一种基于免疫学理论的入侵检测系统

描述了一种基于免疫学理论的入侵检测系统的体系结构,简要说明了系统的特点,介绍了免疫检测器的生成模型和生命周期。     

基于海明距离的多重否定选择异常检测算法

基于免疫学的入侵检测技术是利用生物免疫系统的原理、规则和运行机制实现对入侵行为的检测.目前大多数入侵检测系统的核心算法采取简单的匹配技术,只能检测出已知攻击并且误报漏报率较高.本文在深入分析免疫算法基础上,提出一种基于海明距离多重否定选择算法的异常检测方法,该算法通过多次过滤生成检测器,在提高入侵检测效率的同时减少黑洞的产生.     

基于粗集理论和人工免疫的入侵检测方法

提出基于Rough集理论和人工免疫的入侵检测系统,通过Rough集理论对网络数据约简得到规则检测器,使用规则检测器设计了基于Rough集的反向选择算法,得到免疫检测器。利用免疫检测器和规则检测器,构造了基于Rough集和人工免疫的入侵检测算法。实验表明,该算法提高了基于人工免疫的入侵检测系统的效率。     

基于免疫的入侵检测方法研究

生物的免疫系统和计算机安全系统所面临及需要解决的问题十分类似．采用生物免疫思想的入侵检测技术可以结合异常检测和误用检测的优点．研究了基于免疫的入侵检测方法，对Self集的确定和有效检测器的生戍方法进行了研究和改进，基于反向选择机制提出了一种新的有效检测器生成算法．可以使用较少的有效检测器检测网络中的异常行为，从而提高了有效检测器生成和入侵检测的速度．通过与基于已有的有效检测器生成算法的系统进行比较，使用本文的方法构造的入侵检测系统速度更快．且有较高的准确性．     

改进的否定选择算法在入侵检测中的应用

针对基于否定选择算法入侵检测系统检测率低的问题,提出一种新的入侵检测算法,着重分析了检测器生成模块,对原否定选择算法做出了改进。改进算法主要对采用了基于空间包含的匹配算法和B、T双检测器来进行检测,增强检测器的多样性,提高了入侵检测系统的检测能力。最后通过实验证明,改进的否定选择算法提高了入侵检测系统的检测率。     

一种基于免疫学原理的入侵检测模型

通过对基于免疫原理的入侵检测相关技术的深入研究,提出了一个判断随机模式是否有漏洞的算法.对记忆检测器的冗余问题,借鉴免疫系统的变异原理,对记忆检测器集合进行了优化.在以上研究的基础上设计了一个新的入侵检测系统模型,模型中引入了检测器的亲和力成熟过程、记忆检测器变异以及非完全匹配规则,该模型具有分布性、自适应性以及轻负荷等优点.     

基于粗糙集与生物免疫的入侵检测模型研究

该文将粗糙集理论与生物免疫相结合,提出一种基于粗糙集与生物免疫的入侵检测模型。该模型由规则库、数据处理模块、检测器及报警处理模块等组成。与传统入侵检测模型相比,该入侵模型借用了粗糙集和生物免疫的优势,实现了误用入侵与异常入侵的同时检测,对免疫细胞的产生有针对性,且具有整体协作性、动态适应性的特点,是一种能够适应复杂网络环境的入侵检测模型。     

移动Agent技术在入侵检测系统的应用研究

本文从讨论基于主机的入侵检测系统的局限性出发,分析了入侵检测系统中主机检测器基于移动Agent的技术,提出了一种基于移动Agent的入侵检测系统模型,并对模型进行了详细分析和设计。     

移动Agent技术存入侵检测系统的应用研究冯锋

本文从讨论基于主机的入侵检测系统的局限性出发,分析了入侵检测系统中主机检测器基于移动Agent的技术,提出了一种基于移动Agent的入侵检测系统模型,并对模型进行了详细分析和设计。     

一种基于移动Agent的入侵检测系统

由于基于主机的入侵检测系统的局限性，使得基于移动Agent的入侵检测技术显得日益重要。本文从讨论基于主机的入侵检测系统的局限性出发，分析了入侵检测系统中主机检测器基于移动Agent的技术，提出了一种基于移动Agent的入侵检测系统模型，并对模型进行了详细分析和设计。     

Risk balance defense approach against intrusions for network server

The paper presents a new defense approach based on risk balance to protect network servers from intrusion activities. We construct and implement a risk balance system, which consists of three modules, including a comprehensive alert processing module, an online risk assessment module, and a risk balance response decision-making module. The alert processing module improves the information quality of intrusion detection system (IDS) raw alerts by reducing false alerts rate, forming alert threads, and computing general parameters from the alert threads. The risk assessment module provides accurate evaluation of risks accordingly to alert threads. Based on the risk assessment, the response decision-making module is able to make right response decisions and perform very well in terms of noise immunization. Having advantages over conventional intrusion response systems, the risk balancer protects network servers not by directly blocking intrusion activities but by redirecting related network traffics and changing service platform. In this way, the system configurations that favor attackers are changed, and attacks are stopped with little impact on services to users. Therefore, the proposed risk balance approach is a good solution to not only the trade-off between the effectiveness and the negative effects of responses but also the false response problems caused by both IDS false-positive alerts and duplicated alerts.     

基于人工免疫的多Agent自适应入侵检测系统

简介了入侵检测系统(IDS)的基本概念，指出了目前的入侵检测系统存在的不足。为了解决传统入侵检测系统中的不足，将人工免疫原理引入入侵检测系统。根据自然免疫系统的特点，提出建立基于人工免疫原理的多Agent网络入侵检测系统，该系统采用了基于多Agent的分布式体系结构，同时应用了阴性选择、克隆选择、基因库进化以及联想记忆等人工免疫原理，使得构造的网络入侵检测系统具有自适应性、分布性、自识别能力和可扩展性的特点。     

利用Netfilter实现NIDS集群的研究和实践

目前基于网络的入侵检测系统(NIDS)面临普通单机检测设备的数据包处理能力不能适应网络带宽发展需求的问题，该文介绍了利用NIDS集群在高速网络环境下实现入侵检测的方法。根据NIDS集群的特点利用Linux内核中Netfilter模块实现了数据包基于分流转发和会话的动态负载均衡。并通过使用基于Linux操作系统的IDS负载均衡器实现了NIDS集群在高速网络环境下的入侵检测。     

一种基于人工免疫理论的入侵检测模型

基于智能技术的异常检测正成为IDS研究的一个重要方向,其研究目标主要是提高检测系统的准确性、实时性、高效性以及自适应性,借鉴生物免疫系统的计算机免疫系统将成为解决入侵检测问题的有效手段。本文分析了生物免疫系统的原理,结合生物免疫理论,提出一种基于检测代理的分布式网络入侵检测免疫模型。     

一种基于人工免疫理论的入侵检测模型

基于智能技术的异常检测正成为IDS研究的一个重要方向。其研究目标主要是提高检测系统的准确性、实时性、高效性以及自适应性．借鉴生物免疫系统的计算机免疫系统将成为解决入侵检测问题的有效手段。本文分析了生物免疫系统的原理，结合生物免疫理论．提出一种基于检测代理的分布式网络入侵检测免疫模型。     

生物免疫在入侵检测分析引擎中的应用

分析了生物免疫系统在人工智能系统研究中优良的隐喻机理，针对免疫病理转移造成的入侵检测系统(IDS)的安全漏洞，将生物免疫优良的隐喻机理应用于入侵检测分析引擎的研究与开发，设计了一类测度参数优化算法，并在此基础上提出了一类混合入侵检测分析引擎。该方案避免了免疫病理机制转移进入IDS造成的安全隐患以及现有入侵检测引擎虚警与误警率高的缺陷，增强了IDS的实时性、健壮性、高效性、并行性和可适应性。     

一种基于免疫原理的混合式入侵检测模型

针对现有入侵检测系统的不足,在对入侵检测技术和生物免疫原理比较的基础上,引入并利用可疑度的概念,将基于主机和基于网络的入侵检测系统结合起来,提出了一种基于免疫原理的混合式入侵检测模型。该模型参考免疫系统的分层机制,模拟其否定选择、科隆选择及直接被动免疫过程,并对自我集的实时流定义方法,检测元的生命周期等作了说明。     

一种基于关联规则的分布式入侵检测模型

高虚警率和漏警率是当前入侵检测系统(IDS)的主要问题。采用基于CBW关联规则的数据挖掘算法,提出了一种新的分布式入侵检测模型,并分析了各模块的具体功能与实现。经实验分析,本模型可以有效降低虚警率和漏警率,同时在一定程度上实现各分节点间的快速协作检测能力。     

基于遗传算法的免疫入侵检测分析引擎

分析了生物免疫病理转移造成的免疫入侵检测系统(IDS)的安全漏洞,将遗传算法应用于入侵检测分析引擎的研究与开发,结合生物免疫优良的隐喻机理设计了一类测度参数优化算法,提出一类混合入侵检测分析引擎。该方案发挥了遗传算法并行操作、全局寻优、自适应优化等特征,避免了免疫病理机制转移进入IDS造成的安全隐患以及现有入侵检测引擎虚警与误警率高的缺陷,增强了免疫IDS的实时性、健壮性、高效性、并行性和可适应性。     

Intrusion detection in computer networks by a modular ensemble of one-class classifiers

Since the early days of research on intrusion detection, anomaly-based approaches have been proposed to detect intrusion attempts. Attacks are detected as anomalies when compared to a model of normal (legitimate) events. Anomaly-based approaches typically produce a relatively large number of false alarms compared to signature-based IDS. However, anomaly-based IDS are able to detect never-before-seen attacks. As new types of attacks are generated at an increasing pace and the process of signature generation is slow, it turns out that signature-based IDS can be easily evaded by new attacks. The ability of anomaly-based IDS to detect attacks never observed in the wild has stirred up a renewed interest in anomaly detection. In particular, recent work focused on unsupervised or unlabeled anomaly detection, due to the fact that it is very hard and expensive to obtain a labeled dataset containing only pure normal events.The unlabeled approaches proposed so far for network IDS focused on modeling the normal network traffic considered as a whole. As network traffic related to different protocols or services exhibits different characteristics, this paper proposes an unlabeled Network Anomaly IDS based on a modular Multiple Classifier System (MCS). Each module is designed to model a particular group of similar protocols or network services. The use of a modular MCS allows the designer to choose a different model and decision threshold for different (groups of) network services. This also allows the designer to tune the false alarm rate and detection rate produced by each module to optimize the overall performance of the ensemble. Experimental results on the KDD-Cup 1999 dataset show that the proposed anomaly IDS achieves high attack detection rate and low false alarm rate at the same time.