基于SVM主动学习算法的网络入侵检测系统

入侵检测系统已经成为网络安全技术的重要组成部分。然而，传统的异常入侵检测技术需要通过对大量训练样本的学习才能达到较高的检测精度，而大量训练样本集的获取在现实网络环境中是比较困难的。本文研究在网络入侵检测中采用基于支持向量机（SVM）的主动学习算法，解决训练样本获取代价过大带来的问题。通过基于SVM的主动学习算
算法与传统的被动学习算法的对比实验说明，主动学习算法能有效地减少学习样本数及训练时间，能有效地提高入侵检测系统的分类性能。     

网络入侵检测中的支持向量机主动学习算法

入侵检测系统已经成为网络安全技术的重要组成部分,然而传统的异常入侵检测技术需要通过对大量训练样本的学习,才能达到较高的检测精度,而大量训练样本集的获取在现实网络环境中是比较困难的。文章研究在网络入侵检测中,采用基于支持向量机(SVM)的主动学习算法,解决训练样本获取代价过大带来的问题。文中通过基于SVM的主动学习算法与传统的被动学习算法的对比实验,显示出主动学习算法与传统的学习算法相比,能有效地减少学习样本,极大地提高入侵检测系统的分类性能。     

基于SVM主动学习的入侵检测系统

研究在入侵检测中,采用基于支持向量机(SVM)的主动学习算法,解决小样本下的机器学习问题。该文提出了基于SVM主动学习算法的系统框架及适用于入侵检测系统的SVM主动学习算法,讨论了候选样本集的组成比例、候选样本集数量及核函数的不同参数选取对检测结果的影响。通过实验验证,基于SVM主动学习算法与传统SVM算法相比,能有效地减少学习样本数,提高检测精度。     

移动自组网中基于任务分配的入侵检测

移动自组网具有传统计算机网络及无线通信网络两方面的复杂性。提出移动自组网中基于任务分配的网络入侵检测方案,并描述各主要功能模块的实现,通过模拟实验对方案进行验证。实验结果显示,该方案除了能基本实现传统移动自组网络IDS的功能之外,还能有效节约网络系统的资源,提高网络移动节点的可用性。     

一种改进的移动自组网络入侵检测系统研究

移动自组网络(MANETS)的安全问题是其走向实用化的重要前提,如何确保自组网络路由协议的安全成为Adhoc网络研究的一项关键技术.在对Sergio Marti等人提出的Watchdog和Pathrater算法进行详细分析的基础上,针对Watchdog算法存在的问题,提出了功能扩展的Super Watchdog入侵检测系统.该系统特点是能够发现那些通过提供虚假报告以便分割网络的恶意节点,以保护网络.仿真结果表明,改进系统大大降低了开销,但不会明显地增加吞吐量.     

移动自组网入侵检测综述

移动自组网是由移动节点自组织形成的网络,由于其动态拓扑、无线通信的特点,容易遭受各种安全威胁.移动自组网入侵检测是安全研究中最核心的技术之一.对现有的入侵检测体系结构进行了讨论,同时分析了各自的优点和缺点,接着较详细地介绍了各种检测方法,并进行了综合比较.最后指出移动自组网入侵检测研究今后发展的趋势.     

基于CEGA-SVM的网络入侵检测算法

针对传统遗传算法在网络入侵检测中存在分类复杂的问题,提出结合条件熵遗传算法（CEGA）和支持向量机（SVM）的网络入侵检测算法。将入侵特征的抽取和分类模型的建立进行联合优化,同时利用训练数据的统计特性指导入侵特征的抽取,并对特征空间进行线性变换,得到优化的特征子集和分类模型,在提高分类检测率的同时降低检测时延。     

移动自组网络中的入侵节点判别

提出并实现了一种移动节点入侵判别,该方法依据入侵之间的事件检测序列关联关系,运用图论和邻接矩阵的方法求出根入侵集,由入侵相关性确定源入侵节点,有效地起到入侵过滤的功能。经实验证明,该方法具有很强的实效性。     

融合区块链与联邦学习的网络入侵检测算法

为了保护网络用户的数据隐私,并提升入侵检测在多变小样本数据环境下的分类效果,文章采用联邦学习机制来解决网络数据存放在各独立设备并且互不共享的问题.文章提出一种融合区块链的联邦学习机制(BFL),采用区块链网络替代中央服务器构建新型联邦学习模式.结合BFL机制,设计面向轻量级网络设备的入侵检测算法(BFL-IDS),克服...     

基于移动Agent的主动网络自适应入侵响应系统的研究

随着网络入侵及安全事件的频繁发生,使得自动响应受到广泛关注。在对相关研究领域已有的工作进行总结的基础上,提出了一种基于移动Agent的主动网络自适应入侵响应系统（Intrusion Response System,IRS）。系统通过响应分析,自动产生响应策略,并派遣移动Agent去执行;根据入侵检测系统（Intrusion Detection System,IDS）的报警可信度和响应执行情况,系统能够自适应地调整响应策略,体现了系统的自动性和自适应性。     

一种基于并行支持向量机的网络入侵检测方法

构造了一种基于并行支持向量机(Parallel Support Vector Machines,简称PSVMs)的网络入侵检测(Intrusion Detection,ID)方法,多个并行的支持向量机在分布式的计算机系统环境上运行。利用反馈对初始的分类器进行更新,避免了初始训练样本的分布差异过大而对分类器性能产生的潜在影响。将其与神经网络检测模型进行对比,实验证明,该方法在保持较低误警率的同时有着很好的检测率,在训练时间上优于传统BP网络方法,并且能保证较好的泛化能力。     

基于KKT和超球结构的增量SVM算法的云架构入侵检测系统

针对传统入侵检测系统(IDS)处理数据负载过重,不支持多主机数据联合分析,以及大规则库维护的问题,提出一种云架构的基于卡罗需-库恩-塔克(KKT)条件和超球结构的增量支持向量机(KS-ISVM)入侵检测系统。将客户端抓取的数据包经过预处理生成样本空间,然后发送至云端使用KS-ISVM进行建模分析,利用KKT条件对增量样本进行筛选,选取违反KKT条件的样本作为有用样本,剔除KKT范围内的所有样本;此外,为了保证剔除的样本为冗余样本,进一步采用超球结构的方法对样本进行第二次筛选,将超球范围内的样本作为有用样本,剔除其余样本;最后将选取的样本进行合并,对SVM进行更新训练。利用KDDCUP99数据进行实验验证,并与SVM、批量支持向量机(Batch-SVM)、互检KKT条件的增量学习(K-ISVM)算法进行对比,结果表明,KS-ISVM具有良好的预测能力和样本淘汰能力,准确率达到90.3%,而SVM、Batch-SVM和K-ISVM三种方法准确率均在89%以下;同时还对并行KS-ISVM进程联合分析,发现单进程的分析时间由6351 s降低到16进程的146 s,分析时间大大降低,说明了多进程的有效性,满足云计算环境中的入侵检测系统对效率和精度的要求。     

基于最小二乘支持向量机的Linux主机入侵检测系统

论文探讨在新的网络软硬件环境、各种新的攻击工具与方法下,建立一个实际的网络入侵异常检测系统的可行性。为此,论文建立一个基于Linux主机的入侵检测实验环境,在同时提供多种正常服务的条件下实施攻击、提取特征并应用最小二乘支持向量机(LS-SVM)检测入侵。结果表明检测系统设计合理,特征提取及检测方法有效。     

入侵检测系统及其在电力企业综合信息网中的应用

本文首先论述了入侵检测系统的原理、分类法及其优缺点,并以电力企业综合信息网为例,重点论述了入侵检测系统的应用,包括入侵检测系统对网络的总体需求和在网络上建设入侵检测系统的总体考虑。     

MANET中基于鲁棒度的IDS分簇方案

基于电池剩余能量、节点相对运动及节点安全性能,以最大稳定链路数为测度,提出节点鲁棒度的概念,引入节点鲁棒度评估数学模型,设计一种基于鲁棒度的移动自组网入侵检测系统分簇方案。该方案考虑自组网中入侵检测系统的实际需求,仅有效扩展原HELLO消息。与同类算法相比,该方案能形成更安全稳定的簇结构,具有更低的通信开销和更高的运行效率。     

Prevention of selective black hole attacks on mobile ad hoc networks through intrusion detection systems

A black hole attack on a MANET refers to an attack by a malicious node, which forcibly acquires the route from a source to a destination by the falsification of sequence number and hop count of the routing message. A selective black hole is a node that can optionally and alternately perform a black hole attack or perform as a normal node. In this paper, several IDS (intrusion detection system) nodes are deployed in MANETs in order to detect and prevent selective black hole attacks. The IDS nodes must be set in sniff mode in order to perform the so-called ABM (Anti-Blackhole Mechanism) function, which is mainly used to estimate a suspicious value of a node according to the abnormal difference between the routing messages transmitted from the node. When a suspicious value exceeds a threshold, an IDS nearby will broadcast a block message, informing all nodes on the network, asking them to cooperatively isolate the malicious node. This study employs ns2 to validate the effect of the proposed IDS deployment, as IDS nodes can rapidly block a malicious node, without false positives, if a proper threshold is set.     

一种基于Java的安全MANET应用框架设计

无线自组织网络(MANET)中不同的终端设备和物理环境对网络行为有着非常大的影响。在对MANET的研究中，软件模拟并不能完全反映新协议在实际应用中的表现。开发现实中的测试平台和应用程序是促进MANET研究和发展必不可少的步骤。该文提出了一种基于Java平台的安全MANET应用框架——J-SMAF，在不影响网络应用的灵活性和扩展性的前提下，加入了对入侵侦测系统的支持，可以在不同的操作系统和应用环境下方便地构筑健壮、安全的MANET测试平台和应用系统。     

基于SVM协作训练的入侵检测方法研究

提出了在少量样本条件下,采用带变异因子的支持向量机(SVM)协作训练模型进行入侵检测的方法。充分利用大量未标记数据,通过两个分类器检测结果之间的迭代训练,可以提高检测算法的准确度和稳定性。在协作训练的多次迭代之间引入变异因子,减小由于过学习而降低训练效果的可能。仿真实验表明,该方法的检测准确度比传统的SVM算法提高了7.72%,并且对于训练数据集和测试数据集的依赖程度都较低。     

A comparative evaluation of intrusion detection architectures for mobile ad hoc networks

Mobile Ad Hoc Networks (MANETs) are susceptible to a variety of attacks that threaten their operation and the provided services. Intrusion Detection Systems (IDSs) may act as defensive mechanisms, since they monitor network activities in order to detect malicious actions performed by intruders, and then initiate the appropriate countermeasures. IDS for MANETs have attracted much attention recently and thus, there are many publications that propose new IDS solutions or improvements to the existing. This paper evaluates and compares the most prominent IDS architectures for MANETs. IDS architectures are defined as the operational structures of IDSs. For each IDS, the architecture and the related functionality are briefly presented and analyzed focusing on both the operational strengths and weaknesses. Moreover, methods/techniques that have been proposed to improve the performance and the provided security services of those are evaluated and their shortcomings or weaknesses are presented. A comparison of the studied IDS architectures is carried out using a set of critical evaluation metrics, which derive from: (i) the deployment, architectural, and operational characteristics of MANETs; (ii) the special requirements of intrusion detection in MANETs; and (iii) the carried analysis that reveals the most important strengths and weaknesses of the existing IDS architectures. The evaluation metrics of IDSs are divided into two groups: the first one is related to performance and the second to security. Finally, based on the carried evaluation and comparison a set of design features and principles are presented, which have to be addressed and satisfied in future research of designing and implementing IDSs for MANETs.     

MANET中TCP Vegas拥塞控制的端到端改进方法

TCP Vegas通过往返时间的最小值baseRTT来进行拥塞控制,因此获取准确baseRTT的值至关重要。在MANET中,不断变化的网络拓扑会导致baseRTT的测量出现严重偏差,从而降低了吞吐量,而TCP Vegas在拥塞避免阶段发生路由变化但没有引起丢包或失序现象时,已有的端到端启发式方案很难进行识别。采用回落探测方法识别路由变化,进而调节往返时间的最小值以改善TCP Vegas拥塞控制算法在MANET中的性能。