基于时变加权马尔科夫链的网络异常检测模型

随着互联网技术的迅猛发展,网络入侵事件日益频发,入侵检测对于保障网络安全具有重要意义。针对网络入侵检测的迫切需求,提出一种基于时变加权马尔科夫链的网络异常检测模型,使用组合状态转移概率矩阵来描述状态转移。利用DARPA 2000数据集在NT系统上重放时产生的事件log作为实验数据以验证该模型的效果,并与普通时变加权马尔科夫链模型进行比较,仿真实验结果表明该模型能够对网络进行实时入侵检测,具有较高的准确性和较强的鲁棒性,并且能够有效降低误测率和漏测率。     

基于灰色关联事件融合的入侵检测模型

使用异常情况或标识的传统入侵检测模型,检测粒度较大,精度较差,且占用系统资源较多。针对上述问题,提出了分布式异常事件融合入侵检测模型。该模型通过事件跟踪等方法降低检测粒度;采用分布式的多节点灰度关联度算法,进行异常事件的信息融合,进行异常事件分析处理。仿真实验证明,该模型的入侵检测精度较高,而系统资源消耗较少。     

一种流异常自动检测系统的研究与实现

该文通过分析网络入侵检测的现状,给出了现有网络入侵检测技术的局限性,尤其针对现有网络流定性分析安全技术的不足,在分析了网络流的变化规律的基础上,指出可以利用网络流的灰色特性,预测网络流的异常。论文重点讨论了预测模型——GM(1,1)模型,在此基础上给出了一个基于灰色系统理论的网络流入侵检测系统——FAAD(流异常自动检测)网络监控系统。FAAD使用GM(1,1)模型,通过基于灰色系统理论的网络流异常检测算法,分析预测网络流值与实际网络流的偏差,判定网络是否受到入侵。论文最后给出了实验结果与该系统的评估。     

网络异常的主动检测与特征分析

目前入侵检测系统主要使用的技术还是特征检测,它只能检测已知的入侵,而异常检测尽管能检测未知入侵,却无法保证准确性和可靠性.特征检测是建立在对特征的准确定位基础之上的,而异常检测是基于不可靠行为的,只能描述某种行为的趋势.文中对基于异常和特征的入侵检测系统模型做了一定研究,把网络异常特征与异常检测技术结合,提高了入侵检测系统的检测效果.     

高校办公网入侵检测系统研究

随着计算机和网络技术的发展，网络入侵事件的日益增加，人们发现只从防御的角度构造安全系统是不够的，入侵检测成为继“防火墙”、“数据加密”等传统安全保护措施后新一代的网络安全保障技术。本文首先介绍入侵检测原理和分布式入侵检测方面的相关工作．在分析已有分布式入侵检测系统模型的基础上，提出了一个基于代理的校园网入侵检测系统模型框架。该模型采用分布式的体系结构．由一个代理控制中心和若干代理组成．结合了基于网络和基于主机的入侵检测方法。使用代理技术在分布式环境下对入侵进行检测，可以有效地检测各种入侵．并具有很好的可扩充性。     

基于分布式智能代理的入侵检测方法研究

在分析和研究通用入侵检测框架理论和传统入侵检测系统实现策略的基础上，提出融合了滥用检测和异常检测两种方法的检测模型——基于分布式智能代理的网络入侵检测模型，并对检测引擎和检测算法进行了改进，使之具有更高的准确性和对潜在的入侵行为的识别和预测等智能化能力。     

基于改进Apriori算法的入侵检测数据挖掘模型研究

将数据挖掘技术应用到入侵检测系统中,成为入侵检测研究的重要方向。本文对Apriori算法进行改进,以此构建入侵检测数据挖掘模型,运用该模型作入侵检测。实验表明,对以知攻击,采用误用检测和异常检测混合策略,其平均检测准确率达到80%以上,不失为一种效果良好的的入侵检测技术。     

基于LSTM的动态图模型异常检测算法研究

传统异常检测模型往往基于内容特征，随着攻击手段的提高，该方法易于被绕过，因此图挖掘技术逐渐成为了国内外学术研究的热点。为了提高异常检测的准确率，提出了一种基于长短时记忆网络的动态图模型异常检测算法。首先通过对动态图的变化特征进行分析，总结了Egonet图结构距离和编辑距离两类特征，高效地表示动态图结构的变化情况。其次，通过基于LSTM的时间序列分类算法，进行模型的训练。最后对抓取的网络数据流进行入侵检测，对超过6万节点和300万条边的拓扑图进行测试。最终实验结果表明，该算法具有更高的准确率和召回率，可以有效地检测出网络入侵事件。     

基于Hamming网络的入侵检测技术的研究

分析了异常和误用入侵检测技术存在的一些问题，并结合神经网络的原理，提出了一个新的基于Hamming网络的入侵检测技术。该技术改善了基于特征检测算法中存在的不足，提高了对未知入侵类型的检测能力，并对Hamming网络入侵检测技术进行了分析和测试。     

环境重现的非稳态流量异常检测系统设计

网络入侵检测中的流量异常检测方法存在着虚警率较高的问题，为此提出了结合环境重现的非稳态流量异常检测系统。该系统采取了基于发生新事件的先验概率和趋势来评估异常的思想，建立非稳态正常模型，采用环境重现进行进一步数据挖掘，最后给出了综合系统的原型设计。     

A differentiated one-class classification method with applications to intrusion detection

Intrusion detection has become an indispensable tool to keep information systems safe and reliable. Most existing anomaly intrusion detection techniques treat all types of attacks as equally important without any differentiation of the risk they pose to the information system. Although detection of all intrusions is important, certain types of attacks are more harmful than others and their detection is critical to protection of the system. This paper proposes a new one-class classification method with differentiated anomalies to enhance intrusion detection performance for harmful attacks. We also propose new extracted features for host-based intrusion detection based on three viewpoints of system activity such as dimension, structure, and contents. Experiments with simulated dataset and the DARPA 1998 BSM dataset show that our differentiated intrusion detection method performs better than existing techniques in detecting specific type of attacks. The proposed method would benefit even other applications in anomaly detection area beyond intrusion detection.     

基于系统呼叫和网络数据包的两层入侵检测模型

由于每种检测手段都有各自的优缺点,任何一种单独的检测手段或方式都不能够检测出所有的入侵行为.为了弥补这些缺陷和不足,该文提出了一种基于系统呼叫和网络数据包的两层入侵检测模型,这种模型有机地把两种入侵检测技术融合在一起,极大地提高了系统的安全性能.结果也表明,这种检测模型具有更好的检测效果和健壮性.     

基于混合AIS/SOM的入侵检测模型

针对异常检测信息获取不足的缺点,提出基于混合人工免疫系统(AIS)/自组织映射(SOM)的入侵检测模型。该模型采用人工免疫系统检测网络异常,对检测到的异常连接用自组织映射进行分类,应用KDDCUP99实验数据集进行仿真。结果表明该检测方法是有效的,能够将检测到的异常连接分类并给出异常连接的更多信息,检测和分类效率较高、误报率低。     

基于多维数据流挖掘技术的入侵检测模型与算法

网络访问数据有着数据流的高速、无穷达到的特点,所以利用传统多遍扫描数据库的挖掘技术来构建入侵检测模型是不可行的.针对网络访问数据流的特点,提出了一种基于多维数据流挖掘技术的入侵检测模型.此模型将传统的误用检测和异常检测两种入侵检测方法进行有机融合,因此能够克服目前广泛使用的误用检测方法无法检测新的攻击类型的缺点,并且也能够保持检测的高效性.网络访问数据记录的结构是复杂的,一个访问行为总是联系到许多属性,所以分析的难度很大.因此,引入多维频度等概念来解决网络数据流的模式表示和生成问题.同时,针对多维频度模式的特点,提出了一种新型数据结构MaxFP-Tree.在MaxFP-Tree的基础上,给出了一种高效的挖掘网络访问数据流的学习算法MaxFPinNDS.MaxFPinNDS采用衰减机制挖掘,可以快速地形成一个数据流的最近时期数据所隐舍的最大频繁项目集.实验表明,设计的入侵检测模型是有效的.     

基于免疫和模糊综合评判的入侵检测模型研究

应用人体免疫系统的特异性免疫的分类，设计了一个入侵检测模型，将入侵检测模块分为固有检测模块和适应性检测模块。固有检测模块考虑继承目前已有的知识；适应性检测模块针对目前异常检测算法难以确定评判正常和异常的阈值以及检测特征数量多难以综合评判的问题，提出了一种具体的异常检测算法——FLADA。该算法借鉴了模糊数学的理论，采用模糊综合评判和层次分析法相结合。实验证明，该方法不仅能准确地检测出已知攻击，还能较好地检测出未知攻击。     

基于免疫原理的层次入侵检测模型

针对当前入侵检测系统普遍存在的误报、漏报和缺乏自适应性问题,以人体免疫系统的多层防御结构为基础,结合了误用检测和异常检测两种检测技术,提出了一种基于免疫原理的层次入侵检测模型,详细阐述了该模型的体系结构、工作原理和运行流程.最后给出了自适应检测层的成熟检测规则生成算法、自适应识别算法和检测规则的进化原理.利用此进化原理能不断对规则库里的检测规则实施进化,使之始终保持最有效的检测规则,从而使该模型具有自适应性、动态性和准确性等特点,因此它比其它方法更能满足基于网络的入侵检测系统的要求.     

扩展D-S证据理论在网络异常检测中的研究

网络异常检测是入侵检测系统中重要的组成部分,然而传统网络异常检测方法中存在虚警率高、单一检测算法对多种入侵行为的检测不够全面等问题。提出了一种基于改进D-S证据理论融合多个分类器的分布式网络异常检测模型及其融合方法。鉴于经典D-S证据理论在证据间存在冲突时的不合理,采用一种带权重的改进型D-S证据理论,提出一种全新的融合策略融合多个分类器建立异常检测模型。通过KDD99数据集对该模型进行验证,结果证明该异常检测模型可以明显降低网络异常检测的虚警率,提高检测精度。     

入侵检测技术的研究与进展

入侵检测系统(IDS)作为一门新兴的安全技术，是网络安全系统中的重要组成部分。该文阐述了入侵检测系统的基本原理和功能模块，从数据源、检测方法和检测定时三个方面描述了入侵检测系统的分类，并对目前国内外入侵检测技术的研究现状作了介绍和分析。随着计算机技术和网络技术的高速发展，海量存储和高带宽的传输技术，都使得集中式的入侵检测越来越不能满足系统需求。由此指出，分布式入侵检测(DID)必将逐渐成为入侵检测乃至整个网络安全领域的研究重点，为进行入侵检测技术的研究提供一定的技术和理论依据。     

两种典型的入侵检测方法研究

论述了入侵检测的基本概念、模型框架和对现有入侵检测技术、方法进行了分类。重点论述了两种典型的入侵检测方法—异常行为检测方法和比较学习检测方法的基本原理,并在此基础上实现了一个实际的入侵检测专家系统。     

一种自适应的多级入侵检测模型

网络入侵检测是互联网安全领域研究的热点问题。传统的基于异常的入侵检测方法采用单一的检测模型对各类数据进行检测,导致漏报率高。且缺乏模型的动态更新机制,导致模型自适应羞。针对上述问题,提出了一种具有自适应性的多级入侵检测模型ACIDM（Adaptive Cascaded Intrusion Detection Model）。ACIDM层级部署多个检测模型,各级模型之间通过检测反馈对模型进行动态更新和协同训练。实验证明,与单一检测模型相比、ACIDM检测器的多样性、层级性和自适应性,使得ACIDM在保证检测精度的同时能明显降低对入侵的漏报率,且这种优势在小样本情况下尤为显著。