基于BP神经网络的智能入侵检测研究

分析了入侵检测技术在计算机网络安全技术中的作用和地位,同时将BP神经网络算法应用于入侵检测当中,建立了基于BP神经网络的智能入侵检测系统.该系统能够通过数据包捕获模块实时抓取网络中传输的数据包,之后通过协议分析模块进行数据包所使用的数据协议的识别,从而能够在BP神经网络模块分别针对采用TCP、UDP、ICMP这三种网络数据传输协议的数据包进行处理.从本文中列出的该系统在Matlab07上的仿真结果可以看出:基于BP神经网络的智能入侵检测系统能够有效地提升入侵检测识别率.     

基于SNORT体系的实时入侵检测研究

在充分发挥SNORT开源和以插件形式进行功能扩展的优势基础上,将BP神经网络优化算法运用到系统的规则训练模块和检测模块,构建了SNORT实时入侵检测系统。结合SNORT系统以规则匹配进行异常检测的特点,把从传输层捕获的数据包分为TCP、UDP、ICMP三类并分别编码,把编码之后的数据输入到神经网络中训练、检测。最后,通过实验验证了该方法的可行性。     

基于模糊积分的多神经网络融合模型的研究

为了进一步提高网络入侵检测系统的检测性能,将模糊积分理论和神经网络技术应用到网络入侵检测中,提出了基于模糊积分的多神经网络融合模型MNNF。它的基本思想是按照TCP/IP属性集的类别不同将TCP/IP数据集分成三个不同属性集的子数据集,在不同属性集上训练形成不同的子神经网络,然后用模糊积分将多个子神经网络对TCP/IP数据的检测结果进行非线性融合形成最优判断。实验结果表明,MNNF模型应用在网络入侵检测中可以得到比单个神经网络更好的入侵检测性能。     

一个基于神经网络的网络入侵检测系统原型

设计了一个基于神经网络的网络入侵检测系统原型,给出了该模型的体系结构和其主要功能模块的实现方法。通过训练实验表明,把神经网络应用于入侵检测是行之有效的。     

基于TCP协议首部的网络隐蔽通道技术研究

通过研究网络隐蔽通道建立的机制,提出了一种基于TCP协议首部实现网络隐蔽通道的方法,通过将秘密信息经AES加密后嵌入TCP协议首部的序列号和确认号字段,模拟访问Web服务器的行为生成TCP数据包,以达到穿透防火墙和躲避入侵检测系统的目的,并利用此隐蔽通道进行信息传递和远程控制。设计并实现了该原型系统。实验结果表明,该系统的隐蔽性高、传输速度快、可扩展性强,可以实现隐秘信息的传输,也为解决网络隐蔽通道的安全策略问题提供了理论依据和技术支持。     

协议分析在入侵检测系统中的应用

本文在分析现有入侵检测系统基础上,设计了网络入侵检测系统框架,主要探讨了其中网络数据包捕获模块和网络协议解析模块的设计思想与实现过程。在数据包捕获部分设计中主要讨论了Linux下的BPF机制和Lib- pcap函数库,利用它们实现网络数据包的捕获功能；在协议分析模块中详细讨论了以太网、JP、TCP、UDP、ICMP等协议的解析过程。测试结果表明能够对捕获的TCP/IP包进行有效地解码。     

Snort平台下基于BP网络的预处理插件

在Snort平台使用预处理插件的基础上,提出使用BP神经网络实现一个入侵检测预处理插件.该插件使用改进的BP算法,分为训练部分和检测部分.训练部分是独立的系统,使用样本数据训练得出网络结构参数;检测部分作为插件使用得到的参数构造BP网络并集成到snort中.给出了插件训练部分的详细实现方式,实验结果表明,该插件对异常网络数据包具有较高的检测率,是一种有效的入侵检测系统插件.     

基于前馈多层感知器的网络入侵检测的多数据包分析

提出了一种新型网络入侵检测模型，在该模型中，首先将截获的数据包结合历史数据包数据库进行协议分析，找出可能存在的入侵行为的相关数据包，然后采用前馈多层感知器神经网络对这些相关的数据包进行回归分析，最终获得检测结果。该模型与传统采用单数据包检测方式的网络入侵检测系统(NIDS)模型相比，具有更低的漏检率。     

一种基于神经网络的黑客入侵检测新方法

给出了一个基于神经网络的网络入侵检测系统模型．该模型可对网络中的IP数据包进行分析处理以及特征提取，并采用智能神经网络进行学习或判别，以达到对未知数据包进行检测的目的．首先建立功能专一、结构简单、易于构造的神经网络来完成单一的黑客入侵检测任务，然后利用智能神经网络组成原理将这些能够检测多种多样的黑客入侵的小网合并，组合成功能完善、结构复杂的大网来完成整个检测任务．实验证明这是一种行之有效的网络入侵检测的解决方法．     

网络数据包捕获工具的开发与实现

捕获网络数据包可以用来检测并分析网络面临的安全性威胁,网络数据包的捕获广泛应用于IP网络性能测量、流量分析、用户计费、网络入侵检测、网络协议分析及口令拦截等多种场合.介绍了以太网数据包的捕获机制,并在此基础上采用Linux的Lipcap和Socket两种方法,讨论了网络数据包捕获工具的开发过程,同时给出TCP/IP首部的提取方法,以便对捕获的数据作进一步的分析与处理.     

网络数据包的协议分析算法设计与实现

为有效地监听网络状况和数据传输,截获网络传输的数据包,分析网络性能,排除网络故障,文中在以太网的基础上,通过对网络数据包的协议分析,设计并实现了一个网络数据包的协议分析算法(PLA算法)。PLA算法可以有效地对网络中传输的数据包进行协议分析,解决了如何判别在网络上传输的数据包是什么类型的数据包,每一个数据包都用到了哪些协议。通过PLA算法对数据包的分析,可以使得流量统计和流量收费更加精确。     

Statistical cross-relation approach for detecting TCP and UDP random and sequential network scanning (SCANS)

Network scanning is considered to be the first step taken by attackers trying to gain access to a targeted network. System and network administrators find it useful if they are able to identify the targets scanned by network attackers. Resources and services can be further protected by patching or installing security measures, such as a firewall, an intrusion detection system, or some alternative computer system. This paper presents a statistical ‘cross-relation’ approach for detecting network scanning and identifying its targets. Our approach is based on using TCP RST packets for detecting TCP sequential scanning and ICMP type 3 (port unreachable) packets for detecting UDP sequential scanning. TCP or UDP random scanning is confirmed when there is a ‘cross-relation’ between an ICMP type 3, code 1 (host unreachable) and the TCP RST counts per source IP address and between an ICMP type 3, code 3 (port unreachable) and an ICMP type 3, code 1 (host unreachable). We tested the proposed approach with the DARPA 1998 data set and confirmed that our method was more effective in detecting TCP and UDP scanning than the existing approaches, and it also provided better detection accuracy.     

Architecture for a hardware-based, TCP/IP content-processing system

The transmission control protocol is the workhorse protocol of the Internet. Most of the data passing through the Internet transits the network using TCP layered atop the Internet protocol (IP). Monitoring, capturing, filtering, and blocking traffic on high-speed Internet links requires the ability to directly process TCP packets in hardware. High-speed network intrusion detection and prevention systems guard against several types of threats. As the gap between network bandwidth and computing power widens, improved microelectronic architectures are needed to monitor and filter network traffic without limiting throughput. To address these issues, we've designed a hardware-based TCP/IP content-processing system that supports content scanning and flow blocking for millions of flows at gigabit line rates. The TCP splitter2 technology was previously developed to monitor TCP data streams, sending a consistent byte stream of data to a client application for every TCP data flow passing through the circuit. The content-scanning engine can scan the payload of packets for a set of regular expressions. The new TCP-based content-scanning engine integrates and extends the capabilities of the TCP splitter and the old content-scanning engine. IP packets travel to the TCP processing engine from the lower-layer-protocol wrappers. Hash tables are used to index memory that stores each flow's state.     

基于隐马尔科夫模型和神经网络的入侵检测研究

针对目前的基于隐马尔科夫模型的入侵检测和基于神经网络入侵检测各自的不足之处,提出一种基于隐马尔科夫模型和神经网络的混合入侵检测方法。主要是从网络协议的角度入手,把TCP数据包作为分析对象,给出一种确定观察值的方法,把隐马尔科夫模型的输出作为神经网络的输入,神经网络的输出是最终的结果。最后通过实验证明了此混合入侵检测方法比单独使用隐马尔科夫模型或者是单独使用神经网络的检测方法有更低的误报率和漏报率。     

基于改进的动态神经网络的网络入侵检测模型

提出了一种改进型的动态神经网络，并成功地将其应用于网络入侵检测系统中。对于给定的全连接的动态神经网络，在通过学习以后可以成为部分连接的神经网络系统，从而降低了计算的成本。针对目前常见的4种不同类型的网络攻击行为（即DoS，Probe，R2L，和U2R），利用给定的改进型的动态神经网络分别构建相对应的检测系统。然后使用改进的遗传算法对给定的动态神经网络的权值和开关参数进行调节，以适应不同类型的入侵检测。最后利用KDD’99网络入侵检测数据对所提出的网络入侵检测模型进行训练和测试，初步试验结果表明，所提出的入侵检测系统具有较高的检测率。