入侵异常检测研究综述

入侵检测是网络安全中极其重要的一环,异常检测是近年来入侵检测研究领域的热点。从分析入侵检测和网络安全模型间的关系开始,介绍入侵检测的概念和入侵检测系统的抽象模型,重点讨论基于网络数据、基于系统调用和基于系统调用参数的异常检测技术方法,对3种技术的重要研究方法进行了分析。指出入侵检测目前应尽量降低入侵检测系统对目标系统的性能影响和重点解决入侵异常检测系统的性能开销问题。随着网络环境的不断变化和入侵攻击手段的不断推陈出新,入侵异常检测未来的研究趋势之一是在入侵异常检测系统中增加可视化情景再现过程。     

面向入侵检测的机器学习方法综述

入侵检测方法是基于网络的入侵检测系统的核心,可以是基于特征的,也可以是基于异常的。基于特征的检测方法具有较高的检测率,但不能检测到未知新型攻击;基于异常的检测方法可以检测到新型攻击,但误报率较高。为了降低入侵检测的误报率并提高其检测率,许多机器学习技术被应用到入侵检测系统中。通过对大量带有入侵数据训练样本的学习,构建了一个用于区分正常状态和入侵状态的入侵检测模型。针对目前入侵检测系统存在的高误报率、低检测速度和低检测率等问题,对机器学习技术在入侵检测系统中的的优势、系统检测的通用数据集以及系统评估指标进行了详细阐述,并对未来研究趋势进行了展望。     

基于对象感知的入侵检测技术

常规入侵检测系统对被保护的网络对象一无所知,仅根据对比网络事件和入侵知识库进行异常判断,不能准确告知网络事件对被保护网络的实际威胁,造成大量误警.采用被动和主动网络对象感知技术可以有效分析网络异常事件的实际威胁性,只对有实际威胁的事件进行高级别报警,提高入侵检测系统的有效性.     

基于蚁群优化聚类的网络入侵检测研究

随着计算机网络特别是因特网技术的发展,网络安全已变得越来越重要.入侵检测作为一种主动防御的安全技术正成为实现网络安全的另一个重要技术手段和第二道防御措施.分析了基于聚类分析的入侵检测技术,在对入侵检测和数据挖掘理论分析基础上,提出基于蚁群优化聚类的入侵检测算法,详细阐述了算法的基本原理和过程,计算机仿真实验结果表明,该算法能够检测新型未知入侵,并能有效提高入侵检测的检测率、降低误检率,并可用于实际环境下数据集的入侵检测.     

基于数据挖掘和粗糙集的入侵检测系统在电力网络中的应用

根据电力系统的网络安全风险的特点,简要介绍各技术层面的解决办法,重点设计了网络层中入侵检测系统应用的部署和结构。在中心控制台采用基于数据挖掘和粗糙集的网络入侵检测系统,结合滥用检测和异常检测方法,并给出体系结构和模型建立的过程。     

入侵检测系统在电力信息网络中的应用

针对电力系统网络的特点,分析了电力系统网络安全的重要性,将基于数据挖掘技术的入侵检测系统应用到电力系统的安全体系中.通过将数据挖掘技术和入侵检测技术相结合,建立了基于数据挖掘的入侵检测系统的模型,利用关联分析算法生成规则,实现了入侵检测模型在电力系统网络中的应用.     

非负矩阵分解在入侵检测中的应用

针对当前入侵检测系统存在的检测效果差,对训练数据集要求高的问题,提出了一种使用非负矩阵分解算法的异常入侵检测模型.在预处理阶段综合考虑系统调用数据的时序和频率特征,将进程的入侵检测问题转换为向量空间的异常点检测问题,利用非负矩阵分解在提取特征和数据降维方面的优点,将高维空间降维映射到低维空间,最终在低维向量空间实现入侵检测.实验证实本方法检测效果良好.     

基于对象感知的入侵检测技术

常规入侵检测系统对被保护的网络对象一无所知,仅根据对比网络事件和入侵知识库进行异常判断,不能准确告知网络事件对被保护网络的实际威胁,造成大量误警。采用被动和主动网络对象感知技术可以有效分析网络异常事件的实际威胁性,只对有实际威胁的事件进行高级别报警,提高入侵检测系统的有效性。     

基于对象感知的入侵检测技术

常规入侵检测系统对被保护的网络对象一无所知,仅根据对比网络事件和入侵知识库进行异常判断,不能准确告知网络事件对被保护网络的实际威胁,造成大量误警。采用被动和主动网络对象感知技术可以有效分析网络异常事件的实际威胁性,只对有实际威胁的事件进行高级别报警,提高入侵检测系统的有效性。     

一种新颖的误用入侵检测自适应模型

针对目前入侵检测系统漏报率高、自适应能力差等问题,通过引入规则集的完备度、自相似度等概念,采用模糊模式识别方法,构造一种新颖的误用入侵检测自适应模型,使入侵检测系统能够根据自身的学习情况自动调节异常和正常的判断准则,从而有效降低系统的漏报率,增强系统的自适应能力,提高检测的准确度.     

基于模糊综合决策的计算机入侵检测技术探析

入侵事件的复杂性和不确定性可以通过模糊概念进行界定和分析,从而更准确地描述网络安全问题.矩阵运算在计算机入侵检测模糊综合决策中至关重要.通过实例介绍一种应用于群组决策的特殊矩阵--模糊互补判断矩阵.     

基于多代理的混合式入侵检测系统模型

在当前的网络环境下进行实时的入侵检测往往面临以下问题:一是网络的规模庞大,需要处理大量的信息,进而要求入侵检测系统有较大的吞吐量;二是网络的环境复杂,数据类型多样,相应的要求入侵检测系统有较大的准确度.针对这些问题,提出了一个入侵检测系统的模型,该模型基于多代理的分布式结构,能够适应网络规模和带宽的变化,具有很好的可扩展性;混合应用了异常和误用入侵检测技术,具有低的误警率和漏警率;采用了多属性的特征提取方法,能够精确的把握入侵行为的特征,从而有效的识别入侵行为;采用径向基函数来构造分类器,使得分类器具有较强的推广能力,能够对未知的入侵行为进行准确的判定,进一步增强了入侵检测的准确性.实验表明该系统吞吐量大,准确性高,适合于当前高速复杂的网络环境,具有很好的实用性.     

网络入侵异常检测的实时方法

目前市面上的入侵检测系统一般都是基于特征匹配,不能对未知入侵进行有效检测,异常检测可以较好地检测未知入侵.MIT林肯实验室提出了一种离线的异常入侵检测方法,但不能据此建立实际的入侵检测系统,为此,提出一种能实时检测网络异常的入侵检测方法.该方法可以实时重建网络连接,提取每一连接的31个与入侵有关的特征,运用支持向量机进行在线检测,实验结果表明,该方法是有效的,检测精度在95%以上.为缩短入侵检测时间,对最短检测时间进行了研究,提出了最优入侵检测时间算法,根据此算法得出局域网内的异常连接在250ms内即可较准确地检测出.     

入侵检测数据收集机制分析

网络入侵检测备受关.入侵检测是一种主动保护网络免受攻击的网络安全技术.介绍入侵检测系统如何识别入侵行为,讨论入侵检测数据收集机制及其特点.     

入侵检测系统的研究

入侵检测是网络安全技术研究的一个新方向,入侵检测的重点是采用何种检测方法来有效地提取特征数据并准确地分析出非正常网络行为,入侵检测系统是完成对计算机和网络资源上的恶意使用行为进行识别和响应处理的独立系统。文章首先简述了入侵检测系统的发展历史背景及其重要性.然后通过分析常用的各种入侵检测方法的优缺点,指出目前的入侵检测系统存在的不足及其今后的发展趋势。     

蚁群算法选择特征与WSVM融合的网络入侵检测

为了提高网络入侵检测率,提出一种蚁群算法选择特征与加权支持向量机的网络入侵检测方法.利用蚁群算法选择网络数据的关键特征,计算信息增益获得各个特征权重,根据特征权重构建了加权支持向量机的网络入侵分类器,并通过KDD CUP 99数据集验证了其有效性.结果表明:该算法能够有效降低特征维数,提高网络入侵检测率和检测效率.     

基于改进变分自动编码器的入侵检测模型构建及仿真

针对现有网络流量入侵检测查准率低的问题,提出了一种基于改进变分自动编码器的入侵检测方法,先在变分自动编码器上增加判别器实现网络流量的入侵检测,之后在CICIDS2017数据集上对所提方法进行验证。结果表明,所提方法对正常流量与异常流量检测的平均查准率、召回率、F1值均达到87%以上,且平均AUC值达90%。相较于CE-SAE模型和传统变分自动编码器,所提方法在各项指标上的表现更好,具有明显优势。     

基于IPv6的网络入侵检测技术研究

IPv6技术是下一代互联网的核心技术。通过分析现有网络安全系统的基本原理,针对IPv6网络的特点,提出在IPv6环境下采用基于协议分析和模式匹配技术相结合的入侵检测系统架构。采用该系统架构能够更快、更有效地处理信息数据帧和连接,同时能够判断一个通信的实际内容及具体含义,具有抗躲避性强、系统资源占用小、检测速度高、误报率低的特点。     

数据挖掘技术在网络信息安全中的应用

信息的获取、使用和控制的竞争愈演愈烈,网络安全问题变得日益重要,信息安全成为维护国家安全和社会稳定的一个焦点.如何辨别防御与攻击和增强网络安全已成为技术管理人员研究的问题.入侵检测已成为网络安全领域的热点课题.异常检测和误用检测是入侵检测的主要分析方法.     

基于内外卷积网络的网络入侵检测

网络入侵检测通过分析流量特征来区分正常和异常的网络行为以实现入侵流量的检测,是网络安全领域的重要研究课题.针对已有入侵检测模型特征提取过程复杂、信息提取不足等问题,提出了一种基于内外卷积网络的入侵检测模型.首先使用一维卷积神经网络提取流量数据的内部特征,然后通过对内部特征计算相似度建模得到无向同质图,此外将流量在外部网络侧的通信行为建模为有向异质图,并对两图使用图卷积网络学习包含网络流量多种交互行为的嵌入向量,最后将学习到的流量嵌入向量输入到分类器中用于最终的分类.实验结果表明,所提模型的检测准确率和误报率均优于对比模型.