基于Rete模式匹配算法的入侵检测系统

设计并实现了一个基于专家系统的网络入侵特征检测系统．针对当前入侵检测推理机制中存在的时间冗余性问题，在入侵检测推理过程中采用了Rete模式匹配算法，对推理机制进行了优化．实验结果表明，该系统在检出率和检测效率上要明显高于未采用Rete模式匹配算法的系统，采用Rete模式匹配算法能有效地克服时间冗余性问题，并改善了系统的性能．     

一种新型的自适应入侵检测系统的研制

针对当前入侵监测系统存在的自适应能力较差、扩展性差的问题，基于面向混合类型数据的快速启发式聚类算法FHCAM和属性约束的模糊规则挖掘算法ACFMAR，提出了一种采用数据挖掘技术的自适应入侵检测系统DMAIDS．该系统通过划分聚类的方法划分出异常入侵记录；模糊关联规则的方法提取入侵模式．通过对1999年举行的数据挖掘大赛所使用的10%子集进行实验，结果表明该系统平均检测率和平均误检率比大赛获得冠军检测方法准确率提高了近2倍，检测率从数据子集1的65．25％自适应提高到数据子集9的85．7％能自适应的检测各种攻击，表明该系统具有很好的应用前景。     

一种基于模型检查的入侵检测方法

在分析系统行为以及其动作序列的语义的基础上，利用时序逻辑公式描述攻击特征，提出了一种基于模型检查的入侵检测方法，该方法解决了检测中的重复验证等问题，通过增加推理链的长度约束，引入时序算子处理统计攻击，从而优化了入侵检测过程。     

针对NIDS的分布式攻击评估技术研究

对网络入侵检测系统本身的一些安全问题，如可靠性和生存健壮性等进行了研究，针对网络入侵检测系统——Snort，利用分布式协同攻击技术对NIDS的可靠性和生存健壮性进行了测试．实验结果显示，当前的NIDS是脆弱的．     

大数据环境下基于信息论的入侵检测数据归一化方法

在大数据时代,入侵检测作为网络安全的一种重要技术手段被广泛采用.网络入侵检测数据不同的特征属性具有不同的量纲和量纲单位,为了消除特征属性之间的量纲影响,一般在进行数据分析之前采用归一化处理.当前网络入侵检测数据的归一化处理大多只考虑特征属性取值本身的分布情况,没有客观地评估它对类别信息或其他特征属性的影响.针对这个问题,提出了一种基于信息论的网络入侵检测数据归一化方法.对连续特征属性,它以联合信息增益作为区间的分割评估方法,以区间的类别占比作为标准依据进行归一化处理;对离散特征属性,它根据类别条件熵的占比进行了归一化处理.利用NSL-KDD数据集仿真实验,结果表明,该方法不仅能够提高学习算法的收敛性,而且归一化的结果有助于提高分类模型的检测率和降低分类模型的误报率.     

网络流量异常检测方法：SSAE-IWELM-AdaBoost

针对传统入侵检测方法在高维海量数据且类别分布不均衡的环境下检测性能较差的问题,提出一种流量异常检测方法SSAE-IWELM-AdaBoost,该方法基于堆叠稀疏自编码网络(stacked spare auto encoder,SSAE)并融合改进加权极限学习机(weighted extreme learning machine,WELM)。该方法首先使用堆叠稀疏自编码网络直接从原始流量数据中自动学习并提取特征,获取原始数据的低维抽象表示,然后以WELM作为集成算法(AdaBoost)的基础分类器,利用修改的训练样本权值分配规则和基分类器权值更新公式迭代训练基分类器,通过加权投票表决的方法得到最优强分类器完成网络攻击流量的识别。在UNSW-NB15数据集上进行仿真实验,实验结果表明,SSAE-IWELM-AdaBoost算法可以提高整体的检测精度以及小样本攻击的检测率,缩短分类器的训练时间,能较好地满足大规模网络环境下原始流量数据实时检测,对不均衡流量数据识别也具有较好的表现。     

关联规则在网络异常检测中的应用

异常检测在网络安全中已成为一个重要的课题,异常检测是入侵检测(IDS)的一种,它对网络及用户正常行为的特征进行描述,并通过对正常网络行为的偏差的比较来实现入侵检测.关联规则是一种典型的数据挖掘方法,可以用来描述事物之间在特定条件下存在的某种强度的联系.通过对网络数据进行采集并利用关联规则数据挖掘的方法描述网络特性,建立了一个有效的网络异常检测系统模型,获得了较好的效果.     

基于图正则化概念分解的网络入侵检测研究

作为一种有效的主动探测网络恶意攻击防护措施,入侵检测在变电站信息系统安全防护中得到了广泛的应用.但实际网络入侵数据类型的多样性、非负性和高维度性等特点使得现有方法存在检测率低、误报率高等不足.基于非负矩阵分解的方法在入侵检测上取得了较好的效果,却忽略了嵌入在数据局部的几何结构和标记信息.为此,本文提出一种基于图正则化约束的概念分解算法.通过将数据的几何结构和标记信息同时作为约束条件,建立了一种新的概念分解模型,并提出了迭代更新求解算法.通过在网络入侵数据集KDD99上的实验验证,其结果展示了所提算法的有效性和鲁棒性.     

基于分布式数据挖掘技术的网络入侵检测系统的研究

简要分析了现有的网络入侵检测技术存在的一些问题．在此基础上，提出了一种基于分布式数据挖掘技术的网络入侵检测系统模型，讨论了模型中各个功能部件的结构和关键技术．采用多Agent技术设计了一个基于该模型的网络入侵检测原型系统．对实现不同功能的多类Agent进行了设计．论文还介绍了原型系统的实现技术．通过一个模拟分布式攻击仿真实验，检验了该模型的合理性和原型系统的性能．实验结果表明，该模型可在一定程度上提高入侵检测系统对分布式攻击的检测能力．     

一种新的基于Bloom filter数据结构的数据消冗算法

针对以往数据消冗算法存储消耗高,时间消耗久以及重复率检测效果不是十分理想,引入Bloom filter数据结构将大数据进行降维处理,提出了一种新的数据消冗算法,该算法首先利用完全文件检测算法对数据进行检验匹配,通过的数据块再利用CDC分块检测算法进行进一步检测匹配,依据余弦相似度公式以及Hamming距离值计算数据相似度,最终完成数据消冗。仿真实验结果表明本文提出的数据消冗算法综合性能良好,既确保了检测数据重复率的准确性又提高了数据检测速度,同时降低了存储开销。     

基于数据挖掘的入侵检测系统框架

提出了基于分布式数据挖掘的入侵检测系统框架，详细讨论了该系统的实现方案、模块结构和关键技术，最后给出了系统训练和评价方法。该系统以基于关联规则方法的分布式数据挖掘技术为核心，从而实现了规则库的自动生成和更新，并能有效检测大规模协同攻击。     

基于ARM+DSP索力检测技术的研究与应用

针对斜拉索的基频检测系统进行了研究,提出基于ARM+DSP的拉索振动信号分析检测技术.首先分析了前端振动信号的采集方法和信号处理技术,然后在ARM+DSP平台中进行基频分析算法的实现与优化,最终选取SEED-DEC138工业参考设计平台,并利用双核芯片进行关键模态分析算法的移植优化以及预处理算法的开发,实现了一种新的斜拉索振动信号处理系统.试验结果表明:新系统既能保证较高的检测精度,同时也能保证很好的实时性.     

信息熵在入侵检测中的应用

从信息论的角度,讨论信息熵在基于异常入侵检测中的理论指导意义,本理论可用于测量审计数据的内在规律性或执行恰当的数据变形,使其能适用于建立模型时的训练数据,实验结果证明基于本理论建立的最大熵模型的分类检测效果较好.     

基于活跃熵的Web应用入侵检测模型

由于现今的一些应用层Web攻击体现出大流量的特征,传统的Web入侵检测技术往往对这类攻击检测能力较弱,本文提出了一种基于活跃熵的Web入侵检测方法.该方法通过对HTTP数据包的截获,提取GET、POST请求参数以及HTTP Header中关键数据,并对其熵值进行分析,利用熵值的变化来发现Web数据流中存在的攻击行为.实验结果表明,本方法能实现此类大流量Web应用攻击行为的检测,有效的弥补了传统检测方法的不足.     

基于有色Petri网的分布式网络入侵检测系统

在回顾入侵检测理论与实现模型两方面工作的基础上介绍了一种将CPN技术用于入侵行为建模的方法及其理论基础，阐述从CPN模型到层次型多Agent系统的转化方法及其实现结构．通过保留CPN模型的细分过程信息避免了传统多Agent入侵检测系统的单点失效问题，提高了系统可扩展性和健壮性，并通过在传感器层结合传统基于规则的入侵检测系统和CPN模型改善了系统性能．     

基于贝叶斯树和集成学习的异常检测

为解决入侵检测中朴素贝叶斯算法的高数据内部依赖性和决策树容易产生数据"破碎"的问题,本文结合决策树分段的优点和朴素贝叶斯多证据融合的优点,建立了基于贝叶斯树算法的进程服务预测模型,并将bagging集成学习法用于改进贝叶斯树.实验结果表明,模型能有效检测主机异常,且算法的时间复杂度相对较低,适合在线检测.     

基于分级的MRF视频运动检测算法及其实现

在阐述马尔可夫随机场（MRF）视频运动检测算法理论的基础上，采用分级的方法，形成图像序列的时空多分辨率结构，大大优化了单一分辨率MRF算法 的初始化过程，并通过软件进行了实现，有效改进了单一分辨率算法检测的结果。该算法应用于数字视频监控系统，可明显提高检测精度，具有较好的应用前景。     

基于SVM的缓存污染资源代表性检测方案

攻击者通过中间人攻击等方式实施缓存污染,在受攻击对象浏览器中运行恶意代码窃取敏感数据。在缓存污染防御策略中,易受攻击的Web资源代表性对检测和防御的效果起到至关重要的作用。现有的资源代表性判断算法对小众资源或随机资源的识别率不高,本文基础上基于SVM技术,对已知的易受污染资源进行特征提取、数据预处理和模型训练,最后利用训练模型对未知资源进行预测判断,实验结果表明该方案在损耗小部分时间的情况下可以大幅提升污染样本的检测率。     

钱塘江河口盐度的神经网络模拟

盐水入侵会对潮汐河口饮用水源地产生影响,河口盐度的合理预测对饮用水源地取水安全和水库泄水抑咸调度有重要意义.以上游流量和下游潮差为控制条件,建立模拟钱塘江河口盐度变化情况的神经网络模型.首先对输入数据作归一化处理,利用上半年观测数据对模型进行反复训练,进而后报下半年盐度.模型输出数据反归一化所得到的结果与实测盐度数据比较,两者较为一致.表明基于河口盐度与上游流量和下游潮差间映射关系所建立的神经网络模型可有效地模拟潮汐河口的盐度变化.利用神经网络方法模拟了上游流量变化条件下钱塘江河口某测站的氯化物浓度.结果显示,当利用上游水库泄水来抑制河口咸水入侵时,采用降序流量过程可更有效地减小盐水入侵对饮用水源地的影响.     

基于网络的主动跟踪框架

在分析现有入侵检测系统跟踪方法的基础上，提出了一种基于网络的主动跟踪模型及体系结构，并对其工作机制进行了描述。