基于系统调用特征的入侵检测研究

对网络服务程序进行攻击是非法用户入侵系统的主要途径 ,针对关键程序的入侵检测近年来受到重视 .该文提出的CTBIDS检测模型在利用系统调用特征树描述程序行为特征的基础上 ,通过异常有限积累判别程序入侵 ,既能体现异常状况的长期积累 ,也能很好地反映入侵的异常局部性原理 .此外 ,该文通过统计分析方法确定入侵判别参数 ,使得入侵判别更加准确 .测试及试用结果表明CTBIDS能有效检测出针对关键程序的攻击     

一种基于数据挖掘的入侵检测模型

现有入侵检测系统不但误报率高，且实时性差，这是由于入侵检测需要处理大量数据，数据挖掘技术的优势在于能从大量数据中发现特征和模式，本文提出了一种基于数据挖掘的入侵检测系统模型，并研究了建模过程的几个算法。     

数据挖掘在协同入侵检测系统中的应用研究

随着网络安全问题的日益重要,入侵检测领域的研究越来越深入,但目前IDS的误报和漏报不能使人满意。该文提出了一种基于数据挖掘方法的协同入侵检测系统(CoIDS)框架。文章详细讨论了协同工作和数据挖掘方法在入侵检测中的应用。使用了多种数据挖掘方法来建立检测模型,并采用了Agent/Manger/UI三层实体结构。并通过具体的例子重点介绍了在此框架中数据挖掘的应用过程。     

可控网络攻击源追踪技术研究

提出一种新的基于网络入侵检测的攻击源追踪方法．给出了系统模型，深入分析了攻击链路集合构造和攻击链路上下游关系的确定方法，在此基础上提出攻击路径构造算法．实验结果表明，该系统能够在可控网络环境下实时、准确地对攻击源进行追踪．和已有方法相比，新的方法在实用性、追踪的准确性、系统的可扩展性等方面有明显提高．     

分布式入侵检测模型研究

提出了分布级别的概念对分布式入侵检测系统进行分类，并引入信息抽象级别对入侵检测中审计数据所经历的逻辑抽象层次进行表述．在对现有的层次检测模型和协作检测模型的优点和缺陷进行详细分析之后，提出了一种用于分布式入侵检测系统的层次化协作模型(HCM)，并完成了相应的原型系统．该模型可以有效地综合两种现有模型的优点，在保证结点可控性和检测效率的同时提高系统的容错性和协作能力．     

基于DFA的大规模入侵建模方法研究

针对攻击树在大规模入侵建模中对系统状态变化描述的不足,提出了基于DFA的大规模入侵建模方法,并给出了一个基于攻击函数和系统状态二元组的攻击描述语言,最后对入侵检测实现进行了简单讨论。     

基于移动代理、关键主机隐藏技术的IDS体系结构

本文介绍了一种安全灵活的入侵检测系统体系结构，通过运用关键主机隐藏技术，使关键主机对于主动探测，被动监听均不可见，提高了系统自身的安全性，同时，通过引入移动代理，限制入侵检测系统各部分之间的通信等机制，增强本体系结构对于拒绝服务攻击的抵抗力，系统通过使用智能移动代理在网络节点上收集处理信息，提高了入侵检检测系统的灵活性，减少了网络负载。     

一种基于神经网络的黑客入侵检测新方法

给出了一个基于神经网络的网络入侵检测系统模型．该模型可对网络中的IP数据包进行分析处理以及特征提取，并采用智能神经网络进行学习或判别，以达到对未知数据包进行检测的目的．首先建立功能专一、结构简单、易于构造的神经网络来完成单一的黑客入侵检测任务，然后利用智能神经网络组成原理将这些能够检测多种多样的黑客入侵的小网合并，组合成功能完善、结构复杂的大网来完成整个检测任务．实验证明这是一种行之有效的网络入侵检测的解决方法．     

基于路由器代理的分布式湮没检测系统

TCP同步湮没是最常见也是最重要的拒绝服务攻击，研究其防范措施对保障网络安全具有重要意义．为弥补状态检测防火墙和基于服务器方案等传统对策的不足，湮没检测系统FDS在叶节点路由器上监控TCP控制分组，根据“SYN-FIN匹配对”协议特性对本地统计信息进行分析以检测攻击．为保护大规模网络，该文将基于代理的分布式入侵检测理论与湮没攻击检测结合，给出了面向硬件的简化系统SFDS．以SFDS作为集成在路由器网络接口的检测代理，提出了一种高性能的分布式湮没检测系统并论述了其全局判决机理．     

一种新的网络入侵模式提取算法及其应用

该文在分析国内外现有入侵检测技术和系统的基础上,提出了一种基于实时入侵时态知识模型和可变滑动窗口的实时模式提取算法,并在此基础上,实现了基于规则的、层次化的智能入侵检测原型系统(RIDES)。实验结果表明:该系统不仅能快速检测网络入侵,而且具有一定的学习能力,能够适应不同的网络应用环境。