并行网络中不同标注下的入侵特征阈值确定

传统入侵特征阈值确定方法通常通过敏感信息边界矢量确定,不适于环境复杂的并行网络,对多跳入侵的检测性能不佳。为此,提出一种新的并行网络中不同标注下的入侵特征阀值确定方法。介绍了并行网络体系结构,其主要包括嗅探器、主机、数据库、从动机和集群信道。对抗原信号进行描述,通过求出成熟环境抗原值对抗原异常度信息进行描述,构建异常度关联模型。利用指标集参数阈值的参考指标集和宿主属性对其进行训练,不停改变参数个数与入侵特征阈值,获取和抗原有关的关联规则;从而得到并行网络中不同标注下的入侵特征阈值。实验结果表明,采用所提方法确定的入侵特征阈值能够准确实现并行网络的入侵检测,且阈值确定效率高。     

网络入侵及入侵取证的探讨

随着计算机的越来越普及,网络应用越来越广泛,网络安全问题也越来越严重,其中网络入侵问题也越来越引起专业人士的重点关注。计算机网络入侵检测取证也是专业人员日益关注的方向,计算机网络的入侵检测,是指对计算机的网络及其整体系统的时控监测．以此探查计算机是否存在违反安全原则的策略事件。网络的入侵取证系统是对网络防火墙合理的补充,是对系统管理员安全管理的能力的扩展．可使网络安全的基础结构得到完整性的提高。通过采集计算机网络系统的相关一系列关键点信息．并系统分析,来检测网络是否存在违反了安全策略行为及遭到袭击的现象。     

网络入侵检测中一种新型SVM特征加权分类方法

在SVM的网络入侵检测中,发现不同的网络数据特征对分类结果的影响程度不同,针对这一问题,提出了一种新型SVM特征加权分类方法,以获得更好的最优分类面.该方法对分类影响较大的数值特征的值进行指数加权变换,使得原来处于分类面附近被错分的样本得到了纠正.实验表明该方法明显增加了分类正确的样本数,并有效提高了检测精度.     

基于ARMA的并行入侵检测的负载均衡算法

并行网络入侵检测系统架构的提出很大程度上缓解了当前硬件处理能力不足和网络流量激增之间的矛盾,其充分发挥作用的关键在于如何高效稳定地将流量均匀地分配到各个检测引擎上.本文在深入分析负载均衡算法的各个实现要素基础上,基于经典时间序列模型ARMA对网络流量进行了预测,按照周期性预测负载信息的策略,设计实现了ABLB算法,在降低各个检测引擎反馈负担的同时其负载均衡能力、攻击证据保持、高效性和健壮性也得到了保证,在算法分析和实验中进行了讨论和验证.     

大规模并行网络动态演化特征挖掘技术研究

传统技术无法适应动态变化的网络演化特征,容易引入很多无关节点连接信息,合理设定参数非常困难,导致动态演化特征挖掘结果不可靠。为此提出一种新的大规模并行网络动态演化特征挖掘技术。在建立的大规模并行网络中,把网络节点划分成普通节点和簇头节点,普通节点加入大规模并行网络后,被看作簇头节点,只和某个簇头构建链路,通过多跳实现数据转发,依据择优添加连接和反择优过滤节点演化。针对大规模并行网络动态演化特征,提出挖掘模型,通过初始权重对节点在网络中的初始化状态进行描述,利用突发权重,依据时间独立性对动态演化特征的突发性进行描述,采用密集权重对网络在局部时间内节点连接的密集程度进行描述,通过连续权重对网络在相同演化期间体现的连续性进行描述,依据总权重值实现动态演化特征的挖掘。实验结果表明,所提技术挖掘可靠性和实用性强。     

入侵特征信息库的扩充

网络入侵活动对互联网上的计算机构成了威胁，一种重要的安全保护工具——网络入侵检测系统成为网络安全研究领域中的一个热点。文中主要讨论如何扩充NIDS的特征信息库以增强其可扩展性。     

负载均衡在网络入侵检测系统中的应用

分析了建立并行网络入侵检测平台的必要性,并进一步描述了并存NIDS平台的体系结构。     

基于协议分析的并行聚类入侵检测模型

模糊c-均值聚类(FCM)的算法是在硬c-均值算法(HCM)发展而来的,虽然改进了硬c-均值算法的聚类效果,但带来了时间复杂度的增加.提出了一种基于协议分析分类的并行入侵检测模型,根据协议分析将大的数据集进行分类,构成不同的数据集,先对各个数据集进行FCM聚类,然后对每个FCM聚类的结果再次进行FCM聚类,构成并行处理系统.采用协议分析技术结合高速数据包捕捉、协议解析等技术来进行分布式入侵检测,可以提高入侵检测的速度.     

基于MapReduce的中文词性标注CRF模型并行化训练研究

针对条件随机场模型面对大规模数据传统训练算法单机处理性能不高的问题, 提出一种基于MapReduce框架的条件随机场模型训练并行化方法, 设计了条件随机场模型特征提取及参数估计的并行算法, 实现了迭代缩放算法的并行。实验表明, 所提出的并行化方法在保证训练结果正确性的同时, 大大减少了训练时间, 效率得到较大提升。     

TCP/IP Feature Reduction in Intrusion Detection

Due to the amount of data that an IDS needs to examine is very large, it is necessary to reduce the audit features and neglect the redundant features. Therefore, we investigated the performance to reduce TCP/IP features based on the decision tree rule-based statistical method（DTRS）. Its main idea is to create n decision trees in n data subsets, extract the rules, work out the relatively important features in accordance with the frequency of use of different features and demonstrate the performance of reduced features better than primary features by experimental resuits.     

Decision cost feature weighting and its application in intrusion detection

This paper introduces the cost sensitive feature weighting strategy and its application in intrusion detection. Cost factors and cost matrix are proposed to demonstrate the misclassification cost for IDS. How to get the whole minimal risk. is mainly discussed in this paper in detail. From experiments, it shows that although decision cost based weight learning exists somewhat attack miselassifieation, it can achieve relatively low misclassification costs on the basis of keeping relatively high rate of recognition precision.     

两种特征提取技术在入侵检测中的应用

在介绍主成分分析方法和核主成分分析方法原理基础上,分别采用这两种方法对KDDCUP99中的入侵检测数据进行特征提取,然后把特征提取后的数据送入神经网络进行训练。仿真实验结果表明,两种方法中核主成分分析方法具有更优秀的特征提取性能。     

多特征关联的入侵事件冗余消除

通过对事件的源地址、宿地址和宿端口3个空间属性进行分析,枚举出事件在空间属性上的所有可能的关联特征;通过对相邻事件的时间间隔进行统计分析,提出了事件的时间关联特征可以用一个相对均方差模型描述．在此基础上给出了一种基于事件类型、空间和时间关联特征的冗余事件消除算法,它能根据冗余消除规则集实时处理入侵事件并进行冗余消除．实验结果表明,该冗余消除算法可以使冗余事件在总的事件中的比例低于1％,其冗余消除的准确性和消除程度均高于CITRA中提出的冗余消除方法．     

BP神经网络在入侵检测中的应用

对如何检测未知入侵手段的问题进行了探讨．在被监测程序输入条件已知情况下，借助程序行为简档，给出了一种基于BP神经网络的入侵检测方法，阐述了所用BP神经网络的基本结构以及训练方法，最后在LINUX环境下进行了实验验证．结果表明，在程序行为简档内容比较清晰的条件下，运用BP神经网络检测入侵，可在一定程度上提高入侵检测系统的难确检测率．     

基于SOM的入侵检测算法的特征选择

针对基于单层SOM神经网络的入侵检测系统计算量大、误报率高的问题,利用SOM网络中相似模式激活神经元的物理位置邻近的特点,根据输入模式的类型,对激活的神经元进行划分,并把记录的基本特征和推导特征结合起来,对记录进行分类.研究结果表明,较小的特征子集能使系统更快地对数据进行分类,与传统的利用单层SOM神经网络方法相比,该方法计算量小、误报率低.     

一种基于移动Agent的移动Ad Hoc网络入侵检测系统

移动Ad Hoc网络比传统的有线和无线网络面临着更多的安全问题,入侵检测技术可作为第2道安全防线来弥补入侵预防技术的不足;由于移动Ad Hoc网络所具有的特殊性,使得已有的入侵检测系统不适合被运用到移动Ad Hoc网络中。文章设计了一个新的适合移动Ad Hoc网络的基于移动Agent的分布式入侵检测系统,该系统充分考虑了移动Ad Hoc网络资源受限的特点,对整个网络进行了簇的划分并且提出了一个划分簇的算法,进而对不同的Agent进行了合理分配。     

Learning Vector Quantization Neural Network Method for Network Intrusion Detection

A new intrusion detection method based on learning vector quantization （LVQ） with low overhead and high efficiency is presented. The computer vision system employs LVQ neural networks as classifier to recognize intrusion. The recognition process includes three stages： （1） feature selection and data normalization processing;（2） learning the training data selected from the feature data set; （3） identifying the intrusion and generating the result report of machine condition classification. Experimental results show that the proposed method is promising in terms of detection accuracy, computational expense and implementation for intrusion detection.     

基于One-R的改进随机森林入侵检测模型研究

入侵检测(ID)是保障网络安全的必要手段之一,将数据挖掘引入入侵检测中使其可以适应海量审计数据的处理,同时可以提高检测的均衡性和响应时间。文章提出了一种基于随机森林(random forest,RF)的入侵检测模型(1R-RF),针对RF模型面对高维网络审计数据选择属性时过度随机导致的元分类器效率不高的问题,开展了基于One-R快速属性评价的研究。实验证明,将基于One-R的RF用于入侵检测后有较好的时空性能、较低的误报率和漏报率,对于各种攻击行为有着较为均衡的检测率。     

非理性信道下无线局域网络的高效自适应入侵检测

针对传统入侵检测方法检测效率低、自适应能力相对较差的弊端,提出一种新的非理性信道下无线局域网络的高效自适应入侵检测方法,介绍了非理性信道的特点。通过添加相关步骤实现人机交互功能,在不用人为控制条件下获取理想聚类结果。阐述了入侵检测方法的一般过程,给出自适应入侵检测方法的流程图,介绍了动态自适应模板检测方法和ISODATA (iterative self-organizing data analysis techniques algorithm)方法的详细运算过程。通过比较入侵对象与原有模板间的相似度,将距离最近或者相关度最大的入侵对象划分到一类,对原有模板不断更新,添加新模板完成对非理性信道下无线局域网络入侵对象的检测。实验结果表明,所提方法效率高、精度高、自适应能力强,可以有效地实现非理性信道下无线局域网络入侵检测,保障了无线局域网络的安全性。