基于免疫机理的自适应入侵检测系统模型

针对当前入侵检测系统存在的问题采用了一种基于生物免疫机制的自适应入侵检测系统模型,该系统结合了异常检测和误用检测的优点,不仅可以依据现有的规则进行检测,还可以自适应在线升级自身的抗体规则,从而提高了系统抵御新型攻击的能力和自适应性。     

基于自律计算的主动入侵检测模型

针对传统入侵检测系统的被动检测机制问题,借鉴自律计算思想,提出了一个具有自律特性的主动入侵检测模型．该模型以自主管理器为核心,在Agent协同层引入拍卖机制感知系统环境变化和管理调配被管资源,自主处理入侵信息,实现对入侵行为的主动响应．实验结果表明,通过合理的参数配置,该模型能有效提高入侵检测系统的自适应性和检测准确率．     

网络误用和异常入侵检测系统设计

文中讨论了误用和异常入侵检测技术存在的不足,提出结合误用检测和异常检测的入侵检测系统模型,该系统利用规则匹配检测已知入侵,利用免疫算法检测未知入侵并更新规则数据库,检测效率较高。     

基于误用和异常技术相结合的入侵检测系统的设计与研究

目前,入侵检测系统(IDS) 的漏报率和误报率高一直是困扰IDS用户的主要问题,而入侵检测系统主要有误用型和异常型两种检测技术,根据这两种检测技术各自的优点,以及它们的互补性,将两种检测技术结合起来的方案越来越多地应用于IDS中。该文提出了基于统计的异常检测技术和基于模式匹配的误用检测技术相结合的IDS模型,减少了单纯使用某种入侵检测技术时的漏报率和误报率,从而提高系统的安全性。     

基于分类算法的校园网络入侵检测系统研究

通过对入侵检测技术的分析,文中提出了一种基于分类算法的关于误用检测和异常检测的入侵检测系统模型框架。通过对决策树算法的改进,该系统的误报率和漏报率得到了有效降低,入侵检测系统的检测率得到了一定的提高。     

入侵检测系统的规则研究与基于机器学习的入侵检测系统模型

入侵检测系统（IDS）分为异常检测模型和误用检测模型。异常检测模型首先总结正常操作应该具有的特征，得出正常操作的模型，对后续的操作进行监视，一旦发现偏离正常统计学意义上的操作模式，即进行报警。误用检测模型是收集入侵检测行为的特征，建立相关的规则库，在后续的检测过程中，将收集到的数据与规则库中的特征代码进行比较，得出是否是入侵的结论。本文主要研究了入侵检测系统中的规则的建立，并通过在基于误用检测的Snort入侵检测系统中增加一个规则学习模块——LERAD，提出了一个基于机器学习的入侵检测系统模型。     

基于拟牛顿算法优化神经网络的入侵检测研究

当前的入侵检测技术主要有基于规则的误用检测和基于统计的异常检测.提出了一种基于拟牛顿算法优化神经网络的入侵检测方法,与传统算法相比,该方法具有收敛快,检测率高等优点.     

一种实用入侵检测系统的设计

提出一种入侵检测系统的设计,并给出实现概要。系统结合异常入侵检测方法和误用 入侵检测方法,提高检测准确率,并具有良好扩展性。     

基于粗糙集和人工免疫的集成入侵检测模型

针对当前入侵检测存在的问题,通过引入粗糙集方法,综合误用检测和异常检测设计了一种基于粗糙集和人工免疫的集成入侵检测（RSAI-IID）模型,提出了一种在入侵检测中实现疫苗注入的方法。采用粗糙集方法获取疫苗,并保证了疫苗的优良性,优化检测性能;误用检测筛掉已知的入侵行为,提高检测的速度;异常检测针对未知攻击进行实时检测。最后在KDD99数据集上进行实验仿真,验证了模型的可行性和有效性。     

基于免疫的多Agent入侵检测系统

将生物免疫系统的原理引入到入侵检测系统中，构建了一个基于免疫的多Agent入侵检测系统。组成该系统的Agent在网络的各个节点间流动．实时监测网络状况，同时Agent能够互相识别各自的行为并能根据潜在的策略采取适当的反应。与其它的入侵监测系统相比该系统增加了层次性、分布性、可适应性、健壮性、自制性等特点。     

多Agent模糊联想记忆的入侵检测

入侵检测对往往需要考虑多种复杂因素时的计算量大，且基于二元逻辑的判决模式，具有较高的误报率。因此运用模糊综合判决，并且运用模糊联想双向网络来存储入侵模式的入侵检测系统对于多种因素时能有效判决且计算简单。而且在系统中使用协议分析来提供数据输入，每个协议分析或网络安全某一方面的检测可独立为一个Agent，入侵的不同方面就构成了一个分布式的多Agent系统。     

基于Agent的分布式入侵检测系统研究

为了提高入侵检测系统在体系结构上的灵活性、提高入侵检测的速度,本文将Agent技术应用于入侵检测,探讨了基于Agent的入侵检测技术和模型。首先分析了网络安全及入侵检测系统的研究现状及发展趋势,以及入侵检测技术在网络安全中的重要地位和作用。在对入侵检测技术及Agent技术深入分析的基础之上,提出了一种基于Agent的入侵检测系统模型,研究了构成基本构架的各个子系统在整个模型中的作用及相互关系,给出了各自的设计实现方法,并重点讨论了基于Agent的分布式入侵检测系统模型的通信问题。     

Random-Forests-Based Network Intrusion Detection Systems

Prevention of security breaches completely using the existing security technologies is unrealistic. As a result, intrusion detection is an important component in network security. However, many current intrusion detection systems (IDSs) are rule-based systems, which have limitations to detect novel intrusions. Moreover, encoding rules is time-consuming and highly depends on the knowledge of known intrusions. Therefore, we propose new systematic frameworks that apply a data mining algorithm called random forests in misuse, anomaly, and hybrid-network-based IDSs. In misuse detection, patterns of intrusions are built automatically by the random forests algorithm over training data. After that, intrusions are detected by matching network activities against the patterns. In anomaly detection, novel intrusions are detected by the outlier detection mechanism of the random forests algorithm. After building the patterns of network services by the random forests algorithm, outliers related to the patterns are determined by the outlier detection algorithm. The hybrid detection system improves the detection performance by combining the advantages of the misuse and anomaly detection. We evaluate our approaches over the Knowledge Discovery and Data Mining 1999 (KDD’99) dataset. The experimental results demonstrate that the performance provided by the proposed misuse approach is better than the best KDD’99 result; compared to other reported unsupervised anomaly detection approaches, our anomaly detection approach achieves higher detection rate when the false positive rate is low; and the presented hybrid system can improve the overall performance of the aforementioned IDSs.      

分布式入侵检测系统的体系架构

由于 ＴＣＰ／ＩＰ协议的开放性，目前的网络极易受到攻击。网络入侵行为，特别是分布式入侵行为，给网络的正常运行造成了巨大的危害，阻碍了网络经济的迅速发展。为了能有效地检测和跟踪入侵行为，这里提出了一个基于智能代理的入侵检测系统的体系结构和分布跟踪算法。该系统是一个分布式实时入侵检测系统，它由智能的主机代理、网络代理和路由器／网关代理组咸。每个智能代理都是独立的实体，拥有解决问题的不完全的信息或能力，通过协同工作并使用分布跟踪算法，实时检测网络入侵行为，跟踪网络入侵者，有效地维护网络安全。     

基于CORBA的网络入侵检测系统的设计与实现

针对目前网络入侵检测系统的不足，文章提出了一种基于CORBA的分布式网络入侵检测模型，设计并实现了一个基于该模型的入侵检测系统，详细讨论了系统的体系结构、通信模型和实现技术等。系统由物理上分散的管理点和检测点两部分组成，能够对大型分布异构网络进行有效的入侵检测。     

基于聚类学习算法的网络入侵检测研究

目前的入侵检测系统存在着在先验知识较少的情况下推广能力差的问题。在入侵检测系统中应用聚类算法,使得入侵检测系统在先验知识少的条件下仍具有良好的推广能力。首先介绍入侵检测研究的发展概况和聚类算法;接着提出了基于聚类算法的入侵检测方法;然后以KDD99这类常用的入侵检测数据为例,讨论了该方法的工作过程;最后将计算机仿真结果进行了分析。通过实验和比较发现,基于聚类学习算法的入侵检测系统能够比较有效地检测真实网络数据中的未知入侵行为。     

Network intrusion detection method based on matrix factorization of their time and frequency representations

In the last few years, detection has become a powerful methodology for network protection and security. This paper presents a new detection scheme for data recorded over a computer network. This approach is applicable to the broad scientific field of information security, including intrusion detection and prevention. The proposed method employs bidimensional (time-frequency) data representations of the forms of the short-time Fourier transform, as well as the Wigner distribution. Moreover, the method applies matrix factorization using singular value decomposition and principal component analysis of the two-dimensional data representation matrices to detect intrusions. The current scheme was evaluated using numerous tests on network activities, which were recorded and presented in the KDD-NSL and UNSW-NB15 datasets. The efficiency and robustness of the technique have been experimentally proved.     

基于Agent的模糊控制器机理研究

提出了基于Agent的模糊控制器，定义了概念模型和组成结构。Agent具有自己的目标、意图和信念，能对外界进行预测。多个Agent之间协商合作进行模糊推理，增强了系统的稳定性和适应性。利用L*语言对Agent的心智状态进行了形式化描述，阐明了模糊推理Agent的模糊推理过程。给出了模糊推理Agent之间进行通信的规约。用VC十十定义了模糊推理Agent的COM组件模型。     

一种恶意软件实时检测模型

启发式扫描检测入侵行为未知的恶意软件,存在误报及漏报问题,且不能有效监控Rootkit。基于＂通过监控某种恶意行为,实现对一类入侵方式未知的恶意软件的实时检测＂的思想,提出了一种实时检测入侵行为未知恶意软件的Petri网模型,给出了性能测量及优化方法。通过在模型指导下建立的恶意软件实时检测系统中采集关键参数,完成了模型性能评价和调整。设计的系统可实时准确地检测具有特征行为的恶意软件。