基于博弈论框架的自适应网络入侵检测与响应

首先建立了一个简单的入侵者与入侵检测及响应系统之间的博弈模型,推导出博弈双方的最优混合策略,得到模型中各方参与者的优化问题的解,并给出了相应的物理解释。通过对参与人的成本收益情况进行分析,得到系统在各种入侵情况下报警率、响应率、惩罚尺度等因素之间的函数关系,从而给出能够动态调整安全策略的自适应入侵响应策略。然后,考虑到现有商用入侵检测及响应系统中固有的缺陷,例如不可能百分之百对入侵做出成功响应等问题,对上述模型进行了扩展。     

一种基于均值Hamming距离的异常入侵检测方法

对进程级的入侵检测技术进行了研究,提出了一种基于均值Hamming距离的异常入侵检测方法—AHDAD,监控对象为特权进程的系统调用序列,通过计算偏离量检测入侵。AHDAD算法简单、检测准确率高、时间开销小,使实时入侵检测成为可能。最后,用原型实验证实了方法的可行性。     

基于无线定位终端的公路事件检测方法研究

提高交通事件检测性能对于保持道路畅通至关重要.鉴于此,提出了一种集GPS模块、车辆气囊传感器模块和手机定位模块为一体的车裁终端,采用GSM定位与GPS定位相结合,驾驶员主动报警与车辆加速度发生居大变化时自动报警相结合的交通事件检测方法.构建了该检测方法的交通事件检测率和误警率分析模型,并分无事件确认机制、设置事件确认阀值K、调用CCTV确认事件三种情景建立了系统检测时间分析模型;基于这些模型和FRESIM交通仿真软件,对影响系统性能的主要因素进行了仿真分析.建模和仿真分析的结果表明,基于车载无线定位集成终端的高速公路交通事件检测系统具有较好的检测效果.     

基于参数交换和置信加权的信标广播时间同步

为提高多接收者时间同步系统的同步精度和可靠性,并建立优化的全局一致时钟,在已有方法上进行了若干改进。为区分节点的参考价值,在交换时戳过程中动态测量各接收者关键噪声方差;为进行高精度高可靠的时钟偏差校正和漂移率补偿,给出节点间置信加权方法和节点内动态收缩滤波方法。仿真表明,当各节点关键噪声水平相差较大时,置信加权能够较好地保持系统时间同步精度和可靠性;当参考时钟漂移率变化较慢时,动态收缩滤波能够对时间同步精度进行显著优化;综合使用置信加权和动态收缩滤波,通常能够显著提升系统时间同步精度和可靠性。     

基于修正核函数SVM的网络入侵检测

支持向量机分类方法在小样本、非线性情况下具有较好的泛化性能,在入侵检测系统中有着广泛的应用。针对入侵检测过程中可能出现的由两类样本不平衡造成的分离超平面偏移现象,以核函数所蕴含的黎曼几何为依据,引入一个伪一致性变换函数,对核函数进行修改,提高支持向量机的分类泛化能力,建立基于支持向量机的网络入侵检测系统,并对系统总体结构和运行机制进行了详细的描述。实验仿真表明,该系统可有效地提高入侵检测的准确率,改善由于数据集不平衡造成的支持向量机分类偏移的情况。     

网络入侵检测系统RIDS的研究

入侵检验是网络安全的一个新方向，入侵检测的重点是如何有效地提取特征并准确地分析出非正常网络行为。本文在深入研究分析公共入侵检测框架（ＣＩＤＦ）理论和现有入侵检测系统（ＩＤＳ）实现策略的基础上，提出了一种基于资源监视的入侵检验概念，给出了以资源监视为中心的主机监视和网络监视相结合的网络入侵检测系统ＲＩＤＳ的模型，介绍了实现的原型系统。     

基于智能信任关联的对等协同IDS仿真

为了有效解决当前分布式入侵检测系统中存在的组件之间依赖程度大、负载不均衡、单点失效、系统不够健壮,以及入侵检测系统自身结构固定不能自动适应入侵变化等问题,提出了一种基于P2P思想的对等协同入侵检测系统模型,并进行了节点智能信任关联算法设计.基于P2P-CIDS模型和JXTA架构实现了一个对等协同IDS仿真系统原型,并借助Slapper蠕虫在仿真网络环境中进行了系统有效性评估.仿真结果表明,该对等协同IDS能明显提高脆弱网络节点的平均幸存率.     

入侵诱骗模型的建立方案

网络攻击和入侵事件不断发生,给人们造成了巨大的损失,网络安全问题越来越成为社会关注的热点。Honeypot系统就是入侵诱骗技术中的一种,在网络安全中起着主动防御的作用。在分析了这种技术实现方式的基础上,形式化地定义了入侵诱骗系统,提出了入侵诱骗的体系结构,并给出了一个入侵诱骗系统的实现模型。     

基于组件的实时入侵检测虚拟实验室的设计与实现

提出了一种基于组件技术的入侵检测虚拟实验室系统的设计模型和实现方法。该系统采用Java语言实现，具有良好的平台无关性。以Java Bean组件技术对数据生成和入侵检测系统的感应器模块、分析器模块、统计显示模块、配置管理模块进行了开发，实现了软件重用和系统的可扩展性。系统客户端以Java Applet实现，用户能够可视化地制定试验流程，指定模拟攻击流类型、配置过滤规则和检测规则以及选择试验结果的显示形式。整个实验过程中，用户能较直观深入的参与入侵检测系统的具体配置和操作，对于了解和掌握入侵检测系统的结构和主要原理大有帮助。     

入侵检测系统中负载均衡研究与仿真

处理器的发展速度已跟不上网络的发展速度,如何实现高速网络中实时入侵检测已经成为目前网络安全所面临的问题。本文通过对现有入侵检测系统的硬件结构和算法重新设计,利用网络处理器实现了一种基于遗传算法的智能负载均衡,并建立了相应的系统模型,最后对改进后的算法进行了仿真实验,实验结果表明改进后的算法能提高系统的性能。     

Grey-theory based intrusion detection model

1.INTRODUCTIONThe development of network technology has dual in-fluence to people,onthe one handit brings efficiencyandconvenienceintheir dailylife;onthe other hand,it also contains hiding threats in some areas.Modernnetwork security mainly concerns with authenticationand authorization,data encrypt,access control,secu-rity audit.Intrusion detection techniques with activedefense strategy are the kernel part of security audit,and are also crucial for the realization of network se-curity.Ani…     

基于引力的入侵检测方法

将万有引力的思想引入聚类分析，提出一种基于引力的聚类方法和度量聚类异常程度的引力因子概念，同时给出了一种计算聚类闽值的简单而有效的方法，在此基础上提出一种新的入侵检测方法GBID，GBID关于数据库的大小、属性个数具有近似线性时间复杂度，这使得GBID具有好的扩展性。在KDDCUP99数据集上的测试结果表明，GBID在准确性方面优于文献中已有无指导入侵检测方法，且对新的入侵有一定的检测能力。     

Intrusion detection based on system calls and homogeneous Markov chains

A novel method for detecting anomalous program behavior is presented, which is applicable to hostbased intrusion detection systems that monitor system call activities. The method constructs a homogeneous Markov chain model to characterize the normal behavior of a privileged program, and associates the states of the Markov chain with the unique system calls in the training data. At the detection stage, the probabilities that the Markov chain model supports the system call sequences generated by the program are computed. A low probability indicates an anomalous sequence that may result from intrusive activities. Then a decision rule based on the number of anomalous sequences in a locality frame is adopted to classify the program＇s behavior. The method gives attention to both computational efficiency and detection accuracy, and is especially suitable for on-line detection. It has been applied to practical host-based intrusion detection systems.     

基于神经网络的异常入侵检测系统

针对神经网络检测器本身的网络结构和算法进行改造可获得好的性能,但无法从根本上解决误报率和漏报率等问题,通过对程序行为的深入研究,对程序行为进行动态建模,提出了一个应用BP神经网络检测器针对程序行为异常的入侵检测模型,从而更准确地发现程序行为的异常。通过Apache服务器为例论证其可行性。     

基于熵的入侵检测特征参数选择

传统入侵检测的特征选择方法不但与评估数据的统计特性有关,还与检测算法有关。提出了一种独立于检测算法的入侵检测特征参数选择方法。该方法以入侵检测模型为基础,信息熵为准则。仿真结果显示出用所选特征参数进行检测,不但保证了检测的正确率,而且提高了检测速度,减小了内存资源的占用。     

基于特征选取与树状Parzen估计的入侵检测

针对目前网络空间安全形势快速变化带来的新风险和新挑战, 提出一种基于相关性分析的特征选取和树状Parzen估计优化的入侵检测方法。首先, 通过基于相关性分析的数据特征选取方法对数据维度进行压缩。其次, 对原始数据集进行特征筛选, 生成新的特征子集。最终, 使用序列模型优化算法中的树状Parzen估计算法对随机森林算法进行模型优化。实验结果表明, 相比其他应用机器学习算法的入侵检测方法, 所提方法在提升综合性能的同时拥有更高的检测效率, 有效地提升了入侵检测技术的实用性。     

Detecting network intrusions by data mining and variable-length sequence pattern matching

Anomaly detection has been an active research topic in the field of network intrusion detection for many years. A novel method is presented for anomaly detection based on system calls into the kernels of Unix or Linux systems. The method uses the data mining technique to model the normal behavior of a privileged program and uses a variable-length pattern matching algorithm to perform the comparison of the current behavior and historic normal behavior, which is more suitable for this problem than the fixed-length pattern matching algorithm proposed by Forrest et al. At the detection stage, the particularity of the audit data is taken into account, and two alternative schemes could be used to distinguish between normalities and intrusions. The method gives attention to both computational efficiency and detection accuracy and is especially applicable for on-line detection. The performance of the method is evaluated using the typical testing data set, and the results show that it is significantly better than the anomaly detection method based on hidden Markov models proposed by Yan et al. and the method based on fixed-length patterns proposed by Forrest and Hofmeyr. The novel method has been applied to practical hosted-based intrusion detection systems and achieved high detection performance.     

基于模糊聚类分析的入侵检测方法

提出了一种新的基于模糊聚类分析的入侵检测数据处理方法,该方法能够较为准确地区分正常和入侵进程,具有计算速度快、耗用资源少等特点。通过使用模糊聚类,还可以提炼出精简准确的分类规则。由于对数据中的孤立点采用了特殊的处理方法,因此对产生聚类规则的训练数据库进行添加和更新,该检测方法具有较强的可扩展性。通过仿真实验证明了该算法的有效性。     

一种不定长特征模式入侵检测模型及仿真分析

针对定长序列模式在刻画序列特征方面的不足,提出了一种不定长序列特征模式抽取算法,并以此为基础设计了一个新的入侵检测模型。模型引入了状态转移概念并将模式匹配检测和状态转移检测结合在一起,克服了已有模型只专注于单一特征检测的缺陷。实验证实,和单特征检测相比,该模型在保证检测率的同时降低了误报率,并且检测算法的效率也是可接受的。     

基于核神经气聚类的入侵报警分析

利用无监督的核神经气聚类方法分析入侵报警数据,并针对核神经气聚类方法运行时间较长的缺点作了改进,加快了学习过程的速度而不影响其收敛性。利用改进的核神经气聚类方法对真正报警数据进行聚类,获得了各个神经元被作为获胜神经元的次数分布图,并根据此分布图获得报警的判别规则以区分误报警和真报警。实验采用网络入侵检测器Snort在实验环境下获得的攻击和正常数据产生的报警数据集,测试结果证明了提出的方法具有良好的性能:当滑窗长度为10时,在漏报增加率约为6%的代价下可以去除约81%的误报警。