基于优化Apriori算法的入侵检测系统模型设计

复合攻击是网络入侵的主要形式之一。如何检测复合攻击是当前入侵检测研究的一个重要方向,经过对复合攻击模式的大量研究,提出了一种基于自动调节的警报关联模型。为了提高入侵检测系统的效率,针对入侵检测系统的特点,将数据挖掘技术引入模型中。阐述了使用为关联规则提取所优化的Apriori算法,对日志文件进行特征分析与知识发掘的入侵检测系统模型的设计。     

基于报警序列的入侵场景自动构建

传统的入侵检测系统(IDS)由于其规则的抽象程度较低,导致一次攻击行为会产生大量重复和相关报警.研究表明,入侵场景可提供较高层次的抽象来表示攻击过程,但是已有研究方法均无法在线生成入侵场景.提出一种自动构建入侵场景的方法,将原始报警按照(源,目标)IP对和优先级分类成不同超报警序列集合,从中挖掘频繁闭序列作为入侵场景.在Darpa数据集上的实验表明,该方法可以满足在线运行,并可有效发现攻击过程.     

基于不确定性知识发现的入侵报警关联方法

针对入侵检测系统报警信息量大、琐碎和分散的问题,提出了一种基于不确定性知识发现的入侵报警关联方法。该方法的知识发现部分采用提出的不确定性序列模式发现算法—CWINEPI对报警数据进行序列模式发现,并将经过筛选后获得的入侵报警序列模式转化成入侵报警精简规则;再对入侵报警序列模式进行关联以获取攻击模式,并转化为入侵场景重建规则。入侵报警关联部分利用获取的入侵报警精简规则和入侵场景重建规则,以模式匹配方法构造报警关联引擎,对多个入侵检测系统上报的入侵报警进行关联。美国国防部高级研究计划局2000年入侵评测数据（DARPA2000）的报警数据验证了知识发现部分的良好性能;测试环境中的入侵报警的关联结果表明了该方法是高效、可行的。     

基于数据挖掘和规划的智能网络入侵检测系统

本文构建了一个智能化的网络入侵检测系统--SmartNIDS的体系结构。SmartNIDS通过采集网络的数据源和主机的日志数据，利用数据挖掘技术对安全审计数据进行智能的检 测，分析来自网络外部的入侵攻击以及内部的未授权行为，同时结合规划识别的方法识别攻击者的入侵意图，提供实时报警和自动响应，实现一个自适应、智能化的入侵检测和预警系统。     

基于Apriori算法的攻击行为时序关联规则检测方法

针对当前大部分入侵检测系统(IDS)的报警信息只包括对单独攻击行为的描述,缺少攻击行为之间的关联规则,使得IDS数量巨大的报警数据难以理解的问题,探索并实现了一种通过将报警信息进行关联生成报警序列,并且使用Apriori算法挖掘报警序列中的攻击行为时序关联规则的方法.实验证明了该方法能检测出报警数据中蕴含的各攻击行为之间的时序关联规则.     

入侵检测中对系统日志审计信息进行数据挖掘的研究

入侵检测系统是用来检测网络入侵行为的工具，入侵检测系统的关键在于其安全模式规则的准确性，网络系统中存在大量的日志审计数据，在这些日志审计数据中含有许多与安全有关的信息，入侵检测系统可以从日志审计数据中提取安全模式规则，但由于这些日志审计数据量非常庞大，因此采用数据挖掘技术从中进行安全模式规则的提取，研究了如何在入侵检测中对系统日志审计信息进行数据挖掘，提出了全套的步骤，并重点论述了采用轴属对日志审计信息进行特征提取。     

基于日志的网络背景流量模拟仿真

入侵检测系统（IDS）的开发与评估需要一个仿真的网络环境，网络流量模拟仿真技术是其中关键技术之一．在详细分析了网络流量的模拟仿真技术及其相关软件基础上，设计并实现了一种基于日志的网络背景流量模拟仿真软件，解决了入侵检测系统测试中的攻击类型定义和背景流量问题，并使用谊软件模拟真实的网络环境对入侵检测系统进行测试分析，实验结果表明，基于日志的网络背景流量仿真软件能够在日志信息的基础上以不同速度动态回放网络流量仿真数据，并能够对日志数据进行修改．增加了对入侵检测系统测试的灵活性．     

大数据技术在计算机网络入侵检测中的研究

传统的网络入侵检测技术无法识别错综复杂的网络攻击,提出以大数据技术构建网络入侵检测模型,采用数据挖掘中聚类、分类和关联规则算法自动识别网络中攻击模式,这种方式能够快速学习和提取网络攻击的特征形态。仿真实验表明,基于大数据技术的网络入侵检测技术能够获得较高的攻击模式识别准确率。     

数据挖掘技术在入侵检测系统中的实现

为了提高入侵检测系统的效率,将数据挖掘技术应用于网络入侵检测.本文实现了基于数据挖掘的入侵检测系统,采用了分层分类与关联规则分析数据.经过系统测试,能够完成对正常与异常类的分类,用关联规则分析产生入侵检测规则,并通过规则判断对入侵行为进行报警.     

基于windows平台的snort入侵检测系统研究与实现

本文使用抓包库WinPcap,入侵探测器snort,Web服务器Apache,数据库MySQL,入侵数据分析控制台ACID构建了Windows平台下基于snort的网络入侵系统。Snort对监控网络中的数据包进行规则匹配,检测入侵行为,并将日志保存至MYSQL数据库,ACID分析数据库数据,生成网络入侵事件日志图表。     

一种基于多因素的告警关联方法

入侵检测系统作为保护网络安全的重要工具已被广泛使用,其通常产生大量冗余度高、误报率高的告警。告警关联分析通过对底层告警进行综合分析与处理,揭示出其中包含的多步攻击行为。许多告警关联方法通过在历史告警中挖掘频繁模式来构建攻击场景,方法容易受冗余告警、误报影响,挖掘出的多步攻击链在某些情况下不能反映出真实的多步攻击行为。为此,提出一种基于多因素的多步攻击关联方法。通过聚合原始告警以得到超级告警,降低冗余告警带来的影响;将超级告警构造成超级告警时间关系图,同时结合超级告警间的多因素关联度评价函数从时间关系图中挖掘出多步攻击场景。实验结果表明,该方法能克服冗余告警及大部分误报带来的负面影响、有效地挖掘出多步攻击链。     

A wireless multi-step attack pattern recognition method for WLAN

Intrusion detection and prevention technology has been broadly applied to wired networks as an important means to protect network security. However, few work in this area has been extended to the WLAN. In this paper, we propose a wireless multi-step attack pattern recognition method (WMAPRM) based on correlation analysis with the main attributes of the IEEE 802.11 frame. The method consists of six steps: clustering wireless intrusion alerts, constructing a global attack database, building candidate attack chains, filtering candidate attack chains, correlating multi-step attack behaviors and recognizing multi-step attack patterns. Experimental results in real world environment show that WMAPRM is capable of identifying highly correlated multi-step attack patterns such as WEP crack with ARP + Deauthentication Flood, WEP crack with wesside-ng, config file stealing attack and authentication session hijack attack etc. The method is expected to improve both wireless intrusion detection and prevention performance in practical WLAN security scenarios.     

基于时序逻辑的3种网络攻击建模

与其他检测方法相比,基于时序逻辑的入侵检测方法可以有效地检测许多复杂的网络攻击。然而,由于缺少网络攻击的时序逻辑公式, 该方法不能检测 出常见的back,ProcessTable以及Saint 3种攻击。因此,使用命题区间时序逻辑(ITL)和实时攻击签名逻辑(RASL)分别对这3种攻击建立时序逻辑公式。首先,分析这3种攻击的攻击原理;然后,将攻击的关键步骤分解为原子动作,并定义了原子命题;最后,根据原子命题之间的逻辑关系分别建立针对这3种攻击的时序逻辑公式。根据模型检测原理,所建立的时序逻辑公式可以作为模型检测器(即入侵检测器)的一个输入,用自动机为日志库建模,并将其作为模型检测器的另一个输入,模型检测的结果即为入侵检测的结果,从而给出了针对这3种攻击的入侵检测方法。     

反馈神经网络在入侵检测系统中的应用

对基于网络的入侵检测系统进行了研究,提出了将反馈网络应用于入侵检测系统中,使用一种改进的Jordan神经网络算法,借助于反馈神经网络提取描述攻击模式的特征和进行规则推导,然后用神经网络建立的规则集进行入侵检测,实验证明利用反馈神经网络提高了入侵检测系统的性能。     

基于威胁情报的自动生成入侵检测规则方法

针对传统的IDS规则更新方法基本只能提取已知攻击行为的特征,或者在原有特征的基础上寻找最佳的一般表达式,无法针对当前发生的热点网络安全事件做出及时更新,提出基于威胁情报的自动生成入侵检测规则方法.文章分类模块使用Word2Vec进行特征提取,利用AdaBoost算法训练文章分类模型获取威胁情报文本;定位IoC所在的段落...     

基于攻击图的复合入侵关联及预测方法

当前的大多数漏洞扫描器和入侵检测系统只能检测汇报孤立的漏洞和攻击。但网络中真正的威胁来自那些技术精湛的黑客,他们综合利用各种攻击手段绕开安全策略,逐步获得权限。这种复合攻击能渗透进看似防御严密的网络。攻击图是一种重要的网络安全漏洞分析工具,能用来关联警报,假设漏报,预测下一步的警报,对系统管理员理解威胁的本质从而采取适当对策是关键的。本文提出一种基于攻击图来关联并预测复合网络入侵的方法,该方法在实际网络环境中有良好的表现。     

多层极限学习机在入侵检测中的应用

针对神经网络在入侵检测应用存在的维度高、数据大、获取标记样本难、特征构造难、训练难等问题,提出了一种基于深度多层极限学习机(ML-ELM)的入侵检测方法。首先,采用多层网络结构和深度学习方法抽取检测样本最高层次的抽象特征,用奇异值对入侵检测数据进行特征表达;然后,利用极限学习机(ELM)建立入侵检测数据的分类模型;其次,利用逐层的无监督学习方法解决入侵检测获取标记样本难的问题;最后采用KDD99数据集对该方法的性能进行了验证。实验结果表明:多层极限学习机的方法提高了检测正确率,检测漏报率也低至0.48%,检测速度比其他深度模型的检测方法提高了6倍以上。同时在极少标记样本的情况下仍有85%以上的正确率。通过多层网络结构的构建提高了对U2L、R2L这两类攻击的检测率。该方法集成深度学习和无监督学习的优点,能对高维度,大数据的网络记录用较少的参数得到更好的表达,在入侵检测的检测速度以及特征表达两个方面都具有优势。     

基于网络安全知识库的入侵检测模型

在网络安全知识库系统的基础上,提出一个基于网络安全基础知识库系统的入侵检测模型,包括数据过滤、攻击企图分析和态势评估引擎。该模型采用进化型自组织映射发现同源的多目标攻击;采用时间序列分析法获取的关联规则来进行在线的报警事件的关联,以识别时间上分散的复杂攻击;最后对主机级和局域网系统级威胁分别给出相应的评估指标以及对应的量化评估方法。相比现有的IDS,该模型的结构更加完整,可利用的知识更为丰富,能够更容易地发现协同攻击并有效降低误报率。     

基于因果知识和时空关联的云平台攻击场景重构

云计算环境下的攻击行为逐步表现出隐蔽性强、攻击路径复杂多步等特点,即一次完整的攻击需要通过执行多个不同的攻击步骤来实现最终目的。而现有的入侵检测系统往往不具有必要的关联能力,仅能检测单步攻击或攻击片段,难以发现和识别多步攻击模式,无法还原攻击者完整的攻击渗透过程。针对这一问题,提出了基于因果知识和时空关联的攻击场景重构技术。首先,利用贝叶斯网络对因果知识进行建模,从具有IP地址相关性的告警序列中发掘出具有因果关系的攻击模式,为后续关联分析提供模板依据。然后,借助因果知识网络,从因果、时间和空间多维度上对告警进行关联分析,以发现潜在的隐藏关系,重构出高层次的攻击场景,为构建可监管、可追责的云环境提供依据和参考。     

基于免疫原理的入侵检测技术研究

文中在深入分析免疫原理的基础上,提出了一个分层检测的分布式入侵检测系统模型。模型采用提取检测规则库中的规则生成自动匹配的四层检测规则集,经反向筛选后分别注入对应检测层的移动检测代理(MDA),MDA迁移到各检测代理子结点处协同完成入侵检测和响应,实现免疫特性。具有这样免疫特性的多代理能对大流量的分布式网络进行分层检测和响应,能在局部和全局的不同层次上检测入侵攻击,具有较好的自适应性、可扩展性和智能性。