一种网络入侵检测特征提取方法

为了去除冗余特征,降低系统存储和运算负担,提高网络入侵检测分类器的性能,文中提出了一种基于Fisher分和支持向量机的网络入侵检测特征提取方法.针对KDD′99网络入侵检测数据集,应用该方法得到了混合攻击和4种单一攻击模式下的特征重要度排序,选取重要特征建立支持向量机入侵检测分类器.结果表明,该分类器精度与使用全部特征构建的支持向量机分类器相当,训练和测试时间则显著降低.     

基于服务器安全的入侵检测系统在Linux系统上实现

为防止黑客入侵,提出一种在Linux环境下实现网络入侵检测系统的实现方法.此系统由嗅探器、分析器和处理器组成.程序用C语言实现.针对网络层与传输层的IP攻击、ICMP攻击、UDP攻击、TCP攻击特征和数据报做了详细的分析;在网络入侵检测的实现上,使用IP重组预处理和模式匹配相结合的方法,提升了系统检测网络攻击行为的能力,两种检测方法成为有效的互补.     

一种高效的的网络入侵检测特征提取方法

在网络入侵检测中,样本数据的特征维数较高,而冗余特征的存在使系统的存储负担加重,分类器性能降低。本文提出一种基于Fisher Score和SVM的特征重要性度量和提取方法,针对KDD'99网络入侵检测数据集,应用该方法得到了混合攻击和单一攻击模式下的特征重要度排序,选取重要特征建立SVM入侵检测分类器,结果表明分类器精度与使用全部特征构建的SVM分类器相当,训练和测试时间有显著降低。     

高速网络环境下基于分布式协作代理的入侵检测系统研究

提出了一个高速网络环境下基于分布式协作代理的入侵检测系统模型框架,研究了一种面向大规模网络的分布式协作代理入侵检测技术,构建了一个能适应高速网络环境下网络监测的入侵检测系统集群模型,对其体系结构进行了详细的描述．为了提高入侵检测的识别率,在现有特征匹配算法的基础上,提出了利用网络协议的特征来提高入侵检测的匹配效率的方法和基于遗传算法的智能动态反馈负载均衡器的思想,利用它们来对高速网络环境下前端捕获的1Gbps以上的大数据流分流,以利于后端低速入侵检测系统及时并行处理,并总结出了模型实现的关键技术。     

入侵检测系统利用信息熵检测网络攻击的方法

针对传统入侵检测系统报警事件数量多、误报率高的问题,提出了一种基于信息熵的网络攻击检测方法。该方法利用雷尼熵对报警事件源IP地址、目标IP地址、源威胁度、目标威胁度以及数据报大小这5个属性香农熵的融合结果来表示网络状态,通过与正常网络状态的对比识别网络异常。真实攻击和人工合成攻击环境中的实验结果表明,该方法能在保持误报率低于1%的情况下命中率高于90%;与基于特征香农熵的攻击检测方法相比,该方法对攻击更敏感,最易检测出DoS攻击和主机入侵,其次是主机扫描和端口扫描,对蠕虫攻击的检测敏感度稍差。对比测试结果表明,该方法在提高命中率的同时,还能有效降低误报率。     

基于数据挖掘技术的网络入侵检测系统

提出了一种基于数据挖掘技术建立入侵检测系统的方法。研究了如何在入侵检测中对审计数据进行数据挖掘，从系统审计数据中提取出描述正常和异常行为的特征和规则，从而建立攻击检测模型，并提出了全套步骤。     

基于SNMP协议的入侵检测系统

在分析了当前常用的入侵检测方法和网络入侵攻击手段的基础上,提出一种基于SNMP协议的入侵检测系统设计方案。该方案主要是通过读取和分析管理信息库（MIB）中的网络连接信息,针对网络入侵和攻击的特点,来对网络进行监测。系统由六个模块组成,实现对网络入侵检测。     

大数据环境下的云计算网络安全入侵检测模型仿真

在大数据云计算环境下,由于信息交互的开放性和自组织性,导致云计算网络容易受到攻击,研究大数据环境下的云计算网络安全入侵检测模型,提高网络安全防御能力。提出一种基于人工免疫的网络安全态势分析的网络安全入侵检测模型。构建网络安全入侵的信号模型和安全态势分析模型,通过模拟人体免疫系统,进行网络映射,采用双线性Hough变换进行时频变换,实现算法改进。仿真结果表明,采用该模型能有效提高对云计算网络入侵的检测性能,对攻击特征的识别能力较高。     

基于蜜罐技术的网络入侵检测系统协作模型的研究与实现

针对当前互联网中传统的入侵检测系统无法对未知攻击作出有效判断,而造成信息误报和漏报的问题,从入侵检测和蜜罐的基本特点出发,提出了一种基于蜜罐技术的网络入侵检测系统协作模型,通过引诱黑客入侵,记录入侵过程,研究攻击者所使用的工具、攻击策略和方法等,提取出新的入侵规则,并实时添加到IDS规则库中,以提高IDS检测和识别未知攻击的能力,进一步提升网络的安全性能.     

一种基于独特型网络的入侵检测方法

为解决神经网络检测方法中检测器需要定期更新、未知攻击检测性能低等问题,利用人工独特型网络的记忆、学习和动态调整能力实现入侵检测.提出一种可用作检测器的多变异模式人工独特型网络,并根据免疫响应原理设计检测算法,使检测器能实时学习新行为特征.仿真结果表明,多变异模式独特型网络检测方法与多层感知器检测方法相比,平均误报率下降了17.43%,未知攻击的平均检测准确率提高了24.17%.     

基于二次训练技术的入侵检测方法研究

提出了一个基于二次训练技术的网络入侵检测模型,不但可以从整体上提高入侵检测系统的检测性能,而且对于低频率、高危害攻击类型的检测性能有着更加显著的提升.该模型首先利用PCA算法提取数据集中的重要特征,然后使用二次训练技术训练分类器构建网络入侵检测模型.实验中分别使用决策树、朴素贝叶斯和KNN 3个经典分类算法构建了基于二次训练技术的入侵检测模型,并在著名的KDDCup99数据集上进行了实验.结果表明本文的入侵检测模型可以有效地提高入侵检测系统的性能,尤其是对于低频率攻击类型的检测性能有明显的提升.      

一种基于规则和神经网络的系统在入侵检测中的应用(英文)

入侵检测技术是解决网络安全的一种有效手段。文中提供一个基于规则和神经网络系统的入侵检测模型。主要思想是利用神经网络的分类能力来识别未知攻击,使用基于规则系统识别已知攻击。神经网络对DOS和Probing攻击有较高的识别率,而基于规则系统对R2L和U2R攻击检测更有效。因此该模型能提高对各种攻击的检出率。最后对模型存在的问题及入侵检测技术的发展趋势做了讨论。     

基于AMCNN-LSTM的电力无线接入专网异常流量检测

为了减轻电力无线专网系统因网络业务增多而带来的网络攻击以及异常流量入侵的安全事故隐患,提出了一种基于注意力机制的卷积-长短期记忆网络(convolution-long short-term memory network based on attention mecha-nism,AMCNN-LSTM)模型.该模型为避免序列特征稀疏分布的问题,采用卷积神经网络(convolutional neural net-work,CNN)提取时间序列数据特征并转化为维度固定的稠密向量;为防止记忆丢失和梯度分散问题,使用融合注意力机制的CNN单元来捕捉重要的时间序列细粒度特征;将CNN提取局部特征与长短期记忆网络(long short-term memory network,LSTM)提取序列特征的优势相结合,对电力接入专网流量数据进行异常检测.通过在电力网真实数据集上实验表明,基于注意力机制的算法能够在150轮次迭代下达到89.14％的召回率及89.67％的综合F-meas-ure得分.所提出的模型能够及时、准确地检测电力网络异常流量,有效提高检测效率及准确度.     

一种基于可拓距的特征变换方法及其在网络入侵检测中的应用

作为识别攻击或异常行为以保护网络安全的重要步骤之一,网络入侵检测常常与数据挖掘或机器学习技术结合应用.如今,随着网络数据的爆炸性增长,传统的入侵检测技术面临着海量数据检测处理的问题,现有入侵检测系统往往难以同时满足实时性和有效性的需求.本文尝试将可拓学中的可拓距概念引入网络入侵检测研究中,提出了一种基于可拓距的特征变换方法,将数据点的原特征映射为簇外中心距和簇内可拓距这两大部分,根据原始数据多维特征生成新的特征,以达到特征降维的目的,旨在同时满足网络入侵检测系统的实时性和有效性的需求.本文使用KDD CUP 99作为仿真数据集测试所提出的基于可拓距的方法在网络入侵检测特征变换中的应用效果.实验结果表明,较之传统的KNN算法,基于可拓距的方法明显地减少了检测时间,而同时其检测率的下降可以控制在1%之内,具有较好的时效性优势.     

基于经验模态分解的局域网络入侵检测算法

通过对局域网络入侵的准确检测可以保障网络安全,由于局域网网络入侵信号具有瞬时频率特性,采用传统的时频分析方法难以实现有效检测,出现检测不准确的问题.为此提出基于经验模态分解的局域网络入侵检测算法,分析网络攻击的防护原理和DOS攻击对网络的危害,对信号处理方法进行检测方法设计.卡尔曼滤波方法对DOS入侵信号进行前置滤波,去除入侵信号的EMD虚假分量,采用小波阈值去噪方法进行信号提纯,采用经验模特分解方法,使得DOS入侵信号特征与干扰组成成分最佳匹配,提取HHT频谱实现对入侵信号的准确检测.仿真结果表明,采用该检测方法进行局域网入侵检测,精度较高,抗干扰性强,检测性能优于传统算法.     

基于组合神经网络的启发式工控系统异常检测模型

为了提高工控系统入侵的检测率,讨论了传统工控入侵检测技术的原理,并从信息论的观点进行了对比研究.通过对工控系统特异性及其攻击手法的建模,归纳出工控攻击在协议栈、统计特性、通信行为等方面表现出的动态和静态指纹,基于一种新的异构信息的抽象方法,提出并实现了一个基于组合神经网络的启发式工控系统异常检测模型.测试结果表明该检测模型运行高效,相比一般智能方法检测结果更为准确.     

基于改进深度卷积生成对抗网络的入侵检测方法研究

针对入侵检测系统因采用的网络攻击样本具有不平衡性而导致检测结果出现较大偏差的问题,文章提出一种将改进后的深度卷积生成对抗网络(DCGAN)与深度神经网络(DNN)相结合的入侵检测模型(DCGAN-DNN),深度卷积生成对抗网络能够通过学习已知攻击样本数据的内在特征分布生成新的攻击样本,并对深度卷积生成对抗网络中生成网络所用的线性整流(ReLU)激活函数作出改进,改善了均值偏移和神经元坏死的问题,提升了训练稳定性。使用CIC-IDS-2017数据集作为实验样本对模型进行评估,与传统的过采样方法相比DCGAN-DNN入侵检测模型对于未知攻击和少数攻击类型具有较高检测率。     

基于攻击分类的异构检测引擎构建技术

由于攻击的复杂性,单一的检测技术难以具有全面的攻击检测能力。具有多检测引擎的入侵检测系统能够克服单一检测技术的检测局限性。但是目前的多检测引擎构建技术缺乏有关检测功能划分的理论指导。本文基于攻击的检测者观点,提出了基于检测特征的攻击分类方法,将攻击按照检测特征分为5个基础类。在此基础上,构建以攻击分类为基础的具有异构检测引擎的入侵检测系统框架。实验表明,该框架可以有效地检测各类攻击,并具有较好的变形攻击检测能力。