危险理论DCA入侵检测算法中阈值预测的研究

免疫危险理论的最新研究成果是树突状细胞算法（Dendritic Cell Algorithm,DCA）.该算法应用在实时入侵检测时具有较优越的性能,该算法通过计算成熟环境抗原值（Mature Context AntigenValue,MCAV）来表示抗原异常度的信息.文章提出了一种基于改进的树突状细胞算法,使算法中的参数其阈值范围可预测,从而能有效的计算成熟环境抗原值表示出模型的异常度.最后通过仿真实验,实验结果表明新算法使树突状细胞算法的异常度量更加精确,算法的检测正确率提高了21.3%～33.5%.     

一种快速Snort入侵检测系统研究

在高速网络中,提高入侵检测系统检测速率和效率是目前入侵检测系统需要解决的主要问题. 基于Linux平台,采用了零拷贝技术对Snort入侵检测系统的数据包捕获引擎进行了改进;采用改进的BM算法提高了规则匹配的效率,搭建了相应的实验平台并进行了性能测试. 测试表明,本方法可以显著提高Snort系统的性能.     

网络入侵检测系统中多模式匹配算法的研究

网络入侵检测系统的性能一定程度依赖于精确、快速的模式匹配技术。随着网络速度的快速增长,模式匹配技术必将成为入侵检测系统性能的瓶颈。首先介绍了网络入侵检测系统Snort中采用的多模式匹配算法,进而提出了一种改进的多模式匹配算法。实验结果表明,改进后的算法降低了时间复杂度,提高了系统检测效率。     

基于改进蚁群算法与遗传算法组合的网络入侵检测

为提高网络入侵检测的检测效果,提出一种基于改进蚁群算法与遗传算法组合的网络入侵检测方法.该方法采用遗传算法(genetic algorithm,GA)对网络入侵的特征集进行快速选取,为后续特征提取打下基础;对传统蚁群算法(ant colony optimization,ACO)的节点选择策略和信息素更新策略进行改进,提出一种改进的蚁群算法,提高对最优特征的选择效果,采用改进的蚁群算法对特征进一步选择;采用支持向量机(support vector machine,SVM)统计机器学习方法建立各类网络入侵的检测分类器.仿真实验结果表明,新的网络入侵检测方法综合GA和改进蚁群算法的优势,能够获得更好的入侵特征,从检测正确率、误报率和漏报率3个方面综合比较,新的网络入侵检测方法具有更好的网络入侵检测效果,且提高了检测速率.     

改进的Apriori算法在IDS中的应用

在入侵检测研究领域中,提高检测模型的检测率并降低误报率是一个重要的研究课题.提出了一种针对网络入侵检测事务流日志数据库的关联规则挖掘改进算法,它采用事务压缩和属性压缩相结合,解决了当前主流关联规则算法应用到入侵检测过程中存在的多遍扫描、大量无效规则和算法复杂度过高等问题.实验结果表明,文中所提出的方法在规则生成和对网络异常情况的检测方面都显示出比较好的性能,提高了系统效率,使其更适用于入侵检测系统.     

基于ReliefF的入侵特征选择方法

基于ReliefF的入侵特征选择方法,结合入侵检测数据集类内紧密和类外差距大的特点,通过对入侵特征权重计算的优化,提出一种改进算法:Re-ReliefF算法,解决了网络安全领域数据维度导致处理效率较低的问题.实验结果表明,在安全测试数据集下,改进算法相对传统算法在性能上有一定提高.     

树突细胞算法的形式化描述

尽管DCA算法在各种入侵检测方面的成功应用证实了DCA在检测率方面具有很好的性能,但到目前为止,对DCA算法仍然缺乏一种严谨的、形式化的定义与描述。在总结前人的研究成果的基础之上,通过采用数学函数定义方法,定义了算法元素的数据结构,访问数据结构的过程操作函数,目的在于对DCA算法进行简单的形式化描述,将其应用于DCA算法中的伪代码当中,具有一定的有效性,为对DCA算法进行理论分析奠定了基础。     

一种基于数据挖掘的Snort系统的设计与应用

为了提高入侵的检测效率,提出了一种基于数据挖掘的改进的Snort系统.该系统充分利用数据挖掘的入侵检测优点,采用改进的Apriori算法,在Snort原系统基础上增加一个数据异常检测模块,改进了Snort存在的缺点,提高了检测率.通过模拟实验验证和实际网络环境应用分析,得出该系统比原Snort系统具有更高的检测性能,能...     

IDS中一种快速模式匹配算法

网络入侵检测系统的效率取决于模式匹配算法选择.分析了目前网络上最常用的BM算法及其不足,在此基础上提出了一种更高效的改进算法.该算法利用已匹配字符的信息,增加了坏字符方法的右移量,提高了匹配的效率.实验测试结果表明该算法能够有效提高网络入侵检测系统的检测速度.     

适应性免疫的轻量级网络入侵检测算法

充分利用移动Agent的特性和适应性免疫原理,提出一种基于适应性免疫和移动Agent的轻量级网络入侵检测算法．算法将入侵检测部件定义为检测Agent,检测Agent能根据迁移策略迁移到各主机,利用适应性免疫原理很好地实现网络入侵检测和响应处理．仿真实验证明：算法不仅检测能力强、误报率低、网络负载小,且可通过配置系统参数和接种检测子,提高了算法的灵活性和扩展性．     

基于经验模态分解的局域网络入侵检测算法

通过对局域网络入侵的准确检测可以保障网络安全,由于局域网网络入侵信号具有瞬时频率特性,采用传统的时频分析方法难以实现有效检测,出现检测不准确的问题.为此提出基于经验模态分解的局域网络入侵检测算法,分析网络攻击的防护原理和DOS攻击对网络的危害,对信号处理方法进行检测方法设计.卡尔曼滤波方法对DOS入侵信号进行前置滤波,去除入侵信号的EMD虚假分量,采用小波阈值去噪方法进行信号提纯,采用经验模特分解方法,使得DOS入侵信号特征与干扰组成成分最佳匹配,提取HHT频谱实现对入侵信号的准确检测.仿真结果表明,采用该检测方法进行局域网入侵检测,精度较高,抗干扰性强,检测性能优于传统算法.     

由粗到精分层技术下的复杂网络入侵检测方法研究

摘要：复杂网络具有开放性、互联性和共享性,易受到大规模的入侵,采用传统“一对一”方式构建网络入侵检测器,检测费时,实时性检测差。为了提高复杂网络入侵检测性能,提出一种引入由粗到精分层概念的多层网络入侵检测模型,在传统的LSSVM分类器基础上,对分类过程进一步细分,建立一种由粗到精策略,构造多层的网络入侵分类器,在精细分类层,将引入拥挤度和隔离度因子的粒子群优化分类器,以提高入侵分类器性能。最后采用KDD 99数据集进行仿真测试。结果表明,相对于其它检测模型,该模型不仅加快了入侵检测速度,满足入侵检测实时性,同时提高了网络入侵检测率,为网络安全提供了有效保证。     

一种基于禁忌神经网络的网络入侵检测模型

随着互联网的发展和普及,传统网络入侵防范方法如防火墙、数据加密等已经很难保证系统和网络资源的安全。为此,本文设计了基于改进禁忌算法和神经网络的网络入侵检测方法。首先建立三层的BP神经网络模型用于实现入侵检测。然后通过BP反向传播算法获取网络的权值和阀值等参数,并设计了一种基于双禁忌表的改进禁忌优化算法,采用此改进的禁忌优化算法对BP算法优化得到的权值和阀值进行进一步寻优。最后,将禁忌算法优化后的神经网络用于网络入侵检测。仿真实验表明,此方法能够有效地实现网络入侵检测,具有较快的收敛速度和较高的检测率,是一种适合网络入侵检测的可行方法。     

基于稀疏向量距离的网络入侵数据检测

传统的网络入侵检测速度慢、实时性差,且误报率较高。为此,提出一种基于稀疏向量距离的网络入侵数据检测方法。该方法首先对所获得的网络样本数据进行初步分析,采用K-means算法对样本数据包进行量化处理得到该数据流的位置分布集,使用压缩感知的稀疏编码技术处理,得到数据的稀疏表示,然后通过随机投影获取数据集的二值哈希编码可以近似地表示稀疏向量的距离,与设定的阈值进行比较,判断该数据是否为入侵数据。根据这些稀疏向量的距离能够快速而准确地检测到入侵的网络数据。实验结果表明,相对于传统检测算法,本文算法具有速度快、实时性好、误报率低等优点,使入侵检测系统的性能得到了很大提高,充分确保了网络的安全性。     

Ad Hoc网络的一种入侵检测模型

对Ad Hoc网络的路由安全性问题进行了研究,提出了一种分布式网络协作入侵检测模型,该模型建立在路由协议之上,针对不同的路由协议,分析其安全漏洞,总结攻击行为的判定规则,进行本地入侵检测;在此基础上,以多点协作的联合检测机制提高检测的正确率;并从节省网络资源的角度对入侵检测模型进行优化配置.以AODV路由协议为例介绍了该模型的工作机制,利用仿真软件NS2搭建网络仿真平台进行仿真实验,结果表明,该检测模型能更好地保障网络安全.     

基于粗糙集模型的入侵检测算法研究

为应对层出不穷的新型网络入侵,提高对未知恶意行为的检测正确率,运用粗糙集理论对入侵检测问题进行建模.先用概率粗糙集建立入侵检测模型PRS-IDM,在此基础上生成基于变精度粗糙集的检测模型VRS-IDM和其中的阈值参数β.在VRS-IDM模型基础上对检测训练集数据进行约简并构造检测规则.模拟检测实验的结果证明本方法具有良好的检测正确率,同时能有效应付未知的潜在入侵行为.     

基于二次训练技术的入侵检测方法研究

提出了一个基于二次训练技术的网络入侵检测模型,不但可以从整体上提高入侵检测系统的检测性能,而且对于低频率、高危害攻击类型的检测性能有着更加显著的提升.该模型首先利用PCA算法提取数据集中的重要特征,然后使用二次训练技术训练分类器构建网络入侵检测模型.实验中分别使用决策树、朴素贝叶斯和KNN 3个经典分类算法构建了基于二次训练技术的入侵检测模型,并在著名的KDDCup99数据集上进行了实验.结果表明本文的入侵检测模型可以有效地提高入侵检测系统的性能,尤其是对于低频率攻击类型的检测性能有明显的提升.      

并行网络中不同标注下的入侵特征阀值确定

传统入侵特征阈值确定方法通常通过敏感信息边界矢量确定,不适于环境复杂的并行网络,对多跳入侵的检测性能不佳。为此,提出一种新的并行网络中不同标注下的入侵特征阀值确定方法。介绍了并行网络体系结构,其主要包括嗅探器、主机、数据库、从动机和集群信道。对抗原信号进行描述,通过求出成熟环境抗原值对抗原异常度信息进行描述,构建异常度关联模型。利用指标集参数阈值的参考指标集和宿主属性对其进行训练,不停改变参数个数与入侵特征阈值,获取和抗原有关的关联规则;从而得到并行网络中不同标注下的入侵特征阈值。实验结果表明,采用所提方法确定的入侵特征阈值能够准确实现并行网络的入侵检测,且阈值确定效率高。