分布式入侵检测与响应协作模型研究

提出了一个分布式入侵检测与响应协作模型。在该模型中，设计了协作代理，负责对来自干各入侵检测代理的检测结果进行关联分析，并结合从其它域的协作代理收到的报警消息来检测复杂的入侵行为。扩展了IDMEF消息交换格式，使用XML文档来表示各入侵检测部件间交换的消息，协作代理问通过XML消息交换来实现协作。提出了怀疑度的概念，将发现的所有可疑的和入侵行为都报告给监控.     

一种基于协作代理的分布式入侵检测模型

在分布式入侵检测系统中,各部件间有时需要互相协作来完成复杂的检测任务,因此需要一种通用而且高效的入侵检测协作机制。本文设计了一种基于协作代理的分布式入侵检测模型,在这种方式中,设计了协作代理,负责对来自于各个入侵检测代理的检测结果进行关联分析,并结合从其他域的协作代理收到的报警消息来检测复杂的入侵行为。     

一种基于环形协作算法的分布式入侵检测模型

文章分析了当前流行的分布式入侵检测系统的特征以及协作方式，提出了一种基于逻辑环形协作算法的分布式入侵检测系统，以解决目前分布式入侵检测系统中各系统间协作效率低、检测响应慢的缺陷。     

分层协作入侵检测系统研究

互联网在给广大互联网用户提供方便的同时也更加方便了黑客在不同地点、不同时刻发起对远程网络或主机的攻击。针对这些分布式攻击模式,该文提出并论述了一个基于Agent的分布式入侵检测系统的框架及其实现。引入这种分层协作IDS的主要目的是为了克服单一的主机入侵检测系统以及网络入侵检测系统的某些缺陷。在分布式网络环境中,不同的系统主体在各自安全域中执行彼此的独立安全策略;同时,这些系统主体通过相互协作构成上一级安全域。系统框架参考目前流行的通用入侵检测框架CIDF构建,通过经过扩展的CISL实现不同组件间的通讯及协作。     

一个基于协作Agent的分布式入侵检测系统

为提高分布式入侵检测系统的效率,提出了一个基于协作Agent的分布式入侵检测模型(CADIDs),设计并实现了一个基于该模型的入侵检测系统。本文详细讨论了系统的体系结构、通信及实现技术等。     

入侵检测模型实用分析与研究

该文给出了异常检测、误用检测、特征检测和关联检测的实用模型,并对各种入侵检测模型的原理和主要功能进行了深入分析和研究,在此基础上给出了四种入侵检测模型性能比较及入侵检测发展趋势展望。     

分布式入侵检测系统中协作代理的设计

本文提出了基于代理的域内分层、域间对等的分布式入侵检测系统模型,该模型中协作代理是述了原型系统中协作代理的模块设计和安全通信机制.     

分布式漏洞扫描与入侵检测协作系统的研究

针对模式匹配方法的检测性能将随着网络规模的不断扩大而下降的现状,提出了分布式漏洞扫描与入侵检测系统协作机制,设计了系统模型,详细阐述了系统工作流程和数据库的设计方法与要点,实现了分布处理、结果准确、响应智能和安全性高的目标.     

基于Snort的分布式协作入侵检测系统

基于Snort设计一个分布式协作入侵检测系统。将感性信任理论和反馈思想相结合,减小系统误判断的几率,提升系统的自适应能力。给出协作节点间的数据传输协议、基于感性信任的协作机制及信任度更新算法。通过模拟攻击对系统进行测试,结果证明,节点间可以实现对等协作,有效避免协作过程中误判断的发生。     

基于Agent的分布式协作入侵检测系统

分析了当前入侵检测系统及其存在的问题,提出一个基于Agent的分布式协作检测模型(ADCM),给出其原型系统。该模型通过逻辑检测域(LDD)之间的协作通信,完成对新型分布式攻击的检测。实验证明ADCM可以有效地检测出具有一定隐蔽性的、分布式的协作攻击。     

流量模型在入侵检测系统评估中的应用研究

入侵检测系统评估研究中面临缺乏测试数据集的困境。一个理想的IDS基准评估应该提供一个全面的测试数据集用于更好的分析。在分析林肯实验室流量产生模型的基础上,对流量产生模型的系统配置、系统维护、流量调节、可扩展性等方面进行了改进,提出了一个分布式流量产生系统。     

Decentralized multi-dimensional alert correlation for collaborative intrusion detection

The growth in coordinated network attacks such as scans, worms and distributed denial-of-service (DDoS) attacks is a profound threat to the security of the Internet. Collaborative intrusion detection systems (CIDSs) have the potential to detect these attacks, by enabling all the participating intrusion detection systems (IDSs) to share suspicious intelligence with each other to form a global view of the current security threats. Current correlation algorithms in CIDSs are either too simple to capture the important characteristics of attacks, or too computationally expensive to detect attacks in a timely manner. We propose a decentralized, multi-dimensional alert correlation algorithm for CIDSs to address these challenges. A multi-dimensional alert clustering algorithm is used to extract the significant intrusion patterns from raw intrusion alerts. A two-stage correlation algorithm is used, which first clusters alerts locally at each IDS, before reporting significant alert patterns to a global correlation stage. We introduce a probabilistic approach to decide when a pattern at the local stage is sufficiently significant to warrant correlation at the global stage. We then implement the proposed two-stage correlation algorithm in a fully distributed CIDS. Our experiments on a large real-world intrusion data set show that our approach can achieve a significant reduction in the number of alert messages generated by the local correlation stage with negligible false negatives compared to a centralized scheme. The proposed probabilistic threshold approach gains a significant improvement in detection accuracy in a stealthy attack scenario, compared to a naive scheme that uses the same threshold at the local and global stages. A large scale experiment on PlanetLab shows that our decentralized architecture is significantly more efficient than a centralized approach in terms of the time required to correlate alerts.     

自适应入侵检测模型

本文研究的是一种新型的自适应入侵检测模型,它主要用于解决大多数系统自适应能力差的缺点。在该模型中采用了模糊综合评判技术,同时在数据源头就开始检测数据包,从而将异常的网络包过滤掉。研究结果表明该检测模型能够自动的识别不断出现的新攻击行为,并且大大提高了检测效率。     

一种基于分布式入侵检测的计算机免疫模型

根据生物免疫原理和模拟生物的免疫机理,设计了基于分布式入侵检测的计算机免疫模型DIDCIM(Distributedbased Intrusion Detection Computer Immunity Model)。该模型由两大部分构成,各部分模拟免疫系统中的不同功能是：①检测代理,模拟分布在身体各处的免疫细胞,用来区分系统中的“自我”、“非我”,并消除“非我”;②控制中心,模拟身体的免疫器官,主要用来产生规则集和规则更新信息,并对各个检测代理起到总体控制、信息传输和规则更新的作用。     

Alert correlation in collaborative intelligent intrusion detection systems—A survey

As complete prevention of computer attacks is not possible, intrusion detection systems (IDSs) play a very important role in minimizing the damage caused by different computer attacks. There are two intrusion detection methods: namely misuse- and anomaly-based. A collaborative, intelligent intrusion detection system (CIIDS) is proposed to include both methods, since it is concluded from recent research that the performance of an individual detection engine is rarely satisfactory. In particular, two main challenges in current collaborative intrusion detection systems (CIDSs) research are highlighted and reviewed: CIDSs system architectures and alert correlation algorithms. Different CIDSs system, architectures are explained and compared. The use of CIDSs together with other multiple security systems raise certain issues and challenges in, alert correlation. Several different techniques for alert correlation are discussed. The focus will be on correlation of CIIDS alerts. Computational, Intelligence approaches, together with their applications on IDSs, are reviewed. Methods in soft computing collectively provide understandable, and autonomous solutions to IDS problems. At the end of the review, the paper suggests fuzzy logic, soft computing and other AI techniques, to be exploited to reduce the rate of false alarms while keeping the detection rate high. In conclusion, the paper highlights opportunities for an integrated solution to large-scale CIIDS.     

基于模糊综合评判的入侵检测模型的应用与研究

针对现有入侵检测技术所存在的入侵行为特征描述困难、边界锐化、误报率和漏报率高等问题,结合模糊数学和层次分析法,提出了一种综合评判入侵检测系统性能的新方法:一方面采用改进后的层次分析法和熵值法相结合的综合分析赋权法来配置和调整权重;另一方面采用基于梯型函数的非模糊统计方法和遗传算法来建立最优的隶属函数,把评估的主观因素限制在很小的范围内,提高了评判结果的准确度和可信度.实验结果表明,该方法与Snort方法相比能明显的减少误报率和漏报率.     

On a pattern-oriented model for intrusion detection

Operational security problems, which are often the result of access authorization misuse, can lead to intrusion in secure computer systems. We motivate the need for pattern-oriented intrusion detection, and present a model that tracks both data and privilege flows within secure systems to detect context-dependent intrusions caused by operational security problems. The model allows the uniform representation of various types of intrusion patterns, such as those caused by unintended use of foreign programs and input data, imprudent choice of default privileges, and use of weak protection mechanisms. As with all pattern-oriented models, this model cannot be used to detect new, unanticipated intrusion patterns that could be detected by statistical models. For this reason, we expect that this model will complement, not replace, statistical models for intrusion detection     

动态自学习的入侵检测模型研究

针对目前常见的入侵检测的模型的一些结构性的缺点,提出了基本数据挖掘的动态自学习入侵检测模型DMIDS,给出了动态自学习的正常行为库的更新机制,克服了传统静态检测模型必须完全重新学习才能更新模型甚至无法重新学习的缺陷.通过基于KDD'99数据集的实验,表明其相对于传统的异常检测方法在保证较高检测率的前提下,有效地降低了误报率.     

浅析网络入侵检测系统

本文主要研究的就是入侵检测系统,从基本概念入手,对其入侵检测过程做了详细阐述,通过也讨论了入侵检测系统的未来发展道路.     

基于Jini的协同入侵检测模型

针对现有的分布式入侵检测系统存在检测准确性低、可扩展性差问题,提出一种具有动态可插拔的协同入侵检测模型.该模型主要由检测实体、行为库、协同控制器构成,采用代理技术和Jini技术实现,具有自管理、自修复和跨平台的特性,系统中的各代理可以即插即用,并且能与其它代理进行协同检测.实验结果表明,该模型提高了入侵检测系统的准确性和扩展性.