一种基于协议分析的入侵检测模型的设计

本文在对TCP/IP协议以及各种网络入侵攻击进行深入分析研究的基础上,设计了一种基于协议分析的同时使用异常检测和误用检测技术的网络入侵检测模型,并给出了实现思想,其中重点介绍了利用协议分析思想对TCP数据包进行入侵检测的具体算法思想和数据结构。基于协议分析将异常检测和误用检测方法有效结合不仅可以检测到大多数已知的攻击类型,而且可以发现大量未知的攻击类型,提高检测的准确性和效率。     

基于有限状态机协议分析模型的入侵检测系统

基于状态协议分析的入侵检测方法利用网络协议提供的状态信息,把网络攻击过程转化为协议状态迁移,能有效地检测DOS/DDOS等较难检测的攻击.本文对协议分析入侵检测的方法和算法进行了研究,并通过对网络协议和入侵攻击的深入分析,提出了一个基于有穷状态机的状态协议迁移模型.在给出检测算法的形式化描述的基础上根据Snort规则语法扩展实现实验系统,并测试验证了其有效性.     

入侵检测规则(五)

本文是理解及开发网络入侵检测系统规则的最后一部分。前文中,作者讲述了协议分析即网络入侵检测系统应该真正理解各种协议,例如FTP是如何工作的,且初步讲述了协议分析是如何进行简单地请求和响应的。本文进一步讨论了状态协议分析,包括在整个连接和会话期如何进行协议分析,如何捕获和储存相关数据,如何在各种请求和响应中使用这些数据来识别攻击。     

基于特征分析的网络入侵检测技术比较

文章论述了基于特征分析的网络入侵检测技术的三种方法:模式匹配、协议分析和状态协议分析,分析了它们的工作原理。并通过包括SYNFlood、拒绝服务攻击、Nimda病毒和FTP缓冲区溢出等攻击实例详细说明他们不同的解决问题能力。     

基于自适应卷积滤波的网络近邻入侵检测算法

深度无线传感组合网络中的近邻路由节点入侵具有载荷快速变化性,难以对新出现的攻击类型和网络异常行为进行有效识别,因此提出一种基于自适应卷积滤波的网络近邻入侵检测算法。在深度无线传感组合网络的传输信道中进行网络流量采集,构建网络入侵信号模型,在时间和频率上分析网络入侵信号的能量密度和攻击强度等特征信息,构建自适应卷积滤波器进行网络传输信息的盲源滤波和异常特征提取;采用联合时频分析方法进行网络近邻入侵特征信息的频谱参量估计,根据频谱特征的异常分布状态进行无线传感组合网络近邻入侵检测。仿真实验结果表明,采用该方法进行网络入侵检测的准确率较高,对未知的网络流量样本序列具有较高的识别能力和泛化能力,且所提算法优于传统的HHT检测算法、能量管理检测方法。     

无线传感器网络中基于Sinkhole攻击的入侵检测系统研究

随着无线传感器网络应用范围的扩大、传感数据重要性的提高,其安全性也日益受到关注。Sinkhole是一种比较基础且常见的路由攻击类型,在该攻击中,攻击者通过声称到目的节点或基站具有高质量的路径吸引周围节点的数据流,严重破坏了网络的负载平衡。根据AODV协议中Sinkhole攻击方式特点,设计一个基于规范的分布式入侵检测系统,并对入侵检测系统的各功能模块进行详细的设计和分析。该系统通过本地数据监控模块提供的信息对节点的行为进行状态转换,判断节点是否发生异常行为,同时结合其他节点提供的信息最终确定攻击者。仿真结果和分析表明所设计的基于AODV路由协议的入侵检测系统具有良好性能,即使在有攻击出现的情况下,网络仍可以保持较高的传输率。     

结合协议状态分析的入侵检测模型研究

针对现有入侵监测系统的不足,提出一种结合协议状态分析的网络入侵检测模型,即采用了将协议分析和状态分析结合的技术。它是一种基于网络的,以模式匹配技术、状态分析技术和代理技术相结合的入侵检测模型,充分利用状态分析优势进行入侵检测,达到提高检测的速度、准确度和效果。     

基于状态协议分析的网络入侵检测技术

协议分析是网络入侵检测技术中的一种关键技术,但不能解决对于包含在多个数据包中的攻击。针对这一问题,提出了基于状态协议分析的检测技术,构建一个有限自动机(Finite Automaton,简称FA)来约束网络,并用由正则表达式产生的语言来描述一系列的正常的状态转化,充分利用协议的状态信息检测入侵。     

基于规范的贪婪边界无状态路由入侵检测方法

贪婪边界无状态路由(GPSR)协议在移动自组织网络中的应用较多,而相应的入侵检测技术则不够完善。为此,在分析移动自组织网络入侵检测技术的基础上,根据GPSR协议的特点和面临的典型攻击,提出一种GPSR入侵检测方法,制定5条检测规则,并根据规则设计入侵检测算法的基本框架和运行流程。仿真结果表明,该方法对典型攻击具有较高的检测率和较低的误报率。     

入侵检测系统的研究与展望

入侵检测是近十几年来出现的一种主动保护自己以免受黑客攻击的新型网络安全技术。入侵检测被认为是防火墙后的第二道安全阀门,它在不影响网络性能的情况下对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。文章从网络入侵检测概念入手,重点对入侵检测系统的类型和入侵检测方法进行分析与阐述,最后对当前的入侵检测系统的不足之处给出了分析。     

面向入侵检测的协议分析技术研究

网络协议分析是网络入侵检测中的一项关键技术。当前主要方法是对网络层和传输层协议进行分析。本文介绍了当前主流的网络协议TCP/IP协议,研究了面向入侵检测的协议分析技术,基本解决了入侵检测普遍存在的误警率高、难以做到实时性的不足。     

网络入侵检测中的深度协议分析方法

为了探索一种能体现基于网络的入侵检测系统规则的复杂性和联系性,并具备降低规则冗余的入侵检测方法,提出一种基于深度协议分析对网络事件进行重新解构的方法。该方法不仅将协议分析抽象到基于事件的整体上对网络事件进行层次分析,同时还将协议分析深入到具体的应用层数据里。实验表明,该方法具有更高的检测准确率和检测速率,大幅度地减少了规则库冗余,更适用于高速网络环境,同时还具备一定的检测未知入侵的能力。     

VoIP业务入侵检测模型

提出一种SIP信令协议的入侵检测方法,用以加强VoIP业务环境的安全。重点对基于SIP的VoIP业务环境的安全威胁和业务流量分析,利用数据挖掘算法和改进的贝叶斯算法构建针对SIP下的入侵检测模型。实验结果表明,该方法可以对VoIP业务环境下的网络攻击进行有效检测。     

一种基于粒子群的入侵检测研究

当今攻击网络的手段是多种多样的,为保护网络的用户不受来自网络的攻击,网络在使用中需要安全设备和安全技术。入侵检测技术是一种安全检测技术,该技术能够来阻止网络攻击行为。但要阻止网络的攻击行为,必须检测到该行为。本文在简述了入侵检测技术,粒子群知识后,然后提出了粒子群在入侵检测技术上的应用。该技术在入侵检测上的应用将使得检测方法具有一定的智能性,将粒子群技术应用到入侵检测中属于是首次。本文提出的具有一定智能性检测算法可分为两个步骤：①首先通过函数y=f（x）判断链路中的数据流是否在正常范围内,还是属于异常。②然后如果某种数据流属于异常的流,则使用粒子群算法来对未知属性数据流的属性进行定性判断。本文提出的算法具有一定的智能性,能够作为现有的入侵检测算法的补充。     

网络协议分析与决策树挖掘的入侵检测模型研究

在入侵检测系统中,采用网络协议分析技术可以有效地减少数据包的搜索空间。结合网络协议分析技术和决策树挖掘技术,提出一种新型的入侵检测模型。该模型首先分析数据包的协议类型,然后根据协议类型来确定最佳的决策树算法以进行入侵检测。实证研究表明,该模型较传统的基于决策树的入侵检测模型具有更高的准确性,更适合于目前高速网络环境中的入侵检测要求。     

基于四层过滤的网络入侵检测系统模型

文章在对网络入侵检测技术进行分析的基础上,结合网络攻击的特点和目前入侵检测系统的不足,提出一种新的基于四层过滤的网络入侵检测系统模型。这四层过滤分别是：协议分析、流量分析、状态检测和数据分析。四次过滤串并行同时进行以提高效率,增强网络的安全防护能力,保证网络的实时性。同时利用集群的优势在一定程度上解决漏包问题。实验证明,该模型可以提高入侵检测效率和准确率。     

Practical real-time intrusion detection using machine learning approaches

The growing prevalence of network attacks is a well-known problem which can impact the availability, confidentiality, and integrity of critical information for both individuals and enterprises. In this paper, we propose a real-time intrusion detection approach using a supervised machine learning technique. Our approach is simple and efficient, and can be used with many machine learning techniques. We applied different well-known machine learning techniques to evaluate the performance of our IDS approach. Our experimental results show that the Decision Tree technique can outperform the other techniques. Therefore, we further developed a real-time intrusion detection system (RT-IDS) using the Decision Tree technique to classify on-line network data as normal or attack data. We also identified 12 essential features of network data which are relevant to detecting network attacks using the information gain as our feature selection criterions. Our RT-IDS can distinguish normal network activities from main attack types (Probe and Denial of Service (DoS)) with a detection rate higher than 98% within 2 s. We also developed a new post-processing procedure to reduce the false-alarm rate as well as increase the reliability and detection accuracy of the intrusion detection system.