基于信息增益和随机森林分类器的入侵检测系统研究

目前,许多误用检测系统无法检测未知攻击,而异常检测系统虽然能够精确检测未知攻击,但由于入侵检测固有的特性,入侵事件与正常事件类间存在极大的不平衡性,这导致很难利用机器学习的方法高效地进行入侵行为检测.为此,提出了一种基于信息增益和随机森林分类器的入侵检测系统.为了解决类之间的不平衡性,对训练数据集应用了合成少数过采样算法.提出了一种基于信息增益的特征选择方法,并用于构建一个数据集的特征约减子集.首先,利用随机森林算法从训练集中建立入侵模型,构建误用检测模型,通过网络连接的特征来匹配检测已知攻击.然后,利用信息增益的特征选择方法,根据特征约减获得的特征,将不确定性攻击的网络连接数据通过随机森林进行聚类,进而实现未知攻击的检测.实验采用的NSL-KDD入侵检测数据集是KDDCUP99数据集的增强版本.由于入侵检测固有的特性,NSL-KDD数据集设计时类间存在极大的不平衡性.实验结果表明,结合合成少数过采样算法以及基于特征选择的信息增益的随机森林分类器对少数类别异常检测率可达到0.962.     

面向SOAP消息的Web服务注入攻击检测方法

面向SOAP消息的注入攻击对Web服务的发展前景和应用产生重要的影响,而目前尚缺乏有效的检测方法,为此我们提出了一种基于行为模式的注入攻击检测方法.该方法在Web服务访问日志行为建模阶段采用长度不同的特征子串来表示行为模式,并通过序列模式的支持度来建立正常消息行为模式轮廓;针对注入攻击复杂多变的特点,进一步提出基于矩阵相似匹配结合相似判决阈值的注入攻击检测模型.实验结果表明,与多种其他经典检测方法相比,该检测方法在检测率和误报率等方面检测效果好,可有效地检测出注入攻击.     

基于数据挖掘算法的DDoS攻击检测系统设计

在分析了DDoS攻击的特征基础上,建立了基于数据挖掘算法的检测模型,该模型使用k-means聚类算法与Apriori关联规则对网络流量与数据包连接状态分别建立特征模型,实验表明,该检测模型能够实时有效的检测DDoS攻击.     

DMIDS中的特征构造方法研究

基于数据挖掘的入侵检测系统(DMIDS)是将数据挖掘技术用于分析系统审计数据,从中提取用户正常行为模式和黑客入侵模式,用于检测攻击.在DMIDS的实现过程中,特征构造是一个关键环节.描述了建立入侵检测模型的数据挖掘过程,设计了一个特征构造算法,该算法能自动地根据频繁模式构造临时和统计特征,用来辅助建立入侵检测模型,此构造方法所构造的特征具有较高的信息增益度.     

融合注意力与卷积的系统调用异常检测

基于系统调用数据是实施主机异常检测的一种有效手段，然而现有检测技术无法有效应对混淆攻击。提出一种融合注意力与卷积的系统调用异常检测模型，能够同时关注到系统调用序列展现的进程全局行为与每一个时间窗口的局部行为。首先，设计了一种混淆攻击数据模拟生成方法解决样本数据不平衡问题，提出基于进程行为特征的序列补齐方法增强系统调用语义特征；其次，融合注意力机制与一维权重卷积网络同时从系统调用序列的全局与局部提取数据特征；最后，基于单一变量原则和交叉验证方式获得最优异常检测模型，进而得到异常检测结果。与其他传统异常检测方法对比得出，所提模型具有更高的准确率(96.6%)和较低的误报率(1.9%),同时此模型具有抵抗混淆攻击的能力。     

面向入侵检测的机器学习方法综述

入侵检测方法是基于网络的入侵检测系统的核心,可以是基于特征的,也可以是基于异常的。基于特征的检测方法具有较高的检测率,但不能检测到未知新型攻击;基于异常的检测方法可以检测到新型攻击,但误报率较高。为了降低入侵检测的误报率并提高其检测率,许多机器学习技术被应用到入侵检测系统中。通过对大量带有入侵数据训练样本的学习,构建了一个用于区分正常状态和入侵状态的入侵检测模型。针对目前入侵检测系统存在的高误报率、低检测速度和低检测率等问题,对机器学习技术在入侵检测系统中的的优势、系统检测的通用数据集以及系统评估指标进行了详细阐述,并对未来研究趋势进行了展望。     

基于WOWA-FCM的复合攻击检测模型

为有效处理复合攻击检测中的诸多不确定性及复杂性因素,提出了基于WOWA-FCM的复合攻击检测模型.WOWA-FCM检测模型从攻击意图分析的角度,利用模糊认知图(Fuzzy Cognitive Maps, FCM)对初级入侵警报进行因果关联;并结合脆弱性知识与系统配置信息,利用WOWA(Weighted Ordered Weighted Averaging)算子融合关联数据.WOWA-FCM检测模型不仅能识别复合攻击各个阶段、构建完整的攻击视图,并且能动态地评判攻击进度和目标系统的安全状态.WOWA-FCM模型简化了传统的复合攻击检测过程,并具有较强的适应性.Mstream DDoS攻击检测实验证明了方法的有效性.     

基于IPv6的入侵检测系统

针对IPv6环境下出现的网络安全问题,设计了一种基于IPv6的入侵检测系统模型———IDSMIPv6。该模型的关键技术模块包括特征检测、规则管理和高速匹配及网络阻断。通过构建仿真实验环境,对系统进行攻击检测效果测试,验证本系统的数据包的捕获、解析和检测等性能。实验结果表明,IDSMIPv6系统对攻击的漏报和误报率极低,达到了预期的目标。     

基于时间序列分析的DNS服务器的DDoS攻击检测

分析了针对DNS服务器DDoS攻击的特征,提出了一种基于攻击流特征(AFC)时间序列的DDoS攻击检测方法.通过自适应自回归模型的参数拟合,将AFC时间序列变换为多维空间内的自适应自回归AAR模型参数向量序列,然后使用支持向量机进行分类.实验结果表明,该方法能有效检测针对DNS服务器的DDoS攻击.     

基于CBR技术的入侵检测系统研究

目前,成熟的商用入侵检测系统都是基于特征或者规则的精确匹配,如果攻击模式过于特殊或者攻击者采用一些躲避检测的手段,就容易产生误报或漏报,从而降低入侵检测系统的准确性。针对当前入侵检测系统存在的缺陷,提出了一种基于案例推理技术(Case-Based Reasoning,CBR)的入侵检测系统模型,并在该模型基础上提出了基于Snort的预处理模型以避免推理产生的系统资源过度消耗问题;提出了基于分层结构的案例库维护模型以解决案例质量问题和访问效率问题;设计了一种基于变权值的CBR引擎搜索匹配算法以提高搜索精度。仿真实验证明了上述系统可以有效地解决躲避攻击问题,其检测正确率较传统系统有所改善。     

基于数据链路层的无线入侵检测

由于无线传输的固有特性及IEEE802.11标准的安全漏洞,无线网络很容易受到攻击,而传统的入侵检测系统在用于无线网络时具有很大的局限性。针对无线攻击的特殊性,提出并实现了一个无线入侵检测系统。该系统在LINUX操作系统下运行,对无线传输的原始数据进行捕获,并根据IEEE802.11MAC层的特性,对无线传输进行分析,从而对WARDRIVING入侵、非法AP、DOS攻击及MAC地址欺骗等攻击行为进行检测。测试结果表明,该系统对无线网络入侵能进行有效的检测和监控。采用该系统并加上其它安全策略,可对无线局域网的安全提供基本的保障。     

基函数神经网络入侵检测系统的实现

提出一种新型的基函数神经网络用于入侵检测技术中,其中每个神经元的活跃函数各不相同,彼此正交,在更高层次上完成对生物神经系统的模拟,它即可以用于异常检测以检测出新的攻击,也可以用于误用检测以检测出已恬的攻击及其变种。根据所用基函数神经网络的基本结构和训练方法,在Windows环境下进行了基于网络的入侵检测实验,结果表明,运用基函数神经网络检测入侵,可提高入侵检测系统的准确检测率。     

基于文法的异常检测

为了解决现有异常检测技术除了简单报警外不能提供任何有用信息的问题，提出了一种新的异常检测方法.将服务器程序的运行踪迹通过一个由系统调用、操作、事务、活动组成的层次结构模型表示，利用关键系统调用及其参数和返回值，对正常运行踪迹按层次结构模型进行分割，从中学习描述程序正常行为模式的上下文无关文法，并以标注的形式为文法产生式附加语义信息.测试实验结果表明，该方法不仅能够有效检测利用安全漏洞进行的各种攻击，而且可以对入侵事件进行分析，提供包括入侵者IP地址在内的详细报告.     

基于卡尔曼滤波的电力虚假数据注入攻击检测方法

能源互联网的主体是基于状态估计下的电力系统。虚假数据注入攻击（FDIA）通过恶意篡改或注入电力数据,进而引发错误的状态估计结果。这种攻击方式存在引发大面积停电事故的风险,严重影响能源互联网的正常运行。在matpower 4.0中的IEEE-14节点系统上,利用以残差方程为基础的标准残差检测法和目标函数极值法,对FDIA进行了检测实验。提出了一种基于卡尔曼滤波的FDIA检测方法,并在MATLAB上进行了验证。实验结果表明,该方法可以在短时间内发现FDIA的发生。     

一种抗几何攻击的公钥水印算法

针对现有水印系统中的几何攻击和公开验证这两大问题,提出了一种具有几何攻击鲁棒性的公钥水印算法．利用归一化图像具有仿射攻击不变性,在归一化图像上进行水印的嵌入和检测．同时,利用私钥产生嵌入水印,利用公钥进行水印抽取．私钥经过随机相位偏移生成公钥,公钥与私钥具有特定的相关性．通过相关性判断,水印信息被逐比特地提取出来．Stirmark软件的评测结果显示,该算法具有很好的几何攻击鲁棒性．将公钥用于水印抽取,又实现了水印的公开验证．     

WSNs基于信誉机制的恶意节点识别模型

为了抵御无线传感器网络内部节点的拜占庭行为以及自私行为,针对现有恶意节点识别系统检测功能单一、不可抵御高信誉节点的恶意诽谤行为等问题.提出了一种无线传感器网络下的恶意节点识别模型,该模型采用Beta分布描述信誉分布,引入了第三方节点的间接可信度,并将多种攻击类型相对应的节点信任值进行整合.仿真实验表明,该模型能够更快更准确地识别出发起多种攻击的恶意节点,并在一定程度上抵御了高信誉节点的恶意诽谤行为.     

航空备件供应仿真的仿真协调器构造

建立仿真模型是航空备件供应系统分析的新方法，仿真协调器是其中的核心部件之一。分析了仿真协调器对于生成离散事件系统耦合模型抽象仿真器的必要性；研究了仿真协调器在建模实现过程中所担负的功能，即时间推进、协调并发系统以及协调系统时间；研究了仿真协调器的构造和算法。研究的仿真协调器是运用面向对象分析技术构造和实现备件供应面向对象仿真模型的重要基础。最后，通过实例分析了协调器的描述能力，表明能很好地满足其职能。     

基于自适应累积和的REGISTER攻击

IMS是下一代网络的核心技术,虽然IMS为未来的多媒体数据业务提供了一个通用平台,但IMS网络容易受到来自外部的一些攻击.该文针对IMS网络中的REGISTER攻击,提出一种自适应累积和算法.该算法通过流量模型把网络中的正常流量与攻击流量区分开,并且在进行攻击检测时,自适应地调整检测阈值,从而可以检测出强度较小的攻击.仿真结果表明,应用自适应累积和算法的检测系统具有较高的检测率和较低的误警率.     

基于网络状态的入侵检测模型

本文提出了一种基于网络状态的入侵检测模型。该模型结合网络入侵的目标和特点，利用有穷自动机理论，基于网络协议来实现进程和操作系统的状态建立，从而可以发现未知的入侵，本文论证了应用该模型的可靠性，并利用通用入侵检测框架CIDF对应用该模型的入侵检测系统进行了描述，最后与其它入侵检测模型进行了比较。