分布式入侵检测系统中告警关联部件整体框架设计

告警关联能够将现有的入侵检测系统从只能检测单个入侵事件或异常状态转化成检测入侵过程,从而提高入侵检测系统的有效性和可用性。该文给出了一种分布式入侵检测系统中告警关联部件整体设计框架     

网络入侵检测系统的拒绝服务攻击的检测与防御

针对网络入侵检测系统的拒绝服务攻击(DOS)具有难于检测与防御的特点，提出了一种新颖的检测与防御算法。该算法通过分析告警的频率与分散度来检测DOS攻击，并采用分阶段切换的方式将状态检测由正常模式转为紧急模式，丢弃不属于正常TCP会话的数据包，以实现对DOS的防御。性能分析和实验结果表明，该算法能够及时发现、防御DOS攻击，有效地阻止DOS攻击所造成的系统破坏。     

基于多策略决策树剪枝算法的入侵检测系统

决策树是数据挖掘技术中一种有效的分类方法,使用该方法的入侵检测系统能够更加准确高效的对网络数据进行处理和告警.然而面对庞大的网络数据集,生成的决策树规模常常较大,难以理解.本文提出一种多策略的剪枝算法修剪生成的决策树,来提高入侵检测系统的效率和准确性.     

一种基于数据挖掘的告警相关方法的研究与实现

通过分析入侵检测系统的现存问题,提出一种基于数据挖掘的告警相关方法,对告警进行高效关联和归并。实验结果表明,该方法减少告警数量72．4％以上．误告警减少21．2％以上。     

网络入侵检测技术研究

入侵检测是保护网络信息安全的重要途径。文章简要介绍了入侵和入侵检测的概念，以及入侵检测系统所具有的功能，并对4种主要的入侵检测方法进行了分析，重点阐述了一种适用于中小型网络环境的基于网络和主机相结合的入侵检测技术。     

基于网络入侵检测系统的技术改进

本文从研究入侵检测技术人手，介绍了入侵检测系统的分类；然后分析了基于网络的入侵检测系统（NIDs）的技术方法及其优缺点，指出了当前基于网络的入侵检测系统存在的问题和所面临的挑战．本文在对基于网络的入侵检测系统的研究中，提出将主机知识、网络域知识结合到检测系统中去，解决了检测系统易受插入攻击、躲避攻击的问题．本文还提出了检测子网的概念，根据检测需要将物理子网划分为几个检测子网，可以实现负载的分流和检测任务的专业化分工，负载分流可以彻底解决高速网对网络入侵检测系统的威胁，专业化分工可以大大提高检测引擎的处理速度．     

网络入侵检测系统的研究

介绍了网络入侵的基本概念,提出了网络入侵检测系统的基本任务,给出了一个通用的网络入侵检测系统的结构模型,对目前入侵检测系统作了分类,分析了网络入侵检测技术,指出入侵检测系统在网络安全中的作用,同时对网络入侵检测系统（NIDS）的发展作了展望。     

基于主机的入侵检测系统设计与实现

针对传统的基于主机的入侵检测系统和基于网络的入侵检测系统各自存在的不足，提出并深入探讨了一种将安全扫描和入侵检测技术相结合的基于主机的入侵检测系统。该系统引入了启发式分析和多模式匹配算法，有效地提高了入侵检测系统的检测效率和准确度。     

浅谈网上办公系统中入侵检测技术

入侵检测技术是发现攻击者企图渗透和入侵行为的技术。由于网络信息系统越来越复杂,以致人们无法保证系统不存在设计漏洞和管理漏洞。在近年发生的网络攻击事件中,突破边界防卫系统的案例并不多见,黑客们的攻击行为主要是利用各种漏洞长驱直入,使边界防火墙形同虚设,信息技术的普及和信息基础设施的不完备导致了严峻的安全问题。人们不得不通过入侵检测技术尽早发现入侵行为,并予以防范。入侵检测技术根据入侵者的攻击行为与合法用户的正常行为明显的不同,实现对入侵行为的检测和告警,以及对入侵者的跟踪定位和行为取证。本文主要从ISS的Real Secure入侵检测系统的特点出发实现网上办公系统的入侵检测功能。     

基于遗传算法的分布式入侵检测模型研究

基于主机的入侵检测系统和基于网络的入侵检测系统各有优缺点，所以人们提出基于网络且同时基于主机的入侵检测系统，即分布式入侵检测系统。文章提出一个新型的基于遗传算法的分布式入侵检测模型。由于Agent收集的数据既可以是主机上，也可以是网络上的，所以本模型是属于分布式入侵检测模型。后面进行了遗传算法检测的试验，并且给出了实验结果，实验结果证明使用遗传算法可以有效的进行检测，并且可以提高检测的正确率。     

一种基于数据挖掘的多步入侵警报关联模型

基于传统网络入侵检测系统, 提出一种基于数据挖掘的多步入侵警报关联模型. 该模型能将多个入侵检测系统的警报信息进行融合, 对大量、 无序的警报信息进行分析, 发现其中的内在联系, 精简攻击事件警报, 并通过不断更新场景知识库发现融合后警报中的多步入侵行为. 与已有模型进行对比的结果表明, 该模型的关联分析方法及多步入侵知识库的建立有助于更好地结合系统的特征实现多步入侵的警报关联.     

一个新的入侵检测分析模型

针对目前入侵检测系统中利用训练选取参数时运算量大的问题,提出了一种新的分析模型.新的分析模型通过改进规则探测判定权值的方法,提高了训练效率,使得入侵检测系统在有限的系统资源和训练时间的条件下可以进行更多的训练,从而降低入侵检测系统的警报错误率.     

入侵检测的规划识别模型研究

将AI领域中的规划概念引入入侵检测,建立了入侵检测的规划识别模型,采用因果告警关联分析和贝叶斯网推理模型实现规划识别,以找回因入侵检测自身的检测策略不足和网络覆盖范围漏洞而丢失的关键告警,重新构建了实际的攻击场景,并能预测攻击者的下一步行为或攻击意图,从而起到了提前预警的作用．     

基于数据挖掘的NIDS日志分析系统

网络入侵检测系统由于采用单包分析技术,具有较高的误报率,影响其实用性。文章提出了采用数据挖掘技术对入侵检测的报警消息进行分析的方法,设计并实现了一个日志分析系统。该系统使用数据挖掘的关联规则和序列分析技术,对入侵检测系统的警报日志信息挖掘,寻找黑客入侵的规律。并利用发掘的规律实时分析警报信息,提高入侵检测系统的警报精确度,降低系统管理员的工作强度。     

CPN攻击建模及警报相关性算法设计

为提高当前入侵检测系统的预警质量和分析预测能力,用染色Petri网(colored petrinet,CPN)构造了攻击模型,系统性地设计了警报信息相关性分析算法.通过把"警报"和"攻击"作为2个不同实体参与模型运算,将目前主要采用的过滤观察信息为基础的关联方法提升为信息推理的演算方法.应用CPN模型转换、极小覆盖集命题等方法,对本领域中的难点问题即复合攻击、合作攻击进行了理论分析和算法设计.在此基础上开发了警报信息相关性分析(alerts correlationanalvsis system,ACAS)实验系统,实验结果表明算法系统对于提高入侵检测系统的警报质量和分析预测能力是可行、有效的.     

一种应用于DIDS的实时自调整归约算法

根据归约与分布处理的思路,设计了用于分布式入侵检测系统节点的实时自调整归约算法,并在Java环境中实现.在实验平台上验证了算法的正确性并证明其有效性.实时自调整归约算法能让使用者根据实际环境改变算法参数,使归约效果、警报响应实时性和系统性能能同时接近最优,为设计高效、稳定的入侵检测系统提供了一条捷径.     

高速网络环境下的网络入侵检测系统

基于数据过滤与负载均衡技术,提出了一个能应用在高速环境下的网络入侵检测系统,给出了一个综合考虑实时负载、可用性及能力的负载均衡算法,即基于应用的最小负载优先算法;采用分布式的网络入侵检测系统的结构,基于MobileAgent技术来实现分析检测代码的动态更新与移动·实验测试表明该系统能较好地解决高速网络环境下的实时入侵检测问题     

聚类分析在入侵检测中的应用

在对现有的入侵检测技术研究的基础上,着重对数据挖掘技术中的聚类分析方法在入侵检测领域中的应用进行了研究。通过分析网络中数据的特点,提出了一种基于改进的k-means算法的无监督二次聚类算法,并用入侵检测权威数据集KDD Cup1999作为实验数据将其实现,实验表明,该算法具有较高的检测率和较低的误检率。