基于SVM成本决策分析模型的入侵响应研究

传统入侵响应决策模型只考虑攻击损失和响应成本。在此基础上增加攻击目标的资产价值、响应风险在决策过程中的两个重要因素,分析了各成本的计算方法。提出一种把攻击目标作为无形资产进行评估的方法,并详细描述了采用SVM创建成本决策分析模型的过程。最后,基于日志记录进行攻击响应分析,给出了实验结果,显示该模型的决策结果有较高的正确率。     

多阶段网络攻击建模

为帮助网络管理员识别和阻止多阶段的网络攻击行为,本文主要介绍了参数化的攻击树模型,并使用相应的攻击描述语言对具体实例进行剖析,给出了一种具有可操作性、针对多阶段入侵进行检测的方法。     

基于数据挖掘与CIDF的自适应入侵检测系统

传统的由安全专家手工构造入侵检测规则的方法在新攻击频繁出现的今天越来越暴露出其工作量大、响应慢的局限性。为克服上述局限,该文提出一种自适应的入侵检测系统框架。该系统基于公共入侵检测框架(CIDF)构建,当出现新攻击时,利用数据挖掘对海量数据进行挖掘,得出入侵模型后由系统自动转换为检测规则以实现规则库的自动更新。另外,在一定授权情况下,其他入侵检测系统可以向该系统请求分发入侵模型以得到及时更新。     

入侵检测中的归纳学习方法

结合使用着色Petri网和EDL语言描述攻击模型,该文给出了使用归纳学习对攻击模型进行泛化和特化操作,泛化后的模型可以检测出与已知攻击实例类似的未知攻击行为,实现了攻击知识库进行自动更新和扩展的方法。攻击实例首先使用EDL语言表述为一个攻击实例模型,对实例模型进行泛化得到攻击实例的3层概念空间,进而转化为着色Petri网模型,利用着色Petri网的运行机制对攻击行为进行检测。实验结果表明该方法对于具有相似攻击行为的未知攻击的检测非常有效。     

信息安全技术投资的自适应模型

根据攻防双方信息不对称现象,结合不完全信息博弈论及信息安全的有关理论,构建一个基于成本-收益的信息安全技术选择的投资博弈模型,得出在两种不同的安全技术配置下(仅使用防火墙或防火墙与入侵检测系统共用)博弈双方的最优策略.通过对用户攻击率、系统响应率和入侵给系统带来的损失及系统的响应成本进行分析比较,探讨了安全技术的价值,从而给出能动态调整安全技术的自适应入侵响应策略.最后通过实例进一步验证了相关结论.     

基于移动agent的DDoS攻击协同防范技术研究

分布式拒绝服务攻击(distributed denial-of-service,DDoS)已经对Internet的稳定运行造成了很大的威胁。近两年来,DDoS的攻击方法和工具变得越来越复杂,越来越有效,追踪真正的攻击者也越来越困难。从攻击防范的角度来说现有的技术仍然不足以抵御大规模的攻击。文中通过分析DDoS攻击原理以及DDoS攻击行为,提出了一个基于移动agent的分布式协同入侵检测模型。该模型通过构建本地入侵检测模块和反DDoS实体模块来协同对分布式拒绝访问攻击形成大面积网络预警机制,以达到在陷于大规模分布式拒绝访问攻击时,能够最小化检测和反应时间,并进行自动响应。     

蜜罐系统模型的有限自动机

蜜罐系统作为一种主动响应的安全技术,利用诱骗技术吸引入侵,对网络数据进行捕捉和控制,及时获取攻击信息并记录入侵过程,研究攻击手段和过程。对该技术的研究已成为目前信息安全领域的研究热点。本文通过确定性有限自动机理论对蜜罐系统模型进行描述,根据确定性有限自动机状态转换图模拟捕捉攻击行为的全过程,为蜜罐系统的设计和部署提供有力的理论依据和论证。     

基于成本分析的自适应入侵响应系统

自动入侵响应是一种有效的对付入侵的手段。本文介绍了成本分析理论,并将该理论应用于自动入侵响应中,设计了基于成本分析的自适应入侵响应系统,简述了该系统中各个功能模块,详细介绍了分析代理和成本分析代理的功能应用。     

基于成本分析的自适应入侵响应系统

自动入侵响应是一种有效的对付入侵的手段。本文介绍了成本分析理论，并将该理论应用于自动入侵响应中，设计了基于成本分析的自适应入侵响应系统，简述了该系统中各个功能模块，详细介绍了分析代理和成本分析代理的功能应用。     

基于序列模式挖掘的误用入侵检测系统框架研究

本文提出一种基于序列模式挖掘的误用入侵检测系统框架,克服了Wenke Lee在网络层使用频繁片断算法对入侵行为进行统计分析的局限性。该系统针对应用层攻击,能够识别攻击行为的先后次序,是一种在协议分析基础上的行为分析技术。实验表明,该系统能更准确地描述攻击,可以检测出只包含一次特征的攻击。     

入侵检测系统的评估方法与研究

在阐述入侵检测系统评估所要解决问题的同时对ROC曲线图、贝叶斯检测率、检测期望值和检测量CID等评估方法进行了深入的研究和分析。发现这些方法只基于某几个指标（如误报率、漏报率）对入侵检测系统进行评价,致使评价结果各有不足,这主要是缘于入侵检测系统的复杂性,对其进行性能评价无疑会涉及影响其性能的每一个主要指标。为此应用一种熵权系数模糊综合评判法,采用模糊综合决策的评估方案,利用熵权系数法计算各指标因素的权重,从而使其能够比较全面地评价一个入侵检测系统。     

基于聚类过采样和自动编码器的网络入侵检测方法

近年来,随着互联网技术的不断发展,入侵检测在维护网络空间安全方面发挥着越来越重要的作用。但是,由于网络入侵行为的数据稀疏性,已有的检测方法对于海量流量数据的检测效果较差,模型准确率、F-measure等指标数值较低,并且高维数据处理的成本过高。为了解决这些问题,本文提出了一种基于稀疏异常样本数据场景下的新型深度神经网络入侵检测方法,该方法能够有效地识别不平衡数据集中的异常行为。本文首先使用k均值综合少数过采样方法来处理不平衡的流量数据,解决网络流量数据类别分布不平衡问题,平衡网络流量数据分布。再采用自动编码器来处理海量高维数据并训练检测模型,来提升海量高维流量中异常行为的检测精度,并在两个真实典型的入侵检测数据集上进行了大量的实验。实验结果表明,本文所提出的方法在两个真实典型数据集上的检测准确率分别为99.06%和99.16%, F-measure分别为99.15%和98.22%。相比于常用的欠采样和过采样方法, k均值综合少数过采样技术能够有效地解决网络流量数据类别分布不平衡的问题,提升模型对低频攻击行为的检测效果。同时,与已有的网络入侵检测方法相比,本文所提出的方法在准确率、F-m...     

基于防火墙的分布式网络入侵检测模型设计

随着网络安全问题日趋突出,入侵检测系统作为一门新兴技术成为广泛关注的焦点,它能够及时检测入侵行为,迅速做出响应,但仍存在不能阻止攻击等缺点。因此,在分析入侵检测系统、分布式入侵检测系统的结构及防火墙技术基础上,提出了一个分布式网络入侵检测与防火墙技术集成的模型实现网络安全。     

神经网络在入侵检测中的应用

神经网络具有自组织、自学习和推广能力的优势,将其应用于IDS中是目前网络安全领域的研究热点。基于神经网络的入侵检测方法不仅对于已知的攻击模式具有较好的识别能力,而且具有检测未知攻击的能力。介绍了入侵检测的概念和入侵检测系统的分类,分析了入侵检测技术存在的问题,提出了改进BP算法神经网络的入侵检测模型,最后利用MATLAB验证算法改进的有效性。     

Protecting host-based intrusion detectors through virtual machines

Intrusion detection systems continuously watch the activity on a network or computer, looking for attack and intrusion evidences. However, host-based intrusion detectors are particularly vulnerable, as they can be disabled or tampered by successful intruders. This work proposes and implements an architecture model aimed to protect host-based intrusion detectors, through the application of the virtual machine concept. Virtual machine environments are becoming an interesting alternative for several computing systems due to their advantages in terms of cost and portability. The architecture proposed here makes use of the execution spaces separation provided by a virtual machine monitor, in order to separate the intrusion detection system from the system under monitoring. As a consequence, the intrusion detector becomes invisible and inaccessible to intruders. The prototype implementation and the tests performed show the viability of this solution.     

基于优化Apriori算法的入侵检测系统模型设计

复合攻击是网络入侵的主要形式之一。如何检测复合攻击是当前入侵检测研究的一个重要方向,经过对复合攻击模式的大量研究,提出了一种基于自动调节的警报关联模型。为了提高入侵检测系统的效率,针对入侵检测系统的特点,将数据挖掘技术引入模型中。阐述了使用为关联规则提取所优化的Apriori算法,对日志文件进行特征分析与知识发掘的入侵检测系统模型的设计。     

入侵检测系统的代价平衡模型

入侵检测系统必须在最小代价的情况下达到最大的安全效果。研究了入侵检测响应的高效模型。将入侵检测的代价分类,分别为损害代价、反应代价和执行代价,并在此基础上对各种入侵进行了分类;分析了这些代价因素的代价规则,建立了入侵检测代价平衡模型,对模型进行模拟分析,找出了代价最优的多规则库的模型。     

一种基于模糊综合评判的网络入侵特征描述矩阵

网络入侵检测需要综合考虑各方面的因素，这不仅会带来极大的计算开销，而且由于证据的不确定性，很难准确作出直接的判断，网络入侵行为特征的描述是设计入侵检测系统的前提和关键，而它往往又是研究入侵检测技术的难点，模糊综合评判是在证据不确定的条件下，综合考虑系统各方面的因素，来判决一个网络访问连接是为攻击，由此得出的基于模糊推理的网络入侵特征描述矩阵使得推理过程计算简单，同时也具有更强的描述能力。