Snort规则库的冲突检查

针对冲突是规则库不正确的一种表现形式,可能导致漏报和误报,对Snort规则库的冲突进行了研究.首先从一般意义上讨论了冲突的类型以及冲突检测的算法,给出了对Snort规则库的检查结果,最后分析了冲突的原因和可能的解决方法.     

基于Hough变换的大数据特征集成冲突检测建模研究

传统的大数据冲突检测方法,无法解决数据特征冲突过程中存在的震荡波动以及数据特征不明显的问题,获取的检测结果存在较大的偏差.为了提高大数据冲突检测的准确率,提出基于Hough变换的大数据特征集成冲突检测模型,通过大数据特征数据挖掘算法,获取初步冲突特征数据.采用去一划分的方法,计算采集冲突特征数据的离群性权值,参考量化后的特征冲突权值,通过选定大数据特征序列、大数据特征表达和特征数据Hough变换处理三个步骤实现大数据的特征集成,借助配置的冲突判断规则,通过大数据特征集成冲突分类输出冲突检测结果.经过对比实验发现,相比于传统的冲突检测模型,基于Hough变换的特征集成冲突检测模型检测准确率提高了13.04%.     

改进的Apriori算法在IDS中的应用

在入侵检测研究领域中,提高检测模型的检测率并降低误报率是一个重要的研究课题.提出了一种针对网络入侵检测事务流日志数据库的关联规则挖掘改进算法,它采用事务压缩和属性压缩相结合,解决了当前主流关联规则算法应用到入侵检测过程中存在的多遍扫描、大量无效规则和算法复杂度过高等问题.实验结果表明,文中所提出的方法在规则生成和对网络异常情况的检测方面都显示出比较好的性能,提高了系统效率,使其更适用于入侵检测系统.     

入侵检测规则动态生成研究

在入侵检测研究领域中,提高检测模型的检测率并降低误报率是一个重要的研究课题.本文提出了一种针对网络入侵检测事务流的实时动态规则生成方法.该方法解决了当前主流关联规则生成算法应用到入侵检测过程中存在的多遍扫描、大量无效规则和频繁集产生等问题.实验结果表明,文中所提出的方法在规则动态生成和对网络异常情况的检测方面都显示出比较好的性能,相对Snort入侵检测系统,平均提高10%左右的检测精度,克服了Snort系统在异常检测方面的局部缺陷.     

基于误用检测的数据库入侵检测系统的设计与实现

本文提出了一种数据库入侵检测模型,详细设计了系统的各个功能模块,构造了误用规则库,实现了一个基于误用检测的数据库入侵检测系统.该系统能够检测的入侵类型主要包括登录失败检测、登录检测、操作记录失败检测和操作表失败检测,同时能对检测结果进行响应.     

基于变精度粗糙集的入侵检测研究

网络行为的复杂性和动态变化使得入侵检测数据中存在大量干扰信息,入侵检测的误警率和漏警率很高,变精度粗糙集增强了粗糙集模型的抗干扰能力,适合分析不确定的数据集合。运用变精度粗糙集为入侵检测系统进行形式化描述,建立入侵检测信息系统和入侵检测模型。设计β参数调整算法,将训练数据集离散化后进行信息系统约简,然后生成入侵检测规则库,根据规则库进行入侵检测。模拟实验证明本方法具有良好的检测性能,可以适应网络行为的动态变化并检测出潜在的攻击行为。     

基于蜜罐技术的网络入侵检测系统协作模型的研究与实现

针对当前互联网中传统的入侵检测系统无法对未知攻击作出有效判断,而造成信息误报和漏报的问题,从入侵检测和蜜罐的基本特点出发,提出了一种基于蜜罐技术的网络入侵检测系统协作模型,通过引诱黑客入侵,记录入侵过程,研究攻击者所使用的工具、攻击策略和方法等,提取出新的入侵规则,并实时添加到IDS规则库中,以提高IDS检测和识别未知攻击的能力,进一步提升网络的安全性能.     

一个新的入侵检测分析模型

针对目前入侵检测系统中利用训练选取参数时运算量大的问题,提出了一种新的分析模型.新的分析模型通过改进规则探测判定权值的方法,提高了训练效率,使得入侵检测系统在有限的系统资源和训练时间的条件下可以进行更多的训练,从而降低入侵检测系统的警报错误率.     

入侵检测中字符匹配系统的FPGA实现

在入侵检测系统中,由于基于软件的字符匹配系统受处理器性能与软件串行执行等因素影响,处理速度有限,故设计并实现了基于FPGA的字符匹配系统.以硬件电路的实现方式提升处理性能,并采用了适合于FPGA运算的XORHash算法快速计算地址,从地址中取数据进行匹配,并实现数据的并行处理.通过在原有入侵规则实现逻辑上进行修正,实现规则的更新,通过预处理对冲突的模式串单独匹配解决了冲突.实验结果显示,系统的数据处理能力达到了129Gbps,为软件方法的35倍以上.当处理更多Snort规则时,系统吞吐量不受影响,资源的消耗增加很少.     

基于自适应模型的数据库入侵检测方法

提出了一种基于自适应模型数据库入侵检测方法(ASIDS).该方法基于矩阵和最小支持度函数的AprioriZ关联算法,依据在训练和自适应入侵检测阶段产生数据库的操作特征,用户根据实际需求动态调整最小支持度函数的值,更高效挖掘操作特征.结合层次聚类算法产生动态规则库,通过计算待检测数据操作特征与规则库中聚类的距离是否超过聚类间最大距离来判断异常,以避免已有检测系统中判断"边界尖锐"问题,并实时把正常操作特征归入动态规则库,通过对报警信息的关联分析降低误警率.实验结果表明,ASIDS能够实时地进行入侵检测,具有很高的检测率和较低的误警率.     

基于混合互信息的决策树入侵检测

为了提高入侵检测的准确度和速度,针对入侵规则属性相关性的特点,将属性与类间的互信息与属性间的互信息结合,提出了一种新的混合互信息的决策树分类算法.在对此算法进行了算法设计和分析的基础上,将由此算法构造的决策树分类方法对入侵规则进行组织,改变了传统的入侵规则逐条串行检测,以增加预处理时间为代价,提高了数据包的过滤速度和准确度.实验分析表明,应用该算法的入侵检测系统比使用传统方法具有更高的准确率和速度.     

基于Agent的IDS集成管理系统的研究

对多种开放源码的IDS进行分析，提出了一种IDS集成管理系统。该系统能对多种IDS实现统一原语规则配置，自动收集分布式IDS入侵信息，实现入侵规则自动发现以及入侵规则自动形成。     

snort规则语法在基于CVE特征的入侵检测系统中的应用

针对人侵检测专家系统的不足，通过对CVE标准漏洞列表进行深人的研究，采用新型规则结构及snort规则描述语法，建立基于CVE特征的人侵检测专家系统规则库，它具有结构简洁、易于更新的特点．另外，以CVE标准为建立人侵检测专家系统规则库的基准，使得人侵检测专家系统规则库升级有了可靠的国际权威标准可以依据，对人侵检测系统的标准化有推动作用．     

GEP的网络入侵检测规则约束及演化策略

针对基于演化计算的网络入侵检测存在演化过程时间和空间开销大、误警率高等问题,采用基因表达式编程(GEP)模式表示入侵检测规则,提出针对GEP入侵检测规则的约束文法,并通过增加规则约束判断及处理过程改进GEP基本演化流程,生成满足约束的入侵检测规则.最后使用KDD CUP′99 DATA对该策略进行评估,所生成规则只需2个网络属性,在测试集中检测率为89.79%,误警率为0.41%.实验结果表明:在较小种群和低演化代数内,GEP规则约束和演化策略获得的规则有效而简洁,可检测到未知入侵,在保持较高检测率的同时可获得低误警率.     

改进的时态关联规则在入侵检测中的应用

入侵检测系统的性能在很大程度上与它的检测规则有关,所以如何更快更有效地从网络数据中获取有效的检测规则对于一个IDS(入侵检测系统)来说就变得格外重要.本文在分析了传统关联规则算法缺点的基础上,对关联规则挖掘算法的优化策略和时态因素的分类处理重点进行了讨论.即在利用主属性约束最后规则的同时,提出了高频属性直接入选的策略.以更快地获取有效的入侵检测规则.实验测试结果表明,优化后的算法在挖掘速度和规则的检出率等性能上有较大提高,找到了一些原来被忽略的规则并剔除了一些不重要的规则,证明此优化算法是切实有效的.     

基于误用检测与异常行为检测的整合模型

针对入侵检测中普遍存在检测率低与误报过高的问题,采用基于多维-隐马尔可夫模型的检测方法和基于Apriori算法的误用检测技术相结合的入侵检测系统(intrusion detection system,IDS)模型.新模型减少了单纯使用某种入侵检测技术时的漏报率和误报率,同时在异常检测模块中采用了隐马尔可夫与简单贝叶斯分...     

一种基于进化神经网络的入侵检测实验系统

参照MIT Lincoln实验室的入侵检测实验方案,建立了一个基于Linux主机的入侵检测实验环境,提出了相应的入侵特征选择方案,并应用进化神经网络检测入侵,实现了对多种攻击的实时特征抽取及检测。实验表明：系统设计合理,特征抽取及检测方法有效,能较好地检测已知和未知入侵。     

基于数据挖掘技术的网络入侵检测系统

提出了一种基于数据挖掘技术建立入侵检测系统的方法。研究了如何在入侵检测中对审计数据进行数据挖掘，从系统审计数据中提取出描述正常和异常行为的特征和规则，从而建立攻击检测模型，并提出了全套步骤。