一种新的自适应网络入侵检测模型

在基于免疫模型的网络入侵检测中,因模型对自体的动态变化缺乏自适应性导致高的误报率和漏报率。为了提高网络入侵检测模型在动态环境下的自适应性,使模型能更好地应对不断变化的外部环境,提出了一种新的自适应网络入侵检测模型。模型中详细阐述了自体的演化,对现有否定选择模型中检测器生成存在问题进行了分析,提出新的检测器生成算法,随着自体的在线自动更正,检测器可以始终保持同步更新。结果表明该模型具有很好自适应性和动态性,可以对入侵行为进行有效的识别。     

一种新的自适应网络入侵检测模型

在基于免疫模型的网络入侵检测中,因模型对自体的动态变化缺乏自适应性导致高的误报率和漏报率.为了提高网络入侵检测模型在动态环境下的自适应性,使模型能更好地应对不断变化的外部环境,提出了一种新的自适应网络入侵检测模型.模型中详细阐述了自体的演化,对现有否定选择模型中检测器生成存在问题进行了分析,提出新的检测器生成算法,随着自体的在线自动更正,检测器可以始终保持同步更新.结果表明该模型具有很好自适应性和动态性,可以对入侵行为进行有效的识别.     

基于增量式GHSOM神经网络模型的入侵检测研究

传统的网络入侵检测方法利用已知类型的攻击样本以离线的方式训练入侵检测模型,虽然对已知攻击类型具有较高的检测率,但是不能识别网络上新出现的攻击类型.这样的入侵检测系统存在着建立系统的速度慢、模型更新代价高等不足,面对规模日益扩大的网络和层出不穷的攻击,缺乏自适应性和扩展性,难以检测出网络上新出现的攻击类型.文中对GHSOM(Growing Hierarchical Self-Organizing Maps)神经网络模型进行了扩展,提出了一种基于增量式GHSOM神经网络模型的网络入侵检测方法,在不破坏已学习过的知识的同时,对在线检测过程中新出现的攻击类型进行增量式学习,实现对入侵检测模型的动态扩展.作者开发了一个基于增量式GHSOM神经网络模型的在线网络入侵检测原型系统,在局域网环境下开展了在线入侵检测实验.实验结果表明增量式GHSOM入侵检测方法具有动态自适应性,能够实现在线检测过程中对GHSOM模型的动态更新,而且对于网络上新出现的攻击类型,增量式GHSOM算法与传统GHSOM算法的检测率相当.     

基于Snort的混合入侵检测系统的研究与实现

在分析研究snon系统的优缺点的基础上,利用其开源性和支持插件的优势,针对其对无法检测到新出现的入侵行为、漏报率较高以及检测速度较低等问题,在snon系统的基础上结合入侵检测中的数据挖掘技术,提出一种基于snort系统的混合入侵检测系统模型。该系统模型在snort系统原有系统模型基础上增加了正常行为模式构建模块、异常检测模块、分类器模块、规则动态生成模块等扩展功能模块。改进后的混合入侵检测系统能够实时更新系统的检测规则库,进而检测到新的入侵攻击行为;同时,改进后的混合入侵检测系统具有误用检测和异常检测的功能,从而提高检测系统检测效率。     

一种误用和异常技术结合的网络入侵检测模型

针对误用检测技术漏报率高和异常检测技术误报率高等问题,本文根据两种检测技术各自的优缺点及其互补性,取长补短地将两种检测技术相结合,采用模式匹配误用检测技术和神经网络异常检测技术建立新模型,降低了单一使用某种入侵检测技术时的漏报率和误报率,从而提高系统检查效率和安全性。     

GARBF在网络入侵检测中的应用研究

研究网络安全问题,提高入侵检测效率,针对网络入侵检测传统采用RBF神经网络方法在网络入侵中由于初始权值设定不当导致检测入侵耗时长、正确检测率低,误报和漏报率记的难题,为了解决上述问题,提出了一种GARBF神经网络入侵检测模型.GARBF神经网络模型在网络入侵检测过程中,采用遗传算法对RBF神经网络初始权值进行优化,然后将网络入侵数据输入优化的RBF神经网络中进行学习和检测.结果表明,相比较传统网络入侵检测模型,网络入侵检测误报率、耗时都较低,证明提高网络入侵检测的正确性和效率.     

基于免疫的入侵检测系统可信问题研究

为了降低入侵检测系统的误报率和漏报率,提出了一种基于人工免疫的新型入侵检测系统模型。借鉴生物免疫系统抗体的演化机制,该模型改进了目前基于免疫的入侵检测系统中抗原、抗体的静态描述方式,给出了抗原、抗体的动态描述方式和变化机制,并针对传统固定r连续位匹配方法的不足,提出了一种r可变匹配机制,最后进行了相关仿真实验。理论分析和实验结果表明,该系统具有较低的误报率和漏报率,提高了入侵检测系统的可信性。     

基于数据挖掘的入侵检测系统模型

文中介绍了入侵检测系统的重要性、传统人侵检测技术的类型和局限性以及入侵检测系统中常用的数据挖掘技术,指出数据挖掘技术应用在人侵检测系统中的可行性和必要性。针对现有入侵检测系统存在的误报率和漏报率较高的问题,对数据挖掘技术应用于入侵检测系统进行了研究,提出一个基于数据挖掘技术的结合异常检测和误用检测的复合入侵检测系统模型,并对模型中的数据挖掘算法进行了探讨。实验表明,该模型能生成新规则,对新攻击具备一定的鉴别能力,能有效降低入侵检测系统的误报率和漏报率。     

一种基于投影时序逻辑模型检测的入侵检测方法

基于时序逻辑模型检测的入侵检测技术降低了误用检测的漏报率,然而却几乎不能描述并发攻击和分段攻击,因而对这些复杂的攻击模式漏报率仍很高。本文针对该问题,提出了一种基于投影时序逻辑模型检测的入侵检测方法。对若干复杂攻击实例的检测表明,新方法可有效降低对并发攻击和分段攻击的漏报率。     

人工免疫系统中变异算法研究

在基于人工免疫理论入侵检测系统中，变异算法的缺点导致了较高的误报率和漏报率。该文提出了一种变异机制，能够加快进化速度，保存具有优势特征的物种，提高检测效率和准确性。该机制定义了自体/非自体的概念和形式化描述，给出了成熟细胞动态方程、亲和力累积方程。实验结果表明，当k取40附近值时，只要参数合适，TP值就能稳定在95％以上。该模型具有良好的实时性、自适应性和准确性，为构建新一代高效、合理的网络安全系统提供了一种有效方案。     

传统NIDS漏报和误报起因及改进技术

传统的网络入侵检测系统大都采用模式匹配的方法进行入侵检测,有着非常高的漏报率和误报率。本文通过对模式匹配算法检测过程的描述,对其产生漏报和误报的原因进行了分析。针对模式匹配算法带来的高漏报率和误报率,引入了协议分析的方法。协议分析方法通过辨别数据包的协议类型,然后使用相应的数据分析程序进行检测。这种方法可以大幅度地降低漏报率和误报率,大大地提高了入侵检测系统的效率。     

改进的字节频度负载异常入侵检测方法

数据集内容的特性对基于负载的网络异常入侵检测系统准确度有很大影响。本文分析了训练集数据包之间的内容特性差异对基于字节频度分布的模型的影响,较大的差异可能会导致分组计算频度均值的模型产生较高的误报率。本文据此提出了一种改进的模型—单包频度分布模型,以单个数据包的频度分布特征构成正常行为集,并以聚类方法控制其规模。在模拟数据集和DARPA99数据集上的实验表明,训练集数据包内容特性的差异确实导致基于均值的字节频度模型产生更多的误报,单包频度分布模型则不受影响,它有更高的检测准确度,在同等检测率下误报率更低。在数据包相互完全不同的情况下,基于均值的模型甚至失效。可认为单包频度分布模型对具有丰富动态内容的网络服务将有良好的适应能力。     

一种SVM入侵检测的融合新策略

入侵检测是计算机网络安全中不可或缺的组成部分,其中异常检测更是该领域研究的热点内容。现有的检测方法中,SVM 能够在小样本条件下保持良好的检测状态。但是单一的SVM检测仍存在检测率不高、误报率过高等局限性。结合D-S证据理论,提出一种基于多SVM融合的异常检测方法,有效地弥补单个SVM检测的局限性。通过KDD99评测数据的评测实验表明,该方法有效地提高了入侵检测率的同时降低了误报率,大幅度地提高了入侵检测系统的检测性能。     

基于异常的终端级入侵检测

入侵检测技术作为计算机防护的主要技术手段, 因具有适应性强、能识别新型攻击的优点而被广泛研究, 然而识别率和误报率难以保证是该技术的主要瓶颈. 为了提升异常检测技术的识别率并降低误报率, 提出了一种终端级入侵检测算法(terminal-level intrusion detection algorithm, TL-IDA). 在数据预处理阶段把终端日志切割成连续的小块命令序列, 并引入统计学的常用指标为命令序列构建特征向量, 再使用TL-IDA算法通过特征向量对用户建模. 在此基础上, 还提出了一种滑动窗口判别法, 用于判断系统是否遭受攻击, 从而提升入侵检测算法的性能. 实验结果表明, TL-IDA算法的平均识别率和误报率分别达到了83%和15%, 优于同类的基于异常技术的终端级入侵检测算法ADMIT、隐马尔可夫模型法等.     

基于危险信号协同检测的入侵检测的研究

为提高对未知攻击的检测能力,克服由于“正常”与“异常”界线模糊引起的误报与漏报,提高入侵检测系统的自适应能力,基于danger theory提出以危险信号作为入侵检测的协同检测信号的方法,并运用粗糙集理论,实现了对危险信号的测定。同时,阐述了危险信号在入侵检测的协同检测中的控制策略及系统的逻辑结构和处理流程。     

基于DBN-XGBDT的入侵检测模型研究

在分布均匀的海量数据情况下,现有的入侵检测模型均具备良好的检测性能。但网络中产生的海量入侵数据的分布通常具有不均衡特点,而大多数检测模型针对罕见攻击类型的检测率低。针对上述问题,提出了一种深度信念网络（Deep Belief Networks,DBN）融合极限梯度提升（eXtreme Gradient Boosting,XGBoost）基于决策树算法（Decision Tree,DT）的入侵检测模型（DBN-XGBDT）。该模型将预处理后的数据集输入深度信念网络中,实现对入侵检测数据的降维处理,将得到的特征数据根据攻击类别任两类为一组,通过XGBoost算法逐一构建梯度提升树并细化为二分类;最后运用控制变量法和XGBoost内置的交叉验证进行调参,择优调整模型参数,对未知网络攻击实现有效检测。基于NSL-KDD数据集对DBN-XGBDT模型与XGBoost、DBN-BP、DBN-MSVM等优越模型进行了检测实验。实验结果表明,DBN-XGBDT模型较上述3个单一、混合分类模型的正确率分别提升2.07个百分点、1.14个百分点,对U2R的检测率提升至75.37%,平均误报率降至56.23%,为入侵检测处理不均衡数据且提高对罕见攻击的检测性能提供了新方法。     

基于数据挖掘的入侵检测系统设计

现有的入侵检测系统大多都是采用手工编码构造的,检测模型的构造过程很大程度上依赖于系统构造者的知识和经验,这样构造出的模型往往存在很大的缺陷。针对传统入侵检测系统构造过程中存在的种种问题,将数据挖掘技术引入入侵检测系统,实现检测模型构造的自动化。介绍了一个运用数据挖掘技术构造入侵检测系统的框架,并考虑到实时检测过程中对检测模型效率的要求,提出了一个提高检测模型检测效率的层叠检测模块方法。应用数据挖掘算法得出的检测模型在检测效率、准确性、可扩展性和自适应性等方面都得到了很大的改进。     

改进ADASYN-SDA的入侵检测模型研究

针对传统入侵检测模型在高维数据且数据不均衡环境下检测性能较差的问题,提出了一种自适应过采样算法（ADASYN）与改进堆叠式降噪自编码器（SDA）结合的入侵检测模型。使用ADASYN算法进行数据过采样处理。使用Adam优化算法,以及Dropout正则化对SDA深度学习模型进行改进,提取出低维数、高鲁棒性的集成特征。在softmax分类器中进行入侵检测识别。实验结果表明,ADASYN-SDA模型相较于SDA、AE-DNN和MSVM模型,在平均准确率、检测率和误判率上均有一定程度的提高。     

基于深度循环神经网络和改进SMOTE算法的组合式入侵检测模型

已有入侵检测模型普遍只针对网络入侵行为的静态特征进行分析检测,造成检测率低及误报率高等缺陷,且无法有效应用低频攻击。为此提出一种新的基于深度循环神经网络（DRNN）和区域自适应合成过采样算法（RA-SMOTE）的组合式入侵检测模型（DRRS）。首先,RA-SMOTE 对数据集中低频攻击样本进行自适应区域划分,实现差别样本增量,从数据层面提升低频攻击样本数量;其次,利用 DRNN 特有的层间反馈单元,完成多阶段分类特征的时序积累学习,同时多隐层网络结构实现对原始数据分布的最优非线性拟合;最后,使用训练好的DRRS模型完成入侵检测。实验结果表明,相比已有入侵检测模型,DRRS在改善整体检测效果的同时显著提高了低频攻击检测率,且对未知新型攻击具有一定检出率,适用于实际网络环境。