基于混合神经网络的异常信息流检测模型

针对传统的异常信息流检测方法的不足,设计了一个异常信息流检测模型,该模型采用了神经网络中的决策树算法对信息流进行归纳分类,采用信息增益作为分类属性选择标准来构造规则决策树,针对网络流量进行分析,能提高检测速度。开辟了一条检测异常信息流的新途径。     

基于贝叶斯和决策树的入侵检测方法

针对目前基于贝叶斯或决策树的入侵检测方法存在检测率低、误检率高的问题,提出了一种基于贝叶斯和决策树的入侵检测方法。该检测方法首先采用基于特征相似度的朴素贝叶斯方法对训练集中的样本进行分类,更新每个样本的类值;然后对训练集中的样本再次使用朴素贝叶斯方法进行分类,对存在误分类样本的类采用决策树的信息增益来确定属性划分子类,再对子类进行分类和划分操作;最后建立贝叶斯和决策树的混合模型进行入侵检测。实验结果表明,与单独使用贝叶斯或者决策树的检测方法相比,该检测方法具有较高的检测率。     

基于k-means和决策树的混合入侵检测算法

随着网络复杂度的增加,传统的入侵检测方法已经无法满足日益增长的安全需求。采用大数据的挖掘算法提高入侵检测的检测率是当前研究的热点。为此,本文提出一种基于k-means和决策树算法的混合入侵检测算法(KDI)。该算法首先对数据预处理的离散化方法进行改进,获取高质量样本数据,并根据现实中易出现类别信息增益比差异小的特点,利用k-means算法根据增益比差异将样本数据先分类再建立决策树,提升了算法的检测率。实验结果表明KDI算法能够有效地检测网络数据中隐含的已知和未知的入侵行为。     

决策树在网络入侵检测中的研究与应用

该文在描述决策树分类算法的基础上,叙述了决策树分类算法用于网络入侵检测领域,给出了决策树分类模型的构造过程,并说明了应用基于决策树模型检测入侵的过程。最后用KDD CUP 99数据进行实验,验证了用本文描述的方法检测入侵行为的有效性。     

一种基于变精度粗糙集的C4.5决策树改进算法

针对C4.5决策树构造复杂、分类精度不高等问题,提出了一种基于变精度粗糙集的决策树构造改进算法.该算法采用近似分类质量作为节点选择属性的启发函数,与信息增益率相比,该标准更能准确地刻画属性分类的综合贡献能力,同时对噪声有一定的抑制能力.此外还针对两个或两个以上属性的近似分类质量相等的特殊情形,给出了如何选择最优的分类属...     

变精度粗糙集模型在决策树构造中的应用

针对ID3算法构造决策树复杂、分类效率不高等问题,本文基于变精度粗糙集模型提出了一种新的决策树构造算法。该算法采用加权分类粗糙度作为节点选择属性的启发函数,与信息增益相比,该标准更能够全面地刻画属性分类的综合贡献能力,计算简单,并且可以消除噪声数据对选择属性和生成叶节点的影响。实验结果证明,本算法构造的决策树在规模与分类效率上均优于ID3算法。     

一个基于粗集的决策树规则提取算法

决策树是数据挖掘任务中分类的常用方法。在构造决策树的过程中,分离属性的选择标准直接影响到分类的效果,传统的决策树算法往往是基于信息论度量的。基于粗糙集的理论提出了一种基于属性重要度和依赖度为属性选择标准的决策树规则提取算法。使用该算法,能提取出明确的分类规则,比传统的ID3算法结构简单,并且能提高分类效率。     

一种Snort规则的优化方法

Snort是一款基于规则发现入侵行为的网络入侵检测系统,为了提高入侵检测系统中检测引擎的速度和效益,在分析Snort的规则组织结构和规则匹配过程的基础上,提出了一种规则优化的方法。该方法充分利用了协议特征和规则内容,能有效地加快检测引擎的速度,提高入侵检测的效率。     

基于信息增益的防火墙过滤域排序优化

传统的防火墙从检测规则冲突和调整规则排序两方面来提高防火墙性能,但效果都不是很理想。本文从优化防火墙过滤域排序这样的一个新角度,依据信息增益理论构造决策树,然后根据决策树层次与防火墙过滤域排序的对应关系,确定了过滤域的最优排序。实验表明,这个最优排序确实能够显著地降低数据包与防火墙规则的元组比较的总次数,从而提高防火墙的过滤效率。     

一个基于粗集的决策树规则提取算法

决策树是数据挖掘任务中分类的常用方法。在构造决策树的过程中，分离属性的选择标准直接影响到分类的效果，传统的决策树算法往往是基于信息论度量的。基于粗糙集的理论提出了一种基于属性重要度和依赖度为属性选择标准的决策树规则提取算法。使用该算法，能提取出明确的分类规则，比传统的IDB算法结构简单，并且能提高分类效率。     

基于Snort的混合入侵检测系统的研究与实现

在分析研究snon系统的优缺点的基础上,利用其开源性和支持插件的优势,针对其对无法检测到新出现的入侵行为、漏报率较高以及检测速度较低等问题,在snon系统的基础上结合入侵检测中的数据挖掘技术,提出一种基于snort系统的混合入侵检测系统模型。该系统模型在snort系统原有系统模型基础上增加了正常行为模式构建模块、异常检测模块、分类器模块、规则动态生成模块等扩展功能模块。改进后的混合入侵检测系统能够实时更新系统的检测规则库,进而检测到新的入侵攻击行为;同时,改进后的混合入侵检测系统具有误用检测和异常检测的功能,从而提高检测系统检测效率。     

一种改进的多模式匹配算法在Snort中的应用

模式匹配算法是入侵检测系统的重要组成部分。为进一步提高入侵检测系统的性能和效率,提出一种新的多模式匹配算法——完全自动机匹配算法(CA-AC算法),并将其应用于入侵检测系统Snort中。该算法是对Aho-Corasick算法的改进,根据新算法进行状态转换使得自动机状态减少,相应节约了存储空间。分析了算法的复杂度。实验表明,完全自动机算法在Snort中的应用改进了算法的性能,提高了Snort系统的规则检测效率。     

关联规则向Snort规则转换的应用研究

在入侵检测中的使用关联规则算法,在检测的时候需要重新计算一些统计数据,降低了检测的速度和准确度,所以它提出了一种把数据挖掘的关联规则转化成Snort规则库的方法,这样既提高了入侵检测的速度和准确率,也使得入侵检测具有了一定的自适应能力。     

Mining fuzzy association rules and fuzzy frequency episodes for intrusion detection

Lee, Stolfo, and Mok 1 previously reported the use of association rules and frequency episodes for mining audit data to gain knowledge for intrusion detection. The integration of association rules and frequency episodes with fuzzy logic can produce more abstract and flexible patterns for intrusion detection, since many quantitative features are involved in intrusion detection and security itself is fuzzy. We present a modification of a previously reported algorithm for mining fuzzy association rules, define the concept of fuzzy frequency episodes, and present an original algorithm for mining fuzzy frequency episodes. We add a normalization step to the procedure for mining fuzzy association rules in order to prevent one data instance from contributing more than others. We also modify the procedure for mining frequency episodes to learn fuzzy frequency episodes. Experimental results show the utility of fuzzy association rules and fuzzy frequency episodes for intrusion detection. © 2000 John Wiley & Sons, Inc.     

Detecting intrusion transactions in databases using data item dependencies and anomaly analysis

Abstract: The purpose of the intrusion detection system (IDS) database is to detect transactions that access data without permission. This paper proposes a novel approach to identifying malicious transactions. The approach concentrates on two aspects of database transactions: (1) dependencies among data items and (2) variations of each individual data item which can be considered as time‐series data. The advantages are threefold. First, dependency rules among data items are extended to detect transactions that read or write data without permission. Second, a novel behaviour similarity criterion is introduced to reduce the false positive rate of the detection. Third, time‐series anomaly analysis is conducted to pinpoint intrusion transactions that update data items with unexpected pattern. As a result, the proposed approach is able to track normal transactions and detect malicious ones more effectively than existing approaches.     

具有修复特性的GP在入侵检测规则自动提取上的应用

将GP应用于入侵检测规则自动提取，利用GP全局寻优的能力得到较好的入侵检测规则，从而降低误报率和漏报率．针对传统剪枝操作对模式的破坏作用较大的问题，我们提出一种新的算子：修补算子．文章的最后给出了实验结果，并与其他文献的同类实验结果进行了比较，证明了改进GP的有效性和先进性．     

基于数据挖掘技术的智能化入侵检测模型

给出了一个基于数据挖掘技术智能化入侵检测模型,它由若干个对等式执行入侵检测功能的单元IDU（intrusion detection unit)组成,每个IDU参照通用入侵检测轮廓CIDF（common intrusion detection framcwork)构建,该模型采用关联规则,序列规则对数据进行挖掘,用判定树分类技术对获得的模式进行分类,实验表明,该模型具有较好的效益。     

GP在入侵检测规则提取中的适应度函数设计

适应度函数设计是GP应用中的关键问题之一,针对入侵检测规则自动提取的特点,设计了GP的适应度函数,并利用GP全局寻优的能力得到较好的入侵检测规则,从而降低误报率和漏报率。最后给出了实验结果,并与其他文献的同类实验结果进行了比较,证明了改进GP的有效性和先进性。     

基于扩展贝叶斯分类算法的网络安全检测

很多网关系统和入侵检测系统被设计来保护自身网络系统的安全，其中一种安全隐患是现有网关系统的不完备性和入侵检测系统的虚警和漏警。总结了前人成果，将贝叶斯算法进行了改进并与之融合，对原有的入侵检测算法提出了改进，得到了一个新的模型。该模型提高了入侵检测系统的完备性和准确性，更有效地保障了网络系统的安全。     

基于协议分析的散列模式入侵检测方法

对网络入侵检测系统的工作方式和常用模式匹配算法进行分析,给出了一种基于协议分析的高效散列模式方法,并使用应用层协议的分析,利用多层次的散列表来构造检测规则集的模式树。在目前网络流量不断增大、入侵特征规则数量迅速增加的情况下,可以有效地提高网络入侵检测系统的工作效率并降低误报率。