基于信息融合的入侵检测系统研究

研究在入侵检测中,采用信息融合的方法,试图解决当前入侵检测系统中存在的问题。提出了用于入侵检测的信息融合模型,并应用贝叶斯网络的多书传播算法给出了信息融合的方法。采用和挑选DARPA2000中的数据作为样本,通过实验验证,基于信息融合技术的入侵检测方法能够提高检测度,降低误报率。     

基于信息融合的入侵检测模型与方法

研究了入侵检测系统(IDS)研究现状，针对当前IDS系统误报率高和对时间及空间上分散的协同攻击无法有效检测的缺陷，引入信息融合和多传感器集成的观点，提出了一个多层次的IDS推理框架和原型系统．该原型系统采用贝叶斯网络作为多传感器融合的工具，用目标树的方法来分析协同攻击的攻击企图，并最终量化系统的受威胁程度．相比现有的IDS，该原型的结构更加完整，能够更容易发现协同攻击并有效的降低误报．     

一种基于入侵事件的检测分析技术

在本文中,我们针对目前入侵检测系统普遍存在的误报率高、报警信息冗余现象严重和对入侵表述能力不强的缺陷,提出了一种基于入侵事件的检测分析技术,详细描述了该技术所采用主要方法的设计思想,如多传感器数据融合以及基于模糊规则的原始报警信息鉴别等。实验结果表明,同现有入侵检测系统相比,该技术大大降低了系统的检测成成本。     

基于 D-S证据理论的网络异常检测方法

网络异常检测技术是入侵检测领域研究的热点内容,但由于存在着误报率较高、检测攻击范围不够全面、检测效率不能满足高速网络实时检测需求等问题,并未在实际环境中得以大规模应用.基于D-S证据理论,提出了一种网络异常检测方法,能够融合多个特征对网络流量进行综合评判,有效地降低了误报率和漏报率,并引入自适应机制,以保证在实时动态变化的网络中的检测准确度.另外,选取计算代价小的特征以及高效的融合规则,保证了算法的性能满足高速检测的要求.该方法已实现为网络入侵检测原型系统中的异常检测模块.通过DARPA 1999年IDS基准评测数据的实验评测表明,该方法在低误报率的前提下,达到了69%的良好检测率,这一结果优于DARPA 1999年入侵检测系统评测优胜者EMERALD的50%检测率和同期的一些相关研究成果.     

基于邻域粗糙集的入侵检测

针对入侵检测系统存在的高漏报率和误报率,提出了一种基于邻域粗糙集的入侵检测方法.该方法在粗糙集理论的基础上引入邻域概念,这样便无需对数据进行离散化处理,可以减少信息损失.实验结果表明:该方法可选择出更为重要的属性组合,从而获得较高的检测率和较低的漏报率与误报率.     

基于聚类融合的入侵检测

随着互联网的飞速发展,网络安全的问题日趋严重,传统的网络安全技术已难以应对日益繁多的网络攻击。因此入侵检测便应运而生了,而且其重要性日益提高。基于聚类分析的入侵检测已经成为其主要研究方向。聚类分析是一种有效的异常入侵检测方法,可用以在网络数据集中区分正常流量和异常流量。但单一的聚类算法很难达到预期的效果,为了提高入侵检测的效果,文中采用聚类融合技术,提出一种基于Co—assocition的模糊聚类融合算法,通过实验检测能显著提高检测率和降低误报率。     

多Agent数据融合在入侵检测中的应用

本文提出了一种基于数据融合的多Agent入侵检测系统模型,将数据融合引入到网络安全中的入侵检测领域.并且提出了基于D-S(Dempster-Shafer)证据理论的数据融合方法.该系统能够有效的将多种不同的检测方法结合起来以获取更高的检出率、更低的误报率、更好的可扩展性和鲁棒性.     

基于危险理论的入侵检测系统误报率研究

入侵检测系统误报率高是一个普遍存在的问题.本文从概率论的角度出发,通过对入侵检测系统误报产生的原因进行分析,论证基于危险理论的入侵检测系统在保证检测率的同时,有效地降低入侵检测系统的误报率.     

基于信息融合的分布式入侵检测系统

本文提出了一种快速检测、基于报警信息融合的关于教学网络的分布式入侵检测系统,并详细论述了该系统的探测器模块、信息预处理模块、信息融合模块和控制中心等各个环节的具体设计和实现.实验表明文中提出的信息过滤模块和信息关联模块对分布式入侵检测系统是十分有效的.     

基于多代理的分布式入侵检测系统模型

随着网络技术的不断发展,网络安全问题十分突出。入侵检测技术作为安全防护的重要手段,显得日益重要。大多数入侵检测系统存在误报率高和漏报的问题。此外,由于系统分布在网络的不同位置,不能进行必要的协同工作。针对上述问题,提出一种基于多代理的分布式入侵检测系统模型MADIDS。该系统在我们已有的多代理协同工作平台NHMAS上开发完成,结合基于主机的入侵检测系统和基于网络的入侵检测系统的优点,对常用入侵手段具有较高的检测率和较低的误报率。