基于数据挖掘的主机入侵行为检测

针对主机入侵行为的复杂性与正常用户行为的相似性，提出利用序列模式挖掘方法挖掘攻击者频繁使用的主机入侵命令序列，将频繁主机入侵命令转换为底层入侵检测器的检测规则，用于检测用户的可疑行为，同时为了消除误报，设计了一个基于入侵事件状态的关联引擎，将挖掘产生的频繁主机入侵命令序列作为入侵关联规则并提出了一种新的入侵关联算法。     

一种基于聚类和关联规则修正的入侵检测技术

针对目前基于K-Means算法的入侵检测技术所存在的符号类型数据处理能力欠缺、误报率较高的问题,提出了一种基于聚类和关联规则修正的入侵检测技术。将关联规则挖掘技术引入到聚类分析机制中,利用针对符号型属性的关联规则挖掘结果对聚类结果进行修正,从而有效降低由于在入侵检测单纯使用聚类分析所导致的误报。详细阐述了改进的具体实现方案,并通过实验验证了该技术的可行性。     

一种数据挖掘技术在入侵检测系统中的应用

本文利用数据挖掘技术对用户命令进行关联规则及序列模式的挖掘,有效的揭示了用户的行为模式规律,利用RIPPER算法产生的规则提高了对已知攻击和未知攻击检测的准确性,实现了一个基于数据挖掘技术的入侵检测系统。     

网络入侵检测中群关联模型的设计与分析

为了解决网络入侵检测中的特征建模与发现的问题,在总结常规入侵数据的采集存储特征的基础上,提出入侵数据的抽象表示形式,指出对于由特征属性值组成的不等长符号序列,围绕序列种群的深度挖掘可获得频繁子模式,进而可揭示子模式间的关联关系。同时,为提高新生异常入侵模式的预测匹配精度,结合群智能优化算法的技术优势,设计了基于序列种群的遗传关联规则挖掘算法MGASP,其关联分析过程可解决入侵模型的特征拟合,遗传进化过程可解决异常模式的增量式预测,将MGASP算法应用于KDD99抽样数据集,所得关联规则的定性解释结果验证了算法对于网络入侵行为的分析具有高可信度。     

审计日志的关联规则挖掘

研究了在入侵检测系统中利用数据挖掘技术从审计日志中挖掘关联规则的方法，针对现有关联规则算法应用于入侵检测系统引起的问题，提出了利用本质属性限制无趣规则的产生、利用行向量的位运算提高Apriori算法时间性能的一种高效改进算法。该算法不需生成候选频繁集和剪枝操作，避免了因无趣规则引起的大量运算。因而能提高入侵检测系统的效率。     

基于隐马尔可夫模型的程序行为异常检测

针对入侵检测中普遍存在误报与漏报过高的问题，提出了一种基于隐马尔可夫模型的程序行为异常检测新方法．该方法以程序正常执行过程中产生的系统调用序列为研究对象，建立计算机的正常程序行为模型．在入侵检测时，先对测试的系统调用数据用滑动窗口划分得到短序列，再根据正常程序行为的隐马尔可夫模型求得每个测试短序列的输出概率，如果系统调用短序列的输出概率低于给定阈值，则将该短序列标定为“不匹配”，如果测试数据中不匹配的短序列数占总短序列数的百分比超过另一给定阈值，该模型就认为此程序行为异常．实验结果表明，与Forrest和Lee的方法相比，所提方法的检测率的最大提高率可达590％．     

数据挖掘在免疫入侵检测中的应用

论述了数据挖掘在免疫IDS系统中的应用，详细描述了关联规则和序列模式挖掘算法，在一定程度上弥补了阴性选择算法的不足。并提出了一个新的基于数据挖掘和人工免疫的入侵检测模型，克服了现有入侵检测模型的缺点。     

数据挖掘在网络异常检测中的应用

简要介绍了入侵检测技术,研究将数据挖掘技术应用于网络异常检测,应用数据挖掘中的关联分析方法和序列模式分析的方法提取网络审计数据中的正常或异常的行为模式,这种模式用频繁情节规则表示.     

数据挖掘技术在入侵检测系统中的应用研究

提出了一种基于数据挖掘技术的入侵检测系统方法;详细讨论了数据挖掘技术在入侵检测系统中的应用特点,对现有的应用于入侵检测的数据挖掘技术如关联规则、分类和频繁序列分析方法进行了分析和综合;最后给出了未来的入侵检测系统的发展趋势。     

一种基于数据挖掘的入侵检测方法

本文提出一种基于频繁模式数据挖掘的方法,主要以主机系统日志作为数据源,对其进行频繁模式挖掘分析,实现了基于主机的入侵检测模型的设计。经实验证明,该方法能够有效侦测对主机的入侵行为。     

异常检测中单类分类算法和免疫框架设计

基于主机系统执行迹的异常检测系统可以检测类似U2R和R2L这两类攻击。由于攻击数据难以获取，往往只能得到正常的系统调用执行迹数据。该文设计了基于自组织特征映射的单类分类器的异常检测模型，只利用正常数据建立分类器，所有偏离正常模式的活动都被认为是入侵。通过对主机系统执行迹数据集的测试，试验获得了对异常样本接近100％的检测率，而误报警率为4．9％。该文将单类分类器作为抗体检测器，运用人工免疫学原理建立了分布式的异常检测框架，使入侵检测系统具有分布式、自组织和高效的特性，为建立分布式的入侵检测提出一种新的思路。     

GEP的网络入侵检测规则约束及演化策略

针对基于演化计算的网络入侵检测存在演化过程时间和空间开销大、误警率高等问题,采用基因表达式编程(GEP)模式表示入侵检测规则,提出针对GEP入侵检测规则的约束文法,并通过增加规则约束判断及处理过程改进GEP基本演化流程,生成满足约束的入侵检测规则.最后使用KDD CUP′99 DATA对该策略进行评估,所生成规则只需2个网络属性,在测试集中检测率为89.79%,误警率为0.41%.实验结果表明:在较小种群和低演化代数内,GEP规则约束和演化策略获得的规则有效而简洁,可检测到未知入侵,在保持较高检测率的同时可获得低误警率.     

基于数据挖掘的网络数据库入侵检测系统

提出一种基于数据挖掘的网络数据库入侵检测模型 (NDBIDS) ·讨论了NDBIDS的结构及各部件的功能·利用关联规则Apriori算法 ,对用户正常历史数据进行挖掘 ,并对产生的规则进行归并更新 ,通过训练学习生成异常检测模型 ,并利用此模型实现基于数据挖掘的异常检测·NDBIDS可以检测伪装攻击、合法用户的攻击和攻击企图三种类型的攻击 ,通过实验给出了相应攻击的检测率、假报警率、漏报率和检测正确率·本系统的建立不依赖于经验 ,具有较强的灵活性     

基于混合关联的警报处理方法研究

为减少入侵检测系统产生的大量相互独立的警报信息并揭示警报背后所蕴含的攻击策略,将警报处理过程分为相互联系的两个方面:横向关联和纵向关联.通过对相似警报的聚类融合,实现警报横向关联,降低警报数量;以横向关联的结果作为纵向关联的输入,通过分析在一定时间窗内发生警报的因果关系,实现警报的纵向关联,剔出虚假警报,揭示攻击者所采取的攻击策略.实验结果表明,在发生密集型攻击时采用混合关联策略仍能实现高检测率、低误警率的目标,同时能够刻画出警报之间的关联关系.该研究成果对于网络安全态势预测研究具有重要的参考价值.     

入侵检测规则动态生成研究

在入侵检测研究领域中,提高检测模型的检测率并降低误报率是一个重要的研究课题.本文提出了一种针对网络入侵检测事务流的实时动态规则生成方法.该方法解决了当前主流关联规则生成算法应用到入侵检测过程中存在的多遍扫描、大量无效规则和频繁集产生等问题.实验结果表明,文中所提出的方法在规则动态生成和对网络异常情况的检测方面都显示出比较好的性能,相对Snort入侵检测系统,平均提高10%左右的检测精度,克服了Snort系统在异常检测方面的局部缺陷.     

一个基于改进遗传算法的RBF网络入侵检测模型

针对异常入侵检测中存在的误报率高的问题,文章提出了一种基于改进遗传算法的RBF网络入侵检测模型。采用数据挖掘方法建立聚簇规则集,用改进的遗传算法优化RBF网络,用已训练好的RBF网络对与聚簇规则集中不匹配的可疑行为进行检测,并能识别出具体的入侵类型。实验表明,文中提出的模型采用改进遗传算法的RBF神经网络,较基于BP神经网络的检测技术有更好的识别精度。     

一种基于密度的无监督聚类算法

分析了k-means算法的缺陷、入侵检测特点和网络中数据的特点,提出了一种基于密度的无监督2次聚类算法—KD算法。该算法聚类使用改进的k-means算法并引入基于密度聚类算法的优点,以提高对单种入侵数据集及混合入侵数据集的检测效果。实验结果表明,该算法具有较高的检测率和较低的误检率。     

基于改进蚁群算法与遗传算法组合的网络入侵检测

为提高网络入侵检测的检测效果,提出一种基于改进蚁群算法与遗传算法组合的网络入侵检测方法.该方法采用遗传算法(genetic algorithm,GA)对网络入侵的特征集进行快速选取,为后续特征提取打下基础;对传统蚁群算法(ant colony optimization,ACO)的节点选择策略和信息素更新策略进行改进,提出一种改进的蚁群算法,提高对最优特征的选择效果,采用改进的蚁群算法对特征进一步选择;采用支持向量机(support vector machine,SVM)统计机器学习方法建立各类网络入侵的检测分类器.仿真实验结果表明,新的网络入侵检测方法综合GA和改进蚁群算法的优势,能够获得更好的入侵特征,从检测正确率、误报率和漏报率3个方面综合比较,新的网络入侵检测方法具有更好的网络入侵检测效果,且提高了检测速率.     

基于演化规划的入侵检测规则挖掘算法

本文将演化规划应用于入侵检测规则自动提取,利用演化规划灵活的个体表示得到自然描述的规则,使规则易于理解,利用演化规划全局寻优的能力得到较好的入侵检测规则,从而降低误报率和漏报率.文中改进了适应度函数,最后给出了实验结果,并与其它文献的同类实验结果进行了比较,证明了改进演化规划的有效性和先进性.     

基于误用检测与异常行为检测的整合模型

针对入侵检测中普遍存在检测率低与误报过高的问题,采用基于多维-隐马尔可夫模型的检测方法和基于Apriori算法的误用检测技术相结合的入侵检测系统(intrusion detection system,IDS)模型.新模型减少了单纯使用某种入侵检测技术时的漏报率和误报率,同时在异常检测模块中采用了隐马尔可夫与简单贝叶斯分...