江苏省自然科学基金(BK2005009) 作品数:16 被引量:47 H指数:4 相关作者: 潘志松 缪志敏 胡谷雨 倪桂强 罗隽 更多>> 相关机构: 解放军理工大学 更多>> 发文基金: 江苏省自然科学基金 国家自然科学基金 中国博士后科学基金 更多>> 相关领域: 自动化与计算机技术 更多>>
基于改进隐马尔可夫模型的系统调用异常检测 被引量:4 2009年 针对隐马尔可夫模型计算开销过高的问题,提出了一种新的基于隐马尔可夫模型(Hidden Markov model,HMM)的异常检测方法,利用系统调用执行迹具有的局部规律性,用改进的HMM(Improved HMM,IHMM)学习算法来构建程序正常行为模型。在检测时,首先对待测系统调用数据用滑动窗口划分,并通过正常行为模型来判定异常,根据异常短序列占所有短序列的百分比来判断该进程是否行为异常。实验结果显示该方法训练耗时仅为传统方法的1%。当阈值在一个较大范围内变化时,模型的检测性能始终保持稳定。表明本文方法通过避免对大量相同短序列的重复计算,显著减少了训练时间和计算开销,在实际应用中具有良好的可操作性。 王琼 倪桂强 潘志松 缪志敏 胡谷雨关键词:入侵检测 异常检测 隐马尔可夫模型 一种基于聚类分布的支持向量数据描述 2008年 在基于解决单类问题的支持向量数据描述算法基础上提出了基于聚类分布信息的c-SVDD算法.该算法对带野值的SVDD算法中的C值重新定义.通过增加核空间下测试样本的聚类分布信息。为每个样本定义一个特定的c值.c-SVDD算法适应于解决类别不平衡学习问题.该算法在保证少类样本高分类精度前提下,还有效提高了全样本的分类精度,更符合现实不平衡问题中对少类样本的处理要求.对UCI数据集和人工样本集进行实验.改进后的c-SVDD算法比带野值的SVDD算法AUC值平均提高0.14以上;比AdaBoost算法在正类查全率上平均提高40%,精确度也提高了至少5%. 缪志敏 赵陆文 潘志松 胡谷雨关键词:支持向量数据描述 ADABOOST 安全审计中频率敏感的异常检测算法 2008年 传统使用系统调用序列的异常检测算法主要关注切分的长度,忽略了各个系统调用序列的发生频率对整个检测结果的重要性。该文提出一种对序列发生频率敏感的基于支持向量描述异常检测算法,利用发生频率定义样本的重要性,使分类器更加倾向于这些重要的样本。采用国际标准数据集进行测试,讨论了核参数对分类结果的影响。实验结果表明,与传统检测模型相比,基于序列发生频率的检测模型具有较低的误警率。 罗隽 丁力 潘志松 胡谷雨 倪桂强关键词:安全审计 入侵检测系统 支持向量描述 单类分类器 基于支持向量描述的安全审计异常检测模型 2006年 在传统的网络安全审计系统中,需要由专家定义攻击特征来检测异常活动.由于攻击数据难以获取,往往只能得到正常用户的系统调用审计信息.设计了基于支持向量描述的单类分类器的安全审计模型,所有偏离正常模式的活动都被认为是入侵.通过对主机系统执行迹国际标准数据集的测试,只利用少量的训练样本,实验获得了对异常样本100%的检测率,而平均虚警率接近为0. 只利用正常样本建立了一个单分类器的异常检测模型,使得系统具有对新的异常行为的检测能力. 潘志松 罗隽 倪桂强 胡谷雨关键词:安全审计 入侵检测 支持向量描述 单类分类器 异常检测中单类分类算法和免疫框架设计 被引量:6 2006年 基于主机系统执行迹的异常检测系统可以检测类似U2R和R2L这两类攻击。由于攻击数据难以获取,往往只能得到正常的系统调用执行迹数据。该文设计了基于自组织特征映射的单类分类器的异常检测模型,只利用正常数据建立分类器,所有偏离正常模式的活动都被认为是入侵。通过对主机系统执行迹数据集的测试,试验获得了对异常样本接近100%的检测率,而误报警率为4.9%。该文将单类分类器作为抗体检测器,运用人工免疫学原理建立了分布式的异常检测框架,使入侵检测系统具有分布式、自组织和高效的特性,为建立分布式的入侵检测提出一种新的思路。 潘志松 倪桂强 谭琳 胡谷雨关键词:入侵检测 自组织特征映射 单类分类器 基于半监督学习的单类分类器 被引量:1 2010年 半监督学习是一种利用有标记样本和无标记样本进行学习的新的机器学习方法。针对单分类中只有目标类标记样本和大量无标记样本的情况,提出了一种基于半监督学习的单类分类算法。利用已标识的有标记样本建立两个单类分类器,通过相互学习来挖掘未标记样本中的隐含信息,扩大有标记样本的数量。利用所有已标识样本,用不同的单分类方法建立多个单类分类器,通过集成学习的方法得到最终的分类器。在UCI数据集上进行了实验,表明提出的基于半监督学习的单类分类器的有效性。 潘志松 严岳松 缪志敏 倪桂强 张晖关键词:单类分类器 半监督学习 基于SVDD的半监督入侵检测研究 被引量:7 2009年 提出了一种基于SVDD的半监督入侵检测算法.该算法利用少量有标记正常网络数据建立两个SVDD分类器,通过相互学习来挖掘未标记数据中的隐含信息,扩大有标记正常网络数据的数量.再利用所有已标记正常网络数据用不同的单分类方法建立多个单类分类器,通过集成学习的方法得到最终的分类器.实验表明,该算法具有良好的识别性能. 严岳松 倪桂强 缪志敏 潘志松 汪肇强关键词:入侵检测 半监督学习 CO-TRAINING 单类分类器 一种新的基于SVDD的多类分类算法 被引量:4 2009年 目前的多类学习方法大多将多类问题转化为二类问题,这样处理除了时间开销大,还存在识别盲区。提出了一种直接进行多类学习的算法multi-SVDD。该算法在考虑大样本和多类样本数据中的类内不平衡现象基础上,首先为每类训练样本进行聚类,根据聚类结果由支持向量数据描述(SVDD,Support Vector Date Description)建立多个最小包围球。根据测试样本到SVDD所建立的最小包围球的距离来确定测试样本属于哪个聚类,最终可判断测试样本属于哪个类。multi-SVDD算法在时空开销上相比最小包围球方法没有明显增长,而实验效果则好于最小包围球方法。 缪志敏 潘志松 袁伟伟 赵陆文关键词:支持向量数据描述 聚类 异常检测中频率敏感的单分类算法研究 被引量:3 2007年 使用系统调用序列的异常检测系统对于模拟正常用户的攻击行为有较好的检测效果.传统的算法主要关注切分的长度,却忽略了各个系统调用序列的发生频率对整个检测结果的重要性.在对样本进行切分的情况下,构建了一个对系统调用序列发生频率敏感的基于支持向量描述异常检测模型,利用发生频率定义样本的"重要性",使分类器更加倾向于这些重要的样本.采用国际标准数据集进行测试.实验表明,与传统的检测模型相比,基于序列发生频率的检测模型具有较低的误报警率. 罗隽 丁力 潘志松 胡谷雨关键词:安全审计 入侵检测系统 支持向量数据描述 单类分类器 基于写相关支持向量描述的入侵防护审计模型研究 被引量:3 2007年 设计了基于写相关支持向量描述的安全审计模型来实现一个新的单类分类器,对系统调用中"写性质"子集进行监视和分析,并以此训练单类分类器,使偏离正常模式的活动都被认为是潜在的入侵。该模型仅利用正常样本建立了单分类器,因此系统还具有对新的异常行为进行检测的能力。通过对主机系统执行迹国际标准数据集的优化处理,只利用少量的训练样本,实验获得了对异常样本100%的检测率,而平均虚警率接近为0。 罗隽 潘志松 缪志敏 胡谷雨关键词:入侵防护 入侵检测 安全审计 单类分类器