基于协议分析的IPV6入侵检测系统研究

IPv6正在逐步普及,将是下一代互联网的核心技术,与之相关的安全问题也引起人们的关注。网络入侵检测系统是实现主动防御的关键技术,在分析了IPv6网络主要特点和协议分析基本原理之后,研究了基于协议分析IPv6网络入侵检测系统的框架。     

一种基于MAS的入侵检测方法

本文根据入侵检测的现状和存在问题,结合Multi-Agent系统(MAS)的特点.提出一种基于MAS的入侵检测方法一MAIDS.结合完备的入侵指征库.该方法能正确完成各种入侵检测任务.为用户和系统安全保驾护航.     

一种采用混合检测器的入侵检测系统

传统的基于免疫的入侵检测系统采用低级别的二进制检测器,妨碍了有意义的知识提取,对Nonself空间的覆盖也不完备。对二进制Self集的确定和有效检测器的生成方法进行了改进,研究了实值否定选择算法,加入了实值检测器,构成混合检测器集合,在检测阶段对会话和数据包同时进行异常检测。实验结果ROC曲线表明有较高的检测率和较低的误报率。     

基于异构机群的高速网络入侵检测系统

结合异构机群系统,提出一种基于双向驱动的分流算法,将高速数据流分为多个子数据流,把子数据流交由异构机群系统中最合适的节点处理,实现基于异构机群的高速网络入侵检测系统。实验结果表明,该系统保证了某时间段内具有相同源或目的地址的所有数据包发向同一个后端IDS引擎进行检测,能在高速网络环境下保持高检测率,并有效解决负载均衡问题。     

BIC评分贝叶斯网络模型及其应用

针对入侵检测系统漏报率、误报率高的缺点,以贝叶斯信息标准(BIC)评分函数为尺度,结合爬山搜索算法,降低朴素贝叶斯网络模型的强独立性假设,提出更符合实际情形的BIC评分贝叶斯网络模型。对模型进行验证和性能分析,实验结果表明,基于BIC评分函数的贝叶斯网络模型对行为特征渐变的DoS攻击和刺探攻击具有较高识别率。     

基于检测信息交换的WMNs入侵检测模型

由于无线通信的距离限制,在无线Mesh网络(WMNs)中很难有效地检测高速移动的恶意节点。该文提出一种基于检测信息交换的入侵检测模型。该模型基于WMNs中大多数的Mesh路由器具有低移动性的特性,采用Mesh路由器之间交换检测信息的方法,实现检测WMNs中高速移动的恶意Mesh路由器。     

一种基于流量控制技术的分布式DDOS攻击检测框架研究

DDOS攻击是当前网络安全的最大威胁之一。将分布式检测技术与流量控制技术相结合提出了一种D＆SFC（Distributed and Simple Flow Control）DDOS攻击检测框架,即具有简单流量控制功能的分布式DDOS检测框架。其特点是利用多层次的结构,结合包过滤及带宽控制技术,在网络拓扑的不同节点上实现网络流量的简单控制,在进行DDOS攻击检测的同时降低了攻击数据包对网络性能的影响。     

Snort平台下基于BP网络的预处理插件

在Snort平台使用预处理插件的基础上,提出使用BP神经网络实现一个入侵检测预处理插件.该插件使用改进的BP算法,分为训练部分和检测部分.训练部分是独立的系统,使用样本数据训练得出网络结构参数;检测部分作为插件使用得到的参数构造BP网络并集成到snort中.给出了插件训练部分的详细实现方式,实验结果表明,该插件对异常网络数据包具有较高的检测率,是一种有效的入侵检测系统插件.     

构造面向Windows的轻型入侵检测与响应系统

针对许多基于Windows平台的中小型网站提出的安全需求,在分析相关数据截获与访问控制技术的基础上,提出了一种以改造的Snort规则库作为攻击特征库,利用SPI实现检测引擎,利用NDIS实现主动响应构件的Windows主机入侵检测与响应系统,它实现简单灵活,透明性和可维护性较好.     

基于Snort规则库的冲突检测

为了解决Snort入侵检测系统中由于规则库存在冲突而可能导致的漏报和误报问题,提出了检测规则冲突的方法.定义了规则之间的关系;通过单根结构的策略树简单有效的表示规则,并揭示规则之间的关系;由规则之间的关系和相对顺序定义了冲突的类型,并通过冲突状态转换图反映冲突发现的过程,在此基础上进一步提出冲突检测算法;最后对Snort规则库的一部分进行检测,结果表明这种方法可以有效发现冲突.