KDDCUP99数据集的数据分析研究

kddcup99数据集的网络连接数据量很大,各特征属性的取值范围较广,决策类型的种类也很多。因此,如果直接在原数据集上进行数据预处理或是数据挖掘都将是一件十分困难的事情。通过对kddcup99进行数据分析,提出一种对其按照service属性的不同进行分块的新思路,在不失真的前提下,将大问题转化成小问题,从根本上解决了数据集过大的难题。

基于KDDCUP99数据集的入侵检测系统的设计与实现

KDDCUP99数据集中网络连接特征属性种类多,提取难度大,给研究人员将数据集应用到真实网络环境中造成很大困难。同时因为数据集产生年代久远,其中的攻击手段和特征属性对于当下复杂的网络环境已经过时,因此迫切需要提取新的网络连接特征,应用新型攻击手段,制作出更符合真实网络环境的数据集。通过对数据集制作方法的深入研究,给出了提取网络连接特征的具体方法,进而设计出一套基于此数据集的入侵检测系统。同时也为今后的研究中,制作新的入侵检测数据集提供了参考。

面向不平衡数据集的入侵检测算法

针对目前常用的入侵检测数据集存在的类别不平衡问题,从数据的采样层面出发,提出基于数据增强的入侵检测算法,并对数据进行了特征选择。在公开发布的真实数据集上展开的实验表明,针对不平衡的数据集,所提算法可以在一定程度上提升检测的准确率。

集成学习算法的研究与应用

集成学习算法的思想就是集成多个学习器,并组合它们的预测结果,以形成最终的结论。典型的学习模型组合方法有投票法,专家混合方法,堆叠泛化法与级联法,但这些方法的性能都有待进一步提高。提出了一种新颖的集成学习算法--增强的集成学习算法(ReinforcedEnsemble)。ReinforcedEnsemble集成算法由两大部分组成:ReinforcedEnsemble特征提取算法与ReinforcedEnsemble基分类器。通过实验,将ReinforcedEnsemble算法与其他集成学习算法进行了性能比较。实验结果表明,所提出的算法在多项指标上均达到最优。

基于Jpcap的入侵检测数据源获取方法

网络入侵检测系统(NIDS)是当今网络攻防战中保护网络安全的有力手段之一。国内外众多研究者的目光也都聚焦于此,在检测模型、检测方法、实际运用等方面都取得了巨大成就,但在众多的研究成果中,关于入侵检测测试数据的获取方法却一直鲜有涉足。至今,KDDCUP 99’数据集仍然是用于入侵检测系统测试实验的较好的数据源,但它是一个静态数据源,这使得在KDDCUP 99’数据集测试下效果很好的NIDS在动态网络状态下效果不理想。基于这一问题,提供了一种通过JAVA类包Jpcap捕获网络IP数据包,提取其中信息,建立一个新的具有KDDCUP 99’数据集部分特征的数据源的方法。

基于数据挖掘Weka平台的拒绝服务攻击关联分析

关联规则广泛应用于网络入侵检测,抽取KDDCUP99数据集的重要特征属性,运用Weka软件的关联规则挖掘算法,对拒绝服务攻击类型中不同属性特征进行分析,得到了back攻击类型中不同属性特征间的联系,对提高入侵检测的效率和准确率有极好的作用。

可信网络连接中的可信度仿真评估

可信网络连接(TNC)是对可信平台应用的扩展,也是可信计算机制与网络接入控制机制的结合。针对当前TNC研究中缺乏对网络连接进行定量评估的问题,提出了一种网络连接可信度仿真评估方法。该方法根据网络连接属性与评估值之间存在的非线性映射关系,利用BP网络模型及LM优化算法对网络连接可信度进行评估。仿真结果表明该方法具有较好的预测评估准确率。

应用混沌变异机制混合反向学习人工鱼群算法

提出了一种应用反向学习和Tent混沌映射变异的改进人工鱼群算法.选择部分精英个体执行反向学习,引导种群向全局最优解逼近,有利于均衡算法的勘探与开采能力.当种群多样性下降到一定程度,并且公告板多次无法得到更新时,保留部分精英个体,其他个体执行Tent混沌映射变异操作.在4个Benchmark函数上的测试表明该算法求解精度、收敛能力较AFSA有较大提高.

基于高斯朴素贝叶斯的网络安全态势感知技术研究与应用

网络安全态势感知技术是一种基于环境的、动态的、整体的数据融合方法,可以从宏观角度把数据融合起来,是网络安全强有力的监控技术和保障技术。通过机器学习算法发现数据之间的相关性,可以发现数据之间潜在的联系。高斯朴素贝叶斯是机器学习中较为通用的一种算法,通过对KDDCUP99数据集的训练和测试,得到的模型有效地对网络安全测试数据进行了预测。

基于尖点突变模型的IP网络异常行为检测方法

由于数据挖掘、贝叶斯等传统异常检测方法仅依据网络正常行为特征而没考虑异常行为特征,致使其异常检测率偏低和误报率偏高,该文基于尖点突变模型而针对性地提出了一种新的IP网络异常行为描述模型及其检测机制。它们充分利用了尖点突变模型的多稳态性和突变性,准确地描述了网络正常行为特征和异常行为特征。最后以Kdd-Cup 99数据集为例,对比了不同机制的异常检测性能,结果显示,与贝叶斯BN和决策树C4.5等机制相比,所提出的检测机制在检测率和误报率方面都有所优势。

一种多标记学习入侵检测算法

针对现有入侵检测技术的不足,文章研究了基于机器学习的异常入侵检测系统,将多标记和半监督学习应用于入侵检测,提出了一种基于多标记学习的入侵检测算法。该算法采用"k近邻"分类准则,统计近邻样本的类别标记信息,通过最大化后验概率(maximum a posteriori,MAP)的方式推理未标记数据的所属集合。在KDD CUP99数据集上的仿真结果表明,该算法能有效地改善入侵检测系统的性能。

基于混合模糊神经网络的入侵检测系统

结合神经网络与模糊系统相融合的3种形式,提出了基于"前层神经网络+后层模糊系统结构"的入侵检测系统模型。通过SQL server 2008软件进行数据预处理,采用一种基于主成分分析的降维方法进行数据降维,改进的LMBP算法对神经网络进行训练和判别,完成对网络入侵KDD CUP 99数据集的验证性实验。实验结果表明,系统检测效果良好,判别准确率高,为实现高效准确的入侵检测提供了一种有效的方法。

基于模糊C均值聚类的网络入侵检测算法

入侵检测已成为网络安全的第二层重要防御线。分析了对新型未知的攻击的入侵检测,提出基于模糊C均值聚类的网络入侵检测算法。用KDD-99数据集的仿真实验结果表明算法的可行性、有效性和可扩展性,并有效提高了聚类检测的检测率,降低了误检率。

决策树入侵检测模型中基于改进PIO的特征选择算法

在基于决策树的入侵检测模型中,入侵检测数据集中冗余和不相关的特征字段影响分类器的性能,存在训练效率低下的问题。提出一种改进的鸽子启发优化(pigeon-inspired optimization,PIO)算法(称为Jaccardcrossover PIO,JCPIO)来优化减少入侵检测数据集的特征字段。JCPIO使用PIO算法实现特征字段的选择优化,其中,通过Jaccard相似度定义鸽子速度,对鸽子个体进行离散二值化,通过在landmark算子操作中引入交叉操作,增加解空间的多样性,找到全局最优解。实验结果表明,JCPIO在保证入侵检测模型准确性的前提下,将原始数据集中的数据量减少了82.9%,增加了模型的训练效率;与传统的特征选择算法相比,识别模型的准确率提高了2.6%~5.5%,误报率降低了6.43%~14.33%。

半监督学习在网络入侵分类中的应用研究

为了解决网络环境中已标记入侵数据获取代价大的问题,将半监督学习引入网络入侵分类领域。根据网络攻击类型的不同,将少量的已标记入侵数据分为三部分,分别作为最初的训练集训练分类器,形成三个差异较大的初始化分类器。通过三个分类器协同学习,实现对未标记入侵数据进行标记。详细介绍了使用KDD Cup99数据集构造半监督分类实验数据集的过程。实验结果表明,半监督学习能有效地挖掘未标记入侵数据信息,具有较高的入侵分类率。

基于粒子群和支持向量机的网络入侵检测模型的建立与仿真

为了有效增强网络入侵的检测效果,尽可能地预防网络入侵行为的发生,文中基于协同量子粒子群CQPSO算法以及最小二乘支持向量机LSSVM,建立了CQPSO-LSSVM网络入侵检测模型。该模型利用CQPSO算法对网络入侵的相关特征进行选择,从而获得最优特征子集,减少后续LSSVM所需处理的输入特征给数,有效降低计算量,并提高检测效率。经过KDD CUP 99数据集的仿真测试实验,该模型检测效果良好,具有较高的检测率、较低的误报率和漏报率,且检测速率较快,能够满足网络入侵检测的实时性与准确性的要求,为相关网络入侵检测模型的设计和建立提供参考。

基于自适应直觉模糊推理的入侵检测系统设计与实现

通过对入侵检测技术和自适应神经-直觉模糊推理系统的研究,设计并实现了基于自适应直觉模糊推理的入侵检测系统.首先,详细阐述了系统的总体框架设计及各模块的设计.其次,选用KDDCUP99数据集作为入侵检测数据集,对设计的入侵检测系统进行实现,并详细叙述了具体的检测步骤.最后,通过获得的检测结果验证了系统的可行性.

聚类分析在DoS攻击检测和防护中的研究和应用

网络入侵检测数据集的特征属性是衡量网络入侵状况的重要指标,对其进行分析研究可以深入了解网络入侵现状及其规律。使用Weka软件的聚类分析挖掘算法,把拒绝服务攻击类型中按照特征属性的相似性分为六类,并分析了各类的特点。

基于卷积神经网络的入侵检测研究

传统机器学习方法在面对庞大、多维的网上数据时,无法满足入侵检测的准确性和实时性的要求,而大规模的数据刚好为深度学习提供了训练数据,深度学习可以直接从数据中获取高级特征.为此,本文提出一种基于卷积神经网络(Convolutional Neural Network,CNN)的入侵检测方法,首先通过数据的预处理去除了5个对结果影响较小的特征,使得预处理结束后数据集的维度刚好满足卷积神经网络的输入要求,然后通过遗传算法(Genetic Algorithm,GA)对卷积神经网络的权值进行优化,解决了参数调优难的问题.将训练好的模型在KDDCUP99数据集上进行验证,实验结果表明本模型的收敛速度较快,准确率高于98.5%,有重要的研究价值.

基于PCA的SVM网络入侵检测研究

文章针对传统入侵检测方法无法很好地对大样本数据降维、检测效率低、时间长、误报漏报率高等缺点,提出一种基于主成分分析(principal component analysis,PCA)的支持向量机(support vector machine,SVM)网络入侵检测方法(PCA—SVM)。该方法在对数据进行预处理之后,通过PCA对原始数据集的41个属性进行数据降维并消除冗余数据,找到具有最优分类效果的主成分属性集,然后再以此数据集训练支持向量机分类器,得到检测器。实验选择KDD99数据集在Matlab平台上对PCA-SVM算法进行仿真。相比于由传统41个属性训练得到的入侵检测器,文中方法大大缩短了检测时间,提高了检测效率,为网络入侵检测技术提供了一种新的可行方案。