基于XML的GIDO描述和入侵检测规则描述

本文在CIDF框架的基础上,针对通用入侵检测规范语言(CISL)描述通用入侵检测对象(GIDO)难以被人们所理解,提出采用具有易于数据描述和理解等优势的XML语言来对GIDO进行描述。同时,针对Snort入侵检测系统在入侵检测规则的描述上过于粗略、不易扩充等不足,利用XML语言易于理解、扩充和完整描述数据等优点,对Snort的入侵检测规则定义进行了修改和完善,并给出了基于XML的入侵检测规则描述。最后列举了一个完整的应用实例。     

带状态特征的检测规则及其在CIDF框架中的应用

通过对传统检测规则中的if〈条件〉then 〈动作〉的修改,将入侵行为、阶段特征、入侵的后果影响进行量化,并与检测规则相联系,以提高对入侵的检测效率和响应效率,同时在这基础上给出CISL的一个规则描述上的扩充,并讨论其对A-B0x和艮Box的设计需求.     

基于改进GP的入侵检测规则自动提取算法研究

将改进的GP应用于入侵检测规则自动提取，利用GP灵活的个体表示得到自然描述的规则，使规则易于理解，利用GP全局寻优的能力得到较好的入侵检测规则，从而降低误报率和漏报率。该文对GP的改进体现在两个方面：（1）针对入侵检测规则的特点改进个体表示中的语义规则，（2）改进的适应度函数。文章最后给出了实验结果。并与其他文献的同类实验结果进行了比较，证明了改进GP的有效性和先进性。     

基于信息增益率的决策树对入侵检测的改进

用构造决策树的方法来对入侵规则进行分类组织，将并行处理的机制引入到数据包与入侵规则集的匹配检测过程中。该文对于构造入侵规则决策树的过程，采用信息增益率为新的分类属性选择标准，并用它替代了原有的信息增益标准。实验证明，对于某些特定的攻击类型，在产生相同告警数量的前提下，采用信息增益率的检测引擎比采用信息增益的检测引擎，在检测速度上有明显的提高，有力地提高了基于特征的入侵检测性能，可及时地发现入侵行为。     

入侵检测技术的分析研究

介绍了一种新的安全技术－入侵检测技术，它是一种以攻为守的主动式防御措施，而且它侧重对网络内部攻击进行防御。本文将涉及入侵检测领域的方方面面，为进行入侵检测技术的研究提供一定的技术，理论依据。     

遗传算法和关联规则算法用于入侵检测系统的研究

基于异常的入侵检测系统常采用关联规则挖掘算法，关联规则算法的最小支持度和最小置信度设置不仅要影响入侵检测系统的检出率和虚警率，还要影响入侵检测系统的负荷。本文提出遗传算法搜寻关联规则算法最小支持度和最小置信度最优的设置范围，为实时的入侵检测系统的关联规则挖掘算法提供参数参考，改善入侵检测系统的实时性，提高检出率，降低虚警率。     

基于PCA与ICA特征提取的入侵检测集成分类系统

入侵检测系统不仅要具备良好的入侵检测性能，同时对新的入侵行为要有良好的增量式学习能力．提出了一种入侵检测集成分类系统，将主成分分析（PCA）和独立成分分析（ICA）与增量式支持向量机分类算法相结合构造两个子分类器，采用集成技术对子分类器进行集成．系统利用支持向量集合对已有的入侵知识进行压缩表示，并采用遗传算法自适应地调整集成分类系统的权重．数值实验表明：集成分类系统通过自适应训练权重，综合了两种特征提取子分类器的优点。具有更好的综合性能。     

改进的关联规则挖掘算法在入侵检测中的应用

研究关联规则的高效挖掘算法对于提高入侵检测的检测率和效率具有重要的意义.针对当前关联规则挖掘采用的支持度-置信度框架在具体应用中存在的问题,本文将PSA兴趣度模型和增量链表规则结合起来应用到入侵检测中,提出新的入侵检测方法-PSAIL.实验测试结果表明,该算法在挖掘速度、检测率上有较大提高,说明该算法的优化策略是有效的.     

基于新的条件熵的入侵检测算法

在分析了现有的入侵检测方法的基础上,为了降低入侵检测系统的错检率、降低漏检率和提高实时性,提出了一种新的检测方法:基于新的条件熵的入侵检测算法.本算法在考虑信息论有关理论的基础上,利用信息熵的知识对收集到的数据进行离散化.通过分析离散化后的数据,利用新的条件熵的知识约简方法去除冗余属性,生成检测规则,然后用来分析入侵数据.实验结果表明:基于新的条件熵的入侵检测算法与基于BP神经网络和支持向量机的入侵检测算法比较,可以有效地提高入侵检测系统的检测率,降低错检率.该算法的检测率提高7%左右,能为信息系统提供很好的入侵检测服务.     

基于Snort的IPv6入侵检测系统的研究

本文以著名的开源网络入侵检测系统Snort为基础，通过跟踪国内外网络入侵检测系统的研究动向和Snort的研究热点，在对Snort源代码进行分析的基础上，提出Snort系统在IPv4向IPv6过渡阶段的相应改造方案。通过构造IPv6检测规则，添加IPv6解码模块，IPv6分段重组，IPv6快速检测算法以及对过渡技术的支持，实现了一套同时支持IPv4、IPv6和过渡技术的入侵检测系统。     

基于公共入侵检测框架的组件通信机制研究

入侵检测系统作为一种不同于防火墙的主动保护网络资源的网络安全系统得到了广泛的应用,但随着计算机网络共享资源的进一步增强,入侵活动变得复杂而又难以捉摸,单一的、缺乏协作的入侵检测系统已经满足不了应用的需要.公共入侵检测模型则对入侵检测系统的组成架构,数据交换的格式,协作方法等进行了标准化.在论述公共入侵检测框架模型的基础上,详细阐述了如何使用轻型目录访问协议进行组件通信.     

基于公共入侵检测框架的组件通信机制研究

随着网络技术的迅速发展以及网络带宽的不断增大,网络安全问题也日益突出,入侵检测系统作为一种不同于防火墙的主动保护网络资源的网络安全系统,在实际生活中得到了广泛的应用。但随着计算机网络共享资源的进一步增强,入侵活动变得复杂而又难以捉摸,单一的、缺乏协作的入侵检测系统已经满足不了应用的需要,公共入侵检测模型则对入侵检测系统的组成架构、数据交换的格式、协作方法等进行了标准化。下文在论述公共入侵检测框架模型的基础上,详细阐述了如何使用轻型目录访问协议协议进行组件通信。     

基于数据挖掘技术的智能化入侵检测模型

给出了一个基于数据挖掘技术智能化入侵检测模型,它由若干个对等式执行入侵检测功能的单元IDU（intrusion detection unit)组成,每个IDU参照通用入侵检测轮廓CIDF（common intrusion detection framcwork)构建,该模型采用关联规则,序列规则对数据进行挖掘,用判定树分类技术对获得的模式进行分类,实验表明,该模型具有较好的效益。     

入侵检测系统标准化分析研究

IDS(入侵检测系统)是继防火墙、数据加密等传统安全保护措施后新一代的安全保障技术,得到了越来越多的应用.其标准化问题研究,是入侵检测技术和产品发展的必然要求,标准化的制定有利于不同的IDS之间,增强信息共享和交换的能力,加强IDS之间的交流和协作.对公共入侵检测框架CIDF标准和入侵检测消息交换格式IDMEF标准进行了详细的分析研究.对我国标准制定提出了相关的思考.     

基于数据挖掘技术的IDS简介

传统的入侵检测方法一般缺乏有效性、适应性和扩展性。而基于数据挖掘的入侵检测方法采用以数据为中心的观点,把入侵检测问题看作为一个数据分析过程,运用关联规则、频繁片断和分类等算法,尽可能地减少了建立一个入侵检测系统中的手工和经验成分,较好地解决了有效性、适应性和扩展性的问题。     

基于数据挖掘的CIDF协同交换

随着DDOS(分布式拒绝服务)攻击的兴起，互联网上的开放主机几乎很难摆脱其困扰。在这种新的情形下，要求IDS能及时检测新的攻击和更新自身的检测规则，尤其是要求地理上分布的各个IDS能够协同起来。该文中，把数据挖掘的方法运用到IDS，建立基于数据挖掘方法的IDS规则挖掘引擎。在此基础上，为了解决协同问题，提出把DME（数据挖掘引擎)嵌入到CIDF的思路，形成协同交换框架，应对分布式攻击。     

A hybrid intrusion detection system design for computer network security

Intrusions detection systems (IDSs) are systems that try to detect attacks as they occur or after the attacks took place. IDSs collect network traffic information from some point on the network or computer system and then use this information to secure the network. Intrusion detection systems can be misuse-detection or anomaly detection based. Misuse-detection based IDSs can only detect known attacks whereas anomaly detection based IDSs can also detect new attacks by using heuristic methods. In this paper we propose a hybrid IDS by combining the two approaches in one system. The hybrid IDS is obtained by combining packet header anomaly detection (PHAD) and network traffic anomaly detection (NETAD) which are anomaly-based IDSs with the misuse-based IDS Snort which is an open-source project.The hybrid IDS obtained is evaluated using the MIT Lincoln Laboratories network traffic data (IDEVAL) as a testbed. Evaluation compares the number of attacks detected by misuse-based IDS on its own, with the hybrid IDS obtained combining anomaly-based and misuse-based IDSs and shows that the hybrid IDS is a more powerful system.     

Proactive Intrusion Detection and Distributed Denial of Service Attacks—A Case Study in Security Management

Little or no integration exists today between Intrusion Detection Systems (IDSs) and SNMP-based Network Management Systems (NMSs), in spite of the extensive monitoring and alarming capabilities offered by commercial NMSs. This difficulty is mainly associated with the distinct data sources used by the two systems: packet traffic and audit records for IDSs and SNMP MIB variables for NMSs. In this paper we propose and evaluate a methodology for utilizing NMSs for the early detection of Distributed Denial of Service attacks (DDoS). A principled approach is described for discovering precursors to DDoS attacks in databases formed by MIB variables recorded from multiple domains in networked information systems. The approach is rooted in time series quantization, and in the application of the Granger Causality Test of classical statistics for selecting variables that are likely to contain precursors. A methodology is proposed for discovering precursor rules from databases containing time series related to different regimes of a system. These precursor rules relate precursor events extracted from input time series with phenomenon events extracted from output time series. Using MIB datasets collected from real experiments involving Distributed Denial of Service Attacks, it is shown that precursor rules relating activities at attacking machines with traffic floods at target machines can be extracted by the methodology. The technology has extensive applications for security management: it enables security analysts to better understand the evolution of complex computer attacks, it can be used to trigger alarms indicating that an attack is imminent, or it can be used to reduce the false alarm rates of conventional IDSs.     

基于粒子群和人工免疫的混合入侵检测系统研究

目前,漏报率和误报率高一直是入侵检测系统（IDS）的主要问题,而IDS主要有误用型和异常型两种检测技术。根据这两种检测技术各自的优点以及它们的互补性,本文给出一种基于人工免疫的异常检测技术和基于粒子群优化（PSO）的误用检测技术相结合的IDS模型;同时,该系统还结合特征选择技术降低数据维度,提高系统检测性能。实验表明,该
系统具有较高的检测率和较低的误报率,可以自动更新规则库,并且记忆未知类型的攻击,是一种有效的检测方法。