基于云计算的模糊规则挖掘算法在入侵检测中的应用

提出了一种基于云计算的模糊规则挖掘算法的入侵规则检测方法.以模糊集理论为基础,提出了在入侵关联规则挖掘中将特征属性模糊集作为单一属性来处理的模糊规则挖掘算法,有效地解决入侵规则中出现不相关规则和"尖锐边界"等问题.在云计算平台上进行算法的验证,利用云计算平台可进行大规模计算和数据处理的特点,得出该思想在入侵检测具有较好的应用效果和前景.     

基于概念格的入侵检测

将概念格应用于入侵检测系统中 ,构造了一个基于规则分类判决的入侵检测模型 ;提出了决策规则格和决策规则格约简的概念 ,获得了入侵检测的分类规则集 .实验表明此方法能较好地缩减分类规则集中的规则数目 ,且有较高的分类正确率     

网络入侵检测规则的冲突检测和解决

为了解决入侵检测系统中当前输入事件同时匹配入侵规则库中多条规则(检测冲突)从而导致漏报和误报的问题,利用形式化方法研究了冲突的类型和判定标准,给出了冲突检测和解决的算法.对Snort规则库分析的结果表明:提出的冲突判定标准正确有效,且冲突在规则库中实际存在并以交叉冲突为主.因此依靠专家经验建立的规则库不可避免地存在语义矛盾,对规则库进行冲突检测和冲突解决有助于提高入侵检测系统的有效性.     

Snort规则及规则处理模块分析

当前,入侵检测已成为网络安全技术的重要组成部分,开放源代码入侵检测系统Snort是研究入侵检测系统很好的原型。分析了Snort规则语法和规则处理模块,剖析了规则语法树的生成及根据规则语法树进行遍历、查找匹配项的过程,总结了Snort的一些特点。     

基于变精度粗糙集的入侵检测研究

网络行为的复杂性和动态变化使得入侵检测数据中存在大量干扰信息,入侵检测的误警率和漏警率很高,变精度粗糙集增强了粗糙集模型的抗干扰能力,适合分析不确定的数据集合。运用变精度粗糙集为入侵检测系统进行形式化描述,建立入侵检测信息系统和入侵检测模型。设计β参数调整算法,将训练数据集离散化后进行信息系统约简,然后生成入侵检测规则库,根据规则库进行入侵检测。模拟实验证明本方法具有良好的检测性能,可以适应网络行为的动态变化并检测出潜在的攻击行为。     

基于数据挖掘的入侵检测系统分析研究

首先介绍了入侵检测系统的相关技术,然后着重介绍了将数据挖掘技术应用于入侵检测系统;通过数据挖掘技术和入侵检测技术,提出了一种基于数据挖掘技术的入侵检测系统模型;将数据挖掘方法中的关联规则,分类分析在入侵检测系统中的协同工作方式,通过对关联规则和分类分析,得到入侵规则。     

改进的Apriori算法在IDS中的应用

在入侵检测研究领域中,提高检测模型的检测率并降低误报率是一个重要的研究课题.提出了一种针对网络入侵检测事务流日志数据库的关联规则挖掘改进算法,它采用事务压缩和属性压缩相结合,解决了当前主流关联规则算法应用到入侵检测过程中存在的多遍扫描、大量无效规则和算法复杂度过高等问题.实验结果表明,文中所提出的方法在规则生成和对网络异常情况的检测方面都显示出比较好的性能,提高了系统效率,使其更适用于入侵检测系统.     

入侵检测规则动态生成研究

在入侵检测研究领域中,提高检测模型的检测率并降低误报率是一个重要的研究课题.本文提出了一种针对网络入侵检测事务流的实时动态规则生成方法.该方法解决了当前主流关联规则生成算法应用到入侵检测过程中存在的多遍扫描、大量无效规则和频繁集产生等问题.实验结果表明,文中所提出的方法在规则动态生成和对网络异常情况的检测方面都显示出比较好的性能,相对Snort入侵检测系统,平均提高10%左右的检测精度,克服了Snort系统在异常检测方面的局部缺陷.     

入侵检测规则共享机制

在Internet高速发展的今天,各种攻击随之泛滥,反攻击技术成为研究热点,入侵检测就是其中的一类。规则管理是入侵检测中重要的一环,当前却存在规则管理相对分散的问题,直接降低了检测效率。为此,本文提出了一种入侵检测规则共享机制,并在此基础上实现了一个实验性系统RSH。该系统能管理不同的检测系统规则,并在系统内自动共享。     

基于免疫和模糊逻辑的自适应入侵检测

随着网络入侵方法和网络计算环境的变化,入侵越来越难以被检测和防范.本文针对当前入侵检测中存在的问题给出了一种基于生物免疫机制和模糊逻辑的自适应入侵检测模型, 分别对正常行为模式和待检测行为模式建立模糊关联规则集,通过比较待检测行为模式的规则集与正常行为模式的规则集的相似度,确定是否有入侵事件发生;此外,模型还可以自适应在线升级自身的抗体规则,从而提高了抵御新型攻击的能力和自适应性.经过仿真测试,证明该模型可以有效地检测异常攻击事件.     

基于关联规则的入侵检测系统

为提高入侵检测系统的智能性、准确性和检测效率,针对入侵检测系统的特点,将数据挖掘技术应用于入侵检测系统。阐述了使用关联规则及其优化算法,对日志文件进行特征分析与知识发掘的入侵检测系统的设计与实现。实验表明,优化后的算法在对某一日志文件的入侵检测中,准确率平均提高45%,检测效率平均提高50%,大大增强了入侵检测系统的性能。     

改进的时态关联规则在入侵检测中的应用

入侵检测系统的性能在很大程度上与它的检测规则有关,所以如何更快更有效地从网络数据中获取有效的检测规则对于一个IDS(入侵检测系统)来说就变得格外重要.本文在分析了传统关联规则算法缺点的基础上,对关联规则挖掘算法的优化策略和时态因素的分类处理重点进行了讨论.即在利用主属性约束最后规则的同时,提出了高频属性直接入选的策略.以更快地获取有效的入侵检测规则.实验测试结果表明,优化后的算法在挖掘速度和规则的检出率等性能上有较大提高,找到了一些原来被忽略的规则并剔除了一些不重要的规则,证明此优化算法是切实有效的.     

一种基于聚类和关联规则修正的入侵检测技术

针对目前基于K-Means算法的入侵检测技术所存在的符号类型数据处理能力欠缺、误报率较高的问题,提出了一种基于聚类和关联规则修正的入侵检测技术。将关联规则挖掘技术引入到聚类分析机制中,利用针对符号型属性的关联规则挖掘结果对聚类结果进行修正,从而有效降低由于在入侵检测单纯使用聚类分析所导致的误报。详细阐述了改进的具体实现方案,并通过实验验证了该技术的可行性。     

一种基于免疫机理的入侵检测系统模型

在比较了生物免疫系统和入侵检测系统的相似性后,在入侵检测系统中引入了免疫相关机理,建立了一种基于免疫机理的入侵检测系统模型,并对系统模型中涉及的关键技术进行了详细阐述。在模型检测器的生成规则中首次提出并运用了n-r规则,在检测器的生成算法中将克隆选择、否定选择和思维进化相结合,提出了一种全新的算法。理论分析表明该系统模型能有效检测已知和未知的攻击活动,也为解决入侵检测系统的高误报率和缺乏自适应性的难题提供了思路。     

基于混合互信息的决策树入侵检测

为了提高入侵检测的准确度和速度,针对入侵规则属性相关性的特点,将属性与类间的互信息与属性间的互信息结合,提出了一种新的混合互信息的决策树分类算法.在对此算法进行了算法设计和分析的基础上,将由此算法构造的决策树分类方法对入侵规则进行组织,改变了传统的入侵规则逐条串行检测,以增加预处理时间为代价,提高了数据包的过滤速度和准确度.实验分析表明,应用该算法的入侵检测系统比使用传统方法具有更高的准确率和速度.     

基于免疫和模糊逻辑的自适应入侵检测

随着网络入侵方法和网络计算环境的变化,入侵越来越难以被检测和防范.本文针对当前入侵检测中存在的问题给出了一种基于生物免疫机制和模糊逻辑的自适应入侵检测模型,分别对正常行为模式和待检测行为模式建立模糊关联规则集,通过比较待检测行为模式的规则集与正常行为模式的规则集的相似度,确定是否有入侵事件发生;此外,模型还可以自适应在线升级自身的抗体规则,从而提高了抵御新型攻击的能力和自适应性.经过仿真测试,证明该模型可以有效地检测异常攻击事件.     

SNORT规则匹配算法改进

检测引擎作为入侵检测系统(IDS)的核心模块,基本上采用基于模式匹配的检测方法,选择设计1个好的模式匹配算法对入侵检测系统的性能至关重要。对SNORT的原有规则匹配算法bm进行改进,在改进规则匹配算法中,将具有相同前缀的规则生成1棵规则树,在规则匹配的过程中将数据包内容和规则树进行匹配,在匹配时,可以和多个规则同时进行,大大减少了在规则匹配中花费的时间,从而提高了SNORT的性能。改进后的系统和原来系统进行了几种测试,通过测试改进后的系统比原来的系统速度明显提高。在流量大的情况,丢包情况也减少了。     

审计日志的关联规则挖掘

研究了在入侵检测系统中利用数据挖掘技术从审计日志中挖掘关联规则的方法，针对现有关联规则算法应用于入侵检测系统引起的问题，提出了利用本质属性限制无趣规则的产生、利用行向量的位运算提高Apriori算法时间性能的一种高效改进算法。该算法不需生成候选频繁集和剪枝操作，避免了因无趣规则引起的大量运算。因而能提高入侵检测系统的效率。     

GEP的网络入侵检测规则约束及演化策略

针对基于演化计算的网络入侵检测存在演化过程时间和空间开销大、误警率高等问题,采用基因表达式编程(GEP)模式表示入侵检测规则,提出针对GEP入侵检测规则的约束文法,并通过增加规则约束判断及处理过程改进GEP基本演化流程,生成满足约束的入侵检测规则.最后使用KDD CUP′99 DATA对该策略进行评估,所生成规则只需2个网络属性,在测试集中检测率为89.79%,误警率为0.41%.实验结果表明:在较小种群和低演化代数内,GEP规则约束和演化策略获得的规则有效而简洁,可检测到未知入侵,在保持较高检测率的同时可获得低误警率.     

基于蜜罐技术的网络入侵检测系统协作模型的研究与实现

针对当前互联网中传统的入侵检测系统无法对未知攻击作出有效判断,而造成信息误报和漏报的问题,从入侵检测和蜜罐的基本特点出发,提出了一种基于蜜罐技术的网络入侵检测系统协作模型,通过引诱黑客入侵,记录入侵过程,研究攻击者所使用的工具、攻击策略和方法等,提取出新的入侵规则,并实时添加到IDS规则库中,以提高IDS检测和识别未知攻击的能力,进一步提升网络的安全性能.