网络入侵检测系统的设计与实现

针对异常发现技术和模式匹配技术各有利弊的特点，设计了将这两种技术综合运用的网络入侵检测系统．通过将模式匹配技术与基于统计各类状态的异常发现技术相结合，达到增强系统准确性、完整性的目的．实验表明，在一定的网络流量下，本系统具有良好的检测及发现入侵数据的功能，并对通过异常手段入侵的数据也有着较完善的发现与防范机制．     

基于转移和频率特征的协议异常检测

协议异常检测是目前入侵检测领域研究的新方向．本文研究状态的转移特性和频率特性,在此基础上建立模型进行协议异常检测．模型的训练和检测使用DARPA 1999年的数据集,实验结果验证了所建立模型的准确性．     

基于Dense_YOLO的室内目标异常检测

针对室内场所,运用目标检测等算法实现对监控视频的实时异常检测.为提高检测效果,对YOLO v2模型进行了三个方面的改进:利用稠密网络中特征融合方式改进网络结构;使用K-means++对目标框进行聚类改进网络参数;利用迁移学习的方式对网络进行训练;改进最终得到Dense_YOLO目标检测模型.实验结果表明Dense_YOLO正确率达到了93.66%,相比YOLO v2提高了7.06%.针对人、宠物、贵重物品这几种常见的监控目标,利用Dense_YOLO对目标状态进行异常检测,并分别在一般场景、光照强、光照弱、目标被遮挡、目标较小等不利条件下进行测试,区域入侵检测、物品移动/移出检测两种特定目标异常检测功能分别到达92.73%、90.07%的平均正确率.     

状态维修系统的指数分布检测策略

系统有4种运行状态：正常、异常、隐患和故障，系统从正常依次经异常、隐患到达故障。正常状态、异常状态和隐患状态为系统的工作状态，系统处于哪种工作状态检测诊断后才能知道，系统故障时不需检测诊断就能知道。系统每次开始正常工作后，每隔一段随机时间对它检测诊断一次，直到系统故障或检测诊断出系统处于异常或隐患状态为止，并且诊断正常和异常时结果有可能出现错误，隐患诊断结果不会出错。在系统的寿命为连续型随机变量，检测间隔时间服从指数分布的假设下，利用向量Markov过程方法求出了系统的可靠性指标、系统的最优检测策略。     

基于特征选择和SVM参数同步优化的网络入侵检测

为了提高网络入侵检测正确率,利用特征选择和支持向量机（SVM）参数间的相互联系,提出一种特征选择和SVM参数联同步优化的网络入侵检测算法.该算法首先将网络入侵检测正确率作为问题优化的目标函数,网络特征和SVM参数作为约束条件建立数学模型,然后通过遗传算法对数学模型进行求解,找到最优特征子集和SVM参数,最后利用KDD 1999数据集对算法性能进行测试.结果表明,相对于其他入侵检测算法,同步优化算法能够较快选择最优特征与SVM参数,有效提高了网络入侵检测正确率,加快了网络入侵检测速度.     

改进多层分类策略的随机森林网络入侵检测方法

在当前网络入侵检测方法研究中,存在样本数据不平衡的问题,小样本数据(异常数据)过少是检测准确率低的重要原因,现有方法对小样本数据存在检测率低的问题.为了解决该问题,提出一种改进多层分类策略的随机森林网络入侵检测算法,该算法使用随机森林作为基本单元构建多层模型.首先,在不同层划分出不同的超类,在划分超类前,利用聚类质心技...     

检测可修系统的一个模型

研究检测可修系统的一个模型,假定系统有３种状态－正常、异常和故障,其中故障状态不需检测,而正常和异常状态需要检测。利用概率分析和向量Ｍａｒｋｏｖ过程方法求出了系统的可靠性指标和计算最优检测周期的方法。     

高速网络环境下基于NetFlow的网络监测系统设计

随着因特网应用的增加，网络主干上的蠕虫病毒、网络攻击等网络异常行为层出不穷，这些异常行为常常消耗大量网络资源，有时甚至因为异常行为大量频繁地发送数据包，引起骨干路由器过载，不能正常工作，给全网造成巨大损失，现有的防火墙、入侵检测等安全技术在很大意义上只能保护一方平安，不能有效反映网络全面的运行状况，对网络实施有效监控，为了有效解决以上问题，防止网络资源的巨大浪费，在高速主干网上布置一套高效的、综合多项安全技术的监控系统，     

状态维修系统的故障检测诊断策略

系统有2种工作状态(正常状态、异常状态)和一种故障状态。当系统开始正常状态后,每隔一段随机时间对它检测诊断一次,直到系统故障或检测诊断出系统处于异常状态为止,诊断结果可能有误。在系统的寿命为连续型随机变量,检测间隔时间服从指数分布等假设下,利用概率分析和补充变量方法求出了系统的运行指标和稳态收益率的明显表达式。比较最优检测诊断策略下的稳态收益率和不检测诊断时的稳态收益率得到最优检测诊断策略的可行性判别准则。数值实例研究表明,研究结果可提高系统经济效益。     

特殊状态需要特殊修理的可修系统可靠性和诊断策略研究

研究了特殊状态需要特殊修理的可修系统的可靠性和诊断策略。假设系统有三种运行状态：正常状态、异常状态、故障状态，有些异常状态和故障状态需要特殊的修理，系统处于哪个状态需要诊断才能知道。当系统开始正常工作状态后，每隔一段时间μ进行一次诊断，直到系统故障或被诊断为异常。利用概率分析和补充变量方法，求得了系统的可靠性指标和最优检测周期。     

Building Real-Time Network Intrusion Detection System Based on Parallel Time-Series Mining Techniques

A new real-time model based on parallel time-series mining is proposed to improve the accuracy and efficiency of the network intrusion detection systems. In this model, multidimensional dataset is constructed to describe network events, and sliding window updating algorithm is used to maintain network stream. Moreover, parallel frequent patterns and frequent episodes mining algorithms are applied to implement parallel time-series mining engineer which can intelligently generate rules to distinguish intrusions from normal activities. Analysis and study on the basis of DAWNING 3000 indicate that this parallel time-series mining-based model provides a more accurate and efficient way to building real-time NIDS.     

自适应铁路场景前景目标检测

现代铁路系统中,智能视频分析技术已被广泛应用于异物入侵监测,前景目标检测是入侵判断的必要过程. 背景差分常用于检测前景目标,但铁路场景复杂,存在动态变化的背景区域和未知类型的目标,现有基于阈值分割或深度学习的背景差分算法都不能满足需求,故提出一种基于阈值自适应调节的前景目标检测算法. 利用像素值在时间上的动态信息,分割结果的反馈信息和由超像素提供的空间信息确定阈值调节因子,动态调节阈值以适应环境变化;提出一种灵活可靠的背景模型初始化方法,消除鬼影问题,实现一帧到多帧初始化的灵活切换. 实验结果表明,所提算法在铁路场景上取得了较好的准确率和误分类率,且平衡了精度和速度.     

基于车辆行驶轨迹的道路不良驾驶行为实时辨识方法

为了提高道路交通安全主动防控能力, 以小汽车行驶轨迹数据为研究对象, 研究了不良驾驶行为的实时辨识问题; 基于无人机拍摄交通流视频提取海量车辆行驶轨迹数据; 提出了应用风险度量方法量化典型不良驾驶行为的理论; 使用大样本统计分布方法确定不良驾驶行为的特征参数阈值; 建立了结合交通环境信息的不良驾驶行为谱, 计算了不良驾驶行为谱特征值; 以车辆不良驾驶行为谱特征值为依据标定不良车辆样本; 以部分驾驶行为谱参数为输入, 使用不平衡类提升的人工智能算法建立了不良驾驶行为辨识模型; 为了验证方法的有效性, 使用无人机交通视频采集了上海市的车辆行驶轨迹数据, 分析了小汽车不良跟驰行为特征。分析结果表明: 使用四分位差法得到不良跟驰特征参数的阈值为0.19 s-1, 大部分样本处于正常跟驰状态, 约2%样本处于不良跟驰状态; 基于每辆车行驶轨迹中正常跟驰状态和不良跟驰状态的比例, 使用95%分位数将8 917 veh小汽车样本划分为不良跟驰车辆445 veh与正常跟驰车辆8 472 veh; 不平衡类提升算法CUSBoost辨识不良跟驰车辆达到了94.4%的召回率和85.9%的精确率, 平衡分数和精确率-召回率曲线下的面积为所有算法中最高。可见, 不良驾驶行为谱作为一种客观的不良驾驶行为量化表达方法, 与人工智能方法结合可以生成海量的不良驾驶行为谱库; 不平衡类提升算法可以解决不良驾驶行为数据的不平衡问题, 与常规算法相比具有更好的不良驾驶行为辨识能力。      

A probability approach to anomaly detection with twin support vector machines

AbstractClassification of intrusion attacks and normal network flow is a critical and challenging issue in network security study. Many intelligent intrusion detection models are proposed, but their performances and efficiencies are not satisfied to real computer networks. This paper presents a novel effective intrusion detection system based on statistic reference model and twin support vector machines (TWSVMs). Moreover, a network flow feature selection procedure has been studied and implemented with TWSVMs. The performances of proposed system are evaluated through using the fifth international conference on knowledge discovery and data mining in 1999 (KDD’99) data set collected at MIT’s Lincoln Labs and the results indicate that the proposed system is more efficient and effective than conventional support vector machines (SVMs) and TWSVMs.     

Intrusion detection model with twin support vector machines

Intrusion detection system （IDS） is becoming a critical component of network security. However, the performance of many proposed intelligent intrusion detection models is still not competent to be applied to real network security. This paper aims to explore a novel and effective approach to significantly improve the performance of IDS. An intrusion detection model with twin support vector machines （TWSVMs） is proposed. In this model, an etficient algorithm is also proposed to determine the parameter of TWSVMs. The performance of the proposed intrusion detection model is evaluated with KDD＇99 dataset and is compared with those of some recent intrusion detection models. The results demonstrate that the proposed intrusion detection model achieves remarkable improvement in intrusion detection rate and more balanced performance on each type of attacks. Moreover, TWSVMs consume much less training time than standard support vector machines （SVMs）.     

一种基于二层贝叶斯网的网络入侵检测方法

提出了一种基于二层贝叶斯网的网络入侵检测方法,该方法能够从审计数据中自动学习知识生成入侵模型,并根据该模型检测入侵行为,从而提高入侵检测系统得自适应性和可移植性,降低系统的误报率和误检率．并通过设计实验来验证基于贝叶斯网的入侵检测系统的性能,实验数据采用KDD cup 1999年的部分数据．实验结果表明：该方法在只使用10％训练数据和部分记录属性来学习的情况下,检测效果仍比较好．     

基于超级节点模式的多Agent入侵检测模型

分析了入侵检测方面的新问题,简述了超级节点和多Agent数据融合,进而提出了基于超级节点多Agent入侵检测模型,讨论了其实现方法.仿真实验表明,此模型在入侵检测方面具有很好的性能.     

异常情况下交叉口信号模糊逻辑控制

建立异常情况下信号模糊逻辑控制模型,并建立决策行为,保证在正常及异常情况下最佳地控制交通流,使达到流量最大、延误最小。针对不考虑异常情况时交叉口模糊逻辑控制模型、考虑异常情况时模型及1个一般控制模型三者输出的平均延误差别仿真比较,结果表明本文提出的模型能有效缩短平均延误时间,改进交通信号配时。     

基于多入侵线的视频车速检测方法

为提高视频中车速检测的精度，提出一种基于多入侵线的视频车速检测方法。首先在视频中布设已知相对距离的多条入侵线，其次检测车辆经过每条入侵线时的帧数，最后结合帧数、 摄像机的采样时间、入侵线间的距离生成关于车速的概率密度函数模型以计算车速。通过构建仿真环境验证模型性能，仿真结果表明：减小摄像机的采样时间、增加入侵线数量、增大入侵线之间的距离可以提高模型性能，并且在不同检测条件下使用多入侵法进行车速检测的误差率都更低。采用Deepsort+YOLOv5目标跟踪算法实现视频中车速的检测，同时，在视频车速检测综合数据集BrnoCompSpeed上与主流车速检测方法进行实验对比，实验结果表明，该方法测量结果的平均误差率为1.40%，与主流视频车速检测方法相比精度更高。