基于级联AdaBoost的Snort异常检测预处理插件研究

在开源网络入侵检测系统Snort的预处理阶段加入了一种新的预处理插件,插件中使用改进的AdaBoost算法进行异常网络流量的特征提取和构造每一级AdaBoost分类器,然后用级联的结构将多个AdaBoost分类器做线性组合共同完成入侵检测,组合系数通过自适应学习得到。实验表明,该插件可以有效地检测Snort规则集中无可匹配特征的异常网络流量,降低Snort系统对于异常流量检测的漏报率和误报率,满足高速网络环境对入侵检测实时性的要求。     

IPv6下DoS/DDoS SYN Flood入侵和攻击的检测

在网络安全状况划分的前提下,分析SYN Flood半连接攻击的形式和特点.为了防范这种使网络资源耗尽的攻击,提出Ipv6下跟踪三次握手的SYN Flood入侵和攻击的检测方法,对系统实现的数据结构进行设计与论证.最后在"一个广播的局域网"的问题规模下对该系统的有效性进行测试.结果表明,模拟检测系统能够将含错误数据的数据包丢弃,将分片的数据包重新组合成完整的数据包.     

一种基于流式模式匹配的分片攻击检测方法

传统的入侵防御系统中对于通过tcp流分片而躲避入侵检测的攻击行为,所采用的应对方法是通过流重组,而当前的流重组方案要么有着严重的系统开销,要么当攻击者将数据包分片得过小时,方法失效.本文提出了流式模式匹配的思想,将对流数据的连续性需求转化为对模式匹配连续性的需求,从而设计了一种基于流式模式匹配的分片攻击检测方法,可代替流重组方式进行分片攻击检测.经过实验证明,本方法在实时性、吞吐量和内存占用等方面优于传统的流重组方法.     

SNORT规则匹配算法改进

检测引擎作为入侵检测系统(IDS)的核心模块,基本上采用基于模式匹配的检测方法,选择设计1个好的模式匹配算法对入侵检测系统的性能至关重要。对SNORT的原有规则匹配算法bm进行改进,在改进规则匹配算法中,将具有相同前缀的规则生成1棵规则树,在规则匹配的过程中将数据包内容和规则树进行匹配,在匹配时,可以和多个规则同时进行,大大减少了在规则匹配中花费的时间,从而提高了SNORT的性能。改进后的系统和原来系统进行了几种测试,通过测试改进后的系统比原来的系统速度明显提高。在流量大的情况,丢包情况也减少了。     

串匹配型入侵检测系统的改进

针对当前串匹配型入侵检测系统普遍面临的误报率漏报率高、自身的性能难以适应快速增长的网络流量需求等问题，本文以提高检测的速度和准确率为目的对串匹配型入侵检测系统进行分析，从串匹配算法、规则库结构等方面对其进行改进，并提出了具体的方案。     

基于HASH表的二叉树结构在网络处理器系统中的应用

提出将基于HASH表的二叉排序树结构应用于高速网络数据包流的动态存储和检测,提高查找效率.以所研制原型网路处理器系统的IP分片重组、流缓存和TCP会话重组等经典模块为实例,分别给出了方案选择、理论分析和测试结果,并对具体实现进行了深入讨论.指出该结构对入侵检测、状态防火墙和流量监测等网络安全系统的构建更具借鉴价值.     

基于改进胶囊网络的过程控制攻击检测方法

为解决传统入侵检测算法无法准确识别过程控制攻击的问题,提出一种基于改进胶囊网络的过程控制攻击检测方法。该算法利用多层卷积在提取复杂输入特征方面的优势,将原始流量转化为灰度图像进行初级特征提取;同时引入残差连接以解决梯度消失问题,利用胶囊网络特有的动态路由机制对初级特征进行聚类。使用2017 QUT＿S7comm数据集进行实验。结果表明：所提方法在测试集上的准确率可达94.64%,在验证集上对各类攻击的识别准确率均在90%以上,实验证明所提方法可以有效预防针对工控系统的过程控制攻击。     

对网络入侵检测系统进行测试和评估的研究

论文主要完成了三个方面的工作：1、网络入侵评估环境的构建;2、网络背景流量的模拟;3对入侵检测系统进行检测能力,易用性、性能和安全性的测试。现已向计算机网络安全领域已经迈出了重要的一步,寻找到入侵检测系统的测试与评估的新途径。今后将进一步扩大研究和应用,以期最终建成健壮的,功能强大的入侵检测系统测试评估系统。     

基于隐马尔可夫模型的无线局域网媒体接入控制层入侵检测方法

将无线局域网媒体接入控制(MAC)层字段作为检测入侵的分析对象,提出了基于隐马尔可夫模型(HMM)的无线局域网MAC层入侵检测方法.采用了基于控制台、服务器、代理的3层分布式无线局域网入侵检测框架;基于HMM模型对无线局域网的MAC帧头部进行建模;利用正常的无线局域网络数据对HMM进行训练,并记忆正常系统下的数据包行为.由此,检测发现了出现概率小的数据包或数据包序列,并制定了入侵检测阈值.试验结果表明,所提方法对已有的无线局域网MAC层攻击的误报率和漏报率比较低,并能检测未知攻击.     

入侵检测中双层次模式匹配研究与应用

针对现有入侵检测系统在模式建立与匹配方法中存在的不足,改进了一种入侵检测系统的模式建立与匹配方法.根据数据样本的数据属性特征,采用双层次聚类方法对数据样本进行分析,建立基于行为索引的系统安全模式,避免对数据属性进行分析时,造成数据关键信息的丢失,降低入侵检测系统的误报率和漏报率.     

基于改进蚁群算法与遗传算法组合的网络入侵检测

为提高网络入侵检测的检测效果,提出一种基于改进蚁群算法与遗传算法组合的网络入侵检测方法.该方法采用遗传算法(genetic algorithm,GA)对网络入侵的特征集进行快速选取,为后续特征提取打下基础;对传统蚁群算法(ant colony optimization,ACO)的节点选择策略和信息素更新策略进行改进,提出一种改进的蚁群算法,提高对最优特征的选择效果,采用改进的蚁群算法对特征进一步选择;采用支持向量机(support vector machine,SVM)统计机器学习方法建立各类网络入侵的检测分类器.仿真实验结果表明,新的网络入侵检测方法综合GA和改进蚁群算法的优势,能够获得更好的入侵特征,从检测正确率、误报率和漏报率3个方面综合比较,新的网络入侵检测方法具有更好的网络入侵检测效果,且提高了检测速率.     

基于数据挖掘的网络数据库入侵检测系统

提出一种基于数据挖掘的网络数据库入侵检测模型 (NDBIDS) ·讨论了NDBIDS的结构及各部件的功能·利用关联规则Apriori算法 ,对用户正常历史数据进行挖掘 ,并对产生的规则进行归并更新 ,通过训练学习生成异常检测模型 ,并利用此模型实现基于数据挖掘的异常检测·NDBIDS可以检测伪装攻击、合法用户的攻击和攻击企图三种类型的攻击 ,通过实验给出了相应攻击的检测率、假报警率、漏报率和检测正确率·本系统的建立不依赖于经验 ,具有较强的灵活性     

降低入侵检测误报率的研究

采用单包分析技术的网络入侵检测系统常具有较高的误报率,影响其实用性。本文通过对入侵检测系统误报产生原因的分析,提出了应该从整体上理解入侵过程并且针对具体环境进行分析的思想,设计实现了警报决策系统,在保证检测率的同时,有效地降低了入侵检测系统的误报率。     

异常检测中单类分类算法和免疫框架设计

基于主机系统执行迹的异常检测系统可以检测类似U2R和R2L这两类攻击。由于攻击数据难以获取,往往只能得到正常的系统调用执行迹数据。该文设计了基于自组织特征映射的单类分类器的异常检测模型,只利用正常数据建立分类器,所有偏离正常模式的活动都被认为是入侵。通过对主机系统执行迹数据集的测试,试验获得了对异常样本接近100％的检测率,而误报警率为4．9％。该文将单类分类器作为抗体检测器,运用人工免疫学原理建立了分布式的异常检测框架,使入侵检测系统具有分布式、自组织和高效的特性,为建立分布式的入侵检测提出一种新的思路。     

基于泄漏电缆的周界入侵探测系统设计

针对传统周界入侵探测系统存在的定位精度不高及误报漏报率高等问题,设计了一种基于泄漏电缆的新型周界入侵探测系统.根据入侵探测系统的功能需求,将两根经特殊设计的泄漏电缆埋地安装,然后利用现场可编程门阵列实现泄漏电缆中信号的发送和处理,其泄漏的电磁场形成一堵无形的防护区,最后通过自行开发的测试软件实现泄漏电缆远程自动探测流程.实验结果表明,该基于泄漏电缆的入侵探测系统对入侵的定位精度实测达到了5m,具有全隐藏安装、准确定位入侵位置及误报漏报率低等优点.     

基于改进的BP神经网络的入侵检测研究

本文提出了引入可调因子和遍历局部最小并逃逸的方法,以解决标准BP算法中误差曲面过于平坦导致迭代次数增加、易陷入局部最小的缺点,并将此算法应用到网络入侵检测系统,对五类入侵行为进行检测。实验结果表明,改进后的BP算法大大缩短了系统响应时间并降低了检测系统的漏检率和误检率,极大改善了入侵检测系统的性能。     

GEP的网络入侵检测规则约束及演化策略

针对基于演化计算的网络入侵检测存在演化过程时间和空间开销大、误警率高等问题,采用基因表达式编程(GEP)模式表示入侵检测规则,提出针对GEP入侵检测规则的约束文法,并通过增加规则约束判断及处理过程改进GEP基本演化流程,生成满足约束的入侵检测规则.最后使用KDD CUP′99 DATA对该策略进行评估,所生成规则只需2个网络属性,在测试集中检测率为89.79%,误警率为0.41%.实验结果表明:在较小种群和低演化代数内,GEP规则约束和演化策略获得的规则有效而简洁,可检测到未知入侵,在保持较高检测率的同时可获得低误警率.     

网络入侵中的模糊区域判断算法

针对当前网络入侵中模糊区域判断算法未考虑算法的自适应及容错性, 判断效率和稳定性均较差的问题, 提出一种基于多层逻辑结构 的网络入侵中模糊区域判断算法. 首先采用基于多层逻辑结构的模糊区域判断算法, 以自适应和容错性作为约束条件, 通过求取算法不同层反馈解, 得到网络入侵中的模糊区域判断结果; 然后基于判断结果, 采用警报合成算法将较多雷同警报合成为一条警报, 以防止形成警报洪流, 获取最佳模糊区域判断结果. 实验结果表明, 该算法的检测率和误报率总平均值分别为9313%和097%, 平均时间为10.13 s, 表明该算法具有显著的网络入侵模糊区域判断优越性.     

基于稀疏向量距离的网络入侵数据检测

传统的网络入侵检测速度慢、实时性差,且误报率较高。为此,提出一种基于稀疏向量距离的网络入侵数据检测方法。该方法首先对所获得的网络样本数据进行初步分析,采用K-means算法对样本数据包进行量化处理得到该数据流的位置分布集,使用压缩感知的稀疏编码技术处理,得到数据的稀疏表示,然后通过随机投影获取数据集的二值哈希编码可以近似地表示稀疏向量的距离,与设定的阈值进行比较,判断该数据是否为入侵数据。根据这些稀疏向量的距离能够快速而准确地检测到入侵的网络数据。实验结果表明,相对于传统检测算法,本文算法具有速度快、实时性好、误报率低等优点,使入侵检测系统的性能得到了很大提高,充分确保了网络的安全性。     

基于数据挖掘的主机入侵行为检测

提出利用序列模式挖掘方法得到频繁入侵命令序列，将频繁入侵命令转换为底层入侵检测器的检测规则用于检测用户的可疑行为．为了消除误报，设计了一个基于入侵事件状态的关联引擎，将频繁入侵命令序列作办关联规则，并提出了一种新的入侵关联算法，该算法不仅考虑了每类主机入侵行为的序列特征，也反映了不同类型主机入侵行为之间的因果关系，体现了主机入侵行为的多样性和复杂性．实验结果表明，该入侵关联模型对各类主机入侵行为的检测效果良好，误报率明显降低，特别是下载类和信息获取类主机入侵行为的误报降低了20%左右。