一种基于数据挖掘的入侵检测系统模型

提出了一种基于数据挖掘技术的入侵检测系统模型,该模型是一个核模型,具有很好的扩展能力和适应能力,该模型因使用了元检测引擎来综合处理来自各个基本检测引擎的数据而提高了检测结果的准确性。文中还构建了一个基于数据挖掘的入侵检测原型系统来分析几种典型的数据挖掘技术的实际应用效果,讨论了数据预处理和特征提取问题。     

一种基于Snort规则和神经网络的混合入侵检测模型

当前入侵检测系统的主要技术基本可以分为误用检测和异常检测两种,针对其在误报率和漏报率方面的不足,结合两种检测技术的特点设计了一种混合型入侵检测方案.先通过模式匹配算法对数据包进行初级检测和数据分流,然后将可疑数据送报高级检测引擎进行智能检测,再将结果反馈给初级检测引擎;相对单一的入侵检测技术,本模型提高了入侵检测系统的...     

基于数据挖掘的主机入侵行为检测

针对主机入侵行为的复杂性与正常用户行为的相似性，提出利用序列模式挖掘方法挖掘攻击者频繁使用的主机入侵命令序列，将频繁主机入侵命令转换为底层入侵检测器的检测规则，用于检测用户的可疑行为，同时为了消除误报，设计了一个基于入侵事件状态的关联引擎，将挖掘产生的频繁主机入侵命令序列作为入侵关联规则并提出了一种新的入侵关联算法。     

基于攻击分类的异构检测引擎构建技术

由于攻击的复杂性,单一的检测技术难以具有全面的攻击检测能力。具有多检测引擎的入侵检测系统能够克服单一检测技术的检测局限性。但是目前的多检测引擎构建技术缺乏有关检测功能划分的理论指导。本文基于攻击的检测者观点,提出了基于检测特征的攻击分类方法,将攻击按照检测特征分为5个基础类。在此基础上,构建以攻击分类为基础的具有异构检测引擎的入侵检测系统框架。实验表明,该框架可以有效地检测各类攻击,并具有较好的变形攻击检测能力。     

一种基于代理和蜜罐技术的分布式入侵检测系统模型

提出一种基于Agent的自适应分布式入侵检测系统模型,以解决大多数传统的、 采用集中式的分析引擎的入侵检测系统误报率较高且缺乏自适应性的缺点； 同时, 针对现有大多数模型具有较高漏报率的问题, 提出一种基于蜜罐分布式的入侵检测系统模型.     

基于数据挖掘算法的入侵检测模型的设计

本文提出了一种基于数据挖掘技术的入侵检测系统模型的框架,分别介绍了其中数据采集模块、数据预处理模块、数据挖掘模块、规则检测引擎和规则库对整个系统的作用和功能。     

基于混合入侵检测技术的网络入侵检测方法

总结了异常检测和误用检测的优缺点,结合其优点,并克服其缺点,提出了基于混合入侵检测技术的网络入侵检测系统模型.对于同一行为,异常检测结果和误用检测结果不总是一样的,跟踪算法有效地解决了异常检测结果与误用检测结果不完全相同的问题;采用了数据挖掘方法建立正常行为轮廓库,并采用了全序列比较法和相关函数法实现异常检测引擎;提出的模型较基于单一入侵检测技术的模型相比,具有更好的检测效果.     

基于Agent的分布式入侵检测模型研究

传统的入侵检测系统多采用集中式的分析引擎,误报率较高且缺乏自适应性,难以满足大规模分布式网络环境的安全需求.Agent技术有效地解决了网络间任务分配合作问题,本文提出了一种基于移动Agent的主动网络自适应入侵检测系统.系统通过响应分析,自动产生响应策略,并派遣移动Agent去执行;根据入侵检测系统的报警可信度和响应执行情况,系统能够自适应地调整响应策略.同时,针对现有大多数模型具有较高漏报率的问题,提出一种基于蜜罐分布式的入侵检测系统模型.     

一种分布式入侵检测系统的设计

首先简要概述了入侵检测技术的现状、分析了现有技术的优缺点，然后提出一种基于部件的分布式入侵检测系统，它集成了误用检测和异常检测方法。文章最后设计了两种改进的分析方法。     

基于协议分析检测网络入侵的设计与实现

分析研究入侵检测工作原理,根据传统的入侵检测方法的不足,提出一种基于网络协议分析的入侵检测方法。系统使用多线程技术设计编写控制模块。系统根据已有的规则库测试系统是否被入侵,该系统能够利用入侵检测系统的检测结果,阻断攻击源,从而达到入侵防御的目的。     

基于数据挖掘的主机入侵行为检测

提出利用序列模式挖掘方法得到频繁入侵命令序列，将频繁入侵命令转换为底层入侵检测器的检测规则用于检测用户的可疑行为．为了消除误报，设计了一个基于入侵事件状态的关联引擎，将频繁入侵命令序列作办关联规则，并提出了一种新的入侵关联算法，该算法不仅考虑了每类主机入侵行为的序列特征，也反映了不同类型主机入侵行为之间的因果关系，体现了主机入侵行为的多样性和复杂性．实验结果表明，该入侵关联模型对各类主机入侵行为的检测效果良好，误报率明显降低，特别是下载类和信息获取类主机入侵行为的误报降低了20%左右。     

基于防火墙的网络入侵检测系统

提出了一个基于防火墙的网络入侵检测系统模型,克服了传统入侵检测系统不能实现主动控制的缺陷,并对设计与实现中的关键技术做了详细的描述·该系统在数据链路层截取实时的数据包,对其进行基于安全策略的访问控制分析;同时利用事件发生器从截获的IP包中提取出概述性事件信息并传送给入侵检测模块进行安全分析·入侵检测模块采用基于统计的入侵检测技术,并采用了NaiveBayes算法·基于该模型设计实现的系统在实际测试中表明对于具有统计特性的网络入侵具有较好的检测与控制能力·     

一种分布式入侵检测系统的实现

由于TCP／IP协议是一个开放的协议，因此网络极易受到攻击。为了能够有效地检测到入侵行为，提出了一种基于部件的分布式入侵检测系统，并结合网管软件系统的开发，在Linux环境下进行了实现。系统主要由控制台、分析系统、存储系统、响应系统、网络引擎和主机代理构成。通过协同工作并采用改进了的Boyer—Moore算法，检测网络入侵行为，有效地维护了信息网络的安全。     

一种基于禁忌神经网络的网络入侵检测模型

随着互联网的发展和普及,传统网络入侵防范方法如防火墙、数据加密等已经很难保证系统和网络资源的安全。为此,本文设计了基于改进禁忌算法和神经网络的网络入侵检测方法。首先建立三层的BP神经网络模型用于实现入侵检测。然后通过BP反向传播算法获取网络的权值和阀值等参数,并设计了一种基于双禁忌表的改进禁忌优化算法,采用此改进的禁忌优化算法对BP算法优化得到的权值和阀值进行进一步寻优。最后,将禁忌算法优化后的神经网络用于网络入侵检测。仿真实验表明,此方法能够有效地实现网络入侵检测,具有较快的收敛速度和较高的检测率,是一种适合网络入侵检测的可行方法。     

一种基于匹配集的入检测方法

提出了一种基于网络入侵检测的方案,即从结构上构造一个匹配集,优化入侵检测特征的存储结构,提高入侵检测的效率;并且改善了匹配检测算法,使系统具有学习性;加强了对数据的分析,提高了系统的准确性。     

基于代理的分布式入侵检测系统中网络代理的相关技术研究

介绍一个基于代理的分布式入侵检测系统的模型框架及其网络代理的结构设计,研究在Windows的环境下,利用网络代理技术的入侵检测方法,讨论网络代理的通信、网络数据采集与解析、协议分析等模块的相关实现技术.     

基于自治Agent的分布式入侵检测系统

在公共入侵检测框架的基础上，提出了一种基于自治Agent的分布式入侵检测系统模型，并介绍了一个实现实例。同时对基于资源监视的入侵检测、陷阱和诱导、跳频通讯等关键技术作了深入的探讨。     

一种基于聚类算法的网络入侵检测应用

针对网络入侵检测与聚类等问题,提出了一种综合模糊聚类与改进的SOM神经网络方法.通过对网络入侵数据提取、分析和处理,建立了网络入侵检测聚类模型,并对传统SOM网络层次进行改进,结合易发的网络入侵类型有针对性地对网络入侵数据进行聚类.网络入侵检测聚类与其他方法比较的结果表明,该模型在网络入侵检测聚类中具有更高的准确性和均衡性,该方法能有效提高网络入侵分类精度,减少聚类误差.     

无线局域网的Wardriving入侵检测

为了对无线网络进行入侵检测,设计并实现了无线网络安全监控系统.利用Libpcap函数对无线传输的原始包进行捕获;根据IEEE 802.11 MAC层协议,对原始包进行协议解码;利用统计分析检测方法,对基于主动扫描的Wardriving入侵进行检测.测试结果表明,该系统能及时发现Wardriving入侵.