复合式入侵检测方法的研究

所提出的复合式入侵检测算法是基于行为建模算法和模式匹配算法两种入侵检测算法的有效结合,其中行为建模算法扩展了基于异常的入侵检测算法,而模式匹配算法完全实现了基于特征的入侵检测算法.自适应的行为建模算法根据用户的行为和程序的行为建立合法的行为模板,而不需要任何人工干预.两种入侵检测算法能够有效的降低误报率的发生.采用Servlet Filter技术的安全代理是一个具有一定入侵分析功能的智能插件.     

半监督聚类算法及其在入侵检测中的应用

针对现有入侵检测技术的不足,对基于机器学习的异常入侵检测系统进行了研究,提出了一种基于半监督聚类的异常入侵检测算法。此算法通过利用少量的标记样本,生成用于初始化算法的种子聚类,然后辅助聚类过程,对数据进行检测。实验表明,与以往入侵检测算法相比,此算法可以明显地改善入侵检测系统的性能。     

基于支持向量机和遗传算法融合的入侵检测

为了研究网络异常入侵检测问题,将支持向量机（SVM）和遗传（GA）算法融合并应用于入侵检测领域,区分正常和异常的用户行为,实现对网络系统的入侵检测.传统SVM算法易产生训练参数选择不当,难以获得较高的检测效率和分类精度等问题.针对此问题,提出了一种优化的基于SVM-GA融合的入侵检测方法,首先对网络入侵数据进行归一化处理简化输入,然后通过遗传算法对SVM训练参数进行同步优化,最后采用SVM算法对网络数据进行检测,分类识别得到网络入侵结果.仿真实验结果表明,该融合算法训练时间短、检测精度高、误报率和漏报率低,是一种有效可行的入侵检测方法.     

一种基于差异度聚类的异常入侵检测算法

基于差异度聚类分析,提出了一种新的异常入侵检测算法DCAIDA,详细介绍了基于差异度聚类分析的用户行为模型建立算法和异常入侵检测算法.通过对原始用户行为数据进行差异度聚类分析,建立用户行为模型,并依据聚类模型对实时的用户行为进行分类,以此判断是否发生入侵.在KDD CUP 1999上的仿真实验结果表明:该算法检测率高、误报率低,且对新攻击类型有一定的检测能力,可实现预期效果.     

基于粒子群优化的异常入侵检测算法的研究

提出了一种基于粒子群优化的异常入侵检测算法．首先,对基于动态聚类分析的异常入侵检测系统进行了建模和关键模块分析,对聚类算法区别正常和异常数据记录的过程,进行了详细的介绍,然后针对基本PSO算法存在的局部早熟收敛问题,利用改进的粒子属性进行了算法改进,增加了粒子多样性．通过初始化种群、更新速度、更新位置、计算每个粒子的适应度值、更新pgd、循环迭代,得到最优解．最后,利用该算法对基于聚类的入侵检测系统进行实验,结果显示该算法明显提升了入侵检测系统的正确率．     

基于异常检测的入侵检测技术

对目前的异常检测技术进行了全面概述, 按照采用的不同技术将异常检测分为基于统计、 基于机器学习和基于数据挖掘3种, 阐述了各种异常检测技术的特征, 并描述了目前基于异常入侵检测系统用到的各种算法及其实现方法. 通过实验结果, 比较了各种算法的检测效果.     

基于隐马尔科夫模型的入侵检测算法研究

提出一种基于隐马尔科夫模型的异常检测算法。首先建立了用于网络入侵检测的马尔科夫模型,基于该模型提出一种新的入侵检测算法,与原有的入侵检测方法相比较,我们的算法具有较好的灵活性和鲁棒性。     

基于数据流异常挖掘的入侵检测系统设计

通过对入侵检测和数据流异常挖掘技术的研究,把数据流异常挖掘应用到入侵检测,成为目前入侵检测新的有效方法和研究热点.对基于数据流异常挖掘的入侵检测系统模型进行了设计,并对数据流异常挖掘算法进行了设计和实现,通过实验分析,取得了较好的效果.     

基于密度的异常检测算法在入侵检测系统中的应用

给出了异常的定义,介绍了几种典型的异常检测算法并比较它们的优缺点,发现基于密度的异常检测算法的局部异常观点较符合现实生活中的应用.阐述了基于密度的异常检测算法的定义及其在入侵检测系统中的具体应用.     

基于K-Nearest Neighbor分类算法的异常检测模型

入侵检测成了信息安全中不可缺少的安全措施 ,而异常检测是入侵检测研究中的热点 .提出了一种新的异常检测算法 ,用 K- Nearest Neighbor分类算法对特权程序 (或进程 )的系统调用进行分析 ,通过计算系统调用出现的频度判断进程是否异常 .测试表明 ,该方法具有良好的检测性能和较低的误报率 ,占用的系统资源较少 ,是一种合理可行的检测方法     

基于动态分析的控制流劫持攻击检测

控制流完整性策略能够有效地防御控制流劫持类攻击,但复杂的控制流图构建使该策略的实际部署非常困难.为了有效地针对控制流劫持攻击的检测手段,提出一种基于程序异常行为来检测控制流劫持攻击的方法,并基于该方法实现了控制流劫持攻击检测系统.实验表明,该方法能够有效地检测出由控制流劫持攻击造成的各种程序异常行为,基于该方法的攻击检测系统运行效果良好,能够方便的部署到实际应用环境中.     

基于关系事件的网络复杂攻击检测技术研究

应用传统的入侵检测方法无法实现对网络复杂攻击的检测,传统检测算法的重点在于观测独立事件或独立用户的行为特征,缺乏对事件之间相互作用关系的考量和分析,而复杂攻击可供检测的显性特征就在于事件间的关联特征.提出了一种基于复杂攻击子事件和子事件关系的检测方法,通过复杂攻击的检测范例,证明了该方法的有效性.     

A Hybrid Unsupervised Clustering-Based Anomaly Detection Method

In recent years, machine learning-based cyber intrusion detection methods have gained increasing popularity. The number and complexity of new attacks continue to rise; therefore, effective and intelligent solutions are necessary. Unsupervised machine learning techniques are particularly appealing to intrusion detection systems since they can detect known and unknown types of attacks as well as zero-day attacks. In the current paper,we present an unsupervised anomaly detection method, which combines Sub-Space Clustering(SSC) and One Class Support Vector Machine(OCSVM) to detect attacks without any prior knowledge. The proposed approach is evaluated using the well-known NSL-KDD dataset. The experimental results demonstrate that our method performs better than some of the existing techniques.     

变分自编码器和注意力机制的异常入侵检测方法

针对传统的机器学习算法在检测未知攻击方面表现不佳的问题,提出了一种基于变分自动编码器和注意力机制的异常入侵检测方法,通过将变分自编码器和注意力机制相结合,实现使用深度学习方法从基于流量的数据中检测异常网络流量的目标。所提方法利用独热编码和归一化技术对输入数据进行预处理;将数据输入到基于注意力机制的变分编码器中,采集训练样本中隐含特征信息,并将其融入最终潜变量中;计算原始数据与重建数据之间的重建误差,进而基于适当的阈值判断流量的异常情况。实验结果表明,与其他入侵检测方法相比,所提方法明显改善了入侵检测的精度,不仅可以检测已知和未知攻击,而且还可以提高低频次攻击的检测率。     

基于时频分析的分布式拒绝服务攻击的自动检测

研究了分布式拒绝服务 (DDoS)攻击的特点 ,定义了流连接密度 (FCD)的概念 ,并证明了FCD时间序列的非平稳特性 .据此 ,提出了一种新的基于时频分析的自动检测DDoS攻击的方法 ,该方法采用平滑魏格纳 维利分布对FCD时间序列进行时频变换 ,将FCD时间序列转换为二维空间内的波动能量分布 ,并有效抑制了二次交叉项的影响 ,然后使用经过样本训练的K最近邻分类器进行攻击识别 .实验结果表明 ,该检测方法能够比较准确地识别DDoS攻击 ,识别误差主要出现在网络状态切换阶段 ,这对攻击识别的影响很小 ,识别误差率仅为 4 2 6 % .     

A Method for Detecting Intrusion on Networks in Real-time Based on IP Weight

A new rule to detect intrusion based on IP weight, which is also well implemented in the rule base of author's NMS, is presented. Compared with traditional ones, intrusion detecting based on IP weight enhanced analysis to packet content. The method also provides a real-time efficient way to analyze traffic on high-speed network and can help to increase valid usage rates of network resources. Practical implementation as a rule in the rule base of our NMS has verified that the rule can detect not only attacks on network, but also other unusual behaviors.     

Forced Collision:Detecting Wormhole Attacks with Physical Layer Network Coding

Previous research on security of network coding focused on the protection of data dissemination procedures and the detection of malicious activities such as pollution attacks.The capabilities of network coding to detect other attacks have not been fully explored.In this paper,we propose a new mechanism based on physical layer network coding to detect wormhole attacks.When two signal sequences collide at the receiver,the starting point of the collision is determined by the distances between the receiver and ...     

一类慢速拒绝服务攻击的防御方法

与高速率的拒绝服务攻击相比,慢速拒绝服务攻击难以被现有的拒绝服务攻击检测工具检测出来,其隐蔽性更高.通过分析慢速拒绝服务攻击在不同网络环境中对网络性能的影响,提出使用动态调整超时重传定时器的策略来防御此类攻击.实验表明,此类动态调整策略可有效抵御慢速拒绝服务攻击,与当前网络所使用的策略相比,在攻击周期小于2 s时,网络吞吐量提升了300%以上.     

A nonparametric adaptive CUSUM method and its application in source-end defense against SYN flooding attacks

Combating DDoS attacks at their sources is still in its infancy.In this paper,a nonparametric adaptive CUSUM (cumulative sum) method is presented,which is proven efficient in detecting SYN flooding attacks close to their sources.Different from other CUSUM methods,this new method has two distinct features:① its detection threshold can adapt itself to various traffic conditions and ② it can timely detect the end of an attack within a required delay.Trace-driven simulations are conducted to validate the efficacy of this method in detecting SYN flooding attacks,and the results show that the nonparametric adaptive CUSUM method excels in detecting low-rate attacks.     

基于模糊Petri网的协同入侵检测系统

为将不同类型的入侵检测器组织起来,协同检测不同类型的入侵,提出了基于模糊Petri网的协同入侵检测方法.采用基于负载信息的模糊Petri网推理算法,区分不同类型的入侵并选择相应的入侵检测器,同时使多个入侵检测器承担的检测任务相对均匀.设计了基于模糊Petri网的协同入侵检测系统,通过多个入侵检测器联合检测多种入侵组成的复合入侵,又可以检测不同类型的单个入侵.仿真结果表明,所有的复合入侵能够被多个检测器协同地检测,且92%的入侵数据能够迁移到合适的检测器上.