张林[1]2004年在《基于Euclidean距离的入侵检测技术研究》文中研究指明随着信息技术,特别是Internet的飞速发展,计算机网络已逐渐成为21世纪全球最重要的基础设施。以此为基础建立起来的各种信息系统,给人们的生活、工作带来了巨大变革。信息系统的应用,加速了社会自动化的进程,减轻了日常繁杂的重复劳动,同时也提高了生产率,创造了可观的经济效益。然而,由于计算机网络具有连结形式多样性、终端分布不均匀性和网络的开放性、互联性等特征,致使网络的安全隐患越来越多,网络攻击对入侵者的技术要求也越来越低,攻击的手段越来越先进,越来越隐蔽,而危害也越来越大。如何保障计算机系统、网络系统及整个信息基础设施的安全已经成为刻不容缓的重要问题,对于我国的国防系统具有尤其重要的意义。 另外,统计数据还表明,超过80%的入侵和攻击是从企业内部发起的,由于防火墙自身所固有的防外不防内,使得防火墙对这些入侵和攻击无能为力。为保护系统资源,需要建立不同于防火墙和防病毒软件的主动防御机制检测入侵。入侵检测系统(Intrusion Detection System)就是监控网络或计算机系统的动态行为特征并据此判断是否有入侵的主动防御措施。入侵检测系统可以弥补防火墙的不足,检测来自网络内部的攻击,为网络提供实时的监控并且在发现入侵的初期采取相应的防护措施。但是传统入侵检测方法存在不足,即误用检测方法难于检测新形式的入侵,异常检测方法难于建立合理有效的正常行为特征和检测方法。因此,如何对计算机和网络中的非法行为进行主动防御和有效抑制,成为当今计算机安全亟待解决的重要问题。 本文首先回顾了网络攻击和入侵检测的发展,随后对入侵检测的体系结构、关键技术、主要功能模块的功能以及入侵检测的标准化进行了详细的阐述。然后对现有入侵检测系统进行了分析。在此基础上,将欧氏距离(Euclidean Distance)引入了入侵检测系统以降低入侵检测系统的误报率,并提出了基于Euclidean距离的入侵检测方法Intrusion Detection Based on Euclidean Distance(EDID)。这种方法的实质是在监控特权进程的正常系统调用基础上建立正常行为模糊子集A,用检测到的实时调用序列建立模糊子集B,然后用模糊识别方法中的最小距离原则进行检测。 本文的创新点是:通过对特权进程的系统调用及参数序列的研究,提出了基于Euclidean距离的入侵检测方法EDID,不仅能有效降低漏报率和误报率,而且使实时入侵检测成为可能;设计有独立而完整的特征数据库,根据被监控程序的类别,分别设计正常行为、异常行为等,提高了检测系统的强健性和可伸缩性;特征数据库按树型结构存储,大大节省了存储空间;在检测入侵时,实行频度优先原则,优先分析和处理信息表中的高频度行为特征,提高检测的速度和效率,使实时入侵检测成为可能;同时实现了异常入侵检测和误用入侵检测,弥补了单一检测方法的不足。
郭建新[2]2007年在《基于AIS的异常入侵检测技术》文中研究表明随着Internet的飞速发展,从网络上获取信息已经逐渐成为人们生活工作必不可少的内容。但是由于在网络通信中一旦泄漏了个人或国家的某些敏感信息,将对个人甚至国家带来巨大的威胁。而且伴随着网络一起出现的黑客团体现在已经成为了网络社会的一大公害,他们的入侵行为严重危害了网络社会的正常秩序,甚至威胁到国家安全。因此,各种各样的针对病毒或网络攻击的安全产品出现了,并在一定程度上缓解了这种压力。作为对防火墙技术有益的补充,IDS(intrusion detection system,入侵检测系统)成为了一种有效的网络安全工具,对入侵检测系统的研究正是本文的研究方向。人工免疫系统作为人工智能领域的重要分支,同神经网络及遗传算法一样也是智能信息处理的重要手段,已经受到越来越多中外学者的关注。人工免疫系统中的否定选择算法等原理具有动态性、自适应和自学习性,很适合将其用到入侵检测系统中,将人工免疫中的相关原理使用到入侵检测系统模型中是本文理论研究的重点。并将基于否定选择算法的异常入侵检测技术应用到实际的项目中。本文围绕入侵检测技术和人工免疫系统相关原理和算法展开研究,主要工作包括:(1)对人工免疫系统的自身特殊概念、免疫方法、算法和用于机器学习的免疫模型进行了总结和分析,着重阐述了RLAIS免疫模型及主要算法,分析了该模型的优劣。(2)对入侵检测系统的关键技术进行了分析总结,着重分析了基于异常的入侵检测技术和基于误用的入侵检测技术,研究了它们的具体分类,方法和各种方法的优缺点。(3)通过对否定选择算法的研究,提出了基于该算法的异常入侵检测技术。并应用到实际项目中。
吴孙丹[3]2007年在《基于聚类的入侵检测方法的研究》文中研究指明入侵检测是继防火墙、数据加密等传统安全保护措施后的又一种新的安全保障技术,它被用于对计算机和网络资源进行恶意使用的行为进行识别和响应。近年来数据挖掘的各种技术被大量应用于入侵检测,但传统的面向入侵检测的数据挖掘算法需要在已标记的数据上进行训练,标记过程需要人工完成且代价太高,如果标记错误,将导致检测效率的降低。以聚类为代表的无监督异常检测方法可以在无标记数据集上使用,比传统的数据挖掘方法具有一定的应用优势。基于聚类的入侵检测算法PCSI包括四个算法:一是数据预处理算法,采用计算绝对偏差均值的方法对每条记录的特征向量值进行标准化处理,便于不同权值特征的聚类;二是聚类生成算法,首先针对传统的聚类算法无法处理离散型数据的缺点,定义一种新的混合数据集上的距离,使聚类算法能够处理包含连续型和离散型数据的异构源数据,然后将一个数据点作为数据中心,通过给定的聚类半径将数据点聚类;叁是聚类标记算法,它将所有的类按其包含的数据量大小排序,并设定一个比例数N,那些位于N以上的包含最多数据量的类被标记为正常类,其余的类则是异常类;四是检测算法,对于每个待判断的元数据,检测其与现存类的距离,并把该元数据归属到距离最小的那个类中,从而可判断该数据是否是入侵。在KDD Cup 1999数据集上的实验表明,PCSI算法在时间复杂度等检测性能方面比传统的异常检测方法有一定提高。
崔静静[4]2014年在《基于I-K-Means聚类的朴素贝叶斯HRNB分类算法在入侵检测中的应用研究》文中认为高科技的发展带动了社会信息化的发展。网络技术的飞速发展使得越来越多的人开始发挥网络的作用来办理各种事物,与此同时网络安全问题也相应的成为社会发展的重要保障。现今是一个网络信息化的时代,防火墙对内部地进犯进行拦截已经是筋疲力尽,更不用说去阻挡来自外部的一些不法攻击。网络安全成为许多技术发展的重要保障。入侵检测在网络安全方面占有着一席之地。伴随着复杂化、多样化的网络入侵形式,入侵检测体系也必须达到更高的水平来匹配形式变化。本文首先是对入侵检测的相关研究进行一定的介绍。简要的介绍了贝叶斯的一些基础原理,剖析了利用朴素贝叶斯算法操纵入侵检测的缺点和弊端。本文的创新工作点如下:1).首先为了克服传统朴素贝叶斯对缺失数据的缺点,利用HRNB分类算法对朴素贝叶斯进行一个分层的分类,使得分为完整属性集和缺失属性集两类。在分层的过程中对每层都设置一个调控参数?,使得调控参数进行最优分类的调控。2).对原始的K-Means聚类算法进行改进,使得初始值的选取避免敏感。采用的是利用欧几里得距离公式计算类内和类间的近似度距离,使得类内距离达到最大,类间最小。3).融合I-K-Means聚类算法和HRNB分类算法,结合各自的优势,提出基于I-K-Means聚类的HRNB朴素贝叶斯分类算法,并且依据此算法建立入侵检测模型。本文提出的算法在KDD Cup 10%上进行了仿真实验。从实验结果可以分析得到,在对缺失数据的入侵检测中,改进后的算法相比较与传统的朴素贝叶斯分类算法使得数据的检测率提高了,误检率和漏报率降低了。在对各种攻击类型的入侵检测方面,检测率、误检率和漏报率方面都有相应的改善。证明了该算法具有一定的有效性和可用性。
李志华[5]2009年在《语义属性数据聚类/分类算法及其在异常检测中的应用研究》文中研究指明随着网络技术的发展、应用程度的不断提高,重要信息系统的安全越来越受到严重威胁,各种网络安全事件越发不可避免,日益严重的网络安全危机甚至已经成为危及国家安全的关键因素。对入侵与攻击行为的检测与防范,保障计算机系统、网络系统和整个信息基础设施的安全已经成为一项刻不容缓的重要课题。虽然面向小规模网络的异常检测技术相对比较多,但随着网络带宽、网络规模的不断增长,复杂网络行为表现出了许多新的特性,深刻认识网络业务数据中潜在的规律和特殊性,是不断改进、提高异常检测方法性能的前提和基础,是进一步提高入侵检测系统的信任度、甚至实现大规模网络异常检测的关键所在。基于这样的认识,论文研究分析了网络连接数据和异常检测样本数据的特点,对数据集提出了一些新见解,认识到了网络数据中的一些新规律,以这些新发现和认识为出发点进行一系列有关异常检测算法的研究、探索,更加明确了本文的研究内容和意义。着重研究了以下叁方面的问题,主要工作和创新成果一并概括如下:⑴深入地分析和研究了网络数据/异常检测样本集(KDD Cup 1999)中的新规律和新特点,如存在着大量的语义属性数据;样本记录是异构的;数据样本的分布不平衡;数据样本集由大量的同质异构样本组成;入侵数据相对于正常网络数据是离群数据等。通过对语义数据、异构数据相异性度量测度的研究,研究提出了新的度量方法;研究提出了数据集中聚类线索的挖掘方法,从样本组成和维组成两个角度挖掘样本的结构信息,分别提出了语义数据的量子聚类算法、离群聚类算法和结构熵聚类算法,并向异构数据集进行了扩展。进一步进行了基于相应聚类算法的异常检测研究,检测方法效果好。⑵量子力学是一门研究微观粒子在能量场中分布的科学,对波函数、量子势能、薛定锷方程以及能量场决定粒子分布的这一量子机制进行了分析研究,指出了这一机制与数据挖掘中的聚类机制的相似性,从而给出了量子聚类(Quantum Clustering,QC)算法的量子理论依据;通过用量子力学中的波函数推导FCM(Fuzzy c-Means)算法中的模糊相似系数,给出了一个FCM算法的量子理论解释;提出了量子聚类算法中调节参数的一种估算方法,大大地缩短了量子聚类算法的训练时间;针对网络数据中存在大量语义属性的特点,提出了一种语义属性数据的模糊量子聚类算法;并进一步研究提出了基于量子理论的异常检测方法。⑶语义属性数据的内积计算是一个公认的难点问题。通过对核方法和支撑向量机中核函数的分析,提出了一种语义属性数据内积计算的核方法,并扩展到异构数据的内积计算,有效的扩展了支撑向量机的应用范围,并实现了在异常检测领域中的应用,取得了良好的效果。
徐汶东[6]2007年在《基于免疫机制的入侵检测系统研究》文中认为随着信息化时代的到来,网络信息安全问题变得日益重要。入侵检测技术作为防护计算机网络安全的一个重要措施,成为当前信息安全领域的研究重点。生物免疫系统与入侵检测系统在保护自体方面有天然的相似性,生物免疫系统保护肌体免受各种侵害的机制为入侵检测系统的设计提供了新的思路,基于免疫机理的入侵检测系统研究已成为入侵检测领域研究的前沿课题。介绍了基于免疫机制的入侵检测系统产生和发展的历史过程及现状,概述了入侵检测系统、生物免疫系统、人工免疫中的有关概念、机制和算法。总结了人工免疫在入侵检测系统中应用的关键技术和问题。对LISYS系统作了分析。针对模式匹配是当前入侵检测所使用的主要检测技术,提出了一种改进的单模式匹配算法,实验证明改进的算法加快了模式匹配的速度。分析了目前亲和力计算方法的缺陷,提出了分段加权的亲和力算法,在经典数据源上的实验证明了该算法具有较低的的误检率和漏检率。对漏洞问题提出了修改规则的改进思路和算法步骤,同时对动态克隆选择算法提出了改进模型。最后,提出了一个改进的基于免疫机制的入侵检测系统模型,并进行了实验测试。
张雪琼[7]2006年在《基于博弈论的入侵检测系统》文中研究说明在网络安全问题日益突出的今天,如何迅速而有效地利用入侵检测系统发现并正确响应各种入侵行为,对于保证系统和网络资源的安全十分重要。传统的入侵检测系统及模型尚存在各种各样的问题,尤其是在检测算法和决策机制上的研究还有待深入。因此,如何建立起有效的入侵检测系统,使它在网络空间与网络攻击(入侵)进行的体系对体系的对抗中获胜,具有十分紧迫的意义。鉴于传统的入侵检测系统在检测和控制机制上均需人工干预所呈现出的低效性,提出了一种基于博弈论的入侵检测系统,在应用异常数据挖掘算法自动标记过滤数据的基础上,针对网络攻防双方所固有的博弈本质,对入侵检测器的分类结果做出权衡和评估,得出精确的决策以响应入侵。在检测算法上,克服了传统的异常数据挖掘算法存在的时间复杂度较大的缺陷,设计了一种基于距离的异常数据挖掘算法,DBOM算法。通过筛选权值高的活性数据的方法和分块读取数据的技术,降低了传统算法运行时间,并提高了入侵检测系统的检测效率。在决策控制机制上,引用博弈论的思想,建立了量化的决策控制过程的数学模型。该模型模拟了网络攻击过程,评估了入侵给系统带来的损失,并权衡两类错误(虚警和漏警)的开销和有限的网络系统资源,对入侵做出了更精确的响应决策,从而整体提高入侵检测系统的效率。对异常数据挖掘算法和基于博弈论的入侵检测模型的实验结果表明,基于博弈论的入侵检测系统的检测和决策控制效率都较传统的入侵检测系统有一定的提高。
胡丽娜[8]2007年在《基于数据挖掘和Agent技术的分布式入侵检测技术研究和设计》文中提出入侵检测(Intrusion Detection)作为一种主动的信息安全保障措施,有效地弥补了传统安全防护技术的缺陷,在网络安全技术中占着极其重要的地位。随着计算机技术和网络技术的不断发展,分布式计算环境的广泛采用,海量存储和高带宽传输技术的普及,传统的基于单机的集中式入侵检测系统己不能满足安全需求。分布式入侵检测(Distributed Intrusion Detection, DID)逐渐成为入侵检测乃至整个网络安全领域的研究重点。本文首先介绍网络安全现状和入侵检测技术的应用情况,重点分析了现有的技术和面临的挑战。其次介绍了分布式入侵检测技术的发展、优势以及研究现状,本文还简要介绍了数据挖掘技术以及其在入侵检测系统中的应用。在分析比较了目前各种入侵检测技术之后,提出了一个基于数据挖掘和Agent技术的分布式入侵检测模型(Study of an Agent-based Distributed Intrusion Detection Model Using Data Mining Approaches),该系统采用混合体系结构,将被保护网络分为若干子网,由子网监控器和本地检测器两部分组成,各个部分之间的分工借鉴了CIDF模型,具有很好的分布性、智能性和可扩展性,可以有效地避免网络通信瓶颈和单点失效。论文还采用基于叁种数据挖掘方法(聚类、关联分析和序列模式分析)的异常检测技术,挖掘网络流量的正常行为轮廓进行检测,决策生成器综合所有检测代理的告警,发出最终的警报。最后利用MIT林肯试验室的2000 DARPA数据集进行了模拟实验验证,实验结果证明:系统确实能够有效的检测到未知攻击,提高检测率、降低误报率。
黄同心[9]2011年在《基于半监督优化分类的入侵检测方法研究》文中指出随着网络技术的日益发展,网络安全问题日益突出。基于主动防御的入侵检测系统是传统安全防御方法的一种补充机制,对计算机和网络的安全防护起着重要作用。半监督支持向量机是机器学习的研究热点之一,其应用前景已经受到国内外专家学者的广泛关注。本文对目前基于半监督支持向量机的入侵检测方法的优缺点进行了分析研究,并结合入侵检测系统自身的特点,对此方法进行了改进。论文首先详细阐述了入侵检测的相关理论知识,总结了入侵检测系统的问题和研究方向。然后系统介绍了半监督学习以及支持向量机的技术背景和理论基础。在训练集含有大量无标记样本和少量已标记样本情况下,传统半监督支持向量机通常会学习出多个分类决策面,然而基于数量有限的已标记样本,很难决定哪个分类决策面是最优的;另外算法在支持向量机训练部分,只有占训练集很小比例的支持向量对模型学习有贡献作用。针对以上问题,本文提出一种基于半监督优化分类的入侵检测方法MLL_S3VM(Multiple Large-margin Low-density S3VM)。该方法采用预选的训练集,学习筛选出差异性较大的分类决策面,最后依据距离向量法对未标记样本进行标记。实验采用检测率和误报率作为算法评估的标准,结果验证了改进后的算法相比改进前的算法在检测率上有所提高以及在误报率上有所降低,该研究工作具有一定的理论意义和实用价值。
丁彦[10]2013年在《基于PCA和半监督聚类的入侵防御技术研究》文中研究说明随着互联网技术的日新月异、物联网技术的飞速发展和云计算技术的迅猛兴起,网络安全问题越来越受到人们广泛关注。传统的网络安全防护技术如防火墙、入侵检测等,已难以有力地保障网络安全。入侵防御技术是近年来网络与信息安全领域研究的新热点之一,逐渐受到人们高度重视。传统的基于无监督学习的入侵检测算法,检测率较高但误报率也较高;而基于监督学习的入侵检测算法检测率较高且误报率较低,但其难以正确检测出新的未知入侵攻击。本文将半监督学习引入到入侵检测中,并研究了主成分分析(principal componentanalysis, PCA)和聚类分析理论,给出了基于PCA和半监督聚类的入侵检测算法。首先利用PCA对入侵检测数据集进行特征提取,消除了样本间的冗余属性;然后利用少量具有先验知识的已标记样本,对成对约束信息进行量化并引入改进的竞争凝聚来监督指导大量未标记样本实现正确聚类。入侵检测实验结果表明,算法能够克服传统FCM依赖于初始化聚类个数、对样本几何形状及噪声和离群点敏感等问题,优于其他几种入侵检测算法。在现实的高速网络环境下会产生海量高维数据,使用传统的入侵检测算法审计和分析这些数据,必将面临“维数灾难”的难题。本文分别改进了基于PCA的半监督降维算法(SSDRpca)以及半监督聚类算法(PCCA),给出了基于改进的半监督维数约减和成对约束竞争聚类的入侵检测算法。一方面,算法对SSDRpca中的正则项进行了改进,充分利用了大量未标记样本来保持局部结构信息,从而得到更好的降维性能;另一方面,针对PCCA中的约束惩罚项与经典FCM项的数量级不一致的问题,算法将约束违反代价调整为两样本对应的隶属度与距离的联合表达式,并将竞争项改进为Shannon熵项,有效控制了大量未标记样本的正确聚类过程。在UCI数据集和KDD CUP1999数据集上的实验结果表明,算法能够改善聚类效果并提高了入侵检测系统的性能。本文研究并提出了基于PCA和半监督聚类的入侵防御系统模型,模型主要由中央控制模块、通信模块、入侵防御模块和日志记录模块组成。论述了系统模型中各模块的基本工作原理,重点研究了入侵防御模块并设计了入侵检测系统和入侵响应系统。
参考文献:
[1]. 基于Euclidean距离的入侵检测技术研究[D]. 张林. 西南农业大学. 2004
[2]. 基于AIS的异常入侵检测技术[D]. 郭建新. 电子科技大学. 2007
[3]. 基于聚类的入侵检测方法的研究[D]. 吴孙丹. 华中科技大学. 2007
[4]. 基于I-K-Means聚类的朴素贝叶斯HRNB分类算法在入侵检测中的应用研究[D]. 崔静静. 河南理工大学. 2014
[5]. 语义属性数据聚类/分类算法及其在异常检测中的应用研究[D]. 李志华. 江南大学. 2009
[6]. 基于免疫机制的入侵检测系统研究[D]. 徐汶东. 中国石油大学. 2007
[7]. 基于博弈论的入侵检测系统[D]. 张雪琼. 华中科技大学. 2006
[8]. 基于数据挖掘和Agent技术的分布式入侵检测技术研究和设计[D]. 胡丽娜. 江南大学. 2007
[9]. 基于半监督优化分类的入侵检测方法研究[D]. 黄同心. 南京航空航天大学. 2011
[10]. 基于PCA和半监督聚类的入侵防御技术研究[D]. 丁彦. 江苏科技大学. 2013
标签:互联网技术论文; 入侵检测系统论文; 聚类论文; 入侵检测技术论文; 无监督学习论文; 网络安全防护论文; 网络模型论文; 分类数据论文; 网络行为论文; 监督分类论文; 数据挖掘论文; 网络安全论文; ids入侵检测论文; 算法论文;