基于孤立森林挖掘算法的入侵检测系统研究

针对现有网络入侵检测系统检测效率差、误检率高的弊端,基于优化IF算法设计了一种适用于大规模数据检测的系统。系统利用蒙特卡洛准则对IF算法进行深度优化,并限定一个最低的收敛值以提高数据分割的精度。系统硬件部分包括数据采集模块、解码预处理模块、检测引擎模块、日志报警模块、规则库等,在应对海量规模的数据样本时,与传统方案相比该系统具有更为明显的优势,其检测率趋近于95.98%的理论值,同时在检测耗时方面也比传统系统更有优势。     

审计日志的关联规则挖掘

研究了在入侵检测系统中利用数据挖掘技术从审计日志中挖掘关联规则的方法，针对现有关联规则算法应用于入侵检测系统引起的问题，提出了利用本质属性限制无趣规则的产生、利用行向量的位运算提高Apriori算法时间性能的一种高效改进算法。该算法不需生成候选频繁集和剪枝操作，避免了因无趣规则引起的大量运算。因而能提高入侵检测系统的效率。     

改进的Apriori算法在IDS中的应用

在入侵检测研究领域中,提高检测模型的检测率并降低误报率是一个重要的研究课题.提出了一种针对网络入侵检测事务流日志数据库的关联规则挖掘改进算法,它采用事务压缩和属性压缩相结合,解决了当前主流关联规则算法应用到入侵检测过程中存在的多遍扫描、大量无效规则和算法复杂度过高等问题.实验结果表明,文中所提出的方法在规则生成和对网络异常情况的检测方面都显示出比较好的性能,提高了系统效率,使其更适用于入侵检测系统.     

一种基于匹配集的入检测方法

提出了一种基于网络入侵检测的方案,即从结构上构造一个匹配集,优化入侵检测特征的存储结构,提高入侵检测的效率;并且改善了匹配检测算法,使系统具有学习性;加强了对数据的分析,提高了系统的准确性。     

基于3-gram模型和数据挖掘技术的元数据预取 

在大规模的文件存储系统中,针对大多数算法的设计没有考虑到元数据访问的特征与元数据本身较小的特点,提出了一种利用存储系统中的元数据操作日志文件,运用3元(3-gram)预测模型和数据挖掘的方法对用户未来可能要操作的元数据进行组预取。实验证明,对于从日志文件中提取出的文件元数据访问序列,新预取模式的缓存(Cache)命中率与基于权重图的预取算法(NEXUS)相比平均提高了3.9%,与最近最少使用算法(least recently used,LRU)比较平均提高了16%。     

分布式入侵检测日志分析系统

本文通过构建分布式入侵检测系统,并利用挖掘算法对日志系统进行分析,挖掘出攻击模型规则。从而提出一个基于snort的日志分析系统,降低报警的误报率。     

基于数据挖掘的NIDS日志分析系统

网络入侵检测系统由于采用单包分析技术,具有较高的误报率,影响其实用性。文章提出了采用数据挖掘技术对入侵检测的报警消息进行分析的方法,设计并实现了一个日志分析系统。该系统使用数据挖掘的关联规则和序列分析技术,对入侵检测系统的警报日志信息挖掘,寻找黑客入侵的规律。并利用发掘的规律实时分析警报信息,提高入侵检测系统的警报精确度,降低系统管理员的工作强度。     

一种入侵检测系统快速模式匹配算法

模式匹配是应用于入侵检测系统中的的主要技术之一,匹配算法的好坏直接影响入侵检测系统的效率,本文在分析BM及其改进算法的基础上,提出了一种快速的BME算法.该算法结合了BMH算法和BMHS算法的优点,有效地减少了比较次数,加快了匹配速度.试验测试结果表明该算法能够有效提高网络入侵检测系统的效率.     

Snort下模式串匹配算法的研究与改进

在阐述入侵检测技术研究现状的基础上,通过对入侵检测系统snort下BM和Wu-Manber两个模式匹配算法的研究,然后对其分别改进,并进行实验验证,实验结果表明使用改进的算法提高了匹配效率,减少了存储需求,从而进一步提高了入侵检测系统的检测性能。     

基于WM算法改进的多模式匹配算法

为提高入侵检测系统整体的性能和效率,在研究经典的WM(Wu-Manber)多模式匹配算法的基础上,提出一种改进的WM多模式匹配算法.该算法使用后缀表方法,减少了匹配过程中模式字符串与文本的比较次数.实验结果表明,该算法有效提高了入侵检测系统匹配的速度和效率.     

A New Honeynet Model

Based on citing Realm, a new Honeynet Model-BRHNS （Based Realm Honeynet） is presented. BRHNS makes use of cooperation between Realms, the efficiency of Honeynet is improved, in intrusion behavior analysis module, unknown attack data are classified by unsupervised clustering algorithm, accordingly, prepared for extracting intrusion rules and adding the new rules to IDS rule-lib, consequently, the detection efficiency of IDS is improved and the workload of Honeynet is effectively reduced. Had performed experiments through cross-validate, we found it was effective to classify the attack data by unsupervised clustering algorithm.     

基于支持向量机的Windows主机入侵检测系统

提出了一种基于支持向量机的W indow s主机入侵检测方法。讨论了以W indow s注册表作为数据源的入侵检测系统的结构及特征向量的提取方法。给出了基于支持向量机的入侵分类算法,通过建立支持向量描述模型进行预测。实验表明:该方法对已知样本有很高的检测率,对未知样本也有一定检测能力。     

状态转换图在IDS中的应用

入侵检测系统（IDS）作为一种重要的计算机系统安全监测手段，已经成为维护网络安全的主要技术之一。本文提出的改进模型是在一个现有的入侵检测原型系统的基础之上，利用STAT（State Transition Analysis Tool，状态转换分析工具）技术对其分析引擎增加了有效的辅助模块，并使用数据挖掘技术对原始审记数据进行初步的数据清洗。与原有的IDS相比，改进后的系统有效地提高了入侵检测性能和精度，并具有较好的可扩展性和鲁棒性。     

一种改进的动态克隆选择免疫算法在入侵检测中的应用研究

给出自体、非自体、抗原、抗体、免疫细胞的定义,改进亲和力计算公式,提出可控变异和随机变异方法并以此改进动态克隆选择算法。设计并实现基于该改进免疫算法的入侵检测系统(IDS)模型,仿真实验表明,改进后的算法有效提高入侵检测系统的自适应性。     

基于改进的BM算法在IDS中的实现

指出了模式匹配技术的好坏直接关系到检测系统性能的好坏 ,通过对开放的源代码snort中模式匹配技术的改进 ,提出了一种更快的字符匹配算法 .该算法可以大大加快入侵检测系统的检测速度 ,提高现有的入侵检测系统的检测能力 .     

A novel intrusion detection method based on improved SVM by combining PCA and PSO

The paper presents an improved support vector machine (SVM) by combining principal component analysis (PCA) and particle swarm optimization (PSO).Then,the improved SVM is applied to the intrusion detection system (IDS) to improve the detection rate.First,PCA is used to reduce the dimension of feature vectors.Second,we use the PSO algorithm to optimize the punishment factor C and kernel parameters in SVM.The experimental results indicate that the intrusion detection rate (97.752 8%) of improved SVM by combining PCA and PSO is higher than those (95.635 5%) of PSO-SVM and those (90.476 2%) of standard SVM with KDD Cup 1999 data set.     

并行入侵检测系统的动态自适应负载均衡算法

网络入侵检测系统的处理速度难以跟上网络的速度,使用多个分析引擎并行处理网络报文可以大幅度提高网络入侵检测系统的性能。考虑到负载均衡的要求,提出了一种并行入侵检测系统的动态自适应负载均衡算法,该算法给每个分析引擎设置了一个数据包接受区间,通过对网络报文的报头信息做哈希运算,把数据包映射到分析引擎的接收区间内;根据分析引擎的处理能力和负载情况调节各个分析引擎接受区间的宽度,从而合理分配每个分析引擎上的网络流量,充分利用所有分析引擎的计算能力。理论分析和实验结果表明,该算法在高带宽环境中有较高的效率。     

改进的时态关联规则在入侵检测中的应用

入侵检测系统的性能在很大程度上与它的检测规则有关,所以如何更快更有效地从网络数据中获取有效的检测规则对于一个IDS(入侵检测系统)来说就变得格外重要.本文在分析了传统关联规则算法缺点的基础上,对关联规则挖掘算法的优化策略和时态因素的分类处理重点进行了讨论.即在利用主属性约束最后规则的同时,提出了高频属性直接入选的策略.以更快地获取有效的入侵检测规则.实验测试结果表明,优化后的算法在挖掘速度和规则的检出率等性能上有较大提高,找到了一些原来被忽略的规则并剔除了一些不重要的规则,证明此优化算法是切实有效的.     

决策树与神经网络结合的入侵检测系统模型研究

入侵检测系统是保证网络信息安全的有力手段,文中提出一种结合决策树和神经网络的入侵检测系统框架。决策树分类方法把数据集划分为正常数据和入侵数据,并作为训练集分别用神经网络进行训练,改善了系统的检测精度并提高了对未知数据的检测能力。离线训练后的系统可以实现网络数据的实时检测,通过实验证明了此系统很好的检测效果和自适应能力。     

一种适用于宽带网络的入侵检测系统的设计与实现

宽带高速网络的实时入侵检测技术是当今信息安全中的一个热门研究课题,文章介绍了入侵检测系统的概念,提出了一种网络实时入侵检测系统模型,根据此模型,从IDS的体系结构和算法上入手,探索设计了一种适合于宽带网络的实时入侵检测方案,并介绍了实现的关键技术和方法。