基于SVM的分布式入侵检测系统

支持向量机（Support Vector Machine．简称SVM）具有泛化性高、全局最优、对样本的充分性要求不高等优点,在集中式的入侵检测问题中得到较好应用．文章将SVM算法推广到分布式入侵检测环境中,提出基于SVM的分布式学习算法。并在KDD Cup 99数据集上与集中式方式进行了对比实验．结果表明,该算法不仅能降低网络中的通信负载．而且取得了与集中式方式相当的检测性能．     

SVMENCL:一种入侵检测的新方法

在入侵检测中使用单个的支持向量机容易因"单点失效"而危害系统安全.提出一种基于支持向量机集成的方法来进行入侵检测.它采用负相关学习技术,在误差项中使用相关性惩罚因子使得生成的分类器有更好的多样性和精度;算法采用进化策略来自动地确定个体支持向量机的超参数,避免了需要了解问题的先验知识;最后,采用集成技术来组合个体支持向量机的检测结果.仿真实验表明这一方法有更好的检测性能,并且这种分布式并行检测方法有利于增加入侵检测系统的鲁棒性.     

异常检测中单类分类算法和免疫框架设计

基于主机系统执行迹的异常检测系统可以检测类似U2R和R2L这两类攻击。由于攻击数据难以获取,往往只能得到正常的系统调用执行迹数据。该文设计了基于自组织特征映射的单类分类器的异常检测模型,只利用正常数据建立分类器,所有偏离正常模式的活动都被认为是入侵。通过对主机系统执行迹数据集的测试,试验获得了对异常样本接近100％的检测率,而误报警率为4．9％。该文将单类分类器作为抗体检测器,运用人工免疫学原理建立了分布式的异常检测框架,使入侵检测系统具有分布式、自组织和高效的特性,为建立分布式的入侵检测提出一种新的思路。     

基于量子遗传算法的入侵检测器生成

入侵检测器的生成是入侵检测系统的核心,入侵检测器生成可以转化成数据的最优分类问题．量子遗传算法针对复杂优化问题有很强的搜索能力和最优化性能．因此,本文引入量子遗传算法来实现这个优化过程,并进行了入侵检测对比实验,实验结果表明基于本文算法的检测准确率高,同时收敛稳定性明显提高,收敛速度更快．     

基于量子遗传算法的入侵检测器生成

入侵检测器的生成是入侵检测系统的核心,入侵检测器生成可以转化成数据的最优分类问题．量子遗传算法针对复杂优化问题有很强的搜索能力和最优化性能．因此,本文引入量子遗传算法来实现这个优化过程,并进行了入侵检测对比实验,实验结果表明基于本文算法的检测准确率高,同时收敛稳定性明显提高,收敛速度更快．     

基于改进粒子群优化SVM的多分类入侵检测研究

针对工控网络数据的高维特性以及攻击方式多样性而导致传统入侵检测算法检测准确率低等问题,采用改进粒子群(PSO)算法优化支持向量机的参数,提出改进的PSO-SVM多分类入侵检测方法。该方法将SVM参数作为改进PSO的粒子,将SVM分类准确率作为PSO的目标函数进行全局搜索以确定SVM的最优参数,建立基于改进PSO-SVM的"一对一"多分类工控入侵检测模型。最后采用密西西比州立大学关键基础设施保护中心提出的工控标准数据集进行仿真实验,结果表明,该算法针对不同的攻击方式的平均检测准确率均能达到90%以上,能够准确识别攻击类型,可为工控系统入侵检测提供有效方法。     

入侵检测系统中动态优化检测器生成方法的研究

在基于人工免疫的入侵检测系统中,通常会采用阴性选择算法来生成检测器,这种算法生成的检测器存在缺乏更新、容易饱和、误警率高等缺陷.鉴于此,给出了一种生成检测器的算法思路:以免疫遗传算法作为基础,对子代记忆检测器进行优化,并结合动态自体集演化方法生成正常行为特征,使子代检测器能够在一定程度上继承父代检测器的优良基因,该方案发挥了遗传算法并行操作、全局寻优、自适应优化等特征,避免了免疫病理机制转移进入入侵检测系统造成的安全隐患,增强了免疫入侵检测系统的实时性、健壮性、高效性、并行性和可适应性.     

新型智能入侵防御模型

针对目前基于免疫的入侵检测模型自适应性较差,缺少定量描述及成熟检测器生成效率不高等问题,提出了一种新型的入侵防御模型.建立了抗原、抗体的形式化描述及动力学方程;提出了一种由随机产生和基因库相结合的未成熟抗体生成机制和基于基因驱动的检测器进化算法,并采用疫苗注射方法提高网络的整体防御能力;通过收集到的真实网络数据及KDDCup1999评估数据对模型进行了仿真对比实验.结果表明,本模型具有更好的检测性能,有效提高了网络的安全防御能力.     

基于数据挖掘的主机入侵行为检测

提出利用序列模式挖掘方法得到频繁入侵命令序列，将频繁入侵命令转换为底层入侵检测器的检测规则用于检测用户的可疑行为．为了消除误报，设计了一个基于入侵事件状态的关联引擎，将频繁入侵命令序列作办关联规则，并提出了一种新的入侵关联算法，该算法不仅考虑了每类主机入侵行为的序列特征，也反映了不同类型主机入侵行为之间的因果关系，体现了主机入侵行为的多样性和复杂性．实验结果表明，该入侵关联模型对各类主机入侵行为的检测效果良好，误报率明显降低，特别是下载类和信息获取类主机入侵行为的误报降低了20%左右。     

分布式多传感器决策融合系统求解

本文研究了分布式多传感器决策融合的信号处理，推导和求解在“双阈检验准则”下两个级别上的优化决策规则：一个是当局部检测器生成的个体决策结果被送到数据融合中心时，基于这些个体决策集合作出总的决策的融合规则；另一个是在总体决策融合规则给定情况下求解某一局部检测器的优化决策规则．所采用的“双阈检验法”是作者在Ｎ－Ｐ检验法基础上提出的新的融合方法，该方法由于引入了两类不明概率区而使传统的Ｂａｙｅｓ决策能力和适用范围得以扩大．本文还从减少计算量角度考察了分布式检测系统在观测独立情形下的优化决策规则简化计算公式．最后给出了简单算例，并加以验证．     

基于改进蚁群算法与遗传算法组合的网络入侵检测

为提高网络入侵检测的检测效果,提出一种基于改进蚁群算法与遗传算法组合的网络入侵检测方法.该方法采用遗传算法(genetic algorithm,GA)对网络入侵的特征集进行快速选取,为后续特征提取打下基础;对传统蚁群算法(ant colony optimization,ACO)的节点选择策略和信息素更新策略进行改进,提出一种改进的蚁群算法,提高对最优特征的选择效果,采用改进的蚁群算法对特征进一步选择;采用支持向量机(support vector machine,SVM)统计机器学习方法建立各类网络入侵的检测分类器.仿真实验结果表明,新的网络入侵检测方法综合GA和改进蚁群算法的优势,能够获得更好的入侵特征,从检测正确率、误报率和漏报率3个方面综合比较,新的网络入侵检测方法具有更好的网络入侵检测效果,且提高了检测速率.     

生物免疫原理在多代理分布式入侵检测系统中的应用

入侵检测是一个新的、迅速发展的领域,已成为网络安全体系结构中的一个重要环节. 通过对多代理技术和入侵检测方法的研究,提出了一种基于生物免疫原理的多代理分布式入侵检测系统模型,并且对该系统的结构和代理的处理流程进行了描述. 该系统是一个开放的系统,具有很好的可扩展性,易于加入新的入侵检测代理,也易于增加新的入侵检测. 代理之间的协同采用独立的通信服务代理来实现,特有的自身检测代理确保检测系统本身的安全.     

Hybrid Optimization of Support Vector Machine for Intrusion Detection

Support vector machine （SVM） technique has recently become a research focus in intrusion detection field for its better generalization performance when given less priori knowledge than other soft-computing techniques. But the randomicity of parameter selection in its implement often prevents it achieving expected performance. By utilizing genetic algorithm （GA） to optimize the parameters in data preprocessing and the training model of SVM simultaneously, a hybrid optimization algorithm is proposed in the paper to address this problem. The experimental results demonstrate that it＇s an effective method and can improve the performance of SVM-based intrusion detection system further.     

基于支持向量机和遗传算法融合的入侵检测

为了研究网络异常入侵检测问题,将支持向量机（SVM）和遗传（GA）算法融合并应用于入侵检测领域,区分正常和异常的用户行为,实现对网络系统的入侵检测.传统SVM算法易产生训练参数选择不当,难以获得较高的检测效率和分类精度等问题.针对此问题,提出了一种优化的基于SVM-GA融合的入侵检测方法,首先对网络入侵数据进行归一化处理简化输入,然后通过遗传算法对SVM训练参数进行同步优化,最后采用SVM算法对网络数据进行检测,分类识别得到网络入侵结果.仿真实验结果表明,该融合算法训练时间短、检测精度高、误报率和漏报率低,是一种有效可行的入侵检测方法.     

基于支持向量机的异常检测

提出一种使用支持向量机(SVM)进行计算机系统实时异常检测的方法，内容涉及到一种对支持向量机方法的改进算法、对数据预处理的方法及SVM核函数的选取．试验结果表明采用这一算法进行入侵检测具有准确率高、计算简单、占用的存储空间小等优点．     

基于PSOGWO-SVM的网络入侵检测方法

针对SVM算法的核函数及参数选择不科学会导致检测的准确率比较差的问题,提出了一种融合粒子群搜索的灰狼优化算法,利用PSOGWO算法优化SVM的参数,确定SVM分类器的最优检测模型,并基于NSL KDD数据集进行对比实验。结果表明：基于PSOGWO SVM的入侵检测方法实现了SVM的参数最优化,而且在检测率、收敛速度、模型平衡性等方面有明显提升,该方法在网络入侵检测方面具有更好的性能。     

入侵容忍技术在身份认证系统中的应用

结合SITAR分布式入侵容忍体系结构和ITPAS密码认证体系统的特点,提出了一个具有入侵容忍功能的分布式密码认证系统模型,并在设计中考虑了冗余、多样性、代理、共享秘密和分布式入侵检测等技术,以求解决认证服务的入侵容忍问题和密码数据库的防字典攻击问题。     

基于粗糙集分类的网络入侵检测

提出使用粗糙集分类(RSC)算法进行智能化的网络入侵检测.该方法可以在生成检测规则之前完成特征排序,且不需要多次重复迭代计算,提高了入侵检测系统的效率;同时,生成的检测规则是"if-then"格式的产生式,易于解释.仿真实验表明,RSC对Probe和DoS攻击具有比支持向量机(SVM)略好的高检测率,但是训练时间比SVM更长,采用混杂遗传算法求解粗糙集约简可进一步减少RSC的训练时间.     

应用支持向量机实现分布式入侵检测

描述了一种应用支持向量机构建的分布式入侵检测系统模型 ,介绍了支持向量机的机器学习原理、训练过程以及在线检测流程 .仿真结果表明系统提高了对未知入侵的检测能力