一种新颖的异常检测自适应模型

针对目前异常入侵检测系统误报率过高、自适应能力不强等问题,提出知识库的完备度、自相似度等概念,构造一种新颖的异常入侵检测自适应模型.使入侵检测系统能够根据自身的学习情况自动调节异常和正常的判断准则,从而增强系统的自适应能力,有效降低系统的误报率,提高入侵检测的准确度.     

基于本体模糊映射和特征分析的网络入侵检测模型研究

通过对网络入侵的相关知识进行研究,提出了一种基于本体模糊映射和特征分析相结合的网络入侵检测模型;在研究中首先对知识元或数据信息集经过训练形成本体知识库,然后对已知入侵模式的特征知识元或数据信息集进行挖掘,形成特征库;当待测数据集开始检测时,先抽取其知识本体,对其本体和本体知识库中的本体元进行模糊映射,相似度在系统安全阈值范围内的,属于正常数据集,否则,置其入数据评估集,进行特征库匹配,匹配度低的数据信息集属于异常数据给予用户提示,予以报警;在待测数据集检测结束后,对本体知识库和特征库实时更新;该模型通过数据信息集的训练形成自有本体库,避免了数据噪音干扰,提高了检测效率和预警率。     

纵深防御是根本

不管是IPS还是IDS,都离不开对入侵检测技术的研究,网络安全行业对入侵行为进行检测的技术积累将永不停息,只要有黑客行为存在,入侵检测技术就会不断发展、不断进步。 入侵检测的实现重点在于检测知识库和检测方法,这两方面的研究,IDS和IPS产品厂商都不能省去。没有所谓的一劳永逸的检测方法,即使目前市场上很多公司所宣称的智能入侵检测方法,也不能保证全部的入侵攻击行为被检测到。     

一种改善入侵检测系统性能的新方法

针对高速网络环境下基于知识的入侵检测系统因搜索的知识库庞大，耗时过多，导致丢包而影响到系统的性能等问题，通过引入网络流量的反馈机制，采用随机投影算法，灵活调整模式匹配过程中知识库的规模，以提高入侵检测系统的实时性，减少系统的丢包率，从而有效降低系统的误漏报率，以此改善入侵检测系统的性能。     

一种基于多层次知识库入侵检测系统的设计

知识库是一个入侵检测系统中关键的一部分,它直接影响到入侵检测系统(Intrusion Detection System,IDS)的效率、精度、速度.本文提出了一种多层次知识库入侵检测系统,有效提高了原有IDS的检测效率.并举例说明了如何通过协议分析提取特征值来组建知识库的方法.     

基于云模型的入侵检测研究

由于网络行为的不确定性,使现有入侵检测系统几乎都存在高误报率和高漏报率的缺点。云模型是将模糊性和随机性有机结合进行不确定性推理的有效工具。本文利用云模型来处理网络实体行为的不确定性,提出了一种新的云入侵检测方法。该方法通过基于云知识库的云推理引擎进行不确定性推理,以对网络实体行为进行智能判断。模拟结果表明该方法能有效提高入侵检测效率。     

UNIX系统入侵检测知识库体系结构研究

针对目前应用在UNIX系统中入侵检测知识库适应能力不足的问题.提出了一种适应于不同系统环境的知识库体系结构。检测规则按相应系统与服务类型以模块化形式存储,通过应用配制文件加载。实现了入侵检测知识库的可扩展性.提高了入侵检测知识库的通用性,并且可以提高检测规则的搜索效率。     

大规模分布式入侵检测系统的研究

现在的入侵检测系统大多存在系统可扩展性差、入侵检测技术单一、缺乏对入侵事件有效的响应机制等问题,难以满足企业对入侵检测系统在规模及有效性上的的需求。文章设计了一种大规模分布式入侵检测系统的整体模型,并在系统中综合运用了多种入侵检测方法和响应机制,使整个系统具有好的规模扩展性、高的入侵检测性能和有效的响应机制。     

基于扩展贝叶斯分类算法的网络安全检测

很多网关系统和入侵检测系统被设计来保护自身网络系统的安全，其中一种安全隐患是现有网关系统的不完备性和入侵检测系统的虚警和漏警。总结了前人成果，将贝叶斯算法进行了改进并与之融合，对原有的入侵检测算法提出了改进，得到了一个新的模型。该模型提高了入侵检测系统的完备性和准确性，更有效地保障了网络系统的安全。     

基于自由代理的入侵检测系统研究

本文针对多代理分布式入侵检测系统的单点失效和瓶颈等问题，给出了一种基于自由代理的入侵检测系统模型，该模型充分使用知识库中的知识对系统消息进行匹配，并遵循一定的移动策略，使得自由代理能够在系统网络中自由的移动，以便对某些繁忙代理或者失效代理及时提供功能上的替代和补充，从而提高整个入侵检测系统的性能。     

基于数据流的网络入侵实时检测框架

针对计算机网络访问请求具有实时到达以及动态变化的特点,为了实时检测网络入侵,并且适应网络访问数据的动态变化,提出一个基于数据流的网络入侵实时检测框架。首先,将误用检测模式与异常检测模式相结合,通过初始聚类建立由正常模式和异常模式构成的知识库;其次,采用数据点与数据簇之间的不相似性来度量网络访问数据与正常模式和异常模式的相似性,从而判定网络访问数据的合法性;最后,当网络访问数据流发生演化时,通过重新聚类来更新知识库以反映网络访问的最近状态。在入侵检测数据集KDDCup99上进行实验,当初始聚类的样本数为10000,缓冲区聚类的样本数为10000,调节系数为0.9时,召回率达到91.92%,误报率达到0.58%,接近传统非实时检测模式的结果,但整个学习和检测过程只需扫描网络访问数据一次,并引入了知识库的更新机制,在入侵检测的实时性和适应性方面更具有优势。     

自适应入侵检测专家系统模型

大多数入侵检测系统不能适应网络环境的变化，即不具备自适应性。针对此情况，提出了自适应策略，该策略由状态空间和策略空间构成，状态空间用来描述网络环境，策略空间用来描述采用的策略。对于状态空间中的某一具体的环境状态，在策略空间存在唯一的策略与之对应。在构建自适应策略的基础上，将基于规则的推理和基于事例的推理相结合，设计了自适应入侵检测专家系统模型(AIDESM)。AIDESM既有专家知识库，又有入侵事例库，利用自适应策略和评价学习机制，能够实现自适应入侵检测。实验结果表明，该自适应策略是比较有效的。     

基于互信息加权集成迁移学习的入侵检测方法

入侵检测系统（IDS）已成为网络安全体系结构中的必要组成部分。在面对现代网络安全需求时,现有的入侵检测方法的可行性和持续性仍然存在提高空间,主要体现在更早地发现入侵威胁和提高入侵检测系统的检测精准度,为此提出一种基于互信息加权的集成迁移学习（ETL）入侵检测方法。首先,通过迁移策略对多组特征集进行建模;然后,使用互信息度量在迁移模型下特征集在不同域中的数据分布;最后,根据度量值对多个迁移模型进行集成加权,得到集成迁移模型。该方法通过学习新环境下的少量有标记样本和以往环境下的大量有标记样本的知识,可以建立效果优于传统非集成、非迁移的入侵检测模型。使用基准NSL-KDD数据集对该方法进行评估,实验结果表明,所提方法具有良好的收敛性能,并提高了入侵检测的精准率。     

基于不确定性知识发现的入侵报警关联方法

针对入侵检测系统报警信息量大、琐碎和分散的问题,提出了一种基于不确定性知识发现的入侵报警关联方法。该方法的知识发现部分采用提出的不确定性序列模式发现算法—CWINEPI对报警数据进行序列模式发现,并将经过筛选后获得的入侵报警序列模式转化成入侵报警精简规则;再对入侵报警序列模式进行关联以获取攻击模式,并转化为入侵场景重建规则。入侵报警关联部分利用获取的入侵报警精简规则和入侵场景重建规则,以模式匹配方法构造报警关联引擎,对多个入侵检测系统上报的入侵报警进行关联。美国国防部高级研究计划局2000年入侵评测数据（DARPA2000）的报警数据验证了知识发现部分的良好性能;测试环境中的入侵报警的关联结果表明了该方法是高效、可行的。     

一种基于支持向量机的入侵检测模型

支持向量机(support vector machines)是一种建立在统计学习理论基础之上的机器学习方法。基于支持向量机在处理小样本、高维数及泛化能力强等方面的优势,该文提出了一种根据结构风险最小化原则基于支持向量机的入侵检测系统,首先简单介绍了入侵检测系统近来的发展状况和支持向量机的分类算法,然后给出以支持向量机分类算法为基础的入侵检测模型,以系统调用执行迹进行仿真实验,详细讨论了该模型的工作过程及核函数参数的选取对检测性能的影响。实验表明,该模型在先验知识较小的情况下,能够较好的检测出异常的入侵调用。     

基于人工蜂群算法的计算机网络DDoS攻击检测方法

计算机网络在DDoS入侵下容易出现停止服务、网络崩溃,为了提高网络安全性,提出基于人工蜂群算法的计算机网络DDoS攻击检测方法。根据特征样本之间的相关性构建计算机网络DDoS攻击的自适应的入侵检测信息分析模型,根据网络数据流与潜在空间之间的映射关系,结合测试样本和学习样本之间特征差异性进行DDoS攻击数据特征提取,在基站上设置入侵检测数据处理终端,采用人工蜂群算法实现对计算机网络攻击检测的个体最优值和全局最优值寻优,根据人工蜂群的动态寻优和组合优化结果,实现对组合网络流量数据间的攻击信息特征提取和聚类分析,解决计算机网络DDoS攻击检测过程中的连续多变量优化问题。仿真测试结果表明,采用该方法进行计算机网络DDoS攻击检测的寻优能力较好,精度和效率高于传统方法。     

An adaptive genetic-based signature learning system for intrusion detection

Rule-based intrusion detection systems generally rely on hand crafted signatures developed by domain experts. This could lead to a delay in updating the signature bases and potentially compromising the security of protected systems. In this paper, we present a biologically-inspired computational approach to dynamically and adaptively learn signatures for network intrusion detection using a supervised learning classifier system. The classifier is an online and incremental parallel production rule-based system.A signature extraction system is developed that adaptively extracts signatures to the knowledge base as they are discovered by the classifier. The signature extraction algorithm is augmented by introducing new generalisation operators that minimise overlap and conflict between signatures. Mechanisms are provided to adapt main algorithm parameters to deal with online noisy and imbalanced class data. Our approach is hybrid in that signatures for both intrusive and normal behaviours are learnt.The performance of the developed systems is evaluated with a publicly available intrusion detection dataset and results are presented that show the effectiveness of the proposed system.