并行入侵检测系统的动态自适应负载均衡算法

网络入侵检测系统的处理速度难以跟上网络的速度,使用多个分析引擎并行处理网络报文可以大幅度提高网络入侵检测系统的性能。考虑到负载均衡的要求,提出了一种并行入侵检测系统的动态自适应负载均衡算法,该算法给每个分析引擎设置了一个数据包接受区间,通过对网络报文的报头信息做哈希运算,把数据包映射到分析引擎的接收区间内;根据分析引擎的处理能力和负载情况调节各个分析引擎接受区间的宽度,从而合理分配每个分析引擎上的网络流量,充分利用所有分析引擎的计算能力。理论分析和实验结果表明,该算法在高带宽环境中有较高的效率。     

基于自编码器和对比学习的入侵检测研究

为有效提取复杂且冗余的网络流量数据特征并进行更好地特征表达,提出了一种基于自编码器和对比学习的入侵检测方法。通过自编码器可捕捉网络数据流量特征间的非线性相关性,实现对数据的降维处理和特征提取,同时,采用对比学习对网络流量数据进行表征学习,通过优化对比学习损失函数进行端到端学习。在两个基准数据集NSL-KDD和UNSW-NB15进行分类试验。结果表明,相对于其他深度学习的入侵检测方法,该模型有效地提高了识别准确率和精确率。     

基于人工免疫理论的异常检测动态模型研究

针对目前基于人工免疫理论的入侵检测系统表现出来的检测率低、误检率高的缺点.本文通过对免疫理论在入侵检测方面的研究,提出一种基于人工免疫理论的异常检测动态模型.该模型采用数据包报文协议分析策略,来应对不同协议报文对系统的攻击;增加了基因库模块,且采用多位点基因重组算法和随机动态生成检测器相结合的方式,使生成的检测器具有多样性和高效性,提高了检测效率.最后,该模型通过模拟仿真实验,并与r-连续位匹配改进算法、LISYS和DynamiCS的实验结果进行对比分析,验证了本文模型的可行性和有效性.     

一种面向特定网络服务的异常检测方法

通过对入侵检测技术以及攻击种类的分析,发现常用的网络流量模型和简单的应用模型不能很好地检测R2L(Remote to Local)和U2R(User to Root)两类攻击.为此,提出一种面向特定网络服务的异常检测方法,考虑了特定网络服务的负载知识,结合信息论相关理论和n-gram分析方法,对正常服务请求报文的类型、长度、负载分布建立模型,对检测对象计算其特征异常值,有效检测R2L和U2R两类攻击.将该方法与误用检测结合,能有效提高入侵检测的准确性.     

基于蜜罐的网络动态取证系统研究

针对计算机静态取证技术和常用的动态取证技术中存在的问题,提出了基于虚拟蜜罐的网络动态取证系统模型。该模型将在被保护子网上对流经的网络数据进行实时监控,编写程序对检测到的入侵进行报警,并通过修改iptables的nat表,利用重定向技术将检测到的入侵数据导入到蜜罐中进行记录,实现了入侵检测技术、蜜罐技术与防火墙技术的联动,达到实时动态取证的目的。实验结果表明,该系统不仅可以保护网络和主机不受攻击,还可以长时间的获取证据,并使得证据不受污染,达到了预期效果。     

基于Agent的分布式人侵检测系统

入侵检测是网络安全的一个重要方面,在公共入侵检测框架的基础上,提出了基于Agent的分布式入侵检测系统,并给出了该入侵检测系统的系统模型.具有良好的分布性、可扩展性、实时响应等优点.并引入了贝叶斯推理的统计方法对检测结果进行分析,优化了系统结构,提高了检测效率.     

入侵检测集群中的动态自适应负载均衡算法

为了解决传统入侵检测系统无法应付高速网络的问题,提出了入侵检测群集的动态自适应负载均衡算法,该算法给每个节点设置了一个数据包接受区间,通过对网络报文的报头信息做哈希(Hash)运算,把数据包映射到某个节点的接受区间内;根据节点的处理能力和负载调节各个节点接受区间的宽度,从而合理分配各个节点上的网络流量,充分利用所有节点的计算资源。理论分析和实验结果表明,该算法在高带宽环境中有较高的效率。     

Snort软件代码分析、改进及再开发

出于研发网络入侵检测系统的需要,首先详细分析了入侵检测系统的规则链表结构;其次,针对snort规则链表的冗余提出一种改进方法,并证明了该方法的正确性和有效性;最后,以改进后的snort为内核,开发了网络入侵检测系统。并相继完成了包括Snort内核模块、用户认证模块、网络流量监视模块等的开发工作,完成了网络入侵检测系统的架构。经过验证,系统稳定、出色的性能再次证明了改进方法是有效的。     

面向IEC61850智能变电站的网络安全异常流量分析方法

为了保证智能变电站的网络通信安全和整个变电站的稳定运行,提出了一种基于机器学习k-means聚类算法的异常流量分析方法。根据智能变电站中过程层网络的特性,结合对IEC61850智能变电站专有GOOSE(generic object-oriented substation event)以及SV(sample value)协议的报文结构解析,使用了一种基于信息熵的特征选取方法对智能变电站正常工作时站内网络通信流量进行特征分析选择,利用k-means聚类算法完成了对异常流量的检测分析及其相关分析。相较于以往方法,文中方法对智能变电站的过程层网络流量信息的特征进行了选取,根据信息熵理论,完成了重要特征的选择和冗余特征的剔除,提高了聚类算法的效率,提高了对异常流量检测的准确性。     

一种基于SSNFF的DDOS入侵监测模型

针对分布式拒绝服务攻击(DDOS)网络攻击,提出了一种新的基于小波分析的空间相关性选择正常流算法(SSNFF)的入侵检测模型.该模型利用SSNFF算法进行DDOS信号的提取,对提取的DDOS信号利用基于极大曲线长度阈值的去噪算法与阶越点判定算法进行入侵发生点的检测,克服了原有利用模极大值检测入侵点算法中不同幅值突变大小对检测性能的影响,进而给出一个使用中的判定模型,并对实际采集到的网络流量和仿真攻击流量的混合流做了计算机模拟验证,最后给出试验结果并进行了分析.