基于D-S证据理论的入侵检测模型

将数据融合理论引入到入侵检测过程,提出基于数据融合的入侵检测系统模型,并在系统模型的实现过程中应用了多Agent技术,使整个模型具有良好的扩展性。在聚类、合并、关联的数据融合过程中应用了D-S证据理论,在一定程度上解决当前入侵检测系统中存在的告警洪流、误报率高、告警之间的关联性差等问题,提高了分布式入侵检测系统的检测性能。     

基于D-S证据理论的分布式入侵检测方法研究

入侵检测系统是信息安全的一种重要手段,该文提出了一种基于D-S证据理论的分布式入侵检测系统模型,讨论了其实现方法,并进行了仿真实验,仿真实验表明经过多传感器数据融合后得到的结果优于单传感器得到的结果。     

基于模糊D-S证据论的入侵检测

根据操作系统的工作原理,对计算机执行程序的行为特征进行严密地入侵剖析。运用马尔可夫模型对计算机受到入侵时的状态建立合适粒度的状态知识源,采用模糊D-S证据论方法来融合所建立的状态知识源进行综合评判,解决了入侵检测过程多源数据融合常涉及到非排斥性假设和操作不确定性的数据所造成的误检和漏检率。经过实验分析,该方法有效地降低了误检和漏检率,提高了入侵检测的全面性和准确性。     

两种入侵检测系统D-S证据理论融合算法的比较

D-S证据理论可以支持概率推理、诊断、风险分析以及决策支持等,并在多传感器网络、医疗诊断等应用领域内得到了具体应用。该文比较了入侵检测中基于D-S证据理论的两种融合算法,通过DARPA1999评测数据集验证,得出各自的利弊,并提出了改进建议。     

基于 D-S证据理论的网络异常检测方法

网络异常检测技术是入侵检测领域研究的热点内容,但由于存在着误报率较高、检测攻击范围不够全面、检测效率不能满足高速网络实时检测需求等问题,并未在实际环境中得以大规模应用.基于D-S证据理论,提出了一种网络异常检测方法,能够融合多个特征对网络流量进行综合评判,有效地降低了误报率和漏报率,并引入自适应机制,以保证在实时动态变化的网络中的检测准确度.另外,选取计算代价小的特征以及高效的融合规则,保证了算法的性能满足高速检测的要求.该方法已实现为网络入侵检测原型系统中的异常检测模块.通过DARPA 1999年IDS基准评测数据的实验评测表明,该方法在低误报率的前提下,达到了69%的良好检测率,这一结果优于DARPA 1999年入侵检测系统评测优胜者EMERALD的50%检测率和同期的一些相关研究成果.     

基于D-S数据融合的入侵检测系统研究

本文在入侵检测系统中引入了数据融合的技术,设计了基于数据融合的入侵检测模型,采用D-S证据理论技术进行数据融合,最后采用实验验证数据融合效果.     

基于神经网络与证据理论的入侵检测系统

针对基于神经网络(ANN)的入侵检测系统(IDS)难以得到足够丰富的实测样本这一问题,引入信息融合的观点,提出了一个基于神经网络与证据理论相结合的入侵检测系统模型。模型的神经网络模块是由自组织映射网络(SOM)和反向误差传播网络(BP)合成的,并将BP网络的输出作为证据,输入到证据理论模块。通过证据理论模块的信息融合,降低了虚警率,提高了检测率。     

D-S证据理论在DoS入侵检测系统中的应用

该文研究D-S证据理论在DoS入侵检测系统中的应用,提出一个基于D-S证据理论的DoS入侵检测引擎模型。利用D-S证据理论,把从多个嗅探器获得的当前网络状态的证据关联起来检测DoS攻击。文章重点探讨网络状态的可信度计算及融合算法。     

扩展D-S证据理论在入侵检测中的应用

网络异常行为检测是入侵检测中不可或缺的部分,单一的检测方法很难获得较好的检测结果。针对经典D-S证据理论不能有效合成高度冲突证据的不足,提出将基于改进的加权D-S证据组合方法应用到网络异常行为检测中,并融合多个SVM,建立新的入侵检测模型。该方法通过引入平均证据得到权重系数,以此区分各证据在D-S融合中的影响程度,因此能有效解决证据的高度冲突。仿真结果表明,与传统的基于D-S证据理论的异常检测相比,本模型能够有效提高融合效率,进而提高检测性能。     

多Agent数据融合在入侵检测中的应用

本文提出了一种基于数据融合的多Agent入侵检测系统模型,将数据融合引入到网络安全中的入侵检测领域.并且提出了基于D-S(Dempster-Shafer)证据理论的数据融合方法.该系统能够有效的将多种不同的检测方法结合起来以获取更高的检出率、更低的误报率、更好的可扩展性和鲁棒性.     

扩展D-S证据理论在入侵检测中的应用

网络异常行为检测是入侵检测中不可或缺的部分,单一的检测方法很难获得较好的检测结果。针对经典D-S证据理论不能有效合成高度冲突证据的不足,提出将基于改进的加权D-S证据组合方法应用到网络异常行为检测中,并融合多个SVM,建立新的入侵检测模型。该方法通过引入平均证据得到权重系数,以此区分各证据在D-S融合中的影响程度,因此能有效解决证据的高度冲突。仿真结果表明,与传统的基于D-S证据理论的异常检测相比,本模型能够有效提高融合效率,进而提高检测性能。     

基于危险模型的三级模块式入侵检测系统

利用危险理论和数据融合技术,提出一种基于危险模型的三级模块式入侵检测系统,并在第三级模块中提出了一种自适应决策模板算法,实现了检测模板的在线自动修正。系统的优点在于：对于利用现有知识难以给出检测结果的情况,系统将根据是否有危险信号做出判断,不但可减少误报还能改善对未知攻击的识别能力;利用自适应决策模板算法,系统的检测模板能够在线调整,不需要定期更新,使系统能适应行为经常改变的环境,也因此提高了检测未知攻击的能力。基于KDD-CUP-99数据库的实验验证了系统的有效性。     

扩展D-S证据理论在网络异常检测中的研究

网络异常检测是入侵检测系统中重要的组成部分,然而传统网络异常检测方法中存在虚警率高、单一检测算法对多种入侵行为的检测不够全面等问题。提出了一种基于改进D-S证据理论融合多个分类器的分布式网络异常检测模型及其融合方法。鉴于经典D-S证据理论在证据间存在冲突时的不合理,采用一种带权重的改进型D-S证据理论,提出一种全新的融合策略融合多个分类器建立异常检测模型。通过KDD99数据集对该模型进行验证,结果证明该异常检测模型可以明显降低网络异常检测的虚警率,提高检测精度。     

D-S证据理论在Ad hoc网络入侵检测中的应用分析

由于Ad hoc 网络没有一个固定的结构,入侵检测只能通过节点进行。一个分布式入侵检测系统需要联合多节点数据进行检测,但是却不能保证这些节点都是可靠的。D-S证据理论考虑了不确定度的概念,可以很好的解决这个问题,更为重要的是,Dempster规则可以从一些不可靠节点融合证据。从可信度入手,给出了初始化过程,并对D-S证据理论融合多节点证据过程进给出了具体的分析。     

基于信息融合的入侵检测方法

为了更全面地检测到在系统和网络中的入侵行为,本文将信息融合技术用于入侵检测．首先,利用支持向量机进行分类,将基于主机的审计数据和基于网络的流量数据包分别训练,然后利用D—s证据理论按照一定的规则对两个支持向量机的预测结果进行决策层的融合。把基于主机的入侵检测和基于网络的入侵检测结合起来将大大提升入侵检测的性能,降低漏报率,提高准确率。     

基于模糊证据理论算法在火灾检测中的应用

在复杂多变的火灾检测环境中,针对传统火灾检测方式准确率不高,适应性较差的问题。将模糊集合和D-S证据推理有机结合,提出一种新的用于火灾检测的多传感器数据融合的方法。该方法首先利用火焰、烟雾和温度传感器感知火灾状态,然后根据给出模糊隶属函数计算各个传感器的模糊隶属度。为了增强系统的抗干扰性,引入了计算传感器可信度的方法,并根据每次测量隶属度和可信度转化为基本概率分配函数(mass函数),最后利用证据理论对一个周期内多次测量的信息进行融合。结果表明,该方法提高了火灾检测判别的准确率,克服单个传感器带来的不稳定性和不确定性,增强了火灾检测系统的鲁棒性。     

入侵检测报警相关性及评测数据集研究

首先对报警相关性技术和方法进行深入的研究 ,分析各种报警相关性方法的优缺点 ;在此基础上提出了基于多源数据融合的报警相关性功能模型 ;然后对报警相关性的评测数据集进行了讨论 ,分析它们适用的范围和存在的问题 ;最后指出了报警相关性的发展方向。