基于FP-Growth算法及补偿性入侵证据的攻击意图识别

针对现有方法的入侵证据单一,系统资源消耗大及最终结果不准确等问题,提出了一种新的攻击意图识别方法.将IDS的告警事件与其他安全工具如扫描器等的数据相融合,构成补偿性入侵证据,并在此基础上使用贝叶斯网络构建攻击场景;使用FP-Growth算法从攻击场景中挖掘出频繁攻击模式;最终将产生的频繁攻击模式关联以重构攻击路径,从而推断最可能的攻击意图.实验结果表明,该方法可准确识别攻击意图并有效节省系统资源.     

基于部分可观测马尔可夫决策过程的网络入侵意图识别研究

作为一种主动的信息安全保障措施,入侵检测已经成为计算机安全特别是网络安全领域的研究热点,出于对入侵检测的回避,入侵行为也逐渐表现为智能化、分布式的特点.将人工智能技术、机器学习技术引入入侵检测以增强入侵检测系统的能力已经成为工业界和学术界关注的课题.本文将入侵和入侵检测建模为利益对立的2个多Agent系统,认为入侵行为是按照既定的目标制定攻击计划,在此场景下,入侵检测的核心就应该是根据对手的攻击行为预测出其攻击意图,这是个典型的意图识别问题,这意味着应该将对手思维建模技术和计划识别思想引入入侵检测中来.考虑到对手在实际的动作过程中会根据实际情况随时调整自己的战略部署,因此不能将此问题直接建模为传统的KEY-HOLE观察问题.本文从入侵者的角度出发,引入部分可观测马尔可夫决策过程作为在环境状态和行动效果都不确定的条件下,通过一系列决策达到最优目标的数学模型,从而达到入侵意图识别的目的.最后,本文在DARPA测试数据集上的实验结果证明了方法的有效性.     

基于入侵检测的网络安全态势评估技术

网络安全态势感知可以对当前网络状态进行分析并对发展趋势进行预测. 入侵检测系统作为态势感知中安全要素的来源,其准确性影响着网络安全的评估. 攻击图可以筛选出关键节点并枚举可能的攻击路径,已成为风险评估的主要方法. 因此将两者结合,提出了一种基于入侵检测的网络安全态势评估技术. 首先对入侵检测系统的检测率进行了提升,然后利用攻击图结合隐马尔可夫模型(HMM)来进行网络安全评估. 实验结果表明,该方法可以有效地推测攻击意图,更直观、全面地反映结果.     

入侵检测的规划识别模型研究

将AI领域中的规划概念引入入侵检测,建立了入侵检测的规划识别模型,采用因果告警关联分析和贝叶斯网推理模型实现规划识别,以找回因入侵检测自身的检测策略不足和网络覆盖范围漏洞而丢失的关键告警,重新构建了实际的攻击场景,并能预测攻击者的下一步行为或攻击意图,从而起到了提前预警的作用．     

云计算环境中移动网络低匹配度异质信息入侵感知预测算法

针对传统灰色神经网络组合预测算法对网络中入侵信息预测时, 缺乏对低匹配度异质信息的预处理过程, 未对信息入侵攻击意图进行预测, 存在预测准确率低以及入侵防御性能差等问题, 提出一种新的云计算环境中移动网络低匹配度异质信息入侵感知预测算法, 通过灰色模型对初始网络低匹配度异质信息进行预处理. 先采用基于元路径的低匹配度异质信息入侵感知预测算法得到入侵攻击意图矩阵, 再根据该矩阵获取入侵攻击意图函数关系, 实现低匹配度异质信息入侵攻击意图预测. 仿真实验结果表明, 该算法可全面预测信息入侵的意图和过程, 对入侵信息节点防御成功率约为85%, 误警率和漏警率较低, 并具有较高的预测精度.     

云计算环境中移动网络低匹配度异质信息入侵感知预测算法

针对传统灰色神经网络组合预测算法对网络中入侵信息预测时, 缺乏对低匹配度异质信息的预处理过程, 未对信息入侵攻击意图进行预测, 存在预测准确率低以及入侵防御性能差等问题, 提出一种新的云计算环境中移动网络低匹配度异质信息入侵感知预测算法, 通过灰色模型对初始网络低匹配度异质信息进行预处理. 先采用基于元路径的低匹配度异质信息入侵感知预测算法得到入侵攻击意图矩阵, 再根据该矩阵获取入侵攻击意图函数关系, 实现低匹配度异质信息入侵攻击意图预测. 仿真实验结果表明, 该算法可全面预测信息入侵的意图和过程, 对入侵信息节点防御成功率约为85%, 误警率和漏警率较低, 并具有较高的预测精度.     

基于攻击路径图的入侵意图识别

为了预测攻击者高层次的攻击目标,感知网络的安全态势,提出入侵意图识别方法.给出入侵意图的概念及其分类,提出一种基于层次化的攻击路径图.利用攻击路径图对攻击者的意图可达性、意图实现概率、意图实现的最短路径和攻击路径预测进行定量分析.应用有向图的最小割理论制定防护措施阻止攻击者意图的实现,为管理员的决策提供依据.实验验证了该方法的可行性和有效性.     

基于深度学习的网络入侵检测研究综述

互联网的不断发展与广泛使用给网络用户带来了极大的方便,但同时也使得网络安全形势变得越来越严峻.传统的基于签名的入侵检测方法难以应对日益增多的加密攻击检测和零日攻击检测问题.在过去的几年里,人们对基于深度学习的入侵检测技术给予了极大的关注.文章通过广泛的文献调查,介绍了利用深度学习技术进行网络异常检测的最新工作:①总结了网络入侵检测常用的输入特征和相关预处理操作;②概括了几种常见的深度学习模型及其特点,并结合输入特征讨论了各个模型的选择方法;③总结了深度学习方法能够解决的几种常见的入侵检测问题;④讨论了利用深度学习进行入侵检测时仍然存在的若干挑战与问题.     

基于蜜罐技术的网络入侵检测系统协作模型的研究与实现

针对当前互联网中传统的入侵检测系统无法对未知攻击作出有效判断,而造成信息误报和漏报的问题,从入侵检测和蜜罐的基本特点出发,提出了一种基于蜜罐技术的网络入侵检测系统协作模型,通过引诱黑客入侵,记录入侵过程,研究攻击者所使用的工具、攻击策略和方法等,提取出新的入侵规则,并实时添加到IDS规则库中,以提高IDS检测和识别未知攻击的能力,进一步提升网络的安全性能.     

一种基于规则和神经网络的系统在入侵检测中的应用

入侵检测技术是解决网络安全的一种有效手段。文中提供一个基于规则和神经网络系统的入侵检测模型。主要思想是利用神经网络的分类能力来识别未知攻击,使用基于规则系统识别已知攻击。神经网络对DOS和Probing攻击有较高的识别率,而基于规则系统对R2L和U2R攻击检测更有效。因此该模型能提高对各种攻击的检出率。最后对模型存在的问题及入侵检测技术的发展趋势做了讨论。     

面向服务的容忍入侵方法与设计

分析了入侵与故障的区别,指出在安全领域直接使用容错方法将存在模型上的不可行性.提出了一种面向特定服务的容忍入侵方法,这种方法关注的是入侵的结果而不是入侵本身,即在保证系统功能连续的情况下,利用门限密码以及大数表决等技术检测入侵的存在,然后用容错技术重构和恢复受攻击的系统.详细介绍了这种面向特定服务的容忍入侵方法的信任模型、系统架构及设计,讨论了有关的几个研究方向.     

数据挖掘方法在入侵检测系统中的应用

任何一种检测方法都不能检测出所有入侵行为,一个完善的入侵检测系统应该是多种检测手段的综合运用.本论文的研究目标是借用数据挖掘技术探寻一种检测方法,使之有效识别已知入侵,并具备对未知类型数据的检测能力.实验证明,该方法对扫描与拒绝服务两种攻击类型具有理想的检测效果.     

基于Snort和Netfilter的入侵防御系统

作为网络安全领域的两大技术。入侵检测系统与防火墙仍然存在一些自身无法解决的问题。当前的入侵检测系统对于较为复杂的攻击缺乏有效的应对和阻断能力，而防火墙则缺乏针对各种攻击的灵活的过滤策略。本文将防火墙技术和入侵检测系统结合。并对系统进行详细说明。     

基于入侵检测和攻击图的动态风险评估技术

入侵检测技术只能在网络受到攻击后才能发现攻击行为,是一种被动防御方法,对未知的攻击行为无法做出响应.攻击图在大多数情况下实现的是在一个固定的评估场景下进行静态的风险评估,而对于目前复杂多变的网络环境,静态评估已经不能满足当今状况下网络安全的需求.基于此将入侵检测和攻击图结合,提出了一种动态风险评估技术.首先对入侵检测系统(IDS)的检测率进行了提升,保证生成日志的准确性,然后结合攻击图中的拓扑和脆弱性信息,用隐马尔可夫模型(HMM)来进行网络安全评估,最后在实验部分表明了方法的准确性.     

面向安全态势的权限有效性定量评估方法

针对安全态势评估领域的权限有效性评估指标, 融合网络流量、入侵检测系统(IDS)报警和扫描信息, 提出一种全新的权限有效性定量评估方法.该方法将用户权限作为安全目标, 基于网络会话构建威胁用户权限的入侵迹, 并使用Markov数学模型度量安全目标失败的平均入侵代价, 进而定量评估权限有效性. 实验结果表明,当系统遭受缓冲区溢出攻击时, 权限有效性指数接近于0.该方法能够实时评估缓冲区溢出攻击对系统权限有效性的威胁,有效监控黑客行为引起的系统安全态势变化. 与其他评估方法相比, 该方法考虑了报警之间的因果关系,降低了IDS误报以及无效入侵信息对安全态势评估精度的影响, 有助于管理员了解黑客入侵步骤、决策系统安全状况以及识别高危险的入侵路径.     

基于应对规划的入侵防护系统设计与研究

把应对规划引入到入侵防护系统中,提出了一种基于应对规划的入侵防护模型.在分析规划识别在入侵检测中的应用的基础上,通过把规划识别应用于入侵检测和智能规划用于入侵响应,提出了一种有机结合入侵检测和响应的入侵防护系统,并对该系统的系统架构、应用方案、技术特色等进行了深入的研究.新的入侵防护系统具有知识共享性、响应针对性、学习自主性和防护立体性等优点.     

基于攻击模拟的网络安全风险分析方法研究

提出了一种基于攻击模拟的网络安全风险分析方法.在提取目标系统及其弱点信息和攻击行为特征的基础上,模拟攻击者的入侵状态改变过程,生成攻击状态图,并给出其生成算法.利用攻击状态图识别出了潜在的威胁及其所涉及的主体、客体和行为,经过定量评估得到各种入侵路径的风险程度,为分析风险状况和制定风险控制策略提供了依据.通过典型实验环境,验证了该模型的实用性及有效性.     

基于蜜罐与入侵检测技术的安全云架构方案

云计算由于通过因特网提供公共资源般的计算存储服务,而使之暴露于各种网络入侵威胁中。搭建安全云架构以提高云服务的安全性是云安全的首要任务。入侵检测是一种被动防御技术,擅长实时识别已知攻击模式,对未知异常行为的误判率较高。蜜罐是一种主动防御技术,它通过提供虚假信息、系统或网络环境,诱使攻击方实施攻击,从而了解攻击行为并做出相应处理,有利于发现新攻击手段及态势。将入侵检测和蜜罐技术融合到云架构Eucalyptus的方案,可使云端更加安全可靠。     

一个基于复合攻击路径图的报警关联算法

入侵检测系统作为保护计算机系统安全的重要手段其应用越来越广泛,然而随之产生的大量原始报警事件也带来了新的问题:数量巨大、误报警多、重复报警多,影响了对入侵检测系统的有效利用.针对此问题,警报关联技术成为网络安全研究的一个热点问题,研究者尝试对低级的报警信息进行关联,从而达到降低误报率的目的.本文提出一个基于复合攻击路径图的报警关联算法,使用报警信息在攻击中所处的攻击阶段并将其关联起来构建攻击场景从而达到揭示隐藏在大量攻击事件背后的入侵真实意图.该模型先对报警信息进行预处理,匹配到知识库中对应的攻击阶段,然后再将攻击链接起来,根据攻击路径图的权值计算对应主机的受威胁程度,并决定是否报警.该模型可以实现对报警信息的实时处理,并能重现攻击行为的实施路径,最后通过实验证明了该算法的有效性.     

基于支持向量机方法的网络入侵检测实验研究

网络信息不断增加和攻击手段日益复杂,给网络安全领域带来了日益严峻的挑战.为了改善网络入侵检测技术现状,提出了一种基于支持向量机和决策集合理论融合的网络入侵检测方法,通过对规则信息、攻击信息、边界信息的准确界定完成检测过程.选取了基于神经网络的入侵检测方法、基于遗传算法的入侵检测方法、基于传统支持向量机的入侵检测方法作为对比算法,在K-Cup测试数据集下展开实验研究.实验结果表明,该文提出的方法具有更高的召回率、精确率、查准率和更低的误检率,其性能明显优于其他3种方法,可应用于入侵检测领域.