基于数据挖掘的入侵检测技术研究

数据挖掘方法可以处理庞大的日志审计和网络数据,并能更快地提取入侵模式。提取网络入侵模式所用的主要有分类算法、关联规则算法和序列规则算法等。本文对基于数据挖掘的入侵检测的基本思想和技术等作了讨论,介绍了一个基于数据挖掘的入侵检测实例,提出了今后入侵检测的研究方向。     

一种处理混合型属性的聚类算法及其在入侵检测中的应用

针对目前基于k-Means算法的入侵检测技术存在对符号类型数据处理能力欠缺、误报率较高的问题,提出了一种处理混合型属性的聚类算法的入侵检测技术.该方法将对符号类型特征进行编码映射,并使用主成分分析对编码后增加的维数进行降维,从而解决了在入侵检测使用聚类分析无法对符号型数据进行处理的问题.详细地阐述了改进的具体实现方案,并通过实验验证了该方法的可行性.     

基于稀疏编码和SVM的协同入侵检测

将稀疏编码理论应用于入侵检测,并提出一种将稀疏编码理论和支持向量机结合的入侵检测算法。稀疏性约束同时引入到过完备词典学习和编码过程,学习到的系数作为特征送入到支持向量机进行入侵检测。实验表明,稀疏性具有一定的去噪能力,使得学习的特征更富有判别力。同时实验也验证了所提出的方法能保证较高的检测率和较低的误报率,并且对不平衡数据集有较好的鲁棒性。     

一种基于融合孤立点挖掘的入侵检测技术

将融合概念引入孤立点挖掘中,对基于相似度和的孤立点挖掘算法进行融合,提出一种基于投票机制的融合孤立点挖掘算法VoteSimi Out,并将其应用于入侵检测中。采用编码映射方法对符号型数据进行处理．并利用主成分分析来实现对编码映射后扩展的属性进行降维。详细阐述了具体实现方案,并通过仿真实验验证了该方法的可行性。     

基于Lisys的人工免疫入侵检测模型研究

研究已有的基于人工免疫原理的入侵检测系统框架Lisys，分析其优缺点，并在此框架基础之上，着重对特征编码的表示方法进行了设计，将多层次免疫算法引入系统，通过设计三种类型不同的检测器，实现在检测过程中粗细粒度结合，从而提出了一种新的基于Lisys的人工免疫入侵检测模型，该模型较好解决了入侵检测系统高漏报率、误报率问题。     

入侵检测聚类中相似性度量的等效性研究

探讨用相似性系数理论和信息熵理论两种方法去解决含有分类属性的聚类问题,并重点对这两种相似性度量方法解决入侵检测聚类问题时的等效性进行了研究。     

实数编码的克隆选择算法的网络入侵检测

根据克隆选择的原理,对获取的入侵数据包进行预处理,采用十进制对提取的属性编码。介绍了该算法中生成成熟检测器的具体细节,并实现了入侵数据的检测。相应的验证结果表明该算法在提高检测率、降低误报率方面是有效的,并且大大减少了计算量。     

一种新的半监督入侵检测方法

针对基于监督的入侵检测算法在现实网络环境中通常面临的训练样本不足的问题,提出了一种基于纠错输出编码的半监督多类分类入侵检测方法。该方法综合cop-kmeans算法的半监督思想,挖掘未标记数据中的隐含关系,扩大有标记正常网络数据的数量。该算法首先采用SVDD计算入侵检测各类别的可分程度,从而得到由不同子类构成的二叉树;然后分别对二叉树的各层节点进行编码并形成层次输出编码,得到最终的分类器。实验表明,该算法对各种类型的攻击具有更高的检测率,在现实网络环境中具有较好的实用性。     

基于实数编码的安全高效的入侵检测系统设计

针对入侵检测系统的研究,目前基本上都是从检测能力角度去分析,但是在当前这个黑客入侵技术不断更新的前提背景下,我们有必要考虑入侵检测系统的自身安全性及编码问题.本文从系统自身安全性角度出发,通过对目前正在实施的入侵检测系统检测算法的实数编码问题深入分析,借助JAVA语言的安全机制来提高入侵检测系统的自身安全性和检测能力.     

数据挖掘算法在入侵检测中的应用

该文对入侵检测的现状进行了分析,在此基础上研究了数据挖掘算法在异常检测和误用检测中的具体应用。对于异常检测,主要研究了分类算法;对于误用检测,主要研究了模式比较和聚类算法,在模式比较中又以关联规则和序列规则为重点研究对象。最后对目前数据挖掘算法在入侵检测中应用所面临的难点进行了分析,并指明了今后的研究方向。     

基于孤立点检测的自适应入侵检测技术研究

传统的入侵检测技术主要是从已知攻击数据中提取出每种具体攻击的特征规则模式,然后使用这些规则模式来进行匹配。然而基于规则的入侵检测的主要问题是现有的规则模式并不能有效应对持续变化的新型入侵攻击。针对这一问题,基于数据挖掘的入侵检测方法成为了入侵检测技术新的研究热点。本文提出了一种基于孤立点挖掘的自适应入侵检测框架,首先,基于相似系数寻找孤立点,然后对孤立点集合进行聚类,并使用改进的关联规则算法来从孤立点聚类结果中提取出各类入侵活动的潜在特征模式,然后生成可使用的匹配规则模式来添加到现有的规则模式中去,进而达到自适应的目的。本文使用KDD99的UCI数据集进行孤立点挖掘,然后使用IDS Snort的作为实验平台,使用IDS Informer模拟攻击工具进行测试,这两个实验结果表明了本文所提出算法的有效性。     

入侵检测多模式匹配算法

基于模式匹配的入侵检测是目前最重要的一种入侵检测方法，面字符串匹配效率是该方法的核心，直接影响检测效率。该文在充分分析BM算法、AC算法及AC_BM算法的基础上提出了一种新的更好搜索步长的多模式匹配算法NMSA，并具体分析了该算法的效率,通过实验数据对比，再次证明NMSA算法具有更好的搜索步长、更好的效率。     

遗传算法的编码理论与应用

编码是遗传算法求解问题的前提,文章分析了二进制编码、格雷码编码、实数编码、符号编码、排列编码、二倍体编码、DNA编码、混合编码、二维染色体编码或矩阵编码等编码的实质内容,在树编码和可变长编码基础上阐述了自适应编码的基本理论,提出了基于相似度的可变长编码和基于结构的agent编码方式,给出了函数优化、TSP、KP、JSP、机器人路径规划、图的划分和倒立摆等典型优化问题的编码方案。     

数据挖掘技术在入侵检测中的应用研究

随着Internet迅速发展,许多新的网络攻击不断涌现。传统的依赖手工和经验方式建立的基于专家系统的入侵检测系统,由于面临着新的攻击方式及系统升级方面的挑战,已经很难满足现有的应用要求。因此,有必要寻求一种能从大量网络数据中自动发现入侵模式的方法来有效发现入侵。这种方法的主要思想是利用数据挖掘方法,从经预处理的包含网络连接信息的审计数据中提取能够区分正常和入侵的规则。这些规则将来可以被用来检测入侵行为。文中将数据挖掘技术应用到入侵检测中,并对其中一些关键算法进行了讨论。最后提出了一个基于数据挖掘的入侵检测模型。实验证明该模型与传统系统相比,在自适应和可扩展方面具有一定的优势。     

一种改进的动态克隆选择算法在入侵检测中的应用

针对目前入侵检测系统不能有效检测已知攻击的变种和未知攻击行为的缺陷,受免疫系统中动态克隆选择算法的启发,提出了一种基于改进的动态克隆选择算法。该算法可以适应连续改变的环境,动态地学习变化的正常模式以及预测新的异常模式。经实验证明,该算法在入侵检测中,在降低误报率的情况下,提高了检测率。     

入侵检测系统中一种模式匹配算法的研究与改进

对基于入侵检测系统来说．模式匹配算法是基于特征匹配的入侵检测系统中的核心算法,也是当前入侵检测设备中普遍应用的算法。它的效率直接影响到入侵检测系统的准确性和实时性,文章通过对模式匹配算法的改进,提出了一种改进的算法,在匹配文本中重复字符串较多时,该算法可以加快入侵检测系统的检测速度,提高现有入侵检测系统的检测能力。     

Building Case-Based Preliminary Design Systems: A Hopfield Network Approach

This paper addresses the issue of building a case-based preliminary desing system by using Hopfield networks.One limitation of Hopfield networks is that it cannot be trained,i.e.the weights between two neurons must be set in advance.A pattern stored in Hopfield networks cannot be recalled if the pattern is not a local minimum.Two concepts are proposed to deal with this problem.They are the multiple training encoding method and the puppet encoding method.The multiple training encoding method,which guarantees to recall a single stored pattern under appropriate initial conditions of data,is theoreticall analyzed,and the minimal number of times for using a pattern for training to guarantee recalling of the pattern among a set of patterns is derived.The puppet encoding method is proved to be able to guarantee recalling of all stored patterns if attaching puppet data to the stored patterns is available. An integrated software PDS (Preliminary Design System),which is developed from two aspects,is described.One is from a case-based expert system--CPDS(Case-based Preliminary Design System),which is based on the algorithm of the Hopfield and developed for uncertain problems in PDS;the other is RPDS (Rule-based Preliminary Design System),which attacks logic or deduced problems in PDS.Based on the results of CPDS,RPDS can search for feasible solution in design model.CPDS is demonstrated to be useful in the domains of preliminary designs of cable-stayed bridges in this paper.     

基于商空间粒度聚类的异常入侵检测*

针对异常入侵检测技术中传统聚类方法需要被检测类大小均衡的问题,在商空间粒度理论的基础上,论述了商空间粒度变换可以使复杂问题在不同的粒度世界求解,最终使整个问题得到简化。分析了商空间划分与聚类操作的相似性,提出了基于商空间的粒度聚类方法,并将该方法与入侵检测技术相结合,构建了基于商空间粒度聚类的入侵检测系统,用于对KDD CUP 1999数据集的异常入侵检测。实验结果表明,该入侵检测系统的性能明显优于基于传统聚类方法的入侵检测系统,从而证明了该方法的正确性和有效性。     

Boosting performance in attack intention recognition by integrating multiple techniques

Recognizing attack intention is crucial for security analysis. In recent years, a number of methods for attack intention recognition have been proposed. However, most of these techniques mainly focus on the alerts of an intrusion detection system and use algorithms of low efficiency that mine frequent attack patterns without reconstructing attack paths. In this paper, a novel and effective method is proposed, which integrates several techniques to identify attack intentions. Using this method, a Bayesian-based attack scenario is constructed, where frequent attack patterns are identified using an efficient data-mining algorithm based on frequent patterns. Subsequently, attack paths are rebuilt by recorrelating frequent attack patterns mined in the scenario. The experimental results demonstrate the capability of our method in rebuilding attack paths, recognizing attack intentions as well as in saving system resources. Specifically, to the best of our knowledge, the proposed method is the first to correlate complementary intrusion evidence with frequent pattern mining techniques based on the FP-Growth algorithm to rebuild attack paths and to recognize attack intentions.     

基于数据挖掘的协议分析检测模型

针对现有入侵检测系统的不足,根据入侵和正常访问模式的网络数据表现形式的不同以及特定数据分组的出现规律,提出按协议分层的入侵检测模型,并在各个协议层运用不同的数据挖掘方法抽取入侵特征,以达到提高建模的准确性、检测速度和克服人工提取入侵特征的主观性的目的。其中运用的数据挖掘算法主要有关联挖掘、序列挖掘、分类算法和聚类算法。