一种异常入侵检测系统误报率抑制方法*

抑制入侵检测系统(IDS)的误报率是提高其检测结果可信性的重要途径。通过分析异常入侵检测系统的误报率问题,提出了基于人工免疫思想,动态构建正常系统轮廓,抑制误报率的方法。建立了自体、抗原、抗体的动态变化模型和演化机制,并进行了仿真实验。结果表明该方法可以有效降低异常入侵检测系统误报率。     

一种基于混合免疫机制的入侵检测系统模型

分析了目前入侵检测系统的两种基本检测机制以及它们各自存在的问题，随后在借鉴人体免疫系统工作机制的基础上提出一种基于混合免疫的入侵检测系统模型HIMIDS．在该模型中，就传统的入侵检测系统难以克服的缺点一较高的误报率和漏报率问题给出了较为简单可行的解决方案．此模型已应用于作者开发的原型系统上，并且得到了良好的效果．     

基于邻域粗糙集的入侵检测

针对入侵检测系统存在的高漏报率和误报率,提出了一种基于邻域粗糙集的入侵检测方法.该方法在粗糙集理论的基础上引入邻域概念,这样便无需对数据进行离散化处理,可以减少信息损失.实验结果表明:该方法可选择出更为重要的属性组合,从而获得较高的检测率和较低的漏报率与误报率.     

基于数据挖掘的入侵检测系统模型

文中介绍了入侵检测系统的重要性、传统人侵检测技术的类型和局限性以及入侵检测系统中常用的数据挖掘技术,指出数据挖掘技术应用在人侵检测系统中的可行性和必要性。针对现有入侵检测系统存在的误报率和漏报率较高的问题,对数据挖掘技术应用于入侵检测系统进行了研究,提出一个基于数据挖掘技术的结合异常检测和误用检测的复合入侵检测系统模型,并对模型中的数据挖掘算法进行了探讨。实验表明,该模型能生成新规则,对新攻击具备一定的鉴别能力,能有效降低入侵检测系统的误报率和漏报率。     

一种基于协议分析的入侵检测模型

对于入侵检测系统来说,选择好的入侵检测方法有利于提高检测效率,传统的入侵检测系统由于计算量大、漏报率和误报率高,已经不适应于当前网络系统的需求。协议分析是网络入侵检测中的一种关键技术,基于这种思想,介绍了协议分析的内容、过程、入侵特征的提取及协议分析在入侵检测中的应用,主要实现了对IP数据包内容分析,同时提出了一种与传统模式匹配算法相结合的可行入侵检测模型。经分析,该检测模型比传统的检测模型有着明显的优势。     

一种基于危险理论的入侵检测算法

分析了危险理论的基本机制,针对当前基于传统免疫学的入侵检测技术存在的不足,提出了一种基于危险理论的入侵检测算法模型。在该算法模型中,系统只对“危险”进行响应,提高了系统的检测效率,同时将系统资源情况作为判断“危险”的一个因素,有效的降低了误报率和漏报率。     

基于协议分析的入侵检测系统设计

针对传统入侵检测系统计算量大、漏报率和误报率高等缺点,在设计入侵检测系统时,采用与传统模式匹配算法相结合的基于协议分析的入侵检测模型,在linux平台下从网络数据包构造、数据包捕获、数据包协议分析、入侵规则建立、模式匹配、入侵事件检测和入侵响应几方面进行系统设计,通过分析系统性能,表明该入侵检测系统拥有检测速度快,漏报率低等特点.     

一种基于协议分析的入侵检测模型

对于入侵检测系统来说,选择好的入侵检测方法有利于提高检测效率,传统的入侵检测系统由于计算量大、漏报率和误报率高,已经不适应于当前网络系统的需求.协议分析是网络入侵检测中的一种关键技术,基于这种思想,介绍了协议分析的内容、过程、入侵特征的提取及协议分析在入侵检测中的应用,主要实现了对IP数据包内容分析,同时提出了一种与传统模式匹配算法相结合的可行人侵检测模型.经分析,该检测模型比传统的检测模型有着明显的优势.     

基于协议分析的分布式入侵检测系统的研究

入侵检测系统相对于传统的安全技术比如防火墙、信息加密等,是计算机系统的一种新型防护技术。传统的入侵检测系统由于大量的计算以及较高的漏报率和误报率已经不能够适应当前的网络系统,因此为了提高入侵检测系统的效率,需要选择更好的检测方法。协议分析是网络入侵检测的一个重要技术。该文在这个基础上提出了一种基于协议分析的分布式入侵检测系统的模型。与其他的模型相比,这个模型具有非常明显的优点,并且可以降低漏报率和误报率以及提高系统的能力。     

人工免疫系统中变异算法研究

在基于人工免疫理论入侵检测系统中,变异算法的缺点导致了较高的误报率和漏报率。该文提出了一种变异机制,能够加快进化速度,保存具有优势特征的物种,提高检测效率和准确性。该机制定义了自体/非自体的概念和形式化描述,给出了成熟细胞动态方程、亲和力累积方程。实验结果表明,当k取40附近值时,只要参数合适,TP值就能稳定在95％以上。该模型具有良好的实时性、自适应性和准确性,为构建新一代高效、合理的网络安全系统提供了一种有效方案。     

异常入侵检测系统虚警率问题研究

入侵检测系统的虚警率影响检测结果的可信性.通过分析入侵检测系统的可信问题及异常入侵检测系统的虚警率问题,提出了降低虚警率的方法:基于进程检测行为的入侵检测方法、多检测系统协作工作模式.重点描述了基于人工免疫思想,动态构建正常系统轮廓,抑制虚警率的方法,并对其进行了仿真实验.实验表明,本方法可以提高检测效率,有效降低系统虚警率.     

一种IDS报警可信性增强方案*

提高IDS（入侵检测系统）报警的可信性是IDS的根本目标。从理论上分析了可信问题产生的原因,给出了其形式化描述,提出了一种多IDS协同工作提高检测可信度的方法,并证明了该方法可以应用于各种不同IDS的协同工作中（基于误用、异常及异常与误用相结合的IDS）。多检测系统结果融合时采用推进Bayesian分类方法,给出了其模型和具体算法。实验分析表明,该方法与其他同类算法相比,降低了系统的漏报率和误报率,增强了报警的可信度。     

免疫AIDS虚警率问题研究

降低虚警率是异常入侵检测系统（AIDS）的一个主要目标。分析了AIDS虚警率问题产生的主要原因,提出了一种基于人工免疫思想,动态构建正常系统轮廓,抑制虚警率的方法。给出了生物免疫系统与AIDS的映射关系,建立了自体动态描述、抗体的动态演化和淘汰机制,并进行了仿真和对比实验。理论分析和实验结果表明该方法可有效降低系统虚警率。     

入侵检测系统的可信问题

首先讨论了当前入侵检测系统存在的信任危机的原因，并得出结论：若希望入侵检测系统的报警可信概率超过50％，必须使虚警率低于入侵发生的先验概率．接着论述了在异常检测系统和滥用检测系统中产生虚警的原因．最后结合研发的AIIDs系统讨论了抑制虚警可能采取的方法，重点讨论了用隐马尔可夫模型过滤系统调用数据以增加相对条件熵的方法和根据入侵的定义以及来自免疫系统机理的启发，建立了协同信号机制而遏制虚警的方法.     

一种基于数据融合的IDS方法研究

分析了当前IDS（intrusion detection system）的缺陷,讨论了数据融合技术应用在IDS领域的可行性,提出了一种基于数据融合（data fusion）的IDS（DFIDS）模型,融合决策采用算术平均值的方法,以达到降低漏报率和虚警率的目的,模拟实验证实了这一点。基于数据融合的入侵检测方法是IDS发展的一个重要方向。     

基于模拟退火支持向量机的入侵检测系统

为了提高入侵检测系统在小样本集条件下的检测效率,将支持向量机用于网络入侵检测.支持向量机的参数决定了检测效率,然而难以选择合适的参数值,因此提出利用模拟退火算法来优化这些参数,并设计出基于参数优化的支持向量机用于入侵检测.通过对样本数据集中的样本进行实验性检测,并与原始支持向量机入侵检测系统进行比较,结果表明模拟退火支持向量机入侵检测系统检测率高、误报率低,并且缩短了训练时间和检测时间.     

基于信息反馈的入侵检测模型研究

针对目前入侵检测系统（Intrusion Detection System,IDS）对未知异常检测误报率率比较高的问题,提出了一种基于信息反馈的入侵检测方法。首先设计了一个IDS与主机协作检测的模型,然后详细介绍了IDS根据反馈信息利用行为分析技术对未知异常的检测过程。最终实现了高效的入侵检测系统。     

利用关联和风险评估方法减少误报和漏报

高误报和漏报率是入侵检测系统面临的主要问题。提出了一种利用关联和风险评估的方法 ,利用构建的安全关联模型 ,计算出每个安全事件 (如告警事件、系统安全日志记录等 )的实时风险值 ,对风险值较高的事件给出新的警告 ,并摈弃那些风险值较低的事件 ,从而降低漏报和误报率。实验结果表明 ,利用这种方法实现的事件关联系统能够显著降低检测系统的误报和漏报率。     

基于危险理论的入侵检测系统误报率研究

入侵检测系统误报率高是一个普遍存在的问题.本文从概率论的角度出发,通过对入侵检测系统误报产生的原因进行分析,论证基于危险理论的入侵检测系统在保证检测率的同时,有效地降低入侵检测系统的误报率.