攻击分类研究与分布式网络入侵检测系统

入侵检测是保护计算机系统安全的重要手段 .攻击分类研究对于系统地分析计算机系统脆弱性和攻击利用的技术方法有着重要的意义 ,这有助于构造高效的入侵检测方法 .通过对现有入侵检测方法和攻击分类方法的分析和研究 ,提出了一种面向检测的网络攻击分类方法—— ESTQ方法 ,并对其进行了形式化描述和分析 .根据ESTQ网络攻击分类方法构造了相应的检测方法 .以此为基础设计了一个具有分布式结构的网络入侵检测系统DNIDS,并进行了原型系统的实现和测试 .     

攻击分类与分布式网络入侵检测系统

入侵检测是保护计算机系统安全的重要手段。攻击分类研究对于系统地分析计算机系统脆弱性和攻击利用的技术方法有着重要的意义,这有助于构造高效的入侵检测方法。通过对现有入侵检测方法和攻击分类方法的分析和研究,提出了一种面向检测的网络攻击分类方法－ESTQ方法,并对其进行了形式化描述和分析。根据ESTQ网络攻击分类方法构造了相应的检测方法。以此为基础设计了一个具有分布式结构的网络入侵检测系统DNIDS,并进行了原型系统的实现和测试。     

攻击技术分类研究

以系统化构建一个为入侵检测与防御提供知识基础的攻击知识库为目标,从攻击者角度出发对攻击技术进行了分类研究,提出了一种符合分类标准的攻击技术分类层次结构,并概述了每种不同的攻击技术。     

安全攻击特征自动提取技术研究

安全攻击特征的提取是基于特征的入侵检测技术的关键.攻击特征自动提取能够自动地发现新攻击,并提取出新攻击的特征.从攻击特征自动提取的现状入手,对安全攻击特征自动提取技术进行了分类研究和详细介绍.     

一种粗糙集-决策树结合的入侵检测方法

针对入侵检测系统收集数据海量、高维、检测模型复杂和检测准确率低等问题,采用粗糙集属性约简的优势寻找与判断入侵与否相关的属性,利用决策树分类算法生成模型并对网络连接进行入侵预测分类检测,从而提出了一种粗糙集属性约简和决策树预测分类相结合的网络入侵检测方法.实验结果表明,该方法在入侵检测准确率上有很大的提高,对DoS攻击、Probe攻击和R2L攻击的检测效果均有所提高,同时大大降低了检测的误报率.     

基于数据挖掘和协议分析的可扩充IDS架构

由于TCP/IP协议的开放性,目前的网络极易受到攻击。文中详细介绍了入侵检测系统的主要思想和技术分类,通过比较不同类型入侵检测系统的优缺点,分析了应用于入侵监测系统的数据挖掘和协议分析技术,并在此基础上提出了一种新的基于安全管理的混合式可扩充入侵检测架构。该构架分层、简单、灵活,具有良好的扩充性。理论分析表明,该架构不仅能提高入侵检测的准确率,而且能提升系统效率,有很好的应用前景。     

基于人工蜂群算法的分布式入侵攻击检测系统

针对网络入侵攻击检测系统检测准确率与计算效率较低的问题,提出一种基于人工蜂群算法的分布式入侵攻击检测系统。将训练集划分为若干的子集,使用特征选择方法提取特征集中类内相关性高、类外相关性低的特征;对人工蜂群算法进行修改,通过引入全局搜索能力强的算法提高人工蜂群算法的性能;根据优化的特征子集与规则集对网络入侵攻击行为进行分类处理。基于网络入侵数据集的实验结果表明,该系统实现了较高的检测性能和计算效率。     

介质访问控制层拒绝服务攻击的入侵检测系统

针对无线局域网安全防护手段的不足,结合无线局域网介质访问控制层拒绝服务攻击的特点,设计了基于支持向量机算法的入侵检测系统。该系统利用支持向量机分类准确性高的特点,构建支持向量机最优分类超平面和分类判决函数,对网络流量进行分类识别,完成对异常流量的检测。在OPNET平台下进行无线局域网环境入侵检测仿真,仿真结果表明,该系统能有效地检测出针对无线局域网介质访问控制层的拒绝服务攻击。     

网络未知攻击检测的深度学习方法

为了实现入侵检测系统对未知攻击类型的检测,提出基于深度学习的网络异常检测方法。利用置信度神经网络,对已知类型流量和未知攻击流量进行自适应判别。基于深度神经网络,制定置信度估计方法评估模型分类结果,训练模型面向已知类型流量时输出高置信度值,识别到未知攻击流量时输出低置信度值,从而实现对未知攻击网络流量的检测,并设计自适应损失平衡策略和基于学习自动机的动态正则化策略优化异常检测模型。在网络异常检测UNSW-NB15和CICIDS 2017数据集上进行仿真实验,评估模型效果。结果表明,该方法实现了未知攻击流量的有效检测,并提高了已知类型流量的分类效果,从而增强了入侵检测系统的综合性能。     

工业控制网络中APT攻击检测系统设计

高级持续性威胁(advanced persistent threat, APT)是当今工控网络安全首要威胁,而传统的基于特征匹配的工业入侵检测系统往往无法检测出最新型的APT攻击。现有研究者认为,敏感数据窃密是APT攻击的重要目的之一。为了能准确识别出APT攻击的窃密行为,对APT攻击在窃密阶段受控主机与控制与命令(Control and Command, C&C)服务器通信时TCP会话流特征进行深入研究,采用深度流检测技术,并提出一种基于多特征空间加权组合SVM分类检测算法对APT攻击异常会话流进行检测。实验表明,采用深度流检测技术对隐蔽APT攻击具备良好的检测能力,而基于多特征空间加权组合SVM分类检测算法较传统单一分类检测的检测精度更高,误报率更低,对工控网络安全领域的研究具有推进作用。