一种无监督网络入侵检测算法

多数入侵检测方法对训练数据集存在依赖,带标识的训练数据集在现实环境中难以被获取,无法保证所得标签数据能覆盖所有可能出现的攻击。该文提出基于无人监督聚类和混沌模拟退火算法的网络入侵检测方法,混沌模拟退火算法实现对聚类结果的优化,求得聚类的全局最优解,提高了数据分类的准确性和检测效率。在KDD CUP 1999上的仿真实验结果表明,该算法可实现预期效果。     

FART在非监督式网络异常检测中的应用

目前的入侵检测系统主要采用的是基于特征的误用方法。另外,近几年出现的基于数据挖掘技术的入侵检测方法则需要依靠带标识的训练数据来保证检测效果,然而在现实环境中,训练数据往往是难以获得的。与之相比,非监督式的异常检测系统则具有独特的优势,它无需大量的带标识的、用于标明各种攻击的训练数据,而只需要寻找和定义正常的分类,因此,它具有在不具备任何先验知识的情况下发现新型攻击的能力。文章提出了一种采用模糊自适应谐振网(fuzzyART)发现网络入侵的新方法,并在最后采用KDDCUP99的测试数据集对该方法进行了评估,证实了该方法在网络异常检测中的有效性。     

聚类算法在入侵检测中的应用

提出一种基于聚类分析的入侵检测模型,并运用聚类分析的K-平均值算法建立入侵检测库并划分安全级别。该检测系统不依赖预先定义的类和训练实例,能够自动依据输入数据对入侵行为进行重新划分。该方法具有一定的实用性和自适应功能。     

基于健壮主成分分类器的无监督异常检测方法研究

入侵检测系统在训练过程中需要大量有标识的监督数据进行学习,不利于其应用和推广,经典主成分分析方法对离群数据非常敏感,进而导致分类准确性的下降。为了解决该问题,提出了一种基于健壮主成分分类器的方法,得到被离群数据干扰较少的主成分。根据主成分空间距离和数据重构误差构建异常检测模型。实验表明：该方法能够有效检测未知入侵,在检测率、误警率方面都达到较满意的结果。     

基于机器学习的网络入侵检测与防御系统研究与研发

通过机器学习中的智融标识网络建立防御系统，可有效采集相关数据的特征及信息，识别异常流量，防御网络入侵。随后进行数据仿真，将所设计的智融标识网络的防御系统对相关数据集进行性能检测，将其与卷积神经网络、随机森林等常用的学习模型进行数据对比。研究结果表明，基于智融标识网络设计的防御系统具有更高的检测准确率，还可以对未知的攻击进行检测，缩短网络入侵检测更新时间，为网络安全奠定了强有力的理论基础。     

基于主动学习和TCM-KNN方法的有指导入侵检测技术

有指导网络入侵检测技术是网络安全领域研究的热点和难点内容,但目前仍然存在着对建立检测模型的数据要求过高、训练数据的标记需要依赖领域专家以及因此而导致的工作量及难度过大和实用性不强等问题,而当前的研究工作很少涉及到这些问题的解决办法.基于TCM-KNN数据挖掘算法,提出了一种有指导入侵检测的新方法,并且采用主动学习的方法,选择使用少量高质量的训练样本进行建模从而高效地完成入侵检测任务.实验结果表明:其相对于传统的有指导入侵检测方法,在保证较高检测率的前提下,有效地降低了误报率;在采用选择后的训练集以及进行特征选择等优化处理后,其性能没有明显的削减,因而更适用于现实的网络应用环境.     

基于One-class SVM的实时入侵检测系统

将One-class支持向量机和Online训练算法应用于入侵检测研究中,把入侵检测看作是一种单值分类问题,能够在有噪声的数据集中进行训练,降低了对训练集的要求,提高了检测准确性。同时解决了基于SVM的入侵检测系统实时训练的问题,在实际运用中可以实时地添加新的训练样本对新出现的攻击手段进行分类。在KDD CUP’99标准入侵检测数据集上进行实验,系统缩短了训练时间并且获得了较高的检测准确率。     

基于SVM协作训练的入侵检测方法研究

提出了在少量样本条件下,采用带变异因子的支持向量机(SVM)协作训练模型进行入侵检测的方法。充分利用大量未标记数据,通过两个分类器检测结果之间的迭代训练,可以提高检测算法的准确度和稳定性。在协作训练的多次迭代之间引入变异因子,减小由于过学习而降低训练效果的可能。仿真实验表明,该方法的检测准确度比传统的SVM算法提高了7.72%,并且对于训练数据集和测试数据集的依赖程度都较低。     

基于空间扩维特征的主机入侵检测模型

在基于访问控制粒度和多维安全拓扑空间的基础上分析了入侵攻击的特点,并提出基于空间扩维特征的入侵检测模型--SEDIDS. 为访问控制系统中的实体建立了语义网络模型,用语义网络完备性推理来检测访问控制实体的完整性,作为入侵攻击行为判断的依据,从而取代了依赖训练数据集建立系统访问模式轮廓进行比对的入侵检测传统手段.实验结果表明:该模型相对于传统的入侵检测具有较低的漏报率和误报率,并有较高的运行效率.     

基于聚类分析的入侵检测技术研究

目前入侵检测系统成了确保网络安全的一种必要手段。本文提出一种基于聚类的自适应入侵检测技术。利用聚类,将具有相似属性（正常或者入侵）的数据事件归结到同一聚类中,对聚类标识后,利用聚类进行入侵检测。     

专家系统与神经网络在入侵检测中的应用

针对由于网络服务不断扩大造成的入侵行为日益复杂多样的情况,对专家系统和神经网络技术在入侵检测中的运用进行了研究,主要讨论了专家系统和神经网络技术在入侵监测的规则管理和入侵行为分类方面的应用,同时给出了入侵检测实践。结果证明,专家系统和神经网络技术的结合能够提高入侵监测系统发现入侵的实时性和检测入侵的正确性。     

基于Snort的入侵检测系统的研究及BM算法的改进

入侵检测系统是传统被动方式的网络安全检测手段的重要补充,它是一种主动、实时、自动检测入侵行为的工具和手段。Snort是一个成熟的开放源代码的网络入侵检测系统,介绍了入侵检测系统的基本原理,研究了入侵检测系统Snort的体系结构、规则的解析流程和检测流程,对Snort的BM字符匹配算法进行深入研究,提出了BM字符匹配算法的改进方法。     

An Integrated Intrusion Detection System for Cluster-based Wireless Sensor Networks

A Wireless Sensor Network (WSN) consists of many low-cost, small devices. Usually, as they are deployed to an open and unprotected region, they are vulnerable to various types of attacks. In this research, a mechanism of Intrusion Detection System (IDS) created in a Cluster-based Wireless Sensor Network (CWSN) is proposed. The proposed IDS is an Integrated Intrusion Detection System (IIDS). It can provide the system to resist intrusions, and process in real-time by analyzing the attacks. The IIDS includes three individual IDSs: Intelligent Hybrid Intrusion Detection System (IHIDS), Hybrid Intrusion Detection System (HIDS) and misuse Intrusion Detection System. These are designed for the sink, cluster head and sensor node according to different capabilities and the probabilities of attacks these suffer from. The proposed IIDS consists of an anomaly and a misuse detection module. The goal is to raise the detection rate and lower the false positive rate through misuse detection and anomaly detection. Finally, a decision-making module is used to integrate the detected results and report the types of attacks.     

基于异常和特征的入侵检测系统模型

目前大多数入侵检测系统(Intrusion Detection System，IDS)没有兼备检测已知和未知入侵的能力，甚至不能检测已知入侵的微小变异，效率较低。本文提出了一种结合异常和特征检测技术的IDS。使用单一技术的IDS存在严重的缺点，为提高其效率，唯一的解决方案是两者的结合，即基于异常和特征的入侵检测。异常检测能发现未知入侵，而基于特征的检测能发现已知入侵，结合两者而成的基于异常和特征的入侵检测系统不但能检测已知和未知的入侵，而且能更新基于特征检测的数据库，因而具有很高的效率。     

基于优化Apriori算法的入侵检测系统模型设计

复合攻击是网络入侵的主要形式之一。如何检测复合攻击是当前入侵检测研究的一个重要方向,经过对复合攻击模式的大量研究,提出了一种基于自动调节的警报关联模型。为了提高入侵检测系统的效率,针对入侵检测系统的特点,将数据挖掘技术引入模型中。阐述了使用为关联规则提取所优化的Apriori算法,对日志文件进行特征分析与知识发掘的入侵检测系统模型的设计。     

基于数据挖掘的入侵检测取证系统

在结合了入侵检测系统和犯罪取证系统的基础上,提出了一种基于数据挖掘的入侵检测取证系统。当遭受入侵时,即起到防护作用,同时又实时地收集证据。数据挖掘技术分别应用于入侵检测部分和取证部分,使得检测模型的生成、分发自动化、智能化,提高了检测效率;使得取证系统数据分析速度得到了提高。     

通用入侵检测知识自优化框架

1 入侵检测知识管理的现状及问题在计算机安全问题中,社会工程是一个核心要素,它往往成为系统潜在隐患,其最终表现形式之一就是不安全的系统配置和安全策略。在入侵检测领域,正确的系统配置很大程度取决于管理者检测知识的丰富程度。知识的丰富程度主要又取决于知识获取能力,特别是在分布式计算环境中,这种获取能力显得尤为重要。而在开放式入侵检测系统中,检测知识     

在IDS中利用数据挖掘技术提取用户行为特征

IDS（入侵检测系统）是一种检测网络入侵行为的工具。然而现在的IDS在提取用户行为特征的时候经常不能取得满意的结果。所提取的特征不能很好的反映出真实的情况,所以有时候经常出现漏报或误报的情况。文章针对这一情况,详细讨论了利用数据挖掘技术提取用户行为特征的方法,提出了采用数据挖掘技术的入侵检测系统的结构模型。     

基于免疫Agent入侵检测模型研究

网络安全问题的日益突出对入侵检测技术提出了更高的要求,然而现有的入侵检测技术仍然存在着一些缺陷,入侵检测系统在很多地方还有待改进,如灵活性、效率等方面。该文通过将移动代理技术和免疫原理技术应用到入侵检测系统中,提出了基于免疫Agent的入侵检测模型,并进行了模型整体设计。