统一入侵检测报警信息格式提案及其实现

为增强IDS之间信息共享和交换的能力,加强IDS之间的交流和协作,给出了统一入侵报警信息格式的详细提案,并提出了用XML Schema对报警信息建模的方案,最后用XML描述语言实现了该提案并通过了XML Schema的有效性验证。所提出的统一入侵检测报警信息格式提案给不同IDS之间和IDS不同组件之间提供了信息共享和信息交换的平台,对于增强IDS之间以及IDS和其他安全设备的协作能力具有十分重要的意义。     

网络入侵检测系统中的特征降维方法

一般来说,入侵检测系统（IDS）识别入侵者时,所使用的相互独立的特征越多,则提供的分类信息也越多,也越有利于提高IDS的正确识别率,但另一方面,IDS是借用一些数学方法来完成的,它要求用于分类的特征越少越好。为了解决这个矛盾,提高IDS的实时性和整体性能,给出了一种特征降维算法,即,通过数学变换,把原来n个特征的信息尽量集中到较少的k（k<n）个新特征中去,然后用这k个新特征识别入侵者。这些较少的新特征作为IDS的输入,可以提高IDS的整体性能。以此为基础建立了一个基于反向传播神经元网络的IDS。实验证明用该方法所建立的IDS效果较好。给出的特征降维算法既可以保留原来n个特征的信息,又能用较少的k个新特征识别入侵者,提高了IDS的总体性能,降低了计算复杂度。     

IPS的8大特点

在保护企业至关重要的服务器不受攻击方面，IT和网络安全经理面临着众多的挑战。缺少专用的安全资源和越来越先进的攻击方式是最令人头疼的两个问题。尽管在过去，入侵检测系统(IDS)是一种受到企业欢迎的解决方案，它还是不足以阻断当今互联网中不断发展的攻击。IDS的一个主要问题是，它不会主动在攻击发生前阻断它们。同时，许多IDS基于签名，所以它们不能检测到新的攻击或老式攻击的变形，它们也不能对加密流量中的攻击进行检测。那么，企业还有什么选择呢？IPS是不是一种更好的选择呢？入侵防护系统(IPS)不仅可进行检测，还能在攻…     

IFS与IDS的设计思路比较

在网络安全的防范体系中,防火墙和IDS是最典型的两个产品,它们使用广范,在黑客入侵防范方面起到了显著的作用.但是,随着黑客技术水平的提高,防火墙和IDS的缺陷与不足也逐渐表现出来,黑客可以利用防火墙的漏洞或其他方法来绕过防火墙,还可以通过变形攻击来躲避IDS检测、用巧妙的方法来避免攻击通路被IDS阻断.     

基于生物免疫学的多代理IDS模型设计

在IDS中,一个Agent可以在一个主机上完成一项专门的安全监视功能。由于Agent是独立运行的实体,因此可以在不改变其他部件且不需要重新启动IDS时加入、删除和重新配置。也可以用一组Agent来分别完成简单的功能,彼此交换信息以得出更复杂的结果。因此,可以使用Agent技术构造分布式IDS。     

入侵检测系统分类法技术研究

首先阐述了IDS的发展历史，接着从IDS分类法的发展对现有的IDS分类法进行了介绍，回顾常见的IDS分类，并对IBM提出的IDS分类法进行了介绍和简要分析。最后通过分析现状对IDS的发展趋势进行了探讨。     

走协同之路--IDS发展方向探讨

一、IDS何去何从 直到今天，还不时有人用Gartner公司副总裁Richard Stiennon发布的那篇研究报告《入侵检测寿终正寝，入侵防御万古长青》(《Intnlsion Detection Is Dead—Long Live Intrusion Prevention》)来批驳入侵检测系统(IDS)。Gartner之所以宣布IDS走向死亡，其两大理由就是IDS误报和漏报问题。为了解决这两个问题，不知有多少研究人员废寝忘食，投入了大量的资源和时间，不遗余力地探索和尝试着一个又一个新的方法和技术，尽管如此，但收效甚微。不然也不会时隔近三年，让IDS用户抱怨最多的竟然还是这两个令人头痛的问题。     

IDS在网络安全应用中的几点体会

介绍IDS在实际应用中的几点体会,包括IDS在网络中应放置的位置、基于主机的IDS的优缺点和基于网络的IDS的限制和对策等,着重分析讨论了网络IDS在应用中遇到的在关问题以及相应的解决办法。     

宽带网下入侵检测系统的研究与探讨

文章首先介绍入侵检测系统(IDS)的基本原理,接着讨论现有IDS的局限性,并提出宽带IDS研究的重要性,最后就宽带网下IDS研究的具体技术进行探讨。     

入侵检测系统测试研究

IDS提出至今已有二十多年,目前世界各国纷纷将IDS作为主动防御技术的核心而重点研究,相应地出现了很多IDS产品.然而,这些产品的表现如何、性能怎样,我们却缺乏有效的评价指标和手段.针对目前国内外对IDS测评研究的不足,本文讨论了IDS的测试过程标准化,为IDS测试提供了参考,具有重要的实践意义.     

现代入侵检测技术

本文分析了当前入侵检测技术(IDS)的发展方向,介绍了两种主要的IDS技术基于网络的IDS和基于主机的IDS.受IPSec和虚拟专网(VPN)技术发展的影响,传统的基于网络的IDS将不能很好地工作,此时将两种技术融合在一起的下一代IDS技术将发挥作用.     

基于信息融合的入侵检测模型与方法

研究了入侵检测系统(IDS)研究现状，针对当前IDS系统误报率高和对时间及空间上分散的协同攻击无法有效检测的缺陷，引入信息融合和多传感器集成的观点，提出了一个多层次的IDS推理框架和原型系统．该原型系统采用贝叶斯网络作为多传感器融合的工具，用目标树的方法来分析协同攻击的攻击企图，并最终量化系统的受威胁程度．相比现有的IDS，该原型的结构更加完整，能够更容易发现协同攻击并有效的降低误报．     

对IDS审计数据的关联分析

讨论了用数据挖掘中的关联规则对IDS审计数据进行分析，给出了一种改进的OPUS算法，并对实验结果进行分析。利用挖掘出来的规则调整IDS的检测方法，或设置其他的安全措施，从而提高网络预警能力。     

用好入侵检测系统

2003年中国的IDS市场应该可以说是个飞跃．出现了数起超大规模的IDS采购评测．并随之出现单笔采购上百台IDS产品的大单。这些采购充分体现出IDS对网络安全防护至关重要的作用。随着IDS相关技术突飞猛进的发展．产品逐步得到用户的认可。     

适用于IDS中数据分类的数值归约算法*

以提高IDS中数据分类效率为目标,分析了IDS中被检测数据的特点,设计了一种适用于IDS中数据分类的数值归约算法（NRAADCI）。该算法一方面用值域来减少特征值数目,另一方面将孤立的点放大为一个区域以预测类似行为。最后以决策树分类算法为例,通过实验验证了该数值归约算法的有效性。实验结果表明,该算法在降低已有分类算法的时间复杂度的同时使分类准确率有所提升。     

网络入侵检测系统中互相独立特征的求取方法

为了提高网络入侵检测系统（IDS）的实时性、可用性以及整体性能,提出了一种自动识别特征相关性的方法（特征分类法）。用该方法提取出的互相独立（或相关性很小）的特征作为反向传播神经元网络的输入,以此为基础建立了一个IDS。实验证明该方法以及所建立的IDS效果较好。结论表明通过分类可以求得一组特征互相之间的相关程度,进一步可求得互相独立（或相关性很小）的特征。     

IDS的自防护体系

自身安全是网络安全系统的一个重要特性,如果没有完善的自身防护体系作为保障,即使拥有再强大的功能也无法实现。如同其他信息安全产品一样,IDS自防护问题一直都是IDS研发与实际应用的一个热点问题。 目前IDS自防护体系的建立仅仅把IDS作为一般的信息系统考虑,而在实际的网络安全防御系统中,IDS是一类工作在敌对网络环境下具有指挥控制特点的防御系统。IDS自防护除了考虑作为一般信息防御系统的自防护外,还必须考虑在攻防对抗环境下的IDS     

入侵检测系统规则分析及其创建研究

文章通过实例分析IDS规则提出应该如何完善规则以便降低IDS误报率的方法,最后阐述IDS规则的创建方法.     

一种面向检测的攻击分类方法及在IDS中的应用

对攻击进行分类，可以使攻击检测系统化，有助于构造高效的检测方法，从而改善IDS的性能。该文提出一种以IDS可直接收集的数据为基础、面向检测的攻击分类方法。进而将该方法应用于所有可在IDS网络数据源中检测出的攻击，提出DetectClass分类方法，用Z语言描述并证明其正确性；接着据此构造相应的检测方法。基于DetectClass攻击分类方法，设计开发原型系统DC-NIDS。     

面向信息安全专业IDS的教学与实践教学方法探讨

提出了信息安全第二特色专业建设的实施方案,对IDS的教学与实践教学、IDS课程的实训建设进行了探讨,给出了IDS的实践教学流程,阐述了制作IDS＂精品＂课的重要性。