一种用户任务级别上的数据库入侵检测方法

通常,更新数据库中一个数据项之前可能读或者写一些数据项,更新一个数据项后,可能也有一些数据项被更新。依据数据之间的这种依赖关系,本文提出一种用户任务级别 的数据依赖挖掘算法,从数据库日志中挖掘出用户任务事务中存在的数据依赖关系。如果在检测阶段发现同一用户任务中有事务与挖掘出的数据依赖关系不符合,则可判断此
此用户任务中有异常活动出现。     

基于恶意代码行为分析的入侵检测技术研究

在进行人侵检测的过程中,传统方法由于对入侵判断过程的约束性过强,同时入侵数据中存在大量的冗余数据与噪声,导致无法抵御行为层混淆干扰造成的检测精确性过低的问题,不能从网络安全立体、纵深、多层次防御的角度出发对网络入侵进行检测.为此,提出了一种基于半监督聚类算法的恶意代码行为分析的入侵检测方法.提取系统调用流图特征,将其融合于代码的行为结构与特征中,标记后按照类型将其归纳整理,将整理后带有标记的代码行为特性数据的信息范围扩展到所在簇内的全部数据上,实现类型标记,完成对恶意代码行为的分析,实现入侵检测.仿真结果表明,提出的基于半监督聚类算法的恶意代码行为分析的入侵检测方法精准度高,实用性强.     

安全数据库系统中在线人侵检测的设计与实现

文章分析了传统在线入侵检测技术设计思路的不足，然后从安全数据库系统在线入侵检测出发，提出了国产安全数据库系统SDM4的实时审计入侵检测系统RAIDS设计方案，分析了该系统对传统在线入侵检测系统进行改进的策略，并给出了主要的算法设计实现。     

入侵检测技术在数据库系统的应用研究

传统的防火墙技术已难以满足目前的网络安全需要,针对应用及其后台数据库的应用级入侵已经变得越来越猖撅,如SQL注入、跨站点脚本攻击和未经授权的用户访问等。本文提出一个数据库入侵检测系统,以提高数据库的安全性和健壮性。     

无线移动网络中入侵检测技术的研究

本文介绍了无线移动网络中的各种安全隐患和可能的入侵手段,重点分析了在无线移动环境下的入侵检测技术及实现思想,在此基础上给出了一个无线移动网络入侵检测系统的基本概念框架,并对其中的各个模块进行了简要分析。     

工业控制系统入侵检测技术综述

随着工业控制系统(industrial control systems, ICS)的逐渐开放,暴露出严重的脆弱性问题.入侵检测作为重要的安全防御措施,根据误用和行为检测,可及时发现可能或潜在的入侵行为.首先,介绍了ICS的系统架构及特性,并对ICS的安全理念进行阐释;其次,依据ICS的特性,给出了对工业控制入侵检测系统(intrusion detection system, IDS)(简写为ICS IDS)的需求和解释;再次,基于检测对象角度,从流量检测、协议检测、设备状态检测3个方面,对现有的ICS IDS技术、算法进行了分类及详细的分析;最后,从检测性能指标、检测技术、检测架构3个方面,对整个ICS IDS的研究趋势进行了展望.     

恶意代码检测技术曼其在等级保护工作中的应用

恶意代码是影响信息系统安全的重要因素,因而在信息安全等级保护中必须加以防范。论文阐述了恶意代码的基本分析方法和主要的检测技术,比较了各种方法和技术的特点。根据等级保护相关标准对恶意代码防范的基本要求,结合作者实际工作,总结提出了恶意代码防范的工作要点。     

一种非纯净训练数据异常入侵检测方法

异常入侵检测系统在训练阶段建立对象的正常行为模型，在测试阶段把它与对象的行为进行比较，如果出现了大于给定域值的偏差，就认为发生了入侵．通常建立对象正常行为模型的方法是用没有入侵的数据训练系统．这种方法存在实用性和可靠性方面的缺陷：人工合成的训练数据基表可以保证没有攻击，但它与入侵检测系统将要实际工作的环境有很大的差别；而从实际使用环境提取的训练数据又不能保证不合有攻击．本文提出了一种基于网络的非纯净训练数据的异常入侵检测方法ADNTD（Anomaly Detection for Noisy Training Data），它通过过滤训练数据中的低概率特征域的方法过滤掉训练数据中的攻击数据并建立网络的正常行为模型，以保证即使训练数据含有攻击的情况下仍能取得较好的检测效果．实验结果显示：在训练数据含有攻击时，ADNTD的性能明显好于以前的系统；在采用纯净数据训练时，ADNTD也具有与以前的系统相当的性能；ADNTD用带有攻击的数据训练的情况下仍能达到以前的同类系统用纯净数据训练相同的检测性能．     

基于关联规则的网络安全入侵检测算法研究

本文针对目前的异常网络安全检测方法实时性较差的缺陷,采用活动窗口技术,提出了基于关联规则的在线式检测方法。本文还根据当前网络攻击的特点提出了自底向上合并IP地址和子网地址的域层次关联规则挖掘方法,从而增强了系统检测分布式集团攻击的能力,缩短了反应时间。     

入侵检测技术的分析研究

介绍了一种新的安全技术－入侵检测技术，它是一种以攻为守的主动式防御措施，而且它侧重对网络内部攻击进行防御。本文将涉及入侵检测领域的方方面面，为进行入侵检测技术的研究提供一定的技术，理论依据。     

基于系统调用和数据挖掘的程序行为异常检测

异常检测是目前入侵检测研究的主要方向之一。该文提出一种新的程序行为异常检测方法,主要用于Linux或Unix平台上以系统调用为审计数据的入侵检测系统。该方法利用数据挖掘技术中的序列模式对特权程序的正常行为进行建模,根据系统调用序列的支持度和可信度在训练数据中提取正常模式。在检测阶段,通过序列模式匹配对被监测程序的行为异常程度进行分析,提供两种可选的判决方案。实验结果表明,该方法具有良好的检测性能。     

入侵检测系统评估技术研究

随着对入侵检测技术的深入研究和入侵检测产品的广泛应用，对入侵检测系统的评估技术的研究成为一个重要的研究领域．介绍了入侵检测评估的相关工作，讨论了对入侵检测系统进行评估时的主要评价指标，提出了一个入侵检测系统的评估系统．评估系统由主控模块统一控制，主控模块分别对流量控制模块和攻击模拟模块进行调度．对评估环境中所有的数据进行记录，作为评估模块的输入．该系统实现了网络流量和主机使用模拟、攻击模拟以及评估报告的生成等功能。     

一种异常挖掘技术在入侵检测中的应用

近年来,数据挖掘技术在异常入侵检测研究中得到了探索性的应用。异常挖掘技术可以检测出数据集中与众不同的数据,因此将异常挖掘技术应用于异常入侵检测可以识别那些表现出特殊性的入侵活动。该文从KDDCUP1999数据集中提取两种特征的数据集,采用第k最近邻异常挖掘进行异常入侵检测,用实验结果证明基于第k最近邻异常挖掘技术的异常入侵检测用于各类数据集都具有良好的性能.     

基于改进Apriori算法的数据库入侵检测

提出基于数据挖掘技术的数据库入侵检测系统,采用改进的Aprioriids算法挖掘行为模式,经过1次扫描数据库即可生成频繁项集。系统具有较细的检测粒度,可在事务级别上检测用户的恶意操作或异常行为。实验结果表明,该系统使频繁项目集的生成效率得到提高,数据库入侵检测系统知识规则库的生成效率得到改善。     

一种无类标训练数据异常检测模型

提出了一种基于无类标训练数据的异常检测方法（ADUTD），该：于法克服了传统异常检测需要纯净训练数据或有类标训练数据的限制，提高了异常检测的可用性．ADUTD通过过滤掉网络连接记录属性中低频率类型值的方法，过滤掉由训练数据中的攻击记录引入的类型值，并建立正常行为的统计模型．建立模型所使用的属性不仅包括网络连接中数据包的头部字段，也包括应用层的数据．ADUTD另一个特点是按网络连接服务类型划分数据并分别建立统计模型，提高了检测模型的预测能力．用DARPA1999评估数据集所做的实验结果显示，ADUTD能有效检测网络入侵．     

一种恶意代码变种检测的有效方法

为了改变基于特征码病毒查杀存在的滞后性,以及对于恶意代码变种的无效性,提出了一种基于支持向量机和模糊推理技术的恶意代码及其变种的检测方法。基于Radux原型系统,通过使用多分类机,将恶意程序进一步细分为病毒、蠕虫和木马程序,然后进行恶意代码判定的模糊推理,使得未知病毒的检测概率进一步提升,对于已有恶意程序的检测率高达99.03%,对于恶意程序变种的检测率达到93.38%。     

入侵检测技术分析

入侵检测技术是主要的网络安全技术之一,论文对当前的入侵检测技术进行了分析,对入侵检测技术的应用作了介绍,并展望了入侵检测技术的发展前景。     

基于数值序列分析的容侵异常检测算法

面向入侵容忍的入侵检测是网络安全最前沿的研究热点之一．受容侵服务对象本身固有缺陷及系统噪声数据的干扰，传统异常检测算法在容侵系统中检测入侵的准确度不高且耗时较长，影响了容侵系统性能，不再适用．在分析容侵系统特性和现有异常检测方法的基础上，结合数据抗噪思想，提出了一种基于数值序列统计分析的容侵异常检测算法．理论上对算法时间复杂度的分析和真实数据集上的实验结果均表明该算法是可行高效的．     

基于snort与免疫原理混合入侵检测系统模型设计

该文对snort入侵检测系统及基于免疫原理的入侵检测技术进行了探讨和研究,利用snort系统作为误用检测系统,把人工免疫的算法应用到异常检测,用于检测未知攻击。在此基础上设计了混合模式入侵检测系统。     

应用于电子商务系统的入侵检测系统实现

针对小型电子商务系统的应用特点,分析该如何设计适合于它的入侵检测系统。为此,深入学习了Windows系统信息,采用了误用检测中的模式匹配和异常检测中的统计与数据挖掘方法来进行异常检测。最终,提出了一种基于主机的分布式入侵检测系统。通过测试发现,该体系结构的入侵检测系统能防范内外部攻击,并可以和防火墙联动,在发生异常时,使系统所受的损失最小,适用于基于windows平台的小型的电子商务系统。