基于推理模型的报警关联分析方法

入侵检测系统(IDS)存在着报警重复、报警信息层次低、对设备的依赖性较强等问题。提出了一种基于推理模型的报警关联分析方法,通过建立语义映射和推理模型,对报警信息进行关联分析,生成报警关联图,构建攻击场景。实验表明,该方法构建的攻击场景图能够准确反映当前网络面临的安全威胁,为进一步的网络安全威胁态势感知工作提供了很好的指导。      

基于蜜罐技术的网络入侵检测系统协作模型的研究与实现

针对当前互联网中传统的入侵检测系统无法对未知攻击作出有效判断,而造成信息误报和漏报的问题,从入侵检测和蜜罐的基本特点出发,提出了一种基于蜜罐技术的网络入侵检测系统协作模型,通过引诱黑客入侵,记录入侵过程,研究攻击者所使用的工具、攻击策略和方法等,提取出新的入侵规则,并实时添加到IDS规则库中,以提高IDS检测和识别未知攻击的能力,进一步提升网络的安全性能.     

Linux平台下网络入侵防御系统的研究与实现

针对防火墙和入侵检测系统在网络安全防御上存在的缺陷,本文提出了一个在Linux平台下,基于两层防御机制的网络入侵防御系统．该系统扩展了网关防火墙的入侵检测功能．实现了网关防火墙对攻击的最初防御,增加了入侵检测系统Snort的联动响应功能,Snort对逃避了网关防火墙检测的复杂攻击进行再次防御．实验结果证明,两层防御机制对大规模的蠕虫攻击起到了实时抵制作用．     

入侵检测与聚类分析

传统的入侵检测方法在面对网络结构升级和未知攻击时 ,缺乏必要的扩展性和自适应能力 ,而基于机器学习的检测算法首先需要训练数据集进行训练 ,然后建立检测模型并通过测试数据集中入侵行为的检测结果来验证 ,此类方法由于获取类标识数据的困难性及其信息表达的局限性 ,降低了对未知攻击的检则能力。本文提出利用遗传聚类进行入侵检测算法IDUGC(IntrusionDetectionUsingGeneticClustering)。实验结果表明 ,此算法在未知入侵检测方面是可行的、有效的 ,并具有良好的可扩展性     

基于HMM和自组织映射的网络入侵检测算法

随着网络入侵多样化的发展,传统的防火墙、数据加密等防御方法已经很难保证系统和网络资源的安全,为此,设计了基于隐形马尔科夫模型HMM和自组织映射SOM的网络入侵检测方法。首先建立了自组织映射-HMM的双层入侵检测模型,采用样本数据训练SOM网,然后将测试数据输入SOM模型获得观察序列对应的攻击类别的后验概率,将此后验概率用于训练HMM模型获得概率初始分布和状态转移概率等各参数。最后,通过比较测试数据在各模型下发生概率的大小来获取对应的攻击类别。仿真实验表明本研究方法能有效实现网络入侵检测,较经典的HMM方法以及改进的神经网络方法,具有较高的检测率和较低的误报率,同时具有较少的检测时间。     

入侵检测与聚类分析

传统的入侵检测方法在面对网络结构升级和未知攻击时，缺乏必要的扩展性和自适应能力，而基于机器学习的检测算法首先需要训练数据集进行训练，然后建立检测模型并通过测试数据集中入侵行为的检测结果来验证，此类方法由于获取类标识数据的困难性及其信息表达的局限性，降低了对未知攻击的检则能力。本文提出利用遗传聚类进行入侵检测算法IDUGC(Intrusion Detection Using Genetic Clustering)。实验结果表明，此算法在未知入侵检测方面是可行的、有效的，并具有良好的可扩展性。     

基于CORBA技术的分布式入侵检测系统研究

首先简述了网络攻击、入侵检测和CORBA等相关概念;然后针对传统入侵检测系统的不足,设计了一个基于CORBA技术的分布式入侵检测系统的模型,详细分析了该模型的系统结构、功能及特点。     

基于数据挖掘和本体的入侵警报关联模型

为了突破入侵检测领域的原有瓶颈,提出了一种新的基于数据挖掘和本体的入侵警报关联模型。该模型通过对底层警报的聚类和分类,发现并且筛选攻击,然后根据已建立的基于本体的攻击知识模型,对这些攻击进行关联,以达到识别、跟踪和预测多步攻击的目的。通过对KDD Cup1999和DARPA 2000数据集的模拟实验,验证了模型的有效性。     

基于贝叶斯网络的多agent分布式入侵检测技术

通过对分布入侵检测技术和agent技术的研究提出了一个基于多agent的分布式入侵检结构.结构中用Bayesian网络来表示对计算机网络进行攻击的知识和团树传播算法,将Bayesian网络划分为多个Bayesian子网,每个Bayesian子网转变为一棵团树;每个Bayesian子网有一组agent管理,agent通过Bayesian子网进行似然推理,从而能够实现在检测到入侵活动时提前发出警报.     

遗传算法在入侵检测规则提取中的应用

传统入侵检测系统的攻击规则库需要专家手工建立,为了实现入侵检测系统中攻击规则生成的自动化,提出将遗传算法应用于入侵检测规则学习问题中.遗传算法依据网络审计记录推导出分类规则,用支持度-置信度函数作为适应度函数进行规则评估,产生的规则用于实时环境中的检测或分类网络入侵.最后通过入侵实例验证了方法的有效性.     

面向入侵检测的机器学习方法综述

入侵检测方法是基于网络的入侵检测系统的核心,可以是基于特征的,也可以是基于异常的。基于特征的检测方法具有较高的检测率,但不能检测到未知新型攻击;基于异常的检测方法可以检测到新型攻击,但误报率较高。为了降低入侵检测的误报率并提高其检测率,许多机器学习技术被应用到入侵检测系统中。通过对大量带有入侵数据训练样本的学习,构建了一个用于区分正常状态和入侵状态的入侵检测模型。针对目前入侵检测系统存在的高误报率、低检测速度和低检测率等问题,对机器学习技术在入侵检测系统中的的优势、系统检测的通用数据集以及系统评估指标进行了详细阐述,并对未来研究趋势进行了展望。     

OSPF路由协议的脆弱性分析

首先介绍了OSPF(OpenShortestPathFirst开放最短路径优先)路由协议及其数据包的头部结构,接下来介绍了与之相关的链路年龄、链路序号、链路校验等三个参数以及OSPF协议存在的脆弱性,分析了针对OSPF的三种外部攻击方法(即链路序号加一攻击,最大链路年龄攻击和最大链路序号攻击)和两类内部攻击方法.针对如何检测某一种特殊攻击的问题,介绍了公钥验证的思路.最后,提出了利用入侵检测系统来识别各种攻击的办法.     

网络安全与入侵检测技术研究

随着网络安全技术的发展,入侵检测系统在网络安全中的应用越来越普遍.文章介绍了常见的入侵的攻击手段及入侵检测技术的概念,分析了入侵检测的方法.并对入侵检测技术的发展趋势进行了探讨.     

小样本纠错的多层入侵检测分类研究

入侵检测对于网络安全至关重要,不平衡或易混淆的训练样本往往导致传统入侵检测算法效率不佳。为此,提出一种小样本纠错的多层检测分类模型。首先,通过正交投影降维分类算法,使用入侵检测数据集的训练集构建第一层的初筛分类器,将待测样本粗分为三类;然后基于支持向量机及随机森林算法构造第二层和第三层的级联分类器组,每层逐步纠错前面层,并细分至五类;最后,用开源入侵检测评测数据集NSL-KDD进行实验。实验结果表明,本文的方法显著提高了对于拒绝服务攻击（Denial of Service,DoS）、探测攻击（Probe）、未经授权的远程访问（Remote to Local,R2L）类攻击样本的准确率,整体召回率及准确率优于同类研究。     

一种改进的基于簇的源动态路由协议入侵检测策略的研究与仿真

由于Ad Hoc网络的自组织、动态变化特性,极易受到入侵节点的攻击。针对Ad Hoc网络安全性方面的不足,提出一种改进的基于簇的入侵检测策略,通过在一跳范围内随机选举簇首节点,利用簇首节点对网络节点的收发状态进行监视,从而防止了入侵攻击在网络中的蔓延。利用OPNET软件对成簇和入侵检测策略进行了仿真,仿真结果表明,该策略降低了由网络攻击引起的负载开销,提升了网络吞吐性能.     

基于WOWA-FCM的复合攻击检测模型

为有效处理复合攻击检测中的诸多不确定性及复杂性因素,提出了基于WOWA-FCM的复合攻击检测模型.WOWA-FCM检测模型从攻击意图分析的角度,利用模糊认知图(Fuzzy Cognitive Maps, FCM)对初级入侵警报进行因果关联;并结合脆弱性知识与系统配置信息,利用WOWA(Weighted Ordered Weighted Averaging)算子融合关联数据.WOWA-FCM检测模型不仅能识别复合攻击各个阶段、构建完整的攻击视图,并且能动态地评判攻击进度和目标系统的安全状态.WOWA-FCM模型简化了传统的复合攻击检测过程,并具有较强的适应性.Mstream DDoS攻击检测实验证明了方法的有效性.     

不平衡数据下基于CNN的网络入侵检测

深度学习的自学习能力可以实现入侵检测系统的不断更新及扩展,增强入侵检测系统的防范能力,但目前大部分基于深度学习的网络入侵检测研究都未考虑到数据集类别不平衡问题.针对此问题,提出了一种类别重组技术结合Focal Loss损失函数的处理方法,用于原始网络入侵流量分类.该方法把原始流量生成灰度图输入卷积神经网络CNN进行特征提取学习,类别重组技术保证了训练集中攻击类别间的相对均衡,而Focal Loss损失函数通过影响类别权重提高了CNN模型对复杂样本的关注.在三个CNN模型上进行了实验,macro-f1分别提高了9.41%, 1.65%和4.39%,结果表明该方法能够有效处理网络入侵检测中的类别不平衡问题,且明显提高了少数类样本的识别精度.     

基于内外卷积网络的网络入侵检测

网络入侵检测通过分析流量特征来区分正常和异常的网络行为以实现入侵流量的检测,是网络安全领域的重要研究课题.针对已有入侵检测模型特征提取过程复杂、信息提取不足等问题,提出了一种基于内外卷积网络的入侵检测模型.首先使用一维卷积神经网络提取流量数据的内部特征,然后通过对内部特征计算相似度建模得到无向同质图,此外将流量在外部网络侧的通信行为建模为有向异质图,并对两图使用图卷积网络学习包含网络流量多种交互行为的嵌入向量,最后将学习到的流量嵌入向量输入到分类器中用于最终的分类.实验结果表明,所提模型的检测准确率和误报率均优于对比模型.     

关于IDS和防火墙有机整合的探讨

为提高内部网络的安全性，通常同时采用防火墙和入侵检测系统(IDS)，但是两者都有无法克服的缺点。防火墙是整个内部网络的门户，为了不影响网络的吞吐量，不宜采用深入的检测；而IDS在防火墙后运行，可以深入检测，但是一旦发现入侵，能采取的措施却极为有限，最多只能断开连接，对于后续的相同的攻击无能为力。因此应该建立一种机制，让IDS发现的入侵规则及时通知防火墙，阻断同样类型的攻击，如果把两者整合到一起，将发挥更大的优势。     

一种基于遗传算法的误用检测模型自适应建立算法

传统入侵检测系统的攻击模型库需要专家手工建立,不利于系统的推广和应用.为了实现入侵检测系统中入侵特征提取和攻击规则生成的自动化,提出将遗传算法应用于入侵检测规则学习问题中.采用遗传进化操作启发式搜索网络特征数据空间,通过操作算子进行遗传运算,产生出具有高适应度的个体,从而自动归纳出某种入侵的共同属性.采用DARPA入侵检测评价计划数据库进行了仿真实验,该方法归纳总结出的攻击特征符合客观事实,与专家建立的攻击规则一致,并且较好地处理了噪音数据,具有鲁棒性.误用检测模型自适应建立算法能够在无专家参与的情况下自动建立攻击类型库,增强了入侵检测系统的可移植性.