国家重点基础研究发展计划(2004CB318109)
- 作品数:63 被引量:1,048H指数:16
- 相关作者:程学旗王斌许洪波刘悦白硕更多>>
- 相关机构:中国科学院北京交通大学安徽省计算与通讯软件重点实验室更多>>
- 发文基金:国家重点基础研究发展计划国家高技术研究发展计划国家自然科学基金更多>>
- 相关领域:自动化与计算机技术电子电信经济管理化学工程更多>>
- 基于shell命令和多重行为模式挖掘的用户伪装攻击检测被引量:20
- 2010年
- 伪装攻击是指非授权用户通过伪装成合法用户来获得访问关键数据或更高层访问权限的行为.近年来,伪装攻击检测在保障网络信息安全中发挥着越来越大的作用.文中提出一种新的用户伪装攻击检测方法.同现有的典型检测方法相比,该方法在训练阶段改进了对用户行为模式的表示方式,通过合理选择用户行为特征并基于阶梯式的序列模式支持度来建立合法用户的正常行为轮廓,提高了用户行为描述的准确性和对不同类型用户的适应性;在充分考虑shell命令审计数据时序特征的基础上,针对伪装攻击行为复杂多变的特点,提出基于多重行为模式并行挖掘和多门限联合判决的检测模型,并通过交叉验证和等量迭代逼近方法确定最佳门限参数,克服了单一序列模式检测模型在性能稳定性和容错能力方面的不足,在不明显增加计算成本的条件下大幅度提高了检测准确度.文中提出的方法已应用于实际检测系统,并表现出良好的检测性能.
- 田新广段洣毅程学旗
- 关键词:网络安全伪装攻击入侵检测SHELL命令异常检测
- 采用shell命令和隐Markov模型进行网络用户行为异常检测被引量:1
- 2008年
- 异常检测是目前网络入侵检测领域研究的热点内容.提出一种基于shell命令和隐Markov模型(HMM)的网络用户行为异常检测方法,该方法利用shell会话中用户执行的shell命令作为原始审计数据,采用特殊的HMM在用户界面层建立网络合法用户的正常行为轮廓.HMM的训练中采用了运算量较小的序列匹配方法,与传统的Baum-Welch训练算法相比,训练时间有较大幅度的降低.在检测阶段,基于状态序列出现概率对被监测用户当前行为的异常程度进行分析,并考虑到审计数据和用户行为的特点,采用了较为特殊的判决准则.同现有的基于HMM和基于实例学习的检测方法相比,文中提出的方法兼顾了计算成本和检测准确度,特别适用于在线检测.该方法已应用于实际入侵检测系统,并表现出良好的检测性能.
- 田新广段洣毅孙春来李文法
- 关键词:入侵检测隐MARKOV模型异常检测SHELL命令
- 基于信息论的文本分类模型被引量:3
- 2008年
- 从信息论的角度,提出了一种新的文本分类模型。该模型以文本提供的关于类别的信息作为分类依据,从另一个角度来思考文本分类问题。从实用性的角度来看,该模型与传统的朴素贝叶斯模型和基于KL距离的中心向量法具有一定的关系,并给出了证明。根据广义信息论的基本概念,又对此模型进行推广,提出了特征权重的概念,可以通过修正特征权重来修正文本分类模型,为成功解决文本分类模型的修正问题提供了理论基础。
- 唐亮段建国许洪波梁玲
- 关键词:文本分类互信息信息熵
- 基于数据挖掘和变长序列模式匹配的程序行为异常检测被引量:2
- 2008年
- 异常检测是目前入侵检测领域研究的热点内容。提出一种基于数据挖掘和变长序列模式匹配的程序行为异常检测方法,主要用于Unix或Linux平台上以系统调用为审计数据的主机型入侵检测系统。该方法利用数据挖掘技术中的序列模式对特权程序的正常行为进行建模,根据系统调用序列的支持度在训练数据中提取正常模式,并建立多种模式库来表示一个特权程序的行为轮廓。在检测阶段,考虑到审计数据和特权程序的特点,采用了变长序列模式匹配算法对程序历史行为和当前行为进行比较,并提供了两种判决方案,能够联合使用多个窗长度和判决门限对程序行为进行判决,提高了检测的准确率和灵活性。文中提出的方法已应用于实际入侵检测系统,并表现出良好的检测性能。
- 田新广李文法段洣毅孙春来邱志明
- 关键词:入侵检测数据挖掘异常检测
- 基于链接的分布式信息检索文档划分研究
- 文档集合的划分是分布式信息检索面临的一个重要问题,本文提出了一种基于链接的聚类算法(LIBCA)来进行分布式信息检索的文档划分,LIBCA算法利用网页间的链接关系来计算网页与网页、网页与网页集合之间的相似度,从而利用聚类...
- 张刚王斌程学旗
- 关键词:链接聚类
- 文献传递
- 模式推理中的“图检索”算法
- 模式推理,又称为推理,是一个有着重要研究价值的课题。在问答系统的研究中,模式推理作为一种新的研究途径,具有较高的应用价值,也因此受到较高的关注和研究。在问答系统领域,模式推理方法提出的较早,但是在国内,目前相关的研究并不...
- 王树西白硕王斌
- 关键词:问答系统
- 文献传递
- 面向短文本的动态组合分类算法被引量:36
- 2009年
- 短文本分类是网络内容安全的一种主要方法.然而,短文本固有的关键词特征稀疏和样本高度不均衡等特点,使得难以直接使用现有针对长文本的分类算法.本文提出了一种针对短文本的动态组合分类算法.首先构造出一种树状组合分类器结构,可有效缓解短文本特征稀疏和样本高度不均衡对分类性能的影响;进一步,提出了一种动态调整策略来训练组合分类器,可以根据样本的分布特点自适应地调整分类器的组合结构.测试实验表明,相对于传统的单一分类方法和集成分类方法,动态组合分类算法在短文本分类中可以获得更好的准确率和召回率.
- 闫瑞曹先彬李凯
- 关键词:组合分类器ADABOOST算法
- 基于SVM的无线De-authentication攻击检测
- De-authentication 攻击作为一种常见的无线局域网 DoS 攻击,由于它基于无线局域网的不完善认证机制,但同时其行为又完全符合 IEEE 802.11的协议规范,因此对其检测已成为无线局域网入侵检测的一个难...
- 贺涛曹先彬
- 关键词:无线局域网支持向量机
- 文献传递
- 基于EAI的银行卡跨行交易系统的设计与实现被引量:1
- 2006年
- 通过分析EAI的原理、结合实际情况和发展趋势,基于中间件协同处理架构设计了一种符合国际标准的银行卡跨行交易核心系统架构。介绍了交易系统的设计原理和框架,针对系统实现的不同层次,详细论述了完整的银行卡跨行交易的设计和实现。该支付系统可以实现系统要求的高可用性和高效率,在交易中实施多等级保密性和完整性安全政策,同时还考虑了基于该框架的交易系统的扩展性和实用性。
- 艾飞曹先彬叶静
- 关键词:企业应用集成中间件消息中间件交易中间件联机事务处理
- 一种高效的面向轻量级入侵检测系统的特征选择算法被引量:56
- 2007年
- 特征选择是网络安全、模式识别、数据挖掘等领域的重要问题之一.针对高维数据对象,特征选择一方面可以提高分类精度和效率,另一方面可以找出富含信息的特征子集.文中提出一种wrapper型的特征选择算法来构建轻量级入侵检测系统.该算法采用遗传算法和禁忌搜索相混合的搜索策略对特征子集空间进行随机搜索,然后利用提供的数据在无约束优化线性支持向量机上的平均分类正确率作为特征子集的评价标准来获取最优特征子集.文中按照DOS,PROBE,R2L,U2R4个类别对KDD1999数据集进行分类,并且在每一类上进行了大量的实验.实验结果表明,对每一类攻击文中提出的特征选择算法不仅可以加快特征选择的速度,而且基于该算法构建的入侵检测系统在建模时间、检测时间、检测已知攻击、检测未知攻击上,与没有运用特征选择的入侵检测系统相比具有更好的性能.
- 陈友沈华伟李洋程学旗
- 关键词:遗传算法禁忌搜索线性支持向量机入侵检测系统