基于蚁群聚类的入侵检测技术研究*

针对现有的入侵检测对未知攻击检测率和误检率方面的不足,提出了基于蚁群聚类的入侵检测系统。首先研究了基本蚁群优化算法,在此基础上提出基于蚁群聚类的入侵检测算法,进而设计了基于蚁群聚类的入侵检测系统体系结构。结果表明,蚁群聚类算法的检测率和误报率较K-means聚类算法有明显改善,因此,采用蚁群聚类算法的入侵检测系统具有较好地自动检测入侵并防止未知攻击的特点。     

基于径向基函数的入侵检测系统

入侵检测系统是信息安全管理的重要组成部分，通过监测网络流量模式来检测入侵行为。本文将径向基函数神经网络引入入侵检测中，提出了一个新基于径向基函数的网络入侵检测系统（RBFIDS）。RBFIDS系统首先采集网络运行数据，然后采用K-均值聚类算法确定RBF神经网络的系统参数。采用KDD99数据集对RBFIDS系统进行性能测试，总的检测率达到98%，误报率为1.6%，表明RBFIDS有较高的检测率和低的误报率。     

基于Spark框架的分布式入侵检测方法

为以较低的误报率和较高的检测率对攻击和恶意行为进行实时检测,基于Spark框架和位置敏感哈希算法,提出一种分布式数据流聚类方法DSCLS ,能够处理实时数据流,可根据数据流速进行横向分布式扩展。基于DSCLS分布式聚类算法,建立网络入侵检测系统,能够高速实时分析数据流,聚类相关模式,实时检测已知攻击和入侵,能够对未知的新型攻击进行检测。理论分析和实验结果表明,与主流的数据流聚类算法D‐Stream相比, DSCLS方法能够有效提高检测率并降低误报率,在时间性能和可扩展性方面更有优势。     

基于数据流的网络入侵检测研究

目前,入侵检测系统面临数据量大、内存等系统资源不足的问题.将两阶段聚类算法应用于入侵检测,设计了基于数据流的入侵检测系统模型.实验结果表明,该系统可以取得较高的检测率和较低的误报率,具有自适应性和可扩展性,并有效降低了对内存资源的需求.     

无线传感器网络中基于SVM的合作型入侵检测系统*

由于许多重要的无线传感器网络需要一个高效、轻量级、灵活的入侵检测算法来检测恶意节点,提出了一种基于二叉树的SVM多类分类方法的合作型入侵检测方案。该方案可扩展性较好,有效地节省了传感器节点的能量。仿真实验表明,与已经提出的入侵检测系统相比,该方案具有较低的误报率和较高的检测率。     

基于PSO的k-means算法及其在网络入侵检测中的应用

在传统k-means算法中,初始聚类中心随机选择,聚类结果随初始聚类中心的不同而波动,从而导致聚类结果不稳定。提出的PSO-based k-means算法使用PSO算法优化生成初始聚类中心,得到的聚类结果全局最优,不会陷入局部最优解。实验结果表明,将PSO-based k-means算法用于入侵检测系统的规则挖掘处理模块,其入侵检测率明显高于传统k-means算法,而误报率则大大低于后者。显然,PSO-based k-means算法可有效提高网络入侵检测系统的性能。     

基于数据挖掘的网络入侵检测系统研究

针对传统入侵检测系统建模与更新需要大量人工参与,提出一种基于数据挖掘的无指导自适应入侵检测系统.系统通过有效结合聚类、关联规则数据挖掘方法,自动进行检测规则的提取.经实验表明,提出的方法具有较好的检测率、误报率.     

基于模拟退火和半监督聚类的入侵检测方法

由于缺少监督数据,传统的基于聚类算法的入侵检测系统存在误报率高、检测率低等问题。针对这种情况,提出基于模拟退火和半监督K均值聚类的入侵检测方法。该方法首先利用少量标记入侵类型的网络数据改进聚类初始化过程,在K均值聚类算法中引入半监督学习,然后利用模拟退火算法跳出局部极值的能力与半监督K均值聚类算法结合以得到全局最优聚类,最后根据标记数据确定聚类类别,并应用于入侵行为的检测。基于KDDCUP99的对比实验表明,该方法利用监督数据和模拟退火算法改进了聚类算法,能够有效提高入侵检测的准确率。     

基于模糊聚类的网络入侵检测

聚类分析是一种有效的异常入侵检测方法,本文提出基于模糊C-均值聚类的网络入侵检测算法。用KDD Cup 1999数据集的仿真试验结果表明算法的可行性、有效性和扩展性,并有效提高了聚类检测的检测率,降低了误报率。     

基于模糊聚类的网络入侵检测

聚类分析是一种有效的异常入侵检测方法,本文提出基于模糊C-均值聚类的网络入侵检测算法。用KDD Cup1999数据集的仿真试验结果表明算法的可行性、有效性和扩展性,并有效提高了聚类检测的检测率,降低了误报率。     

SeDID: An SGX-enabled decentralized intrusion detection framework for network trust evaluation

In order to evaluate network trust, different intrusion detection methods have been proposed. However, it is difficult for a single detection node to collect massive data and perform detection and evaluation in a large-scale network. In addition, disclosure of security-related data and detection pattern might weaken data provision incentives due to privacy concern, which could result in deliberately forging data to evade detection. Current literature still lacks a general framework to conduct decentralized intrusion detection towards network trust evaluation with privacy preservation. In this paper, we propose SeDID, a Software Guard Extension (SGX)-enabled decentralized intrusion detection framework for network trust evaluation based on blockchain. We design a novel consensus mechanism to avoid forking and guarantee high efficiency and real decentralization, where block creation is uniquely consented by miners and block creation difficulty is determined by the number of blocks previously created by a relative miner within a time window. The smaller the number, the easier the miner creates a new block. SeDID also offers incentives according to node contributions for motivating security-related data collection, intrusion detection and network trust evaluation. Additional employment of Intel SGX makes SeDID preserve both data and pattern privacy. We analyze SeDID’s efficacy in terms of incentive, privacy preservation and security. Its performance is further evaluated through simulations. In specific settings, its block creation time, task completion time and throughput are 19.61s, 44.55s and 224.47 transactions/s, respectively. Compared with state-of-the-art systems, SeDID offers better performance, which implies its potential to be applied in practice.     

基于模糊信任的无线传感器网络可信路由

由于无线传感器网络（WSNs）经常部署在苛刻环境下,节点易被物理俘获或损坏,无线多跳通信的方式也使得网络容易遭受各种信号干扰和攻击,路由安全显得尤为重要。在分簇路由协议的基础上,引入了节点可信度作为路由选择的度量,提出了基于模糊信任的无线传感器网络可信路由模型。该模型中,每个节点的信任值由剩余能量、包转发率、路由信息篡改以及声明诚实度等4个属性采用变权模糊综合评判算法得到。仿真结果表明：在变权模糊综合评判算法中,通过提高具有过低值的属性的权值,可以突出节点的缺陷,使得具备过低剩余能量或是过低包转发率,路由信息篡改信任,或过低诚实度任意一个缺陷的节点都不能够得到较高的信任值从而被选为簇头节点,避免行为恶意的节点破坏网络路由。     

A swarm-based efficient distributed intrusion detection system for mobile ad hoc networks (MANET)

In mobile ad hoc network (MANET), the issues such as limited bandwidth availability, dynamic connectivity and so on cause the process of intrusion detection to be more complex. The nodes that monitor the malicious nodes should have necessary residual bandwidth and energy and should be trustable. In order to overcome these drawbacks, in this paper, we propose a swarm-based efficient distributed intrusion detection system for MANET. In this technique, swarm agents are utilised to select the nodes with highest trust value, residual bandwidth and residual energy as active nodes. Each active node monitors its neighbour nodes within its transmission range and collects the trust value from all monitored nodes. The active nodes adaptively change as per the trust thresholds. Upon collaborative exchange of the trust values of the monitored nodes among the active nodes, if the active node finds any node below a minimum trust threshold, then the node is marked as malicious. When the source receives alert message about the malicious node, a defence technique is deployed to filter the corresponding malicious node from the network. By simulation results, we show that the proposed approach is efficient intrusion detection mechanism for MANET.     

基于聚类融合的入侵检测

随着互联网的飞速发展,网络安全的问题日趋严重,传统的网络安全技术已难以应对日益繁多的网络攻击。因此入侵检测便应运而生了,而且其重要性日益提高。基于聚类分析的入侵检测已经成为其主要研究方向。聚类分析是一种有效的异常入侵检测方法,可用以在网络数据集中区分正常流量和异常流量。但单一的聚类算法很难达到预期的效果,为了提高入侵检测的效果,文中采用聚类融合技术,提出一种基于Co—assocition的模糊聚类融合算法,通过实验检测能显著提高检测率和降低误报率。     

基于改进模拟退火的优化K-means算法

针对K-means算法全局搜索能力的不足,提出了一种基于改进模拟退火的优化K-means(SA-KM)的聚类算法,该算法克服了K-means聚类算法对初始聚类中心选择敏感问题。为了提高SA-KM算法的聚类划分质量,提出了一种用于评价聚类结果的评价函数,该函数更为准确地反映类内距离和类间距离。仿真结果表明使用该算法在进行入侵检测时,能够检测出多种类型的入侵行为,能够保持较高的网络入侵检测率和较低网络入侵的误报率。     

PCA-AKM算法及其在入侵检测中的应用

初始聚类中心是指在聚类的过程中首次被选为中心的点或对象。针对传统的K-means算法由于随机选择初始聚类中心而造成的聚类结果不稳定的问题,提出PCA-AKM算法。该算法利用主成分分析方法提取数据集中的主要成分,实现数据降维,使用自定义指标密权值选择初始聚类中心,避免聚类中心局部最优问题。将该算法与K-means算法在UCI数据集上进行聚类对比,其聚类稳定性高于传统K-means算法。 在KDD CUP99数据集上,对所提算法进行入侵检测仿真,实验结果证明该算法检测率高,误检率低,能够有效提高入侵检测的准确率。     

DBSCAN聚类算法在异常检测中的应用

运用数据挖掘的方法进行入侵检测已经成为网络安全领域的一个热点研究方向,该文主要对异常检测进行研究,将一种快速DBSCAN聚类算法应用到入侵检测中,通过对数据进行聚类,从而发现其中未知的攻击行为。该文以KDD99数据集为例做实验,证明了DBSCAN算法具有很好的聚类效果,实验结果得到了较高的检测率和较低的误报率。     

基于聚类分析的网络入侵检测模型

为提高网络入侵检测系统的入侵识别能力,提出一种基于模糊C均值(FCM)聚类的入侵检测模型。该模型包括数据预处理器、FCM聚类处理器、类中心集更新器和检测系统,可以同时处理数值属性与符号属性。实验结果表明,与其他模型相比,该模型具有较低的误警率和较高的检测率。