继电保护远程运维系统报文合规检测及入侵阻断技术应用

继电保护远程运维中数据传输各环节存在网络入侵风险,现有安全措施未有效处理业务层风险,且存在风险阻断不及时等问题。为此,提出一种报文合规检测方法及入侵阻断技术,分析报文的对象、格式、业务逻辑和行为模式,建立报文合规规则库及不合规报文阻断策略,设计开发不合规报文阻断模块及“一键阻断”紧急控制模块。通过模拟仿真环境测试,结果表明,上述技术对不同类型异常报文进行的阻断效果与预期一致,可有效阻断非法入侵攻击,从而提高继电保护远程运维的安全性和稳定性。

融合CNN-BiGRU和注意力机制的网络入侵检测模型

为提高网络入侵检测模型特征提取能力和分类准确率,提出了一种融合双向门控循环单元(CNN-BiGRU)和注意力机制的网络入侵检测模型.使用CNN有效提取流量数据集中的非线性特征;双向门控循环单元(BiGRU)提取数据集中的时序特征,最后融合注意力机制对不同类型流量数据通过加权的方式进行重要程度的区分,从而整体提高该模型特征提取与分类的性能.实验结果表明:其整体精确率比双向长短期记忆网络(BiLSTM)模型提升了2.25%.K折交叉验证结果表明:该模型泛化性能良好,避免了过拟合现象的发生,印证了该模型的有效性与合理性.

基于异常保持的弱监督学习网络入侵检测模型

网络入侵检测系统对维护网络安全至关重要,目前针对只有较少异常标记网络数据的入侵检测场景的研究较少。基于数据的异常保持性,设计了基于异常保持的弱监督学习网络入侵检测模型WIDS-APL,该检测模型包含数据转换层、表征学习层、转换分类层和异常判别层4部分,利用一组可学习的编码器将样本映射到不同区域并压缩到超球体,利用异常样本的标签信息学习正常样本和异常样本的分类界限,得到样本的异常分数。在4个数据集上的测试结果表明了该模型的有效性和鲁棒性,相比4个主流算法,在AUC-ROC值上分别提升了4.80%,5.96%,1.58%和1.73%,在AUC-PR性能上分别提升了15.03%,2.95%,4.71%和9.23%。

面向物联网的入侵检测技术研究新进展

相较于传统入侵检测机制,智能化的入侵检测技术能够充分提取数据特征,具有更高的检测效率,但对数据样本标签的要求也更高。文章按数据样本标签从有监督和无监督角度对物联网入侵检测技术的最新进展进行综述。首先概述了基于签名的入侵检测方法,并基于有监督和无监督的分类分析了近期基于传统机器学习的入侵检测方法;然后分析了近期基于深度学习的入侵检测方法,分别对基于有监督、无监督、生成对抗网络和深度强化学习的入侵检测方法进行分析;最后分析总结了物联网入侵检测技术的研究挑战和未来的研究趋势。

融合改进自编码器和残差网络的入侵检测模型

互联网中存在大量隐私数据,因此防止网络入侵成为保护网络安全的关键问题。为提高网络入侵检测的准确率并解决其收敛慢问题,设计一种改进的堆叠自动编码器和残差网络(ISAE-ResNet)入侵检测模型。融合栈式自编码器和残差网络,首先将预处理后的数据输入到改进的栈式自编码器中,该栈式自编码器由2个副编码器和1个主编码器组成,数据经过副编码器和主编码器训练后重构出新的特征来防止过拟合问题;然后将解码层的权重捆绑到编码层进行优化,使模型参数减半来进行降维,提高模型的收敛速度;最后将处理过的数据输入到改进的残差网络中,并基于改进的ResNet网络设计一种加入软阈值函数的残差模块,通过降低数据中的噪声来提高模型准确率。在CIC-IDS-2017数据集上的实验结果表明,该模型准确率为98.67%,真正例率为95.93%,误报率为0.37%,损失函数值快速收敛至0.042,在准确率、真正例率、误报率和收敛速度方面均超过对比入侵检测模型,具有较高的有效性和可行性。

多尺度卷积与双注意力机制融合的入侵检测方法

为提高互联网入侵检测方法的准确率,提出一种卷积神经网络与注意力机制结合的入侵检测方法。利用Borderline-SMOTE过采样算法和MinMax归一化对数据进行预处理,有效缓解入侵数据量差异较大问题,提升非平衡数据检测性能;使用卷积神经网络Inception结构多尺度对数据进行特征提取,并配合注意力机制进行维度更新,提高模型处理海量数据时特征表达的准确性。研究结果表明:入侵检测方法的平均准确率为99.57%;相较于SVM方法、CNN方法、RNN方法、BLS-GMM方法,准确率分别提升了4.48%、1.35%、1.62%和0.04%,召回率分别提高了4.48%、1.36%、1.62%和0.14%。

基于机器学习与DBN网络的网络入侵检测方法研究

随着计算机网络的发展,网络入侵的情况也越来越严重。传统网络入侵检测方法存在检测效率低、误判率高的情况,为了解决这些问题,提出了一种基于支持向量机的深度置信网络(SVM-DBN)的入侵检测方法。通过对支持向量机(SVM)进行优化,将支持向量机与深度信念网络(DBN)融合,利用SVM、DBN与SVM-DBN在网络入侵数据集中进行对比。结果表明,SVM-DBN算法的误差率最低,比DBN和SVM的误差率平均值分别低了8.95%,12.70%,且SVM-DBN算法在训练次数为140次时最大绝对百分比误差为4.8%,均优于对比方法。这说明SVM-DBN网络能够有效地提高网络入侵检测的精度和效率。

基于改进K-means数据聚类算法的网络入侵检测

随着入侵手段的不断更新和升级,传统入侵检测方法准确率下降、检测时间延长,无法满足网络防御要求。为此,提出一种经过改进K均值(K-means)数据聚类算法,以应对不断升级的网络入侵行为。先以防火墙日志为基础转换数值,然后基于粒子群算法求取最优初始聚类中心,实现K-means数据聚类算法的改进;最后以计算得出的特征值为输入项,实现对网络入侵行为的精准检测。结果表明:K-means算法改进后较改进前的戴维森堡丁指数更小,均低于0.6,达到了改进目的。改进K-means算法各样本的准确率均高于90%,相对更高,检测时间均低于10 s,相对更少,说明该方法能够以高效率完成更准确的网络入侵检测。

基于Agent人工智能的异构网络多重覆盖节点入侵检测系统设计

异构网络具有结构复杂、多重覆盖面积大等特征,使得网络入侵检测较为隐蔽,威胁网络运行的安全性;为此,对基于Agent人工智能的异构网络多重覆盖节点入侵检测系统进行了研究;通过检测Agent和通信Agent装设主机Agent,以Cisco Stealthwatch流量传感器作为异构网络传感器检测攻击行为,采用STM32L151RDT664位微控制器传输批量数据,由MAX3232芯片实现系统电平转化,实现硬件系统设计;软件部分设计入侵检测标准,采用传感器设备捕获网络实时数据,通过Agent技术解析异构网络协议并提取数据运行特征,综合考虑协议解析结果及与检测标准匹配度,实现异构网络多重覆盖节点入侵检测;经实验测试表明,基于Agent人工智能的异构网络多重覆盖节点入侵检测系统入侵行为的漏检率和入侵类型误检率的平均值仅为6%和5%,能够有效提高检测精度,减小检测误差。

基于CAN的现代车辆入侵检测

现代汽车广泛使用CAN总线结构控制车辆内的各种电子部件,但标准的CAN协议存在漏洞,易受到拒绝服务、模糊攻击和重放等攻击,而传统的基于IP协议的入侵检测技术不能直接应用于现代车辆。于是分析CAN结构,找到其缺陷;针对CAN的攻击技术,分析CAN总线特征后,融合基于频率检测、机器学习和统计检测三种异常检测方法对车辆进行入侵检测,通过实验验证,可以总体上提高现代车辆入侵检测系统的性能。

基于分割点改进孤立森林的网络入侵检测方法

随着网络攻击的不断增多和日益复杂化,传统基于监督的网络入侵检测算法不能准确识别没有类别标记或特征不明显的网络访问链接,而对于无监督的网络入侵检测算法,也存在检测效率和准确率低等问题。针对如何进一步提升网络入侵检测性能,提出使用自编码器(AE)与分割点改进孤立森林模型对网络入侵进行检测。首先,对无监督自编码器进行L1正则化,以增强自编码器的稀疏性,通过学习数据内在结构,自适应地提取具有判别性的特征,完成入侵攻击的特征提取;然后,使用改进的孤立森林分离异常点,即使用最大化均值与标准差之商来确定分割点划分最佳超平面来构建隔离树,使隔离树在相关子空间中具有更强隔离异常值的能力,并通过遍历所有隔离树中数据点的平均路径长度得到异常得分来判定异常流量。在KDDCUP99和UNSW-NB15数据集上的实验结果表明,与6种传统无监督方法相比,该方法较传统孤立森林准确率和召回率均提升约20%,F1值和曲线下面积(AUC)值均提升约10%,较其他无监督方法相比大幅降低了误码率。

基于云计算的舰船通信网络入侵检测方法研究

为在面临大规模网络攻击或突发攻击时,提高入侵检测的实时性,提出基于云计算的舰船通信网络入侵检测方法。通过云计算的MapReduce编程模型,设计MapReduce并行化的遗传量子粒子群优化算法,在舰船通信网络数据内,提取网络入侵特征;利用MapReduce并行化熵聚类算法,确定径向基函数神经网络的基函数中心;确定基函数中心后,在MapReduce编程模型的Map函数内,输入网络入侵特征样本,训练神经网络,优化神经网络权值,通过Reduce函数输出训练结束指示,完成神经网络训练;在完成训练的MapReduce并行化径向基函数神经网络内,输入特征样本,输出舰船通信网络入侵检测结果。实验证明,该方法可有效提取舰船通信网络入侵特征;在不同网络攻击类型下,该方法均可精准完成舰船通信网络入侵检测。

基于多尺度融合和时空特征的网络入侵检测模型

针对入侵检测模型提取特征能力不足,且流量数据中含冗余噪声的问题,提出一种基于多尺度融合和时空特征的ML-PFN入侵检测模型。采用多尺度特征融合技术分别提取数据中浅层特征信息和深层特征信息,使模型学习的特征更加丰富;采用软阈值函数和注意力机制自动选择合适的阈值,减少噪声及不相关信息对模型的干扰;融合时空特征构成多尺度空间特征提取长短时记忆-并行特征网络(MSFE LSTM-parallel feature network, ML-PFN)模型,并应用于网络入侵检测。通过3个公开数据集进行性能评估,实验结果表明,ML-PFN模型对比其它5种分类模型各项指标效果最好,在训练时长适中的同时准确率达到96.45%。

改进复合免疫算法的大规模网络入侵攻击检测

为提高入侵攻击检测效果以应对多种网络攻击,提出一种改进复合免疫算法的大规模网络入侵攻击检测方法。通过对自我和非我的区分匹配,描述网络入侵攻击检测问题,凭借模糊算法规则明确免疫机制界限。将遗传算法带入否定选择法中,令任意染色体可描述为模糊规则中的部分限定,设定惩罚系数限制规则覆盖正常样本的概率,令检测器选择过程简单化。选用二进制编码和汉明距离计算抗体与抗原间亲和度,得出二者在大规模网络内的浓度,最后基于检测器数据集与网络数据对比,若匹配则存在入侵攻击,根据对比结果记录抗体并报警。实验结果表明,所提方法能够提高检测精度和效率,具有极佳的适用性和应用价值。

基于组合森林的工业控制系统入侵检测

随着工业控制系统与互联网的关联逐渐紧密,增加了工控系统被外部入侵的可能性,其网络安全也变得日渐重要。针对上述问题,提出了一种基于组合孤立森林的IPCA-CIF入侵检测方法。该方法在PCA的基础上引入信息价值实现特征提取;其次,结合孤立森林和扩展孤立森林提出了一种组合森林的入侵检测方法,对降维后的数据进行入侵检测;最后构建入侵检测模型进行结果验证。实验表明,IPCA-CIF模型在SWa T数据集上,其检测率为0.986,F1-score可达0.893,具有良好的检测性能。

基于集成学习的无监督网络入侵检测方法

目前,网络对抗对入侵检测智能化和自主性的需求不断提高,基于深度学习的方法通过训练和学习来区分复杂攻击模式和行为,但有监督的学习方法需要专家知识和大量人工开销。针对上述问题,文章提出一种基于集成学习的无监督网络入侵检测方法,并使用基于3种不同异常检测理念的深度学习检测器,在3种不同集成逻辑下对各单检测器的检测结果进行检测判定。该方法可以综合分析时间序列数据中不同类型的异常数据,降低无监督异常检测模型由于过度拟合所造成的影响,并以一种高效的在线方式检测可能存在的网络攻击数据流。在KDD CUP 1999和CSE-CICIDS 2018数据集上进行验证,实验结果表明,与其他单一的无监督异常检测模型相比,文章提出的集成方法结合了不同无监督检测模型的优势,适用于对多种网络入侵引起的异常进行检测。

基于MobileViT轻量化网络的车载CAN入侵检测方法

车载控制区域网络(controller area network,CAN)总线因缺少安全措施而易被攻击,因此入侵检测系统(intrusion detection system,IDS)在保护车载CAN总线免受网络攻击中发挥着重要作用.现有基于深度学习的车载CAN总线入侵检测方法存在资源开销大和延迟较高的问题.为减少检测延迟,提高检测率,提出一种利用改进的轻量化MobileViT模型对车载CAN总线进行入侵检测的方法.首先,将攻击流量可视化为彩色图,再使用GELU替换MobileViT的MV2模块中常规ReLU6,从而作为该模块的激活函数,可有效解决神经元死亡问题,提升模型收敛速度.使用指数衰减自动更新学习率,并通过迁移学习加速训练过程实现对彩色图分类,从而达到对入侵行为的检测.基于CAR-HACKING DATASET数据集的实验表明,改进后的MobileViT在消耗较少算力的情况下对入侵行为的检测准确率为100%,模型参数仅为2.12 MB,平均响应时间仅为1.6 ms,节省了训练资源,并保证了检测的准确率.

基于深度生成模型的医院网络异常信息入侵检测算法

为保障医院信息网络的安全管理,避免医疗信息泄露,提出了基于深度生成模型的医院网络异常信息入侵检测算法。采用二进制小波变换方法,多尺度分解医院网络运行数据,结合自适应软门限去噪系数提取有效数据。运用最优运输理论中的Wasserstein距离算法与MMD(Maximun Mean Discrepancy)距离算法,在深度生成模型中,对医院网络数据展开降维处理。向异常检测模型中输入降维后网络正常运行数据样本,并提取样本特征。利用深度学习策略中的Adam算法,生成异常信息判别函数,通过待测网络运行数据与正常网络运行数据的特征对比,实现医院网络异常信息入侵检测。实验结果表明,算法能实现对医院网络异常信息入侵的高效检测,精准检测多类型网络入侵行为,为医疗机构网络运行提供安全保障。

基于空间特征和生成对抗网络的网络入侵检测

针对现有的入侵检测方法未能有效考虑到数据特征之间的关联性以及在高维离散的数据集上检测精度不高等问题,提出了一种基于空间特征与生成对抗网络的网络入侵检测方法MBGAN。首先,设计了一种将数据转换成灰度图的转换方法,使得卷积核能够捕获到图像中更多的上下文空间信息流。其次,采用双向生成对抗网络模型进行异常检测,使用转换后的流量图像对模型进行训练,同时引入最小Wasserstein距离和梯度惩罚技术,解决模型训练中模式崩塌和不稳定问题。实验结果表明:所提方法在NSL-KDD、UNSW-NB15、CICIDIS2017数据集上的检测精度分别为97.4%,92.3%,94.8%,召回率分别为97.2%,93.1%,95.6%,F 1值分别为97.3%,93.0%,95.2%,效果均优于其他方法。

基于机器学习的通信网络入侵检测系统

文章提出一种基于机器学习的创新型方法,以提高通信网络入侵检测系统的检测效果。首先,深入研究了通信网络入侵检测的基本架构,以全面理解入侵行为的多样性和复杂性。其次,将正则化约束引入循环神经网络(Recurrent Neural Networks,RNN)模型,旨在提高检测准确性和模型的泛化能力。最后,利用UNSW-NB15数据集进行实验,证明所提方法的有效性。实验采用混淆矩阵进行结果分析,并通过精确度、召回率、F1分数等指标综合评估模型性能。结果表明,文章所提方法在通信网络入侵检测任务中表现出色,具有较高的准确性和泛化能力。