异常入侵检测系统虚警率问题研究

入侵检测系统的虚警率影响检测结果的可信性.通过分析入侵检测系统的可信问题及异常入侵检测系统的虚警率问题,提出了降低虚警率的方法:基于进程检测行为的入侵检测方法、多检测系统协作工作模式.重点描述了基于人工免疫思想,动态构建正常系统轮廓,抑制虚警率的方法,并对其进行了仿真实验.实验表明,本方法可以提高检测效率,有效降低系统虚警率.     

入侵检测系统的可信问题

首先讨论了当前入侵检测系统存在的信任危机的原因，并得出结论：若希望入侵检测系统的报警可信概率超过50％，必须使虚警率低于入侵发生的先验概率．接着论述了在异常检测系统和滥用检测系统中产生虚警的原因．最后结合研发的AIIDs系统讨论了抑制虚警可能采取的方法，重点讨论了用隐马尔可夫模型过滤系统调用数据以增加相对条件熵的方法和根据入侵的定义以及来自免疫系统机理的启发，建立了协同信号机制而遏制虚警的方法.     

免疫AIDS虚警率问题研究

降低虚警率是异常入侵检测系统（AIDS）的一个主要目标。分析了AIDS虚警率问题产生的主要原因,提出了一种基于人工免疫思想,动态构建正常系统轮廓,抑制虚警率的方法。给出了生物免疫系统与AIDS的映射关系,建立了自体动态描述、抗体的动态演化和淘汰机制,并进行了仿真和对比实验。理论分析和实验结果表明该方法可有效降低系统虚警率。     

利用弱点评估提高入侵检测系统性能的分析与实现

当前的入侵检测系统存在的虚警问题和报警量过大的问题严重影响了在实际中的应用效果。分析了系统弱点与入侵之间的关系,提出了弱点信息与入侵检测报警信息的关联的表示方法,给出了利用它们之间的关联提高入侵检测系统性能的实现框架。     

基于序列分析的报警综合处理研究

针对入侵检测系统的报警数量多的问题,文章详细介绍了怎样用序列分析的方法处理入侵检测系统的报警数据,使之只产生能反映入侵重要特征的报警。简要介绍了序列分析的方法,说明了报警分析算法,对报警进行了分类。给出了基于序列分析的报警分析模型,它包括两个代理:学习代理和检测代理。最后针对报警数据进行了仿真试验,并说明了将来的研究计划。     

入侵检测报警信息管理系统设计与实现

入侵检测系统的高误警率成为制约其发展的瓶颈之一。本文首先分析了目前入侵检测系统存在误警的原因,分析了进行报警信息管理的必要性,提出并设计了一个入侵检测系统报警信息管理的模型,最后对系统进行了实验验证,结果表明该系统能有效地减少报警数量。     

NIDS报警信息关联分析进展研究

入侵检测技术是当前网络安全领域的一个研究热点，报警关联分析是其中一个重要部分。通过报警信息的关联分析，可以显著地降低入侵检测系统的误警率，提高它的检测率和可用性，帮助网络管理员更好地掌握当前网络的安全状况。本文对当前国际上报警关联分析技术的研究现状进行了综合分析，并对现有方法进行了分类和比较。     

一种面向IDS的检测器动态生成算法研究

针对目前基于免疫的入侵检测系统中报警可信性较低的问题,提出一种有效的检测器动态生成算法,并给出了其在入侵检测系统中的具体实现。该算法借鉴免疫系统的激活克隆和亲和力变异机制,能够依据实际情况不断调整当前检测器集合,并仅用较小的检测器集就能够快速检测到大规模非我空间中的异常变化。实验表明,算法用于入侵检测系统,提高了检测的准确率,降低了虚警率。同时,算法对各种异常检测向题具有一定的适用性。     

一种IDS报警可信性增强方案*

提高IDS（入侵检测系统）报警的可信性是IDS的根本目标。从理论上分析了可信问题产生的原因,给出了其形式化描述,提出了一种多IDS协同工作提高检测可信度的方法,并证明了该方法可以应用于各种不同IDS的协同工作中（基于误用、异常及异常与误用相结合的IDS）。多检测系统结果融合时采用推进Bayesian分类方法,给出了其模型和具体算法。实验分析表明,该方法与其他同类算法相比,降低了系统的漏报率和误报率,增强了报警的可信度。     

基于网络的入侵检测系统设计与实现

网络入侵检测系统是一种通过实时监测网络以发现入侵攻击行为的安全技术。随着入侵检测技术的发展进步,目前已经出现了各种各样的网络入侵检测系统。文章在综合分析各种入侵检测技术的基础上,构建了一个基于Snort的网络入侵检测系统,能快速发现入侵行为,实时报警,提高网络防御体系的完整性。该系统采用基于规则的网络信息搜索机制,对数据包进行内容的模式匹配,从中发现入侵和探测行为。     

基于环境信息降低入侵检测误报率

采用单包分析技术的网络入侵检测系统常具有较高的误报率,影响其实用性。本文针对误用网络型入侵检测系统建立一个警报过滤机制,该机制找出攻击成功时所需具备的环境条件。当入侵检测系统发现可疑入侵时,依据环境条件加以实时确认查核,从而减少误报。     

基于信息反馈的入侵检测模型研究

针对目前入侵检测系统（Intrusion Detection System,IDS）对未知异常检测误报率率比较高的问题,提出了一种基于信息反馈的入侵检测方法。首先设计了一个IDS与主机协作检测的模型,然后详细介绍了IDS根据反馈信息利用行为分析技术对未知异常的检测过程。最终实现了高效的入侵检测系统。     

基于多代理的分布式入侵检测系统模型

随着网络技术的不断发展,网络安全问题十分突出。入侵检测技术作为安全防护的重要手段,显得日益重要。大多数入侵检测系统存在误报率高和漏报的问题。此外,由于系统分布在网络的不同位置,不能进行必要的协同工作。针对上述问题,提出一种基于多代理的分布式入侵检测系统模型MADIDS。该系统在我们已有的多代理协同工作平台NHMAS上开发完成,结合基于主机的入侵检测系统和基于网络的入侵检测系统的优点,对常用入侵手段具有较高的检测率和较低的误报率。     

基于环境信息改进入侵警报正确率

通常误用检测所定义之攻击特征仅限于单一信息,而经由单一信息所产生的警报,由于针对某些攻击无法精确做出判断,所以误报比例相对较高。在文中,针对误用网络型入侵检测系统建立一个警报过滤机制,该机制找出攻击成功时所需具备的环境务件。当入侵检测系统发现可疑入侵时,依据环境务件加以实时确认查核。根据这些环境异质信息,可明显减少误报的发生,并且不至于将重要的警报给删除。实验结果证明,所提出之过滤机制可以有效地减少误报,同时不影响检测率。     

社区异常行为智能识别防盗报警系统仿真

当前社区智能识别防盗报警系统采用广角视频人工识别异常行为,不能实时对社区异常行为进行监控和报警,存在报警误报率较高、报警延时较长、准确率较低等问题。针对上述问题,提出基于社区异常行为智能识别防盗报警系统,介绍了智能识别防盗报警系统的总体架构,包括图像采集模块、异常行为检测模块、远程监控模块、防盗报警模块四部分组成,并结合运动目标颜色特征的粒子滤波算法实现了对社区异常行为实时监控和实时报警。实验结果表明,所设计的智能识别防盗报警系统,报警误报率较低、报警延时较短、准确率较高。     

一种基于数据融合的IDS方法研究*

分析了当前IDS（intrusion detection system）的缺陷,讨论了数据融合技术应用在IDS领域的可行性,提出了一种基于数据融合（data fusion）的IDS（DFIDS）模型,融合决策采用算术平均值的方法,以达到降低漏报率和虚警率的目的,模拟实验证实了这一点。基于数据融合的入侵检测方法是IDS发展的一个重要方向。     

基于异质信息的入侵检测警报过滤机制

通常误用检测所定义的攻击特征仅限于单一信息,如网络信息或主机信息,而由单一信息所产生的警报,由于针对某些攻击无法精确做出判断,所以误报比例相对较高。针对基于误用检测的网络入侵检测系统,建立了一个警报过滤机制。经过分析,可以找出攻击成功时所需具备的环境条件以及所会呈现的各种不同来源性质的攻击特征,入侵检测系统可据此在发现可疑入侵时,加以及时确认核查。通过运用这些异质信息,可明显减少误报的发生,提高了入侵检测报警的正确率。     

基于BP神经网络的入侵检测算法

为解决传统入侵检测算法存在的高漏报率及高误报率问题,结合BP神经网络算法的优点,提出一种采用遗传算法来优化BP神经网络算法的入侵检测算法。该算法通过遗传算法找到BP神经网络的最适合权值,采用优化的BP神经网络对网络入侵数据进行学习和检测,解决直接使用BP学习造成的训练样本数量过大而难以收敛的问题,同时缩短样本训练时间,提高BP神经网络分类正确率。仿真实验结果表明,与传统网络入侵检测算法相比,该算法的训练样本时间更短,具有较好的识别率和检测率。     

一种无线自组网的跨层异常入侵检测模型

提出一种Ad Hoc网络的跨层异常入侵检测模型.在MAC层、路由层和应用层分别运用朴素贝叶斯分类算法、Markov链构建算法和关联规则挖掘算法.本地汇总模块汇总本地三层子系统的检测结果,并加权平均后输出;全局汇总模块汇总邻节点检测结果并加权计算最终结果送响应模块.对模型和算法进行多种典型攻击测试实验,结果表明模型具有较高的检测率,并能有效降低误警率.     

用于入侵检测的动态克隆选择算法的研究

针对目前动态克隆选择算法在入侵检测应用中存在较高的误检率的缺陷,提出了一种改进动态克隆选择算法。文章对改进算法进行了描述,建立了一种基于该改进动态克隆选择算法的入侵检测系统（IDS）模型,并进行了仿真实验。仿真实验表明,改进后的算法在降低误报率的情况下,提高了正确检测率。