共查询到18条相似文献,搜索用时 93 毫秒
1.
2.
非平衡技术在高速网络入侵检测中的应用 总被引:2,自引:0,他引:2
针对现有的高速网络入侵检测系统丢包率高、检测速度慢以及检测算法对不同类型攻击检测的非平衡性等问题,提出了采用两阶段的负载均衡策略的检测模型。在线检测阶段对网络数据包按协议类型进行分流的检测,离线建模阶段对不同协议类型的数据进行学习建模,供在线部分检测。在讨论非平衡数据处理的各种采样技术基础上,采用改进后的过抽样少数样本合成过采样技术(SMOTE)对网络数据进行预处理,采用AdaBoost 、随机森林算法等进行分类。另外对特征选取等方面进行了实验,结果表明SMOTE过抽样可提高各少数类的检测,随机森林算法分类效果好而且建模所用的时间稳定。 相似文献
3.
网络入侵检测系统IDS中,异常数据所占的比例非常小,属于小类样本,却是检测的目标。在AdaBoost算法基础上进行改进,通过对大类样本权重设置阈值,对权值超过阈值的样本进行相应处理,来削弱分类器对大类样本错分的重视程度,减轻下一级训练的负担,从而有效地强化对小类错分样本的学习,提高入侵检测的精度,降低误报率和漏报率。方法在KDD-99数据集上进行实验,并与SVM方法检测结果进行比较,取得了很好的效果。 相似文献
4.
5.
本文首先论述了入侵检测系统的原理、分类法及其优缺点,并以电力企业综合信息网为例,重点论述了入侵检测系统的应用,包括入侵检测系统对网络的总体需求和在网络上建设入侵检测系统的总体考虑。 相似文献
6.
7.
8.
1 引言随着网络经济的到来,Internet在为发展带来巨大机会与可能性的同时,也带来了恶意入侵的风险。单纯的防火墙已经不能满足系统安全的需求,因为它无法控制内部网络用户和透过防火墙的入侵者的行为,无法处理合法用户的越权存取行为问题。因而需要建立多方位、多样化的手段来保证网络的安全。入侵检测系统是一类专门面向网络入侵检测的网络安全监测系统,而且正在成为网络安全解决方案中的重要组 相似文献
9.
在当今信息化社会,网络入侵检测技术是信息安全保障领域的重点技术之一。随着大数据时代的到来,网络入侵检测技术正在向着多结构、多方法、多应用领域的方向发展。针对这个发展趋势,综述了网络入侵检测技术的最新研究情况,包括基本概念、系统模型、检测方法、应用领域等,其中重点分析了系统模型和检测算法的研究现状以及存在的问题,并提出发展趋势。同时,也介绍了大数据背景下网络入侵检测技术的新型应用领域。 相似文献
10.
何伟明 《计算机光盘软件与应用》2014,(22):181-182
随着社会经济的不断发展,网络技术的发展也极为迅速,而且,网络的应用范围也越来越广泛,校园网络环境就是充分应用现代网络技术所创建的网络,可以供校园教师、学生等人员作为主要的上网场所,方便了更多教师和学生查找资料。网络能够给人们带来更多的方便,但是也同样会存在一定危险,现阶段很多网络安全系统在运行的过程中,都会受到网络攻击,不仅对网络安全系统造成严重的破坏,甚至,还会对网络传输的数据造成破坏,因此,在应用网络的同时,必须要做好相应的安全保护措施。 相似文献
11.
针对新一代网络入侵检测系统(NIDS)的创建需要先进的模式匹配引擎,提出一种模式匹配的新方案,利用基于硬件的可编程状态机技术(B-FSM)来实现确定性处理过程。该技术可以在一个输入流中同时获取大量模式,并高效地映射成转换规则。通过对网络入侵检测系统中普遍采用的规则集(Snort)进行实验,实验结果表明该方法具有存储高效、执行速度快、动态可更新等特点,可以满足NIDS的需要。 相似文献
12.
13.
现有基于机器学习的入侵检测方法大多专注于提高整体检测率和降低整体的漏报率,忽视了少数类别的检测率和漏报率。为此,提出了一种基于SMOTE (Synthetic Minority Oversampling Technique )和GBDT(Gradient Boosting Decision Tree)的入侵检测方法。其核心思想是首先在预处理阶段使用SMOTE技术提高少数类别的样本数量,且对多数类别样本降采样,最后在平衡数据集上训练GBDT分类器。利用KDD99数据集进行实验验证,并与在原始训练集上训练的分类器、KDD99竞赛的最好成绩对比,结果表明,该方法在保持较高的整体正确率的同时较大程度上降低了少数类的漏报率。 相似文献
14.
15.
Network intrusion detection is the problem of detecting unauthorised use of, or access to, computer systems over a network. Two broad approaches exist to tackle this problem: anomaly detection and misuse detection. An anomaly detection system is trained only on examples of normal connections, and thus has the potential to detect novel attacks. However, many anomaly detection systems simply report the anomalous activity, rather than analysing it further in order to report higher-level information that is of more use to a security officer. On the other hand, misuse detection systems recognise known attack patterns, thereby allowing them to provide more detailed information about an intrusion. However, such systems cannot detect novel attacks.A hybrid system is presented in this paper with the aim of combining the advantages of both approaches. Specifically, anomalous network connections are initially detected using an artificial immune system. Connections that are flagged as anomalous are then categorised using a Kohonen Self Organising Map, allowing higher-level information, in the form of cluster membership, to be extracted. Experimental results on the KDD 1999 Cup dataset show a low false positive rate and a detection and classification rate for Denial-of-Service and User-to-Root attacks that is higher than those in a sample of other works. 相似文献
16.
Multi-class classification problems are harder to solve and less studied than binary classification problems. The goal of this paper is to present a multi-criteria mathematical programming (MCMP) model for multi-class classification. Furthermore, we introduce the concept of e-support vector to facilitate computation of large-scale applications. Instead of finding the optimal solution for a convex mathematical programming problem, the computation of optimal solution for the model requires only matrix computation. Using two network intrusion datasets, we demonstrate that the proposed model can achieve both high classification accuracies and low false alarm rates for multi-class network intrusion classification. 相似文献
17.
18.
V. Nikulin 《Computational statistics & data analysis》2006,51(2):1184-1196
Signature-based intrusion detection systems look for known, suspicious patterns in the input data. In this paper we explore compression of labeled empirical data using threshold-based clustering with regularization. The main target of clustering is to compress training dataset to the limited number of signatures, and to minimize the number of comparisons that are necessary to determine the status of the input event as a result. Essentially, the process of clustering includes merging of the clusters which are close enough. As a consequence, we will reduce original dataset to the limited number of labeled centroids. In a complex with k-nearest-neighbor (kNN) method, this set of centroids may be used as a multi-class classifier. The experiments on the KDD-99 intrusion detection dataset have confirmed effectiveness of the above procedure. 相似文献