一种基于规则和神经网络的系统在入侵检测中的应用

入侵检测技术是解决网络安全的一种有效手段。文中提供一个基于规则和神经网络系统的入侵检测模型。主要思想是利用神经网络的分类能力来识别未知攻击,使用基于规则系统识别已知攻击。神经网络对DOS和Probing攻击有较高的识别率,而基于规则系统对R2L和U2R攻击检测更有效。因此该模型能提高对各种攻击的检出率。最后对模型存在的问题及入侵检测技术的发展趋势做了讨论。     

异常检测中单类分类算法和免疫框架设计

基于主机系统执行迹的异常检测系统可以检测类似U2R和R2L这两类攻击。由于攻击数据难以获取，往往只能得到正常的系统调用执行迹数据。该文设计了基于自组织特征映射的单类分类器的异常检测模型，只利用正常数据建立分类器，所有偏离正常模式的活动都被认为是入侵。通过对主机系统执行迹数据集的测试，试验获得了对异常样本接近100％的检测率，而误报警率为4．9％。该文将单类分类器作为抗体检测器，运用人工免疫学原理建立了分布式的异常检测框架，使入侵检测系统具有分布式、自组织和高效的特性，为建立分布式的入侵检测提出一种新的思路。     

基于粗糙集理论的入侵检测的研究

为了提高入侵检测效率,文章提出了基于粗糙集理论的入侵检测模型,通过应用LEM2和Decomposition Tree算法进行粗糙集的约简,得出了当训练数据集太多时,要对其进行分类和生成规则,必须使用分解树算法来处理的结论。并且实验证明,Decomposition Tree算法对U2R和R2L的某些攻击类型也有较好的检测率。     

结合特征选择的SAE-LSTM入侵检测模型

入侵检测系统(IDS)是计算机和通信系统中对攻击进行预警的重要技术.目前的IDS在安全检测方面存在2个问题:1)存在大量高维冗余数据及不相关特征干扰分类过程;2)现有模型多是针对早期网络攻击类型,对新型攻击适应性较差.针对这2个问题,提出了一种结合特征选择的SAE-LSTM入侵检测框架,采用融合聚类思想的随机森林特征打...     

基于门控循环单元的车载控制器局域网络总线入侵检测方法

针对车载控制器局域网络(controller area network,CAN)总线入侵检测准确率低与时效性差的问题,通过分析总线中入侵数据帧的特点,提出了基于门控循环单元(gated recurrent unit,GRU)的入侵检测方法.该方法搭建了由5层神经网络构成的入侵检测模型,以真实汽车采集的CAN数据为基础构造洪泛攻击、重放攻击、模糊攻击和虚拟节点攻击数据,提取出具有11个特征的特征向量序列用于模型的训练和测试.实验验证了模型参数对检测结果的影响,研究了二分类检测和多分类检测的准确率与时间开销.结果表明:该方法在二分类和多分类检测中的精度为99.9816％和99.8942％,召回率分别是0.9999和0.9991,达到与长短期记忆(long short-term memory,LSTM)模型相当的检测精度,并且具有更短的训练和检测时间.本文方法提高了入侵检测的时效性和可靠性,对保障汽车安全意义重大.     

基于数据包负载的网络入侵检测

通过分析正常的网络数据流负载的字节统计分布,提出了一个基于网络数据包负载的异常检测模型,模型的产生完全是自动的、无监督的和高效的.模型训练阶段,针对特定主机的每一个端口,计算经过该端口的数据包负载的字节出现频率的平均值和标准差,根据计算结果产生统计分布检测模型.检测阶段,利用马氏距离计算新的数据和训练阶段产生的统计模型的相似性,根据计算结果和距离临界值的比较检测入侵.使用1999 DARPA IDS数据集对所建模型进行测试,结果显示该模型对于检测某些针对特定的端口的攻击有效,特别是在检测80端口的数据包时,正确率几乎达到100%,而错误率为0.1%.     

基于入侵检测和攻击图的动态风险评估技术

入侵检测技术只能在网络受到攻击后才能发现攻击行为,是一种被动防御方法,对未知的攻击行为无法做出响应.攻击图在大多数情况下实现的是在一个固定的评估场景下进行静态的风险评估,而对于目前复杂多变的网络环境,静态评估已经不能满足当今状况下网络安全的需求.基于此将入侵检测和攻击图结合,提出了一种动态风险评估技术.首先对入侵检测系统(IDS)的检测率进行了提升,保证生成日志的准确性,然后结合攻击图中的拓扑和脆弱性信息,用隐马尔可夫模型(HMM)来进行网络安全评估,最后在实验部分表明了方法的准确性.     

基于入侵检测的网络安全态势评估技术

网络安全态势感知可以对当前网络状态进行分析并对发展趋势进行预测. 入侵检测系统作为态势感知中安全要素的来源,其准确性影响着网络安全的评估. 攻击图可以筛选出关键节点并枚举可能的攻击路径,已成为风险评估的主要方法. 因此将两者结合,提出了一种基于入侵检测的网络安全态势评估技术. 首先对入侵检测系统的检测率进行了提升,然后利用攻击图结合隐马尔可夫模型(HMM)来进行网络安全评估. 实验结果表明,该方法可以有效地推测攻击意图,更直观、全面地反映结果.     

一种基于聚类算法的网络入侵检测应用

针对网络入侵检测与聚类等问题,提出了一种综合模糊聚类与改进的SOM神经网络方法.通过对网络入侵数据提取、分析和处理,建立了网络入侵检测聚类模型,并对传统SOM网络层次进行改进,结合易发的网络入侵类型有针对性地对网络入侵数据进行聚类.网络入侵检测聚类与其他方法比较的结果表明,该模型在网络入侵检测聚类中具有更高的准确性和均衡性,该方法能有效提高网络入侵分类精度,减少聚类误差.     

CPN攻击建模及警报相关性算法设计

为提高当前入侵检测系统的预警质量和分析预测能力,用染色Petri网(colored petrinet,CPN)构造了攻击模型,系统性地设计了警报信息相关性分析算法.通过把"警报"和"攻击"作为2个不同实体参与模型运算,将目前主要采用的过滤观察信息为基础的关联方法提升为信息推理的演算方法.应用CPN模型转换、极小覆盖集命题等方法,对本领域中的难点问题即复合攻击、合作攻击进行了理论分析和算法设计.在此基础上开发了警报信息相关性分析(alerts correlationanalvsis system,ACAS)实验系统,实验结果表明算法系统对于提高入侵检测系统的警报质量和分析预测能力是可行、有效的.     

自适应滤波实时网络流量异常检测方法

针对网络中的各种常见攻击,提出一种基于自适应滤波的网络流量异常检测方法.首先对多种流量指标进行递推最小二乘法预测,然后以预测误差所构造的统计量容许范围进行异常检测,最后对检测结果实施归一化评估.该方法具有无需任何历史训练数据、能大量减少报警次数、突出报警严重程度的特点.在DARPA入侵检测评估数据集上的实验表明,所提方法更适合检测拒绝服务攻击引起的异常,较之相同权向量下的同类方法,其异常检测率、误报率和检测速度等性能更好.     

变分自编码器和注意力机制的异常入侵检测方法

针对传统的机器学习算法在检测未知攻击方面表现不佳的问题,提出了一种基于变分自动编码器和注意力机制的异常入侵检测方法,通过将变分自编码器和注意力机制相结合,实现使用深度学习方法从基于流量的数据中检测异常网络流量的目标。所提方法利用独热编码和归一化技术对输入数据进行预处理;将数据输入到基于注意力机制的变分编码器中,采集训练样本中隐含特征信息,并将其融入最终潜变量中;计算原始数据与重建数据之间的重建误差,进而基于适当的阈值判断流量的异常情况。实验结果表明,与其他入侵检测方法相比,所提方法明显改善了入侵检测的精度,不仅可以检测已知和未知攻击,而且还可以提高低频次攻击的检测率。     

NP防火墙中异常策略检测的研究与实现

为了适应复杂的网络环境,防火墙的规则集往往非常庞大,因此人工的方法很难保证防火墙安全策略的正确配置.文中对防火墙中异常策略的检测方法进行了深入的研究,并在此基础上给出了NP防火墙中异常策略检测模块的设计与实现.测试结果表明,该模块可以有效地检测出防火墙规则集中的各种异常,避免安全隐患的产生.     

特定应用环境下的入侵检测架构

异常检测可以认为是通过对用户正常行为及系统正常应用环境的学习来识别异常的过程．由于系统及应用环境的复杂性,异常检测还难以达到很高的识别精度．为此,针对在物理上与Internet网完全隔离的计算机网络应用环境,亦即内网,提出基于mobile agent(MA)的多层次入侵检测架构,利用自组织映射网络方法,在不同层次的agent中建立二堆网格的自组织映射网络模型,分别检测目标系统不同层次上的异常现象．实验结果表明,在入侵者攻击的持续时间内,本系统通过多次采样的办法可以使检测率提高到满意的程度．     

机器学习缓解的广域阻尼控制系统异常检测

为了建立攻击弹性,以抵抗对测量信号和控制信号段的隐蔽网络攻击,提出了一种基于机器学习缓解策略的广域阻尼控制系统异常检测方法。首先提出基于信号熵的特征提取,从而提高机器学习模型的训练检测精度和鲁棒性。然后提出一种基于电力系统运行条件和网络攻击事件的组合数据集生成方法,以便用于任何大规模电网模型。引入的缓解模块能够调谐系统信号,并同时在测量和控制信号上进行攻击检测。在2区域4机电力系统的测试环境下对本文方法的性能进行了评估,结果表明本文方法能够实现高精度的异常检测。     

基于关系事件的网络复杂攻击检测技术研究

应用传统的入侵检测方法无法实现对网络复杂攻击的检测,传统检测算法的重点在于观测独立事件或独立用户的行为特征,缺乏对事件之间相互作用关系的考量和分析,而复杂攻击可供检测的显性特征就在于事件间的关联特征.提出了一种基于复杂攻击子事件和子事件关系的检测方法,通过复杂攻击的检测范例,证明了该方法的有效性.     

基于CBF流抽样的网络安全

现有网络中常存在DDOS、恶意端口及IP扫描、蠕虫等异常产生大量的只包含1个数据包的流量.针对高速网络流量特点及网络异常导致的流量突然上升,提出了一种改进的基于CBF的流抽样算法.该算法对定长时间内到达的数据包进行固定数量的抽样,使抽样率能适应于流量变化,并可控制资源的消耗,尤其当泛洪攻击、DDOS攻击等导致大规模异常网络流量出现时,能有效保护路由器的处理器和内存资源以及传输流记录所需的带宽资源,同时又不失简单性和准确性.     

分布式入侵检测监视代理及数据融合算法

对分布式拒绝服务攻击的防护,传统的方法是采用路由访问控制列表过滤的防护方法,无法识别虚假地址和针对应用层的攻击,而且容易造成服务器无法向外部提供正常的服务。为此,在探讨分布式拒绝服务攻击原理和特征的基础上,设计了分布式入侵检测系统的监视代理模块,提出和实现了用于多监视代理之间协同检测的数据融合算法。实验证明,该算法可在0.07~1 s之内检测出Syn洪水,Smurf,Land等多种分布式拒绝服务的攻击,并可及时地采取响应措施,阻断攻击者的网络连接。由于该算法建立在对多数据源的数据分析基础上,因此,大大提高了入侵检测的准确性,克服了路由访问控制列表过滤的局限性,基本实现了在不影响网络正常运行情况下的实时检测与报警功能。     

基于负载预测的分布式拒绝服务攻击检测方法研究

通过分析分布式拒绝服务攻击(Distributed Denial Of Service,DDOS)的特点,提出一种基于主机负载-并发连接时间序列预测的DDOS攻击检测方法。该方法改进了传统的异常检测方法,对并发连接序列进行预测,以预测值作为对未来时段内主机负载正常状态的估计,增强了正常行为描述的时效性,提高了攻击检测率,并具有低延时特性。该方法涉及两项关键技术:一是预测技术,二是异常判断方法。为提高预测精度,首次将小波分析引入主机负载预测,建立了小波-神经网络预测模型;为提高异常判断准确性,采用了“滑动窗口”方式。实验表明,基于负载预测的DDOS攻击检测优于传统的异常检测方法。