基于数据挖掘的入侵检测技术

入侵检测技术是一种主动保护网络免受黑客攻击的安全技术，他是继防火墙、数据加密等传统安全保护措施后的新一代的网络安全保障技术。当前的入侵检测系统在网络的变化或升级上缺乏扩展性，对新的攻击模式缺乏自适应性。基于数据挖掘的入侵检测系统具有一定的自学习性和自完善性，可以检测已知或未知的入侵行为。本文分析了将数据挖掘技术运用到入侵检测系统的研究方法、体系结构及存在的问题。     

高速环境下入侵检测系统设计

高速网络的出现对网络入侵检测系统的处理能力带来了挑战。在分析了影响入侵检测系统性能因素的基础上。文章提出了高速环境下入侵检测系统的设计和应用架构。采用了中央控制下的并行和分布式共存的负载均衡设计、数据存储和分析系统独立运行、多层次阻断手段结合的技术来提升入侵检测系统性能。实现了原型系统，并且对原型系统的部分指标进行了测试，验证了本文提出的入侵检测系统设计架构的有效性。     

网络处理器在并行入侵检测系统中的应用研究

高速网络下实时、高效检测入侵行为是目前网络安全领域研究的热点和难点之一.文中利用网络处理器进行快速流量采集、无payload数据的预过滤和面向会话的动态负反馈负载均衡算法的分流转发,采用主机阵列分别进行带payload的数据包内容检测,研究并实现了一种基于网络处理器的并行入侵检测系统.实验测试验证了系统的有效性和可行性.     

基于模糊关联规则挖掘的网络入侵检测算法

为了有效解决当前网络入侵检测算法存在的缺陷,提高网络的安全性,提出基于模糊关联规则挖掘的网络入侵检测算法。首先收集网络数据,提取网络入侵行为的特征;然后采用模糊关联规则算法对入侵行为特征进行挖掘,选择入侵行为最有效的特征,减少特征之间的关联度;最后支持向量机根据"一对多"的思想建立网络入侵检测的分类器,以KDD CUP数据为例对网络入侵检测性能进行分析。结果表明,该算法的网络入侵检测正确率超过了95%,检测结果要明显好于其他检测算法,易实现,可以用于大规模网络的在线入侵检测分析。     

基于网络的入侵检测技术应用研究

随着近几年网络攻击的事故频频出现,其影响范围越来越广泛,入侵检测作为一种主动的安全防御手段,通过对网络上的数据流进行实时分析,发现潜在的入侵威胁,最大限度地提高网络的安全保障能力。文章在分析入侵检测系统概念的基础上,设计并分析了基于网络的入侵检测系统的主要模块,并指出了入侵检测系统的不足与发展趋势。     

基于网络入侵检测的分析与研究

首先从网络入侵检测的概念、方法和入侵检测系统的分类入手,分析与总结了目前入侵检测系统和相关技术,指出现在的入侵检测系统存在的缺点-误报和漏报的矛盾、海量信息与分析代价的矛盾等。最后探讨了入侵检测技术的发展方向。     

基于网络入侵检测的分析与研究

首先从网络入侵检测的概念、方法和入侵检测系统的分类入手,分析与总结了目前入侵检测系统和相关技术,指出现在的入侵检测系统存在的缺点一误报和漏报的矛盾、海量信息与分析代价的矛盾等.最后探讨了入侵检测技术的发展方向.     

多线程实现网络入侵检测的负载均衡

在分析现有基于网络的入侵检测系统负载均衡技术优缺点的基础上．提出并实现了一种基于多线程的负载均衡技术。该技术打破传统检测模式，基于应用类型分割网络流量、采用多线程流水线并发处理方式．大大提高了系统处理能力，通过对采用了该技术的实际系统部分处理能力指标的测试．验证了本文提出的多线程负载均衡技术的有效性。     

基于应用的高速网络入侵检测系统研究

传统的网络入侵检测方法基于传输层以下的数据包特性来检测入侵，因此存在一些难以克服的缺点，如易受欺骗（evasion)、误报警（false positive)多、检测效率低等，难以适应高速的网络环境。为了解决这些问题，本文提出将应用协议分析方法应用到网络入侵检测中，实现基于应用的检测，并提出了一个改进的多模式匹配算法，进一步提高检测的效率；同时针对高速网络环境，利用基于数据过滤的压缩技术与负载均衡技术提出了一个新的网络入侵检测系统结构模型，给出了系统的设计与实现方法。实验测试表明系统能够对吉比特以太网进行有效的实时检测。     

基于数据挖掘的分布式入侵检测系统

简单介绍传统入侵检测系统,进而提出基于数据挖掘的分布式入侵检测系统模型,讨论了为了实现该模型所需要的数据挖掘技术.这些技术的应用,可以有效检测大规模协同攻击,提高分布式入侵检测系统的自适应性和可扩展性.     

基于聚类学习算法的网络入侵检测研究

目前的入侵检测系统存在着在先验知识较少的情况下推广能力差的问题。在入侵检测系统中应用聚类算法,使得入侵检测系统在先验知识少的条件下仍具有良好的推广能力。首先介绍入侵检测研究的发展概况和聚类算法;接着提出了基于聚类算法的入侵检测方法;然后以KDD99这类常用的入侵检测数据为例,讨论了该方法的工作过程;最后将计算机仿真结果进行了分析。通过实验和比较发现,基于聚类学习算法的入侵检测系统能够比较有效地检测真实网络数据中的未知入侵行为。     

基于网管系统的分布式入侵检测模型研究

随着基于网络的服务的迅速增长,入侵检测系统的检测性能已变的越来越重要。为了提高入侵检测系统的检测率和降低其误报率,本文通过将网管系统和入侵检测系统相结合,提出了一种用于分布式入侵检测系统的层次化协作模型,提供集成化的检测、报告和响应功能。在检测引擎的实现上,使用了信息管理库(MIB)作为数据源,可有效检测流量为基础的攻击模式。应用结果表明,该模型可有效增强网络管理的安全性能,提高入侵检测系统的效率。     

一种分布式网络入侵检测系统

在分析了传统入侵检测技术后,提出了一种基于CORBA的分布式的网络入侵检测系统结构。该结构不仅能够避免分布式系统中存在的单点失效问题,还可以平衡计算并提高系统整体的效率,使入侵检测系统能够适应计算机及互联网络的迅速发展。     

基于移动代理的入侵检测系统模型的研究

阐述了基于移动代理的入侵检测系统的优势,提出了一个使用移动代理技术的入侵检测系统MAAFID。首先由数据收集代理(DCA)在网络中随机移动并收集信息,然后将收集到的信息传递给数据分析代理(DAA)来评估入侵发生的可能性。本文重点讨论了系统中数据收集代理的数目与检测出入侵发生的可能性二者之间的定量关系,最后还给出了一个仿真结果。     

An intrusion detection system based on combining probability predictions of a tree of classifiers

Intrusion detection system (IDS) represents an unavoidable tool to secure our network. It is considered as a second defense line against the different form of attacks. The principal limits of the current IDSs are their inability to combine the detection of the new form of attacks with high detection rate and low false alarm rate. In this paper, we propose an intrusion detection system based on the combination of the probability predictions of a tree of classifiers. Specifically, our model is composed of 2 layers. The first one is a tree of classifiers. The second layer is a classifier that combines the probability predictions of the tree. The built tree contains 4 levels where each node of this tree represents a classifier. The first node classifies the connections in 2 clusters: Denial of Service attacks and Cluster 2. Then, the second node classifies the connections of the Cluster 2 in Probing attacks and Cluster 3. The third node classifies the connections of the Cluster 3 in Remote‐to‐Local attacks and Cluster 4. Finally, the last node classifies the connections of the Cluster 4 in User‐to‐Root attacks and Normal connections. The second layer contains the last classifier that combines the probability predictions of the first layer and take the final decision. The experiments on KDD'99 and NSL‐KDD show that our model gives a low false alarm rate and the highest detection rate. Furthermore, our model is more precise than the recent intrusion detection system models with accuracy equal to 96.27% for KDD'99 and 89.75% for NSL‐KDD.     

基于系统调用的入侵检测传感器研究与实现

Linux操作系统调用信息对于描述主机系统的安全状态有重要的作用，分析了Linux操作系统调用信息在入侵检测中的应用；阐述了入侵检测系统Host Keeper中系统调用传感器的原形框架、软件设计和实现方法；并给出了利用Linux操作系统调用信息进行入侵检测的研究。     

基于两水平算法的入侵检测系统的研究

针对现有入侵检测系统的检测时间范围具有一定局限性的缺陷,提出了一种基于两水平算法的入侵检测系统模型(TAIDS)。该模型利用两水平算法结合GMDH多层迭代的求解方法,按照不同时间范围的数据同时建模,可扩大系统检测入侵行为的时间范围。通过目标系统分析,寻求入侵影响因素之间的关系,建立最优模型, 有效地降低了漏检率和误检率。给出了系统框架和建模算法具体步骤,通过与Snort和NIDES入侵检测系统的仿真实验比较,证明该系统模型的有效性。     

基于数据挖掘技术的入侵检测系统

设计一个基于教据挖掘技术的入侵检测系统模型.该模型针对现有入侵检测系统在处理大量数据时,挖掘速度慢.自适应能力差的缺点.引入数据挖掘技术使其能从大量数据中发现入侵特征和模式.介绍其核心模块工作流程.实验结果表明该模型不仅能有效提高系统的检测速度,降低误报率,同时还能有效检测新的入侵行为.