真实场景下异常检测若干关键技术及其入侵检测应用研究

在机器故障诊断、疾病检测、入侵检测等实际应用领域中，异常行为蕴含了显著的（通常具有很大危害甚至致命性的）行为信息，例如互联网中异常的网络流量(行为)可能意味着受攻击主机上敏感信息的泄密，故而异常行为的发现和检测研究极具实践意义和实用价值。然而目前的研究仅关注只有大量正常行为的异常检测，而很少关注真实场景中两种情形：1）仅有少量已标记异常样本但有大量目标类样本的情形；2）仅有少量已标记的目标类样本和大量未标记样本的情形。本项目将重点研究两种情形下异常检测中关键技术，并将成果应用于网络入侵检测的特定场景，提高现有异常检测方法的适应性。项目的主要研究思路是从极端不平衡问题、半监督异常检测等方面进行深入和系统的研究，提高真实场景下异常检测方法对极端不平衡样本的鲁棒性，增强其对大量未标记样本的利用效能。通过本项目的研究，不仅有助于在基础理论和算法方面有所贡献，还渴望取得入侵检测的应用成果。

在机器故障诊断、疾病检测、入侵检测等实际应用领域中，异常行为往往蕴含了显著的（通常具有很大危害甚至致命性的）行为信息，例如机器中的恶意代码的存在可能意味着受攻击主机上敏感信息的泄密，故而异常行为的发现和检测研究极具实践意义和实用价值。而异常检测的目的即在发现不符合期望行为的异常模式，其广泛应用于机器故障诊断、网络入侵、信用欺诈和恶意代码检测等领域，并成为了模式识别领域一个重要的研究方向。该类问题的特殊性在于目标类样本充分采样，异常类样本由于采样代价高昂或难以获取而欠采样，构成了两类样本分布的不平衡性，因而目前异常检测方法主要基于无监督框架学习一个目标类样本的数据描述并用于异常检测。本项目在传统异常检测方法基础上提出了一系列异常检测的增强算法并应用于恶意代码检测中，主要取得了如下成果：设计了一个单类直推式支持向量机用于联机异常检测，其引入了直推式学习机制，利用未标号样本对训练集上的学习器进行自适应调整；设计了一个半监督的单类支持向量机，使之适应少量已标号目标类样本和大量无标号样本的情形；设计了一个AUC正则化的支持向量数据描述解决两类样本的不平衡问题，并针对由此带来的高计算复杂性，提出了两种加速技巧；分析了一些异常检测方法，并就其中基于支撑域的方法，揭示了它们之间的关系；针对实时联机网络流量分类，研究了相关的网络流量特性，进而提出了一种特征选择方法；针对马氏距离度量，探讨了其理论根源；针对恶意代码分析的具体应用，研究了恶意代码的表示方法，抽取了自己的恶意代码检测数据集，并探讨了其中的特征选择策略和相应的恶意代码检测性能比较。