基于进程行为的入侵检测系统的设计

在基于多层感知器的神经网络分类器和基于概率预测的贝叶斯分类器的基础上，给出针对描述系统进程行为的系统调用短序列进行分类的方法，用以识别被监控系统关键程序的执行过程中的系统调用是否正常。并研究系统中多个系统关键程序的运行监控问题，提出了一个基于进程行为分类的入侵检测系统原型。该系统原型能够根据系统配置，同时对系统中的多个系统关键程序的执行进行监控。     

基于UNIX进程的入侵检测模型

入侵检测是网络高层次安全的保障系统,入侵一般都是通过网络操作系统的进程调用或漏洞而实现攻击的。文章提出了一个UNIX进程入侵检测模型,该模型以UNIX进程的系统调用为特征码,构造入侵检测器,最后重点研究sendmail进程的检测。     

利用系统调用的延滞对入侵进行自反应

对入侵的自动反应是当前计算机社会一个未解决的重要问题,一个称为PH(processhomeostasis)的系统能在目标系统受到危害之前成功地检测并阻止入侵,PH在系统调用的层次上监测计算机上所有活动的进程,并且通过延滞或中断系统调用的方法对异常作出反应。     

移动代理入侵检测系统中的自适应技术的研究

介绍了入侵检测及入侵响应系统中的自适应技术。提出了基于代理的自适应分层入侵检测系统(AAHIDS,Agent-based Adaptive Hierarchical Intrusion Detection System)和基于代理的自适应入侵响应系统(AIRS,Agent-based AdaptiveIntrusion Response System)。它们通过调整负责检测入侵行为的系统资源来实现自适应性,动态调用新的底层检测代理的组合以及调整与这些底层代理相关的置信度来适应变化的环境。通过增加过去已获得成功的响应机制的权值,使成功的响应机制获得更多的调用机会来实现响应的自适应性。     

基于系统调用的Linux系统入侵检测技术研究*

提出了一种基于系统调用、面向进程的Linux系统入侵检测方法:利用LKM(Loadable Kernel Modules)技术在Linux内核空间获取检测源数据--所考察进程的系统调用,使用基于极大似然系统调用短序列的Markov模型提取进程的正常行为特征,据此识别进程的异常行为.通过实验表明了此方法的可行性和有效性;并分析了方法在实现中的关键问题.     

基于系统调用的入侵检测系统研究

入侵检测是网络安全研究的热点技术之一，是新一代安全保障方案。该文实现了一种基于系统调用的异常入侵检测方法，使用系统调用作为输入，构建程序中函数的有限状态自动机，利用该自动机检测进程流程是否发生异常来确定是否发生了入侵。实验结果表明，该技术不仅能有效地检测出入侵行为，而且可以发现程序漏洞的位置，便于修改代码。     

基于系统调用的神经网络异常检测技术

给出了一种基于程序行为的神经网络异常检测技术,通过使用ELMAN网络,利用了程序执行时的系统调用的周期重复特性,使该系统具有检测新型入侵攻击和具有较低虚警率的特点。     

基于Windows Native API序列的系统行为入侵检测

针对Windows系统入侵检测的不足,研究并借鉴Linux下基于系统调用序列进行入侵检测的方法,提出一种采用BP神经网络算法对Windows Native API序列学习和分类的内核级主机入侵检测方案。通过实验,验证了采用Windows Native API序列进行系统入侵的可行性。Native API是Windows系统内核模式下的API,可以类比于Linux下的系统调用。通过训练神经网络学习Native API序列,建立一个对正常和异常Native API序列进行分类的BP神经网络。在入侵检测时,利用训练后的神经网络对不断出现的Windows Native API 序列进行分类,判断系统是否出现异常入侵。     

基于免疫原理与粗糙集理论的入侵检测方法

针对目前基于进程系统调用的入侵检测方法中存在的问题,提出了一种基于免疫原理与粗糙集理论的入侵检测方法。该方法在对系统调用序列中的循环序列进行置换的基础上,借助于粗糙集理论,提取出一个简单的最小预测规则模型;同时融合免疫原理的有关机制,在检测模型中加入对已知入侵的快速检测引擎。同其他方法相比,该方法不需要完备的进程系统调用数据,而且得到的规则简单,更适用于实时检测。实验结果表明,该方法的检测效果优于同类的其他方法。     

基于基因规划的主机异常入侵检测模型

异常检测技术假设所有的入侵行为都会偏离正常行为模式.尝试寻找一种新的异常入侵检测模型改善准确性和效率.模型利用应用程序的系统调用序列,通过基因规划建立了正常行为模式.模型的一个例程管理一个进程.当它发现进程的实际系统调用序列模式偏离正常的行为模式时,会将进程设标记为入侵,并采取应急措施.还给出了基因规划的适应度计算方法以及两个生成下一代的基本算子.通过与现有一些模型的比较,该模型具有更好的准确性和更高的效率.     

基于一种相对Hamming距离的入侵检测方法--RHDID

首先分析了传统入侵检测方法的不足,即误用入侵检测方法难于检测新形式的入侵,异常入侵检测方法难于建立合理有效的正常行为特征和检测方法。然后,通过对特权进程的系统调用和参数序列的研究,提出了一种相对Hamming距离入检测方法（RHDID）。应用RHDID检测入侵不仅能有效降低漏报率和误报率,而且使实时入侵检测成为可能。最后,原型系统证实了该方法的可行性,获得了在实时环境中检测入侵的技术效果。     

基于深度Q网络的电力工控网络异常检测系统

电力是指以电能作为动力的能源,完整的电力系统包括发电、输电、变电、配电和用电等环节。电力是关系国计民生的基础产业,电力供应和安全事关国家安全战略,事关经济社会发展全局。工业自动化和控制系统（简称“工控”）作为电力的感官和中枢神经系统,确保其网络安全,使其始终处于稳定可靠运行状态,对于保障电力安全运营至关重要。由于大部分网络都是高度互联的,因此都易受到网络攻击的威胁。虽然基于网络的入侵检测系统可以将入侵警告和安全响应进行很好的结合,但是随着技术的不断发展,攻击变得越来越普遍且难以检测,其中逃逸技术就是这类技术的一个代表,它可以通过伪装修改网络数据流以此来逃避入侵检测系统的检测。结合所学知识和电力工控网络的特点,提出一种基于深度强化学习的电力工控网络入侵检测系统,深度强化学习的算法融合神经网络和Q-learning的方法来对网络中的异常现象进行训练,通过训练使系统能及时地检测出入侵行为并发出警告。     

基于改进的动态神经网络的网络入侵检测模型

提出了一种改进型的动态神经网络，并成功地将其应用于网络入侵检测系统中。对于给定的全连接的动态神经网络，在通过学习以后可以成为部分连接的神经网络系统，从而降低了计算的成本。针对目前常见的4种不同类型的网络攻击行为（即DoS，Probe，R2L，和U2R），利用给定的改进型的动态神经网络分别构建相对应的检测系统。然后使用改进的遗传算法对给定的动态神经网络的权值和开关参数进行调节，以适应不同类型的入侵检测。最后利用KDD’99网络入侵检测数据对所提出的网络入侵检测模型进行训练和测试，初步试验结果表明，所提出的入侵检测系统具有较高的检测率。     

系统级入侵检测技术研究

计算机系统安全的“免疫系统”方法是在研究了特权程序对应的系统调用短序列具有很强的稳定性的基础上提出的。系统调用短序列与生理免疫系统中用于区别病菌和其他有害物质的缩氨酸(一种蛋白质片断)类似,可作为用户程序行为模式。该文提出了一个基于“免疫系统”方法的Linux系统级入侵检测模型,并讨论了此入侵检测模型的实现技术。     

改进BP神经网络用于入侵检测

随着网络的不断发展,网络上的信息量在日益增多,人们在网络上的应用也越来越多,网络安全成为十分重要的问题。入侵检测是网络安全的的一个研究热点。本文经过对入侵检测历史与现状的分析和对目前入侵检测技术的研究。针对目前大多数入侵检测系统存在的局限性,提出了一种利用改进BP神经网络算法的入侵检测方法,仿真实验结果表明该算法可以有效地进行入侵检测,使入侵检测的准确性与速度有所提高。     

基于BP神经网络的智能入侵检测研究

分析了入侵检测技术在计算机网络安全技术中的作用和地位,同时将BP神经网络算法应用于入侵检测当中,建立了基于BP神经网络的智能入侵检测系统.该系统能够通过数据包捕获模块实时抓取网络中传输的数据包,之后通过协议分析模块进行数据包所使用的数据协议的识别,从而能够在BP神经网络模块分别针对采用TCP、UDP、ICMP这三种网络数据传输协议的数据包进行处理.从本文中列出的该系统在Matlab07上的仿真结果可以看出:基于BP神经网络的智能入侵检测系统能够有效地提升入侵检测识别率.     

基于灰色神经网络的入侵检测系统研究

将灰色预测和神经网络有机的结合起来,构造出了新的灰色神经网络GNNM,并用于入侵检测系统(IDS)中,仿真结果表明,GNNM算法在较低误报率的基础上达到了理想的检测率,与传统的神经网络算法相比,不但提高了系统的并行计算能力和系统的可用信息的利用率,还提高了系统的建模效率与模型精度.     

基于系统调用的入侵检测规则的生成

由授权进程产生的系统调用短序列可作为计算机免疫系统中的“自我”标识。介绍如何利用数据挖掘技术在应用程序的系统调用数据集上进行分类挖掘,从而生成计算机免疫系统中的入侵检测规则,给出并分析了实验结果,发现用此方法生成的规则对未知数据进行分类有较高的准确率。     

基于概率神经网络的入侵检测技术

提出一种基于概率神经网络的高效入侵检测技术。对网络数据处理、概率神经网络的训练与检测及其算法进行分析。在网络训练中,提出一种基于实验数据选择概率神经网络关键参数的方法,分析该方法的可行性。实验表明通过此方法能使入侵检测系统具有更高的检测精度和效率。