浅谈入侵检测技术

入侵检测技术是新一代集检测、记录、报警、响应于一体的动态安全防范技术，通过采用特征检测和异常检测两种手段来检测入侵行为。其工作模式主要分为基于网络的网络入侵检测系统和基于主机的主机入侵检测系统，目前入侵检测技术的技术难点是检测精确度、检测速度和入侵 检测的互动性。     

基于移动Agent的分布式入侵检测系统的开发研究

针对目前入侵检测系统的不足,将新型分布式处理技术移动Agent与入侵检测融为一体,提出了一种基于移动代理的分布式入侵检测系统(DIDS)的模型;实现了基于该模型的分布式入侵检测系统;采取了保证分布式入侵检测系统自身安全的防范措施.采用层次结构的探测和响应机制,各Agent相互独立,同时能在网络中自由移动,相互协作,以检测分布式攻击,并具有良好的灵活性、健壮性和可扩展性.     

分布式入侵检测系统的设计

入侵检测是网络安全的一个新方向,其重点是有效地提取特征数据并准确地分析出非正常网络行为。该文在深入研究分析公共入侵检测框架理论和现有入侵检测系统实现策略的基础上,提出一种基于部件的入侵检测系统,具有良好的分布性能和可扩展性。它将网络和主机的入侵检测系统有机地结合在一起,提供了集成化的检测、报告和响应功能。     

入侵检测系统KIDS

金诺网络安全技术发展有限公司的入侵检测系统KIDS是建立安全保障体系的核心产品之一,在国家863计划“入侵智能检测平台”项目成果的基础上,包括入侵检测、应用审计、活动监测、追踪分析、报警响应、扫描器互动、防火墙互动、综合安全管理等多种安全应用,是一个基于纵深防御战略(检测、响应、安全管理)的网络安     

网络入侵检测与漏洞扫描协作研究

入侵检测系统是现今网络信息安全研究的热点,普通的网络入侵检测系统有较高的误报率,为了减少误报率并提高检测效率,首先在入侵检测系统的分析引擎中采用将异常检测和误用检测结合起来降低入侵检测系统的误报率和漏报率,然后再通过漏洞扫描引擎过滤入侵检测系统中无效警报再次降低误报率,最后通过响应界面报警.     

基于流量特征指纹的工控系统网络入侵检测

对于工控系统网络入侵检测,目前主要从网络特性和入侵特性的角度来分析其特征,以达到检测网络入侵的目的 .提出了一种基于工控系统流量特征指纹库的网络入侵检测方法,从工控系统的角度,采用分层分析法建立系统网络流量特征指纹库,同时建立实时流量特征库匹配模型,实现了网络入侵行为的检测和入侵信息的定位.通过分析工控系统的组成以及系统中设备的相关网络行为特征,采用分层分析法构建了以协议类别、流量大小、设备协议配置和协议数据内容组成的网络流量特征指纹库.当工控系统网络中出现入侵行为时,匹配模型能根据流量特征库有效辨别入侵并定位出网络中与入侵相关的信息.最后,以变电站工控系统为例搭建了仿真平台,通过模拟变电站系统间隔层网络中出现数据伪装入侵,实现了对变电站工控系统入侵行为的检测和入侵信息的定位.     

入侵检测系统的研究

入侵检测是网络安全技术研究的一个新方向,入侵检测的重点是采用何种检测方法来有效地提取特征数据并准确地分析出非正常网络行为,入侵检测系统是完成对计算机和网络资源上的恶意使用行为进行识别和响应处理的独立系统。文章首先简述了入侵检测系统的发展历史背景及其重要性.然后通过分析常用的各种入侵检测方法的优缺点,指出目前的入侵检测系统存在的不足及其今后的发展趋势。     

基于CMAC网络的异常入侵检测技术

针对入侵检测系统对异常入侵检测的不足,采用CMAC神经网络,将其应用于对异常入侵行为的检测,并给出了基于CMAC的入侵检测模型.由于CMAC网络是一种联想网络,所以它对未知类型的入侵行为有很好的识别能力.同时,它的学习与修正只涉及很少的神经元,所以其速度很快.最后通过试验证明,应用CMAC神经网络的入侵检测系统相对于传统检测技术,在检测率及误判率上都有所提高.     

一种神经网络和模式匹配相结合的入侵检测系统

构造一个基于BP神经网络和模式匹配技术的网络入侵检测系统模型.神经网络和模式匹配在检测类型上是互补的，BP神经网络需要数值化的输入，适合检测基于网络数据包流量特性的入侵行为；模式匹配技术是通过在数据包中搜索特征字符串来检测入侵的.将网络数据包分析处理后分别按神经网络和模式匹配检测模块的输入数据格式生成输入实例，再分别予以检测.该系统可以检测出已知的入侵行为，同时具有一定的对未知入侵的检测能力.实验证明两者结合起来构成的检测系统性能更全面.     

网络入侵检测系统预先决策检测引擎研究

为了减少基于特征的网络入侵检测系统产生的虚警数量并提高其检测效率,提出了一种采用预先决策检测引擎的方法,该方法把受监控网段内的主机软件信息作为预先决策检测引擎的决策依据,在模式匹配之前进行预先决策,过滤掉不需要匹配的入侵规则,使得单个数据包平均模式匹配次数尽可能少,从而降低虚警数量并改善检测性能.实验结果表明,该方法在不增加网络入侵检测系统漏报率的前提下,能够减少虚警数量,并改善系统的检测效率.     

分层协作的多代理入侵检测系统

根据分布式入侵检测系统的设计策略,设计了一个分层协作的多代理入侵检测系统。引入分层协作机制的目的是为了克服单一的主机入侵检测系统以及网络入侵检测系统的某些缺陷。通过各个节点之间的协同工作,共同检测和防范对系统的入侵行为。系统框架参考目前流行的通用入侵检测框架CIDF构建。检测方法采用协议分析融合模式匹配的方式。介绍了系统的体系结构,各部分的功能以及系统实现的一些关键技术。     

网络入侵异常检测的实时方法

目前市面上的入侵检测系统一般都是基于特征匹配,不能对未知入侵进行有效检测,异常检测可以较好地检测未知入侵。M IT林肯实验室提出了一种离线的异常入侵检测方法,但不能据此建立实际的入侵检测系统,为此,提出一种能实时检测网络异常的入侵检测方法。该方法可以实时重建网络连接,提取每一连接的31个与入侵有关的特征,运用支持向量机进行在线检测,实验结果表明,该方法是有效的,检测精度在95%以上。为缩短入侵检测时间,对最短检测时间进行了研究,提出了最优入侵检测时间算法,根据此算法得出局域网内的异常连接在250m s内即可较准确地检测出。     

几种入侵检测规则语言分析

主要着眼于基于误用检测的入侵检测系统，讨论了模式库的建立基础--入侵描述语言．通过比较几种比较典型的描述语言，并分析了它们各自的优缺点，从而为开发更为完善的入侵描述语言打下基础．     

基于蜜罐技术的网络入侵检测系统协作模型的研究与实现

针对当前互联网中传统的入侵检测系统无法对未知攻击作出有效判断,而造成信息误报和漏报的问题,从入侵检测和蜜罐的基本特点出发,提出了一种基于蜜罐技术的网络入侵检测系统协作模型,通过引诱黑客入侵,记录入侵过程,研究攻击者所使用的工具、攻击策略和方法等,提取出新的入侵规则,并实时添加到IDS规则库中,以提高IDS检测和识别未知攻击的能力,进一步提升网络的安全性能.     

入侵检测系统中的智能技术

从入侵检测的技术角度,对退火算法和遗传算法及其应用于入侵检测系统作了介绍;讨论了入侵检测系统的未来发展方向.     

基于骨干网的并行集群入侵检测系统

骨干网的大流量要求实现骨干网入侵检测系统必须改变传统的入侵检测系统结构模型并采用高效的入侵检测技术,在对骨干网入侵检测系统的关键技术进行深入研究的基础上,设计并实现了一种适用于骨干网的基于规则的入侵检测系统BNIDS(Backbone Network Intrusion Detection System),讨论了BNIDS系统的并行集群检测模型、报文捕获机制和基于规则的分析引擎,试验结果表明,可扩展的BNIDS系统能够对骨干网流量进行实时入侵检测分析。     

一种基于异常的跨层无线Mesh网入侵检测模型

无线Mesh网是一种经济高效的网络技术,提供了高带宽、广区域的无线网络覆盖.但是,目前无线Mesh网的安全性还没有得到足够重视.提出了一种基于异常的跨层入侵检测模型,并进行了原型实现,对其检测效果进行了实验评估.通过对跨层入侵检测模型与单层入侵检测模型的比较,验证了提出的基于异常的跨层入侵检测模型在无线Mesh网中检测...     

入侵检测系统技术分析及改进

随着网络入侵技术的不断更新,作为防范网络入侵的最常见的防火墙,已经无法满足保障安全的需要,这就需要新技术——入侵检测系统（IDS）。本文详细介绍和分析了入侵检测系统的原理,分类及功能,并最后提出了一个简单的入侵检测探测改进模型。     

本体论在网络入侵检测技术中的应用

为解决当前入侵检测系统中的检测器协作问题和检测器内知识表达问题，将知识工程中的本体论技术应用于分布式入侵检测系统中，使用入侵检测本体在系统内形成了统一的全局概念视图。按照入侵检测体系的基本框架构建了入侵检测本体，该本体模型对入侵检测三要素(信息资产、攻击者、攻击行为)进行了分层的概念和属性描述。检测器按照作用域继承本体模型内的不同概念类形成自身的领域知识，同时在统一的知识论框架的引导下完成协作过程。最后，通过对基于本体模型的检测系统的实例证实了该方法的可行性。     

网络入侵检测中协同信息的安全传输

介绍了一个面向网络入侵检测协同信息的安全传输系统的设计与实现,它能够支持检测协同底层的数据传输并保证各协同站点间的信道安全,从而实现不同IDS之间的信息安全传输,为监测协同和安全追踪提供可靠传输服务,是基于入侵网络检测系统中必不可少的一个组成部分.