集成化的异常入侵检测系统

提出了一种多方法集成的异常入侵检测系统,运用隐马尔可夫模型、统计方法和基于规则的方法,测量系统调用序列、资源使用率、文件访问权限的正常行为,并将其集成,实验表明此系统具有很好的性能。     

基于隐马尔可夫模型的入侵检测系统

首先介绍了基于隐马尔可夫模型(HMM)的入侵检测系统(IDS)框架,然后建立了一个计算机系统运行状况的隐马尔可夫模型,最后通过实验论述了该系统的工作过程。通过仅仅考虑基于攻击域知识的特权流事件来缩短建模时间并提高性能,从而使系统更加高效。实验表明,用这种方法建模的系统在不影响检测率的情况下,比传统的用所有数据建模大大地节省了模型训练的时间,降低了误报率。因此,适合用于在计算机系统上进行实时检测。     

基于隐马尔可夫模型的异常检测

首先建立了一个计算机系统运行状况的隐马尔可夫模型 ,然后在此模型的基础上提出了一个用于计算机系统实时异常检测的算法 ,这个算法根据最大信息熵原理 ,通过比较固定长度系统行为序列的平均信息熵和一个预先给定的阈值来检测入侵行为 .论文还给出了该模型的训练算法 .这个检测算法的优点是准确率高 ,算法简单 ,占用的存储空间很小 ,适合用于在计算机系统上进行实时检测     

基于隐马尔可夫的系统入侵检测方法

针对入侵检测中普遍存在误报与漏报过高的问题,本文提出一种新的基于隐马尔可夫模型的系统入侵检测方法。该方法以程序正常执行过程中产生的系统调用序列为研究对象,首先建立计算机运行状况的隐马尔可夫模型,然后在此模型的基础上提出一个用于计算机系统实时异常检测的算法。实验证明,用这种方法建模的系统在不影响检测率的情况下,比传统的数据建设模节省存储空间,并且准确率高。     

基于改进隐马尔可夫模型的系统调用异常检测

针对隐马尔可夫模型计算开销过高的问题,提出了一种新的基于隐马尔可夫模型(Hidden Markov model,HMM)的异常检测方法,利用系统调用执行迹具有的局部规律性,用改进的HMM(Improved HMM,IHMM)学习算法来构建程序正常行为模型.在检测时,首先对待测系统调用数据用滑动窗口划分,并通过正常行为模型来判定异常,根据异常短序列占所有短序列的百分比来判断该进程是否行为异常.实验结果显示该方法训练耗时仅为传统方法的1%.当阈值在一个较大范围内变化时,模型的检测性能始终保持稳定.表明本文方法通过避免对大量相同短序列的重复计算,显著减少了训练时间和计算开销,在实际应用中具有良好的可操作性.     

基于系统调用的混合HMM/MLP异常检测模型

首先描述了基于隐马尔可夫模型(HMM)的异常检测方法并指出其缺点．然后提出了一种将多层感知机(MLP)用作HMM的概率估计器的方法,以克服HMM方法的不足．最后建立了一个基于系统调用的混合HMM/MLP异常检测模型,并给出了该模型的训练和检测算法．实验结果表明,该混合系统的漏报率和误报率都低于HMM方法．     

入侵检测系统综合评估模型

本文首先给出了评估入侵检测系统的一套指标,并在此基础上应用层次分析法建立评估模型,为评估入侵检测系统提供了一套方法。     

基于系统调用序列分析入侵检测的层次化模型

系统调用是操作系统和用户程序的接口,任何程序必须通过系统调用才能执行。近年来,网络安全事件频发,基于系统调用序列分析的入侵检测方法成为了网络安全研究的热点技术之一。本文提出了基于枚举序列、隐马尔科夫两种方法建立系统行为的层次化模型,不同于传统意义上的单层次模型。在新墨西哥大学提供的实验数据上,本方法在检测程序异常行为的准确度和响应时间方面都得到了很好的效果,表明该方法更适合基于主机入侵的在线检测方法。     

基于隐马尔可夫模型的系统脆弱性检测

在计算机安全领域,特别是网络安全领域,对计算机系统进行脆弱性检测十分重要,其最终目的就是要指导系统管理员在"提供服务"和"保证安全"这两者之间找到平衡。本文首先介绍了基于隐马尔可夫模型(HMM)的入侵检测系统(IDS)框架,然后建立了一个计算机系统运行状况的隐马尔可夫模型,最后通过实验论述了该系统的工作过程。通过仅仅考虑基于攻击域知识的特权流事件来缩短建模时间并提高性能,从而使系统更加高效。实验表明,用这种方法建模的系统在不影响检测率的情况下,比传统的用所有数据建模大大地节省了模型训练的时间,降低了误报率。因此,适合用于在计算机系统上进行实时检测。     

浅析基于神经网络的入侵检测技术

文章叙述了入侵检测技术的发展与现状,对目前所采用的入侵检测技术及其特点进行了分析,提出了基于神经网络的入侵检测技术并指出了其优点,最后指出了未来入侵检测技术的发展趋势。     

一种异常入侵检测中新的HMM训练方法

隐马尔可夫模型(HMM)已经被证明是一个对系统正常行为建模的好工具,但是它的Baum-Welch训练算法效率不高,训练过程需要很大的计算机资源,在实际的入侵检测中效率是不高的.本文提出了一个高效的用多观察序列来训练HMM的训练方案,我们的实验结果显示我们的训练方法能比传统的训练方法节省60%的时间.     

基于NIDS入侵检测模型的研究和探讨

本文首先介绍入侵检测系统的基本原理，包括检测方法和分析技术，然后给出了一个网络入侵检测具体模型和事例，阐述了NIDS的重要性以及将来发展的趋势。     

入侵检测系统设计方案的改进

针对目前入侵检测遇到的一些新问题提出了一些改进方案,主要包括对整个系统的体系结构设计,蜜罐与陷阱子系统设计,入侵检测系统与动态防火墙相协同的框架模型设计,利用双网卡技术和备份监控代理方式提供对入侵检测系统自身的有效安全防护等。     

一种基于神经网络和系统调用的异常入侵检测方法

提出了一种利用多层BP神经网络建立进程正常运行轮廓的思想,基于1998年DARPA入侵检测系统评估的审计数据源,通过与K近邻分类、带(频率)门限的Stide(TStide)算法的性能比较表明,所提出的算法具有较高的检测率,同时维持了一个较低的误警率。     

基于多Agent的分布式入侵检测系统设计与实现

先分析了现有的入侵检测系统及其弱点,在此基础上,提出了一个采用多Agent的体系结构。它应用Agent的概念和方法来构造入侵检测的各个部件,通过多Agent技术来实现检测自治化和多主机间检测信息的协调,并以此达成分布式入侵的协作检测。还指明了实现原型系统的关键技术和方法。最后对系统做出简要评价。     

一种分布式入侵检测系统结构

近年来 ,入侵检测系统作为信息系统安全的重要组成部分 ,得到了广泛的关注 ,也出现了一些新的检测技术。提出了一种基于多自治代理的入侵检测系统结构 ,并实现了一个基于该结构的原型系统。提出的结构 ,不仅能够避免分布式系统中存在的单点失效问题 ,还可以平衡计算并提高系统整体的效率 ,使入侵检测系统能够适应计算机及互联网络的迅速发展     

基于系统调用的入侵检测新方法

通过分析系统调用行为特征,提出了程序的系统调用行为可以用有限状态自动机来描述的方法,证明了算法产生的自动机的完整性,并给出算法性能分析结果。     

基于Snort的分布式协作入侵检测系统

基于Snort设计一个分布式协作入侵检测系统。将感性信任理论和反馈思想相结合,减小系统误判断的几率,提升系统的自适应能力。给出协作节点间的数据传输协议、基于感性信任的协作机制及信任度更新算法。通过模拟攻击对系统进行测试,结果证明,节点间可以实现对等协作,有效避免协作过程中误判断的发生。     

入侵检测系统--Snort的剖析与研究

入侵检测系统(IDS)是信息安全体系结构的重要组成部分。本文简要介绍了入侵检测系统的概念及分类,并从系统结构,工作原理,功能特点等方面分析了Snort这个优秀的轻量级的开源网络入侵检测系统。文中在探讨这些的同时,也着重研究了它的规则描述语言,最后给出了对它的评价。