一种基于主动专家系统的分布式入侵检测开放模型

基于主动专家系统的入侵检测系统采用专家知识和推理机制,克服简单模式匹配的弱点,利用主动功能、安全专家知识和有效的推理,判断入侵行为的发生,本文提出了一个基于主动专家系统的分布式式入侵检测系统的开放模型。该模型利用主动数据库和主动知识库的主动功能来实现入侵检测智能分析。并采用分层的思想,可以有效集成各种主机入侵检测系统,实现开放分布式智能入侵检测系统。     

网络入侵诱控平台模型的研究与设计

网络入侵诱控可以对入侵行为进行检测、分析甚至进行主动控制。文章提出一种新型的网络入侵诱控平台模型—HoneyGate,利用虚拟诱骗技术实现网络诱骗、主机诱骗和动态配置功能于一体,并对模型的设计与实现方法进行了论述。     

大规模入侵检测体系下追踪机制的设计与实现

在大规模网络环境下，追踪恶意主机及其真实位置，对于整体网络的安全防御十分重要。因此，在大规模入侵检测系统中，利用各级控制中心的自动响应和处理功能，设计和实现了基于存储转发技术的追踪机制。测试表明，该机制可以有效地追踪和定位恶意主机的口地址，进一步完善了大规模入侵检测系统的监控功能。     

基于Linux系统调用的入侵检测传感器研究

分析了 Linux 操作系统调用信息在主机入侵检测系统中的应用;阐述了主机入侵检测系统 Host Keeper 中基于 Linux 系统调用传感器的原形框架、相关软件设计和实现方法,并着重探讨了用于二级系统调用的内核可加载模块传感器的实现。通过内核可加载模块传感器对系统运作关键数据信息的检测,以保证主机系统的安全。     

基于多代理的协同分布式入侵检测系统模型

给出了一种基于多代理的协同分布式入侵检测系统模型（CDIDS），该模型依靠基于主机的代理HIDA和基于网络的代理NIDA，运用异常检测与特征检测相结合的方式进行有效的入侵检测；在分布式的网络环境下，系统通过入侵检测控制中心实现检测／响应模块的协同工作，为单个主机的攻击与大规模的网络入侵提供应对策略，并采用协议分流的方式提高NIDA模块的性能。     

Web数字取证系统的研究与实现

通过对当前信息安全的分析,数字取证已成为信息安全和司法领域的研究热点.文中在分析现有Web攻击的基础上,综合利用基于主机和网络的入侵检测技术,开发出一套高效实用的Web数字取证系统.该系统通过取证代理不断监视和分析网络中对Web服务器的访问情况,在保护Web服务器安全的基础上,确定网络入侵者的行为是否已构成犯罪,然后提取和分析入侵犯罪信息,实现证据信息的完整性保护,同时通过对证据进行融合,生成入侵犯罪证据.     

网络入侵检测技术研究

入侵检测是保护网络信息安全的重要途径。文章简要介绍了入侵和入侵检测的概念，以及入侵检测系统所具有的功能，并对4种主要的入侵检测方法进行了分析，重点阐述了一种适用于中小型网络环境的基于网络和主机相结合的入侵检测技术。     

一种基于数据挖掘的入侵检测方法

本文提出一种基于频繁模式数据挖掘的方法,主要以主机系统日志作为数据源,对其进行频繁模式挖掘分析,实现了基于主机的入侵检测模型的设计。经实验证明,该方法能够有效侦测对主机的入侵行为。     

基于数据挖掘的主机入侵行为检测

针对主机入侵行为的复杂性与正常用户行为的相似性，提出利用序列模式挖掘方法挖掘攻击者频繁使用的主机入侵命令序列，将频繁主机入侵命令转换为底层入侵检测器的检测规则，用于检测用户的可疑行为，同时为了消除误报，设计了一个基于入侵事件状态的关联引擎，将挖掘产生的频繁主机入侵命令序列作为入侵关联规则并提出了一种新的入侵关联算法。     

移动代理在入侵检测中的应用

基于移动代理的入侵检测把入侵检测系统的各种组成构件用移动代理来实现,使得整个系统的构件是可以跨主机移动的,并提出了一个基于移动代理技术的入侵检测试验系统     

网络入侵预警系统

随着计算机系统的互联,特别是通过Internet将各种计算机进行互联,大大拓展了信息资源共享空间和时间,并提高了其利用率,同时,也给计算机网络系统的安全性带来了前所未有的挑战 要实现系统的安全策略,一个有效的方法是用网络人侵预警系统来监视网络的安全 本文讨论了组成网络入侵预警系统的各个模块及实现它的技术细节,尤其是在分析数据包模块中如何匹配黑客攻击方法上,提供了详细的说明 这样,当新的黑客攻击方法出现时,整个系统只需将新的攻击方法添加到攻击规则数据库中去,而不需更改其他部分代码 .此系统能够提供关于网络数据流的详尽审计报告,并且它是被动的监听,不易被发觉.     

一种分布式入侵检测系统的实现

由于TCP／IP协议是一个开放的协议，因此网络极易受到攻击。为了能够有效地检测到入侵行为，提出了一种基于部件的分布式入侵检测系统，并结合网管软件系统的开发，在Linux环境下进行了实现。系统主要由控制台、分析系统、存储系统、响应系统、网络引擎和主机代理构成。通过协同工作并采用改进了的Boyer—Moore算法，检测网络入侵行为，有效地维护了信息网络的安全。     

IPV6下基于移动Agent的入侵检测系统研究

在分析传统入侵检测系统的基础上,将移动Agent技术融入入侵检测系统．结合IPV6协议自身的特点,提出了IPV6下基于移动Agent的入侵检测系统模型,并对系统中关键模块进行了详细描述．该系统可以通过移动Agent在主机之间自主迁移分析数据,并及时发现入侵行为．实验证明,该系统具有良好的安全防御性能．     

主机特征信息被动识别的研究与实现

被动主机信息识别是指通过嗅探发现的方式获取主机的特征信息,主要有旗帜和指纹识别两种方法。主机特征信息是对网络环境下设备的特征描述,而被动方式有对环境影响小的优点。通过结合两种方法完成了被动主机特征信息的实现,为其他网络安全方向的研究提供了数据准备。特别是可以用以对网络入侵检测系统进行改进。     

基于P2P的协作式入侵检测系统研究与设计

目前分布式入侵检测系统是目前入侵检测乃至整个网络安全领域的热点之一.P2P网络中的对等主机能够有效的共享资源和协同合作,因此本文将P2P技术应用到入侵检测系统中,实现了入侵检测任务的完全分布化,使得系统各单元之间不存在固定和层次化的从属关系,各单元可主动要求其它单元协助以完成检测任务,并且不会因为单个节点的崩溃而导致系统的瘫痪,在一定程度上能够快速预防网络入侵.     

一种基于RBAC的数据库入侵检测方法

由于数据库系统结构的复杂性,数据库入侵检测比主机和网络入侵检测更复杂,有更多难题需要去解决.该文提出了数据库日志的三种抽象表示法,利用SQL查询结构稳定性,使用序列模式挖掘算法提取角色的序列模式进行数据库入侵检测.同时,考虑到具体数据库系统的应用语义,该文利用数据库系统的聚类函数进行统计相关属性的改变而进行异常检测,两种方法结合起来既考虑了数据库查询结构的稳定性、通用性,又考虑了数据库系统的应用语义,试验结果证明,该综合方法和单一采用这两种方法相比,有较高的准确率,同时有较低的误报率、漏报率.     

Ad Hoc网络的一种入侵检测模型

对Ad Hoc网络的路由安全性问题进行了研究,提出了一种分布式网络协作入侵检测模型,该模型建立在路由协议之上,针对不同的路由协议,分析其安全漏洞,总结攻击行为的判定规则,进行本地入侵检测;在此基础上,以多点协作的联合检测机制提高检测的正确率;并从节省网络资源的角度对入侵检测模型进行优化配置.以AODV路由协议为例介绍了该模型的工作机制,利用仿真软件NS2搭建网络仿真平台进行仿真实验,结果表明,该检测模型能更好地保障网络安全.     

基于Snort传感器的分布式入侵检测系统在校园网络中的实验测试

在校园网中部署基于Snort传感器的分布式入侵检测系统,并进行后门木马Bdoor攻击实验测试,以检测系统是否能主动、实时地全面防范一系列的网络攻击。实验测试结果显示,基于Snort的分布式入侵检测系统可以有效检测出校园网络中由于网络攻击带来的安全问题。     

基于管理代理的分布式入侵检测系统设计

将网络管理系统与入侵检测系统相结合,建立基于管理代理的分布式入侵检测系统框架结构。研究管理代理的自治性、协同性以及管理代理间消息通信机制,建立管理代理的功能结构,设计基于遗传算法的调度Agent算法。从网络的各个层次分析管理信息库中与入侵检测有关的管理对象,建立检测规则库。完成分布式多层次结构化的具有自安全性的入侵检测系统的开发,达到管理代理对网络和主机监听目的。研究结果表明:根据攻击的本质特征,使用从管理信息库的统计数据中获取检测规则的方法,能有效实现对隐蔽和复杂攻击的检测。