基于场景和状态转换分析的入侵检测模型的构建

从已知的入侵方法出发,对攻击序列进行拓扑排序及同构类扩充,扩展到一个场景或一类入侵,通过构建基于场景和状态转换分析的入侵检测模型来检测基于类的入侵问题。模型在某种程度上可预防入侵及检测到未知的入侵。     

模糊神经网络在入侵检测中的应用

目前绝大多数误用检测系统均不能检测已知攻击的变种 ,对未知攻击的检测也十分有限 ,而基于用户行为的异常检测系统对攻击检测的误报率太高 ,且不能发现攻击者通过慢慢改变其行为躲过检测的欺骗行为 .将模糊神经网络应用于入侵检测领域 ,并采用基于进程行为的检测方法 ,能有效的解决上述问题 ,较好地改进入侵检测系统的性能 ,降低漏报误报率 .     

基于报警序列的入侵场景自动构建

传统的入侵检测系统(IDS)由于其规则的抽象程度较低,导致一次攻击行为会产生大量重复和相关报警.研究表明,入侵场景可提供较高层次的抽象来表示攻击过程,但是已有研究方法均无法在线生成入侵场景.提出一种自动构建入侵场景的方法,将原始报警按照(源,目标)IP对和优先级分类成不同超报警序列集合,从中挖掘频繁闭序列作为入侵场景.在Darpa数据集上的实验表明,该方法可以满足在线运行,并可有效发现攻击过程.     

基于数据挖掘的分布式入侵检测系统

构建了一个基于数据挖掘的分布式入侵检测系统模型。采用误用检测技术与异常检测技术相结合的方法,利用数据挖掘技术如关联分析、序列分析、分类分析、聚类分析等对安全审计数据进行智能检测,分析来自网络的入侵攻击或未授权的行为,提供实时报警和自动响应,实现一个自适应、可扩展的分布式入侵检测系统。实验表明,该模型对已知的攻击模式具有很高的检测率,对未知攻击模式也具有一定的检测能力。     

一种新的在线攻击意图识别方法研究

现有的利用入侵检测告警来构建攻击场景、识别多步攻击意图的方法存在着需要定义复杂的关联规则、过于依赖专家知识和难以发现完整场景等不足,为此提出了一种基于攻击行为序列模式挖掘方法的攻击意图识别技术.通过分析入侵告警的攻击行为序列,挖掘出多步攻击的行为模式,再进行在线的告警模式匹配和告警关联度计算来发现攻击者的攻击意图,预测攻击者的下一步攻击行为.实验结果表明,该方法可以有效的挖掘出攻击者的多步攻击行为模式,并能有效的实现在线的攻击意图识别.     

基于机器学习的入侵检测研究

针对现有的检测技术和入侵检测系统还存在一些问题和不足,提出将机器学习方法应用在入侵检测系统中,建立了一个基于学习的入侵检测系统模型,给出了一个基于机器学习的入侵检测系统的设计.该系统不仅能通过模式匹配的方式检测到一些已知的攻击,还能通过自我学习检测到未知的攻击.     

基于语法分析树的入侵检测技术

对系统入侵的状态转换进行了研究,分析了常见的黑客攻击方法,包括TCPSYNFLOODING、IP分片攻击等.针对现有入侵检测技术的不足,构建了一个新的入侵检测模式,提出了基于特征信息序列语法分析的入侵检测技术.实现多种入侵用统一的文法描述,有效地避免了检测分析中的盲目试探,提高了检测效率.由于采用了可扩展的文法创建技术,使其具备一定的异常检测能力,能识别未知的入侵或攻击.     

基于蜜罐的入侵检测系统的设计与实现*

传统的入侵检测系统无法识别未知的攻击,提出在入侵检测系统中引入蜜罐技术来弥补其不足,并设计和实现了一个基于人工神经网络的入侵检测系统HoneypotIDS。该系统应用感知器学习方法构建FDM检测模型和SDM检测模型两阶段检测模型来对入侵行为进行检测。其中,FDM检测模型用于划分正常类和攻击类,SDM检测模型则在此基础上对一些具体的攻击类型进行识别。最后,设计实验对HoneypotIDS的检测能力进行了测试。实验结果表明,HoneypotIDS对被监控网络中的入侵行为具有较好的检测率和较低的误报率。     

神经模糊入侵检测系统的研究

当前大多数入侵检测系统都是misuse detection,均不能检测已知攻击的变种,而少数基于用户行为的异常检测系统不仅会侵犯合法用户的隐私权,而且不能发现不良用户通过慢慢改变其行为躲过检测的欺骗行为。文章提出了一种新的基于进程行为的神经模糊入侵检测系统,有效地解决了上述问题,极大地提高了入侵检测系统的性能。     

蜜罐与入侵检测技术联动系统的研究与设计

针对单一技术在网络安全防御上的局限性,对入侵检测和蜜罐技术进行了认真研究.构建了一个新的入侵检测与蜜罐技术联动的防御系统.通过蜜罐收集入侵信息,用无监督聚类算法分析入侵数据,将数据集划分为不同的类别,提取新的攻击特征,扩充了入侵检测系统的特征库.通过实验分析和采用KDDCUP99入侵数据集进行测试,证明对于误报和漏报问题有一定的改进,提高了对未知入侵攻击的检测效率.     

基于机器学习方法的入侵检测技术的研究

入侵检测技术是近20年来才出现的一种有效保护网络系统免受网络攻击的新型网络安全技术.随着网络技术的迅速发展、安全问题的日益突出,传统的入侵检测系统已难以满足对越来越复杂的网络攻击的检测任务,将机器学习的技术引入到入侵监测系统之中以有效地提高系统性能,已成为入侵检测技术的研究热点.本文主要介绍了入侵检测系统的基本结构以及几种机器学习方法在入侵检测中的应用,其中包括:基于贝叶斯分类的方法、基于神经网络的方法、基于数据挖掘的方法与基于支持向量机的方法.     

基于时序逻辑的3种网络攻击建模

与其他检测方法相比,基于时序逻辑的入侵检测方法可以有效地检测许多复杂的网络攻击。然而,由于缺少网络攻击的时序逻辑公式, 该方法不能检测 出常见的back,ProcessTable以及Saint 3种攻击。因此,使用命题区间时序逻辑(ITL)和实时攻击签名逻辑(RASL)分别对这3种攻击建立时序逻辑公式。首先,分析这3种攻击的攻击原理;然后,将攻击的关键步骤分解为原子动作,并定义了原子命题;最后,根据原子命题之间的逻辑关系分别建立针对这3种攻击的时序逻辑公式。根据模型检测原理,所建立的时序逻辑公式可以作为模型检测器(即入侵检测器)的一个输入,用自动机为日志库建模,并将其作为模型检测器的另一个输入,模型检测的结果即为入侵检测的结果,从而给出了针对这3种攻击的入侵检测方法。     

A triangle area based nearest neighbors approach to intrusion detection

Intrusion detection is a necessary step to identify unusual access or attacks to secure internal networks. In general, intrusion detection can be approached by machine learning techniques. In literature, advanced techniques by hybrid learning or ensemble methods have been considered, and related work has shown that they are superior to the models using single machine learning techniques. This paper proposes a hybrid learning model based on the triangle area based nearest neighbors (TANN) in order to detect attacks more effectively. In TANN, the k-means clustering is firstly used to obtain cluster centers corresponding to the attack classes, respectively. Then, the triangle area by two cluster centers with one data from the given dataset is calculated and formed a new feature signature of the data. Finally, the k-NN classifier is used to classify similar attacks based on the new feature represented by triangle areas. By using KDD-Cup ’99 as the simulation dataset, the experimental results show that TANN can effectively detect intrusion attacks and provide higher accuracy and detection rates, and the lower false alarm rate than three baseline models based on support vector machines, k-NN, and the hybrid centroid-based classification model by combining k-means and k-NN.     

基于虚拟机的运行时入侵检测技术研究

入侵检测技术通常分为误用检测和异常检测两类,误用检测根据攻击模式库检测已知的攻击行为,但却难以防范未知的攻击行为;异常检测技术虽然可以预测偏离正常值阈区间的潜在攻击行为,但却存在较高的误报现象。在虚拟机监视器中对虚拟机操作系统的运行行为进行带外监控,避免了操作系统内监控模块被病毒感染的难题;通过监视虚拟机的运行时行为,对之作组合序列的合法性分析,扩展了误用检测防范长时间段攻击行为的能力,识别通过合法系统调用进行的恶意攻击。测试数据表明,该技术能够较好地检测出复杂组合攻击行为。     

基于支持向量机和Hurst指数的集成入侵检测研究

提出了一种将SVM算法与Hurst指数相结合的入侵检测方法—集成入侵检测。DARPA上的测试结果表明,该方法不仅能够发现网络中已知的攻击,还能够确定网络中未知的攻击,提高了入侵检测的效率。     

基于网络安全知识库的入侵检测模型

在网络安全知识库系统的基础上,提出一个基于网络安全基础知识库系统的入侵检测模型,包括数据过滤、攻击企图分析和态势评估引擎。该模型采用进化型自组织映射发现同源的多目标攻击;采用时间序列分析法获取的关联规则来进行在线的报警事件的关联,以识别时间上分散的复杂攻击;最后对主机级和局域网系统级威胁分别给出相应的评估指标以及对应的量化评估方法。相比现有的IDS,该模型的结构更加完整,可利用的知识更为丰富,能够更容易地发现协同攻击并有效降低误报率。     

基于本体的Web服务攻击检测技术研究

Web服务在给基于异构平台的应用集成带来极大便利的同时,各核心组件也面临着被恶意攻击的威胁。目前,主要依靠入侵检测系统(IDS)来检测这些攻击,但是分布在网络中的IDS往往是由不同的厂商或组织开发的,没有用于交换知识的可被共同理解的词汇集,难以交互和协作,工作效率低且很难抵御多层次、分布式攻击。提出了一种基于本体和Web本体标准语言（OWL）的Web服务攻击分类和描述方法,通过构建Web服务攻击本体以提供不同IDS共同理解的词汇集。在此基础上,设计了一种基于Web服务攻击本体库的入侵检测系统(O-IDS),能有效弥补现有IDS难以交互的不足,提高对多层次、分布式攻击的检测能力。     

网络入侵事件防御决策技术研究

针对传统入侵检测系统对付复杂攻击防御时暴露出的不足,提出利用数据挖掘技术进行网络入侵事件协同分析,建立关联规则与序列规则模型,并结合两者进行全局信息推理获取复杂攻击模式.重点研究了复杂入侵事件的防御决策技术和基于有限自动机的危机分析方法,详细分析了防御决策向量的制定过程以及防御知识的表示问题.实验结果表明,所提出的模型和方法能通过提前确定防御点增强系统防御的实时性与有效性.     

基于SNMP进行数据挖掘的入侵检测系统研究

网络攻击日益隐蔽化和复杂化，传统入侵检测方法对此有很大局限性，该文提出将入侵检测系统和SNMP网络管理系统相结合，根据攻击的本质特征，使用数据挖掘技术从SNMP的网络统计数据中获取检测规则的方法，能有效实现对隐蔽和复杂攻击的检测。