基于小波变换的入侵检测方法

入侵检测是保护信息系统安全的重要途径,作为一种新的动态安全防御技术,它是继防火墙之后的第二道安全防线.入侵检测的关键是采用何种检测方法来有效地提取特征数据并准确分析出非正常网络行为.利用小波变换自适应的时频局部化分析方法,可以由粗及精的逐步观察信号,从中发现网络流量的一些隐藏的细节.通过对实际流量的分析,表明小波技术可以有效的揭示出周围环境和异常流量的细节特征,检测出异常.     

基于编码技术的泛型安全结构设计

通过将编码技术和事件关联结合,提出并实现了一种泛型安全结构模型.这种模型能够有效融合不同种类安全设备的信息,分析网络安全状态,对入侵做出正确判断和决策,并且能够应用到不同的环境中去,从而降低入侵检测系统的误警,更加有效地提高网络安全整体防御性能.     

基于级联AdaBoost的Snort异常检测预处理插件研究

在开源网络入侵检测系统Snort的预处理阶段加入了一种新的预处理插件,插件中使用改进的AdaBoost算法进行异常网络流量的特征提取和构造每一级AdaBoost分类器,然后用级联的结构将多个AdaBoost分类器做线性组合共同完成入侵检测,组合系数通过自适应学习得到。实验表明,该插件可以有效地检测Snort规则集中无可匹配特征的异常网络流量,降低Snort系统对于异常流量检测的漏报率和误报率,满足高速网络环境对入侵检测实时性的要求。     

基于Snort的校园网入侵检测系统研究与应用

面对庞大复杂的互联网环境,传统安全防御技术受到严重威胁与挑战,网络入侵检测系统已成为安全系统中重要的组成部分。本文通过对入侵检测系统以及开源Snort架构的研究分析,构建并实现了一个校园网入侵检测系统。     

防火墙与入侵检测系统(IDS)互动模型的构建

通过建立基于误用的入侵检测系统(IDS)的特征库,并采用VC 语言建立防火墙与入侵检测系统之间的开放接口,构建防火墙与入侵检测系统互动模型.通过互动模型,防火墙可以利用入侵检测系统及时地发现其策略之外的攻击行为,入侵检测系统也可以通过防火墙阻断来自外部网络的攻击行为,能有效互动地构成较为有效的安全防护体系,大大提高网络整体的防护性能.该模型能解决传统信息安全技术的弊端和原先防火墙的粗颗粒防御与检测系统只发现,难响应的问题.     

基于可拓集的入侵检测模型

针时入侵行为特征表现的隐蔽性、不确定性和多样性问题,提出一种基于物元模型和可拓集的入侵检测模型.利用多评价特征类物元描述多特征表现的入侵行为,建立每一个评价特征的关联函数并进行运算,得到综合关联函数以建立多特征物元可拓集,作为检测该入侵行为的模型.对于待检测行为,通过计算其与可拓集的综合关联度来判定是否为入侵行为以及异常的程度,不同的综合关联函数能够实现基于多特征融合的不同检测方法,该模型被应用到网络异常流量检测中.     

因果网的非稳态流量异常检测系统设计

网络入侵检测中的流量异常检测方法存在着虚警率较高的问题，为此提出了结合因果网的非稳态流量异常检测系统。该系统采用基于发生新事件的先验概率和趋势来评估异常的思想，借助机器学习方法建立非稳态正常模型，并在由此得到的基本异常事件集的基础上，采用因果网进行进一步数据挖掘，给出了综合系统的原型设计。     

基于蜜罐与入侵检测技术的安全云架构方案

云计算由于通过因特网提供公共资源般的计算存储服务,而使之暴露于各种网络入侵威胁中。搭建安全云架构以提高云服务的安全性是云安全的首要任务。入侵检测是一种被动防御技术,擅长实时识别已知攻击模式,对未知异常行为的误判率较高。蜜罐是一种主动防御技术,它通过提供虚假信息、系统或网络环境,诱使攻击方实施攻击,从而了解攻击行为并做出相应处理,有利于发现新攻击手段及态势。将入侵检测和蜜罐技术融合到云架构Eucalyptus的方案,可使云端更加安全可靠。     

基于压缩感知算法的传感器网络异常事件检测

为改善传感器网络异常事件检测效果,提出一种基于压缩感知算法的传感器网络异常事件检测模型.首先采集传感器网络状态信息,并采用压缩感知算法对信息进行采样和重构,在减少传感器网络异常事件检测信息的同时,删除一些无效信息;然后从重构后的传感器网络异常事件检测信息中提取特征,组成传感器网络异常事件检测的特征向量;最后采用极限学习机建立传感器网络异常事件检测模型,并进行传感器网络异常事件检测仿真实验,分析模型的性能.实验结果表明,压缩感知算法可加快传感器网络异常事件检测速度,且传感器网络异常事件检测率高于95%,明显高于其他传感器网络异常事件检测模型.     

基于多核处理器的入侵防御系统

随着高速以太网的广泛应用和网络入侵行为的日益复杂化,对网络入侵防御系统性能的要求越来越高.通过对传统入侵防御系统工作原理的分析,设计并实现了基于多核处理器的入侵防御系统.通过对系统中的多核处理单元进行分组,并构建共享缓冲队列实现工作组间的数据传递,使得系统在多核处理器环境下能够并行工作.试验结果表明,改进后系统的效率有显著提高,丢包率也明显降低.     

基于内部网络安全的防火墙系统的改进

针对传统的边界防火墙不能防范来自内部的攻击、效率较低和故障率高、网络应用受到结构性限制等问题,提出了把分布式防火墙系统和分布式入侵检测系统结合在一起的安全防御系统.由防火墙进行访问控制,入侵检测系统检测入侵行为并反馈入侵信息,中央控制平台对各模块统一管理和配置,从而为内部网络提供了立体的、多层次的防御.     

并行网络中不同标注下的入侵特征阀值确定

传统入侵特征阈值确定方法通常通过敏感信息边界矢量确定,不适于环境复杂的并行网络,对多跳入侵的检测性能不佳。为此,提出一种新的并行网络中不同标注下的入侵特征阀值确定方法。介绍了并行网络体系结构,其主要包括嗅探器、主机、数据库、从动机和集群信道。对抗原信号进行描述,通过求出成熟环境抗原值对抗原异常度信息进行描述,构建异常度关联模型。利用指标集参数阈值的参考指标集和宿主属性对其进行训练,不停改变参数个数与入侵特征阈值,获取和抗原有关的关联规则;从而得到并行网络中不同标注下的入侵特征阈值。实验结果表明,采用所提方法确定的入侵特征阈值能够准确实现并行网络的入侵检测,且阈值确定效率高。     

防火墙和入侵检测系统联动

网络技术正以愈来愈快的速度发展,然而在网络技术发展的同时,网络攻击的水准也在提高.新的形式之下,人们过去所主要依赖的防火墙技术和入侵检测技术,它们各自的不足之处也暴露出来了.将防火墙和入侵检测技术作为一个防御整体的思想,就在这种情况之下应运而生了.这种新模式的优势在于将入侵检测系统置于防火墙的保护范围之中,弥补了其防御力弱的缺点;将入侵检测系统的信息与防火墙共享,弥补了其可能出现的漏洞.对防火墙和入侵检测系统的联动的具体实现,做出了描述.     

基于思科路由器的IPS实现

随着网络入侵事件的不断增加和黑客攻击水平的不断提高,传统的防火墙或入侵检测系统（IDS）显得力不从心,这就需要能够检测入侵行为并做出保护的系统来实现网络安全。近年来兴起的入侵防御系统（IPS）就能够实现这样的功能,它根据网络攻击的特征行为定义出相应的特征库,当检测到攻击行为时,便采取定义好的动作来保护网络的安全。低版本的思科路由器不具备IPS功能,高版本的思科路由器IOS中增加了这一功能。文中通过配置思科路由器实现入侵保护,维护网络安全。     

移动Agent在IDS中的应用及其安全性研究

传统的入侵检测系统(IDS)受环境因素与技术因素的影响很大,而移动Agent具有迁移性、智能性、协作性和分布灵活性,可以按照系统和网络异常使用模式的不同特征和环境差异进行检测,更准确地把握入侵行为.现对移动Agent在入侵检测系统中的应用进行了研究,并对移动Agent本身的安全性问题进行了讨论.     

基于多代理的协同分布式入侵检测系统模型

给出了一种基于多代理的协同分布式入侵检测系统模型（CDIDS），该模型依靠基于主机的代理HIDA和基于网络的代理NIDA，运用异常检测与特征检测相结合的方式进行有效的入侵检测；在分布式的网络环境下，系统通过入侵检测控制中心实现检测／响应模块的协同工作，为单个主机的攻击与大规模的网络入侵提供应对策略，并采用协议分流的方式提高NIDA模块的性能。     

防火墙和入侵检测系统联动

网络技术正以愈来愈快的速度发展,然而在网络技术发展的同时,网络攻击的水准也在提高.新的形式之下,人们过去所主要依赖的防火墙技术和入侵检测技术,它们各自的不足之处也暴露出来了.将防火墙和入侵检测技术作为一个防御整体的思想,就在这种情况之下应运而生了.这种新模式的优势在于将入侵检测系统置于防火墙的保护范围之中,弥补了其防御力弱的缺点;将入侵检测系统的信息与防火墙共享,弥补了其可能出现的漏洞.对防火墙和入侵检测系统的联动的具体实现,做出了描述.     

并行网络中不同标注下的入侵特征阈值确定

传统入侵特征阈值确定方法通常通过敏感信息边界矢量确定,不适于环境复杂的并行网络,对多跳入侵的检测性能不佳。为此,提出一种新的并行网络中不同标注下的入侵特征阀值确定方法。介绍了并行网络体系结构,其主要包括嗅探器、主机、数据库、从动机和集群信道。对抗原信号进行描述,通过求出成熟环境抗原值对抗原异常度信息进行描述,构建异常度关联模型。利用指标集参数阈值的参考指标集和宿主属性对其进行训练,不停改变参数个数与入侵特征阈值,获取和抗原有关的关联规则;从而得到并行网络中不同标注下的入侵特征阈值。实验结果表明,采用所提方法确定的入侵特征阈值能够准确实现并行网络的入侵检测,且阈值确定效率高。     

Multi-ISM联盟的网络安全系统协作模型及算法

针对现有网络入侵检测系统(NIDS)存在智能程度低、自适应能力弱、协同性差、负载不均衡等局限性,引入了免疫软件人(ISM)智能体的理论,提出了一种基于multi-ISM联盟的网络入侵检测与防御系统的分布式社区协作控制模型及其算法.该模型系统采用了部分-全局规划(PGP)策略以及multi-ISM间的协作、协调和协商机制,融合了网络协作模型与层次模型的优点,从性能上改善了当前分布式入侵检测系统(DIDS)难以适应高带宽、大流量的动态网络环境等问题.实验结果表明:该模型系统相比其他的DIDS,在检测性能和误报率等方面具有明显优势,对于服务器系统资源的占用率不是很大,同时它还能够较好地解决网络信任社区内与社区间的协同防御和预警问题.     

论网络安全与入侵防御技术

近些年来,随着计算机网络的普及,计算机网络系统被用于提供各种及时、可靠的信息服务。随着网络中攻击行为的愈加普遍,如何降低系统的威胁,保证系统不受侵害等,有关网络安全的话题越来越受社会的关注。文中分析、介绍了当前网络安全现状、网络环境面临的不安全因素,并重点分析了三种网络入侵防御技术——预防入侵、入侵检测、容忍入侵,指出传统防御技术缺乏主动性,网络安全保障体系需要的是一种动态的、主动的防御思想。