基于蜜罐技术的网络入侵检测系统协作模型的研究与实现

针对当前互联网中传统的入侵检测系统无法对未知攻击作出有效判断,而造成信息误报和漏报的问题,从入侵检测和蜜罐的基本特点出发,提出了一种基于蜜罐技术的网络入侵检测系统协作模型,通过引诱黑客入侵,记录入侵过程,研究攻击者所使用的工具、攻击策略和方法等,提取出新的入侵规则,并实时添加到IDS规则库中,以提高IDS检测和识别未知攻击的能力,进一步提升网络的安全性能.     

支持高精度告警的入侵检测系统的设计与实现

目前入侵检测系统（IDS）得到了越来越广泛的重视,发展日益迅速。然而,IDS在可用性、易用性方面还存在着较大的问题,其中一个方面表现在IDS提供的告警信息过于简单,基于这些信息用户难以对攻击的特点有全面清晰的认识,从而给IDS的发展带来了困难。本文在对网络攻击进行有效分类的基础上,提出了一种支持高精度告警的入侵检测系统,使得IDS能够将网络攻击的主要特征反馈给用户,从而让用户能够准确全面的了解攻击,及时采取相应的防范措施。     

基于改进鸽群优化算法的入侵检测系统特征选择方法

针对当前入侵检测系统(intrusion detection system, IDS)中存在的检测准确率低、建模时间长及收敛速度慢等问题,提出一种基于改进鸽群优化算法的入侵检测系统特征选择方法.该方法采用鸽群优化算法对数据中的不相关特征进行优化,通过考虑真阳性率(true positive rate, TPR)、假阳性率(false positive rate, FPR)和特征个数3个指标来选择特征的最佳子集.实验结果表明:相较于现有的特征选择算法,本文算法更具优势,在保证高检测率、低误报率的前提下,减少构建鲁棒IDS所需的特征数目.     

NetFlow技术在骨干网IDS中的应用研究

通过考察入侵检测系统(IDS)的发展现状及针对目前IDS应用所存在问题,讨论了基于NetFlow技术的骨干网IDS技术.文中首先论述在网络核心层,即骨干网处采用NetFlow技术实现入侵检测的优势,接着描述应用NetFlow技术于骨干网IDS的实现思路,其中对NetFlow实现大量数据的采集进行了详细介绍.     

自适应入侵检测系统

论述入侵检测系统的基本概念,分析入侵检测系统(IDS)的关键技术及存在的问题.为了解决传统入侵检测模型所存在的问题,提出了一个自适应入侵检测系统(AIDS)模型,阐述了系统模型的结构及主要功能.运用自适应的模型生成方法,使收集数据、建立模型并将模型分配给检测器的过程高效、自动化.该模型为开放的系统模型,具有很好的可伸缩性,可大大减少使用IDS的代价,解决IDS的环境适应性问题,降低建立模型的代价,提高系统的效率.     

抵御蠕虫攻击的一种方法-Honeypot系统

Internet大面积遭受蠕虫攻击的事件时有发生，针对这种问题，引入Honeypot技术，结合入侵检测系统(IDS)、数据挖掘提出了一种解决办法：将Honeypot置于DMZ中，利用其欺骗地址空间技术覆盖服务器中没有用到的IP地址，捕获蠕虫；IDS监控流入网络的数据包，对入侵作出反映；系统日志异地保存。该系统能有效抵御目前已经出现的蠕虫攻击，同时对新出现的目前未知的蠕虫攻击也有很好的防御效果。     

入侵检测系统IDS现状及发展趋势分析

入侵检测系统IDS是检测非法入侵的安全管理系统，它可分为用于主机检测的mDS系统和用于网络检测的NIDS系统。目前入侵检测还是一项全新的技术，对主机及网络的安全起着重大的作用。本文对IDS系统的现状及存在问题进行综述，并对IDS技术的发展趋势进行全面的分析与预测。     

基于Linux环境下的IPS实现算法研究及性能测试

入侵防御系统(IPS)是继入侵检测系统(IDS)之后网络安全领域的一个新的研究方向,它既可以用来检测,又可以用来防御和阻止攻击。文中首先讨论了在L inux操作系统下的入侵防御系统,然后给出了建立入侵防御系统的3种算法,并对其性能做了测试、比较和分析,最后讨论了进一步需要研究的问题。     

面向安全态势的权限有效性定量评估方法

针对安全态势评估领域的权限有效性评估指标, 融合网络流量、入侵检测系统(IDS)报警和扫描信息, 提出一种全新的权限有效性定量评估方法.该方法将用户权限作为安全目标, 基于网络会话构建威胁用户权限的入侵迹, 并使用Markov数学模型度量安全目标失败的平均入侵代价, 进而定量评估权限有效性. 实验结果表明,当系统遭受缓冲区溢出攻击时, 权限有效性指数接近于0.该方法能够实时评估缓冲区溢出攻击对系统权限有效性的威胁,有效监控黑客行为引起的系统安全态势变化. 与其他评估方法相比, 该方法考虑了报警之间的因果关系,降低了IDS误报以及无效入侵信息对安全态势评估精度的影响, 有助于管理员了解黑客入侵步骤、决策系统安全状况以及识别高危险的入侵路径.     

入侵检测系统中数据共享与合作策略

针对分布式入侵检测系统(DIDS:Distributed Intrusion Detection System)面临的协作和自身安全问题,提出了一个分布式入侵检测系统和多组件入侵检测系统间的数据共享策略和合作访问控制策略模型。在模型中将每个主机的数据共享策略定义为由访问控制策略、完整性策略、合作策略组成的三元组,用这些策略形式化定义了主机间的关系。通过Take-Grant改进模型将主机间关系和权限联系结合,形成了入侵检测系统(IDS:Intrusion Detection System)的合作集合和识别广泛攻击的规则。该策略模型对分布式入侵检测系统中组件间的合作和信息共享提供了一个安全保障。各参与主机通过合作集合检测广泛入侵并抵御复杂攻击的潜在威胁。     

粗糙集属性约简在入侵检测系统中的应用

入侵检测系统（IDS）是一种以攻为守的主动式防御措施,它针对网络内部攻击进行防御．为了实现对海量入侵检测数据的数据挖掘,首先可对入侵检测系统采集的海量数据进行抽样分析,然后使用粗糙集理论的属性约简方法对数据进行预处理,获得入侵检测数据的决策规则,并判断流经网络的数据包的安全性,最后编程以实现数据挖掘的自动化．     

基于数据挖掘的入侵检测设计与实现

在现有的Intrusion Detection System（IDS）中,如果出现新的攻击方法或者网络环境的改变,经常需要更新已安装的IDS系统,但更新IDS特征库和适应网络环境是一个费时而缓慢的过程。利用数据挖掘技术,通过学习已有的攻击和正常活动数据。提取攻击规则,然后把这些规则应用到误用检测和异常检测中,这样系统可以有很高的自适应性。规则的更新和系统的更新很快费用也很低廉,而且检测率较高,通过实验证明将数据挖掘运用到入侵检测系统中是可行的、有效的。     

基于序列比对的攻击特征自动提取方法

在对生物信息学序列比对理论研究的基础上,将序列比对算法应用到入侵检测模型中,提出一种序列比对攻击特征自动提取新方法.针对Needleman-Wusch算法缺乏攻击知识积累,设计一种基于知识积累的序列比对算法IASA(Information Accumulation Sequence Alignment).新方法首先调整数据去噪并进行数据聚类,使用IASA进行序列比对,使得序列比对的特征片段趋向于更合理结果,再将比对结果所代表的攻击特征转化为IDS规则.实验结果表明,该方法能提高攻击特征生成质量,降低系统误报率.     

基于入侵检测和攻击图的动态风险评估技术

入侵检测技术只能在网络受到攻击后才能发现攻击行为,是一种被动防御方法,对未知的攻击行为无法做出响应.攻击图在大多数情况下实现的是在一个固定的评估场景下进行静态的风险评估,而对于目前复杂多变的网络环境,静态评估已经不能满足当今状况下网络安全的需求.基于此将入侵检测和攻击图结合,提出了一种动态风险评估技术.首先对入侵检测系统(IDS)的检测率进行了提升,保证生成日志的准确性,然后结合攻击图中的拓扑和脆弱性信息,用隐马尔可夫模型(HMM)来进行网络安全评估,最后在实验部分表明了方法的准确性.     

基于地址关联图的分布式IDS报警关联算法

当前入侵检测系统产生的报警洪流往往使管理员无法处理,大大降低了IDS系统的有效性. 对原始报警事件的关联分析可以从大量报警中提取出有效的攻击事件;分析攻击者的真正意图,对大规模分布式入侵检测系统有重要意义. 为此综合分析了现有报警关联算法的优点和不足,提出了一种基于地址关联图(ACG)的报警关联算法. 该算法用地址关联图模型对分布式IDS原始报警事件进行分析,以得到不同攻击之间的关联和发生步骤,得到攻击者的攻击路径,进而分析攻击者的意图. 该算法无需提前制定关联知识库或提前训练关联模型,因此易于实现.     

入侵检测系统评估仿真平台的研究

分析了入侵检测系统(IDS)测试评估的环境配置,提出了构建IDS测试仿真平台的步骤及实现技术,对测试评估中存在的一些问题作了相应的讨论,提出了解决办法.     

FT＆MEDB-IDS的攻击方法分析与对策

入侵检测技术是当今动态安全核心技术之一.在FT＆MEDB系统中,大量工程数据的管理和访问,具有行业敏感性,系统中的数据安全性至关重要.简要介绍了入侵检测技术的定义、基本原理,对入侵检测系统的攻击方法进行了较全面深入的分析,给出了相应的对策方法,并对IDS在高速网络中的应用及发展趋势进行了说明.     

基于网络主动防御安全模型的入侵诱骗系统

当前网络安全形势日益严峻,传统的安全技术如防火墙、入侵检测技术存在着对未知入侵模式的攻击不能有效识别等诸多缺陷,Honeypot技术作为一种网络主动防御的安全技术,也具有一定的局限性.针对以上单一技术在网络安全防御上的缺陷,从主动防御的角度,基于网络主动防御安全模型构建了入侵诱骗系统的体系结构,并且设计了Honeypot与防火墙、IDS的联动系统,既克服了防火墙不能提供实时检测的缺陷,又降低了IDS的漏报率和误报率,弥补了各自的不足,充分发挥了优势,从而提高了网络系统的主动防御能力.同时,给出了有限自动机模型,模拟了入侵诱骗系统的基本功能,为系统的行为描述和结构设计提供了理论依据和论证.     

入侵检测系统

通过分析当前流行的入侵检测系统（Intrusion Detection Systems，IDS），详细地讨论了入侵检测系统的体系结构及其相关技术，主要包括系统的体系结构、数据采集方法、数据处理方式和具体的评价标准。研究结果表明，未来关于IDS的研究焦点应该是开发新的方法，它能以很低的误报率来检测新型攻击；未来工作的方向应该是扩展IDS和评价系统。     

移动Agent在IDS中的应用及其安全性研究

传统的入侵检测系统(IDS)受环境因素与技术因素的影响很大,而移动Agent具有迁移性、智能性、协作性和分布灵活性,可以按照系统和网络异常使用模式的不同特征和环境差异进行检测,更准确地把握入侵行为.现对移动Agent在入侵检测系统中的应用进行了研究,并对移动Agent本身的安全性问题进行了讨论.