基于状态协议分析的网络入侵检测技术

协议分析是网络入侵检测技术中的一种关键技术,但不能解决对于包含在多个数据包中的攻击。针对这一问题,提出了基于状态协议分析的检测技术,构建一个有限自动机(Finite Automaton,简称FA)来约束网络,并用由正则表达式产生的语言来描述一系列的正常的状态转化,充分利用协议的状态信息检测入侵。     

网络存储入侵检测模型研究

存储技术的发展使得存储已经不在是一个本地的行为．这为入侵检测技术提出了新的研究方向。基于存储的入侵检测系统是其他入侵检测系统的有力补充。本文从存储的角度探讨入侵检测系统．提出一个模型．并对检测技术进行了讨论。     

一种基于网络行为的入侵检测方法

目前,入侵检测系统Snort还没有好的方法来检测和分析网络行为。文章通过对网络入侵检测流程的分析,基于网络的入侵攻击行为特征,构建出一种攻击树,按照攻击树的方法对数据流进行行为匹配,检测出入侵攻击行为。实验证明,这一基于网络行为匹配的入侵检测方法,大大提高了Snort的入侵检测能力。     

网络入侵检测系统结构模型的探讨

该文阐述了网络入侵检测系统基本结构,讨论了其现有的缺陷,并提出了一种使用多层控制结构,充分结合了分布式和集中式优点的网络入侵检测系统的结构模型以弥补这些缺陷。     

基于网络行为历史的入侵检测系统

分析了蠕虫的繁殖原理和网络行为特征,在此基础上提出了基于网络行为历史的入侵检测系统,描述了系统采用的算法,讨论了系统的优缺点。     

论有穷状态验证方法的局限性

程序有穷状态验证方法是介于程序验证和程序测试之间的一种方法，一方面它如同程序验证一样可以证明某程序具有某些要求的性质，或找出反例证明该程序不具有所要求的性质。另一方面它又不像程序验证那样复杂，要求验证人员具有较高的形式化推理的专业理论和数学水平。但是，现有的有穷状态验证方法有很大的局限性，它要求所论证的性质是有穷自动机所接受的事件序列的集合，或等价地说该性质能表示成为正则表达式。众所周知，有穷自动机所能接受的语言类，按Chomsky字的集合的分类是很小的类。本文讨论了这种局限性，井尝试突破只能使用有穷自动机的限制，提出了一种新的验证方法——有穷路径验证法。在这种方法中，所论证的性质表示可以推广到使用任何一类自动机。作为代价，描写系统的模型限制是无环的。对于有环的描写系统的模型，本文提出了一种称之为“有穷路径测试”的方法。同一般的程序测试一样，用这种方法通过测试不能正面地验证程序的正确性，可是如果通不过测试，则能帮你发现反例，找出程序的错误。与一般的程序测试不同的是这里的测试是相对于模型的路径，而不执行实际的程序。     

网络入侵检测系统的设计与实现

本文所实现的网络入侵检测系统采用三层分布式体系结构:网络入侵探测器、入侵事件数据库和基于Web的分析控制台,并详细讨论了系统各模块的设计与实现方法,以及涉及到的技术,给出了系统实现图.该系统具有结构完整、简单实用的特点,并在实际模拟环境中给出较好的检测效果.     

基于XML的GIDO描述和入侵检测规则描述

本文在CIDF框架的基础上,针对通用入侵检测规范语言(CISL)描述通用入侵检测对象(GIDO)难以被人们所理解,提出采用具有易于数据描述和理解等优势的XML语言来对GIDO进行描述。同时,针对Snort入侵检测系统在入侵检测规则的描述上过于粗略、不易扩充等不足,利用XML语言易于理解、扩充和完整描述数据等优点,对Snort的入侵检测规则定义进行了修改和完善,并给出了基于XML的入侵检测规则描述。最后列举了一个完整的应用实例。     

基于有限状态机协议分析模型的入侵检测系统

基于状态协议分析的入侵检测方法利用网络协议提供的状态信息,把网络攻击过程转化为协议状态迁移,能有效地检测DOS/DDOS等较难检测的攻击.本文对协议分析入侵检测的方法和算法进行了研究,并通过对网络协议和入侵攻击的深入分析,提出了一个基于有穷状态机的状态协议迁移模型.在给出检测算法的形式化描述的基础上根据Snort规则语法扩展实现实验系统,并测试验证了其有效性.     

检查存储变动的入侵检测技术研究

大部分的入侵行为都会引起被入侵主机的存储变动,因此检查存储变动是一种有效的入侵检测方法。校验和方法与基于存储的入侵检测技术是两种重要的检查存储变动的入侵检测技术。综述和比较了这两种技术。     

基于Bro的网络入侵检测系统设计及实现策略分析

随着网络技术的迅猛发展,网络应用迅速普及开来,网络安全问题也日益突出.为了应对日趋严峻的网络安全现状,在遵循公共入侵检测框架和入侵检测消息交换格式标准的基础上,通过对比不同的网络入侵检测系统基础架构的性能和复杂度,设计了一个基于一种新一代网络入侵检测系统基础架构--Bro的实时高速网络入侵检测系统,详细阐述了系统的设计方案,深入分析了系统各组件的功能,并对具体的实现策略进行了细致的剖析.     

基于信息融合的入侵检测方法

为了更全面地检测到在系统和网络中的入侵行为,本文将信息融合技术用于入侵检测．首先,利用支持向量机进行分类,将基于主机的审计数据和基于网络的流量数据包分别训练,然后利用D—s证据理论按照一定的规则对两个支持向量机的预测结果进行决策层的融合。把基于主机的入侵检测和基于网络的入侵检测结合起来将大大提升入侵检测的性能,降低漏报率,提高准确率。     

基于QPSO训练支持向量机的网络入侵检测

对于大规模入侵检测问题,分解算法是训练支持向量机的主要方法之一.在结构风险最小化的情况下,利用改进后的蚁群算法(QPSO)解决二次规划问题(QP),寻找最优解,并对 ArraySVM 算法进行了改进,同时对KDD入侵检测数据进行了检测.结果表明,算法精确度高于改进前的 ArraySVM 算法,并且减少了支持向量点数量.     

基于时域特征提取的围栏入侵模式分类方法

基于无线传感网的防入侵应用领域中行为分类问题,提出一种基于时域特征提取的电子围栏入侵检测及异常入侵模式识别系统。由于频域处理方法计算量大、复杂度高、传感器采样率高,为减轻系统的传输负担并减少时延,首先对原始信号预处理提取时域特征,然后通过一个三层的BP神经网络对目标事件进行分类,最后对比了多种典型的分类器方法的准确率。仿真结果表明：相比于频域处理方法,该方法复杂度低、易于实现,多种分类器准确率达86%以上,其中BP神经网络测试集的准确率能够达到94%,并且训练集和测试集的准确率偏差较小。     

基于QPSO优化投影寻踪的网络入侵检测方法

为了提高入侵检测系统的检测率,降低误报率,提出应用QPSO搜索投影寻踪最优投影方向的入侵检测算法,并利用投影寻踪和聚类相结合的思想将网络检测数据的多特征属性投影到低维进行聚类识别判定。对训练样本中的数据进行预处理并且归一化,获取最优投影方向,让样本数据投影到低维空间,对检测数据进行聚类判定。实验结果表明,该方法能很有效地提高入侵检测性能。     

基于Adam-BNDNN的网络入侵检测模型

针对传统入侵检测算法检测精度低、误报率高等问题,提出了一种融合批量规范化和深度神经网络的网络入侵检测模型。该模型首先在深度神经网络隐藏层添加批量规范化层,优化隐藏层的输出结果,然后采用Adam自适应梯度下降优化算法对BNDNN参数进行自动优化,提高模型检测能力。并使用NSL-KDD数据集进行仿真实验,结果表明该模型的检测效果优于SNN、KNN、DNN等检测方法;整体检测率可达99.41%,整体误报率为0.59%,证明了模型的可行性。     

Network intrusion detection based on system calls and data mining

Anomaly intrusion detection is currently an active research topic in the field of network security. This paper proposes a novel method for detecting anomalous program behavior, which is applicable to host-based intrusion detection systems monitoring system call activities. The method employs data mining techniques to model the normal behavior of a privileged program, and extracts normal system call sequences according to their supports and confidences in the training data. At the detection stage, a fixed-length sequence pattern matching algorithm is utilized to perform the comparison of the current behavior and historic normal behavior, which is less computationally expensive than the variable-length pattern matching algorithm proposed by Hofmeyr et al. At the detection stage, the temporal correlation of the audit data is taken into account, and two alternative schemes could be used to distinguish between normalities and intrusions. The method gives attention to both computational efficiency and detection accuracy, and is especially suitable for online detection. It has been applied to practical hosted-based intrusion detection systems, and has achieved high detection performance.     

基于深度迁移学习的网络入侵检测

为解决网络入侵检测问题,提高检测准确率和降低误报率,提出一种基于深度迁移学习的网络入侵检测方法,该方法使用非监督学习的深度自编码器来进行迁移学习,实现网络的入侵检测。首先对深度迁移学习问题进行建模,然后对深度模型进行迁移学习。迁移学习框架由嵌入层和标签层实现编/解码,编码和解码权重由源域和目标域共享,用于知识的迁移。嵌入层中,通过最小化域之间的嵌入实例的KL散度来强制源域和目标域数据的分布相似;在标签编码层中,使用softmax回归模型对源域的标签信息进行编码分类。实验结果表明,该方法能够实现网络入侵检测,且性能优于其他入侵检测方法。     

KNN-IPSO选择特征的网络入侵检测

为了提高网络入侵检测的正确率,提出一种基于KNN-IPSO选择特征的网络入侵检测模型（KNN-IPSO）。首先采用K近邻算法消除原始网络数据中的冗余特征,并将其作为粒子群算法的初始解,然后采用粒子群算法找到最优特征子集,并对粒子的惯性权重进行自适应调整和种群进行混沌操作,帮助种群跳出局部最优,最后采用KDD CUP 99数据集对KNN-IPSO的性能进行测试。结果表明,KNN-IPSO消除了冗余特征,降低了分类器的输入维数,有效提高了入侵检测正确率和检测速度。