基于异常与误用的入侵检测系统

入侵检测系统近年来得到长足的发展,但功能都不够完善.为此将基于误用的入侵检测与基于异常的检测结合为一体.在误用检测上,将检测规则进行分类排序,从而极大地提高了检测效率.异常检测则采用人工免疫技术,使系统对已知的攻击和新型攻击均有较强检测能力.     

基于snort与免疫原理混合入侵检测系统模型设计

该文对snort入侵检测系统及基于免疫原理的入侵检测技术进行了探讨和研究,利用snort系统作为误用检测系统,把人工免疫的算法应用到异常检测,用于检测未知攻击。在此基础上设计了混合模式入侵检测系统。     

基于snort与免疫原理混合入侵检测系统模型设计

该文对snort入侵检测系统及基于免疫原理的入侵检测技术进行了探讨和研究,利用snort系统作为误用检测系统,把人工免疫的算法应用到异常检测,用于检测未知攻击。在此基础上设计了混合模式入侵检测系统。     

基于分布式数据安全入侵检测系统中误用检测算法研究

现在面对分布式数据传输的网络环境下,需要分布式数据安全的体系结构入侵检测系统来应对,这样才能一方面检测出分布式网络环境下的入侵行为,同时更容易检测出分布式攻击。由于协议分析技术通过对比网络信息与协议的差异性来检测入侵行为,它有着比模式匹配技术更好的性能。误用检测算法是分布式入侵检测系统中非常重要的检测算法之一。因此本文讨论了基于分布式数据安全误用检测技术入侵检测系模型和协议分析技术,并设计了误用检测算法以及对实行误用检测算法做了形式化语言的描述,用这一技术来确保数据的安全。     

基于异质信息的入侵检测警报过滤机制

通常误用检测所定义的攻击特征仅限于单一信息,如网络信息或主机信息,而由单一信息所产生的警报,由于针对某些攻击无法精确做出判断,所以误报比例相对较高。针对基于误用检测的网络入侵检测系统,建立了一个警报过滤机制。经过分析,可以找出攻击成功时所需具备的环境条件以及所会呈现的各种不同来源性质的攻击特征,入侵检测系统可据此在发现可疑入侵时,加以及时确认核查。通过运用这些异质信息,可明显减少误报的发生,提高了入侵检测报警的正确率。     

入侵检测系统攻击特征库的设计与实现

攻击特征库是基于误用的入侵检测系统的重要组成部分.本文主要介绍了入侵检测系统攻击特征库的设计思想和实现过程,运用Snort规则语言描述了规则库设计,规划了规则库的结构,并对规则解析进行了阐述.     

基于数据挖掘的分布式入侵检测系统

构建了一个基于数据挖掘的分布式入侵检测系统模型。采用误用检测技术与异常检测技术相结合的方法,利用数据挖掘技术如关联分析、序列分析、分类分析、聚类分析等对安全审计数据进行智能检测,分析来自网络的入侵攻击或未授权的行为,提供实时报警和自动响应,实现一个自适应、可扩展的分布式入侵检测系统。实验表明,该模型对已知的攻击模式具有很高的检测率,对未知攻击模式也具有一定的检测能力。     

基于HMM的网络入侵检测研究

入侵检测系统是保护网络安全的重要手段,是一种基于入侵行为发现的主动保护、免受攻击的网络安全技术。而防火墙等传统的入侵检测系统在有效性、适应性和可扩展性方面都存在不足,尤其是在遇到新的入侵类型时变得无能为力。文章在对入侵检测基本知识等进行介绍的基础上,依据在网络数据包中发现的频繁情节,设计了基于HMM的误用检测模型,实现了在没有任何手工规则的前提下,仅根据网络数据包的特征,就能较为准确地检测出已知的和未知的攻击。通过实验表明,该文提出的方案能较好地检测复杂网络的攻击。     

轻量级无线网络入侵检测系统

针对当前流行的无线拒绝服务DoS、伪装STA、伪装AP、WarDriving、暴力破解等无线网络攻击,采用误用检测和异常检测结合的方式,设计并实现了一个针对无线局域网的轻量级无线网络入侵检测系统。系统采用用户自定义攻击规则库、自定义授权AP/STA名单、自定义非法AP/STA名单等方式,能针对无线网络具体环境和用户的不同需要,合理调整入侵检测灵敏度和攻击检测阈值。仿真试验表明,与市场上同类系统相比较,本系统能有效提高无线网络入侵检测效率,大大降低误报率和漏报率。     

基于人工免疫系统框架的SNMP入侵检测

该文在分析了现有入侵检测方法的基础上,提出了一种基于人工免疫系统的SNMP入侵检测框架。该防火墙框架能够检测各种系统误用和已知、未知的病毒攻击,并具有记忆、自学习和自适应的能力。     

基于环境信息改进入侵警报正确率

通常误用检测所定义之攻击特征仅限于单一信息,而经由单一信息所产生的警报,由于针对某些攻击无法精确做出判断,所以误报比例相对较高。在文中,针对误用网络型入侵检测系统建立一个警报过滤机制,该机制找出攻击成功时所需具备的环境务件。当入侵检测系统发现可疑入侵时,依据环境务件加以实时确认查核。根据这些环境异质信息,可明显减少误报的发生,并且不至于将重要的警报给删除。实验结果证明,所提出之过滤机制可以有效地减少误报,同时不影响检测率。     

基于数据挖掘的入侵检测

针对现有入侵检测方法的缺陷，结合异常检测和误用检测，提出了一种用数据挖掘技术构造入侵检测系统的方法，使用该方法构造了一个基于数据挖掘的入侵检测原型系统。实验表明，该系统对已知攻击模式具有很高的检测率，对未知攻击模式也具有一定的检测能力。同时，该系统也具有一定的智能性和自适应性。     

一种基于协议分析的入侵检测模型的设计

本文在对TCP/IP协议以及各种网络入侵攻击进行深入分析研究的基础上,设计了一种基于协议分析的同时使用异常检测和误用检测技术的网络入侵检测模型,并给出了实现思想,其中重点介绍了利用协议分析思想对TCP数据包进行入侵检测的具体算法思想和数据结构。基于协议分析将异常检测和误用检测方法有效结合不仅可以检测到大多数已知的攻击类型,而且可以发现大量未知的攻击类型,提高检测的准确性和效率。     

基于数据挖掘的网络入侵检测模型

入侵检测技术已经成为网络安全的新兴领域。该文针对入侵检测系统的特点与不足,提出了一种基于数据挖掘算法的网络入侵检测系统模型,能高效地进行误用检测与异常检测,可降低漏报率和误报率,同时应用聚类算法对边界区进行分析,可发现未知攻击,具有很好的实用性。     

基于环境信息降低入侵检测误报率

采用单包分析技术的网络入侵检测系统常具有较高的误报率,影响其实用性。本文针对误用网络型入侵检测系统建立一个警报过滤机制,该机制找出攻击成功时所需具备的环境条件。当入侵检测系统发现可疑入侵时,依据环境条件加以实时确认查核,从而减少误报。     

一种基于投影时序逻辑模型检测的入侵检测方法

基于时序逻辑模型检测的入侵检测技术降低了误用检测的漏报率,然而却几乎不能描述并发攻击和分段攻击,因而对这些复杂的攻击模式漏报率仍很高。本文针对该问题,提出了一种基于投影时序逻辑模型检测的入侵检测方法。对若干复杂攻击实例的检测表明,新方法可有效降低对并发攻击和分段攻击的漏报率。     

一种改进的基于Agent的分布式入侵检测系统

提出一种改进的基于A gent的分布式入侵检测系统AD IDS,它将基于异常和误用的入侵检测系统有机地结合在一起。在分析A gent的实现上,使用了模式匹配、统计分析、完整性分析相结合的方法。实验证明能够发现一些未知攻击,提高了检测速率。     

基于改进Apriori算法的入侵检测数据挖掘模型研究

将数据挖掘技术应用到入侵检测系统中,成为入侵检测研究的重要方向。本文对Apriori算法进行改进,以此构建入侵检测数据挖掘模型,运用该模型作入侵检测。实验表明,对以知攻击,采用误用检测和异常检测混合策略,其平均检测准确率达到80%以上,不失为一种效果良好的的入侵检测技术。     

自适应监督和聚类混合的WSN入侵检测系统设计

无线传感器网络的关键性基础设施监测系统中,为了检测传感器数据聚合阶段受到的已知的和未知的入侵行为,提出一种自适应监督和聚类混合的入侵检测系统(Adaptively Supervised and Clustered Hybrid Intrusion Detection System, AC-IDS)。系统建立在混合IDS框架的基础上,将传感器聚合数据分类后导入到基于机器学习的误用检测子系统和异常检测子系统,两个子系统分别用来检测已知攻击和未知攻击。实验结果表明,该系统的入侵检出率高达98.9%,检测传感器网络中已知和未知的恶意行为的总准确率约为99.80%。     

模糊神经网络在入侵检测中的应用

目前绝大多数误用检测系统均不能检测已知攻击的变种 ,对未知攻击的检测也十分有限 ,而基于用户行为的异常检测系统对攻击检测的误报率太高 ,且不能发现攻击者通过慢慢改变其行为躲过检测的欺骗行为 .将模糊神经网络应用于入侵检测领域 ,并采用基于进程行为的检测方法 ,能有效的解决上述问题 ,较好地改进入侵检测系统的性能 ,降低漏报误报率 .