基于二次训练技术的入侵检测方法研究

提出了一个基于二次训练技术的网络入侵检测模型,不但可以从整体上提高入侵检测系统的检测性能,而且对于低频率、高危害攻击类型的检测性能有着更加显著的提升.该模型首先利用PCA算法提取数据集中的重要特征,然后使用二次训练技术训练分类器构建网络入侵检测模型.实验中分别使用决策树、朴素贝叶斯和KNN 3个经典分类算法构建了基于二次训练技术的入侵检测模型,并在著名的KDDCup99数据集上进行了实验.结果表明本文的入侵检测模型可以有效地提高入侵检测系统的性能,尤其是对于低频率攻击类型的检测性能有明显的提升.      

基于增量式SVM的入侵检测研究

现实中入侵行为是层出不穷的,因此入侵检测系统必须能对新的入侵行为进行学习.提出基于存活因子的增量学习支持向量机(SVM)训练算法,通过边界样本集和准边界样本集对已知的入侵知识进行表示,能有效地对新入侵进行增量式学习.并且,采用了带存活因子的增量学习方式,可以有效地抑制算法的“震荡效应”,提高SVM算法进行入侵检测学习的自适应性和鲁棒性.     

生物免疫原理在多代理分布式入侵检测系统中的应用

入侵检测是一个新的、迅速发展的领域,已成为网络安全体系结构中的一个重要环节. 通过对多代理技术和入侵检测方法的研究,提出了一种基于生物免疫原理的多代理分布式入侵检测系统模型,并且对该系统的结构和代理的处理流程进行了描述. 该系统是一个开放的系统,具有很好的可扩展性,易于加入新的入侵检测代理,也易于增加新的入侵检测. 代理之间的协同采用独立的通信服务代理来实现,特有的自身检测代理确保检测系统本身的安全.     

一种分布式入侵检测系统体系结构

按照入侵检测系统的设计目标,对已有的分布式入侵检测系统及其结构进行了分析和对比,提出了一种新的基于混合Agent的分布式入侵检测系统体系结构模型IMADIDS.     

基于突变理论的容忍入侵模型分析

基于突变理论,结合容忍入侵的改进模型,建立影响容忍入侵系统容忍能力的因素突变分析模型,给出容忍度的定义,并提出容忍入侵系统的冗余控制模型,为容忍入侵模型因素分析提供了一个新的思路。     

应用支持向量机实现分布式入侵检测

描述了一种应用支持向量机构建的分布式入侵检测系统模型 ,介绍了支持向量机的机器学习原理、训练过程以及在线检测流程 .仿真结果表明系统提高了对未知入侵的检测能力     

决策树与神经网络结合的入侵检测系统模型研究

入侵检测系统是保证网络信息安全的有力手段,文中提出一种结合决策树和神经网络的入侵检测系统框架。决策树分类方法把数据集划分为正常数据和入侵数据,并作为训练集分别用神经网络进行训练,改善了系统的检测精度并提高了对未知数据的检测能力。离线训练后的系统可以实现网络数据的实时检测,通过实验证明了此系统很好的检测效果和自适应能力。     

基于Mobile Agents的新型分布式入侵检测系统

在分析一般入侵检测方法的基础上 ,提出了一种新的基于MobileAgent (MA)的分布式入侵检测方法 .该方法兼顾了原有的优点 ,并在一定程度上弥补了原有方法的不足 .重点讨论了MA在入侵检测系统中的应用 ,叙述了如何通过MAs之间的协作进行入侵检测 ,并利用MA的特性对入侵检测系统本身的安全性和抗毁灭性做了具体的论述 .提出的入侵检测结构提高了系统的抗毁性和自恢复能力 ,提高了入侵检测系统自身的安全性 .说明了系统的体系结构、工作原理以及该系统的优越之处     

信息系统内部安全审计机制

针对目前大量存在的信息系统内部安全问题,提出了基于安全审计和入侵检测技术的信息系统安全审计平台,并具体给出了其内部工作流程和实现机制.鉴于信息系统内部安全的特点,作者提出了建立系统内部人员的个人诚信信息,并将其作为入侵检测的匹配条件之一.针对入侵检测系统,采用了误用检测技术和异常检测技术相结合的方式,将事后审计数据作为训练数据建立入侵检测模型,最终实现对信息系统内部审计信息的实时处理.     

一种基于CIDF的入侵检测系统模型

给出了一种基于CIDF的入侵检测模型，该模型同时运用异常检测与特征检测，能够较好地检测到各种攻击，而且可以在有噪声数据的情况下对系统进行训练，克服了一般的基于异常检测的入侵检测系统要求在无噪声数据的情况下进行训练的缺陷。通过CIDF通信协议，入侵检测系统还可以与其他的入侵检测系统通信，实现多个入侵检测系统协同工作，大大提高了入侵检测的效率和成功性。     

基于LM-BP神经网络的入侵检测系统的研究

针对传统BP神经网络存在收敛速度慢、易陷入局部最小点、计算量大的不足,提出一种结合Levenberg—Marquardt优化算法的BP神经网络,并应用在一个误用入侵检测系统。实验结果表明,新系统结合了异常检测和误用检测两者的优势,快速检测新型入侵,降低误警率和漏警率。     

基于本体的报警分类技术在报警评估过程中的应用与实现

由于缺乏评估和关联报警的背景知识,IDS(入侵检测系统)产生的海量报警无法得到更进一步的真实化确认,从而使IDS成为当今安全产品中的诟病.在事件关联范畴内的报警评估是利用被监控系统的背景知识对IDS产生的大量报警进行进一步的分析,从而把真实的危害系统的报警呈现给用户的过程.这些用于评估IDS报警的背景知识包括受害主机系统信息和网络环境信息.本文介绍了事件关联的主要结构,并着重介绍报警评估的流程和所需背景知识库;然后详细描述了基于本体的背景知识库的分类技术;最后给出基于背景知识分类技术在报警评估过程中的具体实现过程.     

基于地址关联图的分布式IDS报警关联算法

当前入侵检测系统产生的报警洪流往往使管理员无法处理,大大降低了IDS系统的有效性. 对原始报警事件的关联分析可以从大量报警中提取出有效的攻击事件;分析攻击者的真正意图,对大规模分布式入侵检测系统有重要意义. 为此综合分析了现有报警关联算法的优点和不足,提出了一种基于地址关联图(ACG)的报警关联算法. 该算法用地址关联图模型对分布式IDS原始报警事件进行分析,以得到不同攻击之间的关联和发生步骤,得到攻击者的攻击路径,进而分析攻击者的意图. 该算法无需提前制定关联知识库或提前训练关联模型,因此易于实现.     

基于数据包负载的网络入侵检测

通过分析正常的网络数据流负载的字节统计分布,提出了一个基于网络数据包负载的异常检测模型,模型的产生完全是自动的、无监督的和高效的.模型训练阶段,针对特定主机的每一个端口,计算经过该端口的数据包负载的字节出现频率的平均值和标准差,根据计算结果产生统计分布检测模型.检测阶段,利用马氏距离计算新的数据和训练阶段产生的统计模型的相似性,根据计算结果和距离临界值的比较检测入侵.使用1999 DARPA IDS数据集对所建模型进行测试,结果显示该模型对于检测某些针对特定的端口的攻击有效,特别是在检测80端口的数据包时,正确率几乎达到100%,而错误率为0.1%.     

入侵检测的规划识别模型研究

将AI领域中的规划概念引入入侵检测,建立了入侵检测的规划识别模型,采用因果告警关联分析和贝叶斯网推理模型实现规划识别,以找回因入侵检测自身的检测策略不足和网络覆盖范围漏洞而丢失的关键告警,重新构建了实际的攻击场景,并能预测攻击者的下一步行为或攻击意图,从而起到了提前预警的作用．     

模式匹配技术在Snort中的应用和改进

目前有常用的几种模式匹配技术。在 snort 模式匹配方法中还有一定的局限性,协议匹配、字符串匹配也存在一些弊端。为了有效的提高入侵检测系统的可靠性,可以综合利用各种匹配技术并对匹配算法加以改进。采用协议分析大大减少模式匹配的计算量,提高匹配的精确度,减少误报率;对 BMH 算法的改进可以更进一步的提高匹配效率。从而开发出更高效的基于 Snort 的入侵检测系统。     

一种基于Snort规则的NIDS测试程序设计

入侵检测系统是解决网络安全问题的有效手段，而入侵检测系统能否达到设计要求也是我们十分关注的问题。介绍了一种基于Snort规则的NIDS测试程序设计，给出了设计的原理及其实现的过程。此程序通过解析Snort规则来构造攻击特征报文，发送到网络上被NIDS检测到并报警，从而测试和评估NIDS的承受能力。     

A Novel Immune System Model and Its Application to Network Intrusion Detection

Based on analyzing the techniques and architecture of existing network Intrusion Detection System (IDS), and probing into the fundament of Immune System (IS), a novel immune model is presented and applied to network IDS, which is helpful to design an effective IDS. Besides, this paper suggests a scheme to represent the self profile of network. And an automated self profile extraction algorithm is provided to extract self profile from packets. The experimental results prove validity of the scheme and algorithm, which is the foundation of the immune model.     

CPN攻击建模及警报相关性算法设计

为提高当前入侵检测系统的预警质量和分析预测能力,用染色Petri网(colored petrinet,CPN)构造了攻击模型,系统性地设计了警报信息相关性分析算法.通过把"警报"和"攻击"作为2个不同实体参与模型运算,将目前主要采用的过滤观察信息为基础的关联方法提升为信息推理的演算方法.应用CPN模型转换、极小覆盖集命题等方法,对本领域中的难点问题即复合攻击、合作攻击进行了理论分析和算法设计.在此基础上开发了警报信息相关性分析(alerts correlationanalvsis system,ACAS)实验系统,实验结果表明算法系统对于提高入侵检测系统的警报质量和分析预测能力是可行、有效的.     

一种基于数据挖掘的告警相关方法的研究与实现

通过分析入侵检测系统的现存问题,提出一种基于数据挖掘的告警相关方法,对告警进行高效关联和归并。实验结果表明,该方法减少告警数量72．4％以上．误告警减少21．2％以上。