面向工业网络流量的实时入侵检测方法 被引量：1

1

作者 连莲 王文诚 +1 位作者 宗学军 何戡 《沈阳工业大学学报》 北大核心 2025年第1期98-105,共8页

【目的】工业互联网是国家关键基础设施的重要组成部分,其安全性直接关系到国家安全、经济稳定和社会秩序。随着工业互联网的广泛应用,工业控制系统的网络攻击频发,造成了严重的经济损失和社会影响,因此,开发高效的实时入侵检测系统显... 【目的】工业互联网是国家关键基础设施的重要组成部分,其安全性直接关系到国家安全、经济稳定和社会秩序。随着工业互联网的广泛应用,工业控制系统的网络攻击频发,造成了严重的经济损失和社会影响,因此,开发高效的实时入侵检测系统显得尤为重要。传统的入侵检测系统在处理高维度网络流量数据时,往往难以有效区分正常流量和异常流量,尤其是在缺乏异常流量样本的情况下。【方法】为了解决该问题,本研究通过分析某油气集输管线工业控制系统真实网络流量特性,提出了一种结合Suricata的滑动窗口密度聚类工业网络实时异常检测方法。该方法针对工业网络流量特性,利用Suricata的开源性、可扩展性以及滑动窗密度聚类算法的动态检测能力,建立从流量采集解析到实时入侵检测的全过程入侵检测模型。本研究通过分析真实工业控制系统环境中的网络流量特性发现工业网络流量存在一定的周期性,利用基尼系数选取能体现工业网络流量特性混杂程度的特征,实现对工业网络流量降维处理,对降维后的数据使用滑动窗口分组构建工业网络正常流量特征阈值。利用改写Suricata实现实时流量采集与解析,并将实时解析结果输入到所构建的滑动窗口密度聚类入侵检测算法中,通过与工业网络正常流量特征阈值进行对比,快速筛选绝对正常流量组和绝对异常流量组。针对正常流量与异常流量掺杂的组别,通过密度聚类算法将异常流量分离,完成异常流量检测。【结果】将入侵检测方法在油气集输全流程工业场景攻防靶场中应用并开展大量实验,该方法能够有效识别异常流量,检测率达到96%以上,误报率低于3%。所提出的方法可以满足工业网络中异常流量检测高效性、可靠性和实时性需求。【结论】本研究的创新之处在于提供了一种新的工业网络异常流量检测方法,结合Suricata和滑动窗口密度聚类算法,建立了从流量采集解析到实时入侵检测的全过程入侵检测模型,对工业互联网安全防护具有重要的实践价值,为工业网络实时入侵检测提供一种新的研究思路。 展开更多

关键词 工业网络 网络安全 流量解析 特征分析 基尼系数 机器学习 密度聚类算法 入侵检测

在线阅读 下载PDF 职称材料

基于半监督学习的无线网络攻击行为检测优化方法 被引量：45

2

作者 王婷 王娜 +1 位作者 崔运鹏 李欢 《计算机研究与发展》 EI CSCD 北大核心 2020年第4期791-802,共12页

针对如何优化深度学习技术在海量高维复杂的无线网络流量数据中有效发现异常攻击行为的问题,提出一种基于半监督学习的无线网络攻击行为检测优化方法(WiFi network attacks detection optimization method,WiFi-ADOM).首先基于无监督学... 针对如何优化深度学习技术在海量高维复杂的无线网络流量数据中有效发现异常攻击行为的问题,提出一种基于半监督学习的无线网络攻击行为检测优化方法(WiFi network attacks detection optimization method,WiFi-ADOM).首先基于无监督学习模型栈式稀疏自编码器提出2种网络流量特征表示向量:新特征值向量和原始特征权重值向量.然后利用原始特征权重值向量初始化监督学习模型深度神经网络的权重值得到网络攻击类型的预判结果,并通过无监督学习聚类方法Bi-kmeans对网络流量的新特征值向量进行聚类以生成未知攻击类型判别纠正项.最后结合预判结果和未知攻击类型判别纠正项,得到网络攻击类型的最终判定结果.通过和已有研究方法对比,在公开无线网络攻击行为数据集AWID上验证了WiFi-ADOM方法对网络攻击行为检测的优化性能,同时探索了与网络攻击检测相关的重要特征属性的问题.实验结果表明:WiFi-ADOM方法在保证准确率等检测性能的同时能够有效检测未知攻击类型,具备优化网络攻击行为检测的能力. 展开更多

关键词 网络攻击行为检测 网络入侵检测 半监督学习 深度学习 Bi-kmeans聚类

在线阅读 下载PDF 职称材料

无线传感器网络中基于ELM的混合入侵检测方案 被引量：9

3

作者 关亚文 刘涛 黄干 《计算机工程》 CAS CSCD 北大核心 2015年第3期136-141,共6页

在研究机器学习算法的基础上,提出一种基于极限学习机(ELM)的混合入侵检测方案。将无线传感器网络分为感知层、数据汇聚层和核心控制层,在每层分别设置与其相适应的入侵检测方案,并在能量充足的核心控制层布置信任管理模块和ELM模块。... 在研究机器学习算法的基础上,提出一种基于极限学习机(ELM)的混合入侵检测方案。将无线传感器网络分为感知层、数据汇聚层和核心控制层,在每层分别设置与其相适应的入侵检测方案,并在能量充足的核心控制层布置信任管理模块和ELM模块。信任模块可以及时筛去异常节点,相比于支持向量机算法训练速度更快,可提高入侵检测效率。实验结果表明,该方案在保证较高检测率的基础上,降低了能耗,延长网络运行时间,更适合于资源受限的无线传感器网络。 展开更多

关键词 无线传感器网络 极限学习机 混合 入侵检测 信任管理 分簇

在线阅读 下载PDF 职称材料

改进的随机森林分类器网络入侵检测方法 被引量：44

4

作者 夏景明 李冲 +1 位作者 谈玲 周刚 《计算机工程与设计》 北大核心 2019年第8期2146-2150,共5页

目前网络入侵检测方法大多基于改进的机器学习算法,但是机器学习算法会出现过拟合情况,导致入侵检测准确率降低。为解决该问题,提出一种改进的随机森林分类器网络入侵检测方法,通过高斯混合模型聚类算法将数据分成不同的簇,为每一个簇... 目前网络入侵检测方法大多基于改进的机器学习算法,但是机器学习算法会出现过拟合情况,导致入侵检测准确率降低。为解决该问题,提出一种改进的随机森林分类器网络入侵检测方法,通过高斯混合模型聚类算法将数据分成不同的簇,为每一个簇训练不同的随机森林分类器,通过这些训练好的随机森林分类器进行网络入侵检测。训练和实验数据采用NSL-KDD网络入侵数据集,实施中首先根据属性比率数据特征提取方法进行数据处理,然后进行高斯混合聚类,最后使用随机森林分类器对聚类结果进行训练。实验结果表明,该方法相比其它机器学习算法具有更高的入侵检测准确率。 展开更多

关键词 网络安全入侵检测 机器学习 随机森林分类器 高斯混合聚类 属性比特征提取 网络入侵检测数据集

在线阅读 下载PDF 职称材料

半监督学习在入侵检测系统中的应用 被引量：1

5

作者 王汝山 李永忠 +1 位作者 张念贵 王玉雷 《广西师范大学学报（自然科学版）》 CAS 北大核心 2009年第3期179-182,共4页

提出了一种基于半监督模糊聚类的异常入侵检测方法,半监督学习算法的训练样本包括已标记数据和未标记数据,在训练系统模型时使用少量已标记样本和大量未标记样本作为种子初始化入侵检测系统的分类器,在少量已标记数据的约束下利用模糊C... 提出了一种基于半监督模糊聚类的异常入侵检测方法,半监督学习算法的训练样本包括已标记数据和未标记数据,在训练系统模型时使用少量已标记样本和大量未标记样本作为种子初始化入侵检测系统的分类器,在少量已标记数据的约束下利用模糊C均值方法生成聚类,无需提供大量标记数据,不易陷入局部最优。实验表明,与FCM算法相比具有较高的性能。 展开更多

关键词 入侵检测 半监督学习 模糊聚类

在线阅读 下载PDF 职称材料

无线传感网络中的自适应入侵检测算法 被引量：7

6

作者 苏明 《导航定位学报》 CSCD 2020年第4期106-110,共5页

针对无线传感网络的入侵检测算法因大多基于数据挖掘算法,所建立的监测系统易遭受未知攻击的问题,提出1种自适应的入侵检测算法:跟踪每个子系统的接收操作特征(ROC),再依据ROC行为特征,自适应地调整转发至每个子系统的融合数据的比例,... 针对无线传感网络的入侵检测算法因大多基于数据挖掘算法,所建立的监测系统易遭受未知攻击的问题,提出1种自适应的入侵检测算法:跟踪每个子系统的接收操作特征(ROC),再依据ROC行为特征,自适应地调整转发至每个子系统的融合数据的比例,达到在数据融合阶段运行入侵检测系统,实现有效监测的目的。仿真结果表明,基于该算法的监测系统具有99%的准确率。 展开更多

关键词 无线传感网络 入侵检测 机器学习 簇 接收操作特征

在线阅读 下载PDF 职称材料

网络入侵检测系统中无导师学习分析器的设计

7

作者 罗程 钟诚 李智 《计算机工程与科学》 CSCD 2006年第7期28-29,38,共3页

本文在基于数据挖掘的网络入侵检测系统框架基础上设计了一个无导师学习的分析器模型。该模型结合了核k-means聚类、模式挖掘、近似串匹配的方法,训练过程不需要使用带标记的数据,并且不需要保证每个训练数据集中正常数据和异常数据在... 本文在基于数据挖掘的网络入侵检测系统框架基础上设计了一个无导师学习的分析器模型。该模型结合了核k-means聚类、模式挖掘、近似串匹配的方法,训练过程不需要使用带标记的数据,并且不需要保证每个训练数据集中正常数据和异常数据在数量上的比例关系。实验结果表明,该模型具有较高的检测率并降低了误报率。 展开更多

关键词 网络入侵检测 无导师学习 核聚类 模式挖掘

在线阅读 下载PDF 职称材料

基于动态增量聚类分析的电力信息网络攻击模式识别算法 被引量：30

8

作者 陈霖 许爱东 +4 位作者 蒋屹新 杨航 吕华辉 匡晓云 樊凯 《南方电网技术》 CSCD 北大核心 2020年第8期25-32,共8页

随着数字电网建设的逐步开展,物联网与传统电网相结合形成的电力物联网正成为关键一环。然而,电力物联网所面临的网络安全威胁形势将更加复杂,主要表现在两个方面:一方面是物联网终端设备本身的安全缺陷所引入的不可控风险;另一方面是... 随着数字电网建设的逐步开展,物联网与传统电网相结合形成的电力物联网正成为关键一环。然而,电力物联网所面临的网络安全威胁形势将更加复杂,主要表现在两个方面:一方面是物联网终端设备本身的安全缺陷所引入的不可控风险;另一方面是承载终端设备控制信息流与数据流的电力信息网络遭受入侵的风险。而其中关键的技术则是对攻击模式的准确识别,从而有利于安全运维队伍进一步分析敌人的攻击手段、攻击路径和攻击习惯,为下一步的攻击防御做好准备。本文通过改进机器学习中的聚类分析算法,建立了一种基于动态增量聚类分析的网络攻击模式识别算法模型,该模型具有大数据场景下的聚类分析能力,并能够对孤立数据进行清除、对聚类类别进行控制和对聚类后的模式数据进行后处理,进一步提升攻击模式识别的准确率。此外,本文还综合运用了开源网络入侵检测数据集对算法模型进行分析验证,对其正确性与有效性进行评估。最后,还将算法模型进行实际应用,取得了一定的实际效果。 展开更多

关键词 电力物联网 电力信息网络 动态增量聚类分析 入侵检测 机器学习 网络安全

在线阅读 下载PDF 职称材料

基于EKM-AE模型的无监督主机入侵检测方法 被引量：10

9

作者 柴亚闯 杨文忠 +3 位作者 张志豪 胡知权 杜慧祥 钱芸芸 《小型微型计算机系统》 CSCD 北大核心 2021年第4期868-874,共7页

针对深度学习方法运用于入侵检测时需要大量标注数据集和难以实时检测的缺陷,利用网络流量中正常数据多于异常数据的一般规律,提出一种结合集成K-means聚类和自编码器的EKM-AE(ensemble K-means and autoencoder)入侵检测方法.首先通过... 针对深度学习方法运用于入侵检测时需要大量标注数据集和难以实时检测的缺陷,利用网络流量中正常数据多于异常数据的一般规律,提出一种结合集成K-means聚类和自编码器的EKM-AE(ensemble K-means and autoencoder)入侵检测方法.首先通过集成K-means聚类从实时抓取的网络流量中得出正常样例,用于训练自编码器,然后由完成训练的自编码器执行入侵检测.在虚拟局域网主机环境下进行了入侵检测实验,结果表明,在绝大多数实际应用场景(正常流量多于异常流量)下该方法具有良好的检测性能,且具有全过程无监督、可实时在线检测的优点,对主机网络安全有良好的提升作用. 展开更多

关键词 集成K-means聚类 自编码器 网络入侵检测 无监督学习 实时在线检测

在线阅读 下载PDF 职称材料

基于机器学习的无线传感器网络入侵检测算法 被引量：9

10

作者 罗富财 吴飞 +2 位作者 陈倩 何金栋 寇亮 《哈尔滨工程大学学报》 EI CAS CSCD 北大核心 2020年第3期433-440,共8页

针对资源受限的无线传感器网络入侵检测效果不佳的问题,本文提出了一种基于机器学习的无线传感器网络入侵检测算法。该算法将数据局部密度和数据特征距离引入模糊聚类,提高了聚类有效性的同时降低了聚类收敛的时间;该算法将聚类得到的... 针对资源受限的无线传感器网络入侵检测效果不佳的问题,本文提出了一种基于机器学习的无线传感器网络入侵检测算法。该算法将数据局部密度和数据特征距离引入模糊聚类,提高了聚类有效性的同时降低了聚类收敛的时间;该算法将聚类得到的模糊隶属度作为模糊因子应用于模糊支持向量机,降低了人为选取模糊因子造成的主观性,将噪声点和孤立点对分类造成的影响降至最低。以WSN-DS数据集为实验数据,理论分析及实验结果表明:本文提出的入侵检测算法具有检测率高、计算复杂度低等特性,能够适用WSNs这一应用场景。 展开更多

关键词 无线传感器网络 信息安全 入侵检测 机器学习 模糊聚类 密度感知 模糊支持向量机 模糊因子

在线阅读 下载PDF 职称材料

半监督聚类算法及其在入侵检测中的应用

11

作者 张念贵 李永忠 王汝山 《科学技术与工程》 2010年第1期302-305,共4页

针对现有入侵检测技术的不足,对基于机器学习的异常入侵检测系统进行了研究,提出了一种基于半监督聚类的异常入侵检测算法。此算法通过利用少量的标记样本,生成用于初始化算法的种子聚类,然后辅助聚类过程,对数据进行检测。实验表明,与... 针对现有入侵检测技术的不足,对基于机器学习的异常入侵检测系统进行了研究,提出了一种基于半监督聚类的异常入侵检测算法。此算法通过利用少量的标记样本,生成用于初始化算法的种子聚类,然后辅助聚类过程,对数据进行检测。实验表明,与以往入侵检测算法相比,此算法可以明显地改善入侵检测系统的性能。 展开更多

关键词 入侵检测 半监督学习 聚类

在线阅读 下载PDF 职称材料