一种新型的入侵检测模型的研究与实现

1 引言入侵(Intrusion)是指有关试图破坏资源的完整性、机密性及可用性的活动集合。入侵检测(Intru-sion Detection,简称ID)是指识别谁在未经授权情况下使用计算机系统;哪些人在滥用他们的特权对系统进行非法的访问。入侵检测系统(IDS)是一个计算机系统(可能由软件、硬件构成),它试图履行入侵检测功能,正如刚才所定义的,大多数是实时的。对于IDS的评估,主要的性能指标有:①可靠性,系统具有容错能力和可连续运行;②可用性,系统开销要最小,不会严重降低网络系统性能;③可测试,通过攻击可以检测系统运行;④适应性,对系统来说必须是易于开发的,可添加新的功能,能随时适应系统环境的改变;⑤实时性,系统能尽快地察觉入侵企图以便制止     

入侵检测系统的测评方法

本文对入侵检测系统进行了简要介绍,并给出了一套行之有效的入侵检测系统测试评估方法,提出了测评IDS的难点并展望了IDS测评技术的发展方向。     

入侵检测技术

为什么需要入侵检测 计算机网络的快速发展给人类的工 作和生活都带来了巨大影响,人类已经 开始离不开网络。但是,网络安全技术的 相对滞后使得网络安全事件逐年增加, 影响范围逐渐扩大,由此带来的经济损 失也是惊人的。 根据CSI(Computer Security Institute)和FBI的调查,在2001年,有 91％的受访机构发生过安全事件,其中 64％因为安全事件遭受经济损失,总的损 失金额达到＄377,828,700,与2000年的 损失金额＄265,589,940相比有了明显的     

规模分布式网络入侵检测方法研究

1 引言随着网络经济的到来,Internet在为发展带来巨大机会与可能性的同时,也带来了恶意入侵的风险。单纯的防火墙已经不能满足系统安全的需求,因为它无法控制内部网络用户和透过防火墙的入侵者的行为,无法处理合法用户的越权存取行为问题。因而需要建立多方位、多样化的手段来保证网络的安全。入侵检测系统是一类专门面向网络入侵检测的网络安全监测系统,而且正在成为网络安全解决方案中的重要组     

入侵检测规则(一)

从本期开始,“技术广场”栏目将刊出关于理解和开发网络入侵检测系统规则的系列文章,共四部分。本期刊出系列文章的第一部分,文中将介绍网络络入侵检测系统规则的基础知识并进一步讲解IP、TCP头文件属性的规则。这些规则忽略了包的有效荷载而将寻找某些确定的头文件属性或这些属性的集合作为替代。     

一种基于移动代理的入侵检测系统模型

提出一种利用IBM Aglet平台构建基于移动代理的分布式入侵检测系统模型，利用移动代理的移动性、灵活性、适应性、跨平台性和代码可重用等特性来克服目前入侵检测系统中存在的效率低、可移植性差、灵活性(包括可调整性、伸缩性和动态重新配置能力)有限和升级能力有限等缺陷。     

基于防火墙日志信息的入侵检测研究

首先介绍了入侵检测系统的发展过程,随后讨论了通过对包过滤型防火墙的日志信息进行分析,建立一个基于防火墙日志信息的准实时的网络入侵检测系统。     

基于网络的入侵检测系统和基于主机的入侵检测系统的比较分析

论述了基于网络的入侵检测系统（NIDS）和基于主机的入侵检测系统（HIDS）是现阶段主要构建入侵检测系统的两种方法，并重点比较分析了现存NIDS和HIDS的优缺点，只有NIDS和HIDS结合才是入侵检测发展的趋势。     

一种基于相对距离竞争激活的网络入侵检测算法

本文针对目前网络入侵检测学习算法效率不高的问题,首先提出相对距离的概念,然后构造基于相对距离的竞争激活函数和相似性度量,在此基础上提出一种改进的网络入侵检测算法.该算法的优势在于:(1)相对距离能较好地区分极差较大的列属性值并实现归一化;(2)基于相对距离的竞争激活函数可以处理包含符号属性的数据,不需转换为数值,且计算...     

一种基于孤立点检测的入侵检测方法

孤立点检测在入侵检测中有着重要的意义，故将基于RNN的孤立点检测方法应用于网络入侵检测当中。先将数据集用于神经网络的训练，然后使用训练后的RNN对网络数据进行孤立度测量，根据度量结果判定是否为入侵行为。实验表明，该算法取得了很好的效果。     

基于聚类融合的入侵检测

随着互联网的飞速发展,网络安全的问题日趋严重,传统的网络安全技术已难以应对日益繁多的网络攻击。因此入侵检测便应运而生了,而且其重要性日益提高。基于聚类分析的入侵检测已经成为其主要研究方向。聚类分析是一种有效的异常入侵检测方法,可用以在网络数据集中区分正常流量和异常流量。但单一的聚类算法很难达到预期的效果,为了提高入侵检测的效果,文中采用聚类融合技术,提出一种基于Co—assocition的模糊聚类融合算法,通过实验检测能显著提高检测率和降低误报率。     

入侵检测系统综述

入侵检测系统是一种基于主动策略的网络安全系统。本文从入侵检测系统的定义出发,介绍了它的发展历程,并对入侵检测系统进行了分类。最后分析了入侵检测系统面临的主要问题及今后的发展趋势。     

基于粗糙集理论的入侵检测新方法

提出了一种高效低负荷的异常检测方法，用于监控进程的非正常行为，该方法借助于粗糙集理论从进程正常运行情况下产生的系统调用序列中提取出一个简单的预测规则模型，能有效地检测了进程的异常运行状态，同其它方法相比，用粗糙集建立正常模型要求的训练数据获取简单，而且得到的模型更适用于在线检测，实验结果表明，该方法的检测效果优于同类的其它方法。     

基于KNN离群点检测和随机森林的多层入侵检测方法

入侵检测系统能够有效地检测网络中异常的攻击行为,对网络安全至关重要.目前,许多入侵检测方法对攻击行为Probe(probing),U2R(user to root),R2L(remote to local)的检测率比较低.基于这一问题,提出一种新的混合多层次入侵检测模型,检测正常和异常的网络行为.该模型首先应用KNN(K nearest neighbors)离群点检测算法来检测并删除离群数据,从而得到一个小规模和高质量的训练数据集;接下来,结合网络流量的相似性,提出一种类别检测划分方法,该方法避免了异常行为在检测过程中的相互干扰,尤其是对小流量攻击行为的检测;结合这种划分方法,构建多层次的随机森林模型来检测网络异常行为,提高了网络攻击行为的检测效果.流行的数据集KDD(knowledge discovery and data mining) Cup 1999被用来评估所提出的模型.通过与其他算法进行对比,该方法的准确率和检测率要明显优于其他算法,并且能有效地检测Probe,U2R,R2L这3种攻击类型.     

ARTNIDS:基于自适应谐振理论的网络入侵检测系统

分析了现有的入侵检测方法,设计了基于自适应谐振理论的网络入侵检测系统（ARTNIDS）.它采用了一种全新的行为表示方法,即根据网络数据包结构定义网络行为特征变量;利用改进的自适应谐振理论算法,提高了学习效率,使丢包率由15%左右降低到10%以下,实现了无监督和在线实时学习;提出的类似Hamming距离的检测算法,使误报率低于10%.依上述方法构造的原型系统经实验证明能高效地检测出局域网内的入侵行为.     

基于主成分分析与 Simhash 的入侵检测方法

论文提出一种基于主成分分析（PCA）与 Simhash 的入侵检测技术。利用 PCA 得到属性的特征值作为权重,再利用 Simhash 的思想得到每一条数据的指纹。通过对比网络数据指纹之间的 Hamming 距离可以发现,“正常”数据与“非正常”数据之间存在较为明显的差异。利用 KDD99数据集进行模拟实验,使用该方法与目前常见的基于 SVM 的技术进行比较,可以得出结论：在保证准确率的基础上,该方法在时效性上有显著提高。     

针对网络入侵检测系统的分析

入侵检测是提高网络安全性的有效手段。本文介绍了入侵检测的原理和方法,并详尽分析了几个实际的网络入侵检测系统,最后简要总结了网络入侵检测系统的发展方向。     

基于Apriori改进算法的入侵检测系统的研究

介绍了入侵检测系统的基本概念,在分析了现阶段入侵检测系统存在问题的基础上,提出了一个基于数据挖掘技术的入侵检测系统,其中主要采用了关联规则中的Apriroi算法挖掘入侵模式。该系统实现了规则库的自动更新,极大地提高了系统的整体性能。另外指出了基本Apriroi算法的不足,并提出改进算法,此算法既提高了扫描入侵数据库过程中的信息获取率,又及时剔除超集不是频繁项集的项集,进一步缩减项集的潜在规模,提高了频繁项集即入侵检测规则生成的效率。