基于自适应性模型的入侵检测系统研究

适应性模型是一种自动建立的基于数据挖掘的入侵检测系统检测模型。在利用入侵检测传感器收集相同数据的同时，系统自动建立适应性模型。由于不需要建立训练集，从而减少了配置入侵检测系统的花费。本文提出了一种自动模型及其系统结构的有效实现，并用算法自动建立了在噪声数据上的异常检测模型。     

神经网络在入侵检测中的应用

当前的入侵检测技术主要有基于规则的误用检测和基于统计的异常检测。提出一个基于神经网络的入侵检测系统模型，利用神经网络的自学习、自适应的特性，快速识别和对噪声数据的处理能力，使入侵检测系统能够较好地识别新的攻击。     

基于CIDF的入侵检测原型的设计与实现

CIDF框架是入侵检测系统的一个通用框架结构，基于CIDF，设计并实现了一个入侵检测原型，该原型能够有效地反映入侵检测的原理与处理方法，其实现目的是为了检验新的入侵检测体系结构与检测方法。讨论了实现该原型的主要数据结构和各模块的设计方法，这个原型已用于对检测规则的研究中。     

ID—DC：基于分布式聚类的人侵检测方法

提出了基于分布式聚类的异常入侵检测方法ID—DC，通过对训练集进行分布式聚类产生聚簇模型，采用基于双参考点的标识算法Double—Reference标记异常簇，不需要具有类别标签的训练集且可自动确定聚簇模型的个数．实验中采用了网络入侵检测数据集KDD—CUP-99来训练模型．实验结果表明：通过采用分布式聚类算法建立的分布式入侵检测模型可有效地检测攻击，检测率高，误警率低．     

防火墙与基于CIDF模型的入侵检测系统联动模型的设计

本文将防火墙和入侵检测软件的优势结合起来,提出一种防火墙与基于CIDF模型的入侵检测系统联动的设计,并对联动的技术进行了深入的分析,提出利用开放接口方式实现双方联动的思想。     

基于数据挖掘技术的网络入侵检测系统

提出了一种基于数据挖掘技术建立入侵检测系统的方法。研究了如何在入侵检测中对审计数据进行数据挖掘，从系统审计数据中提取出描述正常和异常行为的特征和规则，从而建立攻击检测模型，并提出了全套步骤。     

基于二次训练技术的入侵检测方法研究

提出了一个基于二次训练技术的网络入侵检测模型,不但可以从整体上提高入侵检测系统的检测性能,而且对于低频率、高危害攻击类型的检测性能有着更加显著的提升.该模型首先利用PCA算法提取数据集中的重要特征,然后使用二次训练技术训练分类器构建网络入侵检测模型.实验中分别使用决策树、朴素贝叶斯和KNN 3个经典分类算法构建了基于二次训练技术的入侵检测模型,并在著名的KDDCup99数据集上进行了实验.结果表明本文的入侵检测模型可以有效地提高入侵检测系统的性能,尤其是对于低频率攻击类型的检测性能有明显的提升.      

基于遗传算法的分布式入侵检测模型研究

基于主机的入侵检测系统和基于网络的入侵检测系统各有优缺点，所以人们提出基于网络且同时基于主机的入侵检测系统，即分布式入侵检测系统。文章提出一个新型的基于遗传算法的分布式入侵检测模型。由于Agent收集的数据既可以是主机上，也可以是网络上的，所以本模型是属于分布式入侵检测模型。后面进行了遗传算法检测的试验，并且给出了实验结果，实验结果证明使用遗传算法可以有效的进行检测，并且可以提高检测的正确率。     

ID-DC:基于分布式聚类的入侵检测方法

提出了基于分布式聚类的异常入侵检测方法ID-DC,通过对训练集进行分布式聚类产生聚簇模型,采用基于双参考点的标识算法Double-Reference标记异常簇,不需要具有类别标签的训练集且可自动确定聚簇模型的个数.实验中采用了网络入侵检测数据集KDD-CUP-99来训练模型.实验结果表明:通过采用分布式聚类算法建立的分布式入侵检测模型可有效地检测攻击,检测率高,误警率低.     

计算机网络自适应入侵检测模型研究

传统的入侵检测系统(IDS)建立训练数据集时消耗的成本都非常高,自适应模型产生系统能够有效地解决这一问题,它可以为基于数据挖掘的入侵检测系统自动建立检测模型,而无需再用人工对数据做出标识。本文介绍了该模型的体系结构,并对其工作原理进行了分析,在此基础上建立自适应入侵检测模型。     

一种基于网络的入侵检测模型及其实现

在入侵检测CIDF体系结构基础上,提出了基于网络的二层式多数据包分析入侵检测模型.这一模型中,事件分析器对当前事件分两层进行处理:先将当前事件结合历史事件进行关联分类,找出与当前事件关联紧密的历史事件;然后对包含当前事件的这一类关联事件进行回归分析,最终发现潜在的协同攻击和分布式入侵行为.仿真试验说明该算法模型能够检测出传统入侵检测系统难以发现的分布式入侵行为.     

半监督聚类算法及其在入侵检测中的应用

针对现有入侵检测技术的不足,对基于机器学习的异常入侵检测系统进行了研究,提出了一种基于半监督聚类的异常入侵检测算法。此算法通过利用少量的标记样本,生成用于初始化算法的种子聚类,然后辅助聚类过程,对数据进行检测。实验表明,与以往入侵检测算法相比,此算法可以明显地改善入侵检测系统的性能。     

公共入侵检测框架CIDF的研究

公共入侵检测框架CIDF提供了一种入侵检测系统的设计规范.本文研究CIDF的体系结构、规范语言、内部通讯和程序接口.     

一种基于智能代理的分布式入侵检测系统设计

在CIDF（Common Intrusion Detection Framework）模型的基础上,提出一个基于智能代理的分布式入侵检测系统结构框架,并介绍该系统结构框架中的组成模块.该系统框架具有实现机制与策略分离、控制安全可靠、扩展性好等特点,能适应于分布式入侵检测的需要.     

一种基于多分类器协同训练的网络异常检测方法

基于机器学习的网络异常检测方法是入侵检测领域的重要研究内容.传统的机器学习方法需要大量的已标记样本对分类器进行训练,然而已标记样本通常较难获取,导致分类器训练困难;此外单分类器训练面临难以消除的分类偏向性和检测孔洞.针对上述问题,本文提出了一种基于多分类器协同训练的异常检测方法MCAD,该方法利用少量的已标记样本和大量的未标记样本对多个分类器进行协同训练,以减少分类的偏向性和检测孔洞.对比实验采用经典的网络异常检测数据集KDD CUP99对MCAD的异常检测性能进行验证。实验结果表明,MCAD有效地降低了检测器训练代价,提高了网络异常检测性能.     

集成防火墙的入侵检测系统的设计与实现

首先讨论了防火墙和入侵检测系统各自的不足．然后在CIDF框架的基础上提出了一个集成了防火墙和入侵检测系统的框架模型．并且详细描述了模型系统中各个组成部分的具体实现．分析表明这种框架模型系统初步体现了两者的优点,并且克服了两者的一些不足。     

基于混合入侵检测技术的网络入侵检测方法

总结了异常检测和误用检测的优缺点,结合其优点,并克服其缺点,提出了基于混合入侵检测技术的网络入侵检测系统模型.对于同一行为,异常检测结果和误用检测结果不总是一样的,跟踪算法有效地解决了异常检测结果与误用检测结果不完全相同的问题;采用了数据挖掘方法建立正常行为轮廓库,并采用了全序列比较法和相关函数法实现异常检测引擎;提出的模型较基于单一入侵检测技术的模型相比,具有更好的检测效果.