基于SMOTE和GBDT的网络入侵检测方法研究

现有的基于机器学习的入侵检测方法大多专注于提高整体检测率和降低整体的漏报率,忽视了少数类别的检测率和漏报率,为此,提出了一种基于SMOTE(synthetic minority oversampling technique)和GBDT(gradient boosting decision tree)的入侵检测方法。其核心思想是:首先在预处理阶段使用SMOTE技术提高少数类别的样本数量,且对多数类别样本降采样,最后在平衡数据集上训练GBDT分类器。利用KDD99数据集进行实验验证,并与在原始训练集上训练的分类器、KDD99竞赛的最好成绩进行对比。结果表明,该方法在保持较高的整体正确率的同时,其平均漏报率比KDD99最好成绩及原始训练集上的模型降低了约17%,从而证明了该方法的有效性。

基于数据筛选策略的入侵检测研究

网络入侵检测系统存在着检测网络未知攻击困难、漏报率高、自身性能难以适应大规模网络数据的处理等缺点。在入侵检测过程中引入了一种大规模数据筛选算法,并对其进行改进,有效地进行了数据的约简,约简后的小样本数据应用于基于支持向量机的网络入侵检测系统中,使其能够在较短时间内处理大规模网络数据。实验结果表明,该改进算法能有效地筛选出边界向量,在很少降低检测精度的情况下有效地减少了检测模型的建立时间,从而提高了检测速度。

一种基于序列挖掘的网络入侵检测新方法

网络入侵检测是信息安全重要的研究问题。近年来,这方面的研究取得了很多很好的成果,但大部分方法面临检测率不高的特点。基于异常的入侵检测通常是人为选择网络连接属性,这些属性在正常和异常时具有比较明显的区别,以此来判断未知的网络连接正常与否。该方法具有一定的随机性,从而影响检测率。首先提出一种基于正常网络连接序列内在规则的属性选择算法,实现属性选择的自动化,并同时将多维序列压缩到一维序列;其次使用序列挖掘的方法训练网络连接得到正常规则库,然后利用正常网络连接规则库判断新的网络连接是否正常;最后,在KDD99数据集上进行试验,结果显示,算法检测率较高。

基于关联规则的网络入侵检测方法

介绍了基于关系代数理论的ORAR关联规则算法,分析了在KDDCUP99中选择训练数据集和选择特征的基本方法,并在此基础上利用ORAR算法进行了频繁3、4、5、6项集入侵模式的挖掘,将挖掘结果应用于测试数据集的入侵检测,从检测的准确率和误检率两个方面较为系统地对不同的频繁项集检测的结果进行了比较,得到了检测效果最好的频繁项集,仿真结果对于入侵检测方法的进一步研究具有积极的借鉴意义。

基于粒子群和模糊数学的入侵检测系统的研究

模糊C-均值算法是一种无监督的数据分类方法。基于FCM算法对随机初始值敏感,易陷入局部极致点这个问题,引入粒子群优化算法。粒子群算法的核心思想是让每个粒子根据自身和周围粒子的信息共享,实现全局搜索最优值。收敛速度快,全局搜索能力很强。利用粒子群算法的全局搜索能力,对FCM算法性能进行改进,将粒子群优化算法和FCM算法结合,用KDD99数据集进行测试,实验结果表明,改进算法具有较高检测率和降低误报率。

基于PCA和LOGIT模型的网络入侵检测方法

针对高维度网络数据进行多类攻击行为检测的需求,提出一种基于PCA和Logit模型的网络入侵检测方法,通过PCA对网络数据降维、简化数据集和多项式Logit模型实现对不同攻击行为的识别并判别其类型。实验结果表明,方法在网络入侵识别上具有较理想的效果。

CURE算法在入侵检测系统中的应用研究

入侵检测系统是计算机网络安全的重要组成部分。该文提出了一种基于CURE算法的异常检测方法,并以KDD99的数据集为基础做了相应的实验。实验结果证明,这种方法具有较高的检测性能。

基于PCA的SVM网络入侵检测研究

文章针对传统入侵检测方法无法很好地对大样本数据降维、检测效率低、时间长、误报漏报率高等缺点,提出一种基于主成分分析(principal component analysis,PCA)的支持向量机(support vector machine,SVM)网络入侵检测方法(PCA—SVM)。该方法在对数据进行预处理之后,通过PCA对原始数据集的41个属性进行数据降维并消除冗余数据,找到具有最优分类效果的主成分属性集,然后再以此数据集训练支持向量机分类器,得到检测器。实验选择KDD99数据集在Matlab平台上对PCA-SVM算法进行仿真。相比于由传统41个属性训练得到的入侵检测器,文中方法大大缩短了检测时间,提高了检测效率,为网络入侵检测技术提供了一种新的可行方案。

基于支持向量机和贝叶斯分类的异常检测模型

通过对网络攻击类型和入侵检测方法的研究,发现常用的入侵检测方法不能很好地检测U2R和R2L两类攻击。为解决异常检测中对于U2R和R2L两类攻击检测率低的问题,提出了一种基于支持向量机和贝叶斯分类的异常检测模型,该模型利用BIRCH聚类算法减少训练数据集中重复记录,并利用支持向量机分类算法和贝叶斯分类算法分别检测DoS、Probe攻击和U2R、R2L攻击。实验结果表明,该模型对于U2R和R2L的检测率分别提高到了68.6%和45.7%。

基于Fisher‑PCA和深度学习的入侵检测方法研究

为了在攻击形式多样化、入侵数据海量及多维化的环境中快速、准确地识别网络攻击,提出了一种融合Fisher‑PCA特征提取与深度学习的入侵检测算法。通过Fisher特征选择算法选出重要的特征组成特征子集,然后基于主成分分析法(Principal component analysis,PCA)将特征子集进行降维,提取出了分类能力强的特征集。构建了一种新的深度神经网络(Deep neural networks,DNN)模型对网络攻击数据和正常数据进行识别与分类。在KDD99数据集上进行实验,结果表明:与传统的人工神经网络(Artificial neural network,ANN)和支持向量机(Support vector machine,SVM)算法相比,这种入侵检测算法的准确率分别提高了12.63%和6.77%,误报率由原来的2.31%和1.96%降为0.28%;与DBN4和PCA‑CNN算法相比,在准确率和检测率保持基本相同的同时有着更低的误报率。

基于K值改进的K-means算法在入侵检测中的应用

K-means聚类算法在入侵检测的运用中存在两个重要的缺陷:一是初始聚类中心是随机选择的,二是容易陷入局部最优解。提出一种改进的K-means算法,首先通过数据筛选确定高密度区域,然后确定两个最远点作为初始聚类中心以及非模糊型的集群评估指标来确定剩下的初始聚类中心,最后再进行聚类分析。实验表明,改进后的K-means算法不再依靠随机的K值和聚类中心,使得聚类过程可以依据数据集本身进行自适应的调整,同时保证了较高的网络入侵的检测率和较低的误报率。

基于深度学习技术的恶意攻击的分析与识别

对网站恶意攻击展开研究,通过在单机环境和具有1台服务器、2台客户机的局域网环境下模拟暴力破解、撞库、分布式拒绝服务攻击网站,以人工标注网站日志数据,训练一个LSTM网络分类模型,利用监控脚本在线监控网站日志,将日志数据转换成结构化数据并输入训练好的LSTM网络进行分类,以区分恶意攻击产生的日志和正常日志,达到识别恶意攻击类型的目的。在测试集数据上,分类准确率达到99%以上。按类似的思路,还构建一个基于自编码器和LSTM网络的分类模型,用KDD99数据集对该分类器进行训练和测试。实验结果表明,平均分类准确率约为99.7%,明显优于其他比较方法。网络攻击数据通常隐式地具有序列特征,将分类问题转换为序列标注问题,并用深度学习技术来求解,其整体解决思路是合理且有效的,可为后续的安全防护提供有效支持。

Anomaly Classification Using Genetic Algorithm-Based Random Forest Modelfor Network Attack Detection

Anomaly classification based on network traffic features is an important task to monitor and detect network intrusion attacks.Network-based intrusion detection systems(NIDSs)using machine learning(ML)methods are effective tools for protecting network infrastructures and services from unpredictable and unseen attacks.Among several ML methods,random forest(RF)is a robust method that can be used in ML-based network intrusion detection solutions.However,the minimum number of instances for each split and the number of trees in the forest are two key parameters of RF that can affect classification accuracy.Therefore,optimal parameter selection is a real problem in RF-based anomaly classification of intrusion detection systems.In this paper,we propose to use the genetic algorithm(GA)for selecting the appropriate values of these two parameters,optimizing the RF classifier and improving the classification accuracy of normal and abnormal network traffics.To validate the proposed GA-based RF model,a number of experiments is conducted on two public datasets and evaluated using a set of performance evaluation measures.In these experiments,the accuracy result is compared with the accuracies of baseline ML classifiers in the recent works.Experimental results reveal that the proposed model can avert the uncertainty in selection the values of RF’s parameters,improving the accuracy of anomaly classification in NIDSs without incurring excessive time.

基于SVM的入侵检测识别系统

网络用户数量随着大数据时代的发展逐年增加,我国网络普及率高达60%,网民数量有8.29亿。各项资源呈现高度的信息化,伴随而来的问题是用户信息泄露,信息资源被盗用,网络安全问题日益严重等。针对网上的恶意代码,入侵检测成为一项新的热点,由于老式的检测技术依赖于大量的人力,并且时效性和对未知访问技术的防御较弱,因此在新式的检测系统中会采用更加高效的算法,例如支持向量机(SVM),将SVM引入到检测系统形成一个自动化的系统,用公开权威的数据集KDD99对其进行仿真实验,交叉验证进行模型调参,寻找能得到最优结果的最优参数,提高入侵检测的效率。用混淆矩阵来显示检测结果能更直观的判断检测效率。

PCKCI:一种基于特征提取的入侵检测聚类算法的研究

针对目前网络安全的重要性,提出一种基于高斯核改进的密度聚类算法,聚类分析的目标是将相似的一类划分到一起,但是由于信息化时代的飞速发展,会有大量的高维数据产生,因此,聚类分析在空间和时间上受到了很大的影响,故应用特征提取pca对聚类进一步的改进。主要针对于KDD99数据集进行分析,实验结果表明,时间效率提高了一倍。通过聚类实验的比较和分析,降维提高时间和空间上的效率,优化特征空间,从理论和实践中都具有很大意义。

基于神经网络的舰载网络入侵检测方法研究

为实现舰载信息系统对非法行为的监测,提出了一种基于神经网络的舰载入侵检测方法。并针对现有基于神经网络的入侵检测方法所存在的不足,在分析入侵数据固有的特点的基础上,引入了粗糙集对样本数据进行属性约简,提高了使用神经网络进行入侵检测的性能。并使用KDD99数据集对基于粗糙集的BP神经网络入侵检测方法进行了试验。通过分析试验结果,充分证明了所引入的基于人工神经网络的入侵检测算法的有效性。

面向不平衡数据集的入侵检测算法

针对目前常用的入侵检测数据集存在的类别不平衡问题,从数据的采样层面出发,提出基于数据增强的入侵检测算法,并对数据进行了特征选择。在公开发布的真实数据集上展开的实验表明,针对不平衡的数据集,所提算法可以在一定程度上提升检测的准确率。

基于生成对抗网络的网络入侵检测系统

为了解决在真实网络环境中,异常数据比正常数据更难获得的问题,提出基于生成对抗网络的网络入侵检测系统GAN-NIDS。在训练阶段只使用正常数据,通过卷积操作压缩数据,使网络结构记住正常数据的深度特征。在测试时,正常数据通过生成器生成的数据与原始数据之间的损失(loss),远小于异常数据通过生成器生成的数据与原始数据之间的loss。在KDD99数据集上进行了试验,结果表明,相较于传统机器学习与一些深度学习,本系统有较好的检测效果。

基于决策树的入侵检测技术

本文针对传统的基于简单模式匹配的入侵检测技术性能低,误报率和漏报率高的问题,提出了基于决策树算法的连接记录的分析方法,描述了该算法的定义和实现,并采用KDD99的数据进行了仿真实验。实验结果表明,基于决策树算法的分析方法能有效的提高入侵检测系统的性能。

Enhancing Network Intrusion Detection Model Using Machine Learning Algorithms

After the digital revolution,large quantities of data have been generated with time through various networks.The networks have made the process of data analysis very difficult by detecting attacks using suitable techniques.While Intrusion Detection Systems(IDSs)secure resources against threats,they still face challenges in improving detection accuracy,reducing false alarm rates,and detecting the unknown ones.This paper presents a framework to integrate data mining classification algorithms and association rules to implement network intrusion detection.Several experiments have been performed and evaluated to assess various machine learning classifiers based on the KDD99 intrusion dataset.Our study focuses on several data mining algorithms such as;naïve Bayes,decision trees,support vector machines,decision tables,k-nearest neighbor algorithms,and artificial neural networks.Moreover,this paper is concerned with the association process in creating attack rules to identify those in the network audit data,by utilizing a KDD99 dataset anomaly detection.The focus is on false negative and false positive performance metrics to enhance the detection rate of the intrusion detection system.The implemented experiments compare the results of each algorithm and demonstrate that the decision tree is the most powerful algorithm as it has the highest accuracy(0.992)and the lowest false positive rate(0.009).