基于人工免疫原理的系统异常检测与自适应容错控制

介绍生物免疫系统的工作机理和人工免疫系统的发展与应用。基于免疫原理,定义控制系统的异常为抗原,与之对应的控制策略定义为抗体,将系统异常检测与诊断、控制策略匹配、自适应学习与记忆定义为免疫响应,这样,可将控制系统看成一个人工免疫系统。提出基于人工免疫原理的系统异常检测与自适应容错控制,并给出了控制系统总体结构。定义了表示系统异常特征的编码向量、特征空间;提出编码向量空间的划分方法,控制策略匹配算法与控制系统总体流程图。仿真实验和简单的工程应用验证了控制系统的可行性。

基于有限状态机的航天器异常检测专家系统知识获取方法

面向航天器异常检测专家系统知识快速、准确获取需求,提出一种基于有限状态机(FSM)原理的“数据驱动+领域知识”融合获取方法。首先基于数据库中遥控指令、遥测参数、正常值范围等结构化数据,建立状态集、输入集、输出集;其次,将设备工况变化看作状态变量,以遥控指令、注入等事件为输入信号,建立遥测变化与状态迁移的映射关系,将“知识生成”问题转化为对状态转移函数的求解过程;最后,利用历史测试数据驱动有限状态机的状态转移求解模型,将得到状态转移函数集,生成可运行的知识。以中国空间站测控分系统遥测为例进行方法实验,实验结果表明,所提方法获取的异常检测知识可解释性强,且具有较强工程可用性,可为后续卫星工程任务检测知识获取提供参考。

基于注意力机制多特征融合与文本情感分析的日志异常检测方法

现有的基于深度学习和神经网络的日志异常检测方法通常存在语义信息提取不完整、依赖日志序列构建和依赖日志解析器等问题.基于注意力机制多特征融合和文本情感分析技术,提出了一种日志异常检测方法.该方法首先采用词嵌入方法将日志文本向量化以获取日志消息的词向量表示,接着将词向量输入到由双向门控循环单元网络和卷积神经网络组成的特征提取层中分别提取日志消息的上下文依赖特征和局部依赖特征,使用注意力机制分别加强两种特征中的关键信息,增强模型识别关键信息的能力.使用基于注意力机制的特征融合层为两种特征赋予不同权重并加权求和后输入由全连接层构成的输出层中,实现日志消息的情感极性分类,达到日志异常检测的目的.在BGL公开数据集上的实验结果表明,该模型的分类准确率和F1值分别达到了96.36%和98.06%,与同类日志异常检测模型相比有不同程度的提升,从而证明了日志中的语义情感信息有助于异常检测效果的提升,并且经过实验证明了使用注意力机制的模型可以进一步提高文本情感分类效果,进而提升日志异常检测的准确率.

基于大数据的铁路时间同步网异常流量检测系统的研究

为快速准确地识别铁路时间同步网所受到的恶意攻击,设计一种基于大数据的铁路时间同步网异常流量检测系统。该系统首先采用无监督学习算法K-Means对部分数据进行训练,形成最优聚类模型,并通过该模型实现对异常流量的检测。将已标记的时间同步网数据输入系统,测试系统对异常流量的检测准确率及速度是否满足铁路时间同步网的要求。对系统识别出的异常流量特征进行分析,找出相关性较高的典型特征类型,并结合铁路时间同步网结构,针对该类型特征提出初步的攻击防御建议。研究结果表明:基于大数据的异常流量检测系统聚类时间70.434 682 s及准确率98.36%均满足大数据网络环境下铁路时间同步网的要求;基于时间和主机的网络流量统计特征可以为提升铁路时间同步网的安全性提供参考。

一种基于对数区间隔离森林的电力调度数据异常检测集成算法

准确的电力调度自动化系统异常检测对电力系统安全稳定运行有重要意义。该系统具有业务种类繁多、业务逻辑交互复杂等特点,带来了调度监测数据维度多、空间分布多样的特性;现有基于机器学习的离线数据异常检测方法,存在对局部异常等特殊异常检测精度与检测效率难以有效兼顾等问题。提出了一种基于对数区间隔离的电力调度数据异常检测方法。针对数据维度之间的分布差异特性,运用马氏距离度量方法,基于每个样本点到数据分布中心的马氏距离,设计了对数区间隔离策略,构建多个子树,并将其整合成对数区间隔离森林异常检测器,筛选出数据集中的异常样本,兼顾检测精度和检测效率。公开数据集和某省级电网调度中心业务数据集作为训练与测试样本,验证了所提方法在异常检测AUC值等综合性能上的先进性及其在实际系统应用中的可行性。

基于R-DFA状态机的工控系统异常流量检测

针对以往工控系统异常流量检测系统无法检测上行信道异常的问题,提出以R-DFA为核心的工控异常流量检测方法,R-DFA是输入参数包含PLC向上位机的上行信道信息的有限自动机机。该方法首先建立工控信道的白名单,然后提取工控的正常流量特征,建立状态转换表,训练出R-DFA模型,又在状态机后添加周期状态序列,完善状态机中状态转化依赖于上一个状态的不足。实验结果表明,该方法的异常检测的准确率较高,也能够有效地检测上行信道流量的异常。

基于多模态数据流的网络信息局部异常点检测方法研究

由于原料性质、设备磨损、过程负荷等因素的影响,复杂工业系统会出现多个稳定操作模态,各稳态之间的过渡过程具有明显的动态特性,针对现有异常检测系统报警意义不明确等问题,将多模态数据流(Multimodal data flow,MDF)技术用于局部异常点检测系统。提出了一种基于多模态数据流的网络信息局部异常点检测系统。通过在此局部异常点检测系统中,使用多模态数据流技术执行异常检测,大数据流技术执行滥用检测。使用多模态数据流进行异常检测,每个节点内都有一个监视代理和一个分类器(用于检测)以及一个移动代理(用于收集信息)。异常检测和滥用检测模块的输出均由模糊检测规则应用以执行最终检测。该方法采用无状态保留的方式,采用基本特征向量来描述网络数据流实时的运行状态,并且利用基于攻击特点的数据流特征组合使报警的意义更加明确。实验结果表明:该方法提供了一个压缩比较高且能比较全面反映实际网络数据流的基础特征,这为将来的异常检测提供了一个较好的数据平台,具有比较好的可扩展性。

Linux进程行为的模式提取与异常检测

Linux进程可由一系列的系统调用序列来表征, 因此,通过分析进程的系统调用序列可以分析进程的行为模式。 本文利用ART1网络对进程的系统调用序列进行模式提取, 据此进行异常检测, 并以实验数据初步验证了该方法的可行性。

基于集成学习的云平台异常点检测

为提高云平台异常点检测的精度,解决单一检测系统误报率与漏报率高的问题,提出基于集成学习的异常点检测系统。为解决异常检测对象多样性的问题,构造监测序列的特征矩阵,采用自组织映射神经网络对监测序列进行聚类;对监测序列进行过采样,解决异常发生频率很低的问题;对异构的异常点检测器进行基于委员会的学习,集成各检测器的检测优点,提高检测的精度。通过带有标注的监测序列对异常点检测系统进行验证,结果表明,该系统效果优于单一检测系统,验证了设计的有效性。

实现数据库异常检测相关技术的研究

该文介绍了数据库异常检测的重要性。重点分析了Fp-growth关联规则算法的实现过程,提出了一个基于Fp-growth算法的数据库异常检测系统,并给出了系统试验数据结果。

基于异常的Anti SYN Flood实现

介绍了SYNFlood攻击的原理，分析了基于异常检测的入侵检测方法，利用信息论的相关原理，通过对到达目的IP和目的端口的SYN包的概率统计，计算其异常值并和门限值比较，有效地检测出SYNFlood攻击。以预处理插件的形式，将AntiSYNFlood的模块加入到入侵检测系统中，给出了检测流程、主要数据结构和程序框架，并作了相应的测试。

基于Skyline的森林防火指挥三维系统设计与应用

森林防火是森林资源保护工作中的重点内容,利用三维GIS技术进行可视化管理能有效提高森林防火应急指挥效率。本文以基础地理数据、森林资源数据、防火专题数据及火灾现场采集数据为信息源,基于Skyline软件平台,建立森林防火指挥三维系统,实现三维场景浏览、巡护监控、火情采集、火情态势模拟、防火指挥部署、灾情评估等功能,为森林防火日常管理和应急指挥工作提供辅助决策支持。

基于TLR异常检测系统的DC算法研究

在数据异常检测实验中,针对传统DC(Dendritic Cell)算法的检测不够精确的问题,结合生物免疫体系中天然免疫的TLR(Toll-Like Receptor)的工作机制,提出一种基于TLR异常检测系统的DC算法。该算法首先利用DC算法得到成熟与半成熟的DC,再将这两类DC作为输入提供给TLR进行处理,最后通过对激活TC的刺激水平来判断是否异常。

免疫AIDS虚警率问题研究

降低虚警率是异常入侵检测系统(AIDS)的一个主要目标。分析了AIDS虚警率问题产生的主要原因,提出了一种基于人工免疫思想,动态构建正常系统轮廓,抑制虚警率的方法。给出了生物免疫系统与AIDS的映射关系,建立了自体动态描述、抗体的动态演化和淘汰机制,并进行了仿真和对比实验。理论分析和实验结果表明该方法可有效降低系统虚警率。

Rough Outlier Detection Based Security Risk Analysis Methodology

Security is a nonfunctional information system attribute that plays a crucial role in wide sensor network application domains. Security risk can be quantified as the combination of the probability that a sensor network system may fail and the evaluation of the severity of the damage caused by the failure. In this paper, we devise a methodology of Rough Outlier Detection (ROD) for the detection of security-based risk factor, which originates from violations of attack requirements (namely, attack risks). The methodology elaborates dimension reduction method to analyze the attack risk probability from high dimensional and nonlinear data set, and combines it with rough redundancy reduction and the distance measurement of kernel function which is obtained using the ROD. In this way, it is possible to determine the risky scenarios, and the analysis feedback can be used to improve the sensor network system design. We illustrate the methodology in the DARPA case set study using step-by-step approach and then prove that the method is effective in lowering the rate of false alarm.

Anomaly-based model for detecting HTTP-tunnel traffic using network behavior analysis

Increasing time-spent online has amplified users＇ exposure to tile tilreat oI miormanon leakage. Although existing security systems （such as firewalls and intrusion detection systems） can satisfy most of the security requirements of network administrators, they are not suitable for detecting the activities of applying the HTTP-tunnel technique to steal users＇ private information. This paper focuses on a network behavior-based method to address the limitations of the existing protection systems. At first, it analyzes the normal network behavior pattern over HTI＇P traffic and select four features. Then, it pres- ents an anomaly-based detection model that applies a hierarchical clustering technique and a scoring mechanism. It also uses real-world data to validate that the selected features are useful. The experiments have demonstrated that the model could achieve over 93% hit-rate with only about 3% false- positive rate. It is regarded confidently that the approach is a complementary technique to the existing security systems.

Monitoring Freeway Incident Detection Using a Hotelling T2 Control Chart

In real-life freeway transportation system, a few number of incident observation （very rare event） is available while there are large numbers of normal condition dataset. Most of researches on freeway incident detection have considered the incident detection problem as classification one. However, because of insufficiency of incident events, most of previous researches have utilized simulated incident events to develop freeway incident detection models. In order to overcome this drawback, this paper proposes a wavelet-based Hotelling 7a control chart for freeway incident detection, which integrates a wavelet transform into an abnormal detection method. Firstly, wavelet transform extracts useful features from noisy original traffic observations, leading to reduce the dimensionality of input vectors. Then, a Hotelling T2 control chart describes a decision boundary with only normal traffic observations with the selected features in the wavelet domain. Unlike the existing incident detection algorithms, which require lots of incident observations to construct incident detection models, the proposed approach can decide a decision boundary given only normal training observations. The proposed method is evaluated in comparison with California algorithm, Minnesota algorithm and conventional neural networks. The experimental results present that the proposed algorithm in this paper is a promising alternative for freeway automatic incident detections.