基于数据挖掘的主机入侵行为检测

提出利用序列模式挖掘方法得到频繁入侵命令序列，将频繁入侵命令转换为底层入侵检测器的检测规则用于检测用户的可疑行为．为了消除误报，设计了一个基于入侵事件状态的关联引擎，将频繁入侵命令序列作办关联规则，并提出了一种新的入侵关联算法，该算法不仅考虑了每类主机入侵行为的序列特征，也反映了不同类型主机入侵行为之间的因果关系，体现了主机入侵行为的多样性和复杂性．实验结果表明，该入侵关联模型对各类主机入侵行为的检测效果良好，误报率明显降低，特别是下载类和信息获取类主机入侵行为的误报降低了20%左右。     

面向医疗物联网的一种行为规则入侵检测方法

物理世界的复杂性和多样性,给医疗物联网系统的安全检测带来了困难。为了解决该问题,研究了恶意攻击行为对检测行为的影响,提出了一种行为规则的入侵检测方法,可应用于医疗物联网系统。实验验证:与其它方法相比,检测率更高、生存周期更长、能量消耗更低,能够应对复杂攻击和隐蔽攻击,保障医疗物联网系统的安全性。     

一种基于RBAC的数据库入侵检测方法

由于数据库系统结构的复杂性,数据库入侵检测比主机和网络入侵检测更复杂,有更多难题需要去解决.该文提出了数据库日志的三种抽象表示法,利用SQL查询结构稳定性,使用序列模式挖掘算法提取角色的序列模式进行数据库入侵检测.同时,考虑到具体数据库系统的应用语义,该文利用数据库系统的聚类函数进行统计相关属性的改变而进行异常检测,两种方法结合起来既考虑了数据库查询结构的稳定性、通用性,又考虑了数据库系统的应用语义,试验结果证明,该综合方法和单一采用这两种方法相比,有较高的准确率,同时有较低的误报率、漏报率.     

基于数据挖掘的主机入侵行为检测

针对主机入侵行为的复杂性与正常用户行为的相似性，提出利用序列模式挖掘方法挖掘攻击者频繁使用的主机入侵命令序列，将频繁主机入侵命令转换为底层入侵检测器的检测规则，用于检测用户的可疑行为，同时为了消除误报，设计了一个基于入侵事件状态的关联引擎，将挖掘产生的频繁主机入侵命令序列作为入侵关联规则并提出了一种新的入侵关联算法。     

一种基于数据挖掘的入侵检测方法

本文提出一种基于频繁模式数据挖掘的方法,主要以主机系统日志作为数据源,对其进行频繁模式挖掘分析,实现了基于主机的入侵检测模型的设计。经实验证明,该方法能够有效侦测对主机的入侵行为。     

一种面向物联网的轻量级入侵检测方法

为了适应实时性强、资源有限类物联网应用的需求,提出一种相对于传统入侵检测方法能明显减少计算量的轻量级入侵检测方法.在训练过程中先对样本进行K-means聚类,使类内数据之间的距离最小、相似度最大;然后逐个对聚类结果进行主成分分析(principal component analysis,PCA),去除无关并保留相关性大的特征,构成该类的特征集;在检测过程中比较测试数据与训练过程中各聚美中心的欧式距离,选取最小距离对应的聚类中心,并将测试数据划归到该中心对应的聚类中;利用该类的特征集与测试数据中对应维度的数据对比来进行入侵检测,若比较结果超过阈值则报警,否则予以通过.仿真实验结果表明,该方法在明显缩短检测时间的同时,检测率可达96.8％.     

一种面向第三方测试的装备软件可信性评估方法

软件可信性评估是保障装备软件可信的重要手段。针对传统可信评估方法评估模型领域行业适应性差、模型构建科学性和规范性不足、提供的可信信息匮乏等问题,提出一种面向第三方测试的装备软件可信性评估方法。首先建立基于多维属性的软件可信性评估模型,为保证模型输入的一致性和规范性,采用统一的可信证据分析度量方法对评估模型进行约束;然后采用基于公理证明的可信融合算法对可信数据进行融合;最后根据评估过程和结果信息深入开展可信性分析,挖掘更多的软件可信信息,生成可信性增强策略和规范。应用结果表明,该方法科学性、规范性较强,评估结果准确性较高,能够有效促进装备软件可信性的提升。     

一种基于证据的软件可信性度量模型

为更全面系统地度量软件的可信性,根据客户对软件不同的主观需求将软件的可信性建立在各类证据之上,建立了一个基于证据的度量模型。模型根据系统安全保证的成功经验将可信性度量分成三个阶段,并对每个阶段定义相应的软件可信声明。通过可信架构分析,围绕可信声明收集建立证据和论据。综合收集到的信息,使用目标结构化表示法(goal-structuring notation, GSN)生成软件可信案例,由案例中声明是否被充分证明作为标准来度量软件的可信性。     

一种利用程序行为分析的rootkit异常检测方法

提出了一种基于程序行为截取与分析的rootkit异常检测方法,该方法首先捕获软件行为和检测行为痕迹,然后采用基于隐Markov模型(HMM)的异常检测算法分析所获得的行为数据,从而检查出隐藏于操作系统中的rootkit.实验结果表明,该方法能有效检测出rootkit,具有高检出率和低误报率的特点,适用于计算机操作系统内的rootkit检测.     

一种适应负载特征的入侵检测方法

针对网络环境不断变化和规则分类的不均匀问题, 提出一种既考虑规则特点又考虑负载特征的高效检测方法, 该方法能动态生成适应负载特征的规则匹配树, 并在Snort上实现. 实验结果表明, 该方法不仅可解决网络入侵检测系统(NIDS)丢包率高的问题, 而且 能极大减少每个包或事件要检测的规则集, 从而提高了检测效率.     

An approach of trustworthy software design with automatically adapting software update

In this paper,we merge software trustworthiness with software design and present an approach to trustworthy software design with an automatically adapting software update.First,software behavior and results can be expected and behavior states can be monitored when a software runs by introducing a trustworthy behavior trace on a software and inserting a checkpoint sensor at each checkpoint of the trustworthy software.Second,an updated approach of the trustworthy behavior trace for the software at the level of checkpoints is presented.The trustworthy behavior traces of the software for two versions can be merged adequately by constructing split points and merge points between two trustworthy behavior traces.Finally,experiments and analyses show that:① the software designed by our approach can detect and report the anomaly in a software automatically and effectively,so it has a higher ability of trustworthiness evaluation than the traditional software;and ② our approach can realize the accurate update of the trustworthy behavior trace with a lower space overhead of checkpoints when the software updates.     

面向软件可信优化的失信因素分析方法

软件可信性评估的目的是对软件实体的可信状态有较为全面的主观认知,最终给出优化方案。文章通过分析当今软件可信评估中尚存在的问题,对影响软件可信性的重要属性进行研究,提出了一种基于权重的失信因素分析方法,并利用其构造算法模型。研究了软件可信优化时的关键失信因素,得到各失信因素的失信度,并且得到关键失信链。     

基于误用检测与异常行为检测的整合模型

针对入侵检测中普遍存在检测率低与误报过高的问题,采用基于多维-隐马尔可夫模型的检测方法和基于Apriori算法的误用检测技术相结合的入侵检测系统(intrusion detection system,IDS)模型.新模型减少了单纯使用某种入侵检测技术时的漏报率和误报率,同时在异常检测模块中采用了隐马尔可夫与简单贝叶斯分...     

大规模互联网络的入侵检测

介绍了大规模互联网络入侵检测技术的发展现状，对网络入侵检测的体系结构，异常检测技术，响应技术，入侵检测的协同技术，网络基础设施的保护技术等热点问题进行了讨论，指出了该领域的一些发展重点。     

An unknown Trojan detection method based on software network behavior

Aiming at the difficulty of unknown Trojan detection in the APT flooding situation, an improved detecting method has been proposed. The basic idea of this method originates from advanced persistent threat (APT) attack intents: besides dealing with damaging or destroying facilities, the more essential purpose of APT attacks is to gather confidential data from target hosts by planting Trojans. Inspired by this idea and some in-depth analyses on recently happened APT attacks, five typical communication characteristics are adopted to describe application’s network behavior, with which a fine-grained classifier based on Decision Tree and Na ve Bayes is modeled. Finally, with the training of supervised machine learning approaches, the classification detection method is implemented. Compared with general methods, this method is capable of enhancing the detection and awareness capability of unknown Trojans with less resource consumption.     

入侵检测中的数据挖掘分析方法

入侵检测随着网络的发展而受到人们的重视。数据挖掘技术旨在从大量的数据中提炼出抽象的知识,揭示出蕴含在这些数据背后的客观规律,实现知识的自动获取。将数据挖掘与入侵检测结合起来能够提高入侵检测系统的智能性、准确性和检测效率。文章论述了数据挖掘分析方法在入侵检测中的应用,给出一种基于数据挖掘的入侵检测系统模型。     

复合式入侵检测方法的研究

所提出的复合式入侵检测算法是基于行为建模算法和模式匹配算法两种入侵检测算法的有效结合,其中行为建模算法扩展了基于异常的入侵检测算法,而模式匹配算法完全实现了基于特征的入侵检测算法.自适应的行为建模算法根据用户的行为和程序的行为建立合法的行为模板,而不需要任何人工干预.两种入侵检测算法能够有效的降低误报率的发生.采用Servlet Filter技术的安全代理是一个具有一定入侵分析功能的智能插件.     

基于动态模糊神经网络的入侵检测系统

针对传统的网络安全防范技术存在的缺陷和入侵检测在动态安全模型中的重要地位和作用,提出了基于模糊理论、神经网络和遗传算法结合的新方法--动态模糊神经网络,并且给出基于动态模糊神经网络的入侵检测系统构建体系.该系统在实际应用中收到了较好的效果.