变分自编码器和注意力机制的异常入侵检测方法

针对传统的机器学习算法在检测未知攻击方面表现不佳的问题,提出了一种基于变分自动编码器和注意力机制的异常入侵检测方法,通过将变分自编码器和注意力机制相结合,实现使用深度学习方法从基于流量的数据中检测异常网络流量的目标。所提方法利用独热编码和归一化技术对输入数据进行预处理;将数据输入到基于注意力机制的变分编码器中,采集训练样本中隐含特征信息,并将其融入最终潜变量中;计算原始数据与重建数据之间的重建误差,进而基于适当的阈值判断流量的异常情况。实验结果表明,与其他入侵检测方法相比,所提方法明显改善了入侵检测的精度,不仅可以检测已知和未知攻击,而且还可以提高低频次攻击的检测率。     

基于关系事件的网络复杂攻击检测技术研究

应用传统的入侵检测方法无法实现对网络复杂攻击的检测,传统检测算法的重点在于观测独立事件或独立用户的行为特征,缺乏对事件之间相互作用关系的考量和分析,而复杂攻击可供检测的显性特征就在于事件间的关联特征.提出了一种基于复杂攻击子事件和子事件关系的检测方法,通过复杂攻击的检测范例,证明了该方法的有效性.     

一种基于规则和神经网络的系统在入侵检测中的应用

入侵检测技术是解决网络安全的一种有效手段。文中提供一个基于规则和神经网络系统的入侵检测模型。主要思想是利用神经网络的分类能力来识别未知攻击,使用基于规则系统识别已知攻击。神经网络对DOS和Probing攻击有较高的识别率,而基于规则系统对R2L和U2R攻击检测更有效。因此该模型能提高对各种攻击的检出率。最后对模型存在的问题及入侵检测技术的发展趋势做了讨论。     

对象监控的协同入侵检测

 分析现有入侵检测技术存在的问题,主要在于数据的获取及检测方法上。据此,提出了一种解决这些问题的新途径,就是紧紧抓住入侵检测的本质问题,从对象分类入手,给出了一个协同入侵检测模型,描述了该模型的各个部件。设计了入侵事件检测代理及融合中心,重点阐述了如何应用场景与自动机技术,将检测一个入侵的方法扩展到检测一类入侵的问题,对可序列化的攻击,文章提出的检测方法能检测其变种攻击。实验检验了方法的有效性。     

一种基于可拓距的特征变换方法及其在网络入侵检测中的应用

作为识别攻击或异常行为以保护网络安全的重要步骤之一,网络入侵检测常常与数据挖掘或机器学习技术结合应用.如今,随着网络数据的爆炸性增长,传统的入侵检测技术面临着海量数据检测处理的问题,现有入侵检测系统往往难以同时满足实时性和有效性的需求.本文尝试将可拓学中的可拓距概念引入网络入侵检测研究中,提出了一种基于可拓距的特征变换方法,将数据点的原特征映射为簇外中心距和簇内可拓距这两大部分,根据原始数据多维特征生成新的特征,以达到特征降维的目的,旨在同时满足网络入侵检测系统的实时性和有效性的需求.本文使用KDD CUP 99作为仿真数据集测试所提出的基于可拓距的方法在网络入侵检测特征变换中的应用效果.实验结果表明,较之传统的KNN算法,基于可拓距的方法明显地减少了检测时间,而同时其检测率的下降可以控制在1%之内,具有较好的时效性优势.     

一种基于多分类支持向量机的网络入侵检测方法

构造了一种基于异构数据距离的径向基核函数，可直接应用于异构的网络数据，并利用实验数据得到修正的基于异构数据距离的径向基核函数(I-HVDM-RBF)，从而减少了支持向量的个数，降低了运算量，采用I-HVDM-RBF核函数和一对一方法构造了多分类支持向量机来进行网络入侵检测，检测选用美国国防部高级研究计划局入侵检测评测数据，结果表明：与Ambwani方法比较，其检测精度提高了约3％，支持向量个数减少了268个，检测时间缩短了5min；与Lee方法比较，其拒绝服务攻击、远程到本地攻击和普通用户到超级用户攻击的检测精度分别高出73％、19％和3％。     

一种面向特定网络服务的异常检测方法

通过对入侵检测技术以及攻击种类的分析,发现常用的网络流量模型和简单的应用模型不能很好地检测R2L(Remote to Local)和U2R(User to Root)两类攻击.为此,提出一种面向特定网络服务的异常检测方法,考虑了特定网络服务的负载知识,结合信息论相关理论和n-gram分析方法,对正常服务请求报文的类型、长度、负载分布建立模型,对检测对象计算其特征异常值,有效检测R2L和U2R两类攻击.将该方法与误用检测结合,能有效提高入侵检测的准确性.     

入侵容忍技术在身份认证系统中的应用

结合SITAR分布式入侵容忍体系结构和ITPAS密码认证体系统的特点,提出了一个具有入侵容忍功能的分布式密码认证系统模型,并在设计中考虑了冗余、多样性、代理、共享秘密和分布式入侵检测等技术,以求解决认证服务的入侵容忍问题和密码数据库的防字典攻击问题。     

网络入侵检测系统的拒绝服务攻击的检测与防御

针对网络入侵检测系统的拒绝服务攻击(DOS)具有难于检测与防御的特点，提出了一种新颖的检测与防御算法。该算法通过分析告警的频率与分散度来检测DOS攻击，并采用分阶段切换的方式将状态检测由正常模式转为紧急模式，丢弃不属于正常TCP会话的数据包，以实现对DOS的防御。性能分析和实验结果表明，该算法能够及时发现、防御DOS攻击，有效地阻止DOS攻击所造成的系统破坏。     

基于免疫多样性的分布式入侵检测算法

提出了一种基于免疫多样性的分布式入侵检测方法，将支持向量机（SVM）作为抗体对入侵行为进行检测．首先，采用随机子空间方法生成多样化的SVM个体，再用人工免疫算法进化个体，然后通过引入Q统计量和互信息作为抗体多样性的度量，由此得到的检测器种群具有知识互补性，最后用集成的思想将种群中各检测器的结论进行合成．数值实验表明，所提方法生成的抗体更具多样性，检测精度高于单个SVM和Bagging方法，其分布式并行检测特性有利于加强检测系统的健壮性．     

基于模糊Petri网的协同入侵检测系统

为将不同类型的入侵检测器组织起来,协同检测不同类型的入侵,提出了基于模糊Petri网的协同入侵检测方法.采用基于负载信息的模糊Petri网推理算法,区分不同类型的入侵并选择相应的入侵检测器,同时使多个入侵检测器承担的检测任务相对均匀.设计了基于模糊Petri网的协同入侵检测系统,通过多个入侵检测器联合检测多种入侵组成的复合入侵,又可以检测不同类型的单个入侵.仿真结果表明,所有的复合入侵能够被多个检测器协同地检测,且92%的入侵数据能够迁移到合适的检测器上.     

深度防卫的自适应入侵检测系统

为了全面检测黑客入侵和有效提高检测精度,提出了一种深度防卫的自适应入侵检测系统模型.该模型按照黑客入侵对系统影响的一般顺序,使用不同方法对网络行为、用户行为和系统行为3个层次涉及到的网络数据包、键盘输入、命令序列、审计日志、文件系统和系统调用进行异常检测,并利用信息融合技术来融合不同检测器的检测结果,从而得到合理的入侵判定.在此基础上,提出了系统安全风险评估方法,并由此制定了一种简单、高效的自适应入侵检测策略.初步实验结果表明,所提的深度防卫自适应入侵检测模型能够全面、有效地检测系统的异常行为,可以自适应地动态调整系统安全与系统性能之间的平衡,具有检测精度高、系统资源消耗小的优点.     

自适应滤波实时网络流量异常检测方法

针对网络中的各种常见攻击,提出一种基于自适应滤波的网络流量异常检测方法.首先对多种流量指标进行递推最小二乘法预测,然后以预测误差所构造的统计量容许范围进行异常检测,最后对检测结果实施归一化评估.该方法具有无需任何历史训练数据、能大量减少报警次数、突出报警严重程度的特点.在DARPA入侵检测评估数据集上的实验表明,所提方法更适合检测拒绝服务攻击引起的异常,较之相同权向量下的同类方法,其异常检测率、误报率和检测速度等性能更好.     

Intrusion detection using rough set classification

Recently machine learning-based intrusion detection approaches have been subjected to extensive researches because they can detect both misuse and anomaly. In this paper, rough set classification (RSC), a modern learning algorithm, is used to rank the features extracted for detecting intrusions and generate intrusion detection models. Feature ranking is a very critical step when building the model. RSC performs feature ranking before generating rules, and converts the feature ranking to minimal hitting set problem addressed by using genetic algorithm (GA). This is done in classical approaches using Support Vector Machine (SVM) by executing many iterations, each of which removes one useless feature. Compared with those methods, our method can avoid many iterations. In addition, a hybrid genetic algorithm is proposed to increase the convergence speed and decrease the training time of RSC. The models generated by RSC take the form of "IF-THEN" rules, which have the advantage of explication. Tests and comparison of RSC with SVM on DARPA benchmark data showed that for Probe and DoS attacks both RSC and SVM yielded highly accurate results (greater than 99% accuracy on testing set).     

基于神经网络的程序异常监测

针对传统入侵检测系统的不足,研究了基于反向传播神经网络的程序异常检测方法,提出了一个改进的利用多层前馈网络的预测功能和异常区域判定方法检测系统异常的算法.详细讨论了算法的基本原理、数学基础、设计和实现方法.通过实验,分析算法的优缺点,验证了算法的可行性和有效性.     

Novel Model for Intrusion Detection

0　ＩｎｔｒｏｄｕｃｔｉｏｎＴｈｅｅｘｐｌｏｓｉｖｅｄｅｖｅｌｏｐｍｅｎｔｏｆＩｎｔｅｒｎｅｔｈａｓｍａｄｅｉｔｓｓｅｃｕｒｉｔｙａｎｉｎｔｅｒｎａｔｉｏｎａｌｆｏｃｕｓ.Ｉｎｔｒｕｓｉｏｎｄｅｔｅｃｔｉｏｎｈａｓｂｅｃｏｍｅａｎｉｍｐｏｒｔａｎｔｆｉｅｌｄｏｆｒｅｓｅａｒｃｈｂｅｃａｕｓｅｏｆｉｎｅｘｉｓｔｅｎｃｅｏｆｃｏｍｐｌｅｔｅｌｙ ｓｅｃｕｒｅｓｙｓｔｅｍ .Ｔｏｄａｙ ,ｍａｎｙＩＤＳｓｕｓｅｒｕｌｅ ｂａｓｅｄｅｘｐｅｒｔｓｙｓｔｅｍｔｏｄｅｔｅｃｔｉｎｔｒｕｓｉｏｎ ,ｔｈｅｙｅｎｃｏｄｅ…     

基于 PCA 和 ELM 的网络入侵检测技术

针对基于传统 BP(Back Propagation)神经网络算法的入侵检测技术收敛速度慢和检测率不高的问题, 提 出了一种基于主成分分析(PCA: Principal Component Analysis)和极限学习机(ELM: Extreme Learning Machine ) 算法相结合的入侵检测方法。 对提取的特征矩阵采用了 PCA 降维, 并使用 ELM 算法对 4 类常见的攻击类型进 行了多分类检测。 实验结果表明, 该方法正确率高达 98. 337 5%, 检测时间仅 1. 851 7 s, 与传统方法相比缩短 了 2 ~6 倍, 同时还提高了检测率和精度, 降低了误报率和漏报率。 最终改善了正确率、 误报率、 漏报率、 检测 率、 精度和测试时间 6 项指标。     

一种基于进化神经网络的入侵检测实验系统

参照MIT Lincoln实验室的入侵检测实验方案,建立了一个基于Linux主机的入侵检测实验环境,提出了相应的入侵特征选择方案,并应用进化神经网络检测入侵,实现了对多种攻击的实时特征抽取及检测。实验表明：系统设计合理,特征抽取及检测方法有效,能较好地检测已知和未知入侵。     

两种基于统计的入侵检测技术

异常检测是防范新型攻击的基本手段.使用两种基于统计的异常检测技术检测网络入侵,一种是基于最大熵原理先从理论上得到正常用户行为的概率分布,然后再设定检测阈值;另一种是基于K-近邻算法,该算法不需要预先知道分布,也能很好地完成异常检测的任务.最后使用DARPA 99的部分入侵测试数据对两种方法进行了测试,并对它们的优缺点进行了比较.     

一种将免疫算法应用于入侵检测的模型

基于单纯模式匹配的入侵检测系统都存在不能对未知入侵行为进行预判的问题。文章提出了在入侵检测的系统中,加入免疫算法的原理的一种新的入侵检测的模型,并阐述了各个模块的功能以及模型实现和工作的原理。将免疫算法应用于入侵检测系统将能使入侵检测系统有一定的概率能够识别未知的入侵行为。