基于模糊聚类分析的入侵检测方法

提出了一种新的基于模糊聚类分析的入侵检测数据处理方法,该方法能够较为准确地区分正常和入侵进程,具有计算速度快、耗用资源少等特点。通过使用模糊聚类,还可以提炼出精简准确的分类规则。由于对数据中的孤立点采用了特殊的处理方法,因此对产生聚类规则的训练数据库进行添加和更新,该检测方法具有较强的可扩展性。通过仿真实验证明了该算法的有效性。     

利用高精度时间戳提高入侵检测率

入侵检测系统(IDS)是重要的信息安全措施,如何提高检测率是目前入侵检测系统研究的热点。文章从入侵事件时间戳的角度,对提高检测率进行了讨论。首先论述了计算机系统获取高精度时间戳的方法,然后分析了入侵检测系统对日志、注册表、网络包事件的时间戳精度要求。最后,以注册表访问事件为例进行了仿真,实验证明这种高精度时间戳能有效识别事件顺序,在一定程度上提高了入侵检测系统的检测率。     

基于熵的入侵检测特征参数选择

传统入侵检测的特征选择方法不但与评估数据的统计特性有关,还与检测算法有关。提出了一种独立于检测算法的入侵检测特征参数选择方法。该方法以入侵检测模型为基础,信息熵为准则。仿真结果显示出用所选特征参数进行检测,不但保证了检测的正确率,而且提高了检测速度,减小了内存资源的占用。     

一个基于专家系统的入侵检测系统的实现

入侵检测系统是传统被动方式的网络安全检测手段的重要补充,它是一种主动、实时、自动检测入侵行为的工具和手段.本文论述了两种入侵检测方法--异常行为检测方法和比较学习检测方法的基本原理,同时根据这两种网络安全检测方法,采用专家系统技术,构筑了一个实际的网络监控系统的具体实现,并给出了该网络监控系统的结构图.     

基于组件的实时入侵检测虚拟实验室的设计与实现

提出了一种基于组件技术的入侵检测虚拟实验室系统的设计模型和实现方法。该系统采用Java语言实现，具有良好的平台无关性。以Java Bean组件技术对数据生成和入侵检测系统的感应器模块、分析器模块、统计显示模块、配置管理模块进行了开发，实现了软件重用和系统的可扩展性。系统客户端以Java Applet实现，用户能够可视化地制定试验流程，指定模拟攻击流类型、配置过滤规则和检测规则以及选择试验结果的显示形式。整个实验过程中，用户能较直观深入的参与入侵检测系统的具体配置和操作，对于了解和掌握入侵检测系统的结构和主要原理大有帮助。     

基于特征选取与树状Parzen估计的入侵检测

针对目前网络空间安全形势快速变化带来的新风险和新挑战, 提出一种基于相关性分析的特征选取和树状Parzen估计优化的入侵检测方法。首先, 通过基于相关性分析的数据特征选取方法对数据维度进行压缩。其次, 对原始数据集进行特征筛选, 生成新的特征子集。最终, 使用序列模型优化算法中的树状Parzen估计算法对随机森林算法进行模型优化。实验结果表明, 相比其他应用机器学习算法的入侵检测方法, 所提方法在提升综合性能的同时拥有更高的检测效率, 有效地提升了入侵检测技术的实用性。     

基于修正核函数SVM的网络入侵检测

支持向量机分类方法在小样本、非线性情况下具有较好的泛化性能,在入侵检测系统中有着广泛的应用。针对入侵检测过程中可能出现的由两类样本不平衡造成的分离超平面偏移现象,以核函数所蕴含的黎曼几何为依据,引入一个伪一致性变换函数,对核函数进行修改,提高支持向量机的分类泛化能力,建立基于支持向量机的网络入侵检测系统,并对系统总体结构和运行机制进行了详细的描述。实验仿真表明,该系统可有效地提高入侵检测的准确率,改善由于数据集不平衡造成的支持向量机分类偏移的情况。     

基于引力的入侵检测方法

将万有引力的思想引入聚类分析，提出一种基于引力的聚类方法和度量聚类异常程度的引力因子概念，同时给出了一种计算聚类闽值的简单而有效的方法，在此基础上提出一种新的入侵检测方法GBID，GBID关于数据库的大小、属性个数具有近似线性时间复杂度，这使得GBID具有好的扩展性。在KDDCUP99数据集上的测试结果表明，GBID在准确性方面优于文献中已有无指导入侵检测方法，且对新的入侵有一定的检测能力。     

融合WaveNet和BiGRU的网络入侵检测方法

为解决当前入侵检测算法对于网络入侵的多分类准确率普遍不高的问题, 鉴于网络入侵数据具有时间序列特性, 提出一种融合WaveNet和双向门控循环单元(bi-directional gated recurrent unit, BiGRU)的网络入侵检测方法。为解决原始攻击数据分布广、离散性强的问题, 首先对数据进行独热编码及归一化处理, 之后使用WaveNet进行卷积操作, 对数据进行序列缩短处理, 同时使用最大、平均池化融合的方法全面提取数据特征, 最后由BiGRU完成对模型的训练并实现分类。基于NSL-KDD、UNSW-NB15以及CIC-IDS2017数据集进行了对比实验, 结果表明, 所提方法对于上述数据集的准确率分别能够达到99.62%、83.98%以及99.86%, 较同类型的CNN-BiLSTM分别提升了0.4%、1.9%以及0.1%。     

基于离群聚类的异常入侵检测研究

提出了一种离群聚类算法,并分析了算法抗例外点干扰的能力.离群数据是远离其它数据的数据,网络中异常入侵数据的实质就是离群数据,因为异常入侵记录往往呈现小样本和多变性的特点,并且偏离正常网络连接记录.通过定义新的异构样本的相异性度量方法,提出了一种基于离群聚类无监督学习的异常入侵检测方法.仿真实验表明了方法的有效性和实用性,在总检测率方面优于文献中已有的其它方法.     

Intrusion detection based on system calls and homogeneous Markov chains

A novel method for detecting anomalous program behavior is presented, which is applicable to hostbased intrusion detection systems that monitor system call activities. The method constructs a homogeneous Markov chain model to characterize the normal behavior of a privileged program, and associates the states of the Markov chain with the unique system calls in the training data. At the detection stage, the probabilities that the Markov chain model supports the system call sequences generated by the program are computed. A low probability indicates an anomalous sequence that may result from intrusive activities. Then a decision rule based on the number of anomalous sequences in a locality frame is adopted to classify the program＇s behavior. The method gives attention to both computational efficiency and detection accuracy, and is especially suitable for on-line detection. It has been applied to practical host-based intrusion detection systems.     

一种基于查询密度聚类的异常检测算法

现有入侵检测研究多集中在网络和操作系统,而数据库系统具有自己的结构和语义,针对数据库特点的入侵检测是现有数据库安全机制的重要补充。提出一种数据库异常检测算法,该算法对数据库查询进行密度聚类,并通过聚类的核心对象来建立正常轮廓。说明了该算法的训练、检测、增量更新方法和查询执行前检测算法,并通过实验和实例对算法的性能和应用做了分析。     

基于攻击者能力状态的入侵建模方法

为解决反应式容忍入侵系统中入侵模型的构建问题,提出了一个基于攻击者能力的入侵模型及相应的模型构建与描述算法。该模型以攻击者对系统操控能力的状态转移过程来描述入侵,首先在警报关联过程中发现入侵者的攻击逻辑并据此构建元攻击模型,然后将元攻击模型转化为一种简单的覆盖形式,并证明了元攻击、覆盖与攻击模型三者之间的一一对应关系,从理论上获得了该入侵模型的存在性与唯一性证明,提出了自动描述该模型的TIBC算法。最后,在警报关联系统中测试了该入侵模型及其构建与描述算法,获得了较高的识别率与较低的虚警率。     

Detecting network intrusions by data mining and variable-length sequence pattern matching

Anomaly detection has been an active research topic in the field of network intrusion detection for many years. A novel method is presented for anomaly detection based on system calls into the kernels of Unix or Linux systems. The method uses the data mining technique to model the normal behavior of a privileged program and uses a variable-length pattern matching algorithm to perform the comparison of the current behavior and historic normal behavior, which is more suitable for this problem than the fixed-length pattern matching algorithm proposed by Forrest et al. At the detection stage, the particularity of the audit data is taken into account, and two alternative schemes could be used to distinguish between normalities and intrusions. The method gives attention to both computational efficiency and detection accuracy and is especially applicable for on-line detection. The performance of the method is evaluated using the typical testing data set, and the results show that it is significantly better than the anomaly detection method based on hidden Markov models proposed by Yan et al. and the method based on fixed-length patterns proposed by Forrest and Hofmeyr. The novel method has been applied to practical hosted-based intrusion detection systems and achieved high detection performance.     

基于神经网络的异常入侵检测系统

针对神经网络检测器本身的网络结构和算法进行改造可获得好的性能,但无法从根本上解决误报率和漏报率等问题,通过对程序行为的深入研究,对程序行为进行动态建模,提出了一个应用BP神经网络检测器针对程序行为异常的入侵检测模型,从而更准确地发现程序行为的异常。通过Apache服务器为例论证其可行性。     

Grey-theory based intrusion detection model

1.INTRODUCTIONThe development of network technology has dual in-fluence to people,onthe one handit brings efficiencyandconvenienceintheir dailylife;onthe other hand,it also contains hiding threats in some areas.Modernnetwork security mainly concerns with authenticationand authorization,data encrypt,access control,secu-rity audit.Intrusion detection techniques with activedefense strategy are the kernel part of security audit,and are also crucial for the realization of network se-curity.Ani…     

基于核神经气聚类的入侵报警分析

利用无监督的核神经气聚类方法分析入侵报警数据,并针对核神经气聚类方法运行时间较长的缺点作了改进,加快了学习过程的速度而不影响其收敛性。利用改进的核神经气聚类方法对真正报警数据进行聚类,获得了各个神经元被作为获胜神经元的次数分布图,并根据此分布图获得报警的判别规则以区分误报警和真报警。实验采用网络入侵检测器Snort在实验环境下获得的攻击和正常数据产生的报警数据集,测试结果证明了提出的方法具有良好的性能:当滑窗长度为10时,在漏报增加率约为6%的代价下可以去除约81%的误报警。