基于危险信号协同检测的入侵检测的研究

为提高对未知攻击的检测能力,克服由于“正常”与“异常”界线模糊引起的误报与漏报,提高入侵检测系统的自适应能力,基于danger theory提出以危险信号作为入侵检测的协同检测信号的方法,并运用粗糙集理论,实现了对危险信号的测定。同时,阐述了危险信号在入侵检测的协同检测中的控制策略及系统的逻辑结构和处理流程。     

一种基于免疫原理的入侵检测模型设计与实现

本文将生物免疫原理应用到入侵检测系统中,充分利用生物免疫系统具有的众多特性:学习与认知、鲁棒性、适应性等,提出一种新的检测系统模型。基于"自我-非我"理论模式,通过排除和杀死"非我",从而保护"自我";并且局部引入危险理论,即当抗体匹配到抗原时,需要一个协同刺激信号才能确认攻击。     

危险信号协同作用的自适应IPS研究与设计

入侵防御系统是网络安全领域为弥补防火墙及入侵检测系统的不足而发展起来的一种计算机信息安全技术。其嵌入式的工作方式,使其面临许多挑战,如数据流检测瓶颈、误报和漏报等。该文陈述基于粗糙集理论的危险评测方法和该信号的协同作用下防御及检测器的进化机制。提出以通过评估保护对象所受危险并以此信号协同检测的防御方法,可以提高检测效率和防御效果,降低误报和漏报。     

一种基于免疫的入侵检测关联报警模型

在入侵检测系统Snort的基础上,结合网络实时危险评估技术,提出了一种基于免疫的网络入侵检测报警模型SAIM。给出了网络环境下记忆细胞的表示方法,以及记忆细胞实时危险计算过程,建立了主机分类及总体实时危险计算方程,在此基础上给出了网络入侵检测报警模型。理论分析和试验结果均表明,SAIM模型能有效进行关联报警,提高报警质量。     

基于危险理论的多代理异常入侵检测研究

为了提高分布式网络中异常入侵检测的效率,在对危险理论和人工免疫技术的研究基础之上,提出了一种基于危险理论的多代理异常人侵检测模型,对模型架构和工作原理进行了详细的描述.模型分为三层,在识别"非我"之前,先对主机和网络资源实时监控并进行数据采集,利用云模型对危险进行判定,由危险信号激活免疫识别.该模型能根据定义的危险级别有效地识别出"有害的非我",保障系统的可用性,在一定程度上改善伪肯定和伪否定现象,提高检测系统性能.     

基于危险理论与数理统计的入侵检测模型

分析了危险理论的基本机制,针对处理危险信号的特点,提出了基于特征串HAMMING距离的数理统计匹配算法,并以该算法来优化协同信号的产生,以及操作抗原与抗体的匹配,最后给出了基于该算法的入侵检测模型。     

基于Jini的协同入侵检测模型

针对现有的分布式入侵检测系统存在检测准确性低、可扩展性差问题,提出一种具有动态可插拔的协同入侵检测模型.该模型主要由检测实体、行为库、协同控制器构成,采用代理技术和Jini技术实现,具有自管理、自修复和跨平台的特性,系统中的各代理可以即插即用,并且能与其它代理进行协同检测.实验结果表明,该模型提高了入侵检测系统的准确性和扩展性.     

一种基于多Agent的分布式入侵检测系统设计

在分析现有基于Agent的入侵检测系统的基础上,提出了一种基于多Agent分布式入侵检测系统模型。该模型采用了分布检测、分布响应的模式,各Agent之间具有良好的相对独立性。通过多Agent技术的思想建立系统总体结构,给出了模型的各个组成部分,并对结构中各种Agent与中心控制台的功能设计进行了分析。同时对涉及到特征匹配算法、动态选举算法、协同算法进行了初步的设计与分析。系统可充分利用各Agent的协同完成入侵检测任务,实时响应,可有效地改进传统IDS。     

计算机免疫危险理论中危险信号的提取方法研究

危险理论是人工免疫系统的一个重要研究分支,它从危险的角度出发对免疫系统的工作原理进行了新的阐述,目前已广泛应用于入侵检测、机器学习和数据挖掘等领域。建立危险理论模型的首要问题是如何自适应地提取危险信号。从变化导致危险这一思想出发,建立了一套基于变化特征的危险信号自适应提取模型;针对不同类型系统资源的特点,设计了基于值变化和特征变化的两种危险信号提取方法。同时,通过实验验证了该模型在不依赖先验知识的情况下,能够自适应地提取危险信号。     

基于CSCW的分布式入侵检测模型研究

分布式入侵检测技术是目前安全检测领域的研究热点之一。在分析了现有分布式入侵检测系统所存在问题的基础之上,基于CSCW的原理,提出了一种新的分布式入侵检测系统模型。该系统模型采用CSCW概念重新构造系统的检测组件,通过协同机制和安全通信,实现了分布式入侵检测系统各个检测组件之间的数据共享、知识共享和负载均衡,解决了分布式系统检测组件之间缺乏有效协作和信息共享的问题,避免了关键节点的处理瓶颈．提高了系统的协同检测能力和资源利用率。     

基于危险模式的IDS异常检测模型

针对当前入侵检测技术在检测新入侵的不足,分析了危险模式理论应用于异常检测的可行性,提出了一个新型的基于危险模式的自适应IDS异常检测系统模型以及相关算法.该系统有效地降低了误报率和漏报率,具有自适应、自学习、自组织和分布性特点.     

基于危险理论和DCA的WSNs入侵检测系统模型

针对无线传感器网络(WSNs)由于自身特点易于遭到入侵且传统被动的安全机制无法完全应对这一问题,对人工免疫系统(AIS)进行研究,设计一种新的入侵检测系统(IDS)模型。模型采用危险理论和适用于WSNs的改良树突状细胞算法(DCA),可使节点之间彼此分工合作共同识别入侵,加强了网络的鲁棒性。仿真结果显示:与早期的自我—非我(SNS)模型相比,研究的模型在检测能力和能耗上均有很好的表现。     

Measuring IDS-estimated attack impacts for rational incident response: A decision theoretic approach

Intrusion detection system (IDS) plays a vital role in defending our cyberspace against attacks. Either misuse-based IDS or anomaly-based IDS, or their combinations, however, can only partially reflect the true system state due to excessive false alerts, low detection rate, and inaccurate incident diagnosis. An automated response component built upon IDS therefore must consider the stale and imperfect picture inferred from them and takes action accordingly.This article presents an approach for measuring attack impact with the evidence of IDS alerts, with the objective to suggest rational response by cost-benefit analysis. More specifically, based on a very realistic assumption that a system evolves as a Markov decision process conditioned upon the current system state, imperfect observation, and action, we use partially observable Markov decision process to model the efficacy of IDS as providing a probabilistic assessment of the state of system assets, and to maximize a reward signal (defined as a function of both cost and benefit) by taking appropriate actions in response to the estimated system states in terms of desirable security properties. The ultimate goal is to move the system to more secure states with respect to pre-specified security metrics, and assist system administrators to identify the best tradeoff between the cost and benefit of security policies. We finally use a benchmark data set to practically illustrate the application of our methodology and conduct a proof-of-concept validation on its feasibility and efficiency.     

Research on human intruder detection and localization based on LCX sensor

Many aspects of the intruder detection system (IDS) based on the LCX sensor are still unknown due to its complex propagation characteristics. In order to study the field disturbance mechanism of human intruder and to reduce the phase error caused by the initial state of the detection signal, a novel method of improving the localization accuracy is proposed. At the frequencies of 40, 100, and 200 MHz, the IDS based on the LCX sensor is proposed by analyzing the scattering characteristics of the radar cross section (RCS) of human intruder and using IQ demodulation method. According to the characteristics of the IDS, the RCS is obtained by irradiating the human intruder from three typical radiation directions, which are front, side, and low‐side direction in the mentioned frequency range. Combined with the method of pulse accumulation and synchronous subtraction, the intruder localization can be easily realized by using pulse delay positioning method. The results demonstrate the improvement in localization accuracy and the decrement in false positive rate, and the positioning error is less than 1 m.     

基于二维云模型的瓦斯危险信号模型

在基于免疫危险理论的矿井瓦斯监测中,对危险信号的定义是要解决的核心问题。根据矿井下瓦斯监控参数的变化,构建二维云模型,并产生危险信号,并划分危险等级。仿真结果表明,该模型能很好反映不同参数变化之间的关联性,能很好反映矿井下的危险情况。     

计算机病毒的保守模式分析

计算机病毒对计算机世界造成的威胁与日俱增。尽管各种防毒措施,如防病毒软件和入侵检测系统为人们提供了某些帮助,但它们对付计算机病毒的能力有限,存在着检测效率低、病毒的特征检测标识库经常发生变化等问题。该文针对这些问题,通过对计算机病毒的结构和运行机制的研究,提出了计算机病毒的保守模式的概念,并对这一概念进行了深入的分析,如病毒的搜索模式和自我复制模式等。这些模式的描述为病毒的检测和识别,尤其是新型病毒的有效检测提供了一条新的途径。     

使用危险理论的多传感器故障检测

现有的免疫故障检测理论用于多传感器检测对象时,易产生计算开销过大的问题。引入危险模式理论对其进行建模。将免疫算法与危险模式理论相结合,提出了一种基于危险信号的多测点免疫故障检测算法。通过定义和计算危险信号和危险程度信号提高系统故障识别的准确性。仿真结果表明：使用该文提出的模型和算法不但简化了系统计算过程,而且能有效地提高系统对虚假故障的甄别能力。     

一种新型的克隆选择算法*

针对克隆选择算法自适应能力较弱的缺陷,给出了一种基于危险理论的自适应克隆选择算法。设计了危险信号操作算子,该算子将种群浓度的变动作为环境因素,以抗体—抗原亲和力为依据计算各个抗体在该环境因素下的危险信号,最终通过危险信号自适应地引导免疫克隆、变异和选择等后续免疫应答。实验结果表明本文算法具有较好的自适应能力和多值搜索能力。