基于决策树的入侵检测技术

本文针对传统的基于简单模式匹配的入侵检测技术性能低,误报率和漏报率高的问题,提出了基于决策树算法的连接记录的分析方法,描述了该算法的定义和实现,并采用KDD99的数据进行了仿真实验。实验结果表明,基于决策树算法的分析方法能有效的提高入侵检测系统的性能。     

用扩展巴科斯范式优化决策树协议解码技术

基于规则的入侵检测系统中存在误报、漏报率高,检测速度慢等问题,为此在协议分析的基础上,提出一种基于决策树的协议解码方法。该方法使用扩展巴科斯范式描述检测规则,给出推理规则的定义;提出构造最优决策树和增量决策树的算法;通过构造基于决策树的入侵检测系统,将该方法与简单模式匹配,与基于动态规则集、基于状态转换两种协议解码方法进行了比较。实验结果表明:基于扩展巴科斯范式的协议解码方法,在误报率方面比其他3种方法分别降低10.08%,0.1%,1.51%;在漏报率方面分别降低15.56%,3.68%,2.86%。     

基于协议分析的入侵检测方法的改进

自协议分析方法引入入侵检测系统以来,就与模式匹配方法相结合,以其简单、高效得到了广泛的应用与发展。Snort系统是目前最常用的基于协议分析的入侵检测系统,目前多数入侵检测产品是将Snort系统进行简单加工改造而成的。Snort系统是完全由规则驱动的,只是对网络接口数据进行生硬的模式匹配。近年来,国内外也提出了一些协议分析方法的改进,但都局限于基于误用的检测方法效率的提高。本文总结了现在基于协议分析的入侵检测方法的理论成果,提出了一种有机结合了误用和异常检测方法的基于协议分析的入侵检测系统模型。这一模型结合了协议确认、协议分析和模式匹配三种检测技术,综合协议分析方法的先进技术方法,并利用协议确认方法对原有单一规则驱动的方法做出有利补充。     

模式匹配算法在IDS中的应用

入侵检测作为一种主动防御技术越来越多得到应用.基于模式匹配的入侵检测系统成为主流,模式匹配效率的高低决定了入侵检测系统的性能.文章综述多种经典模式匹配算法,提出了模式匹配算法的发展方向.     

模式匹配技术在Snort中的应用和改进

目前有常用的几种模式匹配技术。在 snort 模式匹配方法中还有一定的局限性,协议匹配、字符串匹配也存在一些弊端。为了有效的提高入侵检测系统的可靠性,可以综合利用各种匹配技术并对匹配算法加以改进。采用协议分析大大减少模式匹配的计算量,提高匹配的精确度,减少误报率;对 BMH 算法的改进可以更进一步的提高匹配效率。从而开发出更高效的基于 Snort 的入侵检测系统。     

入侵检测系统中模式匹配算法的研究

在基于模式匹配的入侵检测系统中,模式匹配算法的好坏直接影响着检测系统的效能。介绍了几种应用于入侵检测系统中的模式匹配算法,分析了这些算法的复杂性和适用性,并对将来的模式匹配算法研究方向做出了预测。     

网络入侵检测系统中多模式匹配算法的研究

网络入侵检测系统的性能一定程度依赖于精确、快速的模式匹配技术。随着网络速度的快速增长,模式匹配技术必将成为入侵检测系统性能的瓶颈。首先介绍了网络入侵检测系统Snort中采用的多模式匹配算法,进而提出了一种改进的多模式匹配算法。实验结果表明,改进后的算法降低了时间复杂度,提高了系统检测效率。     

多模式匹配算法的研究与优化

基于特征匹配的NIDS中,分析、匹配数据包中是否具有某种攻击特征需要占用大量的时间和系统资源.随着高速网络的广泛应用,如何改善模式匹配的性能成为众多研究者所关心的重要课题,由于入侵检测的规则数增多和入侵行为的复杂化,对匹配算法的要求越来越高.模式匹配的性能好坏直接关系到整个系统性能的优劣,本文就多模式匹配算法WM算法改进作了有益的探索和尝试.     

复合式入侵检测方法的研究

所提出的复合式入侵检测算法是基于行为建模算法和模式匹配算法两种入侵检测算法的有效结合,其中行为建模算法扩展了基于异常的入侵检测算法,而模式匹配算法完全实现了基于特征的入侵检测算法.自适应的行为建模算法根据用户的行为和程序的行为建立合法的行为模板,而不需要任何人工干预.两种入侵检测算法能够有效的降低误报率的发生.采用Servlet Filter技术的安全代理是一个具有一定入侵分析功能的智能插件.     

IDS中一种新的模式匹配算法及其并行化

基于字符串匹配的检测方法是入侵检测系统(IDS)中一类很重要的分析方法,文章分析了著名的BM模式匹配算法,提出了一种新的字符匹配算法zY模式匹配算法,该算法的时间复杂度为O（n*(m-1)),比BM算法的时间复杂度O(n*m)低。最后对ZY模式匹配算法进行了并行化设计,并给出了设计代码。     

基于改进决策树的入侵检测算法

本文对经典的基于信息增益的决策树算法进行改进,提出一种基于决策树与属性相关性相结合的入侵检测算法。该算法同时结合综合策略的剪枝算法以避免过度拟合对检测结果的影响。实验结果证明,本算法不仅在面对已知攻击时能够做出良好的判断,而且在面对未知攻击时仍然具有一定的检测能力,具有良好的性能和可用性。     

基于主成分分析和决策树的入侵检测方法

特征选择算法能够更好地提高入侵检测系统的检测速度和检测效果,消除冗余数据并减轻噪音特征.结合特征选择算法的优势,提出一种基于主成分分析(PCA)与决策树(C4.5)的入侵检测方法,进而构建出轻量级的入侵检测系统.通过在KDD1999数据集上对该方法进行详细的实验验证,证明该方法一方面确保系统有较高的检测率与较低误报率,另一方面能够比较显著地提高系统的训练时间与测试时间.同时,通过比较实验发现此方法在训练时间、测试时间、检测率、误报率上的效果也优于GA-SVM方法.     

网络入侵智能化实时检测系统

网络安全技术中的一个重要方面就是入侵的检测．检测入侵的实时技术是新一代防火墙中的关键技术之一．基于统计的一般实时检测方法,给出了一个基于键入特性的识别算法．采用状态索引判决树的基于规则实时入侵检测方法及实时入侵检测中的多字串快速检索算法,给出了一个应用在防火墙中的网络入侵智能化实时检测系统的实际模型和框图     

一种多标准决策树剪枝方法及其在入侵检测中的应用

为提高决策树的适用性,以决策树在入侵检测中的应用为背景提出一种多标准的剪枝方法,使决策树程序能在参数调整后适应不同的应用. 给出了用于描述决策树不同性能的一些参量,如稳定性、复杂度、分类能力等,用户可以根据具体情况对向量各分量的权重进行调整,逐步得到满足要求的决策树. 实验结果表明,该算法能够根据入侵检测系统的具体需要,快速地构建相应的决策树,从而程序可被用于不同情况. 该方法把由程序员决定决策树变成了由用户决定决策树,程序更通用,结果更合理.     

基于二次训练技术的入侵检测方法研究

提出了一个基于二次训练技术的网络入侵检测模型,不但可以从整体上提高入侵检测系统的检测性能,而且对于低频率、高危害攻击类型的检测性能有着更加显著的提升.该模型首先利用PCA算法提取数据集中的重要特征,然后使用二次训练技术训练分类器构建网络入侵检测模型.实验中分别使用决策树、朴素贝叶斯和KNN 3个经典分类算法构建了基于二次训练技术的入侵检测模型,并在著名的KDDCup99数据集上进行了实验.结果表明本文的入侵检测模型可以有效地提高入侵检测系统的性能,尤其是对于低频率攻击类型的检测性能有明显的提升.      

电能质量扰动分类的决策树方法

提出一种新颖的基于决策树方法的电能质量扰动自动分类方法.该方法首先对采集到的扰动信号进行小波多分辨率分解,扰动信号在每个小波分解尺度的能量分布构成一个特征向量;然后利用CART决策树算法从这些特征向量构成的训练样本中自动提取相应的分类规则,得到决策树分类模型,并将该模型应用到电能质量扰动测试数据中.仿真结果表明所提电能质量扰动数据分类挖掘方法的有效性和鲁棒性.     

数据挖掘技术在网络入侵检测中的应用

基于通用入侵检测轮廓,建立了一个基于数据挖掘技术的异常检测模型,采用关联规则、序列规则对数据进行挖掘,用判定树分类技术对获得的规则进行分类.实验表明,本模型具有较好的效益.     

一种基于协议分析的入侵检测系统

针对目前出现的利用协议漏洞进行攻击的入侵方式,提出了一种基于协议分析的入侵检测系统模型.该模型采用简单协议分析与协议状态分析检测技术,使用了散列数高速匹配算法,可以实现该类检测的全面性、准确性与高效性.     

基于决策树的协同网络入侵检测

由于不同网络协议有不同的属性值,不同的数据集可被用来检测网络入侵.该文提出了一种基于决策树的协同网络入侵检测模型,该模型是由多个代理组成,每个代理针对不同的网络数据协议类型(TCP/UDP/ICMP)分别履行检测,且它们又通过协同构成一个整体检测体系.最后用KDD CUP 99数据进行实验,验证了该方法检测入侵行为的有效性.     

决策树与神经网络结合的入侵检测系统模型研究

入侵检测系统是保证网络信息安全的有力手段,文中提出一种结合决策树和神经网络的入侵检测系统框架。决策树分类方法把数据集划分为正常数据和入侵数据,并作为训练集分别用神经网络进行训练,改善了系统的检测精度并提高了对未知数据的检测能力。离线训练后的系统可以实现网络数据的实时检测,通过实验证明了此系统很好的检测效果和自适应能力。