数据挖掘在入侵检测中的应用

入侵检测是用于检测任何损害或企图损害系统的保密性、完整性或可用性行为的一种网络安全技术。指出当前入侵检测系统存在的问题，并针对现有入侵检测系统漏报、误报率高的问题，提出将数据挖掘技术应用于入侵检测系统。文中论述了常用的数据挖掘算法，提出一个基于数据挖掘技术入侵检测系统模型、描述了模型体系结构及主要功能。实验表明，该模型能提取特征，生成新规则，找到入侵数据，提高入侵检测系统的有效性。     

基于人工免疫的多Agent自适应入侵检测系统

简介了入侵检测系统(IDS)的基本概念，指出了目前的入侵检测系统存在的不足。为了解决传统入侵检测系统中的不足，将人工免疫原理引入入侵检测系统。根据自然免疫系统的特点，提出建立基于人工免疫原理的多Agent网络入侵检测系统，该系统采用了基于多Agent的分布式体系结构，同时应用了阴性选择、克隆选择、基因库进化以及联想记忆等人工免疫原理，使得构造的网络入侵检测系统具有自适应性、分布性、自识别能力和可扩展性的特点。     

入侵检测系统的研究与一个基于LINUX的NIDS的实例

本文介绍了入侵检测系统（IDS）的发展历史、分类以及入侵检测系统的整体架构，并给出了一个基于Linux的网络入侵检测系统的实现，最后分析了入侵检测系统目前面临的主要问题。     

入侵检测技术的研究与进展

入侵检测系统(IDS)作为一门新兴的安全技术，是网络安全系统中的重要组成部分。该文阐述了入侵检测系统的基本原理和功能模块，从数据源、检测方法和检测定时三个方面描述了入侵检测系统的分类，并对目前国内外入侵检测技术的研究现状作了介绍和分析。随着计算机技术和网络技术的高速发展，海量存储和高带宽的传输技术，都使得集中式的入侵检测越来越不能满足系统需求。由此指出，分布式入侵检测(DID)必将逐渐成为入侵检测乃至整个网络安全领域的研究重点，为进行入侵检测技术的研究提供一定的技术和理论依据。     

网络安全防范与入侵检测技术研究

本文介绍了入侵检测系统的体系结构和检测方法，给出了入侵检测系统应具有的功能及分类，分析了现有的入侵检测技术以及多种检测技术在入侵检测系统中的应用。     

浅谈入侵检测系统

主要介绍了入侵检测系统的种类、功能、方法，分析了目前各类入侵检测系统的优缺点和存在的问题，并对入侵检测系统的发展前景做出了展望。     

信息安全设施中入侵检测技术探讨

从入侵检测技术的基本概念出发，着重讨论了入侵检测系统构造所涉及的关键技术，并提出了一个基于数据仓库的入侵检测系统通用模型；总结并评述了具有代表性的基于主机的入侵检测技术、基于网络的入侵检测技术和相关工具；探讨了入侵检测系统构造研究中存在的一些问题及相应的解决方案。     

基于Agent与数据挖掘的分布式入侵检测系统

针对目前计算机入侵检测系统中存在的不足．文中构建了一个基于Agent和数据挖掘技术的分布式入侵检测系统。这个系统引入移动Agent使入侵检测较好地适应了分布式的环境，采用数据挖掘技术使检测系统能够更加快速有效地发现入侵行为，明显地提高了检测系统的实时性。它还把误用检测和异常检测溶为一体，把基于主机和基于网络的入侵检测进行有机结合，具有良好的可扩展性、灵活性、鲁棒性、安全性、实时性、自适应性和检测的准确性。     

高速网络环境下入侵检测技术

当前用于防范黑客攻击的技术，主要有防火墙、网络扫描器、入侵检测系统等工具。所谓入侵检测，就是通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象。进行入侵检测的软件与硬件的组合就是入侵检测系统（Ｉｎｔｒｕｓｉｏｎ Ｄｅｔｅｃｔｉｏｎ Ｓｙｓｔｅｍ，简称ＩＤＳ）。入侵检测系统作为一种主动积极而实时动态的网络安全防范技术，越来越受到人们的关注。根据在网络中所处的位置及检测内容的不同，目前入侵检测系统主要分为两种：一种是基于网络的入侵检测系统，一种是基于主机的入侵检测系统。与基于主机的入侵检测系统相比，基于网络的入侵检测系统具有容易部署、占用资源少、隐蔽性好、检测速度快等优势。本文主要探讨基于网络的入侵检测系统。     

一种基于移动Agent的入侵检测系统

由于基于主机的入侵检测系统的局限性，使得基于移动Agent的入侵检测技术显得日益重要。本文从讨论基于主机的入侵检测系统的局限性出发，分析了入侵检测系统中主机检测器基于移动Agent的技术，提出了一种基于移动Agent的入侵检测系统模型，并对模型进行了详细分析和设计。     

网络入侵检测系统中的特征降维方法

一般来说,入侵检测系统（IDS）识别入侵者时,所使用的相互独立的特征越多,则提供的分类信息也越多,也越有利于提高IDS的正确识别率,但另一方面,IDS是借用一些数学方法来完成的,它要求用于分类的特征越少越好。为了解决这个矛盾,提高IDS的实时性和整体性能,给出了一种特征降维算法,即,通过数学变换,把原来n个特征的信息尽量集中到较少的k（k<n）个新特征中去,然后用这k个新特征识别入侵者。这些较少的新特征作为IDS的输入,可以提高IDS的整体性能。以此为基础建立了一个基于反向传播神经元网络的IDS。实验证明用该方法所建立的IDS效果较好。给出的特征降维算法既可以保留原来n个特征的信息,又能用较少的k个新特征识别入侵者,提高了IDS的总体性能,降低了计算复杂度。     

利用蜜罐提高NIDS的检测性能

目前的入侵检测技术本身存在着缺陷,比如特征检测中规则库不完备,异常检测模型中模型与实际攻击不完全符合等.由这些缺陷而导致的误报和漏报是制约其发展的重要瓶颈.Honeypot/net是一种新的安全技术,通过部署蜜罐收集攻击信息,再把这些信息加以整理传送给IDS,可以弥补入侵检测技术的一些缺点,从而降低IDS的误报率和漏报率.分析了这一设想的可行性,并提出了设计方案.此方案中包括一个Honeynet Software,它联系Honeynet 控制台和NIDS控制台,完成其中提取新模式、传递攻击信息等功能.并利用DARPA(1999)数据集对系统进行了评测,结果表明其在DOS、PROBE、U2R及U2L几个类型攻击方面与其他NIDS相比有着较低的误报率;通过对几个检测实例的分析,说明了这一系统在检测新型攻击、加密后的攻击、DDoS方面比原NIDS有较大的优势.     

面向信息安全专业IDS的教学与实践教学方法探讨

提出了信息安全第二特色专业建设的实施方案,对IDS的教学与实践教学、IDS课程的实训建设进行了探讨,给出了IDS的实践教学流程,阐述了制作IDS＂精品＂课的重要性。     

入侵检测系统研究综述

首先论述了入侵检测系统(IDS)的研究概况,然后使用五种分类标准对入侵检测系统进行了科学分类,它们分别是控制策略、同步技术、信息源、分析方法和响应方式。接着,介绍了入侵检测系统的一些重要工具,并重点研究分析了基于信息源IDS和基于分析方法IDS,最后给出了入侵检测系统研究趋势和展望。     

网络入侵检测系统的最优特征选择方法

用于网络入侵检测系统(IDS)的特征(变量)数量太多或太少都会降低IDS识别入侵者的正确率。为解决这一矛盾,提出一种选择最优特征的方法。计算每个特征或组合成的新特征对IDS的“贡献”值,选择少量“贡献”值较大的特征(最优特征)作为IDS识别入侵者的特征,既减少特征数量又基本保留了原始特征组所提供的信息。实验证明该方法实用且识别入侵者的正确率较高。     

入侵检测系统分析

首先简要介绍了入侵检测系统的概念、功能以及通用模型CIDF,并对现有的入侵检测系统进行了适当分类,然后着重阐述了入侵检测的步骤、入侵检测系统的评价标准和当前存在的主要问题,最后对入侵检测系统的发展趋势作了概括性预测.通过对上述问题的分析与总结,为更好的发展入侵检测系统,提供了明确的理论方向.     

计算机网络入侵检测系统发展趋势

回顾了计算机网络入侵检测系统发展的过程，从入侵检测系统的类型划分这个角度，描述了基于主机和基于网络两种数据源、基于滥用和基于异常两种检测方法，并对各自的优缺点进行了比较。从体系结构、数据源和数据分析技术三个方面对入侵检测系统的当前研究现状进行了详细的论述。最后，对入侵检测系统的未来发展方向进行了讨论。     

基于数据挖掘的入侵检测技术

传统的入侵检测系统在网络上存在自适应差、缺乏扩展性、数据过载等问题,而基于数据挖掘的入侵检测技术通过数据挖掘的方法,自动地从训练数据中提取出入侵检测的知识和模式,很好地解决了传统入侵检测系统中存在的问题.本文提出了一种基于数据挖掘的入侵检测系统模型,分析了几种入侵检测技术的数据挖掘方法.     

面向入侵检测的网络处理器设计

网络速度快速提升、网络协议日新月异、攻击种类层出不穷,传统的基于软件的IDS检测速度已不胜任千兆以上网络。该文引入网络处理器技术,以硬件代替软件实现关键算法,解决了入侵检测中的速度瓶颈问题。设计了一个面向入侵检测的高速网络处理器原型,仿真实验表明其检测速度为原系统的107.36倍。     

A hybrid intrusion detection system design for computer network security

Intrusions detection systems (IDSs) are systems that try to detect attacks as they occur or after the attacks took place. IDSs collect network traffic information from some point on the network or computer system and then use this information to secure the network. Intrusion detection systems can be misuse-detection or anomaly detection based. Misuse-detection based IDSs can only detect known attacks whereas anomaly detection based IDSs can also detect new attacks by using heuristic methods. In this paper we propose a hybrid IDS by combining the two approaches in one system. The hybrid IDS is obtained by combining packet header anomaly detection (PHAD) and network traffic anomaly detection (NETAD) which are anomaly-based IDSs with the misuse-based IDS Snort which is an open-source project.The hybrid IDS obtained is evaluated using the MIT Lincoln Laboratories network traffic data (IDEVAL) as a testbed. Evaluation compares the number of attacks detected by misuse-based IDS on its own, with the hybrid IDS obtained combining anomaly-based and misuse-based IDSs and shows that the hybrid IDS is a more powerful system.