基于主机的入侵检测系统分析

入侵检测系统(IDS)在近二十年来成为一个非常活跃的研究和应用领域。同传统的操作系统加固技术和防火墙隔离技术等静态安全防御技术相比,IDS作为核心动态安全技术之一,通过分析、审计记录,识别系统中任何不应该发生的活动,做出记录、报警、阻断等相应的措施来报告、制止入侵活动,从而提供实时的入侵检测。 IDS按获得原始数据的方法,可以分为基于主机和基于网络的入侵检测系统。基于主机的入侵检测系统HIDS是早期的入侵检测系统结构,使用主机传感器采集本系统的信息,可以用于分部     

网络入侵检测系统的应用分析

病毒防范系统、防火墙系统、入侵检测系统(IDS)组成了一个完整的企业网络安全体系,其中IDS系统对无法预知的异常入侵具有实时分析、检测和预报的能力。IDS中所采取的入侵检测技术的优劣决定了该系统对入侵检测的有效性和实时性。     

智能入侵检测技术述评

入侵检测是网络安全技术研究的一个新方向,入侵检测技术是入侵检测系统(IDS)的核心。智能入侵检测技术由于其具有自学习、自适应等特点,已经成为目前的研究热点。文章首先简述了IDS的发展历史背景及其重要性,概要介绍了IDS常用的两类检测技术,详细介绍了几种常用的智能入侵检测技术,指出目前的智能检测技术存在的不足及其今后的发展趋势。     

现代入侵检测技术

本文分析了当前入侵检测技术(IDS)的发展方向,介绍了两种主要的IDS技术基于网络的IDS和基于主机的IDS.受IPSec和虚拟专网(VPN)技术发展的影响,传统的基于网络的IDS将不能很好地工作,此时将两种技术融合在一起的下一代IDS技术将发挥作用.     

入侵检测系统研究综述

首先论述了入侵检测系统(IDS)的研究概况,然后使用五种分类标准对入侵检测系统进行了科学分类,它们分别是控制策略、同步技术、信息源、分析方法和响应方式。接着,介绍了入侵检测系统的一些重要工具,并重点研究分析了基于信息源IDS和基于分析方法IDS,最后给出了入侵检测系统研究趋势和展望。     

基于移动代理和免疫原理的IDS模型研究

目前的入侵检测系统大多是等级结构的,容易出现单点失效和网络拥塞问题,把移动代理技术和人工免疫原理应用到入侵检测系统(IDS)中,充分结合二者的优点,使IDS具有更高的容错性和健壮性。     

无线传感网中的入侵检测关键技术研究

由于无线链路的弱点,节点缺少物理保护,拓扑的动态变化,缺乏集中的监控点等,使得无线传感器网络存在着更多的安全问题.入侵检测技术可作为第二道安全防线来弥补入侵预防技术的不足,是当前研究的热点问题之一.文章结合目前无线传感网IDS技术的发展现状,对入侵检测方法、IDS模型进行深入分析,并针对静态IDS模型存在的问题,提出了一种动态的IDS模型,在安全性、稳定性和健壮性方面都有所改进.     

入侵检测协作检测模型的分析与评估

目前,入侵检测系统(IDS)存在较高的误报率,这一直是困扰IDS用户的主要问题,而入侵检测系统主要有误用型和异常型两种检测技术,根据这两种检测技术各自的优点,以及它们的互补性,将两种检测技术结合起来的方案越来越多地应用于IDS.通过引入入侵检测能力,从理论上深刻解释了系统协作的必然性,提出了异常检测技术和误用检测技术相结合的IDS模型及其评估方法,降低了单纯使用某种入侵检测技术时产生的误报率,从而提高系统的安全性.     

MAIDS-多检测技术的IDS模型

目前,入侵检测系统的漏报率和误报率高一直是困扰IDS用户的主要问题,而入侵检测系统主要有误用型和异常型两种检测技术。针对这一问题,根据这两种检测技术各自的优点,以及它们的互补性,将两种检测技术结合起来的方案越来越多地应用于IDS中。论文提出了基于统计的异常检测技术和基于模式匹配的误用检测技术及其它检测技术相结合的IDS模型-MAIDS,以期达到减少入侵检测系统的漏报率和误报率的目的,从而提高系统的安全性。     

入侵检测系统(IDS)测试浅谈

近两年入侵检测系统(IDS)产品和技术得到了快速发展,入侵检测系统(IDS)产品的应用也被各行业和企事业单位高度重视。同时IDS产品在功能和性能上发展迅速,增强产品功能、提升产品性能成为安全厂商赢得用户信赖的直接途径。 那么,入侵检测系统(IDS)为什么能够得到用户的青睐?简单来说,实时入侵检测产品是一种在通过网络及主机中部署的集感应、分析和响应的装置,能够对网络上的信息进行快速分析或在主机上对用户行为进行审计分析,通过集中控制台来管理、监测。这样,应用这种产品可以     

基于异常和特征的入侵检测系统模型

目前大多数入侵检测系统(Intrusion Detection System，IDS)没有兼备检测已知和未知入侵的能力，甚至不能检测已知入侵的微小变异，效率较低。本文提出了一种结合异常和特征检测技术的IDS。使用单一技术的IDS存在严重的缺点，为提高其效率，唯一的解决方案是两者的结合，即基于异常和特征的入侵检测。异常检测能发现未知入侵，而基于特征的检测能发现已知入侵，结合两者而成的基于异常和特征的入侵检测系统不但能检测已知和未知的入侵，而且能更新基于特征检测的数据库，因而具有很高的效率。     

基于移动代理的入侵检测系统安全研究

现有的基于移动代理的入侵检测系统，存在自身安全性没有保证、难以应对分布式入侵行为的缺点。改进后的模型，为每一个移动代理添加了独立的ID，并加入了身份认证、完整性鉴定和加密机制，提高了入侵检测系统自身的安全性；同时利用移动代理的移动性、灵活性、适应性等特点构建入侵检测子系统，子系统能够很好地利用分散的网络运算资源，实现对可疑行为的分析和响应，有效地应对分布式入侵行为。     

基于Agent与数据挖掘的分布式入侵检测系统

针对目前计算机入侵检测系统中存在的不足．文中构建了一个基于Agent和数据挖掘技术的分布式入侵检测系统。这个系统引入移动Agent使入侵检测较好地适应了分布式的环境，采用数据挖掘技术使检测系统能够更加快速有效地发现入侵行为，明显地提高了检测系统的实时性。它还把误用检测和异常检测溶为一体，把基于主机和基于网络的入侵检测进行有机结合，具有良好的可扩展性、灵活性、鲁棒性、安全性、实时性、自适应性和检测的准确性。     

一种入侵检测系统的规则描述语言

入侵检测系统(IDS)是保护信息系统安全的重要方式。而新一代IDS的一个最主要的特点就是IDS入侵检测规则描述语言。该文通过对Snort规则的分析与比较，提出了一种基于网络的IDS规则描述语言，它具有直观易定义、描述精确等特点。     

MOVIH-IDS: A mobile-visualization hybrid intrusion detection system

A novel hybrid artificial intelligent system for intrusion detection, called MObile-VIsualization Hybrid IDS (MOVIH-IDS), is presented in this study. A hybrid model built by means of a multiagent system that incorporates an unsupervised connectionist intrusion detection system (IDS) has been defined to guaranty an efficient computer network security architecture. This hybrid IDS facilitates the intrusion detection in dynamic networks, in a more flexible and adaptable manner. The proposed improvement of the system in this paper includes deliberative agents characterized by the use of an unsupervised connectionist model to identify intrusions in computer networks. This hybrid IDS has been probed through several real anomalous situations related to the simple network management protocol as it is potentially dangerous. Experimental results probed the successful detection of such attacks through MOVIH-IDS.     

一种基于多Agent的分布式入侵检测系统设计

在分析现有基于Agent的入侵检测系统的基础上,提出了一种基于多Agent分布式入侵检测系统模型。该模型采用了分布检测、分布响应的模式,各Agent之间具有良好的相对独立性。通过多Agent技术的思想建立系统总体结构,给出了模型的各个组成部分,并对结构中各种Agent与中心控制台的功能设计进行了分析。同时对涉及到特征匹配算法、动态选举算法、协同算法进行了初步的设计与分析。系统可充分利用各Agent的协同完成入侵检测任务,实时响应,可有效地改进传统IDS。     

基于滥用检测和异常检测的入侵检测系统

随着Internet的高速发展，网络安全问题越来越引入注目。在层出不穷的黑客技术中，内部攻击始终占据着很大的成分；与此同时，现有的防火墙技术不能满足人们对网络安全的要求，因此所谓的入侵检测系统越来越多地引起了人们的重视。文章介绍了一种异常检测方法和一种滥用检测方法，并根据所描述的方法构造了一个入侵检测系统，实验证明，该系统可以检测到已知的大部分的入侵行为。     

数据挖掘技术在入侵检测系统中的应用

入侵检测系统是一种检测网络入侵行为的工具,然而现在的入侵检测系统内部的知识库中的入侵模式（正常模式和异常模式）往往不能很好地反应入侵行为的特征,所以有时候经常出现漏报或误报的情况,另外,系统提了的用户行为特征有时候也不能正确地反映用户的实际行为特征,针对这一情况,详细讨论了数据挖掘技术在入侵检测系统中的应用,提出了采用数据挖掘技术的入侵检测系统的结构模型。     

模糊逻辑和遗传算法在IIDS中的应用

随着恶意入侵计算机现象的日益严重，准确检测网络入侵的需求应运而生，从而推动了IDS理论和技术的不断发展，该文给出了一个智能入侵检测系统(IIDS)的原型系统。介绍了该原型系统的体系结构。主要研究了模糊逻辑和遗传算法在IIDS规则匹配和入侵行为模板挖掘中的应用。     

A Software Fault Tree Approach to Requirements Analysis of an Intrusion Detection System

Requirements analysis for an intrusion detection system (IDS) involves deriving requirements for the IDS from analysis of the intrusion domain. When the IDS is, as here, a collection of mobile agents that detect, classify, and correlate system and network activities, the derived requirements include what activities the agent software should monitor, what intrusion characteristics the agents should correlate, where the IDS agents should be placed to feasibly detect the intrusions, and what countermeasures the software should initiate. This paper describes the use of software fault trees for requirements identification and analysis in an IDS. Intrusions are divided into seven stages (following Ruiu), and a fault subtree is developed to model each of the seven stages (reconnaissance, penetration, etc.). Two examples are provided. This approach was found to support requirements evolution (as new intrusions were identified), incremental development of the IDS, and prioritisation of countermeasures. Correspondence and offprint requests to: G. Helmer, Department of Computer Science, 226 Atanasoff Hall, Iowa State University, Ames, Iowa 50011, USA. Email: ghelmer@cs.iastate.edu