回顾,介绍了其模型和算法,对未来的研究方向进行了展望。     

基于数据挖掘的实时入侵检测技术的研究

探讨了实时环境下运用基于数据挖掘技术的入侵检测系统，针对传统入侵检测系统的局限性，就正确度、效率以及可用性三方面的问题提出了相应的解决办法，可以在保证正确度的情况下又能同时提高效率，并采用提出的方法开发了一个基于数据挖掘的实时入侵检测系统，使得共享和存储审计数据以及发布全新或更新模型变得容易，同时也提高了IDS的效率和可扩展性。     

一种基于主机的新型入侵检测系统模型

传统的基于主机的IDS一般采用单一的入侵检测技术,本文提出一种基于主机的新型入侵检测系统模型,该模型采用了两种ID技术并行的办法,并给出具体的设计方案。     

持续发展的入侵检测技术

本文在介绍入侵检测技术发展历程的基础上,对传统的入侵检测技术进行了系统的分类和描述,并分析了现在互联网络与人类生活的密切联系及安全现状,指出了入侵检测技术为适应现在及将来人们对网络安全的需求而不断的发展变化的趋势,并辅以目前入侵检测技术最前沿的一些研究方向及成果作说明。     

DBSCAN聚类算法在异常检测中的应用

运用数据挖掘的方法进行入侵检测已经成为网络安全领域的一个热点研究方向,该文主要对异常检测进行研究,将一种快速DBSCAN聚类算法应用到入侵检测中,通过对数据进行聚类,从而发现其中未知的攻击行为。该文以KDD99数据集为例做实验,证明了DBSCAN算法具有很好的聚类效果,实验结果得到了较高的检测率和较低的误报率。     

一种用于异常检测的系统调用参数及序列分析算法

本文基于异常检测技术及相关理论,提出了一种综合系统调用参数及调用序列的异常检测算法,该算法通过系统调用参数和序列构建具备更多特征信息的正常行为签名,从而提高入侵检测系统的检测效率及检测准度。     

分类异常点检测算法及在IDS模型中的应用

在分析了各种异常点检测算法的基础上,提出了一种分类异常点检测算法,该方法能够对数据在各个方面表现出的异常情况进行全面检测,精确度高、时间消耗少。提出了一个入侵检测系统模型,包括异常检测层和误用检测层,在异常检测中应用了分类异常点检测方法,该模型可以明显减少系统的漏报率。