基于数据挖掘的入侵检测应用研究

论述了入侵检测系统的基本概念,针对目前入侵检测系统中存在的问题,提出了一个基于数据挖掘技术的入侵检测系统模型。介绍了该系统模型的基本思想,阐述其结构及主要功能。在系统的实现方面提出应用新的加权关联规则分析来改进数据挖掘模块的算法并应用与入侵检测系统之中。与传统关联规则入侵系统相比提高了挖掘入侵模式的精度和完整性,降低了误报率的发生。     

基于混合模式的入侵检测系统研究与设计

关联分析和分类分析是数据挖掘的关键技术,但传统算法对入侵检测数据进行处理时有很多的不足,使用加权关联分析和核机器分类算法构造混合型入侵检测系统,设计后的系统框架分为检测客户端和检测服务端,检测客户端主要是对数据的预处理和生成检测模型;检测服务端主要是判断检测模型,进行入侵数据的二次挖掘.结果说明,该系统具有良好的入侵数据分类效果.     

基于并行关联规则挖掘算法的入侵检测系统的研究

数据挖掘技术已经在入侵检测当中得到应用。为了进一步提高效率。提出将井行关联规则应用到入侵检测的挖掘中，以提高入侵检测的效率。本文提出一个新的分布式的入侵检测系统结构，重点介绍了井行关联规则挖掘算法如何应用于此系统．及其应用于此系统之后的优点。     

基于改进关联规则的网络入侵检测方法的研究

研究关联规则的高效挖掘算法对于提高入侵检测的准确性和时效性具有非常重要的意义.针对现行的入侵检测方法建立的正常模式和异常模式不够准确、完善,容易造成误警或漏警的问题,本文将改进后的关联规则挖掘算法-XARM和关联规则增量更新算法-SFUP应用于网络入侵检测,提出了新的入侵检测方法,该方法通过挖掘训练审计数据中的频繁项集建立系统和用户的正常行为模型以及入侵行为模型.     

网络安全事件的关联分析方法的比较研究

随着当前攻击手段和技术的日益复杂化,一次入侵事件往往需要多个步骤才能完成,这些步骤都是彼此相关的。但是传统的入侵检测集中于检测底层的入侵或异常,所检测到的结果也仅仅是一次完整入侵的一部分,所以不能将不同的报警结合起来以发现入侵的逻辑步骤或者入侵背后的攻击策略。关联分析技术将不同分析器上产生的报警进行融合与关联分析,极大地减少了报警的数量,降低了入侵检测的误报率,并且适当的减少了入侵检测的漏报率。文中在对网络安全事件关联分析方法的系统结构进行分析后,着重介绍了当前比较流行的几种网络安全事件关联分析方法,最后对各种方法进行了比较研究。     

IDS告警融合与关联模型的研究

入侵检测是保障网络安全的重要手段,针对现有入侵检测系统中告警数量多、协调性差等问题,论文提出了一种具有告警融合与关联功能的告警处理系统模型,该模型冗余告警量少、整体检测能力强,并能进行攻击企图的预测,能有效提高入侵检测的效率,有助于进一步增强网络的健壮性。     

基于加权关联规则的入侵检测研究

提出了采用加权关联规则技术的网络入侵检测系统的结构，将加权关联规则算法应用于入侵模式的挖掘中，在一定程度上提高了入侵检测的检测率，同时使误报率大大降低。     

基于模糊关联规则挖掘的网络入侵检测研究

提出评价入侵检测系统的五个指标,给出了有效性和效率两个参数.然后重点探讨了模糊关联规则在网络入侵检测中的应用,对传统的支持度和置信度概念根据网络入侵检测的特点进行了改进,给出了算法的具体步骤.通过一个实例,与经典的Apriori算法进行对比分析,实验结果表明,用模糊关联规对海量网络日志数据库进行挖掘是一种可行的方法.     

一种函数依赖程序不变量动态检测方法

目前软件质量已成为人们广泛关注、高度重视的热点问题之一.为了保证软件质量,建立了程序不变量发现的基本理论模型,并针对简单的函数依赖不变量提出了检测方法.此方法首先是通过关系数据库理论存储程序的运行轨迹,然后利用关联算法分析变量间的相关性,最后通过回归分析方法确定具有高相关性的变量之间的函数依赖关系.结果表明这种方法对于简单的函数依赖不变量检测具有很好的效果.     

加权关联规则在网络入侵检测系统中的应用

为了解决将关联规则算法应用于入侵检测系统后,在提高系统检测率的同时系统误报率增加的问题,将加权关联规则算法应用于入侵模式的挖掘中,在一定程度上提高了入侵检测的检测率,并降低了误报率。在此基础上,提出了采用加权关联规则算法的网络入侵检测系统的结构。     

大数据环境下的入侵检测系统框架

入侵检测技术在现代网络安全防护技术中占有重要地位,但面对现代大数据环境,传统的入侵检测技术面对瓶颈,很难在大数据量的情况下,做出及时准确的判断分析。简要介绍了现有的Hadoop、Spark等主要大数据软件,并在传统的入侵检测技术的基础上,结合现有的大数据技术,给出了在大数据环境下的入侵检测技术框架。从网络拓扑图的角度,描述了整个网络环境,然后以模块化、流程化的方式,分别详细的描述了流量采集模块、检测分析流程、入侵检测软件栈、报警模块等大数据环境下入侵检测系统的构成部分。最终以此构建了大数据环境下的入侵检测系统。     

网络入侵检测技术研究(上)

入侵检测是近几年发展起来的新型网络安全策略。它实现了网络系统安全的动态检测和监控。文章介绍了入侵检测系统的体系结构和检测方法，指出了入侵检测系统应具有的功能以及入侵检测系统的分类，分析了现有的入侵检测技术以及多种检测技术在入侵检测系统中的应用。     

网络入侵检测技术研究(下)

入侵检测是近几年发展起来的新型网络安全策略，它实现了网络系统安全的动态检测和监控。文章介绍了入侵检测系统的体系结构和检测方法，指出了入侵检测系统应具有的功能以及入侵检测系统的分类，分析了现有的入侵检测技术以及多种检测技术在入侵检测系统中的应用。     

高速网络下入侵检测的一种高效方法

本文介绍了一种数据分流方法,将整个网络流量按照某种原则分成若干部分弄转发到不同的检测设备,并利用多级缓存策略提高整个系统的检测性能。     

基于多核网络处理器平台的网络入侵检测系统方案研究

网络入侵检测是网络安全研究领域的重要方向之一。本文全面分析了网络入侵检测系统的实现技术,结合Cavium公司的多核网络处理器的架构特点及其混合操作系统的特性,提出了基于多核网络处理器的网络入侵检测系统方案,确保了系统吞吐能力、扩展性分析。     

构建基于Snort的入侵检测系统

入侵检测系统IDS是计算机安全体系结构的重要组成部分,它实现实时检测的功能.本文介绍一个使用Snort、PostgreSQL数据库、Apache、PHP、ACID和Razorback搭建入侵检测系统的解决方案.最后给出了对Snort的评价.     

基于误用和异常技术相结合的入侵检测系统的设计与研究

目前,入侵检测系统(IDS) 的漏报率和误报率高一直是困扰IDS用户的主要问题,而入侵检测系统主要有误用型和异常型两种检测技术,根据这两种检测技术各自的优点,以及它们的互补性,将两种检测技术结合起来的方案越来越多地应用于IDS中。该文提出了基于统计的异常检测技术和基于模式匹配的误用检测技术相结合的IDS模型,减少了单纯使用某种入侵检测技术时的漏报率和误报率,从而提高系统的安全性。     

A Distributed and Collaborative Intrusion Detection Architecture for Wireless Mesh Networks

Wireless Mesh Network (WMN) is an emerging heterogeneous network architecture that is growing in importance among traditional wireless communication systems as a cost-effective way of providing Internet services. However, WMNs are particularly vulnerable to malicious nodes given their inherent attributes such as decentralized infrastructure and high dependence of node cooperation. We then propose a distributed and Collaborative Intrusion Detection System (CIDS) architecture for detecting insider attacks at real-time, which comprises: i) a Routing Protocol Analyzer (RPA) to analyze the collected routing traffic and generate respective Routing Events; ii) a Distributed Intrusion Detection Engine (DIDE) that treats the Routing Events by applying Routing Constraints and calculate related Misbehaving Metrics; iii) a Cooperative Consensus Mechanism (CCM) to check the Misbehaving Metrics using a proposed threshold scheme and to track down the source of intrusion. The entire CIDS solution is implemented in a virtualized mesh network platform. The experimental results show the proposed CIDS architecture efficiently detects message fabrication attacks with good precision and low resource consumption.     

无线网格网络中基于非完全信息博弈的入侵检测模型

Wireless Mesh Networks (WMNs ) have many applications in homes, schools, enterprises, and public places because of their useful characteristics, such as high bandwidth, high speed, and wide coverage. However, the security of wireless mesh networks is a precondition for practical use. Intrusion detection is pivotal for increasing network security. Considering the energy limitations in wireless mesh networks, we adopt two types of nodes: Heavy Intrusion Detection Node (HIDN) and Light Intrusion Detection Node (LIDN). To conserve energy, the LIDN detects abnormal behavior according to probability, while the HIDN, which has sufficient energy, is always operational. In practice, it is very difficult to acquire accurate information regarding attackers. We propose an intrusion detection model based on the incomplete information game (ID-IIG). The ID-IIG utilizes the Harsanyi transformation and Bayesian Nash equilibrium to select the best strategies of defenders, although the exact attack probability is unknown. Thus, it can effectively direct the deployment of defenders. Through experiments, we analyze the performance of ID-IIG and verify the existence and attainability of the Bayesian Nash equilibrium.     

基于Linux的网络入侵检测与防火墙集成系统的设计与实现

作为网络安全领域的两大技术，入侵检测系统与防火墙仍然存在一些自身无法解决的问题。在入侵检测系统与Linux内核Netfilter总体框架的基础上，文章提出了集成网络入侵检测系统（NIDS）与防火墙（iptables）系统总体框架．详细介绍了对该框架各模块的初步实现，最后分析了该系统的优缺点。