一种基于数据挖掘的拒绝服务攻击检测技术

提出了一种新的、基于数据挖掘的DoS攻击检测技术--DMDoSD,它首先利用Apriori关联算法从原始网络数据中提取流量特征,然后利用K-means聚类算法自适应地产生检测模型,这两种算法的结合能够实时地、自动地、有效地检测DoS攻击.DMDoSD除了向现有的IDS发出攻击报警外,还进一步利用关联算法分析异常网络数据包,确定攻击特征,为DoS攻击的防御提供支持.     

利用决策树改进基于特征的入侵检测系统

当前,大多数入侵检测系统(IDS)采用一种特征匹配的方式来确定攻击的发生,它以存在的攻击为模型建立攻击特征,通过对输入和预定义的特征相匹配来确定攻击.许多系统通过把每一个输入事件和所有的规则持续地比较来执行匹配.这不是最理想的.文中描述了一个应用机器学习聚类技术改善匹配过程的方法.给定一个特征集,通过算法产生一颗决策树,使用该决策树能够尽量少地比较发现恶意的事件.这个思想已经被应用于一个基于网络的入侵检测系统.试验显示,检测速度得到显著的提高.     

利用决策树改进基于特征的入侵检测系统

当前,大多数入侵检测系统(IDS)采用一种特征匹配的方式来确定攻击的发生,它以存在的攻击为模型建立攻击特征,通过对输入和预定义的特征相匹配来确定攻击。许多系统通过把每一个输入事件和所有的规则持续地比较来执行匹配。这不是最理想的。文中描述了一个应用机器学习聚类技术改善匹配过程的方法。给定一个特征集,通过算法产生一颗决策树,使用该决策树能够尽量少地比较发现恶意的事件。这个思想已经被应用于一个基于网络的入侵检测系统。试验显示,检测速度得到显著的提高。     

基于分箱统计的FCM算法及其在网络入侵检测中的应用

使用KDDCup99网络入侵检测数据,对传统的FCM(Fuzzy C-Means)算法进行实验,发现该聚类算法在进行聚类划分和孤立点判断时,存在划分粗略性现象.针对该问题,本文提出使用分箱统计的FCM方法来划分和描述数据集的分布.与原有算法相比,不需要频繁更新聚类中心,同时耗时问题也得到较好的改善.文章最后将特征匹配与基于分箱的FCM算法相结合,协同分析网络连接数据记录.实验结果证明,这种协同检测方法的检测率有明显提高,实时性好,能较好地发现新的攻击类型,便于检测知识库的更新.     

大数据技术在计算机网络入侵检测中的研究

传统的网络入侵检测技术无法识别错综复杂的网络攻击,提出以大数据技术构建网络入侵检测模型,采用数据挖掘中聚类、分类和关联规则算法自动识别网络中攻击模式,这种方式能够快速学习和提取网络攻击的特征形态。仿真实验表明,基于大数据技术的网络入侵检测技术能够获得较高的攻击模式识别准确率。     

孤立点分析在防火墙入侵检测的研究

本文主要研究了基于孤立点分析的防火墙入侵检测系统中核心挖掘算法。对本地机或网络上的原始数据进行预处理形成格式化的数据;然后对这些数据应用数据挖掘算法进行孤立点检测。     

基于孤立点检测的入侵检测方法研究

本文提出了一种基于孤立点检测的核聚类入侵检测方法。方法的基本思想是首先将输入空间中的样本映射到高维特征空间中,并通过重新定义特征空间中数据点到聚类之间的距离来生成聚类,并根据正常类比例Ｎ来确定异常数据类别,然后再用于真实数据的检测。该方法具有更快的收敛速度以及更为准确的聚类,并且不需要用人工的或其他的方法来对训练集进行分类。实验采用了KDD99的测试数据,结果表明,该方法能够比较有效的检测入侵行为。     

基于Apriori算法的攻击行为时序关联规则检测方法

针对当前大部分入侵检测系统(IDS)的报警信息只包括对单独攻击行为的描述,缺少攻击行为之间的关联规则,使得IDS数量巨大的报警数据难以理解的问题,探索并实现了一种通过将报警信息进行关联生成报警序列,并且使用Apriori算法挖掘报警序列中的攻击行为时序关联规则的方法.实验证明了该方法能检测出报警数据中蕴含的各攻击行为之间的时序关联规则.     

基于聚类的两段式孤立点检测算法

现有的大多数孤立点检测算法都需要预先设定孤立点个数,并且还缺乏对不均匀数据集的检测能力。针对以上问题,提出了基于聚类的两段式孤立点检测算法,该算法首先用DBSCAN聚类算法产生可疑孤立点集合,然后利用剪枝策略对数据集进行剪枝,并用基于改进距离的孤立点检测算法产生最可能孤立点排序集合,最终由两个集合的交集确定孤立点集合。该算法不必预先设定孤立点个数,具有较高的准确率与检测效率,并且对数据集的分布状况不敏感。数据集上的实验结果表明,该算法能够高效、准确地识别孤立点。     

反馈神经网络在入侵检测系统中的应用

对基于网络的入侵检测系统进行了研究,提出了将反馈网络应用于入侵检测系统中,使用一种改进的Jordan神经网络算法,借助于反馈神经网络提取描述攻击模式的特征和进行规则推导,然后用神经网络建立的规则集进行入侵检测,实验证明利用反馈神经网络提高了入侵检测系统的性能。     

基于数据挖掘的网络异常行为检测技术设计与实现

既有的基于数据挖掘技术的入侵检测将研究重点放在误用检测上。提出了基于数据挖掘技术的网络异常检测方案，并详细分析了核心模块的实现。首先使用静态关联规则挖掘算法和领域层面挖掘算法刻画系统的网络正常活动简档，然后通过动态关联规则挖掘算法和领域层面挖掘算法输出表征对系统攻击行为的可疑规则集，这些规则集结合从特征选择模块中提取网络行为特征作为分类器的输入，以进一步降低误报率。在由DAR-AP1998入侵检测评估数据集上的实验证明了该方法的有效性。最后，对数据挖掘技术在入侵检测领域中的既有研究工作做了，总结。     

数据挖掘技术在入侵检测中的应用

数据挖掘技术已在误用检测和异常检测中得到应用。论文介绍了数据挖掘在入侵检测系统研究中的一些关键的技术问题,包括规则挖掘算法、属性集的选择和精简、模糊数据挖掘等。最后深入讨论了入侵检测系统的自适应问题,并提出了相应的解决方法。     

基于数据挖掘的入侵检测系统研究

针对传统入侵检测方法的缺陷：结合异常检测和误用检测方法,提出了一种改进型的基于数据挖掘的入侵检测系统。论述了数据挖掘技术在入侵检测系统中的应用。对常用于入侵检测系统中的数据挖掘技术如关联规则,序列分析,分类分析等进行了分析。     

基于数据挖掘算法的网络入侵检测系统研究

回顾了当前入侵检测技术和数据挖掘技术,分析了Snort网络入侵检测系统存在的问题,重点研究了数据挖掘中的关联算法Apriori算法和聚类算法K一均值算法;在Snort入侵检测系统的基础上,增加了正常行为挖掘模块、异常检测模块和新规则生成模块,构建了基于数据挖掘技术的网络入侵检测系统模型。新模型能够有效地检测新的入侵行为,而且提高了系统的检测效率。     

数据挖掘技术在入侵检测中的应用研究

随着Internet迅速发展,许多新的网络攻击不断涌现。传统的依赖手工和经验方式建立的基于专家系统的入侵检测系统,由于面临着新的攻击方式及系统升级方面的挑战,已经很难满足现有的应用要求。因此,有必要寻求一种能从大量网络数据中自动发现入侵模式的方法来有效发现入侵。这种方法的主要思想是利用数据挖掘方法,从经预处理的包含网络连接信息的审计数据中提取能够区分正常和入侵的规则。这些规则将来可以被用来检测入侵行为。文中将数据挖掘技术应用到入侵检测中,并对其中一些关键算法进行了讨论。最后提出了一个基于数据挖掘的入侵检测模型。实验证明该模型与传统系统相比,在自适应和可扩展方面具有一定的优势。     

Local outlier factor and stronger one class classifier based hierarchical model for detection of attacks in network intrusion detection dataset

Identification of attacks by a network intrusion detection system (NIDS) is an important task. In signature or rule based detection, the previously encountered attacks are modeled, and signatures/rules are extracted. These rules are used to detect such attacks in future, but in anomaly or outlier detection system, the normal network traffic is modeled. Any deviation from the normal model is deemed to be an outlier/ attack. Data mining and machine learning techniques are widely used in offline NIDS. Unsupervised and supervised learning techniques differ the way NIDS dataset is treated. The characteristic features of unsupervised and supervised learning are finding patterns in data, detecting outliers, and determining a learned function for input features, generalizing the data instances respectively. The intuition is that if these two techniques are combined, better performance may be obtained. Hence, in this paper the advantages of unsupervised and supervised techniques are inherited in the proposed hierarchical model and devised into three stages to detect attacks in NIDS dataset. NIDS dataset is clustered using Dirichlet process (DP) clustering based on the underlying data distribution. Iteratively on each cluster, local denser areas are identified using local outlier factor (LOF) which in turn is discretized into four bins of separation based on LOF score. Further, in each bin the normal data instances are modeled using one class classifier (OCC). A combination of Density Estimation method, Reconstruction method, and Boundary methods are used for OCC model. A product rule combination of the threemethods takes into consideration the strengths of each method in building a stronger OCC model. Any deviation from this model is considered as an attack. Experiments are conducted on KDD CUP’99 and SSENet-2011 datasets. The results show that the proposed model is able to identify attacks with higher detection rate and low false alarms.     

基于数据挖掘的网络入侵检测系统研究

针对传统入侵检测系统建模与更新需要大量人工参与,提出一种基于数据挖掘的无指导自适应入侵检测系统.系统通过有效结合聚类、关联规则数据挖掘方法,自动进行检测规则的提取.经实验表明,提出的方法具有较好的检测率、误报率.     

基于网络安全知识库的入侵检测模型

在网络安全知识库系统的基础上,提出一个基于网络安全基础知识库系统的入侵检测模型,包括数据过滤、攻击企图分析和态势评估引擎。该模型采用进化型自组织映射发现同源的多目标攻击;采用时间序列分析法获取的关联规则来进行在线的报警事件的关联,以识别时间上分散的复杂攻击;最后对主机级和局域网系统级威胁分别给出相应的评估指标以及对应的量化评估方法。相比现有的IDS,该模型的结构更加完整,可利用的知识更为丰富,能够更容易地发现协同攻击并有效降低误报率。     

数据挖掘方法在网络入侵检测中的应用

传统的入侵检测系统存在适应性差、缺乏可扩展性、需要专家手工编码等缺陷.基于数据挖掘的入侵检测技术,自动地从训练数据中提取出入侵检测的知识和模式,能够很好地解决传统入侵检测系统中存在的问题.综述了数据挖掘技术在网络入侵检测中的应用,描述了基于数据挖掘的入侵检测系统架构,阐述了聚类分析、分类分析、关联规则分析和序列模式分析在网络入侵检测中的应用原理和最新的研究与改进,并指出了目前存在的问题和未来研究的方向.