面向网络入侵检测的FHNN重抽样方法

为提高网络入侵检测系统的检测效率、降低数据的不平衡程度,在分析现有重抽样方法的基础上,根据网络入侵检测数据集的特点,提出快速分层最近邻(FHNN)重抽样方法,并在KDD’99数据集上进行实验验证。结果显示,该方法可以较好地删除噪声数据和冗余信息,减小数据的不平衡度和样本总量,而且运行速度快,适用于海量数据中的各类攻击检测。     

非平衡技术在高速网络入侵检测中的应用

针对现有的高速网络入侵检测系统丢包率高、检测速度慢以及检测算法对不同类型攻击检测的非平衡性等问题,提出了采用两阶段的负载均衡策略的检测模型。在线检测阶段对网络数据包按协议类型进行分流的检测,离线建模阶段对不同协议类型的数据进行学习建模,供在线部分检测。在讨论非平衡数据处理的各种采样技术基础上,采用改进后的过抽样少数样本合成过采样技术（SMOTE）对网络数据进行预处理,采用AdaBoost 、随机森林算法等进行分类。另外对特征选取等方面进行了实验,结果表明SMOTE过抽样可提高各少数类的检测,随机森林算法分类效果好而且建模所用的时间稳定。     

改进的AdaBoost算法在IDS入侵检测中的应用

网络入侵检测系统IDS中,异常数据所占的比例非常小,属于小类样本,却是检测的目标。在AdaBoost算法基础上进行改进,通过对大类样本权重设置阈值,对权值超过阈值的样本进行相应处理,来削弱分类器对大类样本错分的重视程度,减轻下一级训练的负担,从而有效地强化对小类错分样本的学习,提高入侵检测的精度,降低误报率和漏报率。方法在KDD-99数据集上进行实验,并与SVM方法检测结果进行比较,取得了很好的效果。     

入侵检测中的快速过滤算法

入侵检测系统是近年来发展迅速的一种网络安伞技术。但是,随着计算机网络向着高速、宽带的方向发展，检测引擎越来越成为性能的瓶颈.如果检测速度不能跟上网络流最，就会丢包并发生漏报。这除了采用更高速的专业硬件来解决外，包过滤算法也有非常重要的作用，高述的过滤算法有助于过滤掉大量无关的信息，从而极大地提高入侵检测系统的性能。     

入侵检测系统及其在电力企业综合信息网中的应用

本文首先论述了入侵检测系统的原理、分类法及其优缺点,并以电力企业综合信息网为例,重点论述了入侵检测系统的应用,包括入侵检测系统对网络的总体需求和在网络上建设入侵检测系统的总体考虑。     

改进BP算法在入侵检测系统中的应用

提出一种改进的BP算法,该算法中学习速率 不是凭经验给出的固定值,而是在学习过程中计算出的最优值αk。实验结果表明,与传统的BP算法相比,该算法可以减少学习时间,提高学习速度和网络入侵检测系统(NIDS)的检测率,可以解决当前NIDS普遍存在的虚警率过高问题。     

集成学习在网络入侵检测中的实验研究

针对现有的网络入侵检测算法对少数类攻击的检测存在高误报率和漏报率的问题,在对稀有类分类技术研究的基础上,将集成学习应用到入侵检测中。采用基于负载均衡策略的入侵检测模型,把网络数据包按协议类型进行分流,对每个子集用AdaBoost算法提升C4．5弱分类器的方法进行分类,在KDD’99数据集上进行仿真实验,结果表明该方法可有效提高系统的检测率。     

规模分布式网络入侵检测方法研究

1 引言随着网络经济的到来,Internet在为发展带来巨大机会与可能性的同时,也带来了恶意入侵的风险。单纯的防火墙已经不能满足系统安全的需求,因为它无法控制内部网络用户和透过防火墙的入侵者的行为,无法处理合法用户的越权存取行为问题。因而需要建立多方位、多样化的手段来保证网络的安全。入侵检测系统是一类专门面向网络入侵检测的网络安全监测系统,而且正在成为网络安全解决方案中的重要组     

基于分布式及协同式网络入侵检测技术综述

在当今信息化社会,网络入侵检测技术是信息安全保障领域的重点技术之一。随着大数据时代的到来,网络入侵检测技术正在向着多结构、多方法、多应用领域的方向发展。针对这个发展趋势,综述了网络入侵检测技术的最新研究情况,包括基本概念、系统模型、检测方法、应用领域等,其中重点分析了系统模型和检测算法的研究现状以及存在的问题,并提出发展趋势。同时,也介绍了大数据背景下网络入侵检测技术的新型应用领域。     

入侵检测技术在网络安全中的应用

随着社会经济的不断发展,网络技术的发展也极为迅速,而且,网络的应用范围也越来越广泛,校园网络环境就是充分应用现代网络技术所创建的网络,可以供校园教师、学生等人员作为主要的上网场所,方便了更多教师和学生查找资料。网络能够给人们带来更多的方便,但是也同样会存在一定危险,现阶段很多网络安全系统在运行的过程中,都会受到网络攻击,不仅对网络安全系统造成严重的破坏,甚至,还会对网络传输的数据造成破坏,因此,在应用网络的同时,必须要做好相应的安全保护措施。     

用于网络入侵检测的模式匹配新方法

针对新一代网络入侵检测系统(NIDS)的创建需要先进的模式匹配引擎,提出一种模式匹配的新方案,利用基于硬件的可编程状态机技术(B-FSM)来实现确定性处理过程。该技术可以在一个输入流中同时获取大量模式,并高效地映射成转换规则。通过对网络入侵检测系统中普遍采用的规则集(Snort)进行实验,实验结果表明该方法具有存储高效、执行速度快、动态可更新等特点,可以满足NIDS的需要。     

基于前馈多层感知器的网络入侵检测的多数据包分析

提出了一种新型网络入侵检测模型,在该模型中,首先将截获的数据包结合历史数据包数据库进行协议分析,找出可能存在的入侵行为的相关数据包,然后采用前馈多层感知器神经网络对这些相关的数据包进行回归分析,最终获得检测结果。该模型与传统采用单数据包检测方式的网络入侵检测系统(NIDS)模型相比,具有更低的漏检率。     

基于SMOTE和GBDT的网络入侵检测方法研究

现有基于机器学习的入侵检测方法大多专注于提高整体检测率和降低整体的漏报率,忽视了少数类别的检测率和漏报率。为此,提出了一种基于SMOTE (Synthetic Minority Oversampling Technique )和GBDT(Gradient Boosting Decision Tree)的入侵检测方法。其核心思想是首先在预处理阶段使用SMOTE技术提高少数类别的样本数量,且对多数类别样本降采样,最后在平衡数据集上训练GBDT分类器。利用KDD99数据集进行实验验证,并与在原始训练集上训练的分类器、KDD99竞赛的最好成绩对比,结果表明,该方法在保持较高的整体正确率的同时较大程度上降低了少数类的漏报率。     

混合前馈型神经网络在入侵检测中的应用研究

提出一种基于混沌神经元的混合前馈型神经网络,用于检测复杂的网络入侵模式．这种神经网络具有混沌神经元的延时、收集、思维和分类的功能,避免了MLP神经网络仅能识别网络中当前的滥用入侵行为的弱点．对混合网络进行训练后,将该网络用于滥用入侵检测．使用DARPA数据集对该方法进行评估,结果表明该方法可有效地提高对具备延时特性的Probe和DOS入侵的检测性能．     

A hybrid artificial immune system and Self Organising Map for network intrusion detection

Network intrusion detection is the problem of detecting unauthorised use of, or access to, computer systems over a network. Two broad approaches exist to tackle this problem: anomaly detection and misuse detection. An anomaly detection system is trained only on examples of normal connections, and thus has the potential to detect novel attacks. However, many anomaly detection systems simply report the anomalous activity, rather than analysing it further in order to report higher-level information that is of more use to a security officer. On the other hand, misuse detection systems recognise known attack patterns, thereby allowing them to provide more detailed information about an intrusion. However, such systems cannot detect novel attacks.A hybrid system is presented in this paper with the aim of combining the advantages of both approaches. Specifically, anomalous network connections are initially detected using an artificial immune system. Connections that are flagged as anomalous are then categorised using a Kohonen Self Organising Map, allowing higher-level information, in the form of cluster membership, to be extracted. Experimental results on the KDD 1999 Cup dataset show a low false positive rate and a detection and classification rate for Denial-of-Service and User-to-Root attacks that is higher than those in a sample of other works.     

Multiple criteria mathematical programming for multi-class classification and application in network intrusion detection

Multi-class classification problems are harder to solve and less studied than binary classification problems. The goal of this paper is to present a multi-criteria mathematical programming (MCMP) model for multi-class classification. Furthermore, we introduce the concept of e-support vector to facilitate computation of large-scale applications. Instead of finding the optimal solution for a convex mathematical programming problem, the computation of optimal solution for the model requires only matrix computation. Using two network intrusion datasets, we demonstrate that the proposed model can achieve both high classification accuracies and low false alarm rates for multi-class network intrusion classification.     

改进FCM聚类算法及其在入侵检测中的应用

针对模糊C-均值（FCM）算法的局限性,提出了一种具有两阶段的模糊FCM聚类改进算法。通过加入点密度函数加权系数和样本特征矢量权重对FCM聚类算法中的目标函数进行改造,进而给出迭代推导公式和算法描述。该算法克服了样本分布不均匀和样本特征矢量对分类贡献不均衡的情况,有效地提高了聚类精度。最后利用KDD CUP 99数据集进行实验,结果表明该算法具有良好的可靠性和可行性。     

Threshold-based clustering with merging and regularization in application to network intrusion detection

Signature-based intrusion detection systems look for known, suspicious patterns in the input data. In this paper we explore compression of labeled empirical data using threshold-based clustering with regularization. The main target of clustering is to compress training dataset to the limited number of signatures, and to minimize the number of comparisons that are necessary to determine the status of the input event as a result. Essentially, the process of clustering includes merging of the clusters which are close enough. As a consequence, we will reduce original dataset to the limited number of labeled centroids. In a complex with k-nearest-neighbor (kNN) method, this set of centroids may be used as a multi-class classifier. The experiments on the KDD-99 intrusion detection dataset have confirmed effectiveness of the above procedure.