Data Stream Subspace Clustering for Anomalous Network Packet Detection 被引量：1

1

作者 Zachary Miller Wei Hu 《Journal of Information Security》 2012年第3期215-223,共9页

As the Internet offers increased connectivity between human beings, it has fallen prey to malicious users who exploit its resources to gain illegal access to critical information. In an effort to protect computer netw... As the Internet offers increased connectivity between human beings, it has fallen prey to malicious users who exploit its resources to gain illegal access to critical information. In an effort to protect computer networks from external attacks, two common types of Intrusion Detection Systems (IDSs) are often deployed. The first type is signature-based IDSs which can detect intrusions efficiently by scanning network packets and comparing them with human-generated signatures describing previously-observed attacks. The second type is anomaly-based IDSs able to detect new attacks through modeling normal network traffic without the need for a human expert. Despite this advantage, anomaly-based IDSs are limited by a high false-alarm rate and difficulty detecting network attacks attempting to blend in with normal traffic. In this study, we propose a StreamPreDeCon anomaly-based IDS. StreamPreDeCon is an extension of the preference subspace clustering algorithm PreDeCon designed to resolve some of the challenges associated with anomalous packet detection. Using network packets extracted from the first week of the DARPA '99 intrusion detection evaluation dataset combined with Generic Http, Shellcode and CLET attacks, our IDS achieved 94.4% sensitivity and 0.726% false positives in a best case scenario. To measure the overall effectiveness of the IDS, the average sensitivity and false positive rates were calculated for both the maximum sensitivity and the minimum false positive rate. With the maximum sensitivity, the IDS had 80% sensitivity and 9% false positives on average. The IDS also averaged 63% sensitivity with a 0.4% false positive rate when the minimal number of false positives is needed. These rates are an improvement on results found in a previous study as the sensitivity rate in general increased while the false positive rate decreased. 展开更多

关键词 ANOMALY detection intrusion detection System Network Security PREFERENCE SUBSPACE clustering stream data Mining

暂未订购

Anomalous Network Packet Detection Using Data Stream Mining

2

作者 Zachary Miller William Deitrick Wei Hu 《Journal of Information Security》 2011年第4期158-168,共11页

In recent years, significant research has been devoted to the development of Intrusion Detection Systems (IDS) able to detect anomalous computer network traffic indicative of malicious activity. While signature-based ... In recent years, significant research has been devoted to the development of Intrusion Detection Systems (IDS) able to detect anomalous computer network traffic indicative of malicious activity. While signature-based IDS have proven effective in discovering known attacks, anomaly-based IDS hold the even greater promise of being able to automatically detect previously undocumented threats. Traditional IDS are generally trained in batch mode, and therefore cannot adapt to evolving network data streams in real time. To resolve this limitation, data stream mining techniques can be utilized to create a new type of IDS able to dynamically model a stream of network traffic. In this paper, we present two methods for anomalous network packet detection based on the data stream mining paradigm. The first of these is an adapted version of the DenStream algorithm for stream clustering specifically tailored to evaluate network traffic. In this algorithm, individual packets are treated as points and are flagged as normal or abnormal based on their belonging to either normal or outlier clusters. The second algorithm utilizes a histogram to create a model of the evolving network traffic to which incoming traffic can be compared using Pearson correlation. Both of these algorithms were tested using the first week of data from the DARPA ’99 dataset with Generic HTTP, Shell-code and Polymorphic attacks inserted. We were able to achieve reasonably high detection rates with moderately low false positive percentages for different types of attacks, though detection rates varied between the two algorithms. Overall, the histogram-based detection algorithm achieved slightly superior results, but required more parameters than the clustering-based algorithm. As a result of its fewer parameter requirements, the clustering approach can be more easily generalized to different types of network traffic streams. 展开更多

关键词 ANOMALY detection clustering data stream Mining intrusion detection System HISTOGRAM PAYLOAD

暂未订购

基于过程挖掘和迹聚类的网络攻击建模分析方法

3

作者 魏永鹏 《重庆工商大学学报(自然科学版)》 2025年第6期78-85,共8页

目的针对网络入侵检测系统发出的大量警报信息分析困难的问题,提出一种基于过程挖掘和迹聚类的网络攻击警报建模分析方法,根据网络安全日志信息建立并简化网络攻击模型。方法该方法使用过程挖掘技术分析警报信息中的所包含的攻击者的行... 目的针对网络入侵检测系统发出的大量警报信息分析困难的问题,提出一种基于过程挖掘和迹聚类的网络攻击警报建模分析方法,根据网络安全日志信息建立并简化网络攻击模型。方法该方法使用过程挖掘技术分析警报信息中的所包含的攻击者的行为信息和所使用的攻击方法信息,并以高层次可视化模型向网络管理人员提供攻击信息。利用基于频繁序列模式的迹聚类技术对日志活动间的行为关系进行分析,提取出活动的频繁序列模式,并且根据频繁序列模式对迹进行匹配,将相似的迹聚为一类,从而将一个警报日志L的复杂网络攻击警报模型分解为多个子日志的简单、直观的子模型。结果仿真实验表明:提出方法得到的网络攻击模型在精确度、适应度和F 1分数上均有较好的表现;对于复杂的攻击模型,使用迹聚类方法可以生成多个低复杂性的模型,有效地降低其复杂性。结论该网络攻击建模方法引入过程挖掘和迹聚类后,相较于传统建模分析方法可以更有效地反映出网络攻击者的入侵策略,并且对于复杂的攻击模型可以有效地降低其复杂程度。 展开更多

关键词 过程挖掘 迹聚类 频繁序列模式 入侵检测 安全分析

在线阅读 下载PDF 职称材料

基于数据流的网络入侵实时检测框架 被引量：13

4

作者 李艳红 李德玉 +1 位作者 崔梦天 李华 《计算机应用》 CSCD 北大核心 2015年第2期416-419,429,共5页

针对计算机网络访问请求具有实时到达以及动态变化的特点,为了实时检测网络入侵,并且适应网络访问数据的动态变化,提出一个基于数据流的网络入侵实时检测框架。首先,将误用检测模式与异常检测模式相结合,通过初始聚类建立由正常模式和... 针对计算机网络访问请求具有实时到达以及动态变化的特点,为了实时检测网络入侵,并且适应网络访问数据的动态变化,提出一个基于数据流的网络入侵实时检测框架。首先,将误用检测模式与异常检测模式相结合,通过初始聚类建立由正常模式和异常模式构成的知识库;其次,采用数据点与数据簇之间的不相似性来度量网络访问数据与正常模式和异常模式的相似性,从而判定网络访问数据的合法性;最后,当网络访问数据流发生演化时,通过重新聚类来更新知识库以反映网络访问的最近状态。在入侵检测数据集KDDCup99上进行实验,当初始聚类的样本数为10 000,缓冲区聚类的样本数为10 000,调节系数为0.9时,召回率达到91.92%,误报率达到0.58%,接近传统非实时检测模式的结果,但整个学习和检测过程只需扫描网络访问数据一次,并引入了知识库的更新机制,在入侵检测的实时性和适应性方面更具有优势。 展开更多

关键词 数据流 入侵检测 聚类 知识库 信息熵

在线阅读 下载PDF 职称材料

基于数据流的异常入侵检测 被引量：11

5

作者 俞研 郭山清 黄皓 《计算机科学》 CSCD 北大核心 2007年第5期66-71,114,共7页

目前,基于机器学习的异常入侵检测算法通常建立在对整个历史数据集进行等同的学习基础之上,学习到的网络行为轮廓过于依赖历史数据,难以准确反映当前网络通信量的行为特征。同时,算法的时间和空间复杂度较高,难以对网络中持续快速到达... 目前,基于机器学习的异常入侵检测算法通常建立在对整个历史数据集进行等同的学习基础之上,学习到的网络行为轮廓过于依赖历史数据,难以准确反映当前网络通信量的行为特征。同时,算法的时间和空间复杂度较高,难以对网络中持续快速到达的大规模数据报文进行存储与维护。本文提出,一种基于数据流聚类的两阶段异常入侵检测方法,首先在线生成网络数据的统计信息,并利用最能反映当前网络行为的统计信息检测入侵行为。实验结果表明,其检测性能优于基于所有历史数据进行入侵检测的结果,并克服了内存等系统资源不足的问题,增加了系统的灵活性与并行性。 展开更多

关键词 入侵检测 数据流处理 聚类分析

在线阅读 下载PDF 职称材料

数据流中孤立点识别方法 被引量：4

6

作者 单世民 邓贵仕 何英昊 《计算机工程》 CAS CSCD 北大核心 2007年第15期172-174,共3页

针对基于聚类分析及基于孤立点检测的入侵检测方法的局限,根据数据流的特点,提出了一种数据流中孤立点动态识别方法。该方法使用动态微粒群算法对特征空间中当前主要聚类的特征点进行追踪,通过计算数据流中数据对象与特征点的距离来判... 针对基于聚类分析及基于孤立点检测的入侵检测方法的局限,根据数据流的特点,提出了一种数据流中孤立点动态识别方法。该方法使用动态微粒群算法对特征空间中当前主要聚类的特征点进行追踪,通过计算数据流中数据对象与特征点的距离来判断数据对象的性质。将该方法应用于入侵检测而进行的实验证明了方法的有效性。 展开更多

关键词 数据流 聚类 孤立点检测 微粒群算法 入侵检测

在线阅读 下载PDF 职称材料

基于数据挖掘的网络入侵检测技术研究 被引量：16

7

作者 朱岸青 张昌城 《计算机工程与设计》 CSCD 北大核心 2008年第2期318-322,共5页

现有NIDS的检测知识一般由手工编写,其难度和工作量都较大。将数据挖掘技术应用于网络入侵检测,在Snort的基础上构建了基于数据挖掘的网络入侵检测系统模型。重点设计和实现了基于K-Means算法的异常检测引擎和聚类分析模块,以及基于Apri... 现有NIDS的检测知识一般由手工编写,其难度和工作量都较大。将数据挖掘技术应用于网络入侵检测,在Snort的基础上构建了基于数据挖掘的网络入侵检测系统模型。重点设计和实现了基于K-Means算法的异常检测引擎和聚类分析模块,以及基于Apriori算法的关联分析器。实验结果表明,聚类分析模块能够自动建立网络正常行为模型,并用于异常检测,其关联分析器能够自动挖掘出新的入侵检测规则。 展开更多

关键词 异常检测 入侵检测 数据挖掘 聚类分析 关联分析 关联分析器

在线阅读 下载PDF 职称材料

混合属性数据流的两阶段入侵检测算法 被引量：2

8

作者 苏晓珂 兰洋 +2 位作者 秦玉明 万仁霞 程耀东 《计算机工程》 CAS CSCD 北大核心 2010年第18期19-20,23,共3页

以KDDCUP99-10%网络入侵数据集作为数据流,提出一种混合属性数据流的两阶段入侵检测算法。通过增量聚类提取数据流的代表信息,根据提出的加权模糊簇特征对增量聚类结果做模糊聚类,簇数可动态改变。理论分析和实验结果表明,该算法可以有... 以KDDCUP99-10%网络入侵数据集作为数据流,提出一种混合属性数据流的两阶段入侵检测算法。通过增量聚类提取数据流的代表信息,根据提出的加权模糊簇特征对增量聚类结果做模糊聚类,簇数可动态改变。理论分析和实验结果表明,该算法可以有效检测数据流入侵。 展开更多

关键词 混合属性 模糊聚类 数据流 入侵检测

在线阅读 下载PDF 职称材料

一种基于网络的入侵检测模型及其实现 被引量：4

9

作者 胡军华 周炎涛 郭如冰 《湖南大学学报（自然科学版）》 EI CAS CSCD 北大核心 2006年第6期119-122,共4页

在入侵检测CIDF体系结构基础上,提出了基于网络的二层式多数据包分析入侵检测模型.这一模型中,事件分析器对当前事件分两层进行处理:先将当前事件结合历史事件进行关联分类,找出与当前事件关联紧密的历史事件;然后对包含当前事件的这一... 在入侵检测CIDF体系结构基础上,提出了基于网络的二层式多数据包分析入侵检测模型.这一模型中,事件分析器对当前事件分两层进行处理:先将当前事件结合历史事件进行关联分类,找出与当前事件关联紧密的历史事件;然后对包含当前事件的这一类关联事件进行回归分析,最终发现潜在的协同攻击和分布式入侵行为.仿真试验说明该算法模型能够检测出传统入侵检测系统难以发现的分布式入侵行为. 展开更多

关键词 回归分析 凝聚聚类 数据挖掘 网络入侵检测

在线阅读 下载PDF 职称材料

基于小样本标记实例的数据流集成入侵检测模型 被引量：2

10

作者 俞研 黄皓 《电子学报》 EI CAS CSCD 北大核心 2007年第2期234-239,共6页

基于监督学习的异常入侵检测算法通常面临着训练样本不足的问题,同时,对整个历史数据集进行等同学习,没有充分考虑到网络数据模式随时间变化的特点.本文提出了一种基于小样本标记实例的数据流集成入侵检测模型,对小样本的标记数据集进... 基于监督学习的异常入侵检测算法通常面临着训练样本不足的问题,同时,对整个历史数据集进行等同学习,没有充分考虑到网络数据模式随时间变化的特点.本文提出了一种基于小样本标记实例的数据流集成入侵检测模型,对小样本的标记数据集进行扩展,解决了训练样本不足的问题,并能够充分适应网络数据模式随时间变化的特点.实验结果表明,在小样本标记实例情况下,算法的检测性能明显优于基于所有历史数据进行入侵检测的结果. 展开更多

关键词 入侵检测 数据流处理 小样本标记实例 集成入侵检测模型

在线阅读 下载PDF 职称材料

K-means聚类算法在入侵检测中的应用 被引量：23

11

作者 李洋 《计算机工程》 CAS CSCD 北大核心 2007年第14期154-156,共3页

提出了一种基于聚类分析方法构建入侵检测库的模型,实现了按K-平均值方法建立入侵检测库并据此划分安全等级的思想。该检测系统的建立不依赖于经验数据,能自动依据原有数据对入侵行为进行重新划分。仿真实验表明,该方法具有较强的实用... 提出了一种基于聚类分析方法构建入侵检测库的模型,实现了按K-平均值方法建立入侵检测库并据此划分安全等级的思想。该检测系统的建立不依赖于经验数据,能自动依据原有数据对入侵行为进行重新划分。仿真实验表明,该方法具有较强的实用性和自适应功能。 展开更多

关键词 网络安全 入侵检测 数据挖掘 聚类分析 K-平均值

在线阅读 下载PDF 职称材料

入侵检测中数据挖掘技术的应用研究分析 被引量：12

12

作者 杨德刚 《重庆师范大学学报（自然科学版）》 CAS 2004年第4期27-30,共4页

随着计算机的发展,它在现代社会扮演着越来越关键的角色。而网络安全正成为逐渐严重的问题,受到人们的广泛关注。本文详细分析近年来网络安全研究热点之一的入侵检测技术,概述了多种基于数据挖掘的入侵检测技术,对这些技术进行了分析和... 随着计算机的发展,它在现代社会扮演着越来越关键的角色。而网络安全正成为逐渐严重的问题,受到人们的广泛关注。本文详细分析近年来网络安全研究热点之一的入侵检测技术,概述了多种基于数据挖掘的入侵检测技术,对这些技术进行了分析和比较,并给出了一个基于数据挖掘的入侵检测系统框架。最后讨论了该领域当前存在的问题及今后的研究方向。 展开更多

关键词 入侵检测技术 网络安全 数据挖掘技术 入侵检测系统 计算机 细分 角色 问题 发展 领域

在线阅读 下载PDF 职称材料

基于有效载荷的多级实时入侵检测系统框架 被引量：3

13

作者 刘解放 赵斌 周宁 《计算机科学》 CSCD 北大核心 2014年第4期126-133,共8页

网络入侵检测系统使用大量特征集来识别入侵,需要处理庞大的网络流量,目前大多数现有的系统缺乏实时异常检测能力。提出了一种基于有效载荷的多级实时入侵检测系统,它首先采用n-gram分析网络数据包有效载荷来构建特征模型,进行数据准备... 网络入侵检测系统使用大量特征集来识别入侵,需要处理庞大的网络流量,目前大多数现有的系统缺乏实时异常检测能力。提出了一种基于有效载荷的多级实时入侵检测系统,它首先采用n-gram分析网络数据包有效载荷来构建特征模型,进行数据准备;其次采用3级迭代特征选择引擎进行特征子集选择,其中主成分分析用于数据的预处理,并结合累积能量、平行分析和碎石检验进行主成分选择;最后采用马氏距离图发现特征间及数据包间隐藏的相关性。马氏距离的差异性准则用来区分正常或攻击数据包。通过DARPA 99和GATECH数据集验证了该系统的有效性,用Web应用程序流量验证了其模型,用F值评估了其检测性能。与目前同类主流的两款入侵检测系统进行了对比试验,结果表明:该系统提高了检测精度,降低了误报率和计算复杂度。与中型企业网的真实场景相比,它具有1.3倍的高吞吐量。 展开更多

关键词 入侵检测 数据预处理 N-GRAM 主成分分析 马氏距离图 迭代特征选择

在线阅读 下载PDF 职称材料

一种基于聚类和协议分析的入侵检测方法 被引量：1

14

作者 莫乐群 郭庚麒 姚国祥 《计算机工程与应用》 CSCD 北大核心 2009年第14期81-83,共3页

根据入侵检测中协议分析技术与聚类数据挖掘技术各自不同的检测特点,提出了一种新的入侵检测方法,将协议分析技术融合到聚类数据挖掘中。通过数据清洗和协议分析不但可以有效减少聚类挖掘的数据量,快速地检测出入侵行为,而且可以让被挖... 根据入侵检测中协议分析技术与聚类数据挖掘技术各自不同的检测特点,提出了一种新的入侵检测方法,将协议分析技术融合到聚类数据挖掘中。通过数据清洗和协议分析不但可以有效减少聚类挖掘的数据量,快速地检测出入侵行为,而且可以让被挖掘的数据更加符合聚类数据挖掘的先决条件,提高了聚类数据挖掘检测的效率。 展开更多

关键词 入侵检测 数据挖掘 聚类 协议分析

在线阅读 下载PDF 职称材料

基于数据流异常挖掘的入侵检测系统设计 被引量：5

15

作者 李浪 李仁发 《科学技术与工程》 2008年第13期3500-3503,共4页

通过对入侵检测和数据流异常挖掘技术的研究,把数据流异常挖掘应用到入侵检测,成为目前入侵检测新的有效方法和研究热点。对基于数据流异常挖掘的入侵检测系统模型进行了设计,并对数据流异常挖掘算法进行了设计和实现,通过实验分析,取... 通过对入侵检测和数据流异常挖掘技术的研究,把数据流异常挖掘应用到入侵检测,成为目前入侵检测新的有效方法和研究热点。对基于数据流异常挖掘的入侵检测系统模型进行了设计,并对数据流异常挖掘算法进行了设计和实现,通过实验分析,取得了较好的效果。 展开更多

关键词 入侵检测 数据流处理 异常挖掘

在线阅读 下载PDF 职称材料

基于聚类挖掘的入侵检测方法的研究 被引量：2

16

作者 莫乐群 郭庚麒 《计算机应用与软件》 CSCD 2010年第4期133-136,共4页

提出一种新的基于聚类挖掘的入侵检测方法。通过将入侵检测方法中的协议分析技术应用于数据清洗中,使得聚类数据挖掘理论与入侵检测实践更加贴近。此外,它还对聚类数据挖掘中的一些经典算法进行了扩展,以增强入侵检测的决策分析的能力。

关键词 入侵检测 数据挖掘 聚类 协议分析

在线阅读 下载PDF 职称材料

基于数据流的网络入侵检测研究 被引量：2

17

作者 朱桂宏 王刚 《计算机技术与发展》 2009年第3期175-177,共3页

目前,入侵检测系统面临数据量大、内存等系统资源不足的问题。将两阶段聚类算法应用于入侵检测,设计了基于数据流的入侵检测系统模型。实验结果表明,该系统可以取得较高的检测率和较低的误报率,具有自适应性和可扩展性,并有效降低了对... 目前,入侵检测系统面临数据量大、内存等系统资源不足的问题。将两阶段聚类算法应用于入侵检测,设计了基于数据流的入侵检测系统模型。实验结果表明,该系统可以取得较高的检测率和较低的误报率,具有自适应性和可扩展性,并有效降低了对内存资源的需求。 展开更多

关键词 入侵检测 数据流 聚类分析

在线阅读 下载PDF 职称材料

基于改进K均值聚类的入侵检测算法研究 被引量：7

18

作者 何明亮 陈泽茂 黄相静 《计算机与数字工程》 2017年第6期1145-1149,共5页

为解决现有入侵检测系统规则库维护管理复杂,系统检测效率不足等问题,设计了一种基于改进K均值聚类的规则挖掘算法。首先针对传统k-means算法聚类数目不确定的问题,通过分析聚类数目与簇间距离、簇内距离的关系,引入动态函数确定最佳聚... 为解决现有入侵检测系统规则库维护管理复杂,系统检测效率不足等问题,设计了一种基于改进K均值聚类的规则挖掘算法。首先针对传统k-means算法聚类数目不确定的问题,通过分析聚类数目与簇间距离、簇内距离的关系,引入动态函数确定最佳聚类数目;然后通过寻找数据密集区域避开离群点,优化了初始聚类中心的选择,提高了算法效率。采用改进k-means聚类的入侵规则挖掘算法能够快速有效的对大数据集进行聚类分析,解决了传统入侵检测系统规则库维护复杂、难于检测未知攻击等问题。 展开更多

关键词 入侵检测 数据挖掘 K-MEANS算法 聚类分析 规则库

在线阅读 下载PDF 职称材料

基于聚类算法的高速连续数据流并行处理控制系统设计 被引量：1

19

作者 刘敏 黄维 兰诗梅 《现代电子技术》 北大核心 2020年第13期114-118,共5页

传统的高速连续数据流并行处理控制系统运行过程中相对误差大,消耗内存高,为了解决这一问题,基于聚类算法设计了一种新的高速连续数据流并行处理控制系统。所提出的系统由功能层、数据源、接口层、数据层、资源层、应用层组成系统硬件结... 传统的高速连续数据流并行处理控制系统运行过程中相对误差大,消耗内存高,为了解决这一问题,基于聚类算法设计了一种新的高速连续数据流并行处理控制系统。所提出的系统由功能层、数据源、接口层、数据层、资源层、应用层组成系统硬件结构,通过数据的获取、预处理、聚类处理和类别预测四步完成软件流程,软件在运行过程中需要应用聚类算法。为检验控制系统效果,与传统控制系统进行实验对比,结果表明,基于聚类算法设计的高速连续数据流并行处理控制系统在运行过程中相对误差极小,占用的内存少,系统运行效率高,并行处理控制效果好。 展开更多

关键词 控制系统设计 聚类算法 数据流并行处理 聚类分析 参数设置 对比实验

在线阅读 下载PDF 职称材料

基于数据挖掘的入侵检测系统研究 被引量：2

20

作者 关心 王新 《信息技术》 2007年第10期100-103,共4页

通过对入侵检测和数据挖掘技术的研究,分析了数据挖掘技术在入侵检测系统中的应用。针对入侵检测领域特点,对经典关联、聚类算法进行了改进和优化。对k-means算法的改进解决了聚类算法固有的无法预知最佳聚类个数和分类过细的问题。

关键词 入侵检测 数据挖掘 聚类分析 关联规则

在线阅读 下载PDF 职称材料