基于异常和特征的入侵检测系统模型

目前大多数入侵检测系统(Intrusion Detection System,IDS)没有兼备检测已知和未知入侵的能力,甚至不能检测已知入侵的微小变异,效率较低。本文提出了一种结合异常和特征检测技术的IDS。使用单一技术的IDS存在严重的缺点,为提高其效率,唯一的解决方案是两者的结合,即基于异常和特征的入侵检测。异常检测能发现未知入侵,而基于特征的检测能发现已知入侵,结合两者而成的基于异常和特征的入侵检测系统不但能检测已知和未知的入侵,而且能更新基于特征检测的数据库,因而具有很高的效率。     

网络入侵检测系统的应用分析

病毒防范系统、防火墙系统、入侵检测系统(IDS)组成了一个完整的企业网络安全体系,其中IDS系统对无法预知的异常入侵具有实时分析、检测和预报的能力。IDS中所采取的入侵检测技术的优劣决定了该系统对入侵检测的有效性和实时性。     

一种改进的基于Agent的分布式入侵检测系统

提出一种改进的基于A gent的分布式入侵检测系统AD IDS,它将基于异常和误用的入侵检测系统有机地结合在一起。在分析A gent的实现上,使用了模式匹配、统计分析、完整性分析相结合的方法。实验证明能够发现一些未知攻击,提高了检测速率。     

入侵检测协作检测模型的分析与评估

目前,入侵检测系统(IDS)存在较高的误报率,这一直是困扰IDS用户的主要问题,而入侵检测系统主要有误用型和异常型两种检测技术,根据这两种检测技术各自的优点,以及它们的互补性,将两种检测技术结合起来的方案越来越多地应用于IDS.通过引入入侵检测能力,从理论上深刻解释了系统协作的必然性,提出了异常检测技术和误用检测技术相结合的IDS模型及其评估方法,降低了单纯使用某种入侵检测技术时产生的误报率,从而提高系统的安全性.     

自适应监督和聚类混合的WSN入侵检测系统设计

无线传感器网络的关键性基础设施监测系统中,为了检测传感器数据聚合阶段受到的已知的和未知的入侵行为,提出一种自适应监督和聚类混合的入侵检测系统(Adaptively Supervised and Clustered Hybrid Intrusion Detection System, AC-IDS)。系统建立在混合IDS框架的基础上,将传感器聚合数据分类后导入到基于机器学习的误用检测子系统和异常检测子系统,两个子系统分别用来检测已知攻击和未知攻击。实验结果表明,该系统的入侵检出率高达98.9%,检测传感器网络中已知和未知的恶意行为的总准确率约为99.80%。     

基于粒子群和人工免疫的混合入侵检测系统研究

目前,漏报率和误报率高一直是入侵检测系统（IDS）的主要问题,而IDS主要有误用型和异常型两种检测技术。根据这两种检测技术各自的优点以及它们的互补性,本文给出一种基于人工免疫的异常检测技术和基于粒子群优化（PSO）的误用检测技术相结合的IDS模型;同时,该系统还结合特征选择技术降低数据维度,提高系统检测性能。实验表明,该
系统具有较高的检测率和较低的误报率,可以自动更新规则库,并且记忆未知类型的攻击,是一种有效的检测方法。     

MAIDS-多检测技术的IDS模型

目前,入侵检测系统的漏报率和误报率高一直是困扰IDS用户的主要问题,而入侵检测系统主要有误用型和异常型两种检测技术。针对这一问题,根据这两种检测技术各自的优点,以及它们的互补性,将两种检测技术结合起来的方案越来越多地应用于IDS中。论文提出了基于统计的异常检测技术和基于模式匹配的误用检测技术及其它检测技术相结合的IDS模型-MAIDS,以期达到减少入侵检测系统的漏报率和误报率的目的,从而提高系统的安全性。     

工业控制系统IDS技术研究综述

工业控制系统(Industrial Control System,ICS)作为工业大脑,与互联网连接的趋势越来越明显,但是开放的同时也暴露出严重的脆弱性问题。入侵检测作为重要的安全防御措施,能及时发现可能或潜在的入侵行为。论文从ICS网络安全现状及国家法律政策入手,首先介绍了ICS系统架构及其特点,给出了IDS入侵检测系统(Intrusion Detection System,IDS)的介绍,其次从误用入侵检测、异常入侵检测两个方面,对现有的ICS IDS的技术、算法的研究现状进行分析,最后针对当前ICS IDS的发展与应用现状,对整个ICS IDS的研究趋势进行了展望。     

基于用户可信度的误用入侵检测系统的研究

提出了基于用户可信度的误用IDS模型,该模型对IDS框架结构、签名匹配策略及协同机制都进行了改进。鉴于通用入侵检测框架CIDF（Common Intrusion Detection Framework）结构中缺少对入侵等级划分的机制,提出了基于用户可信度量化的等级划分方法,提高了系统的合理性。定义了误用IDS安全级别,通过预警原理实现低安全级别IDS对未知入侵的预防作用。另外,在用户可信度IDS中使用了局部性原理,进而改善了签名匹配策略并提高了签名的匹配效率和准确率。     

IDS、HONEYPOT与数据挖掘技术相结合的研究

在网络安全技术飞速发展的今天,入侵检测技术成为主动抵御黑客攻击的有效方式,但是入侵检测技术本身还存在缺陷。本文提出了利用蜜罐技术的优点来弥补入侵检测系统的不足,在出现未知攻击时,则采用数据挖掘技术生成新的IDS规则,从而提高系统的检测性,共同保障网络的安全。     

基于信息融合的入侵检测系统研究

研究在入侵检测中,采用信息融合的方法,试图解决当前入侵检测系统中存在的问题。提出了用于入侵检测的信息融合模型,并应用贝叶斯网络的多书传播算法给出了信息融合的方法。采用和挑选DARPA2000中的数据作为样本,通过实验验证,基于信息融合技术的入侵检测方法能够提高检测度,降低误报率。     

一种基于网络安全风险评估的入侵检测方法

针对传统的入侵检测系统存在报警数量大、误报率高等缺陷,提出了一种基于网络安全风险评估的入侵检测方法,该方法基于入侵检测结果,引入抗体浓度随入侵强度动态变化这一人工免疫理论的最新研究成果进行网络安全风险的计算,然后根据当前网络面临的实时安全风险动态设置报警策略。实验结果表明,该方法能够实时、定量地计算主机和网络所面临的风险,并极大地降低报警数量和误报率。     

基于邻域粗糙集的入侵检测

针对入侵检测系统存在的高漏报率和误报率,提出了一种基于邻域粗糙集的入侵检测方法.该方法在粗糙集理论的基础上引入邻域概念,这样便无需对数据进行离散化处理,可以减少信息损失.实验结果表明:该方法可选择出更为重要的属性组合,从而获得较高的检测率和较低的漏报率与误报率.     

传统NIDS漏报和误报起因及改进技术

传统的网络入侵检测系统大都采用模式匹配的方法进行入侵检测,有着非常高的漏报率和误报率。本文通过对模式匹配算法检测过程的描述,对其产生漏报和误报的原因进行了分析。针对模式匹配算法带来的高漏报率和误报率,引入了协议分析的方法。协议分析方法通过辨别数据包的协议类型,然后使用相应的数据分析程序进行检测。这种方法可以大幅度地降低漏报率和误报率,大大地提高了入侵检测系统的效率。     

基于LISOMAP的相关向量机入侵检测模型

针对现有入侵检测模型分类检测精度低、误报率高的问题,提出一种基于地标等距映射(LISOMAP)的相关向量机(RVM)入侵检测分类模型。首先采用LISOMAP对训练样本中的数据进行非线性降维,结合深度优先搜索(DFS)参数优化的RVM进行分类检测。结果表明,该模型与基于主成分分析(PCA)法的支持向量机(SVM)、基于LISOMAP的SVM模型相比,在保证一定检测率的情况下,误报率有了明显下降。     

基于环境信息降低入侵检测误报率

采用单包分析技术的网络入侵检测系统常具有较高的误报率,影响其实用性。本文针对误用网络型入侵检测系统建立一个警报过滤机制,该机制找出攻击成功时所需具备的环境条件。当入侵检测系统发现可疑入侵时,依据环境条件加以实时确认查核,从而减少误报。     

用于入侵检测的动态克隆选择算法的研究

针对目前动态克隆选择算法在入侵检测应用中存在较高的误检率的缺陷,提出了一种改进动态克隆选择算法。文章对改进算法进行了描述,建立了一种基于该改进动态克隆选择算法的入侵检测系统（IDS）模型,并进行了仿真实验。仿真实验表明,改进后的算法在降低误报率的情况下,提高了正确检测率。     

基于序列模型的无线传感网入侵检测系统

随着物联网(IoT)的快速发展，越来越多的IoT节点设备被部署，但伴随而来的安全问题也不可忽视。IoT的网络层节点设备主要通过无线传感网进行通信，其相较于互联网更开放也更容易受到拒绝服务等网络攻击。针对无线传感网面临的网络层安全问题，提出了一种基于序列模型的网络入侵检测系统，对网络层入侵进行检测和报警，具有较高的识别率以及较低的误报率。另外，针对无线传感网节点设备面临的节点主机设备的安全问题，在考虑节点开销的基础上，提出了一种基于简单序列模型的主机入侵检测系统。实验结果表明，针对无线传感网的网络层以及主机层的两个入侵检测系统的准确率都达到了99%以上，误报率在1%左右，达到了工业需求，这两个系统可以全面有效地保护无线传感网安全。     

基于抗体浓度的实时网络风险控制系统的设计与实现

系统采用人工免疫理论,通过对传统入侵检测系统Snort的实时检测结果进行分析,根据抗体浓度随网络入侵强度动态变化的特点,计算出当前网络风险值,反映出当前网络所面临的各类攻击和整体风险状况;Snort依赖规则匹配对数据包进行检测,由于检测过程未考虑当前的网络风险状况,对所有的匹配都发出报警,存在误报率过高的问题,系统针对不同攻击的危险程度设定报警阈值和丢包阈值,降低Snort的误报率;并根据风险值大小,采取通过、报警、丢包阻断等响应措施。实验表明,该系统能够准确计算出主机和网络所面临的实时风险,降低Snort误报率,并能根据风险值大小制定有效的响应措施     

基于异常的终端级入侵检测

入侵检测技术作为计算机防护的主要技术手段, 因具有适应性强、能识别新型攻击的优点而被广泛研究, 然而识别率和误报率难以保证是该技术的主要瓶颈. 为了提升异常检测技术的识别率并降低误报率, 提出了一种终端级入侵检测算法(terminal-level intrusion detection algorithm, TL-IDA). 在数据预处理阶段把终端日志切割成连续的小块命令序列, 并引入统计学的常用指标为命令序列构建特征向量, 再使用TL-IDA算法通过特征向量对用户建模. 在此基础上, 还提出了一种滑动窗口判别法, 用于判断系统是否遭受攻击, 从而提升入侵检测算法的性能. 实验结果表明, TL-IDA算法的平均识别率和误报率分别达到了83%和15%, 优于同类的基于异常技术的终端级入侵检测算法ADMIT、隐马尔可夫模型法等.