网络入侵检测中的不确定性推理方法

在分析常规的入侵检测方法难以适应网络环境的问题及用途信息和专家知识的模糊性和不确定性基础上,提出将人工智能中的不确定性推理方法应用于网络入侵检测系统,给出了一种基于模糊关系的不确定性的传播方法,该方法可处理在入侵检测中遇到的模糊的、不确定的信息,从而有效地判断出用户的入侵行为。     

提升网络入侵检测系统性能关键技术研究

高速网络的出现对网络入侵检测系统的处理能力带来了挑战,在分析了影响入侵检测系统性能因素的基础上,提出了提高高速环境下入侵检测系统性能的新方法,即采用了基于改进的NAPI数据包捕获技术、基于状态的协议分析技术和基于二叉规则树的高速匹配算法来提升网络入侵检测系统性能,实验结果验证了所提出的技术的有效性．     

神经网络算法在智能体IDS系统中的应用

结合网络入侵和主机入侵方面的检测能力,构建了基于智能体的分布式入侵检测系统的体系结构模型。重点讨论了神经网络入侵检测算法。针对传统的BP网络在入侵检测应用中学习收敛时间和性能上的不足,提出了变速度回归神经网络(采用了批处理技术和动量方法)检测算法,通过对网络数据集的测试表明,该算法较传统BP网络,其学习训练次数大大降低,学习能力显著提高。     

分布式防火墙环境的边界防御系统

针对传统边界防火墙在动态防御方面的缺陷,对防火墙和入侵检测系统之间的三种联动技术进行分析比较,提出了一种基于分布式防火墙环境,具备防火墙和入侵检测功能,采用系统嵌入方式的边界防御系统模型。模型利用队列通信机制实现防火墙和入侵检测协同工作,共同检测和防范对系统的入侵行为,并通过安全通信模块与分布式防火墙连接。最后给出了在Linux下的实现。     

蚁群算法选择特征与WSVM融合的网络入侵检测

为了提高网络入侵检测率,提出一种蚁群算法选择特征与加权支持向量机的网络入侵检测方法.利用蚁群算法选择网络数据的关键特征,计算信息增益获得各个特征权重,根据特征权重构建了加权支持向量机的网络入侵分类器,并通过KDD CUP 99数据集验证了其有效性.结果表明:该算法能够有效降低特征维数,提高网络入侵检测率和检测效率.     

深度自编码网络在入侵检测中的应用研究

当前网络环境下的网络数据呈现出比以往更为庞大、复杂和多维的特性,传统的机器学习方法面临复杂的高维数据需要手动提取大量特征,特征提取过程复杂且计算量大,不利于当前入侵检测实时性和准确性的要求.基于此,以降低数据维度和消除冗余信息为目的,综合利用深度自编码网络(DAN)和BP算法,提出了基于DAN-BP的入侵检测模型.首先通过叠加多个自编码网络构成深度自编码网络模型,将网络特征数据作为模型的输入,使模型能够智能的逐层抽取网络数据的分布规则,从而获得新的低维特征数据集;然后利用BP算法对学习到的低维数据进行分类识别.文中通过在自编码网络中加入正则化修正,防止训练出的自编码网络直接复制输入信息而影响训练效果;且在输入数据中添加噪声,通过学习原始数据和输出数据重构误差达到去噪的目的,从而使得学习到的新的特征数据具有更强的鲁棒性.对比了传统的降维方法和当前入侵检测方法,结果表明本文方法在分类准确率、误报率和检测速率上均具有较优的效果.     

遗传算法优化模糊神经网络的入侵检测模型

针对目前大多数的入侵检测系统存在的局限性,依据通用入侵检测框架CIDF,提出了一种利用遗传算法优化网络参数的基于模糊神经网络的入侵检测模型,分析了入侵模糊特征、模糊神经网络的学习优化问题,给出了此模型中模糊神经网络模块的训练算法．仿真实验结果表明,该检测算法可以有效地进行入侵检测,检测效率达到95％以上．     

基于因子分析的混合贝叶斯入侵检测算法

传统的基于贝叶斯网络的入侵检测技术中,未考虑到入侵检测数据量过多的问题,导致贝叶斯网络构造过程中计算量过大,从而使得检测效率偏低;还有其检测的数据仅来源于网络或者主机,使得数据来源单一,对检验的准确性造成了一定程度的影响,针对上述2个问题,提出了基于因子分析的混合贝叶斯入侵检测技术,利用因子分析对网络连接数据的属性特征进行选择,降低了数据相关性,同时将网络数据和主机数据综合起来分析评定网络当前安全状态,以提高入侵检测的准确度。试验结果表明：改进后的检测技术能降低数据维数,提高了计算效率和检测精度。     

基于免疫算法和神经网络的新型抗体网络

构建了基于免疫算法和神经网络的新型抗体网络入侵检测系统,系统与网络入侵检测功能相结合,应用于大型网络的入侵检测任务,具有良好的可扩充性;重点讨论了新型抗体网络原理,引进BP神经网络自学习能力,对已有的抗体网络模型进行改进;通过对网络数据集的测试表明,该算法相对于传统抗体网络,其检测效率得到了明显的改善。     

免疫系统的主组织相容复杂性及其应用

在模拟免疫系统的主组织相容复杂性的基础上,结合模糊逻辑与扩展阴性选择算法提出了一个基于免疫系统主组织相容复杂性的模糊逻辑综合决策算法,并用该算法构建了一个实际的基于网络的入侵检测系统。该算法应用高效的扩展阴性选择算法作出第一次网络流量检测,当网络数据异常特征明显时,能直接检测出入侵。若其不能准确地识别待分析数据,则利用具有检测结果准确优势的规则匹配算法作出二次检测,最后结合两次检测结论用模糊逻辑决策模型做出综合决策。     

一种新颖的误用入侵检测自适应模型

针对目前入侵检测系统漏报率高、自适应能力差等问题,通过引入规则集的完备度、自相似度等概念,采用模糊模式识别方法,构造一种新颖的误用入侵检测自适应模型,使入侵检测系统能够根据自身的学习情况自动调节异常和正常的判断准则,从而有效降低系统的漏报率,增强系统的自适应能力,提高检测的准确度.     

基于支持向量机的网络入侵检测集成学习算法

互联网络中,计算机和设备随时受到恶意入侵的威胁,严重影响了网络的安全性。入侵行为具有升级快、隐蔽性强、随机性高的特点,传统方法难以有效防范,针对这一问题,本文提出一种基于支持向量机(SVM)的网络入侵检测集成学习算法,利用SVM建立入侵检测基学习器,采用AdaBoost集成学习方法对基学习器迭代训练,生成最终的入侵检测模型,仿真实验表明入侵检测模型更加贴近真实的网络入侵样本,减小了小样本集导致的模型精度大幅下降的问题,同时模型的整体检测精度也有较大的提升。     

云环境下基于信任的入侵防御研究

云计算从提出以来就具备着动态性、虚拟化和开放性,频频出现的各种大型的云安全事故使得云环境中的安全性受到质疑。为了能够确保云环境的安全,将入侵防御技术与可信计算的信任理论相结合,提出了一个云环境下基于可信计算的入侵防御框架模型。该模型从入侵防御的原理出发,首先实时监控采集、获取行为特征,然后将这些特征进行规范化,并逐步确定各个特征的权重后得出用户节点的可信度。利用多种云端的集群服务器引擎进行检测防御以及综合分析决策和聚类分析,使云端能够及时快速、高效地抵御恶意行为的攻击,改变传统入侵防御各自为营,检测防御滞后的状况,为云用户提供最大安全限度的入侵防御服务,同时也能够确保云端抵御攻击,做到云端和云用户双向安全的效果。     

面向网格计算的按需入侵检测模型

为了解决分布式入侵检测系统缺乏动态组织敏捷性的问题，提出了适应数据网格的按需入侵检测模型.该模型针对网格计算的动态共享性与多域集成性的特点，基于全局检测服务将入侵检测系统分为安全评估模型、工作流编程服务、数据网格环境与检测资源服务四个部分.通过系统级与节点级重构相结合的方式，保证入侵检测系统全局检测服务失败时，能从节点处获得检测服务支持.研究结果表明，与Snort入侵检测系统相比，在局域网(LAN)和广域网(WAN)的实验条件下，基于该模型的分析引擎Higen的检测时间更少，消耗用户时间更少，提高了网格计算环境下协同检测的敏捷性.     

基于累积量的DoS攻击检测算法

针对现有DoS攻击检测算法中检测率较低,检测时间较长的问题,提出一种基于高阶统计量的DoS攻击检测算法.算法分割并量化网络流量数据包,提取累积量特征,将累积量应用到DoS攻击检测中.通过分析1998DARPA入侵检测数据集,该算法能够有效检测DoS攻击.相对于传统基于网络流量熵值的异常检测法,该算法在检测精度上有较大提高,在1 s的时间窗口内,检测率提高了8%.     

一体化标识网络映射缓存DoS攻击防范方法研究

针对现有DoS攻击检测算法中检测率较低,检测时间较长的问题,提出一种基于高阶统计量的DoS攻击检测算法.算法分割并量化网络流量数据包,提取累积量特征,将累积量应用到DoS攻击检测中.通过分析1998 DARPA入侵检测数据集,该算法能够有效检测DoS攻击.相对于传统基于网络流量熵值的异常检测法,该算法在检测精度上有较大提高,在1 s的时间窗口内,检测率提高了8%.

     

基于自扩展时间窗的告警多级聚合与关联方法

针对传统告警聚合与关联方法在合理性和准确性上的不足,提出了基于多级划分思想的告警聚合方法和基于马尔可夫链模型的告警关联方法。首先,使用入侵检测消息交换格式来描述网络告警,利用告警的时序接近关系进行时间窗口的自动扩展,将时间间隔小于预设阈值的告警划分到同一个时间窗内;进而,分别根据攻击类型、时间窗口、子网掩码、IP地址和端口信息依次划分告警,利用属性匹配方法进行子网级、主机级和服务级聚合,有效聚合攻击者利用同一路由器、傀儡主机或服务端口实施攻击而产生的相似告警;在此基础上,利用1阶马尔可夫链模型生成告警关联图,将攻击类型间的条件转移概率作为关联图的有向边,并利用告警的时序紧邻关系计算出攻击类型间的转移概率。实验中,利用入侵检测系统Snort的最严格模式处理DARPA2000流量数据,得到LLDoS1.0攻击场景所对应的入侵告警集合;利用本文方法对集合中的5类告警进行聚合和关联,通过参数寻优得到自扩展时间窗口最理想的间隔阈值,使得告警多级聚合结果能够有效精简告警,并与告警源IP和源端口的分布情况一致;通过比较告警关联结果与攻击场景的官方描述来计算告警关联的准确率。与传统方法进行对比,本文方法的告警关联准确率为97.94%,比传统方法提高了2.29%。     

入侵检测方法研究

信息安全是系统的安全,常规的安保护措施是保障系统安全的一方面,入侵检测通过分析审计事件,发现系统中未授权活动及异常活动,是信息安全保护的另一重要途径。本文在分析传统入侵方法后,指出了研究分布式入侵检测方法、入侵检测智能方法、综合性入侵监测系统和检测方法评测系统的重要性;并将神经网络技术应用于入侵检测智能方法的设计中。