分布式入侵检测与响应协作模型研究

提出了一个分布式入侵检测与响应协作模型。在该模型中，设计了协作代理，负责对来自干各入侵检测代理的检测结果进行关联分析，并结合从其它域的协作代理收到的报警消息来检测复杂的入侵行为。扩展了IDMEF消息交换格式，使用XML文档来表示各入侵检测部件间交换的消息，协作代理问通过XML消息交换来实现协作。提出了怀疑度的概念，将发现的所有可疑的和入侵行为都报告给监控.     

一种基于协作代理的分布式入侵检测模型

在分布式入侵检测系统中,各部件间有时需要互相协作来完成复杂的检测任务,因此需要一种通用而且高效的入侵检测协作机制。本文设计了一种基于协作代理的分布式入侵检测模型,在这种方式中,设计了协作代理,负责对来自于各个入侵检测代理的检测结果进行关联分析,并结合从其他域的协作代理收到的报警消息来检测复杂的入侵行为。     

一种基于环形协作算法的分布式入侵检测模型

文章分析了当前流行的分布式入侵检测系统的特征以及协作方式，提出了一种基于逻辑环形协作算法的分布式入侵检测系统，以解决目前分布式入侵检测系统中各系统间协作效率低、检测响应慢的缺陷。     

分层协作入侵检测系统研究

互联网在给广大互联网用户提供方便的同时也更加方便了黑客在不同地点、不同时刻发起对远程网络或主机的攻击。针对这些分布式攻击模式,该文提出并论述了一个基于Agent的分布式入侵检测系统的框架及其实现。引入这种分层协作IDS的主要目的是为了克服单一的主机入侵检测系统以及网络入侵检测系统的某些缺陷。在分布式网络环境中,不同的系统主体在各自安全域中执行彼此的独立安全策略;同时,这些系统主体通过相互协作构成上一级安全域。系统框架参考目前流行的通用入侵检测框架CIDF构建,通过经过扩展的CISL实现不同组件间的通讯及协作。     

一个基于协作Agent的分布式入侵检测系统

为提高分布式入侵检测系统的效率,提出了一个基于协作Agent的分布式入侵检测模型(CADIDs),设计并实现了一个基于该模型的入侵检测系统。本文详细讨论了系统的体系结构、通信及实现技术等。     

入侵检测模型实用分析与研究

该文给出了异常检测、误用检测、特征检测和关联检测的实用模型,并对各种入侵检测模型的原理和主要功能进行了深入分析和研究,在此基础上给出了四种入侵检测模型性能比较及入侵检测发展趋势展望。     

分布式入侵检测系统中协作代理的设计

本文提出了基于代理的域内分层、域间对等的分布式入侵检测系统模型,该模型中协作代理是述了原型系统中协作代理的模块设计和安全通信机制.     

基于Snort的分布式协作入侵检测系统

基于Snort设计一个分布式协作入侵检测系统。将感性信任理论和反馈思想相结合,减小系统误判断的几率,提升系统的自适应能力。给出协作节点间的数据传输协议、基于感性信任的协作机制及信任度更新算法。通过模拟攻击对系统进行测试,结果证明,节点间可以实现对等协作,有效避免协作过程中误判断的发生。     

分布式漏洞扫描与入侵检测协作系统的研究

针对模式匹配方法的检测性能将随着网络规模的不断扩大而下降的现状,提出了分布式漏洞扫描与入侵检测系统协作机制,设计了系统模型,详细阐述了系统工作流程和数据库的设计方法与要点,实现了分布处理、结果准确、响应智能和安全性高的目标.     

基于Agent的分布式协作入侵检测系统

分析了当前入侵检测系统及其存在的问题,提出一个基于Agent的分布式协作检测模型(ADCM),给出其原型系统。该模型通过逻辑检测域(LDD)之间的协作通信,完成对新型分布式攻击的检测。实验证明ADCM可以有效地检测出具有一定隐蔽性的、分布式的协作攻击。     

TRINETR: An architecture for collaborative intrusion detection and knowledge-based alert evaluation

Current reactive and standalone network security products are not capable of withstanding the onslaught of diversified network threats. As a result, a new security paradigm, where integrated security devices or systems collaborate closely to achieve enhanced protection and provide multi-layer defenses is emerging. In this paper, we present the design of a collaborative architecture for multiple intrusion detection systems to work together to detect real-time network intrusions. The detection is made more efficient and effective by using collaborative intelligent agents, relevant knowledge base and combination of multiple detection sensors. The architecture is composed of three parts: Collaborative Alert Aggregation, Knowledge-based Alert Evaluation and Alert Correlation. The architecture is aimed at reducing the alert overload by correlating results from multiple sensors to generate condensed views, reducing false positives by integrating network and host system information into the evaluation process and correlating events based on logical relations to generate global and synthesized alert report. The architecture is designed as a layer above intrusion detection for post-detection alert analysis and security actions. The first two parts of the architecture have been implemented and the implementation results are presented in this paper.     

协同入侵检测研究现状与展望

协同入侵检测技术(collaborative intrusion detection system, CIDS)能够检测分布式协同攻击,应对大规模网络入侵,拥有传统入侵检测系统所不具备的优势,而如何在提高检测性能的同时实现去中心化是一个重要的研究课题。通过对近年来CIDS研究成果的梳理,阐述了在检测方法、数据聚合、隐私保护和信任管理方面的研究进展和问题,分析了在去中心化方面面临的挑战,探讨了基于区块链技术的CIDS未来发展方向,最后展望了CIDS在云计算、物联网等新兴领域的应用前景。     

流量模型在入侵检测系统评估中的应用研究

入侵检测系统评估研究中面临缺乏测试数据集的困境。一个理想的IDS基准评估应该提供一个全面的测试数据集用于更好的分析。在分析林肯实验室流量产生模型的基础上,对流量产生模型的系统配置、系统维护、流量调节、可扩展性等方面进行了改进,提出了一个分布式流量产生系统。     

Decentralized multi-dimensional alert correlation for collaborative intrusion detection

The growth in coordinated network attacks such as scans, worms and distributed denial-of-service (DDoS) attacks is a profound threat to the security of the Internet. Collaborative intrusion detection systems (CIDSs) have the potential to detect these attacks, by enabling all the participating intrusion detection systems (IDSs) to share suspicious intelligence with each other to form a global view of the current security threats. Current correlation algorithms in CIDSs are either too simple to capture the important characteristics of attacks, or too computationally expensive to detect attacks in a timely manner. We propose a decentralized, multi-dimensional alert correlation algorithm for CIDSs to address these challenges. A multi-dimensional alert clustering algorithm is used to extract the significant intrusion patterns from raw intrusion alerts. A two-stage correlation algorithm is used, which first clusters alerts locally at each IDS, before reporting significant alert patterns to a global correlation stage. We introduce a probabilistic approach to decide when a pattern at the local stage is sufficiently significant to warrant correlation at the global stage. We then implement the proposed two-stage correlation algorithm in a fully distributed CIDS. Our experiments on a large real-world intrusion data set show that our approach can achieve a significant reduction in the number of alert messages generated by the local correlation stage with negligible false negatives compared to a centralized scheme. The proposed probabilistic threshold approach gains a significant improvement in detection accuracy in a stealthy attack scenario, compared to a naive scheme that uses the same threshold at the local and global stages. A large scale experiment on PlanetLab shows that our decentralized architecture is significantly more efficient than a centralized approach in terms of the time required to correlate alerts.     

自适应入侵检测模型

本文研究的是一种新型的自适应入侵检测模型,它主要用于解决大多数系统自适应能力差的缺点。在该模型中采用了模糊综合评判技术,同时在数据源头就开始检测数据包,从而将异常的网络包过滤掉。研究结果表明该检测模型能够自动的识别不断出现的新攻击行为,并且大大提高了检测效率。     

Toward a blockchain-based framework for challenge-based collaborative intrusion detection

International Journal of Information Security - Network intrusions are a big threat to network and system assets, which have become more complex to date. To enhance the detection performance,...     

基于分布式及协同式网络入侵检测技术综述

在当今信息化社会,网络入侵检测技术是信息安全保障领域的重点技术之一。随着大数据时代的到来,网络入侵检测技术正在向着多结构、多方法、多应用领域的方向发展。针对这个发展趋势,综述了网络入侵检测技术的最新研究情况,包括基本概念、系统模型、检测方法、应用领域等,其中重点分析了系统模型和检测算法的研究现状以及存在的问题,并提出发展趋势。同时,也介绍了大数据背景下网络入侵检测技术的新型应用领域。     

A blockchain-enabled collaborative intrusion detection framework for SDN-assisted cyber-physical systems

International Journal of Information Security - Cyber-physical systems (CPS) play an important role in our daily lives, such as automotive, medical monitoring, smart grid, industrial control...     

入侵检测系统的评估方法与研究

在阐述入侵检测系统评估所要解决问题的同时对ROC曲线图、贝叶斯检测率、检测期望值和检测量CID等评估方法进行了深入的研究和分析。发现这些方法只基于某几个指标（如误报率、漏报率）对入侵检测系统进行评价,致使评价结果各有不足,这主要是缘于入侵检测系统的复杂性,对其进行性能评价无疑会涉及影响其性能的每一个主要指标。为此应用一种熵权系数模糊综合评判法,采用模糊综合决策的评估方案,利用熵权系数法计算各指标因素的权重,从而使其能够比较全面地评价一个入侵检测系统。     

一种基于分布式入侵检测的计算机免疫模型

根据生物免疫原理和模拟生物的免疫机理,设计了基于分布式入侵检测的计算机免疫模型DIDCIM(Distributedbased Intrusion Detection Computer Immunity Model)。该模型由两大部分构成,各部分模拟免疫系统中的不同功能是：①检测代理,模拟分布在身体各处的免疫细胞,用来区分系统中的“自我”、“非我”,并消除“非我”;②控制中心,模拟身体的免疫器官,主要用来产生规则集和规则更新信息,并对各个检测代理起到总体控制、信息传输和规则更新的作用。