基于聚类的入侵检测研究综述

入侵检测通过收集各种网络数据,从中分析和发现可能的入侵攻击行为。为了增强入侵检测从海量数据中发现攻击行为的能力和提高入侵检测的智能性,数据挖掘被引入到入侵检测领域,以实现智能化的知识发现和入侵检测模型的建立。聚类分析是数据挖掘中的一种重要的技术,能够通过无监督的学习过程发现隐藏的模式,具有独立地发现知识的能力。现有大量关于其在入侵检测领域的应用研究,各种聚类分析方法及改进措施被用于从不同的训练数据集建立入侵检测模型,成为对整个检测系统的一个有力补充。对现有文献中典型的基于聚类的入侵检测模型作了全面的介绍和适当的比较分析,提出了进一步的研究建议。     

基于数据挖掘的入侵检测系统设计

现有的入侵检测系统大多都是采用手工编码构造的,检测模型的构造过程很大程度上依赖于系统构造者的知识和经验,这样构造出的模型往往存在很大的缺陷。针对传统入侵检测系统构造过程中存在的种种问题,将数据挖掘技术引入入侵检测系统,实现检测模型构造的自动化。介绍了一个运用数据挖掘技术构造入侵检测系统的框架,并考虑到实时检测过程中对检测模型效率的要求,提出了一个提高检测模型检测效率的层叠检测模块方法。应用数据挖掘算法得出的检测模型在检测效率、准确性、可扩展性和自适应性等方面都得到了很大的改进。     

基于数据挖掘的入侵检测系统设计

现有的入侵检测系统大多都是采用手工编码构造的，检测模型的构造过程很大程度上依赖于系统构造者的知识和经验，这样构造出的模型往往存在很大的缺陷。针对传统入侵检测系统构造过程中存在的种种问题，将数据挖掘技术引人入侵检测系统，实现检测模型构造的自动化。介绍了一个运用数据挖掘技术构造人侵检测系统的框架，并考虑到实时检测过程中对检测模型效率的要求，提出了一个提高检测模型检测效率的层叠检测模块方法。应用数据挖掘算法得出的检测模型在检测效率、准确性、可扩展性和自适应性等方面都得到了很大的改进。     

一种基于双库协同机制的入侵检测系统

基于数据挖掘的入侵检测是当前入侵检测技术的重要研究方向,但大多数基于数据挖掘的入侵检测系统都采用传统的数据挖掘算法,性能不够令人满意。论文结合知识发现的双库协同机制,对该机制在入侵检测系统中的应用作了深入的探讨,提出了一种高效的入侵检测系统的模型。     

基于数据挖掘的入侵检测系统研究

文章将数据挖掘引入入侵检测系统,介绍了应用几种数据挖掘方法进行入侵检测的过程,其基本思想是运用数据挖掘的方法发现用户行为轮廓,检测新的入侵方式。并在此基础上提出了一种基于Agent的入侵检测系统模型,这种模型中数据挖掘Agent持续地进行挖掘分析并为检测Agent提供最新的检测规则。最后对该IDS中相关的问题进行了分析。     

基于数据挖掘的入侵检测系统模型

论述了入侵检测系统和数据挖掘的基本概念。针对现有入侵检测系统对新的攻击缺乏自适应性这一缺陷,提出了一个基于数据挖掘的入侵检测系统模型,该模型具有一定的自主学习和自完善功能,可以检测已知或未知的入侵行为。介绍了该模型的结构及主要功能,着重分析了该模型的数据挖掘过程。     

基于数据挖掘技术的智能入侵检测模型

数据挖掘能从大量的、有噪声的、随机的数据中提取隐含在其中有用的信息和知识,而Agent代理技术具有功能的连续性、自主性、适应性,能够连续不断地感知外界及自身状态的变化。针对现有入侵检测系统的不足,对数据挖掘技术和智能检测代理应用于入侵检测系统进行了研究,提出一个基于数据挖掘技术的智能入侵检测系统模型,探讨了模型体系结构及主要功能。实验表明,该模型能生成新规则,找到入侵数据,降低入侵检测系统的误警率。     

基于数据挖掘的网络入侵检测技术研究

介绍了传统入侵检测的类型和局限性,指出利用数据挖掘技术可以克服这些局限性。给出了数据挖掘技术的定义、入侵检测模型数据挖掘过程。基于数据挖掘的网络入侵检测技术既能实现异常检测,又能实现误用检测,二者相互弥补,共同完成入侵检测。     

基于数据挖掘的多Agent智能 入侵检测系统研究

本文在传统IDS的基础上,充分利用了数据挖掘技术中的知识发现、模型生成和Agent技术的智能性、主动性、移动性,提出了基于数据挖掘的多Agent智能入侵检测系统DAIIDS。     

基于数据挖掘的入侵检测技术

传统的入侵检测系统在网络上存在自适应差、缺乏扩展性、数据过载等问题,而基于数据挖掘的入侵检测技术通过数据挖掘的方法,自动地从训练数据中提取出入侵检测的知识和模式,很好地解决了传统入侵检测系统中存在的问题.本文提出了一种基于数据挖掘的入侵检测系统模型,分析了几种入侵检测技术的数据挖掘方法.     

粗糙集和决策树方法在IDS中的应用研究

入侵检测系统（IDS）是数据挖掘的一个热门应用领域。为了解决当前建立的入侵检测系统缺少有效性的问题，文中首先介绍入侵检测系统产生的背景和入侵检测系统的特点，分析决策树归纳学习的过程，从数据挖掘的角度，首先使用粗糙集进行属性约简，运用决策树学习方法对入侵检测数据进行归纳学习。从结果看出粗糙集和决策树学习方法在建立入侵检测系统上的有效性和实用性。     

Measuring IDS-estimated attack impacts for rational incident response: A decision theoretic approach

Intrusion detection system (IDS) plays a vital role in defending our cyberspace against attacks. Either misuse-based IDS or anomaly-based IDS, or their combinations, however, can only partially reflect the true system state due to excessive false alerts, low detection rate, and inaccurate incident diagnosis. An automated response component built upon IDS therefore must consider the stale and imperfect picture inferred from them and takes action accordingly.This article presents an approach for measuring attack impact with the evidence of IDS alerts, with the objective to suggest rational response by cost-benefit analysis. More specifically, based on a very realistic assumption that a system evolves as a Markov decision process conditioned upon the current system state, imperfect observation, and action, we use partially observable Markov decision process to model the efficacy of IDS as providing a probabilistic assessment of the state of system assets, and to maximize a reward signal (defined as a function of both cost and benefit) by taking appropriate actions in response to the estimated system states in terms of desirable security properties. The ultimate goal is to move the system to more secure states with respect to pre-specified security metrics, and assist system administrators to identify the best tradeoff between the cost and benefit of security policies. We finally use a benchmark data set to practically illustrate the application of our methodology and conduct a proof-of-concept validation on its feasibility and efficiency.     

基于数据挖掘和协议分析的可扩充IDS架构

由于TCP/IP协议的开放性,目前的网络极易受到攻击。文中详细介绍了入侵检测系统的主要思想和技术分类,通过比较不同类型入侵检测系统的优缺点,分析了应用于入侵监测系统的数据挖掘和协议分析技术,并在此基础上提出了一种新的基于安全管理的混合式可扩充入侵检测架构。该构架分层、简单、灵活,具有良好的扩充性。理论分析表明,该架构不仅能提高入侵检测的准确率,而且能提升系统效率,有很好的应用前景。     

高速网络环境下的网络入侵检测系统的研究

高速网络环境下的入侵检测是一个新的研究方向。基于负载均衡技术和协议分析技术,提出了一个能够应用在高速环境下的网络入侵检测系统。负载均衡技术把在前端捕获的高速数据流进行分化,以利于后端处理;协议分析技术利用网络协议的层次性和相关协议的知识快速地判断攻击特征是否存在。基于代理的分布式体系结构,增强了系统的可扩展性,提高了系统的检测效率。     

一种新的蜜网模型——BRHNS

在引入领域（Realm）概念的基础上,提出了一种新的蜜网模型——BRHNS（Based Realm Honeynets）。BRHNS模型利用Realm之间的协作性．提高了蜜网的工作效率,其中的入侵行为分析模块,用无监督聚类的方法对未知攻击的数据进行分类预处理．为以后提取入侵规则并将新的入侵规则添加到IDS规则库中打下了基础,进而提高了IDS的检测效率,降低了蜜网的工作量。通过交叉验证的方法进行实验,发现用无监督聚类算法能够很好地对攻击数据进行分类。     

不确定性数据挖掘在IDS中的应用

简要介绍了入侵检测系统,研究了IDS中入侵检测模型和不确定性数据挖掘方法及过程,对不确定性数据挖掘算法进行了分析评价,并使用KDD CUP 1999数据集在Matlab中进行了实证分析处理及测试。     

MADIDS：一种基于移动代理的新型分布式入侵检测系统

When traditional Intrusion Detection System(IDS)is used to detect and analyze the great flow data transfer in high-speed network,it usually causes the computation bottleneck.This paper presents a new Mobile Agent Distributed IDS(MADIDS) system based on the mobile agents.This system is specifically designed to process the great flow data transfer in high-speed network.In MADIDS,the agents that are set at each node process the data transfer by distributed computation architecture.Meanwhile by using the reconfiguration quality of the mobile agents,the load balance of distributed computation can be dynamically implemented to gain the high-performance computing ability.This ability makes the detecting and analyzing of high-speed network possible.MADIDS can effectively solve the detection and analysis performance bottleneck caused by the great flow data transfer in high-speed network.It enhances the performance of IDS in high-speed network.In this paper,we construct the infrastructure and theoretical model of MADIDS,and the deficiencies of MADIDS and future research work are also indicated.