基于生物免疫的入侵检测系统模型

本文将生物免疫机理引入到网络入侵检测技术中．构建了一个基于免疫代理的网络入侵检测模型。该模型系统具有准确性、实时性、高效性以及自适应性，能较好地解决入侵检测系统的分布性差、自适应性差、误报率高等问题。     

用多模式匹配的方法设计基于网络的IDS

总结了4种高效的多模式匹配算法，并结合基于网络IDS的情况，根据这些算法的特点，对这4种算法的选择提出了一些观点，用二叉树描绘了入侵的攻击模式，对攻击模式的子模式进行分级定义，同时说明了攻击模式的分类，分类在用模式匹配方法设计基于网络的IDS中有着重要的作用。     

小IP报文攻击的入侵检测方法研究

入侵检测技术是网络安全领域中的新技术,但它发展还不成熟,很多攻击方法利用它的缺陷进行攻击。其中小IP报文攻击利用Windows和Linux对有数据重叠的报文处理方式不一样进行攻击。论文提出了小IP报文攻击的入侵检测方法,并采用Snort工具进行实验,使得Snort和被保护主机对有数据重叠的报文的处理方式一致,从而使Snort发生误报、漏报的次数明显减少,为实现网络安全提供了有益的借鉴。     

入侵检测系统中模式匹配算法的研究

入侵检测是网络安全的最后一道防线,模式匹配算法是基于特征匹配的入侵检测系统中的核心算法,模式匹配的效率决定这类入侵检测系统的性能。本文对入侵检测系统中的模式匹配算法进行了综述,包括经典的单模式匹配算法--KMP算法、BM算法、RK算法和多模式匹配AC算法。对各种算法的性能进行了分析。最后提出了改进模式匹配算法效率的研究方向。     

入侵检测系统中模式匹配算法的研究

入侵检测是网络安全的最后一道防线,模式匹配算法是基于特征匹配的入侵检测系统中的核心算法,模式匹配的效率决定这类入侵检测系统的性能.本文对入侵检测系统中的模式匹配算法进行了综述,包括经典的单模式匹配算法--KMP算法、BM算法、RK算法和多模式匹配AC算法.对各种算法的性能进行了分析.最后提出了改进模式匹配算法效率的研究方向.     

基于改进否定选择算法的网络入侵检测模型

为了解决网络入侵检测中如何迅速有效地检测出未知模式的入侵的问题,通过对人类免疫系统的基本原理的研究,提出了一种基于免疫原理的网络入侵检测新模型.该模型采用了改进的否定选择算法;根据否定选择理论,若与"自我"模式相匹配,则该模式不成为检测者,从而去掉它;否则,该模式成为一个检测者模式,并存入检测系统.实验结果表明,该模型可以准确地识别出未知入侵模式,有效地提高了系统的自适应性.     

基于不定长系统调用序列模式的入侵检测方法

提出了一种不定长序列模式的寻找算法,目标是从训练序列中找出一组基本的、相对独立的不定长序列模式。并在模式集的更新过程中自动定义了模式间的前后次序关系,以此构建了一个描述进程执行模式的DFA。针对已有基于不定长序列模式的模式匹配算法需要向前预测若干个系统调用号的缺点,文章设计了一个更好的模式匹配算法。实验结果表明,算法在模式寻找过程中是稳定的,并在保持一组规模很小的模式集的情况下,取得了很低的误报率和漏报率。     

一种面向入侵检测系统的模式匹配算法的改进

分析引擎是入侵检测系统的核心部分,一个好的模式匹配算法直接决定了入侵检测系统分析引擎的效率。本文对几种经典的模式匹配算法如:BM算法,BMH算法以及BMHS算法等经典算法进行了研究和分析,比较了几种算法的优劣。最后在BMHS算法的基础上提出一种改进的算法,该算法可以有效提高入侵检测系统的检测速度。     

基于FPGA硬件策略的入侵检测的研究

通过对入侵检测原理的分析,提出了一个基于FPGA硬件策略的IDS原型.数据分发功能由数据预处理模块完成,对数据包的分析检测通过多软核并行处理的方法来提速,并采用协处理器来加速完成模式匹配过程,系统的控制和管理功能由主控模块来完成,可以根据需要增加硬件和自定义指令来提高系统性能.实验结果表明,在入侵检测系统中采用硬件策略比软件实现具有更好的性能.     

一种基于分类树的误用检测规则分析机模型

为了解决基于专家系统的入侵检测系统匹配速度慢,不能适应网络高带宽要求的问题,提出了一种图形化的模型,采用分类树的方法构建规则分析机模型,根据属性在攻击描述的作用,决定节点的选择顺序,并且在搜索过程中采用树的遍历算法代替产生式规则的字符串比较方法,从而有效减少误用检测系统的属性匹配时间,满足了实时性要求。     

基于特征匹配的网络入侵检测技术安全性研究

本文通过对基于特征匹配的入侵检测技术的深入分析,从网络入侵者的角度总结提出了多种可以有效地躲避数据审计的相关技术,揭示了网络入侵检测存在的不足。     

A parameterized multilevel pattern matching architecture on FPGAs for network intrusion detection and prevention

Pattern matching is one of the most performance-critical components for the content inspection based applications of network security, such as network intrusion detection and prevention. To keep up with the increasing speed network, this component needs to be accelerated by well designed custom coprocessor. This paper presents a parameterized multilevel pattern matching architecture (MPM) which is used on FPGAs. To achieve less chip area, the architecture is designed based on the idea of selected character decoding (SCD) and multilevel method which are analyzed in detail. This paper also proposes an MPM generator that can generate RTL-level codes of MPM by giving a pattern set and predefined parameters. With the generator, the efficient MPM architecture can be generated and embedded to a total hardware solution. The third contribution is a mathematical model and formula to estimate the chip area for each MPM before it is generated, which is useful for choosing the proper type of FPGAs. One example MPM architecture is implemented by giving 1785 patterns of Snort on Xilinx Virtex 2 Pro FPGA. The results show that this MPM can achieve 4.3 Gbps throughput with 5 stages of pipelines and 0.22 slices per character, about one half chip area of the most area-efficient architecture in literature. Other results are given to show that MPM is also efficient for general random pattern sets. The performance of MPM can be scalable near linearly, potential for more than 100 Gbps throughput. Supported by the National Natural Science Foundation of China (Grant No. 60803002), and the Excellent Young Scholars Research Fund of Beijing Institute of Technology     

分层神经网络在入侵检测系统中的应用

入侵检测技术是提高网络安全的重要手段之一,旨在利用分层神经网络解决入侵检测问题。针对入侵检测研究的通用审计数据集,首先将数据进行预处理以便运算;其次利用RBF网络实现粗检测;再次利用Elman BP网络进行细检测,从而实现分层神经网络的入侵检测;最后在MATLAB平台下进行仿真实验,仿真结果表明,分层神经网络结构在入侵检测中体现出良好的特性。     

基于RBF网络的入侵检测技术

入侵检测技术作为提高网络安全的有效手段日益受到重视,在此旨在利用RBF网络解决入侵检测问题。针对入侵检测研究的通用审计数据集,首先将其所有字符串行式的元素转换为数值形式;为了提高RBF网络的逼近性能和运算速度,去除对输出无影响的输入项,并且将剩余输入项的可能取值转换到合理的范围内;最后在Matlab平台下进行仿真实验,并与BP网络进行了比较,仿真结果表明,RBF网络在入侵检测中体现出良好的特性。     

一种基于改进支持向量机的入侵检测方法研究

提出基于粒子群优化（Particle Swarm Optimization,PSO）算法和支持向量机（Support Vector Machines,SVM）的入侵检测方法,为优化SVM性能,使用PSO的全局搜索特性寻找SVM的最优参数[C]和[σ];为避免PSO算法陷入局部最优,引入变异操作,找到最优参数组合后进行基于PSO_SVM入侵检测算法的训练和检测,解决了入侵检测系统准确度难题。仿真实验表明该方法的检测率为92.8%,误报率为6.911 9%,漏报率为9.708 7%,对KDDCUP竞赛的最佳结果有一定程度的提高,实验结果验证了该算法的有效性和可行性。     

通过有效匹配TCP/IP数据包检测黑客入侵

基于估算下游TCP/IP交互式会话长度方式来检测跳脚石入侵是计算机网络安全中的热门课题。计算连接链长度的关键是匹配TCP/IP交互式会话的发送和响应的数据包,SDC算法就是基于这个目的而提出的,但是SDC算法由于需要大量的计算而不是很有效。分析了引起SDC低效的原因,给出解决方案,提出了一种使用滑动窗口的算法SWAM。通过有效性分析,说明SWAM算法能减少99.99%的计算量。给出了两种决定滑动窗口大小的方法：一种方法利用了匹配结果的收敛特性,另一种利用TCP/IP协议本身的一些特性。相比而言第二种方法的计算量要相对小一些。     

基于信息融合的入侵检测方法

为了更全面地检测到在系统和网络中的入侵行为,本文将信息融合技术用于入侵检测．首先,利用支持向量机进行分类,将基于主机的审计数据和基于网络的流量数据包分别训练,然后利用D—s证据理论按照一定的规则对两个支持向量机的预测结果进行决策层的融合。把基于主机的入侵检测和基于网络的入侵检测结合起来将大大提升入侵检测的性能,降低漏报率,提高准确率。     

一种基于移动代理的入侵检测系统模型

提出一种利用IBM Aglet平台构建基于移动代理的分布式入侵检测系统模型，利用移动代理的移动性、灵活性、适应性、跨平台性和代码可重用等特性来克服目前入侵检测系统中存在的效率低、可移植性差、灵活性(包括可调整性、伸缩性和动态重新配置能力)有限和升级能力有限等缺陷。     

一种基于免疫原理的混合式入侵检测模型

针对现有入侵检测系统的不足,在对入侵检测技术和生物免疫原理比较的基础上,引入并利用可疑度的概念,将基于主机和基于网络的入侵检测系统结合起来,提出了一种基于免疫原理的混合式入侵检测模型。该模型参考免疫系统的分层机制,模拟其否定选择、科隆选择及直接被动免疫过程,并对自我集的实时流定义方法,检测元的生命周期等作了说明。