脆弱性水平对信息系统安全技术策略影响研究

利用博弈论研究了基于脆弱性水平的组织信息系统安全技术策略,发现信息系统脆弱性水平对组织信息系统安全技术的选择与配置具有重要影响.脆弱性水平较低时组织只需对一部分IDS警报事件发起人工调查,无须对未警报事件发起调查;脆弱性水平较高时组织需对所有IDS警报事件发起调查,同时还需对部分未警报事件发起调查.与此同时,人工调查率还将随着脆弱性水平的提高而提高.此外,当信息系统脆弱性水平比较高时,黑客入侵率不一定高,这主要是因为组织配置了入侵检测率较高的IDS.     

基于误用检测与异常行为检测的整合模型

针对入侵检测中普遍存在检测率低与误报过高的问题,采用基于多维-隐马尔可夫模型的检测方法和基于Apriori算法的误用检测技术相结合的入侵检测系统(intrusion detection system,IDS)模型.新模型减少了单纯使用某种入侵检测技术时的漏报率和误报率,同时在异常检测模块中采用了隐马尔可夫与简单贝叶斯分...     

基于贝叶斯理论的入侵检测评测方法研究

提出一种基于贝叶斯理论的入侵检测系统(IDS)评测方 法, 设计并建立了一套较完善的入侵检测系统评测体系. 确立了用于评测IDS的4个重要指标：功能指标、 性能指标、 安全性指标和用户可用性指标. 量化分析了一些主要测试指标, 并利用概率树模拟入侵及检测过程. 结果表明, 该方法能在系统的检测率和误报率间找到最佳的阈值平衡点.     

用户权限对入侵检测系统配置策略的影响

为了讨论用户权限的经济价值,在企业和合法用户与企业和非法用户之间分别构建了入侵检测系统的博弈模型,采用博弈论研究了合法用户权限对入侵检测系统配置策略的影响.结果发现,企业只配置检测率较高的入侵检测系统,且对合法用户配置的最优入侵检测系统的检测率低于对非法用户配置的最优入侵检测系统的检测率.通过提高合法用户的权限,企业可以降低对入侵检测系统的投入.随着合法用户权限的提高,虽然企业的人工调查概率和合法用户的攻击概率都降低,但企业的总体期望收益增加.因此,建议企业适当提高合法用户的权限,同时加大对相应攻击行为的惩罚力度,让更多的工作由合法用户自助完成.     

基于SVM的网络入侵检测系统模型分析

利用支持向量机(Support Vector Machine SVM)进行建模,可以解决在建立检测模型时因无法收集所有样本而导致的模型推广性能差的问题,并且可以提高入侵检测率,降低漏报和误报率,提高系统的实用性.本文尝试在入侵检测领域利用支持向量机,构建基于支持向量机的入侵检测系统模型.     

基于改进鸽群优化算法的入侵检测系统特征选择方法

针对当前入侵检测系统(intrusion detection system, IDS)中存在的检测准确率低、建模时间长及收敛速度慢等问题,提出一种基于改进鸽群优化算法的入侵检测系统特征选择方法.该方法采用鸽群优化算法对数据中的不相关特征进行优化,通过考虑真阳性率(true positive rate, TPR)、假阳性率(false positive rate, FPR)和特征个数3个指标来选择特征的最佳子集.实验结果表明:相较于现有的特征选择算法,本文算法更具优势,在保证高检测率、低误报率的前提下,减少构建鲁棒IDS所需的特征数目.     

径向基神经网络在入侵检测中的应用

与广泛使用的BP网络模型相比,径向基函数神经网络具有训练时间短且不易收敛到局部最小的优点.将3种径向基神经网络应用到入侵检测中,用于入侵模式识别的分类和预测,从而提高入侵检测系统的检测率并降低误报率.     

基于网络主动防御安全模型的入侵诱骗系统

当前网络安全形势日益严峻,传统的安全技术如防火墙、入侵检测技术存在着对未知入侵模式的攻击不能有效识别等诸多缺陷,Honeypot技术作为一种网络主动防御的安全技术,也具有一定的局限性.针对以上单一技术在网络安全防御上的缺陷,从主动防御的角度,基于网络主动防御安全模型构建了入侵诱骗系统的体系结构,并且设计了Honeypot与防火墙、IDS的联动系统,既克服了防火墙不能提供实时检测的缺陷,又降低了IDS的漏报率和误报率,弥补了各自的不足,充分发挥了优势,从而提高了网络系统的主动防御能力.同时,给出了有限自动机模型,模拟了入侵诱骗系统的基本功能,为系统的行为描述和结构设计提供了理论依据和论证.     

基于人工蜂群优化的密度聚类异常入侵检测算法

采用改进的人工蜂群优化算法解决密度聚类异常入侵检测中的参数和特征组合优化问题. 首先, 在初始化蜜源阶段采用不同的编码方法分别对参数和特征值进行编码; 然后, 在邻域搜索阶段利用两种搜索策略分别对参数和特征值进行搜索; 最后, 为满足异常入侵检测对低误报率的需求, 在新的适应值函数中加入误报率影响因子. 实 验结果表明, 基于人工蜂群优化的密度聚类异常入侵检测算法不仅提高了正常行为轮廓的精度, 而且降低了计算开销和存储空间, 并在一定程度上消除噪声特征的干扰, 实现了检测性能的提升.     

基于分层抽样的入侵检测方法

将分层抽样理论应用于网络入侵检测。通过统计网络数据包负载字段中的字节分布规律，得到数据包异常的度量，将此度量作为分层特征参数，用以从总体中抽取出有价值的样本。建立了基于Mahalanobis距离的异常检测模型对样本进行检测。实验结果表明，采用DARPA 1999年IDS评测数据集，在选定的97个待检测的攻击实例中，当保证误报率低于19／6时，本方法可以达到50%以上的检测准确率。