入侵检测系统评估技术研究

随着对入侵检测技术的深入研究和入侵检测产品的广泛应用，对入侵检测系统的评估技术的研究成为一个重要的研究领域．介绍了入侵检测评估的相关工作，讨论了对入侵检测系统进行评估时的主要评价指标，提出了一个入侵检测系统的评估系统．评估系统由主控模块统一控制，主控模块分别对流量控制模块和攻击模拟模块进行调度．对评估环境中所有的数据进行记录，作为评估模块的输入．该系统实现了网络流量和主机使用模拟、攻击模拟以及评估报告的生成等功能。     

基于概率模糊认知图的混合入侵检测方法

结合模糊认知图理论，构造基于概率模糊认知图（PFCM）的攻击图来描述入侵行为，提出一种结合误用检测和异常检测的基于PFCM的混合入侵检测方法．该方法用模糊概念描述异常，用数值运算代替模式匹配，并利用概率测度有效表示各因素问关系的不确定性．构造基于PFCM的Smurf攻击图并进行检测实验，实验结果表明该方法能在保持高检测率的情况下降低误报率，并具有较好的鲁棒性．     

基于Jini的封闭式网络中攻击源追踪系统模型研究

入侵检测系统是现有网络安全系统的重要组成部分。现有的入侵检测系统可以检测大多数基于网络的攻击，但不能对攻击源进行追踪。据此，结合Jini技术和现有入侵检测技术提出了网络攻击源追踪模型，简单介绍了Jini技术，阐述了该系统的设计思想、体系结构和各部分的主要功能。最后，从实用性和攻击精度等方面对系统可能存在的问题进行了分析。     

基于攻击树的分布式入侵检测系统的研究

入侵检测是计算机安全领域的一个重要技术，也是当前计算机安全理论研究的一个热点，首先介绍分布式入侵检测发展现状，然后引入攻击树来表示入侵，并提出一个基于攻击树的攻击描述语言。并在此基础上建立了基于攻击树的分布式入侵检测系统结构。     

基于免疫遗传的状态转移分析模型

为解决现有入侵检测技术对于新类型攻击或隐蔽攻击识别率很低的问题，提出了一个免疫遗传模型来重新构造状态转移分析检测方法。在该模型中使用了由状态链和行为链组成的双链基因模式来表示系统的状态转移，并使用STAT系统的原有检测规则来构造初始的专家DNA疫苗库。试验证明了该模型的有效性。     

基于数据挖掘的入侵检测

针对现有入侵检测方法的缺陷，结合异常检测和误用检测，提出了一种用数据挖掘技术构造入侵检测系统的方法，使用该方法构造了一个基于数据挖掘的入侵检测原型系统。实验表明，该系统对已知攻击模式具有很高的检测率，对未知攻击模式也具有一定的检测能力。同时，该系统也具有一定的智能性和自适应性。     

攻击案例综合学习系统研究

随着入侵检测系统在安全领域的广泛应用，入侵报警学习和分析已经成为一个研究热点。针对目前入侵报警泛滥和知识贫乏等问题，设计了一个完整的攻击案例学习系统框架。该学习系统分为两个阶段：入侵报警精简和典型攻击案例挖掘。前者利用改进的密度聚类方法实现相似报警聚合以及报警聚类的自动精简表示，后者利用序列模式挖掘方法挖掘频繁入侵事件序列。进一步提出一种基于入侵执行顺序约束关系的攻击案例评估算法实现典型攻击案例的自动筛选。最后，利用真实入侵报警数据测试了该攻击案例学习系统，结果表明该系统能够实现高效报警精简和典型攻击案例的准确学习。     

攻击分类研究与高速网络环境下的攻击分类

对网络攻击进行分类研究,有助于构造高效的检测方法,提高系统检测性能.对现有的攻击分类技术进行了分析和总结,针对高速网络环境下入侵检测系统的特点,提出了面向分层检测的攻击分类方法,并对每层进行了描述.根据系统能及时检测攻击的先后顺序进行了攻击分类,采用攻击分类、检测分层的方法,具有良好的普适性、全面性和可扩展性.同时由于分类是从检测的角度进行的,所以有良好的实用性,可有效地提高入侵检测效率,该方法为下一步研究提供了技术和理论依据.     

基于Petri网的入侵模式的自动化建库

详细介绍了目前正在研究开发的基于Petri网的入侵检测系统的模式库的构建方法。该方法采用统一化方法表示攻击行为，具有跟踪检测的特性，并可以有效地分析DDOS等分布式入侵行为。     

模糊Petri网知识表示方法在入侵检测中的应用

根据网络攻击具有并发性,攻击特征的提取具有不确定性等特点,给出了采用模糊Pelri网实现攻击知识的表达和入侵检测的推理模型。该模型解决了误用入侵检测系统中现有知识表示方法不能并行推理的问题,以及传统的基于Pelri网可达图搜索求解导致模型描述复杂、推理缺少智能的问题。最后通过入侵实例验证了该模型的正确性和有效性。     

入侵特征的时间语义分析及实现

入侵特征对于入侵检测系统至关重要，它们往往由系统属性和事件序列组成，时序关系是描述它们的关键。ISITL(Intrusion Signatures based on Interval Temporal Logic)是一种较高抽象程度的入侵特征形式化描述语言，它对Allen的时段时态逻辑进行了实时描述的扩充，从而加强了其入侵特征的描述能力。在ISITL中，所有的系统属性和事件都与相应的时段紧密相连，其相互关系用13个基本函数和3个扩展函数来描述。与其它入侵特征描述语言相比，ISITL具有简单易用，描述能力强等优点。     

基于协议分析的网络入侵检测系统

传统的网络入侵检测系统已经不能满足如今人们对网络安全的要求。基于网络协议分析,提出一种内部规则和外部规则相结合的改进的系统设计。在外部规则中,设计一种新的特征描述语言,类似传统的编程语言,易懂且功能强大。通过内部规则的引入,将协议分析检测中的逻辑进行丰富,实现对复杂、含状态的攻击的检测。相比较于现有的系统,新设计的网络入侵检测系统的检测区域更加精准,检测能力得到提高。     

基于状态协议分析的网络入侵检测技术

协议分析是网络入侵检测技术中的一种关键技术,但不能解决对于包含在多个数据包中的攻击。针对这一问题,提出了基于状态协议分析的检测技术,构建一个有限自动机(Finite Automaton,简称FA)来约束网络,并用由正则表达式产生的语言来描述一系列的正常的状态转化,充分利用协议的状态信息检测入侵。     

免疫原理驱动的层次入侵检测技术研究

针对当前入侵检测系统普遍存在的误报、漏报和缺乏自适应性问题,本文以人体免疫系统的多层防御结构为基础,结合误用检测和异常检测两种检测技术并引入协议分析方法,提出了一种基于免疫原理的层次入侵检测技术,给出了成熟检测规则的生成算法,详细阐述了层次入侵检测过程。借鉴人体免疫中的B细胞和T细胞的协同演化机理,提出了B规则与T规则的协同演化方法并详细描述了其协同演化过程,利用此演化方法能不断地对规则库里的规则实施进化。使之始终保持最有效的检测规则,从而使该检测技术具有动态自适应性、响应快速性和识别准确性等特性,以弥补传统入侵检测技术的不足。     

入侵检测系统的评估方法与研究

在阐述入侵检测系统评估所要解决问题的同时对ROC曲线图、贝叶斯检测率、检测期望值和检测量CID等评估方法进行了深入的研究和分析。发现这些方法只基于某几个指标（如误报率、漏报率）对入侵检测系统进行评价,致使评价结果各有不足,这主要是缘于入侵检测系统的复杂性,对其进行性能评价无疑会涉及影响其性能的每一个主要指标。为此应用一种熵权系数模糊综合评判法,采用模糊综合决策的评估方案,利用熵权系数法计算各指标因素的权重,从而使其能够比较全面地评价一个入侵检测系统。     

基于可移动代理技术的入侵检测系统

为了解决目前入侵检测系统（IDS）存在的一些问题,提出了一个基于可移动代理技术的入侵检测系统（IDMA）。在IDMA中,入侵检测系统主要由三种实体组成：入侵检测代理、代理守护程序和检测监视器。IDMA提供了一种建立健壮,灵活及具有良好扩展性的入侵检测系统的实现方法。     

A differentiated one-class classification method with applications to intrusion detection

Intrusion detection has become an indispensable tool to keep information systems safe and reliable. Most existing anomaly intrusion detection techniques treat all types of attacks as equally important without any differentiation of the risk they pose to the information system. Although detection of all intrusions is important, certain types of attacks are more harmful than others and their detection is critical to protection of the system. This paper proposes a new one-class classification method with differentiated anomalies to enhance intrusion detection performance for harmful attacks. We also propose new extracted features for host-based intrusion detection based on three viewpoints of system activity such as dimension, structure, and contents. Experiments with simulated dataset and the DARPA 1998 BSM dataset show that our differentiated intrusion detection method performs better than existing techniques in detecting specific type of attacks. The proposed method would benefit even other applications in anomaly detection area beyond intrusion detection.     

智能入侵检测技术述评

入侵检测是网络安全技术研究的一个新方向,入侵检测技术是入侵检测系统(IDS)的核心。智能入侵检测技术由于其具有自学习、自适应等特点,已经成为目前的研究热点。文章首先简述了IDS的发展历史背景及其重要性,概要介绍了IDS常用的两类检测技术,详细介绍了几种常用的智能入侵检测技术,指出目前的智能检测技术存在的不足及其今后的发展趋势。     

Implementation of Network Intrusion Detection System Based on Density-based Outliers Mining

The paper puts forward a new method of densitybased anomaly data mining, the method is used to design the engine of network intrusion detection system (NIDS), thus a new NIDS is constructed based on the engine. The NIDS can find new unknown intrusion behaviors, which are used to updated the intrusion rule-base, based on which intrusion detections can be carried out online by the BM pattern match algorithm. Finally all modules of the NIDS are described by formalized language.     

基于密度的异常挖掘智能网络入侵检测系统设计与实现

论文提出了基于密度的异常挖掘新方法,并将其应用于入侵检测系统引擎设计中,构建了相应的网络入侵检测系统。该系统通过挖掘异常数据的高效性,可及时发现新的未知入侵行为,用以更新入侵规则库。基于该规则库,系统采用BM模式匹配算法进行实时入侵检测。论文运用形式化语言对入侵检测系统各子模块进行结构化分析与描述。