基于特征选择的模糊聚类异常入侵行为检测

网络攻击连接具有行为的多变性和复杂性等特征,利用基于传统聚类的行为挖掘技术来构建异常入侵检测模型是不可行的。针对网络攻击行为的特点,提出了基于特征选择的模糊聚类异常入侵模型。首先通过层次聚类算法改善了FCM 聚类算法结果对初始聚类中心的敏感性,再利用遗传算法的全局搜索能力克服了其在迭代时易陷入局部最优的缺点,并将它们结合构成一种AGFCM 算法;然后采用信息增益算法对网络攻击连接数据集的特征属性进行排序,同时利用约登指数来删减数据集的特征属性以确定特征属性容量;最后利用低维特征属性集和改进的FCM 聚类算法构建了异常入侵检测模型。实验结果表明该模型对绝大多数的网络攻击类型具有很好的检测能力,为解决异常入侵检测模型的误警率和检测率等问题提供了一种可行的解决途径。     

融合随机森林和梯度提升树的入侵检测研究

网络入侵检测系统作为一种保护网络免受攻击的安全防御技术,在保障计算机系统和网络安全领域起着非常重要的作用.针对网络入侵检测中数据不平衡的多分类问题,机器学习已被广泛用于入侵检测,比传统方法更智能、更准确.对现有的网络入侵检测多分类方法进行了改进研究,提出了一种融合随机森林模型进行特征转换、使用梯度提升决策树模型进行分类的入侵检测模型RF-GBDT,该模型主要分为特征选择、特征转换和分类器这3个部分.采用UNSW-NB15数据集对RF-GBDT模型进行了实验测试,与其他3种同领域的算法相比,RF-GBDT既缩短了训练时间,又具有较高的检测率和较低的误报率,在测试数据集上受试者工作特征曲线下的面积可达98.57%.RF-GBDT对于解决网络入侵检测数据不平衡的多分类问题具有较显著的优势,是一种切实可行的入侵检测方法.     

基于组合神经网络的物联网入侵检测方法

针对物联网流量入侵检测的全局特征提取问题,对现有的网络入侵检测方法进行了改进,提出了一种基于组合神经网络的入侵检测方法。首先利用一维密集连接卷积神经网络对数据集中流量的空间特征进行提取;然后利用门控循环神经单元进一步提取时序特征,完成对物联网流量数据的时空特征提取;最后采用UNSW-NB15和Bot-iot数据集对组合神经网络模型进行多分类训练和测试。实验结果表明,所提方法在准确率以及其他评价指标方面均有一定的提高,表明了该方法的有效性。     

一种基于有向二分图模型和贝叶斯网络的入侵检测方法

针对入侵检测中存在的非确定性推理问题,文章提出一种基于二分图模型和贝叶斯网络的入侵检测方法,该方法利用二分有向图模型表示入侵和相关特征属性之间的因果拓扑关系,利用训练数据中获取模型的概率参数,最后使用最大可能解释对转化后的推理问题进行推理,并通过限定入侵同时发生的数目来提高检测效率。实验表明,该方法具有较高的检测率和很好的鲁棒性。     

基于Agent的入侵检测系统体系结构设计

提出并深入研究了一种基于智能体技术的入侵检测系统的体系结构。该体系结构是一种混合形结构，利用基于主机和基于网络的数据源，同时使用异常检测技术和误用检测技术。该体系结构中还引入数据挖掘的思想，利用数据挖掘技术从安全审计数据中提取关键的系统特征属性，根据这些属性生成安全审计数据的分类模型用于入侵检测，使IDS自动适应复杂多变的网络环境。     

最小差异度聚类在异常入侵检测中的应用

重点研究了异常入侵检测系统模型。针对现有模型中存在的对训练数据要求高、误报率高等问题,提出了一种基于最小差异度聚类的入侵检测方法。该方法将区间标量、序数变量、二元变量标称变量类型的属性映射到区间[0,1]上,计算每个数据对象之间以及与各个簇的差异度,很好地解决了异常入侵。在检测已知入侵方面,模型也有不俗表现。     

基于FP-Growth的入侵检测研究

数据挖掘可以利用各种分析工具从海量数据中发现模型和数据间的关系并做出预测。为了解决入侵检测在不降低精度的同时提高检测速度的问题,提高算法的效率,将FP-Growth算法应用于入侵检测系统中,提出对FP-Growth算法改进FP-tree的头表结构并引入关键属性来挖掘原始审计数据中的频繁模式,实验结果表明改进后的算法比传统的关联算法在入侵检测中的应用效果更好。可以看出,将FP-Growth算法应用于入侵检测中是可行的。     

最小差异度聚类在异常入侵检测中的应用

重点研究了异常入侵检测系统模型。针对现有模型中存在的对训练数据要求高、误报率高等问题,提出了一种基于最小差异度聚类的入侵检测方法。该方法将区间标量、序数变量、二元变量标称变量类型的属性映射到区间[0,1]上,计算每个数据对象之间以及与各个簇的差异度,很好地解决了异常入侵。     

粗糙集属性约简的极限学习机网络入侵检测算法

针对网络入侵数据量大、属性冗余及属性之间线性相关导致分类算法计算速度慢、准确度不高等问题,提出一种改进粗糙集属性约简的极限学习机网络入侵分类算法。对训练集采用粗糙集正域和分辨矩阵相结合的方法获得属性核,筛选出只有属性核的数据集得到无冗余属性的特征集合;使用极限学习机(ELM)作为分类模型进行分类,使用支持向量机(SVM)、神经网络、极限学习机比较证明提出方法的有效性,为网络入侵检测提供一种新的解决方法。     

基于快速属性约简的网络入侵特征选择

高维网络数据中的无关属性和冗余属性会导致入侵检测速度慢及效率低下。为解决该问题,提出一种基于快速属性约简的网络入侵特征选择方法。以网络数据的条件属性与类别属性之间的互信息为度量去除无关属性,采用基于粗糙集正区域的属性重要性计算公式作为启发信息,设计一种快速属性约简算法去除网络数据的冗余属性,实现网络入侵特征子集的优化选择。在KDD CUP1999数据集上的仿真实验结果表明,该方法能有效去除网络数据中的无关属性和冗余属性,具有较高的入侵检测率和较低的误报率。     

多代理分布式入侵检测系统在校园网中的应用

近年来，入侵检测系统(IDS)作为信息系统安全的重要组成部分，得到了广泛的重视。可以看到，仅仅采用防火墙技术来构造网络的安全体系是远远不够的，很多攻击可以绕过防火墙。入侵检测技术可以在网络系统受到损害前对入侵行为做出拦截和响应。基于代理的分布式入侵检测系统实现了基于主机和基于网络检测的结合，为网络系统提供更好的安全保护。文中针对防火墙技术的不足，在对入侵检测技术及其通用架构做出分析和研究后，设计了一种基于代理的分布式入侵检测系统，并给出了在某校园网中的实现。     

基于加权多随机决策树的入侵检测模型

传统的决策树分类方法(如ID3和C4.5)对于相对小的数据集是很有效的。但是,当这些算法用于入侵检测这样的非常大的数据时,其有效性就显得不足。采用了一种基于随机模型的决策树算法, 在保证分类准确率的基础上,减少了对系统资源的占用,并设计了基于此算法的分布式入侵检测模型。最后通过对比试验表明该模型在对计算机入侵数据的分类上有着出色的表现。     

基于多代理技术可自检的分布式入侵检测系统模型

通过对现有多代理技术的分布式入侵检测系统的研究,提出了一种基于多代理技术可自检的分布式入侵检测系统模型,并且对该模型的结构,组成和代理的处理流程进行了描述,该模型是一个开放的系统模型,具有很好的可扩展性,易于加入新的入侵检测代理及相应的自检,也易于增加新的入侵检测模式,代理之间的协同采用代理守护进程来实现。     

数据挖掘技术在入侵检测中的应用

针对入侵检测系统的研究现状和面临的问题,研究了数据挖掘技术应用到入侵检测中的优势,分析了当前基于数据挖掘的入侵检测中存在的不足。针对目前基于数据挖掘的入侵检测时空效率不高的问题,对频繁模式算法进行了研究,改进了频繁模式算法,用两步模式增长代替一步模式增长模式来加快挖掘速度,并且增加时间特性、属性相关和轴属性加以约束。通过试验证明改进后的算法在时空效率上得到了改善,减少了扫描数据库的时间和生成无意义的模式,提高了规则的有用性。     

一种基于移动代理的MANET IDS模型

文章分析了MANET的特点以及它对入侵检测系统(IDS)的要求,提出了一种MANET的IDS模型。在该模型中引入了智能移动代理技术从而增强了模型的分布性和智能性;将MIB信息也作为审核数据的来源从而丰富了检测手段;采用了既有独立检测也有协动检测和联动检测的混合防护模型,从而增强了模型的灵活性和适应性。     

插件式网络安全集成防护框架

随着Internet的普及,网络安全问题越来越成为令人关注的问题。单一的入侵检测或者是防火墙系统很难对系统进行有效的防护。如果能整合入侵检测和防火墙形成一种有机的新系统,将能较好地克服两者的缺陷。这里面临了两个问题：一方面需要一种框架能集成新的子系统,即集成入侵检测系统,融合不同的检测技术,同时集成管理不同类型的防火墙,形成结合边界防火墙的分布式防火墙;另一方面需要一种机制,能自动判定入侵检测系统的告警,生成相应的防火墙规则阻断攻击。为了集成不同类型的子系统,我们提出了一种插件式的框架,通过添加插件,它能够集成管理不同类型的防火墙和入侵检测系统,通过该框架的抽象,提供了一种告警自动响应的机制。     

网络入侵检测的研究与实践

介绍了入侵检测的概念、原理和检测分析模型。同时介绍了Snort—这一免费的小型入侵检测系统。利用Snort作为入侵检测系统,结合Linux防火墙,在Linux系统上实现了入侵检测功能。经验证该IDS能够在一定程度上保护局域网资源。     

网络入侵报警信息实时融合处理模型

针对分布式入侵检测和网络安全预警所需要解决的问题,对多传感器数据融合技术进行了研究。在分析IDS警报信息之间的各种复杂关系的基础上,提出了一个警报信息实时融合处理模型,并根据该模型建立警报信息融合处理系统。实时融合来自多异构IDS传感器的警报信息,形成关于入侵事件的攻击序列图,在此基础上进行威胁评估及攻击预测。该模型拓展了漏报推断功能,以减少漏报警带来的影响,使得到的攻击场景更为完整。实验结果表明,根据该模型建立的融合处理系统应用效果好,具有很高的准确率和警报缩减率。     

Intrusion Detection System for Big Data Analytics in IoT Environment

In the digital area, Internet of Things (IoT) and connected objects generate a huge quantity of data traffic which feeds big data analytic models to discover hidden patterns and detect abnormal traffic. Though IoT networks are popular and widely employed in real world applications, security in IoT networks remains a challenging problem. Conventional intrusion detection systems (IDS) cannot be employed in IoT networks owing to the limitations in resources and complexity. Therefore, this paper concentrates on the design of intelligent metaheuristic optimization based feature selection with deep learning (IMFSDL) based classification model, called IMFSDL-IDS for IoT networks. The proposed IMFSDL-IDS model involves data collection as the primary process utilizing the IoT devices and is preprocessed in two stages: data transformation and data normalization. To manage big data, Hadoop ecosystem is employed. Besides, the IMFSDL-IDS model includes a hill climbing with moth flame optimization (HCMFO) for feature subset selection to reduce the complexity and increase the overall detection efficiency. Moreover, the beetle antenna search (BAS) with variational autoencoder (VAE), called BAS-VAE technique is applied for the detection of intrusions in the feature reduced data. The BAS algorithm is integrated into the VAE to properly tune the parameters involved in it and thereby raises the classification performance. To validate the intrusion detection performance of the IMFSDL-IDS system, a set of experimentations were carried out on the standard IDS dataset and the results are investigated under distinct aspects. The resultant experimental values pointed out the betterment of the IMFSDL-IDS model over the compared models with the maximum accuracy 95.25% and 97.39% on the applied NSL-KDD and UNSW-NB15 dataset correspondingly.     

入侵检测系统发展的研究综述

With the fast development of Internet,more and more computer security affairs appear. Researchers have developed many security mechanisms to improve computer security ,including intrusion detection (ID). This paper re-views the history of intrusion detection systems (IDS)and mainstream techniques used in IDS,showing that IDS couldimprove security only provided that it is devised based on the architecture of the target system. From this, we could see the trend of integration of host-oriented ,network-oriented and application-oriented IDSs.