单分类算法中的数据可视化技术

通过对可视化技术的分析,设计了单类分类器的可视化方法,将单分类异常检测算法过程在二维空间表述出来。通过对国际标准数据集进行试验,可视化过程显示了分类算法的核参数对分类面的影响。将单类分类器的可视化方法应用于主机系统调用序列的异常检测中,可以将入侵检测过程呈现给用户,能够有效地发现入侵行为,有助于更好地理解单类分类器在对用户的系统调用执行序列分析的效果。     

基于暗网的可视化的蠕虫早期检测方法

为了对网络蠕虫等网络攻击行为进行早期检测,设计实现了一个基于暗网的可视化的早期检测系统。在某专用网络中的实验结果表明,在专用网络中该系统可以比传统入侵检测系统更早地发现蠕虫,且时间提前量十分可观。     

一种可视化的网络蠕虫早期检测系统

为了对网络蠕虫等网络攻击行为进行早期检测,设计实现了一个基于暗网的可视化的早期检测系统,并采用实际网络实验的方法,在某专用网络中进行实验,结果表明,该系统在专用网络中比传统入侵检测系统更早发现蠕虫,且时间提前量十分可观。     

基于改进机器学习的无人机网络入侵自动感知系统设计

提升无人机网络的安全通信能力,是保证无人机应用的基础,因此,设计基于改进机器学习的无人机网络入侵自动感知系统。系统数据模块通过NetFlow网络流量采集器,采集网络的内部安全流量,管控模块管理并调用这些数据传送至入侵检测模块中,该模块中的入侵感知网关通过部署的时空卷积网络模型,检测无人机网络入侵行为,并完成入侵行为分类,全面感知无人机网络通信状态;感知结果则通过可视化模块进行展示。测试结果显示：该系统能够精准检测网络入侵行为并及时发送入侵预警,网络中主机的内核安全程度均在0.955以上,保证网络的安全通信。     

入侵检测系统报警信息融合模型的设计与实现*

开展入侵检测系统报警信息融合技术的研究,对解决目前入侵检测系统(IDS)存在的误报、漏报、报警信息难管理、报警信息层次低等问题,以及提高网络预警能力等均具有十分重要的意义。首先分析了目前入侵检测系统存在的问题,提出了进行报警信息融合的必要性,最后提出并实现了一个入侵检测系统报警信息融合的可视化模型。     

入侵检测系统在IPv6环境下的研究与实现

设计并实现了同时支持IPv4/IPv6协议的入侵检测系统（IPv6IDS）。重点研究了特征库检测及规则管理、主动阻断、大流量数据包高速捕获、可视化等关键模块,采用Web客户浏览的形式实现前端控制。IPv6IDS软件在百兆流量下入侵漏报率 < 5%,误报率 < 8%。     

基于移动Agent的分布式入侵检测系统设计与实现

针对目前入侵检测系统的不足,提出了一种基于移动Agent的分布式入侵检测系统模型,设计并实现了一个基于该模型的入侵检测系统MABDIDS。系统在设计上采用分层和网络混合的体系结构,有效解决了集中处理数据所带来的网络负载问题;通过在关键节点间建立网状结构,能够较好地解决入侵检测系统存在的单点失效问题。实验结果表明所设计的系统能够对大型分布式网络进行有效的入侵检测。     

数据场聚类在信息安全中的应用研究

当前信息时代的开放性,使信息安全面临着重大威胁,入侵检测系统成为保证网络安全的一种必要手段,而数据挖掘在网络入侵检测领域是一个重要手段,根据数据场的交互式可视化聚类思想,介绍了利用聚类技术进行网络异常检测的方法.     

一种基于入侵场景的可视化呈现系统

针对入侵检测系统警报日志传统的分析方法在处理海量信息时存在认知困难、实时交互性不强等问题,提出了基于入侵场景的可视化呈现系统,完成从警报日志到入侵场景的可视化过程,并利用3D游戏引擎将网络攻击过程在3D场景中展现出来.目标是使网络分析人员能够在更高层次对网络安全状况有深入的认识,以做出相应判断和应对.通过用户评价和性能测试实验证明其具备可用性并具有较强的可视化能力.     

数据挖掘技术在入侵检测系统中的应用

入侵检测系统是近年来出现的网络安全技术。该文首先介绍了入侵检测系统的相关技术和评测指标,然后着重介绍了将数据挖掘技术应用于入侵检测系统,在此基础上设计了一个入侵检测系统结构框图,并提出了一种基于数据挖掘技术的入侵检测系统自适应产生模型,从而说明将数据挖掘技术应用于入侵检测是有效的。     

IDGraphs: intrusion detection and analysis using stream compositing

IDGraphs is an interactive visualization system, supporting intrusion detection over massive network traffic streams. It features a novel time-versus-failed-connections mapping that aids in discovery of attack patterns. The number of failed connections (SYN-SYN/ACK) is a strong indicator of suspicious network flows. IDGraphs offers several flow aggregation methods that help reveal different attack patterns. The system also offers high visual scalability through the use of Histographs. The IDGraphs intrusion detection system detects and analyzes a variety of attacks and anomalies, including port scanning, worm outbreaks, stealthy TCP SYN flooding, and some distributed attacks. In this article, we demonstrate IDGraphs using a single day of NetFlow network traffic traces collected at edge routers at Northwestern University which has several OC-3 links.     

可视化密度场模型及其在入侵检测中的应用

随着Internet的飞速发展，Web应用系统在电子政务与电子商务中得到广泛应用，安全问题随之产生．入侵检测是保障Web应用系统安全的重要手段之一，利用可视化技术辅助安全专家创建轮廓有助于提高正常行为轮廓的准确程度，进而提高入侵检测性能．然而，传统基于散乱点的可视化模型对大样本数据的显示效果较差，在Internet环境中应用受限．本文针对传统模型的缺陷，提出了基于密度场的可视化模型及其相关算法，为安全专家提供更丰富的可视信息，以便安全专家能更准确地创建正常用户行为轮廓．本文还通过实验对两种可视化模型的显示效果进行了对比．     

基于可视化图形特征的入侵检测方法

入侵检测是保障网络安全的重要措施,网络攻击手段的多样性和隐蔽性不断增强导致入侵检测愈加困难,迫切需要研究新的入侵检测方法。结合可视化技术和k近邻分类算法,提出一种基于图形特征的入侵检测方法。采用信息增益方法对原始特征进行排序选择,并进行雷达图可视化表示,提取雷达图的图形特征构成新的数据集并送入k近邻分类器进行训练和测试。通过KDDCUP99数据集仿真实验表明,该方法不仅能直观显示攻击行为,而且获得较好的攻击检测性能,对DOS攻击的检测率可达97.9%,误报率为1.5%。     

Visual discovery in computer network defense.

Computer network defense (CND) requires analysts to detect both known and novel forms of attacks in massive volumes of network data. It's through discovering the unexpected that CND analysts detect new versions of mal ware (such as viruses and Trojan horses) that have passed through their antivirus products, new methods of intrusion that have breached their firewalls and intrusion detection systems (IDSs), and new groups of cyber-criminals pressing the attack. This paper presents visual assistant for information assurance analysis. VIAssist is a visualization framework based on a comprehensive cognitive task analysis of CND analysts, and so fits their work practices and operational environment.     

入侵检测技术研究综述

近年来,入侵检测已成为网络安全领域的热点课题。异常检测和误用检测是入侵检测的主要分析方法,前者包括统计分析、模式预测、神经网络、遗传算法、序列匹配与学习、免疫系统、基于规范、数据挖掘、完整性检查和贝叶斯技术,后者包括专家系统、基于模型、状态转换分析、Petri网络、协议分析和决策树,其它还有报警关联分析、可视化和诱骗等分析技术。入侵检测系统的体系结构分为集中式结构和分布式结构,高性能检测技术、分布式构架、系统评估、标准化和安全技术融合是其今后重要的发展方向。     

网络入侵智能识别技术研究

文章研究了SVM和SOM方法在网络入侵检测中的应用,深入探讨了其中的关键技术问题和解决方法,对于SVM核参数优化方法及SOM可视化技术进行了应用研究,用KDD’99CUP数据集进行了仿真实验,结果表明这两种方法对于网络入侵数据的识别是有效的,并利用两种方法的各自优势构造了一种基于SOM-SVM复合结构的网络入侵智能识别模型。     

网络入侵检测技术综述

随着互联网时代的发展,内部威胁、零日漏洞和DoS攻击等攻击行为日益增加,网络安全变得越来越重要,入侵检测已成为网络攻击检测的一种重要手段。随着机器学习算法的发展,研究人员提出了大量的入侵检测技术。本文对这些研究进行了综述。首先,简要介绍了当前的网络安全形势,并给出了入侵检测技术及系统在各个领域的应用。然后,从数据来源、检测技术和检测性能三个方面对入侵检测相关技术和系统进行已有研究工作的总结与评价,其中,检测技术重点论述了传统机器学习、深度学习、强化学习、可视化分析技术等方法。最后,讨论了当前研究中出现的问题并展望该技术的未来发展方向和前景。本文希望能为该领域的研究人员提供一些有益的思考。     

基于网络的入侵检测系统设计与实现

网络入侵检测系统是一种通过实时监测网络以发现入侵攻击行为的安全技术。随着入侵检测技术的发展进步,目前已经出现了各种各样的网络入侵检测系统。文章在综合分析各种入侵检测技术的基础上,构建了一个基于Snort的网络入侵检测系统,能快速发现入侵行为,实时报警,提高网络防御体系的完整性。该系统采用基于规则的网络信息搜索机制,对数据包进行内容的模式匹配,从中发现入侵和探测行为。