网络入侵检测系统中基于服务特征的异常检测

基于异常检测的入侵检测系统,能够发现未知的攻击,而如何定义“正常”的行为,是一个关键问题。提出了一个利用网络服务特征,进行异常检测的入侵检测系统,能够发现单个包中的恶意攻击。     

异常入侵检测方法的研究

入侵检测技术作为保护网络安全的一种解决方案,越来越受到人们的重视。根据入侵检测原理的不同,入侵检测可分为误用检测和异常检测两种。分析了几种常用的异常入侵检测方法,最后讨论了现在入侵检测技术面临的问题以及今后的发展方向。     

广域网入侵异常检测技术实现

在当前的广域网安全技术中，广域网安全预警技术无疑是最热门的技术之一。安全预警系统能检测出针对某一系统的入侵或入侵企图，并实时做出反应。论文以基于netflow的实时数据采集分析为基础，通过对大量数据流的实时动态分析，产生广域网正常的流量阈值，从而建立一个基于异常的检测模型。通过在线的实时监测，一旦流量超出正常流量阈值，即可判定存在广域网入侵的可能。论文结果已在实际中投入使用。     

基于决策树的入侵数据特征检测模型

特征检测技术,是入侵检测系统用于识别对各类已知的入侵攻击类型的一种常用技术。通过采用决策树的方法来构建特征检测模型,并与常规的模式匹配检测模型进行对比,降低了在检测过程中对数据相关属性的重复检测,进而实现特征检测环节中检测速率的提高。     

入侵检测系统的规则研究与基于机器学习的入侵检测系统模型

入侵检测系统（IDS）分为异常检测模型和误用检测模型。异常检测模型首先总结正常操作应该具有的特征，得出正常操作的模型，对后续的操作进行监视，一旦发现偏离正常统计学意义上的操作模式，即进行报警。误用检测模型是收集入侵检测行为的特征，建立相关的规则库，在后续的检测过程中，将收集到的数据与规则库中的特征代码进行比较，得出是否是入侵的结论。本文主要研究了入侵检测系统中的规则的建立，并通过在基于误用检测的Snort入侵检测系统中增加一个规则学习模块——LERAD，提出了一个基于机器学习的入侵检测系统模型。     

网络安全与入侵检测

计算机网络的安全是一个国际化的问题,每年全球因网络的安全问题而造成的经济损失达数百亿美元。政府、银行、大型企业等机构都有自己的内部网络,但是局域网的网络管理却是平面型的,从网络安全的角度看,公司的内部系统被入侵、破坏与泄密是一个严重的问题。据统计,全球80％以上的入侵来自于网络内部。此外,不太自律的员工对网络资源无节制的滥用也可能对企业造成巨大的损失。     

基于特征的入侵检测系统的评估新方法

为了提高评估的准确性，对基于特征的IDS的检测原理进行分析，提出分别评估规则库质量和IDS系统能力的原则。给出评估IDS系统能力的方法，该方法把人工知识视为评估参数，因此结论反映IDS实现的质量。重点讨论系统能力的测度定义，并简单介绍测度计算的总体思路。实验结果表明该方法更能反映基于特征的IDS的真实质量。     

基于数据挖掘的异常检测模型

提出了一种基于数据挖掘的异常检测模型，按此模型建成的系统具有可扩展性、自适应性和准确性等特点。另外，对模型的关键技术进行了详细的阐述，包括：数据预处理技术、数据挖掘算法、规则库建立和维护技术、决策等。     

防火墙与入侵检测相结合的网络安全研究

通过对防火墙技术以及入侵检测技术的介绍,分析了各自的不足,提出一种将入侵检测系统与防火墙结合起来在网络中运行的新方法,将入侵检测系统作为防火墙的一个有益补充,使防火墙通过入侵检测系统及时发现其策略之外的攻击行为,入侵检测系统也可以通过防火墙对来自外部网络的攻击行为进行阻断。     

基于进程行为的异常检测模型

利用系统漏洞实施攻击是目前计算机安全面临的主要威胁.本文提出了一种基于进程行为的异常检测模型.该模型引入了基于向量空间的相似度计算算法和反向进程频率等概念,区分了不同系统调用对定义正常行为的不同作用,提高了正常行为定义的准确性;该模型的检测算法针对入侵造成异常的局部性特点,采用了局部分析算法,降低了误报率.     

基于构造性核覆盖算法的异常入侵检测

将构造性核覆盖算法引入入侵检测研究中,提出了一种基于构造性核覆盖的异常入侵检测算法,用于监控进程的非正常行为.首先分析了核覆盖分类算法应用于入侵检测的可能性,然后具体描述了核覆盖算法在异构数据集下的推广,提出了基于核覆盖的异常入侵检测模型.并以sendmail系统调用序列数据集为例,详细讨论了该模型的工作过程.最后将实验仿真结果与其它方法进行了比较,结果表明,该方法的检测效果优于同类的其它方法.     

基于粗糙集属性约简的SVM异常入侵检测方法

文章提出了基于粗糙集属性约简的支持向量异常入侵检测方法。为验证该方法的有效性,对实验数据集KDD99分别用粗糙集属性约简的支持向量分类方法和传统的支持向量分类方法进行实验仿真,并把两者的实验结果进行对比。实验证明,基于粗糙集属性约简的支持向量异常入侵检测方法在检测精度相当的情况下,有效的降低了检测时间并减少了存储空间。     

基于聚类粒子群算法网络异常检测模型研究

提出了一种新的基于聚类算法和遗传算法相结合的入侵检测方法模型.算法对聚类的中心采用二进制编码,将网络的正常行为和非正常行为分为不同的类,把每个点到它们之间的各自的聚类中心的欧几里得距离的综合作为相似度量,然后采用粒子群优化算法,有效的降低网络拓扑路径长度,通过优化算法来寻找聚类的中心.Matlab仿真实验结果表明,提出的改进的网络异常检测方法,与较传统网络入侵检测系统模型相比,具有更好的入侵识别率和检测率,同时提高了算法的执行效率.     

基于精细流量的网络异常行为检测研究

随着Internet的快速发展和网络应用范围的不断扩大,网络日益遭受到了黑客更多的恶意攻击,计算机网络的安全问题已成为一个国际化的问题。面对诸多的挑战与威胁,入侵的检测与防范技术必然成为当前安全审计中的核心技术之一。文章首先介绍了异常检测的发展概况和相关技术,对常用的检测算法进行了分析和评价,为基于网络精细协议流量分析的网络异常实时检测方法的研究提供理论基础。     

基于系统调用子集的入侵检测

入侵检测技术是入侵检测系统(IDS)的重要内容.根据系统调用的作用效果对系统调用进行划分,在此基础上提出基于系统调用的一个子集(W子集)的入侵检测技术.实验表明,与基于系统调用全集的方法相比,基于W子集的入侵检测技术具有较低的误报率,且所需存储空间代价和计算代价都较小,因而更加适合于实时入侵检测.     

遗传算法在基于网络异常的入侵检测中的应用

考虑到基于误用的IDS不能有效检测未知入侵行为,而基于统计的异常检测法在建模时忽略了多变量在一段时间内的关系,提出了一种异常检测算法.用滑动窗口将系统各属性表示为特征向量,从而将系统正常状态分布在n维空间中,并使用遗传算法进化检测规则集来覆盖异常空间.经实验证明该方法提高了检测率.     

一种检测被捕获节点的基于异常的算法研究

无线传感器网络在许多应用场合里需要采集较敏感的数据,因此安全问题至关重要。一旦传感器节点被捕获,且没有采取相应措施,节点的密钥信息易被泄露,攻击者完全可伪装成这些节点,向网络任意注入错误的信息,由此导致网络的安全性能急剧下降。提出了针对被捕获节点的一种基于异常的入侵检测算法,能有效识别无线传感器网络的被捕获节点。算法对传感器节点间关系进行抽象,采用传感器网络的事件驱动特性来确定某节点在固定时间间隔内是否在发生数据包,基站通过检测可疑节点的数据包发送时间的差异来加以确认。算法不依赖于任何被捕获节点如何行动和密谋的假设,能识别出偏离正常行为值的最大多数被捕获节点,而不会出现"假肯定"。     

基于核函数Fisher鉴别的异常入侵检测

将核函数方法引入入侵检测研究中,提出了一种基于核函数Fisher鉴别的异常入侵检测算法,用于监控进程的非正常行为。首先分析了核函数Fisher鉴别分类算法应用于入侵检测的可能性,然后具体描述了核函数Fisher鉴别算法在异构数据集下的推广,提出了基于核函数Fisher鉴别的异常入侵检测模型。并以Sendmail系统调用序列数据集为例,详细讨论了该模型的工作过程。最后将实验仿真结果与其它方法进行了比较,结果表明,该方法的检测效果优于同类的其它方法。     

基于HMM的系统调用异常检测

我们利用隐马尔可夫模型来描述特权进程正常运行时局部系统调用之间存在的规律性.具体方法是将UNIX特权程序的系统调用轨迹通过隐马尔可夫模型处理得到系统状态转移序列,再经滑窗后得到系统状态转移短序列.初步的实验证明这样得到的系统状态转移短序列比TIDE方法提出的系统调用短序列能更加简洁和稳定地表示系统的正常状态,采用这种状态短序列建立的正常轮廓库比较小,而且对训练数据的不完整性不太敏感.在同等的训练数据下,检测时本方法比TIDE方法的检测速度快,虚警率低.