基于模糊综合评判的入侵检测系统

网络入侵检测需要综合考虑各方面的因素,这不仅会带来极大的计算开销,而且由于证据的不确定性,很难准确做出直接的判断.网络入侵行为特征的描述是设计入侵检测系统的前提和关键,而它往往又是研究入侵检测技术的难点.模糊综合评判是在证据不确定的条件下,综合考虑系统各方面的因素,来判决一个网络访问连接是否为攻击.由此得出的基于模糊推理的网络入侵检测方法使得推理过程计算简单,同时也具有更强的描述能力.     

一个分布式入侵检测系统框架设计

提出了一个网络环境下分布式入侵检测系统的框架。描述了将原始网络报文分组加工组织成相当于单词和文本的结构形式的方法，通过聚类发现相当于文本类特征词的方法，以及通过分类算法实现网络入侵检测的方法。讨论了控制节点的agent如何将完整的入侵检测任务合理组织分配到分布在各计算节点上的agent，并协调各计算任务的并发过程。     

分布式入侵检测系统技术的研究

本文介绍了分布式入侵检测系统的基本组成，各组成部分的功能和入侵检测的方法，分布式入侵检测系统在对攻击事件检测和报警时采用分散-集中方式，所采用的数据结构——目标树，被用来进行入侵预测，文中使用了IP Spoofing攻击来描述入侵检测的全过程，最后提及了分布式入侵检测系统所要着重考虑的几个问题。     

基于Agents网络入侵检测系统的研究

分析了一般入侵检测系统某些方面的弱点，描述了基于Agents网络入侵检测系统在数据采集和数据分析方面的优势，介绍了一种基于Agents网络入侵检测系统模型，并提出其存在的不足和几点改进意见。     

入侵检测技术的研究与进展

入侵检测系统(IDS)作为一门新兴的安全技术，是网络安全系统中的重要组成部分。该文阐述了入侵检测系统的基本原理和功能模块，从数据源、检测方法和检测定时三个方面描述了入侵检测系统的分类，并对目前国内外入侵检测技术的研究现状作了介绍和分析。随着计算机技术和网络技术的高速发展，海量存储和高带宽的传输技术，都使得集中式的入侵检测越来越不能满足系统需求。由此指出，分布式入侵检测(DID)必将逐渐成为入侵检测乃至整个网络安全领域的研究重点，为进行入侵检测技术的研究提供一定的技术和理论依据。     

入侵检测系统及其在电力企业综合信息网中的应用

本文首先论述了入侵检测系统的原理、分类法及其优缺点,并以电力企业综合信息网为例,重点论述了入侵检测系统的应用,包括入侵检测系统对网络的总体需求和在网络上建设入侵检测系统的总体考虑。     

D-S证据理论在DoS入侵检测系统中的应用

该文研究D-S证据理论在DoS入侵检测系统中的应用,提出一个基于D-S证据理论的DoS入侵检测引擎模型。利用D-S证据理论,把从多个嗅探器获得的当前网络状态的证据关联起来检测DoS攻击。文章重点探讨网络状态的可信度计算及融合算法。     

一个千兆网络入侵防御系统的设计与实现

随着网络速度的日益提高和网络入侵行为的越来越复杂化，高速高性能的网络入侵检测和防御系统越来越受到重视，但是目前绝大部分研究都集中在网络入侵检测系统方面．但是由于入侵检测系统的局限性，同时不具有实时阻断的功能，目前入侵防御技术和系统更受人们的重视．由于入侵防御系统涉及很多关键技术和技术难点，因此目前千兆级的实用的入侵防御系统并不多见，论文提出了一个实现网络入侵防御系统的基于硬件的框架，这个框架实现了网络入侵防御系统的所有功能．测试表明具有实用性．     

基于神经网络的高效智能入侵检测系统

描述了一种采用人工神经网络技术的高效实时入侵检测模型，对网络数据处理、神经网络的训练及其算法、神经网络的检测及其算法进行了详细的论述，目的是用神经网络的优势来改进现存入侵检测系统中的一些不足之处，使入侵检测系统效率更高，更具智能化。     

一种分布式入侵检测模型的设计

传统的基于异常的或基于误用的入侵检测总是在正常和非正常间作出一个绝对的选择，这种结果丢弃了大量有价值的信息，导致检测效果的不理想，尤其是在复杂的分布式网络环境中更加如此。针对此不足，文中提出基于模糊理论的模糊决策引擎(FDE)，它是分布式入侵检测系统中检测代理的一部分，能够在判定入侵行为时，基于模糊理论综合的考虑各种因素。带有FDE的分布式入侵检测系统的综合评估过程是一个层次结构，拥有分析来自于检测代理的各类信息的能力。这样的入侵检测系统拥有高精确的入侵检测、高效的决策过程以及系统资源消耗低的优点。     

基于模糊综合评判的入侵检测算法研究

计算机通信网络的安全防御措施-入侵检测系统作为现今研究的热点,入侵检测技术得到了前所未有的发展,尤其是模糊入侵检测技术。而模糊入侵检测存在误警率普遍较高的问题。通过对入侵检测算法的研究,针对模糊化所引起的问题,提出了协议分析与模糊综合评判相结合的检测算法,并将协议分析部分作为进行模糊综合评判的前提条件,即依据协议类型的不同采用了不同的权重向量和由单因素评判向量构成的评判矩阵的不同的模糊综合评判。实验结果证明,算法的检测效果较佳,问题解决且正好符合入侵检测系统所追求的,即检测率很高而误警率却是很低。     

入侵检测系统的评估方法与研究

在阐述入侵检测系统评估所要解决问题的同时对ROC曲线图、贝叶斯检测率、检测期望值和检测量CID等评估方法进行了深入的研究和分析。发现这些方法只基于某几个指标（如误报率、漏报率）对入侵检测系统进行评价,致使评价结果各有不足,这主要是缘于入侵检测系统的复杂性,对其进行性能评价无疑会涉及影响其性能的每一个主要指标。为此应用一种熵权系数模糊综合评判法,采用模糊综合决策的评估方案,利用熵权系数法计算各指标因素的权重,从而使其能够比较全面地评价一个入侵检测系统。     

入侵特征的时间语义分析及实现

入侵特征对于入侵检测系统至关重要，它们往往由系统属性和事件序列组成，时序关系是描述它们的关键。ISITL(Intrusion Signatures based on Interval Temporal Logic)是一种较高抽象程度的入侵特征形式化描述语言，它对Allen的时段时态逻辑进行了实时描述的扩充，从而加强了其入侵特征的描述能力。在ISITL中，所有的系统属性和事件都与相应的时段紧密相连，其相互关系用13个基本函数和3个扩展函数来描述。与其它入侵特征描述语言相比，ISITL具有简单易用，描述能力强等优点。     

A game theoretic model for dynamic configuration of large-scale intrusion detection signatures

In this paper, we note that the signature-based intrusion detection system (S-IDS) can cause the low accuracy against mutants of intrusion packets. This is because the S-IDS commonly detects network intrusion in data flows by identifying the existence of the predefined intrusion signatures, which is called static intrusion signature configuration (SISC). To increase the accuracy, all intrusion signatures corresponding to all possible mutants of a pertinent attack may be activated. However, the static intrusion signature configuration with all possible intrusion signatures can largely increase the size of storage and the signature search time in the process of signature analysis. To solve the problems that occur when activating all possible intrusion signatures, we propose a two-player non-cooperative zero-sum game with incomplete information for dynamic intrusion signature configuration (DISC), where the various lengths of an intrusion signature have been activated in a time-shared manner. After formulating the problem into the game theoretic approach, we found the optimal strategy for DISC in the S-IDS. To the best of our knowledge, this work is the first approach that analyzes the optimal DISC strategy against the various mutants of intrusion packets. From evaluation results, we show that the DISC by the defender is more effective than the SISC against various mutants of intrusion packets by the intruder.     

Evaluation of an adaptive genetic-based signature extraction system for network intrusion detection

Machine learning techniques are frequently applied to intrusion detection problems in various ways such as to classify normal and intrusive activities or to mine interesting intrusion patterns. Self-learning rule-based systems can relieve domain experts from the difficult task of hand crafting signatures, in addition to providing intrusion classification capabilities. To this end, a genetic-based signature learning system has been developed that can adaptively and dynamically learn signatures of both normal and intrusive activities from the network traffic. In this paper, we extend the evaluation of our systems to real time network traffic which is captured from a university departmental server. A methodology is developed to build fully labelled intrusion detection data set by mixing real background traffic with attacks simulated in a controlled environment. Tools are developed to pre-process the raw network data into feature vector format suitable for a supervised learning classifier system and other related machine learning systems. The signature extraction system is then applied to this data set and the results are discussed. We show that even simple feature sets can help detecting payload-based attacks.     

基于模糊方法的综合评判入侵检测系统

在分析现有入侵检测技术的基础上,结合模糊数学和层次分析法,提出了一种综合评判入侵检测系统性能的新方法,把评估的主观冈素限制在很小的范围内,提高了评判结果的准确度和可信度。并已通过实验验证,表明该方法是有效的。     

网络入侵检测系统的模糊规则学习模型

从如何完善和改进网络入侵检测系统的检测规则方面着眼,分析了入侵检测系统漏识和误识的原因,建立了一个网络入侵检测系统的模糊规则学习模型.文章首先证明了噪声环境下入侵行为的相似关系.并以入侵检测系统原有检测规则为基础,创建了基于权重的模糊检测规则.同时提出了一个反馈误差学习算法,用于对模糊检测规则进行改进以求达到识别的最优.模型可以方便地应用于各种基于规则的入侵检测系统.     

网格计算系统中的综合信任评估

网格是个动态变化的环境,网格站点间的信任关系受到一些因素的制约,该文提出了一个网格安全信任模型,把信任的概念建立在网格站点的身份信任和行为信任、计算能力、单元服务开销、先前的工作成功率、入侵检测和入侵抵抗能力的基础上,构造了一个评估网格站点行为信任度的算法。基于模糊数学中的模糊综合评估算法理论,该文构造了一个网格站点信任度的综合评估算法,利用该算法可以比较全面地评估网格站点的信任度,最大程度地保证网格行为的安全可靠。