基于Multi-Agent和本体的分布式入侵检测系统研究

入侵检测系统IDS(Intrusion Detection System)经历了近三十年的发展,虚警率高等问题一直困扰着用户,其原因可以部分归结为知识表示能力不足和IDS缺少协同工作。针对上述问题,融合Agent和本体技术,在此基础上建立相应的入侵检测本体知识库,提出一种基于Multi-Agent和本体的分布式IDS系统。该系统采用以本体为核心的多层次、分布式体系结构,从功能上分为探测器层、协同分析器层、知识管理层,从结构上由知识管理Agent、主机入侵检测Agent、网络入侵检测Agent、日志入侵检测Agent以及其他入侵检测Agent组成。各入侵检测Agent间协作采用合同网模型和熟人模型的协作算法。经过实验分析验证,该系统一方面提高了各检测器的协同工作能力,降低了虚警率,另一方面可以大大减少各检测器的通信量,提高了其协作效率。     

Snort规则检测及其优化分析

入侵检测系统IDS的规则检测的效率直接关系到IDS系统的性能.本文对开放源码入侵检测系统Snort的规则检测进行了分析,从标准的规则检测所存在的问题出发,比较了已有的模式匹配算法,最后讨论了一种基于优化规则集的检测方案.     

UNIX系统入侵检测知识库体系结构研究

针对目前应用在UNIX系统中入侵检测知识库适应能力不足的问题.提出了一种适应于不同系统环境的知识库体系结构。检测规则按相应系统与服务类型以模块化形式存储,通过应用配制文件加载。实现了入侵检测知识库的可扩展性.提高了入侵检测知识库的通用性,并且可以提高检测规则的搜索效率。     

入侵检测系统(IDS)应用分析

入侵检测系统(IDS)是用来监视和检测入侵事件的系统.分析了入侵检测的过程和IDS应用部署.并分析了入侵检测系统的发展趋势.     

面向入侵检测的知识库系统研究

随着计算机互联网的迅速发展,网络的安全问题越来越受到人们的重视,传统的加密和防火墙技术已不能满足需求,入侵检测技术由此产生.虽然入侵检测系统(IDS)经过了20多年的发展,但仍然存在着许多问题需要解决.本文针对入侵检测系统的特点,提出了一个基于XML知识表示的知识库系统构架.本文采用XML来表示知识,重点阐述了如何将入侵检测系统中的规则和相关知识利用XML来描述.     

基于异常和特征的入侵检测系统模型

目前大多数入侵检测系统(Intrusion Detection System，IDS)没有兼备检测已知和未知入侵的能力，甚至不能检测已知入侵的微小变异，效率较低。本文提出了一种结合异常和特征检测技术的IDS。使用单一技术的IDS存在严重的缺点，为提高其效率，唯一的解决方案是两者的结合，即基于异常和特征的入侵检测。异常检测能发现未知入侵，而基于特征的检测能发现已知入侵，结合两者而成的基于异常和特征的入侵检测系统不但能检测已知和未知的入侵，而且能更新基于特征检测的数据库，因而具有很高的效率。     

入侵检测系统研究进展

入侵检测系统是信息安全领域研究的热点问题.在阐述入侵检测系统概念和类型的基础上,指出了当前入侵检测系统的优点及局限性.神经网络、遗传算法、模糊逻辑、免疫原理、机器学习、专家系统、数据挖掘、Agent等智能化方法是解决IDS局限性的有效方法.介绍并着重分析了2种基于智能方法的IDS,提出了IDS在今后发展过程中需要完善的问题.     

网络入侵检测系统的应用分析

病毒防范系统、防火墙系统、入侵检测系统(IDS)组成了一个完整的企业网络安全体系,其中IDS系统对无法预知的异常入侵具有实时分析、检测和预报的能力。IDS中所采取的入侵检测技术的优劣决定了该系统对入侵检测的有效性和实时性。     

一种轻量级的网络入侵检测系统的设计与实现

提出了一种轻量级的网络入侵检测系统,并介绍了该入侵检测系统的设计与实现技术,与传统的IDS系统相比,该系统具有良好的扩展性和检测效率。     

入侵检测系统检测效率的研究

目前的入侵检测系统(IDS)主要存在检测准确率低、检测速度较慢等缺点。本文以提高检测的准确率和速度为目的对入侵检测系统中的各功能模块进行分析,给出了一些关于提高入侵检测系统检测效率的方法。     

IDS检测引擎中模式匹配算法的加速研究

高速和准确是入侵检测系统(IDS)的主要指标,入侵检测引擎是基于特征的IDS的重要功能组件,加快入侵检测引擎的检测速度对提高IDS的整体性能至关重要.本文提出了一种有效分割目标文本,且能在并行体系结构下实现的模式匹配的方法.分析表明,新的处理方法能有效提高入侵检测引擎的检测速度.     

入侵检测协作检测模型的分析与评估

目前,入侵检测系统(IDS)存在较高的误报率,这一直是困扰IDS用户的主要问题,而入侵检测系统主要有误用型和异常型两种检测技术,根据这两种检测技术各自的优点,以及它们的互补性,将两种检测技术结合起来的方案越来越多地应用于IDS.通过引入入侵检测能力,从理论上深刻解释了系统协作的必然性,提出了异常检测技术和误用检测技术相结合的IDS模型及其评估方法,降低了单纯使用某种入侵检测技术时产生的误报率,从而提高系统的安全性.     

大数据环境下入侵检测系统概述

入侵检测系统(Intrusion Detection System,IDS)为网络空间安全做出重大贡献。然而随着大数据时代的到来,IDS暴露出效率低下、理念落后等系统性不足。本文结合大数据特征及传统IDS技术的不足,针对性地概述了分布式入侵检测系统(Districted Intrusion Detection System,DIDS),并在基本概念、系统分类和性能特点等方面对其做出重点解释。最后从深度学习、广度融合等角度展望了入侵检测技术的未来发展。     

入侵检测系统研究综述

首先论述了入侵检测系统(IDS)的研究概况,然后使用五种分类标准对入侵检测系统进行了科学分类,它们分别是控制策略、同步技术、信息源、分析方法和响应方式。接着,介绍了入侵检测系统的一些重要工具,并重点研究分析了基于信息源IDS和基于分析方法IDS,最后给出了入侵检测系统研究趋势和展望。     

IDS在校园网安全系统中的设计与应用

本文通过对IDS入侵检测系统分类情况的介绍和IDS入侵检测过程的分析,最后从数据采集子系统、数据分析子系统、控制台子系统、数据库管理子系统四个部分详细论述了校园网安全系统中IDS入侵检测系统的设计与实现的整个过程。     

纵深防御是根本

不管是IPS还是IDS,都离不开对入侵检测技术的研究,网络安全行业对入侵行为进行检测的技术积累将永不停息,只要有黑客行为存在,入侵检测技术就会不断发展、不断进步。 入侵检测的实现重点在于检测知识库和检测方法,这两方面的研究,IDS和IPS产品厂商都不能省去。没有所谓的一劳永逸的检测方法,即使目前市场上很多公司所宣称的智能入侵检测方法,也不能保证全部的入侵攻击行为被检测到。     

面向IDS的可变长检测器生成算法研究

在基于人工免疫的入侵检测系统（IDS）中,检测器集合直接影响检测结果的效率和准确度。针对目前基于人工免疫的IDS中检测效率和漏警率问题,提出了一种可变长检测器生成算法。该算法相对于已有的算法,降低了黑洞区域,减少了冗余检测器,提高了检测器生成效率和检测效率。给出了算法的设计思想、具体步骤以及在入侵检测系统中的具体实现。对算法的分析和实验表明,本算法用于入侵检测系统,提高了检测的准确率,降低了漏警率。同时,对各种异常检测向题具有一定的适用性。     

IDS测试中复合攻击测试数据的生成

从近几年的趋势来看,蠕虫以及DDOS等复合攻击将成为今后网络入侵的主要表现形式.入侵检测系统对复合攻击的检测能力逐渐成为入侵检测系统(IDS)能力测试中的一个重要方面.当前的测试方法主要采用搜集实际的攻击工具来进行攻击测试数据的生成.该方法受实际攻击形式的限制,所生成的数据集无法完成对IDS复合攻击检测能力的完备测试,并且不支持攻击的形式化描述与自动生成,使得测试数据集的生成效率很低.为此提出采用人工构造的完备入侵场景库来生成攻击流量,并在攻击流量中混合入噪声流量增加测试的准确性和公平性.基于这些改进,设计了一种针对滥用入侵检测系统评估的复合攻击测试数据生成系统,并应用在实际的IDS评估系统中.     

融合漏洞扫描的入侵检测系统模型的研究

目前大部分入侵检测系统(IDS)采用基于模式匹配的入侵检测方法,该方法由于计算量大,因而在高速网络中检测效率较低。文章提出一种新的融合漏洞扫描功能的IDS模型,通过定期对系统进行漏洞扫描,及时修补系统安全漏洞,同时IDS根据漏洞扫描结果,对模式库进行动态更新,删除与得到修补的漏洞有关的攻击模式,缩减模式库的规模,提高检测效率。文章根据该模型提出一种基于多Agent的分布式IDS体系结构,提高了系统的可扩充性。     

入侵检测系统标准化分析研究

IDS(入侵检测系统)是继防火墙、数据加密等传统安全保护措施后新一代的安全保障技术,得到了越来越多的应用.其标准化问题研究,是入侵检测技术和产品发展的必然要求,标准化的制定有利于不同的IDS之间,增强信息共享和交换的能力,加强IDS之间的交流和协作.对公共入侵检测框架CIDF标准和入侵检测消息交换格式IDMEF标准进行了详细的分析研究.对我国标准制定提出了相关的思考.