共查询到20条相似文献,搜索用时 593 毫秒
1.
基于数字挖掘的智能化入侵检测系统 总被引:3,自引:1,他引:2
文中提出了一种具有自学习、自完善功能的入侵监测模型,可发现已知和未知的滥用入侵和异常入侵活动。在提出的模型中,移动Agent将收集到的各个活动监测Agent采集的数据发送给事件的序列生成器,事件序列生成器将由此产生的事件序列提出交给数据挖掘引擎进行证据发现。检测引擎对发现的证据和已有规则间的相似性进行评估后由决策引擎做最终的裁决。并据此维护规则和对各个活动监测Agent发出对抗指令。 相似文献
2.
分析了入侵检测系统的现存问题,总结了入侵事件关联系统的最新进展和缺陷,提出一个基于人机交互式知识发现的入侵事件关联系统.该系统离线部分在入侵事件关联领域首次引入FP-Tree和WINEPI算法进行交互式知识发现,并将发现的频繁模式和序列模式转化成人侵事件关联规则;在线部分利用先验知识和交互式知识发现的关联知识,以嵌入式CLIPS推理组件作为推理引擎,对多个入侵检测器上报的事件进行高效关联和归并.在集成化网络安全监控及防卫系统Net-Keeper中的实际应用表明本系统是一个开放、高效的入侵事件关联平台. 相似文献
3.
针对入侵检测系统报警信息量大、琐碎和分散的问题,提出了一种基于不确定性知识发现的入侵报警关联方法。该方法的知识发现部分采用提出的不确定性序列模式发现算法—CWINEPI对报警数据进行序列模式发现,并将经过筛选后获得的入侵报警序列模式转化成入侵报警精简规则;再对入侵报警序列模式进行关联以获取攻击模式,并转化为入侵场景重建规则。入侵报警关联部分利用获取的入侵报警精简规则和入侵场景重建规则,以模式匹配方法构造报警关联引擎,对多个入侵检测系统上报的入侵报警进行关联。美国国防部高级研究计划局2000年入侵评测数据(DARPA2000)的报警数据验证了知识发现部分的良好性能;测试环境中的入侵报警的关联结果表明了该方法是高效、可行的。 相似文献
4.
在网络安全知识库系统的基础上,提出一个基于网络安全基础知识库系统的入侵检测模型,包括数据过滤、攻击企图分析和态势评估引擎。该模型采用进化型自组织映射发现同源的多目标攻击;采用时间序列分析法获取的关联规则来进行在线的报警事件的关联,以识别时间上分散的复杂攻击;最后对主机级和局域网系统级威胁分别给出相应的评估指标以及对应的量化评估方法。相比现有的IDS,该模型的结构更加完整,可利用的知识更为丰富,能够更容易地发现协同攻击并有效降低误报率。 相似文献
5.
一种基于Agent的决策支持系统生成器新框架 总被引:6,自引:1,他引:5
在已有DSS框架的基础上,提出了一种基于Agent决策支持系统生成器新框架,并讨论了该框架中各类Agent的结构和实现方式。 相似文献
6.
网络入侵检测系统中的事件分析核心技术研究 总被引:2,自引:0,他引:2
该文针对入侵检测系统中的核心组件———事件分析引擎,在对各种事件分析技术做出分析的基础之上,设计了一种以归纳学习获得判决模型的基于规则分类判决的事件分析引擎。分析了该IDS的分类模型及算法,并以DARPA入侵检测数据为基础做相应实验,得出几个有用的结论。实验结果表明,该事件分析引擎具有很高的检测概率和很低的虚警概率。 相似文献
7.
8.
日志文件是计算机取证的重要依据.分析现有日志取证技术的不足,提出基于日志关联分析的计算机取证模型,通过对犯罪入侵事件特征和序列的关联分析,提取犯罪入侵证据. 相似文献
9.
应用分形、智能Agent和神经网络自适应控制技术,研究分形供应链适应环境变化的结构模式和策略模式.探讨了分形供应链Agent关联结构,提出了分形供应链双层自适应协同计算模式,论述了资源Agent,信息协调Agent,人机交互Agent和领域计算Agent之间的相互作用关系.以一个分形模块的策略协同为分析对象,研究了领域单元的自适应协同计算模式,分析了分形模块的成本模型,并对基于Agent交互的神经网络模型部分进行了算例仿真. 相似文献
10.
针对传统入侵检测系统对付复杂攻击防御时暴露出的不足,提出利用数据挖掘技术进行网络入侵事件协同分析,建立关联规则与序列规则模型,并结合两者进行全局信息推理获取复杂攻击模式.重点研究了复杂入侵事件的防御决策技术和基于有限自动机的危机分析方法,详细分析了防御决策向量的制定过程以及防御知识的表示问题.实验结果表明,所提出的模型和方法能通过提前确定防御点增强系统防御的实时性与有效性. 相似文献
11.
在引入领域(Realm)概念的基础上,提出了一种新的蜜网模型——BRHNS(Based Realm Honeynets)。BRHNS模型利用Realm之间的协作性.提高了蜜网的工作效率,其中的入侵行为分析模块,用无监督聚类的方法对未知攻击的数据进行分类预处理.为以后提取入侵规则并将新的入侵规则添加到IDS规则库中打下了基础,进而提高了IDS的检测效率,降低了蜜网的工作量。通过交叉验证的方法进行实验,发现用无监督聚类算法能够很好地对攻击数据进行分类。 相似文献
12.
该文提出了一种基于事件代数的多事件入侵特征的形式化定义机制,用一组事件运算来表示入侵特征,对多事件入侵检测特征定义中的若干普遍问题给出了系统化的解决方案。文章还提出了一种“带约束的有色Petri网模型”来构造事件检测引擎。 相似文献
13.
Petri网在IDS中的应用研究 总被引:2,自引:0,他引:2
传统的基于Petri网的入侵检测方法只能实现误用检测,而且构造入侵模式的效率太低,不适合如今网络大规模化和入侵复杂化的趋势。针对这两个问题,该文将传统入侵检测过程中的数据分析过程分解为事件产生过程和事件分析过程两个子过程,不仅保留了基于Petri网入侵检测方法原有的优势,而且缓解了入侵模式构造效率低的问题,并且实现了异常检测。实验分析表明,该改进方案对于入侵检测是很有效的。 相似文献
14.
针对传统入侵检测规则手工定制的弊端和可扩展性差、适应性差等缺点,设计一种基于数据挖掘技术的可行入侵检测系统模型。模型中引入数据挖掘技术使其能得到计算机系统入侵行为和正常行为,并利用异常检测和误用检测的各自优势,引入混合入侵检测引擎模块。经分析,该检测模型比传统的检测模型有着明显的优势。 相似文献
15.
16.
设计了一个基于数据挖掘技术的网络入侵检测系统模型。该模型在Snort入侵检测系统的基础上,利用数据挖掘技术增加了聚类分析模块、异常检测引擎和关联分析器。该系统不仅能够有效地检测到新的入侵行为,而且能提升检测的速度,在达到实时性要求的同时,解决了一般网络入侵检测系统对新的入侵行为无能为力的问题。 相似文献
17.
在分布式入侵检测系统中,各部件间有时需要互相协作来完成复杂的检测任务,因此需要一种通用而且高效的入侵检测协作机制。本文设计了一种基于协作代理的分布式入侵检测模型,在这种方式中,设计了协作代理,负责对来自于各个入侵检测代理的检测结果进行关联分析,并结合从其他域的协作代理收到的报警消息来检测复杂的入侵行为。 相似文献
18.
随着计算机和网络技术的发展,网络入侵事件的日益增加,人们发现只从防御的角度构造安全系统是不够的,入侵检测成为继“防火墙”、“数据加密”等传统安全保护措施后新一代的网络安全保障技术。本文首先介绍入侵检测原理和分布式入侵检测方面的相关工作,在分析已有分布式入侵检测系统模型的基础上,提出了一个基于代理的校园网入侵检测系统模型框架。该模型采用分布式的体系结构,由一个代理控制中心和若干代理组成,结合了基于网络和基于主机的入侵检测方法。使用代理技术在分布式环境下对入侵进行检测,可以有效地检测各种入侵,并具有很好的可扩充性。 相似文献
19.
针对系统内评估信息来源单一、准确度偏差过大与异构数据提取融合不充分的问题,提出了一种可扩展攻击行为的多源异构网络安全数据融合框架。首先,建立以攻击模式为核心的安全事件分析模型,进一步精简安全数据;其次,针对决策层数据特征提取不足的问题,建立了基于攻击行为的1D-CNN (1D convolutional neural network,1D-CNN)模型,对警务安全数据进行特征学习和重构;为了进一步提高警务云安全数据的分类能力,模型改进了D-S证据理论并结合多源安全数据的可信度进行数据融合。实验分析表明,基于1D-CNN的改进D-S证据理论模型进一步提高了警务云中安全事件的报警识别率,与其他相关技术相比,该模型具有较好的分析能力,对警务云的安全入侵检测和漏洞分析具有重要意义。 相似文献
20.
基于Agent的入侵检测系统框架研究 总被引:9,自引:2,他引:9
文章在CIDF(通用入侵检测框架)的基础上,引入了静态智能Agent和移动Agent,提出了基于Agent的入侵检测系统框架的构想,采用静态智能Agent实现事件组件和分析组件的功能,采用移动Agent实现响应组件的功能。此框架的特点包括可扩展性、可动态配置、集成性、有效性、便于维护、升级和可自动响应等等,从而极大地改善了入侵检测系统的性能。 相似文献