采用关联分析改进基于攻击签名的入侵检测的技术

在入侵检测系统中,检测的性能依赖于攻击签名的准确性与多样性,因此攻击签名的构建是入侵检测实现的关键。通常情况下,攻击签名都是手动创建的,这使入侵检测的实时性与准确性大大降低,影响了入侵检测的性能。采用关联分析挖掘攻击签名的方案的提出,能够实时发现传输数据流中的频繁攻击模式,并通过实验验证了提出方案的可行性。     

基于Windows的主机入侵检测系统联动防火墙的设计与实现

设计与开发了一个运行在windows200下的轻量级入侵检测系统,系统采用VC＋＋6.0作为开发工具,利用WinPcap技术来捕获网络数据包。在数据包处理方面采用了统计与特征相结合的检测方法,从整体结构而言是一个基于主机的入侵检测系统。文章重点介绍系统总体结构和联动防火墙模块的设计和实现,最后以攻击检测实验加以验证。     

基于异常的Anti SYN Flood实现

介绍了SYNFlood攻击的原理，分析了基于异常检测的入侵检测方法，利用信息论的相关原理，通过对到达目的IP和目的端口的SYN包的概率统计，计算其异常值并和门限值比较，有效地检测出SYNFlood攻击。以预处理插件的形式，将AntiSYNFlood的模块加入到入侵检测系统中，给出了检测流程、主要数据结构和程序框架，并作了相应的测试。     

基于CIDF的网络入侵检测系统设计与实现

文中设计并实现了在L inux平台上基于C IDF框架的网络入侵检测系统,采用了异常和误用相结合的检测技术.实现了基于L ibpcap的网络数据包的捕获,在对入侵行为特征进行分析的基础上定义了入侵规则库,利用规则解析模块实现了入侵规则解析.经过测试,本系统能够准确检测出端口扫描、T rinoo攻击、CG I扫描.     

基于最大频繁项集挖掘的入侵检测研究

通过建立基于最大频繁项集系统的正常行为模型与攻击模型;采用滑动窗口是否有不被正常行为模型覆盖的频繁模式产生来检测入侵,提高在短时间内对频繁发生的攻击类型的检测精度和响应速度.     

基于数据挖掘的入侵检测系统研究

本文通过对现有入侵检测系统的现状进行分析,并将数据挖掘技术引入到异常检测和误用检测中,构建了基于数据挖掘的网络入侵检测系统模型,重点设计和实现了基于改进Apriori算法的异常检测和分析模块,在入侵检测方面取得较好效果。     

分布式防火墙环境的边界防御系统

针对传统边界防火墙在动态防御方面的缺陷,对防火墙和入侵检测系统之间的三种联动技术进行分析比较,提出了一种基于分布式防火墙环境,具备防火墙和入侵检测功能,采用系统嵌入方式的边界防御系统模型。模型利用队列通信机制实现防火墙和入侵检测协同工作,共同检测和防范对系统的入侵行为,并通过安全通信模块与分布式防火墙连接。最后给出了在Linux下的实现。     

基于自动机模型数据关联性能评估算法

提出了一种基于自动机理论的性能评估方法,通过在有限自动机模型中增加描述观测的时间序列,来扩展其对数据关联过程的表达能力;使用时序有限自动机模型来描述关联处理算法的模型;使用带时间属性的字符串表示目标航迹。对数据关联的时序有限自动机模型进行一致性和可达性分析,并在此基础上给出了性能评估算法。实验结果证明该方法可以有效地评价关联算法的性能。     

拟(h,k)阶存贮线性有限自动机的一些结果

利用拟(r,r)阶存贮线性有限自动机可以轻松地构造出一个延迟r步弱可逆的有限自动机,这比文献[2]中通过Ra,Rb变换,对(r,r)阶存贮线性有限自动机进行一系列复杂烦琐的变换来构造一个延迟r步弱可逆的有限自动机的方法要简单可行.文章利用拟(r,r)阶存贮线性有限自动机,给出了一种构造延迟r步前馈可逆的线性有限自动机M和延迟r步前馈逆线性有限自动机M的简便方法.     

入侵异常检测研究综述

入侵检测是网络安全中极其重要的一环,异常检测是近年来入侵检测研究领域的热点。从分析入侵检测和网络安全模型间的关系开始,介绍入侵检测的概念和入侵检测系统的抽象模型,重点讨论基于网络数据、基于系统调用和基于系统调用参数的异常检测技术方法,对3种技术的重要研究方法进行了分析。指出入侵检测目前应尽量降低入侵检测系统对目标系统的性能影响和重点解决入侵异常检测系统的性能开销问题。随着网络环境的不断变化和入侵攻击手段的不断推陈出新,入侵异常检测未来的研究趋势之一是在入侵异常检测系统中增加可视化情景再现过程。     

入侵检测中基于序列模式的告警关联分析

提出一种基于序列模式的告警关联分析模型,实现对攻击告警的分析。该模型预处理部分利用网络拓扑信息和告警属性相似度隶属函数对原始告警进行过滤和融合;在WINEPI算法的基础上,考虑告警数据库增长的情况,提出一种告警的增量式序列模式挖掘算法,用于关联规则发现;在线关联模块匹配规则库形成攻击场景图,并预测未知攻击事件。使用2000 DARPA攻击数据集测试表明,该模型能够明显改善入侵检测系统的性能,验证了模型和算法的有效性。     

有限自动机在BBS信息监测系统中的运用

形式语言与自动机理论是为了将自然语言转换成为计算机能够识别、处理的语言而建立的理论体系,利用有限自动机可以对文本信息进行智能化监测,对文本的词法分析可以得到系统监测所需要的信息。该文对有限自动机在BBS信息监测系统中的运用进行了详细阐述;描述了系统的具体实现以及软件界面;对信息监测的三种方式终端监测、运行监测、备份监测的优劣进行了分析,并提出了具体实施的办法。     

基于代理的分布式入侵检测系统设计

本文在分析现有入侵检测方法,技术与系统的基础,基于入侵检测的自治代理模型,给出了一种分布式多代理的入侵检测系统模型,其核心思想是将原来的集中处理分布到网络的观测点,对每类攻击构造相应的代理程序。其优点是处理速度快,布置方便。解决了单点故障。另外,采用CORBA技术,实现了异构环境下的跨平台操作,为入侵检测系统提供一条有效技术途径。     

基于TMS320DM6446的智能视频分析系统设计

本文以智能视频分析为背景，提出了一种以TMS320DM6446为核心的入侵检测智能视频分析系统设计方案，完成了相应的软硬件设计。系统硬件采用模块化设计，实现了视频的输入、输出、分析、存储、外设报警等模块的设计。系统软件算法采用了一种背景差分与三帧差分相结合的方法进行运动目标检测和提取，并与预定的报警规则比较，完成入侵检测和报警。该方案作为嵌入式系统，设计简单，具有良好的扩展性和灵活性。     

基于模式识别的校园网入侵检测系统应用研究

作为开放网络的组成部分,校园网络的安全是不可忽视的.入侵检测属于动态安全技术,它能够主动检测网络的易受攻击点.相对于传统的入侵检测技术来说,采用模式识别的入侵检测具有检测准确度高以及能识别大量新型攻击的优点.利用相似度对网络连接数据的属性特征进行选择,抽取其关键特征,以优化朴素贝叶斯的分类性能.利用VC6.0,设计实现入侵检测的原型系统,经测试,该系统性能良好.     

一种基于多参数的IDS决策过程研究

讨论了将数据融合技术运用到入侵检测系统中的方法,并提出了一个基于数据融合技术的入侵检测机制-DFIDM。在该机制中,有多个检测器搜集系统日志文件、网络流量信息、网络数据包等数据,这些数据在通过了本地决策、数据提取和对象提取阶段等预处理过程之后,传送到融合中心进行决策,重点研究了决策过程所涉及的多参数问题。为此,系统设计了检测器可靠性、时间因素、空间因素等五个主要因素参与融合与决策。最后通过实验证明,采用了该机制的入侵检测系统具有更好的准确性。     

受免疫原理启发的Web攻击检测方法

随着Internet应用的不断深入,Web服务器成为了黑客的主要攻击目标。为克服传统误用入侵检测系统无法识别未知Web攻击和异常入侵检测系统误报率高等缺陷,受生物免疫系统启发,该文提出了一种基于免疫原理的Web攻击检测方法。给出了自体、非自体、抗原、抗体基因库、免疫细胞等的数学定义,描述了免疫学习算法。对比实验结果表明该方法较传统的基于神经网络和ID3算法的Web攻击检测技术能有效检测未知Web攻击,具有检测率和分类率高、误报率低和实时高效等特点,是检测Web攻击的一种有效新途径。     

蜜罐技术及其在入侵检测系统中的实现

蜜罐(Honeypot)是一种在互联网上运行的计算机系统.随着近年来网络规模的不断扩大和蠕虫攻击事件增多,网络安全研究步入新的阶段.现阶段的入侵检测系统还存在着不足,为此要在入侵检测领域引入欺骗的手段,利用蜜罐来部分解决现有的准确率问题.     

基于Honeypot技术的网络入侵检测系统

利用Honeypot(蜜罐)技术设计了一种新的网络入侵检测系统。Honeypot技术是入侵检测技术的一个重要发展方向,已经发展成为诱骗攻击者的一种非常有效而实用的方法,不仅可以转移入侵者的攻击,保护主机和网络不受入侵,而且可以为入侵的取证提供重要的线索和信息,成功地实现了对网络入侵的跟踪与分析,具有一定的实用价值。     

基于WinPcap的ARP欺骗检测系统

介绍了ARP欺骗攻击的原理,分析了通用入侵检测系统在检测ARP欺骗攻击中存在的不足,并针对这些不足设计实现了一种基于WinPcap的ARP欺骗检测系统,给出了系统的设计框架、流程图和关键源代码。