一种基于移动代理和Snort的分布式入侵检测系统

提出一种基于主机和网络的分布式入侵检测系统,利用Snort作为网络信息收集器,产生网络MLSI;使用移动代理对MLSI进行融合分析,检测传统入侵检测系统不能检测到的入侵行为.对系统中各部件的功能作了说明,利用移动代理的移动性、自治性等特性来克服目前分布式入侵检测系统中存在的实时性差、灵活性有限和动态扩展能力不足的缺点.最后给出了一个检测doorknob攻击的实例.     

DBSL: 一种面向入侵容忍的分布式入侵检测方法

面向入侵容忍的入侵检测是网络安全最前沿的研究热点之一,它是确保系统在威胁性的环境下提供预定服务的重要技术.容侵系统服务于复杂网络环境中,入侵往往在多个终端并发发生,传统入侵检测算法无法有效分析分布式入侵特征并且未对入侵后的系统恢复提供线索,不再适用.该文在研究分布式入侵特征的基础上,结合机器学习思想,提出了一种基于改进的分布式贝叶斯结构学习的入侵检测方法—DBSL方法.该方法特别适合于检测分布式入侵.文中对DBSL方法实现的关键问题进行了详细的讨论和分析.     

DBSL：一种面向入侵容忍的分布式入侵检测方法

面向入侵容忍的入侵检测是网络安全最前沿的研究热点之一,它是确保系统在威胁性的环境下提供预定服务的重要技术.容侵系统服务于复杂网络环境中,入侵往往在多个终端并发发生,传统入侵检测算法无法有效分析分布式入侵特征并且未对入侵后的系统恢复提供线索,不再适用.该文在研究分布式入侵特征的基础上,结合机器学习思想,提出了一种基于改进的分布式贝叶斯结构学习的入侵检测方法—DBSL方法.该方法特别适合于检测分布式入侵.文中对DBSL方法实现的关键问题进行了详细的讨论和分析.     

基于特征检测与聚类分析协作的入侵检测系统模型

入侵检测作为网络安全第2层防御机制起着越来越大的作用.分析了入侵检测的特征检测和异常检测技术的优缺点.针对这些方法的优点和缺点提出了基于特征检测与聚类分析协作的入侵检测系统模型.该模型首先进行特征检测,从中检测出已知入侵,然后将其他数据进行聚类分析,从中检测出未知入侵,从而既满足了模型的实时性要求,又解决了单独使用特征检测不能识别新型、未知入侵的缺点.实验结果表明该模型的可行性和有效性.     

基于状态机的流媒体入侵检测研究

提出了一种针对流媒体的入侵检测技术.对基于RTSP协议的流媒体应用经常遭受的诸如SETUP泛洪攻击、会话截取攻击、恶意结束流媒体会话攻击和恶意RTP攻击进行了建模.在状态迁移分析和应用层会话管理技术的基础上,利用已有的进攻模型,进行入侵检测.该技术可以有效检测上述攻击.对系统的入侵检测性能进行了建模,定量分析了该入侵检测系统的性能.分析表明,该系统有很短的入侵检测延时.     

混合入侵检测系统的研究

针对入侵检测系统中的误用检测和异常检测两种检测方法存在的不足,在研究混合型入侵检测系统的基础上,提出一种混合型入侵检测系统的设计方案.设计方案将两种检测方法混合,误用检测采用模式匹配算法;异常检测是利用自组织神经网络对数据进行聚类,然后通过有监督的学习矢量量化对初聚类的数据进行再分类,使异常检测模式库有更加清晰的规则集.最后对系统的关键模块进行了仿真实验.仿真实验结果表明,此设计方案提高了混合入侵检测系统的检测能力和检测的准确率.     

计算机网络入侵检测系统匹配算法的研究

本文介绍了入侵检测系统的研究现状,讨论了网络入侵检测系统基本原理,同时分析了BM模式匹配算法的优缺点.提出一种入侵检测系统的设计模型NBM模式匹配算法.并对该入侵检测系统进行了总结,强调了安全意识在网络安全中的重要性.     

计算机网络入侵检测系统匹配算法的研究

本文介绍了入侵检测系统的研究现状,讨论了网络入侵检测系统基本原理,同时分析了BM模式匹配算法的优缺点.提出一种入侵检测系统的设计模型NBM模式匹配算法.并对该入侵检测系统进行了总结,强调了安全意识在网络安全中的重要性.     

基于新的条件熵的入侵检测算法

在分析了现有的入侵检测方法的基础上,为了降低入侵检测系统的错检率、降低漏检率和提高实时性,提出了一种新的检测方法:基于新的条件熵的入侵检测算法.本算法在考虑信息论有关理论的基础上,利用信息熵的知识对收集到的数据进行离散化.通过分析离散化后的数据,利用新的条件熵的知识约简方法去除冗余属性,生成检测规则,然后用来分析入侵数据.实验结果表明:基于新的条件熵的入侵检测算法与基于BP神经网络和支持向量机的入侵检测算法比较,可以有效地提高入侵检测系统的检测率,降低错检率.该算法的检测率提高7%左右,能为信息系统提供很好的入侵检测服务.     

仿真环境下入侵检测系统测试

分析传统的入侵检测系统评测方法,提出了一种基于虚拟机技术的入侵检测系统性能评测方法.该方法利用Vmwre软件构建攻击仿真环境,并在模拟实验环境下实现攻击,对IDS的指标进行测试与比较,验证了该方案的可行性.     

用改进的权值树进行入侵检测

提出了一种使用系统调用序列检测入侵的新算法。算法对权值树作了一定的改进,首先使用正常序列生成权值树森林,随后对权值树作了基于海明距离的剪枝,保留了主要的正常序列。在检测过程中扫描异常调用序列,通过权值树得到对应的权值序列,同时注意了经验的利用和更新。使用这种结构不仅可以检测是否出现异常,而且能满足实时性的要求。实验取得了理想的结果。     

虚拟健壮主机入侵检测的实验研究

基于时序、频率等特性,系统调用序列已成为基于主机的入侵检测系统重要的数据源之一,然而,基于主机的入侵检测系统相当脆弱。提出利用虚拟机来健壮主机入侵检测的数据采集,并通过实验从虚拟机外部采集了系统调用序列号,从理论和试验的角度证明了该方法的正确性;同时还对虚拟环境占用CPU时间的百分比进行了分析,证明了该方法的可行性。     

基于主机系统调用的入侵检测方法研究

大多数的入侵行为是由于一系列操作系统内部的非法或异常调用引起的,因此对系统调用序列进行分析是入侵检测的一个重要方法。给出了两种基于系统调用的序列分析方法：基于频繁统计和基于权值树的滑动窗口序列分析方法,并且描述了相应算法的主要过程。并通过试验证明了它们的合理性和有效性。     

系统调用序列的Markov模型及其在异常检测中的应用

建立了计算机系统中系统调用序列的Markov模型，并在此模型的基础上提出了一种用于计算机异常检测的方法，文章利用统计方法分析进程中系统调用的发生情况，定义了一个依赖于状态转移概率的失配因子，并用它来计算失配率，由此判断被监视进程进行的操作是正常行为还是异常行为，文章还提出了一种基于遗忘因子的状态转移概率的更新算法。     

基于粗糙集和系统调用的入侵检测研究

本文采用不同长度的滑窗对系统调用进程生成短序列,并利用基于元信息的粗糙集方法提取最小的入侵检测规则,从而实现入侵检测。分析了在含有默认规则的检测方法下,滑窗长度和平均检测率以及规则数目之间的变化,实验结果表明该方法具有较高的平均检测率和检测速度。     

基于信任机制的网格资源调度算法

针对目前网格资源调度中忽视信任机制的缺陷,在行为信任模型和能力信任评估的基础上,提出一种信任驱动的资源调度算法TDS。该算法同时兼顾了性能QoS和信任QoS。仿真实验结果表明,TDS算法与传统的基于性能QoS的算法和基于信任QoS的算法相比,在最小完工时间和服务请求提交成功率方面具有较好的性能。     

基于统计语言模型的低耗时入侵检测方法

针对基于系统调用序列的入侵检测方法在实际应用中成本偏高的问题,在STIDE方法的基础上提出一种低耗时的入侵检测算法。利用N元语义模型分析系统调用序列规律,计算系统调用的贡献度,抽取最能体现用户正常行为的系统调用,建立正常模式库实现异常检测。实验结果证明,该算法在保证检测率不下降的同时,训练和检测系统调用短序列的规模降低70%。     

基于系统调用的异常入侵检测研究

基于时序、频率等特性,系统调用序列已成为基于主机的入侵检测系统重要的数据源之一。通过分析系统调用序列来判断入侵事件,具有准确性高、误警率低和稳定性好等优点,目前,国际上在这方面的研究主要集中在如何设计有效的检测算法以提高检测效果。该文对目前国际上基于系统调用的异常入侵检测方面的研究进展进行了总结,对主要的检测技术进行了详细讨论和分析。     

基于SVDD的网络安全审计模型研究

审计是入侵检测的基础，为入侵检测提供必要的分析数据．在传统的网络安全审计与入侵检测系统中，需要由人工来定义攻击特征以发现异常活动．但攻击特征数据难以获取，能够预知的往往只是正常用户正常使用的审计信息．提出并进一步分析了一种基于支持向量描述（SVDD）的安全审计模型，使用正常数据训练分类器，使偏离正常模式的活动都被认为是潜在的入侵．通过国际标准数据集MITLPR的优化处理，只利用少量的训练样本，试验获得了对异常样本100％的检测率，而平均虚警率接近为0．