入侵检测系统的标准化

入侵检测系统(IDS)的标准化是必然要经历的阶段,标准化的制定有利于不同的IDS之间的协作,从而发现新的入侵活动;有利于IDS与访问控制、应急、入侵追踪等系统交换信息,相互协作,形成一个整体有效的安全保障系统.本文首先介绍了网络安全的重要性,并给出了防火墙和入侵检测系统的相关知识,指出了其中存在的问题,从而说明了入侵检测系统标准化产生的背景,接着介绍了国外已经存在的标准草案,之后着重分析了制定IDS标准的意义以及国内制定标准的可行性,最后展望了IDS标准化发展的方向.     

机器学习理论在入侵检测技术中的应用研究

入侵检测系统是主动保障网络信息安全的重要方法。本文针对大规模、高带宽网络环境下,入侵检测技术存在的不足,提出将机器学习理论应用到入侵检测系统中。文章简要介绍几种适合用于入侵检测系统中的机器学习算法,并建立基于机器学习理论的入侵检测系统框架。利用机器学习的算法不仅能检测到一些已知的攻击,还可以通过自我学习检测到未知的攻击。     

入侵检测系统的规则研究与基于机器学习的入侵检测系统模型

入侵检测系统（IDS）分为异常检测模型和误用检测模型。异常检测模型首先总结正常操作应该具有的特征，得出正常操作的模型，对后续的操作进行监视，一旦发现偏离正常统计学意义上的操作模式，即进行报警。误用检测模型是收集入侵检测行为的特征，建立相关的规则库，在后续的检测过程中，将收集到的数据与规则库中的特征代码进行比较，得出是否是入侵的结论。本文主要研究了入侵检测系统中的规则的建立，并通过在基于误用检测的Snort入侵检测系统中增加一个规则学习模块——LERAD，提出了一个基于机器学习的入侵检测系统模型。     

基于相关向量机的网络入侵检测算法

针对支持向量机理论中存在的问题：训练样本数量多以及必须满足MerCer条件等,提出了一种基于相关向量机（RVM）的网络入侵检测方法。首先采用“删除特征”法对KDD99数据集中的41个特征进行评级,筛选出针对不同入侵类型的重要特征和非重要特征,然后只选择重要特征进行匹配。结果表明,这种方法与基于支持向量机（SVM）的入侵检测模型相比,具有更高的检测率和更低的误警率。     

Decision Based Model for Real-Time IoT Analysis Using Big Data and Machine Learning

Use of internet of things (IoT) in different fields including smart cities, health care, manufacturing, and surveillance is growing rapidly, which results in massive amount of data generated by IoT devices. Real-time processing of large-scale data streams is one of the main challenges of IoT systems. Analyzing IoT data can help in providing better services, predicting trends and timely decision making for industries. The systematic structure of IoT data follows the pattern of big data. In this paper, a novel approach is proposed in which big data tools are used to perform real-time stream processing and analysis on IoT data. We have also applied Spark’s built-in support of the machine learning library in order to make real-time predictions. The efficiency of the proposed system is evaluated by conducting experiments and reporting results on the case scenario of IoT based weather station.

     

基于改进SVM主动学习算法的入侵检测

入侵检测研究中,采用基于支持向量机的主动学习算法,有效地降低了学习的样本复杂度.针对支持向量机主动学习算法中存在的随机构造的初始训练集样本质量不高和容易陷入次优等问题,提出了一种结合核空间聚类的初始训练集构建方法,并在距离准则的基础上引入了概率选择机制.仿真实验表明,在不降低检测效果的前提下,该算法所需的学习样本更少,并表现出较高的稳定性.     

Machine Learning Approaches for Anomaly Detection in IoT: An Overview and Future Research Directions

Wireless Personal Communications - The internet of things (IoT) is the networking of interrelated devices and sensors connected through the internet to transfer and share data. The data gathered...     

基于集成 PU 学习数据流分类的入侵检测方法

入侵检测问题可以模型化为数据流分类问题,传统的数据流分类算法需要标注大量的训练样本,代价昂贵,降低了相关算法的实用性。在PU学习算法中,仅需标注部分正例样本就可以构造分类器。对此本文提出一种动态的集成PU学习数据流分类的入侵检测方法,只需要人工标注少量的正例样本,就可以构造数据流分类器。在人工数据集和真实数据集上的实验表明,该方法具有较好的分类性能,在处理偏斜数据流上优于三种PU 学习分类方法,并具有较高的入侵检测率。     

基于深度学习的配电网无线通信入侵检测系统

在采用无线通信接入的配电网中,入侵检测系统（IDS）通过分析通信网中传输数据来判断入侵事件.为提高检测的准确性,本文将深度学习理论应用于IDS,提出了一种面向配电网无线通信网络新型入侵检测系统,由带有门控循环单元、多层感知器和Softmax的循环神经网络组成.攻击测试基准实验结果表明IDS防御的有效性,在KDD99测试数据集上,其误报率为0.06%,总检出率为96.43%;在NSL-KDD测试数据集上,其误报率低至0.86%,总检出率则为99.33%.     

基于半监督学习的入侵检测算法研究

为了克服入侵检测系统对孤立点敏感的缺点,采用半监督学习方法改进入侵检测系统.在检测时标签数据及其相关信息较难获得.针对这一特点,利用半监督学习方法改进算法,减少了对标签数据的依赖,加强了对未标记数据信息的利用.最终降低了算法的复杂性及系统的误报率,改善了系统的整体性能.通过对不同算法结果的分析比较,验证了该方法的有效性.     

基于深度学习的网络入侵检测方法

文中提出了一种基于卷积变分自编码器和生成对抗网络的网络入侵检测方法（CVAE-GANs）,旨在实现针对多模态数据的网络入侵检测。该方法通过将不同模态的数据编码为共享潜在空间表示,并使用生成器和判别器实现多模态数据的生成和检测。最后,使用DARPA数据集进行了实验,评估了该方法在多模态数据上的性能。结果表明,相较于标准GANs方法,CVAE-GANs方法在准确性和鲁棒性方面,具有显著的优势。     

入侵检测系统的测试与评估

随着入侵检测系统的广泛应用,对入侵检测系统进行测试和评估的要求也越来越迫切。开发者希望通过测试和评估发现产品中的不足,用户希望测试和评估来帮助自己选择合适的入侵检测产品。本文根据目前的相关研究,介绍了入侵检测系统测试评估的标准、指标、方法步骤、数据来源、环境配置、测试评估的现状以及其中存在的一些问题。     

构建基于Snort的入侵检测系统

入侵检测系统IDS是计算机安全体系结构的重要组成部分,它实现实时检测的功能.本文介绍一个使用Snort、PostgreSQL数据库、Apache、PHP、ACID和Razorback搭建入侵检测系统的解决方案.最后给出了对Snort的评价.     

Improving the Accuracy of Network Intrusion Detection System in Medical IoT Systems through Butterfly Optimization Algorithm

Wireless Personal Communications - Network intrusion detection systems analyze traffic in a medical IoT system to detect abnormal behaviors. Machine learning and artificial intelligence (AI)...     

基于Bagging支持向量机集成的入侵检测研究

对大数据集来说，支持向量机的时空耗费非常大，本文采用bagging技术对支持向量机进行集成。首先用bootstrap技术对训练样本集进行可重复采样，使所得到的新子样本集有较大差异，然后用多个支持向量机对各子样本集进行学习，并将学习后的结果用多数投票法集成最终的结论。实验表明，支持向量机集成对入侵检测数据有比单个支持向量机更好的分类性能。     

Study of Intrusion Detection Systems

Modern network systems have much trouble in security vulnerabilities such as buffer overflow, bugs in Microsoft Internet, sensor network routing protocol too simple, security flaws of applications, and operating systems. Moreover, wireless devices such as smart phones, personal digital assistants （PDAs）, and sensors have become economically feasible because of technological advances in wireless communication and manufacturing of small and low-cost sensors. There are typologies of vulnerabilities to be exploited in these devices. In order to improve securities, many mechanisms are adopted, including authentication, cryptography, access control, and intrusion detection systems （IDS）. In general, intrusion detection techniques can be categorized into two groups： misuse detection and anomaly detection. The misuse detection systems use patterns of weB-known attacks or weak spots of the systems to identify intrusions. The weakness of misuse detection systems is unable to detect any future （unknown） intrusion until corresponding attack signatures are intruded into the signature database. Anomaly detection methods try to determine whether the deviation is from the established normal usage patterns or not. The critical success of anomaly detection relies on the model of normal behaviors.     

基于聚类支持向量机的入侵检测算法

针对支持向量机应用到入侵检测中训练时间长的特点,提出了一种基于聚类的支持向量机的入侵检测算法。该方法可以对训练数据进行剪枝,以靠近判别边界的聚类中心集合作为有效的训练样本集合对支持向量机进行训练,减少了样本的训练时间,提高了算法的效率。实验结果表明该方法对入侵检测是有效的。     

Random-Forests-Based Network Intrusion Detection Systems

Prevention of security breaches completely using the existing security technologies is unrealistic. As a result, intrusion detection is an important component in network security. However, many current intrusion detection systems (IDSs) are rule-based systems, which have limitations to detect novel intrusions. Moreover, encoding rules is time-consuming and highly depends on the knowledge of known intrusions. Therefore, we propose new systematic frameworks that apply a data mining algorithm called random forests in misuse, anomaly, and hybrid-network-based IDSs. In misuse detection, patterns of intrusions are built automatically by the random forests algorithm over training data. After that, intrusions are detected by matching network activities against the patterns. In anomaly detection, novel intrusions are detected by the outlier detection mechanism of the random forests algorithm. After building the patterns of network services by the random forests algorithm, outliers related to the patterns are determined by the outlier detection algorithm. The hybrid detection system improves the detection performance by combining the advantages of the misuse and anomaly detection. We evaluate our approaches over the Knowledge Discovery and Data Mining 1999 (KDD’99) dataset. The experimental results demonstrate that the performance provided by the proposed misuse approach is better than the best KDD’99 result; compared to other reported unsupervised anomaly detection approaches, our anomaly detection approach achieves higher detection rate when the false positive rate is low; and the presented hybrid system can improve the overall performance of the aforementioned IDSs.      

基于机器学习的端口扫描入侵检测

在入侵检测系统发展的30年间,不断有新的检测方法被提出。在如今的第四次工业革命——人工智能的潮流中,机器学习算法为各种系统的方法解决提供了新的思路。基于2018年Daniel Fraunholz等人提出了的入侵检测模型,提出了一种基于机器学习的端口扫描检测系统,其中系统的特征提取参考了KDD Cup 99数据集中数据的特征提取,而其中的模型训练集是基于CICIDS2017数据集的。最后,模型测试结果优良。