基于信息融合技术的入侵检测系统的研究

研究在入侵检测中,采用信息融合的方法,试图解决当前入侵检测系统误报率高和漏检率高的问题.提出用于入侵检测的信息融合模型,并应用贝叶斯网络给出信息融合的方法.采用和挑选DARPA2000中的数据作为样本,通过实验验证,基于信息融合技术的入侵检测方法能够提高检测率,降低误报率.     

入侵检测系统报警信息融合模型的设计与实现*

开展入侵检测系统报警信息融合技术的研究,对解决目前入侵检测系统(IDS)存在的误报、漏报、报警信息难管理、报警信息层次低等问题,以及提高网络预警能力等均具有十分重要的意义。首先分析了目前入侵检测系统存在的问题,提出了进行报警信息融合的必要性,最后提出并实现了一个入侵检测系统报警信息融合的可视化模型。     

基于灰色关联事件融合的入侵检测模型

使用异常情况或标识的传统入侵检测模型,检测粒度较大,精度较差,且占用系统资源较多。针对上述问题,提出了分布式异常事件融合入侵检测模型。该模型通过事件跟踪等方法降低检测粒度;采用分布式的多节点灰度关联度算法,进行异常事件的信息融合,进行异常事件分析处理。仿真实验证明,该模型的入侵检测精度较高,而系统资源消耗较少。     

IDS决策过程中的时空一致性研究

本文讨论了将数据融合技术运用到入侵检测系统中的方法,并提出了一个基于数据融合技术的入侵检测机制——DFIDM。本文重点研究了数据提取和对象提取过程中的时空一致性问题,在该机制中,有多个检测器搜集系统日志文件、网络流量信息、网络数据包等数据。这些数据首先由决策器进行本地决策,在通过数据提取和对象提取阶段的时间和空间校准之后,传送到融合中心进行决策。本文最后通过实验证明,采用了该机制的入侵检测系统能获得更好的性能。     

基于D-S数据融合的入侵检测系统研究

本文在入侵检测系统中引入了数据融合的技术,设计了基于数据融合的入侵检测模型,采用D-S证据理论技术进行数据融合,最后采用实验验证数据融合效果.     

基于信息熵的网络安全入侵检测系统设计

现有网络安全入侵检测系统误报率高、检测率低的问题,对此提出基于信息熵的网络安全入侵检测系统设计。采用Jpcap网络抓包获取网络信息数据包;通过2v-gram技术提取数据包的有效信息,获得网络信息出现频率矩阵;通过信息熵聚类算法降低网络信息出现频率矩阵的维度;构造单类SVM入侵检测分类器,依据组合规则融合多个单类SVM入侵检测分类器,执行组合入侵检测分类器即可获得网络安全入侵检测结果,通过上述功能模块实现网络安全入侵检测系统设计。测试结果显示,与现有系统平均数值相比较,设计系统的误报率下降了10.88%,入侵检测率上升了28.07%,表明所设计基于信息熵的网络安全入侵检测系统的检测效果较好。     

一种基于入侵事件的检测分析技术

在本文中,我们针对目前入侵检测系统普遍存在的误报率高、报警信息冗余现象严重和对入侵表述能力不强的缺陷,提出了一种基于入侵事件的检测分析技术,详细描述了该技术所采用主要方法的设计思想,如多传感器数据融合以及基于模糊规则的原始报警信息鉴别等。实验结果表明,同现有入侵检测系统相比,该技术大大降低了系统的检测成成本。     

一种融合多检测技术的分布式入侵检测模型

提出了一个多检测技术融合的分布式入侵检测系统模型,在分析引擎中采用二级检测方法,并将数据完整性分析引入到分析器中,通过不同管理域中的监视器互相通信,提高了入侵检测系统的性能.     

基于模糊推理信息融合的Ad Hoc入侵检测

在分析入侵检测系统和模糊技术的基础上,研究一种基于模糊推理信息融合的Ad Hoc入侵检测系统模型,将模糊系统较高的准确性、明确的针对性、较好的适应性运用于入侵检测系统,克服目前入侵检测系统存在的效率低、灵活性和升级能力有限等缺陷,提高整个系统的安全性和可用性。该文在分析模糊入侵检测系统的基础上对不同簇首信息进行融合,通过模糊技术作出最终的决策,通过融合中心进行入侵状态估计、态势估计、威胁估计。     

分布式入侵检测中的报警关联方法述评

一个攻击者要完成一次成功的入侵通常要通过几个步骤来完成,而这些步骤之间往往不是互相独立的,前面的步骤通常是为后面步骤所作的铺垫。但传统的入侵检测集中于检测低层的入侵或异常,所检测到的结果仅仅是一次完整入侵的一部分,不能将不同的报警信息结合起来以发现入侵的逻辑步骤或者入侵背后的攻击策略。如果将不同分析器上产生的报警信息进行融合与关联分析,则会更有效地检测入侵。文章介绍了几种报警关联方法,其中重点介绍了基于报警信息先决条件和结果的报警信息关联方法,并对这几种方法进行了比较和评价。     

一种基于数据融合的IDS方法研究*

分析了当前IDS（intrusion detection system）的缺陷,讨论了数据融合技术应用在IDS领域的可行性,提出了一种基于数据融合（data fusion）的IDS（DFIDS）模型,融合决策采用算术平均值的方法,以达到降低漏报率和虚警率的目的,模拟实验证实了这一点。基于数据融合的入侵检测方法是IDS发展的一个重要方向。     

基于邻域粗糙集的入侵检测

针对入侵检测系统存在的高漏报率和误报率,提出了一种基于邻域粗糙集的入侵检测方法.该方法在粗糙集理论的基础上引入邻域概念,这样便无需对数据进行离散化处理,可以减少信息损失.实验结果表明:该方法可选择出更为重要的属性组合,从而获得较高的检测率和较低的漏报率与误报率.     

基于信息反馈的入侵检测模型研究

针对目前入侵检测系统（Intrusion Detection System,IDS）对未知异常检测误报率率比较高的问题,提出了一种基于信息反馈的入侵检测方法。首先设计了一个IDS与主机协作检测的模型,然后详细介绍了IDS根据反馈信息利用行为分析技术对未知异常的检测过程。最终实现了高效的入侵检测系统。     

传统NIDS漏报和误报起因及改进技术

传统的网络入侵检测系统大都采用模式匹配的方法进行入侵检测,有着非常高的漏报率和误报率。本文通过对模式匹配算法检测过程的描述,对其产生漏报和误报的原因进行了分析。针对模式匹配算法带来的高漏报率和误报率,引入了协议分析的方法。协议分析方法通过辨别数据包的协议类型,然后使用相应的数据分析程序进行检测。这种方法可以大幅度地降低漏报率和误报率,大大地提高了入侵检测系统的效率。     

具有修复特性的GP在入侵检测规则自动提取上的应用

将GP应用于入侵检测规则自动提取，利用GP全局寻优的能力得到较好的入侵检测规则，从而降低误报率和漏报率．针对传统剪枝操作对模式的破坏作用较大的问题，我们提出一种新的算子：修补算子．文章的最后给出了实验结果，并与其他文献的同类实验结果进行了比较，证明了改进GP的有效性和先进性．     

基于环境信息降低入侵检测误报率

采用单包分析技术的网络入侵检测系统常具有较高的误报率,影响其实用性。本文针对误用网络型入侵检测系统建立一个警报过滤机制,该机制找出攻击成功时所需具备的环境条件。当入侵检测系统发现可疑入侵时,依据环境条件加以实时确认查核,从而减少误报。     

基于流数据分类挖掘算法在入侵检测的应用

传统基于数据挖掘的入侵检测系统、只能检测系统层和应用层的日志和报文,对于节点流进和流出的数据流,无法进行挖掘分析,因此,系统的虚警率和漏警率较高,本文提出一种基于流数据分类挖掘算法的入侵检测方法,验证结果显示,可以降低系统的虚警率和漏警率,提高网络的安全性。     

混沌免疫遗传算法的网络入侵检测模型

为了有效地提高入侵检测系统的检测率并降低误报率,提出采用属性约简方法对高维入侵检测数据进行特征选择,剔除无关的属性输入来提高检测效果,将混沌免疫遗传算法引入神经网络学习过程用以进行入侵检测,与传统BP神经网络检测结果进行比较,实验结果表明,将该方法用于入侵检测是切实可行的。     

基于决策树和协议分析的入侵检测研究

当前大多数入侵检测产品使用的是基于规则的简单模式匹配技术,它们存在着资源消耗量大、误报率高以及随着网速的提高出现丢包等问题。针对这些问题,提出了用决策树算法实现基于协议分析的入侵检测方法。试验结果表明,该方法具有较高的检测速度和较低的正误报率。     

网络入侵报警信息实时融合处理模型

针对分布式入侵检测和网络安全预警所需要解决的问题,对多传感器数据融合技术进行了研究。在分析IDS警报信息之间的各种复杂关系的基础上,提出了一个警报信息实时融合处理模型,并根据该模型建立警报信息融合处理系统。实时融合来自多异构IDS传感器的警报信息,形成关于入侵事件的攻击序列图,在此基础上进行威胁评估及攻击预测。该模型拓展了漏报推断功能,以减少漏报警带来的影响,使得到的攻击场景更为完整。实验结果表明,根据该模型建立的融合处理系统应用效果好,具有很高的准确率和警报缩减率。