基于蜜罐的入侵检测系统的设计与实现*

传统的入侵检测系统无法识别未知的攻击,提出在入侵检测系统中引入蜜罐技术来弥补其不足,并设计和实现了一个基于人工神经网络的入侵检测系统HoneypotIDS。该系统应用感知器学习方法构建FDM检测模型和SDM检测模型两阶段检测模型来对入侵行为进行检测。其中,FDM检测模型用于划分正常类和攻击类,SDM检测模型则在此基础上对一些具体的攻击类型进行识别。最后,设计实验对HoneypotIDS的检测能力进行了测试。实验结果表明,HoneypotIDS对被监控网络中的入侵行为具有较好的检测率和较低的误报率。     

高速网络环境下的入侵检测技术研究

首先介绍了目前高速网络环境下的入侵检测系统的研究概况,接着对基于FPGA和基于负载均衡技术的两类入侵检测系统模型进行了分析,并重点研究了基于网络处理器的采用负载均衡技术的入侵检测系统中的关键技术即数据捕获技术、负载均衡技术和数据分析技术.     

基于场景和状态转换分析的入侵检测模型的构建

从已知的入侵方法出发,对攻击序列进行拓扑排序及同构类扩充,扩展到一个场景或一类入侵,通过构建基于场景和状态转换分析的入侵检测模型来检测基于类的入侵问题。模型在某种程度上可预防入侵及检测到未知的入侵。     

基于生物免疫原理的网络入侵检测系统

给出了一种基于生物免疫原理的新型入侵系统模型,该模型将生物免疫中的自我有效地划分为4类：用户类,网络类,系统类,并结合遗传算法和模拟退火算法对基因库形成算法进行了改进。分布性、灵活性、伸缩性、多样性、健壮性、适应性以及存储记忆和不规则检测能力是入侵检测模型系统的主要特点。     

基于聚类的分类分析自适应入侵检测模型

基于数据挖掘的入侵检测系统由于引入了数据挖掘技术,很好的解决了传统入侵检测系统中自适应性和扩展性的问题。在数据挖掘中,聚类分析和分类分析是重要的技术,该文将这两种技术引入入侵检测模型,提出了一种基于聚类的分类分析自适应入侵检测模型。     

基于聚类的分类分析自适应入侵检测模型

基于数据挖掘的入侵检测系统由于引入了数据挖掘技术,很好的解决了传统入侵检测系统中自适应性和扩展性的问题。在数据挖掘中．聚类分析和分类分析是重要的技术,该文将这两种技术引入入侵检测模型,提出了一种基于聚类的分类分析自适应入侵检测模型。     

基于神经网络的入侵检测系统的设计与实现

由于传统的入侵检测系统无法识别未知攻击,为了弥补其不足,设计和实现一个基于蜜罐和BP神经网络的入侵检测系统BPIDS。该系统包含两阶段检测模型,它们分别是应用感知器学习方法的感知器检测模型和应用BP神经网络的BP网络检测模型。其中感知器检测模型用于划分正常类和攻击类,而BP网络检测模型则在此基础上对一些具体的攻击类型进行识别。最后,设计实验对BPIDS的检测能力进行测试。实验结果表明,BPIDS对被监控网络中的入侵行为具有较好的检测率和较低的误报率。     

一种混合入侵检测模型

为了提高入侵检测模型的准确率,提出一种基于K-均值算法、朴素贝叶斯分类算法和反向传播神经网络的混合入侵检测模型。首先,采用基于分区、无监督式聚类分析的K-均值算法进行数据的聚类处理,得到易于被机器处理和学习的数据集。为了进一步获取必要的数据属性,将聚类处理的结果输入到贝叶斯分类器进行分类。然后,具有较短学习周期的反向传播神经网络负责训练数据分类样本。最后,基于KDD CUP99数据集,对混合入侵检测模型进行了仿真实验,实验结果表明,通过混合入侵检测模型,DoS、U2R、R2L和Probe等入侵数据被精准地检测出。相比其它入侵检测模型,混合入侵检测模型取得了较高的准确率和召回率,以及较低的误报率,具有一定的实用价值。     

基于SOM和BP神经网络的入侵检测模型研究

1模型描述 本文中我们提出一个基于SOM和BP两种神经网络的网络入侵异常检测模型,利用SOM网络的自组织特性对网络数据流量强度进行建模和聚类,利用BP网络进行入侵企图的识别.模型的流程图如图1所示.     

基于数据流的网络入侵检测研究

目前,入侵检测系统面临数据量大、内存等系统资源不足的问题.将两阶段聚类算法应用于入侵检测,设计了基于数据流的入侵检测系统模型.实验结果表明,该系统可以取得较高的检测率和较低的误报率,具有自适应性和可扩展性,并有效降低了对内存资源的需求.     

孤立点挖掘技术在入侵检测中的应用研究

在入侵检测中,可以运用到多种数据挖掘技术和挖掘模型。但是孤立点挖掘在入侵检测中有着独特的模型分析和特征识别优势,本文从孤立点挖掘的角度对入侵检测进行了分析。主要就基于偏离的孤立点检测在异常检测中的运用研究进行了详细分析,分别讨论了正常行为特征的检测和实时的孤立点检测,同时建立了一个基于孤立点挖掘的入侵检测方法模型。     

基于信息共享的协同入侵检测模型研究

针对传统的IDS检测手段单一、误报率高的不足,研究如何在入侵检测中引入协作。提出了基于信息共享的协同入侵检测模型和算法。该模型独立于具体的系统,从而为通用的协同入侵检测系统提供了一个框架。协同入侵检测算法包括基于时间密度的抗噪声聚类算法和警报关联分析算法。在此基础上,实现了一个原型系统,并结合数据集测试方法对原型系统进行了测试,验证了模型和算法的可行性和有效性。     

入侵检测技术的初步探究

入侵检测系统是现代网络安全的重要组成部分。入侵检测就是通过监视特定的计算机或网络,在检测可能的攻击,主要有两类入侵检测系统：基于主机的和基于网络的。前者监视整修网络或部分网段,后者监视特定的计算机。如将两类系统相结合,实时监控网络传输和系统事件,并对可疑的行为进行自动的安全响应,将最大程度地降低安全风险,保护网络的系统安全。     

基于特征选择的模糊聚类异常入侵行为检测

网络攻击连接具有行为的多变性和复杂性等特征,利用基于传统聚类的行为挖掘技术来构建异常入侵检测模型是不可行的。针对网络攻击行为的特点,提出了基于特征选择的模糊聚类异常入侵模型。首先通过层次聚类算法改善了FCM 聚类算法结果对初始聚类中心的敏感性,再利用遗传算法的全局搜索能力克服了其在迭代时易陷入局部最优的缺点,并将它们结合构成一种AGFCM 算法;然后采用信息增益算法对网络攻击连接数据集的特征属性进行排序,同时利用约登指数来删减数据集的特征属性以确定特征属性容量;最后利用低维特征属性集和改进的FCM 聚类算法构建了异常入侵检测模型。实验结果表明该模型对绝大多数的网络攻击类型具有很好的检测能力,为解决异常入侵检测模型的误警率和检测率等问题提供了一种可行的解决途径。     

基于优化聚类算法的安全审计模型

论文针对网络未知入侵类型检测问题,提出了基于优化聚类算法的安全审计模型。由于攻击类型未知,无法设定聚类数目,这是影响聚类算法在日志分析中应用的主要问题。论文针对这种问题提出了优化的聚类算法,该算法由聚合阶段和优化阶段两部分组成,能自动实现初始聚类集合建立和组合优化,并通过简单的人工干预可准确地标识入侵行为。该算法处理未知入侵检测问题是可行,具有良好的可扩展性,大大降低了算法对控制参数的依赖性,提高了该方法的实用性。     

聚类分析与模糊评判结合的入侵检测算法

针对K-prototypes聚类算法处理混合型入侵检测数据时易陷入局部最优且对初始值敏感的问题,提出了一种基于K-prototypes与模糊评判相结合的入侵检测方法,利用K-prototypes对数据进行统计归类,在聚类中建立模糊评判模型,从统计和特征两方面对数据进行双重判定。实验结果表明两种算法的有效结合,可以提高任一种算法单独使用时的检测性能,有效地提高了检测率,降低了误检率。     

基于量子人工鱼群和模糊核聚类算法的网络入侵检测模型研究

针对基于传统模糊C均值聚类的网络入侵检测模型存在分类效果不佳,且容易出现局部极值的问题,提出了一种基于量子人工鱼群的半监督模糊核聚类算法。该算法使用少量的标记数据和大量未知标记数据生成网络入侵检的分类,并通过核距离的方式构建了模糊C均值聚类算法的新目标函数,此外,结合了量子人工鱼群算法来解决模糊核聚类算法的全局最优解问题,适用于并行执行架构。在KDD Cup 99网络入侵检测数据上的仿真实验结果表明,相比于基于FCM和PSO-FCM的入侵检测模型,以及基于此提出的算法入侵检测模型具有更好的检测率。     

基于贝叶斯和决策树的入侵检测方法

针对目前基于贝叶斯或决策树的入侵检测方法存在检测率低、误检率高的问题,提出了一种基于贝叶斯和决策树的入侵检测方法。该检测方法首先采用基于特征相似度的朴素贝叶斯方法对训练集中的样本进行分类,更新每个样本的类值;然后对训练集中的样本再次使用朴素贝叶斯方法进行分类,对存在误分类样本的类采用决策树的信息增益来确定属性划分子类,再对子类进行分类和划分操作;最后建立贝叶斯和决策树的混合模型进行入侵检测。实验结果表明,与单独使用贝叶斯或者决策树的检测方法相比,该检测方法具有较高的检测率。     

基于数据挖掘的网络入侵检测模型

入侵检测技术已经成为网络安全的新兴领域。该文针对入侵检测系统的特点与不足,提出了一种基于数据挖掘算法的网络入侵检测系统模型,能高效地进行误用检测与异常检测,可降低漏报率和误报率,同时应用聚类算法对边界区进行分析,可发现未知攻击,具有很好的实用性。     

基于免疫系统的入侵检测系统

根据生物免疫系统与入侵检测系统的相似性,提出了基于免疫系统的入侵检测系统模型,并对其主要功能模块和关键算法进行了描述。