基于案例推理的入侵检测关联分析研究

针对基于规则和模型的入侵检测专家系统中难以建立和表达入侵检测规则的问题,利用基于案例推理(CBR)方法对知识要求的低依赖性,将它引入入侵检测(ID)领域,提出了基于案例推理的入侵检测关联分析(CBRIDRA)模型的框架,研究了系统各功能模块,并对其中攻击案例定义、攻击案例检索、攻击案例管理、专家知识系统等关键技术的解决思路和实现方法进行了讨论。     

基于规则推理的FPN误用入侵检测方法

针对网络入侵攻击活动的模糊性，提出了一种基于模糊推理的模糊Petri网（FPN）误用入侵检测方法。该方法定义了一个六元组FPN，并将模糊产生式规则精化为两种基本类型。在此基础上给出了FPN表示模糊规则的模型、推理过程和基于FPN的推理算法。最后通过入侵检测的实例对该方法的正确性和有效性进行了验证，结果表明该方法推理过程简单直观、容易实现，而且具有并行推理能力，可适用于大规模的FPN模型，是误用入侵检测技术的一种非常有效的解决方案。     

基于模块化本体的入侵检测研究

建立了一种基于模块化本体的入侵检测模型,该模型能共享和重用知识并进行分析,具有检测分布式复杂攻击的能力。通过本体的模块化降低对存储空间的要求、提高推理的速度、增强系统的健壮性。用OWL对入侵检测中的模块化本体进行了规格说明并进行了应用举例。     

一种DRDoS协同防御模型研究

针对现有DRD0S防御方法反应滞后和过滤不全面的问题,基于协同防御思想,提出了一种DRDoS协同防御模型——HCF-AST.该方法通过协同式自学习算法,实现设备间DRDoS防御知识的共享,过滤来自外网的攻击流量;并引入入侵追踪技术,与入侵检测和过滤技术协同,定位并阻断内网攻击源.仿真结果表明,该模型能够及时发现并有效消除来自内外网的DRDoS攻击.     

NIDS中一种基于petri网的并行推理算法

针对网络攻击具有并发性,攻击特征的提取具有不确定性等特点,提出了一种petri网并行推理算法,把Petri网模型转化为矩阵形式,通过矩阵的运算来实现算法的并行性,并给出了推理机的实现机制。通过算法,可以同时处理多种攻击,并得到多种攻击各自的概率,概率越高发生入侵的可能性越大,对于攻击的不确定性提供多种的攻击概率,可以降低攻击特征的不确定性。通过评估实例说明推理机制的正确性和有效性,同时也证明了推理算法的高效率。     

网络入侵事件防御决策技术研究

针对传统入侵检测系统对付复杂攻击防御时暴露出的不足,提出利用数据挖掘技术进行网络入侵事件协同分析,建立关联规则与序列规则模型,并结合两者进行全局信息推理获取复杂攻击模式.重点研究了复杂入侵事件的防御决策技术和基于有限自动机的危机分析方法,详细分析了防御决策向量的制定过程以及防御知识的表示问题.实验结果表明,所提出的模型和方法能通过提前确定防御点增强系统防御的实时性与有效性.     

基于空间扩维特征的主机入侵检测模型

在基于访问控制粒度和多维安全拓扑空间的基础上分析了入侵攻击的特点,并提出基于空间扩维特征的入侵检测模型--SEDIDS. 为访问控制系统中的实体建立了语义网络模型,用语义网络完备性推理来检测访问控制实体的完整性,作为入侵攻击行为判断的依据,从而取代了依赖训练数据集建立系统访问模式轮廓进行比对的入侵检测传统手段.实验结果表明:该模型相对于传统的入侵检测具有较低的漏报率和误报率,并有较高的运行效率.     

一种基于有向二分图模型和贝叶斯网络的入侵检测方法

针对入侵检测中存在的非确定性推理问题,文章提出一种基于二分图模型和贝叶斯网络的入侵检测方法,该方法利用二分有向图模型表示入侵和相关特征属性之间的因果拓扑关系,利用训练数据中获取模型的概率参数,最后使用最大可能解释对转化后的推理问题进行推理,并通过限定入侵同时发生的数目来提高检测效率。实验表明,该方法具有较高的检测率和很好的鲁棒性。     

基于移动Agent的分布式入侵检测模型

首先剖析了目前分布式网络入侵检测所存在的问题以及待解决的技术难点, 利用Agent 构造了一种新颖的分级检测入侵的层次模型, 增强了入侵检测系统自身的安全性和对分布式攻击的协同检测能力, 有效降低了网络的通信负荷。该模型具有知识进化功能, 能够根据环境的变化不断调整自己, 具有很强的健壮性和良好的可伸缩性。     

针对入侵检测分析的Petri网建模技术研究

为有效降低检测的误警率和重复报警率,在前期研究的基础上,提出针对入侵检测分析的面向对象确定性变迁Petri网模型。将面向对象和Petri网技术有机结合起来,并进行形式化描述,就对象实例化和销毁机制进行了定义并对其确定性变迁进行了规则描述,提出可变信令和不变信令使之更适合描述入侵行为的状态。利用该技术建立扫描攻击、Mitnick攻击等几个简单攻击和复合攻击分析模型;讨论利用XML技术表示面向对象Petri网模型的方法。最后实验结果表明该模型对各种复杂攻击有良好的表示能力,相对于已有研究,更便于使用而实用化。     

基于双枝模糊集的一致性模糊变权Petri网攻击模型

以Petri网为基础,结合双枝模糊集理论,定义了一种新型的一致性网络攻击模型CBBVFPN,并根据CBBVFPN模型的特点构造出了相应的形式化推理算法。该模型弥补了以往基于Petri网的攻击模型共同具有的一些缺陷,同时对“AND”和“OR”两种基本Petri结构进行了扩展。在推理过程中,为了防止以一个真实度很低的命题为前提继续推理,得出真实度更低的命题而背离事实,提出规则演化和变权的方法来处理真实度低的命题。推理算法使用统一的方式表示肯定命题和否定命题,并且在算法中加入控制条件,以保证推理过程和推理结果的一致性。最后以Botnet攻击为实例验证了本算法。     

基于双枝模糊逻辑和模糊着色Petri网的攻击模型

定义了一种基于双枝模糊逻辑和模糊着色Petri网的网络攻击模型, 从对攻击起促进和抑制作用这两方面对网络攻击进行综合考虑与分析, 同时对模糊规则库中的不同变量用不同的颜色来区分, 因此可构成一个简明的BBFCPN模型。在此基础上, 给出了BBFCPN模型的基本推理规则和推理算法。针对攻击实例的分析进一步验证了提出的模型及相关推理算法。     

具有动态可靠性的模糊时间Petri网攻击模型

在利用Petri网方法研究网络攻击模型的过程中,引入攻击可靠性的概念,将网络攻击模型作为一个系统看待,以此系统为研究对象,不仅通过推理算法得到目标库所的真实度,并且对攻击路径和系统进行动态可靠性分析,从而提出一种新的攻击模型—动态可靠性模糊时间Petri网网络攻击模型（DRFTPN）,并结合可靠性给出了相应的推理算法。这种模型将攻击过程描述为一个不可修复复杂系统,认为库所代表的攻击状态是随机失效的。为了计算复杂系统的可靠度,提出了一种近似求得系统可靠寿命的补偿性算法,并利用基于最小路集的方法求得DRFTPN模型的攻击路径。最后,运用Monte Carlo方法对DRFTPN模型进行仿真。     

基于双枝模糊决策与模糊Petri网的攻击模型研究

以双枝模糊决策和模糊Petri网(FPN)理论为基础，定义了一种全新的网络攻击模型BBFPAN。将网络攻击中对攻击起促进与抑制作用的两方面进行综合考虑与分析，用变迁表示攻击、防御行为的产生发展过程，库所表示系统所处的状态，从而区分了攻击行为和攻击结果，直观地表示网络攻击的演变情况。同时将变迁输入库所集所对应的因素作为决策影响因素，而将变迁作为一个决策，通过双枝模糊决策分析来判断输出库所集中库所的属性。在双枝模糊决策分析基础上，结合一种不确定推理方法，提出了BBFPAN的推理算法，并通过实验验证了算法的正确性。将对网络攻击实施起正反两方面的因素一起考虑和分析，对网络攻击的描述更加切近实际情况。     

基于多值逻辑Petri网的攻击模型

针对基于Petri网攻击模型存在模型繁杂、规模大的缺点,提出从多条相关的命题规则生成多值逻辑Petri网(MVPN)的攻击模型。采用逆向推理简化模型,应用L-M算法对MVPN权值进行学习和训练,根据模型的性质与特点给出模糊逻辑推理算法。实验结果证明,该模型能对网络攻击行为进行描述,该算法能减小空间复杂度,提高计算效率。     

基于矩阵运算的Petri网反向推理算法

通过对加权模糊Petri网模型和反向推理算法的研究,建立了加权模糊Petri网的关联Petri网推理模型。在此基础上,提出了基于矩阵运算的反向推理算法。通过实例对算法进行了检验,结果表明该算法具有解决复杂问题的并行推理能力、推理效率高、推理过程简单、容易实现。     

基于FPN推理的多Agent网络故障诊断系统的研究

多Agent诊断系统是一种分布式系统,现已在故障诊断中得到广泛应用.提出一种基于FPN推理的多Agent网络故障诊断模型,该模型利用各部分Agent模块来完成故障诊断过程中的信息搜集与分析,故障的确定以及对故障的处理,其中故障的确定由模糊Petri网推理算法来完成.该模型综合了FPN推理算法的并行性以及多Agent技术对故障诊断与处理的智能性的特点,为实现网络故障的快速诊断提供了一条全新的思路.     

基于模糊Petri网的汽车故障诊断仿真研究

本文将Petri网和模糊推理相结合,建立故障诊断的模糊Petri网模型。其中,用FPN表示模糊产生规则,用Petri网的变迁激活规则进行故障诊断推理,从而分析出异常行为过程间的因果关系,推理出故障的原因及其可信度。以汽车故障诊断为例,建立了基于模糊Petri网的诊断模型。通过仿真分析,验证了模型的正确性和算法的有效性。