一种提高云计算环境下检测入侵者速度和正确率的新方法

云计算环境要求入侵检测系统(IDS)极其快速和准确,用于云计算的智能型IDS——反向传播神经元网络(BPNN)经常出现“泛化问题”,即BPNN无解或总误差函数不能收敛于全局最小值。泛化问题降低了BPNN的识别速度和正确率。为了解决该问题,提出两种解决方法。第一种是剔除相关性大的那些特征,保留相关性较小或互相独立的重要特征,以便减少特征数量。第二种是综合利用遗传算法(GA)和最速下降法(梯度法)的优点,降低BPNN的泛化性。用GA求出BPNN全局最优解的近似值,把该近似值作为最速下降法的初始值,进行迭代,最终求得BPNN全局最优解的精确值。仿真实验表明给出的方法是有效的且能够解决BPNN的“泛化问题”,同时能够提高BPNN识别入侵者的速度和正确率。     

网络入侵检测系统中的特征降维方法

一般来说,入侵检测系统（IDS）识别入侵者时,所使用的相互独立的特征越多,则提供的分类信息也越多,也越有利于提高IDS的正确识别率,但另一方面,IDS是借用一些数学方法来完成的,它要求用于分类的特征越少越好。为了解决这个矛盾,提高IDS的实时性和整体性能,给出了一种特征降维算法,即,通过数学变换,把原来n个特征的信息尽量集中到较少的k（k<n）个新特征中去,然后用这k个新特征识别入侵者。这些较少的新特征作为IDS的输入,可以提高IDS的整体性能。以此为基础建立了一个基于反向传播神经元网络的IDS。实验证明用该方法所建立的IDS效果较好。给出的特征降维算法既可以保留原来n个特征的信息,又能用较少的k个新特征识别入侵者,提高了IDS的总体性能,降低了计算复杂度。     

网络入侵检测系统的最优特征选择方法

用于网络入侵检测系统(IDS)的特征(变量)数量太多或太少都会降低IDS识别入侵者的正确率。为解决这一矛盾,提出一种选择最优特征的方法。计算每个特征或组合成的新特征对IDS的“贡献”值,选择少量“贡献”值较大的特征(最优特征)作为IDS识别入侵者的特征,既减少特征数量又基本保留了原始特征组所提供的信息。实验证明该方法实用且识别入侵者的正确率较高。     

一种IDS报警可信性增强方案*

提高IDS（入侵检测系统）报警的可信性是IDS的根本目标。从理论上分析了可信问题产生的原因,给出了其形式化描述,提出了一种多IDS协同工作提高检测可信度的方法,并证明了该方法可以应用于各种不同IDS的协同工作中（基于误用、异常及异常与误用相结合的IDS）。多检测系统结果融合时采用推进Bayesian分类方法,给出了其模型和具体算法。实验分析表明,该方法与其他同类算法相比,降低了系统的漏报率和误报率,增强了报警的可信度。     

基于粒子群和人工免疫的混合入侵检测系统研究

目前,漏报率和误报率高一直是入侵检测系统（IDS）的主要问题,而IDS主要有误用型和异常型两种检测技术。根据这两种检测技术各自的优点以及它们的互补性,本文给出一种基于人工免疫的异常检测技术和基于粒子群优化（PSO）的误用检测技术相结合的IDS模型;同时,该系统还结合特征选择技术降低数据维度,提高系统检测性能。实验表明,该
系统具有较高的检测率和较低的误报率,可以自动更新规则库,并且记忆未知类型的攻击,是一种有效的检测方法。     

云计算数据中心网络安全风险及主动防御技术研究

为进一步提高云计算数据中心的网络安全性能,构建了一种软件定义网络（Software Defined Network,SDN）防火墙与入侵检测系统（Intrusion Detection System,IDS）联动的主动防御系统。该系统弥补了SDN防火墙与IDS的缺陷,SDN防火墙根据IDS识别恶意流量的特征,后期再有此类流量进入,会对恶意流量进行有效识别和阻断。结果表明,通过构建SDN防火墙与IDS联动的多维度主动防御架构,可以提高云计算数据中心抵御网络安全风险的能力。     

在IDS中利用数据挖掘技术提取用户行为特征

IDS（入侵检测系统）是一种检测网络入侵行为的工具。然而现在的IDS在提取用户行为特征的时候经常不能取得满意的结果。所提取的特征不能很好的反映出真实的情况,所以有时候经常出现漏报或误报的情况。文章针对这一情况,详细讨论了利用数据挖掘技术提取用户行为特征的方法,提出了采用数据挖掘技术的入侵检测系统的结构模型。     

基于遗传算法的入侵检测系统的应用现状研究

遗传算法（GA）是一种新型的优化方法,它比传统搜索方法具有更强的鲁棒性,它被成功地应用于解决商业、工程和科学等领域中复杂的优化问题,但应用于入侵检测系统（IDS）的研究时间并不长。近年来,国内外在遗传算法应用于IDS中的研究越来越多,方法也层出不穷。遗传算法（GA）可以提高IDS的检测效率,减少错误率以及剔除无用的分析项,使IDS的运行时间得到优化。     

防火墙与入侵检测系统结合的应用研究

防火墙与入侵检测系统IDS各有优缺点，文章在认真研究了其原理之后，将二者进行了细致深入的比较，在衡量了防火墙与IDS放置的位置后，着重提出了一种将IDS与防火墙结合互动使用的新理念，并且设计了一种针对这种互动的基于校园网的安全模型，对该安全模型的重要组成部分——建立特征库以及IDS与防火墙的接口设计进行了重点研究。     

一种基于数据融合的IDS方法研究*

分析了当前IDS（intrusion detection system）的缺陷,讨论了数据融合技术应用在IDS领域的可行性,提出了一种基于数据融合（data fusion）的IDS（DFIDS）模型,融合决策采用算术平均值的方法,以达到降低漏报率和虚警率的目的,模拟实验证实了这一点。基于数据融合的入侵检测方法是IDS发展的一个重要方向。     

网络入侵检测系统中的最佳特征组合选择方法

为了提高网络入侵检测系统(IDS)的实时性、可用性以及整体性能,该文给出了基于遗传算法的从n个特征中选择出数量为k(n>k)个的一组最佳特征的方法,这组特征是对分类最有效的,它可使分类评价指标J达到最大。实验证明,该方法是有效的,能提高IDS的总体性能。     

Conversion methods for symbolic features: A comparison applied to an intrusion detection problem

The success of any Intrusion Detection System (IDS) lies in the selection of a set of significant features, that can be quantitative or qualitative, taken out from a network traffic data stream. The machine learning methods provide potential solutions for the IDS problem. However, most of these methods used for classification are not able to handle symbolic attributes directly. In this paper, three methods for symbolic features conversion – indicator variables, conditional probabilities and the Separability Split Value method – are contrasted with the arbitrary conversion method, all of them applied to an intrusion detection problem, the KDD Cup 99 data set. In particular, three classification methods were subsequently applied to the dataset: a one-layer feedforward neural network, a support vector machine and a multilayer feedforward neural network. The results obtained demonstrate that the three conversion methods improve the prediction ability of the classifiers utilized, with respect to the arbitrary and commonly used assignment of numerical values.     

一种基于数据挖掘技术的入侵检测模型研究

入侵检测系统是一种检测网络入侵行为并能够主动保护自己免受攻击的一种网络安全技术,是网络防火墙的合理补充。文中分析了入侵检测系统的通用模型,介绍了入侵检测系统的分类,给出了传统的网络检测技术,在此基础上,详细讨论了数据挖掘技术及其在入侵检测系统中的应用,提出了一个基于数据挖掘技术的入侵检测模型,该模型采用了数据挖掘中的分类算法和关联规则。经过实际测试,该模型能够使网络入侵检测更加自动化,提高检测效率和准确度。     

A hybrid intrusion detection system design for computer network security

Intrusions detection systems (IDSs) are systems that try to detect attacks as they occur or after the attacks took place. IDSs collect network traffic information from some point on the network or computer system and then use this information to secure the network. Intrusion detection systems can be misuse-detection or anomaly detection based. Misuse-detection based IDSs can only detect known attacks whereas anomaly detection based IDSs can also detect new attacks by using heuristic methods. In this paper we propose a hybrid IDS by combining the two approaches in one system. The hybrid IDS is obtained by combining packet header anomaly detection (PHAD) and network traffic anomaly detection (NETAD) which are anomaly-based IDSs with the misuse-based IDS Snort which is an open-source project.The hybrid IDS obtained is evaluated using the MIT Lincoln Laboratories network traffic data (IDEVAL) as a testbed. Evaluation compares the number of attacks detected by misuse-based IDS on its own, with the hybrid IDS obtained combining anomaly-based and misuse-based IDSs and shows that the hybrid IDS is a more powerful system.     

MDCI:一个分布式检测DDoS攻击的方法

鉴于DDoS攻击分布式、汇聚性的特点，实现分布在大规模网络环境中的多个IDS系统间合作检测有助于在攻击流形成规模前合成攻击全貌并适当反应．MDCI系统首次提出了环形合作模式，即构建一个环重要网络信息资源的IDS系统合作组，通过组内节点同信息共享和警报关联分析，迅速判定DDoS攻击、MDCI系统中，采用报头内容分析和反向散射分析相结合的方法对本地捕获的数据报进行分析并采用统一标准格式对可疑特征进行报警；采用数据流分类概率评估的方法实现合作结点间警报信息的关联分析，从而合成攻击的全貌．通过实验可以看到，该系统有效地提高了针对DDoS攻击的预警速度．     

提高Snort规则匹配速度新方法的研究与实现

入侵检测系统在网络安全中扮演着越来越重要的角色,Snort作为一个开源的入侵检测系统,改进其使用的匹配算法,使其能够减少运行时间,提高效率是不断研究的主题。对于模式匹配算法,增大其最大移动距离和保证其能够移动最大的安全距离是提高算法效率的关键。改进算法在BM算法的基础上,采用双字符序列检测方法,增大匹配过程中最大移动距离至m+2,并保证匹配失败时,每一次都能够移动最大的安全距离。将该改进算法应用于Snort系统中。实验验证,该算法能够减少字符比较次数和窗口移动次数,同时提高Snort系统的效率。     

基于日志的网络背景流量模拟仿真

入侵检测系统（IDS）的开发与评估需要一个仿真的网络环境，网络流量模拟仿真技术是其中关键技术之一．在详细分析了网络流量的模拟仿真技术及其相关软件基础上，设计并实现了一种基于日志的网络背景流量模拟仿真软件，解决了入侵检测系统测试中的攻击类型定义和背景流量问题，并使用谊软件模拟真实的网络环境对入侵检测系统进行测试分析，实验结果表明，基于日志的网络背景流量仿真软件能够在日志信息的基础上以不同速度动态回放网络流量仿真数据，并能够对日志数据进行修改．增加了对入侵检测系统测试的灵活性．     

用于入侵检测数据集评测的SMTP流量模拟

利用评测数据集对入侵检测系统进行评测是目前可行并且有效的评估手段，数据集包括背景流量和攻击流量两部分。背景流量的设计和模拟非常重要，因为背景流量体现实际网络的特征。提出了一种基于SMTP和POP3日志聚类的建模方法用于入侵检测评测数据集中SMTP流量的模拟，保留了网络和用户的特征，具有较好的扩展性，可以根据评测需要灵活定制SMTP流量。