基于入侵检测和攻击图的动态风险评估技术

入侵检测技术只能在网络受到攻击后才能发现攻击行为,是一种被动防御方法,对未知的攻击行为无法做出响应.攻击图在大多数情况下实现的是在一个固定的评估场景下进行静态的风险评估,而对于目前复杂多变的网络环境,静态评估已经不能满足当今状况下网络安全的需求.基于此将入侵检测和攻击图结合,提出了一种动态风险评估技术.首先对入侵检测系统(IDS)的检测率进行了提升,保证生成日志的准确性,然后结合攻击图中的拓扑和脆弱性信息,用隐马尔可夫模型(HMM)来进行网络安全评估,最后在实验部分表明了方法的准确性.     

基于蜜罐与入侵检测技术的安全云架构方案

云计算由于通过因特网提供公共资源般的计算存储服务,而使之暴露于各种网络入侵威胁中。搭建安全云架构以提高云服务的安全性是云安全的首要任务。入侵检测是一种被动防御技术,擅长实时识别已知攻击模式,对未知异常行为的误判率较高。蜜罐是一种主动防御技术,它通过提供虚假信息、系统或网络环境,诱使攻击方实施攻击,从而了解攻击行为并做出相应处理,有利于发现新攻击手段及态势。将入侵检测和蜜罐技术融合到云架构Eucalyptus的方案,可使云端更加安全可靠。     

基于服务器安全的入侵检测系统在Linux系统上实现

为防止黑客入侵,提出一种在Linux环境下实现网络入侵检测系统的实现方法.此系统由嗅探器、分析器和处理器组成.程序用C语言实现.针对网络层与传输层的IP攻击、ICMP攻击、UDP攻击、TCP攻击特征和数据报做了详细的分析;在网络入侵检测的实现上,使用IP重组预处理和模式匹配相结合的方法,提升了系统检测网络攻击行为的能力,两种检测方法成为有效的互补.     

基于部分可观测马尔可夫决策过程的网络入侵意图识别研究

作为一种主动的信息安全保障措施,入侵检测已经成为计算机安全特别是网络安全领域的研究热点,出于对入侵检测的回避,入侵行为也逐渐表现为智能化、分布式的特点.将人工智能技术、机器学习技术引入入侵检测以增强入侵检测系统的能力已经成为工业界和学术界关注的课题.本文将入侵和入侵检测建模为利益对立的2个多Agent系统,认为入侵行为是按照既定的目标制定攻击计划,在此场景下,入侵检测的核心就应该是根据对手的攻击行为预测出其攻击意图,这是个典型的意图识别问题,这意味着应该将对手思维建模技术和计划识别思想引入入侵检测中来.考虑到对手在实际的动作过程中会根据实际情况随时调整自己的战略部署,因此不能将此问题直接建模为传统的KEY-HOLE观察问题.本文从入侵者的角度出发,引入部分可观测马尔可夫决策过程作为在环境状态和行动效果都不确定的条件下,通过一系列决策达到最优目标的数学模型,从而达到入侵意图识别的目的.最后,本文在DARPA测试数据集上的实验结果证明了方法的有效性.     

用户权限对入侵检测系统配置策略的影响

为了讨论用户权限的经济价值,在企业和合法用户与企业和非法用户之间分别构建了入侵检测系统的博弈模型,采用博弈论研究了合法用户权限对入侵检测系统配置策略的影响.结果发现,企业只配置检测率较高的入侵检测系统,且对合法用户配置的最优入侵检测系统的检测率低于对非法用户配置的最优入侵检测系统的检测率.通过提高合法用户的权限,企业可以降低对入侵检测系统的投入.随着合法用户权限的提高,虽然企业的人工调查概率和合法用户的攻击概率都降低,但企业的总体期望收益增加.因此,建议企业适当提高合法用户的权限,同时加大对相应攻击行为的惩罚力度,让更多的工作由合法用户自助完成.     

网络环境下自适应入侵响应系统研究与设计

根据对攻击类型、攻击检测时间、攻击报警可信度和环境因素等信息的考虑,将入侵响应分类,对警报可信度、攻击频率、风险评估和响应成本进行数学分析,利用以上研究结果设计了一种能对入侵做出自动响应并根据环境变化动态调整安全策略的自适应入侵响应系统.     

基于数据挖掘原理的入侵检测系统模型研究

本文介绍了传统的入侵检测系统,鉴于现有的网络入侵检测系统(NIDS)存在的误报率高和智能性低等缺点,提出了基于数据挖掘原理的网络入侵检测系统模型。该模型可以有效检测大规模协同攻击,提高网络入侵检测系统的自适应性和可扩展性,能有效面对各种形式的攻击行为。     

一种基于数据挖掘的多步入侵警报关联模型

基于传统网络入侵检测系统, 提出一种基于数据挖掘的多步入侵警报关联模型. 该模型能将多个入侵检测系统的警报信息进行融合, 对大量、 无序的警报信息进行分析, 发现其中的内在联系, 精简攻击事件警报, 并通过不断更新场景知识库发现融合后警报中的多步入侵行为. 与已有模型进行对比的结果表明, 该模型的关联分析方法及多步入侵知识库的建立有助于更好地结合系统的特征实现多步入侵的警报关联.     

基于遗传算法的蜜罐系统

入侵诱骗系统作为一种网络安全工具,其价值在于被扫描、攻击和入侵时,通过创建一个高度可控的攻击环境,从而捕获尽可能多的入侵信息.基于这些信息,分析入侵行为,预防更多的恶意破坏,从而更有效的保护网络.介绍一种基于遗传算法的蜜罐系统,其关键技术包括隐蔽的数据捕捉和基于遗传算法的行为分析技术.实验证明,该系统能有效捕捉恶意行为,防御多种新型攻击.     

面向医疗物联网的一种行为规则入侵检测方法

物理世界的复杂性和多样性,给医疗物联网系统的安全检测带来了困难。为了解决该问题,研究了恶意攻击行为对检测行为的影响,提出了一种行为规则的入侵检测方法,可应用于医疗物联网系统。实验验证:与其它方法相比,检测率更高、生存周期更长、能量消耗更低,能够应对复杂攻击和隐蔽攻击,保障医疗物联网系统的安全性。     

面向智能变电站的威胁与风险评价模型研究与实现

针对传统入侵检测系统在资源受限的工业网络中部署时效率和稳定性表现不足的问题,首先提出了面向智能变电站的入侵检测系统,以及工业设备安全风险评估方法,建立了针对智能变电站结构的威胁风险评价模型,引入基于灰色模型的网络脆弱性节点主动预测方法用以平衡威胁来源的权重;其次提出基于信息安全三维度风险值计算算法,引入模糊一致判断矩阵进行风险值参数计算,最终实现可以直观判断攻击对系统的影响范围和程度的风险评价.通过相关实验,系统在部署环境中满足被动性、低负荷、实时性以及可靠性要求的同时,能够有效地检测工业网络面临的入侵威胁.     

基于改进深度卷积生成对抗网络的入侵检测方法研究

针对入侵检测系统因采用的网络攻击样本具有不平衡性而导致检测结果出现较大偏差的问题,文章提出一种将改进后的深度卷积生成对抗网络(DCGAN)与深度神经网络(DNN)相结合的入侵检测模型(DCGAN-DNN),深度卷积生成对抗网络能够通过学习已知攻击样本数据的内在特征分布生成新的攻击样本,并对深度卷积生成对抗网络中生成网络所用的线性整流(ReLU)激活函数作出改进,改善了均值偏移和神经元坏死的问题,提升了训练稳定性。使用CIC-IDS-2017数据集作为实验样本对模型进行评估,与传统的过采样方法相比DCGAN-DNN入侵检测模型对于未知攻击和少数攻击类型具有较高检测率。     

基于多代理的协同分布式入侵检测系统模型

给出了一种基于多代理的协同分布式入侵检测系统模型（CDIDS），该模型依靠基于主机的代理HIDA和基于网络的代理NIDA，运用异常检测与特征检测相结合的方式进行有效的入侵检测；在分布式的网络环境下，系统通过入侵检测控制中心实现检测／响应模块的协同工作，为单个主机的攻击与大规模的网络入侵提供应对策略，并采用协议分流的方式提高NIDA模块的性能。     

基于移动模糊推理的DoS攻击检测方法

通过对入侵检测中模糊技术应用和移动模糊推理方法的研究,设计并实现了基于移动模糊推理的DoS攻击入侵检测系统.首先,描述了移动模糊推理方法与模糊推理步骤;其次,详细阐述了用时间差与IP地址分布变化的DoS攻击检测方法与基于移动模糊推理的攻击检测系统,创建了用于检测的模糊规则,确定网络攻击.最后,把DoS攻击工具与DARPA 98数据集作为入侵检测数据集,对基于移动模糊推理的方法与现行方法进行测试,验证了所提方法的有效性.     

基于行为模型算法的入侵检测技术研究

在分析现有的入侵检测技术的基础上，提出基于行为模型的入侵检测技术．通过学习模式和检测模式来分析行为模型算法．本文从URI检测、客户请求的数据检测及访问顺序检测这3个部分来阐述基于行为模型的入侵检测技术的检测原理．经过测试，行为模型算法对现有的攻击（如SQL注入攻击、跨站脚码攻击、隐藏域攻击）能起到有效的防御；对现今未发现的攻击行为，在它出现后可以通过学习、建模也能进行很好的检测．     

基于思科路由器的IPS实现

随着网络入侵事件的不断增加和黑客攻击水平的不断提高,传统的防火墙或入侵检测系统（IDS）显得力不从心,这就需要能够检测入侵行为并做出保护的系统来实现网络安全。近年来兴起的入侵防御系统（IPS）就能够实现这样的功能,它根据网络攻击的特征行为定义出相应的特征库,当检测到攻击行为时,便采取定义好的动作来保护网络的安全。低版本的思科路由器不具备IPS功能,高版本的思科路由器IOS中增加了这一功能。文中通过配置思科路由器实现入侵保护,维护网络安全。     

基于行为关联的Web自适应入侵检测系统设计与实现

提出了一种适用于Web服务器的自适应入侵检测机制,将检测模块直接嵌入Web服务器中,采用客户访问行为关联预测,配合异常检测和误用检测,动态产生和调整特征规则,确定合法请求,过滤异常请求并确认攻击类型,从而达到预防新型攻击与检测已知攻击事件的目的. 对实现的系统进行了测试验证,在一般攻击扫描情况下攻击检测准确率可高达95.8%.