网络入侵检测系统中有关算法的应用研究

简要介绍了当前入侵检测中所应用的免疫机制，对迄今提出的几种算法进行了描述和分析；最后，根据自己的体会，提出了值得研究的方向和对这项研究的认识。     

一种基于人工免疫算法的网络入侵检测方法

网络安全问题主要是由互联网缺乏主管性以及自动防守性引起的,促使网络攻击行为极易入侵互联网。为了实现网络入侵检测的高效性,提高入侵检测正确率,笔者提出一种基于人工免疫算法的网络入侵检测算法。该算法通过人工免疫的"自我"和"非自我"识别能力对网络入侵行为进行检测。在Matlab平台上,对KDDCUP99网络入侵数据集进行分析,结果表明运用此算法使得检测正确率得到提高、误报率降低,检测的结果更加可靠,克服了当前网络入侵检测算法的缺陷,是一种有效的网络安全防范工具。     

基于残余抗原学说的动态记忆风险识别模型

以小概率事件风险识别为研究对象,提出一个基于残余抗原学说的动态记忆风险识别模型DMRIM。DMRIM针对小概率事件风险的无规则等特点,将风险的强度和频度直观地、动态地映射为残余抗原的浓度,以残余抗原刺激免疫记忆、指导抗体进化、控制识别器的生命周期,突破了传统的记忆细胞生命周期,实现了识别器分布自制,提高了小概率事件的辨识能力。仿真实验表明,DMRIM充分体现免疫记忆的动态性,有效地识别小概率事件,其可行性在实际应用中得到了验证。     

基于动态克隆选择的入侵检测模型

建立了一种基于扩展动态克隆选择的入侵检测模型,将IP抗原化与未成熟免疫细胞、成熟免疫细胞、记忆免疫细胞进行匹配,不断学习记忆,检测出各种已知或未知攻击。在动态克隆中引入变异,提高了学习效率和检测效率。     

基于改进动态克隆算法的入侵检测研究

针对动态克隆选择算法在入侵检测应用中存在的高误检率,提出了一种改进动态克隆选择算法。对改进算法进行了描述,建立了一种基于人工免疫的入侵检测模型,并进行了仿真验证。仿真结果表明,改进后的算法取得了低的误检率。     

网络入侵检测中人工免疫动态"自我"定义模型

现有网络入侵检测中应用的人工免疫模型需要“干净”数据集实现“自我”和“非我”定义,称为“免疫注射”。然而,在网络实际运行条件下,获得“干净”的数据集是很困难的,甚至是不可能的。该文提出了利用数据挖掘技术实现“自我”动态定义的免疫模型,详细描述了模型结构。探讨了关键技术的实现方法。模型引入了动态平衡的思想,无须“干净”数据集即可定义“自我”,并能在网络状态正常变化时,实现“自我”的自动更新,弥补了原有模型的不足。     

一种基于人工免疫原理的入侵检测系统模型

基于人工免疫学原理，设计了一个基于自然免疫和疫苗接种机制相结合的入侵检测系统模型以及相关算法，该算法充分考虑了数据包负载部分包含的入侵信息，并将疫苗接种机制引入入侵检测中，使入侵检测系统＋增强了对未知攻击的识别能力。同时，该方法的提出也给网络安全领域提供了一种新的研究思路。     

基于人工免疫的入侵检测模型研究

在前人提出的基于人工免疫的入侵检测模型的基础上,加入了抗体精度匹配阀值和粗糙匹配频度阀值以改进其算法中对于self/nonself的判断处理方法,使得对于正常的突发性网络事件也可以进行合理的判断,从而加强了对网络事件检测的灵活性,并提出了改进后的入侵检测与防御体系模型。最后通过仿真测试,证明本模型在对突发性网络事件判断的灵活性、合理性和可行性,优于前人的基于人工免疫的入侵检测模型。     

动态克隆选择算法在入侵检测应用中的研究

内嵌阴性选择算子的克隆选择算法（N-AIS）只能作为误用检测器,检测给定静态环境下的入侵行为,而不能自适应动态变化的网络环境.本文引入一种动态克隆选择算法DynamiCS对N-AIS进行扩展,并在人工生成的IDS环境中对影响DynamiCS性能的三个重要参数：耐受期、激活阈值和生命期进行了测试和分析.结果表明,它能够更好地处理和应用于入侵检测系统自身行为不断变化及每次仅提呈部分自身抗原的环境.     

免疫入侵检测模型中抗体/抗原编码的一种改进

通过在免疫入侵检测方法中引入模糊集合理论,提出一种新的抗体与抗原编码模型,并给出抗体与抗原匹配度计算方法。与单纯以二进制编码方式的免疫模型相比,该编码模型具有更加灵活地表示各种复杂的数据特征的优势。     

基于生物记忆原理的入侵检测模型

利用生物记忆原理中的记忆存储、更新与遗忘原理,建立一种基于生物记忆原理的入侵检测模型。在本模型中,利用瞬时记忆衰减更新速度快且对外界信息反应敏感的特点,对异常数据进行及时检测,尽可能较早地阻止入侵的发生;短时记忆和长时记忆可以随着异常访问频度调整记忆强度并进行相互转化,以达到最佳的记忆效果。短时记忆容量限制和记忆库自动更新清理机制能有效地节省入侵检测系统资源消耗,将更多空间用于存储重要信息。实践检验发现,该模型能实时追踪最新动态,借助记忆库对旧信息进行选择性更新和遗忘,并对未知入侵行为做出及时、高效、准确的判断。     

一种基于免疫原理的混合式入侵检测模型

针对现有入侵检测系统的不足,在对入侵检测技术和生物免疫原理比较的基础上,引入并利用可疑度的概念,将基于主机和基于网络的入侵检测系统结合起来,提出了一种基于免疫原理的混合式入侵检测模型。该模型参考免疫系统的分层机制,模拟其否定选择、科隆选择及直接被动免疫过程,并对自我集的实时流定义方法,检测元的生命周期等作了说明。     

基于数据挖掘的分布式入侵检测系统

构建了一个基于数据挖掘的分布式入侵检测系统模型。采用误用检测技术与异常检测技术相结合的方法,利用数据挖掘技术如关联分析、序列分析、分类分析、聚类分析等对安全审计数据进行智能检测,分析来自网络的入侵攻击或未授权的行为,提供实时报警和自动响应,实现一个自适应、可扩展的分布式入侵检测系统。实验表明,该模型对已知的攻击模式具有很高的检测率,对未知攻击模式也具有一定的检测能力。     

人工免疫原理在入侵检测系统中的应用研究

介绍了生物免疫系统的免疫原理,并且分析了目前入侵检测系统（IDS）及其存在的问题.为了解决这些问题,提出了一个基于人工免疫原理的入侵检测模型,该模型使用负筛选算法产生检测规则集.最后通过一个实例检验了这个系统,该系统与其它入侵检测系统相比增加了可适应性、自治性、健壮性等特点.     

基于机器学习的入侵检测研究

针对现有的检测技术和入侵检测系统还存在一些问题和不足,提出将机器学习方法应用在入侵检测系统中,建立了一个基于学习的入侵检测系统模型,给出了一个基于机器学习的入侵检测系统的设计.该系统不仅能通过模式匹配的方式检测到一些已知的攻击,还能通过自我学习检测到未知的攻击.     

一种基于移动代理的入侵检测系统模型

提出一种利用IBM Aglet平台构建基于移动代理的分布式入侵检测系统模型，利用移动代理的移动性、灵活性、适应性、跨平台性和代码可重用等特性来克服目前入侵检测系统中存在的效率低、可移植性差、灵活性(包括可调整性、伸缩性和动态重新配置能力)有限和升级能力有限等缺陷。     

基于分布式Agent的入侵检测系统研究

随着网络入侵行为变得越来越普遍和复杂,传统的单一入侵检测系统已不能满足网络安全的发展需求,针对当前形势,为了提高计算机及网络系统的防御能力,提出了一种基于分布式Agent技术的入侵检测模型,并给出了一种可疑度算法和多IP地址连续报告策略,经测试和论证,系统可有效地阻止已知和未知的攻击行为,最后对系统的整体性能进行了详细描述。     

免疫入侵检测中基于数据场的动态识别算法

将数据场理论引入到计算机免疫的研究中,设计了一种识别器的构造方法及其动态识别算法。抗体的培育是建立在不完全自体集的基础上,算法可以识别出未知自体,降低自免疫反应发生的概率,并通过动态识别算法完善抗体集,克服了现有的入侵检测系统对自体集要求较高的局限性,简化了克隆变异以及记忆机制的实现方法。实验表明：新的免疫动态识别方法使入侵检测系统具有更高的动态平衡性和自适应性。