网络入侵检测

摘要： 蠕虫与病毒、木马等同属于常见的恶意代码,它可以通过文件共享攻击、缓冲区溢出探测等方式侵占目标主机,造成系统瘫痪和重要数据丢失。随着网络安全技术的发展,蠕虫防御和检测技术也取得了长足进步。本文首先介绍了蠕虫的网络增长模式,随后介绍了几种常见的蠕虫防御和检测技术,如防火墙保护、网络入侵检测、蜜罐技术以及Ethical蠕虫与反击技术等。随后设计了一种基于计算机网络的蠕虫防御与检测系统,并对该系统的实时监控模块、内核服务函数挂钩模块展开简要分析,为现代计算机网络实现蠕虫的主动防御和智能检测提供了技术支持。

摘要： 针对人工经验设定深度置信网络的网络结构致使其很难达到最优,进而导致深度置信网络的性能无法完全发挥的问题,提出利用麻雀搜索算法优化深度置信网络的入侵检测模型。实验结果表明:相比未优化的深度置信网络,性能有显著提升,该模型优异的性能有效提高了入侵检测识别的效率。

摘要： 文中提出了一种提高深度学习模型对抗样本攻击鲁棒性的网络入侵检测方法。对比了4种不同对抗样本生成技术在两种不同类型攻击上的表现,从归一化的特征空间来评估网络的安全性。将传统的手工固定阈值进行回归模型学习,通过后处理变换转变为自适应阈值。利用弹性网络方法进行对抗样本生成和网络入侵检测优化,在尽可能小的输入扰动下实现混淆入侵检测系统的分类,增强鲁棒性。

摘要： 为了增强网络入侵检测模型的准确率与泛化性,提出一种基于引力搜索算法(GSA)与差分进化(DE)算法优化混合核极限学习机(ELM)的网络入侵检测模型。该模型针对采用单个核函数的ELM模型存在的泛化能力弱、学习能力差的问题,结合多项式核函数和径向基函数的优点,构建混合核ELM模型(HKELM),将GSA和DE相结合优化HKELM模型参数,从而提高其在异常检测过程中的全局和局部优化能力,在此基础上利用核主成分分析算法进行入侵检测数据的数据降维和特征抽取,构建网络入侵检测模型KPCA-GSADE-HKELM。在KDD99数据集上的实验结果表明,与KDDwinner、CSVAC、CPSO-SVM、Dendron等模型进行对比,KPCA-GSADE-HKELM模型具有更高的检测精度和更快的检测速度。

摘要： 针对网络入侵检测性能不高的问题,提出一种基于空时特征融合和注意力机制的深度学习入侵检测模型CTA-net。该模型通过集成卷积神经网络(CNN)和长短时记忆网络(LSTM)获取空时融合特征,然后使用注意力模块(Attention)对输入的空时融合特征进行重要性加权计算,最后通过softmax函数进行分类。使用NSL-KDD数据集的实验结果表明,相比具有相似结构的CNN模型和空时融合的CNN-LSTM模型,在训练集的收敛性具有显著的提升,在测试集上使用的分类评价指标准确率分别提升10.9120个百分点和11.8740个百分点,精确率分别提升9.1950个百分点和9.6130个百分点,召回率分别提升9.1780个百分点和9.9340个百分点,F1-SCORE分别提升10.7830个百分点和11.7500个百分点。仿真结果表明,所提出的CTA-net模型在网络入侵检测方面具有较好的应用潜力。

摘要： 为解决信息不完备情况下的检测准确率低、时间长的问题,提出面向不完备信息的网络入侵检测方法。针对信息不完备,采用基于SMOTE的采样方法增加少数类样本,实现信息特征稳定下的数据完备化。针对特征冗余,构建基于DBN的特征低维映射,实现数据降维,以便轻量级检测。基于SVM算法,精准捕捉入侵特征,实现快速的轻量级入侵检测。实验结果表明,信息完备化处理提高了罕见攻击的检测准确率,特征降维大幅降低了检测时长。

摘要： 针对支持向量机参数设置不当导致入侵检测分类性能不佳的问题,提出一种改进灰狼算法优化支持向量机(IGWO-SVM)的入侵检测模型。首先,针对入侵检测数据维度较高的问题,利用降噪自编码器(DAE)对高维数据进行特征提取,获得低维特征;然后,用随机动态调整收敛因子的灰狼算法寻找支持向量机的最优参数,构建IGWO-SVM的分类模型;最后,将提取到的低维特征输入到IGWO-SVM分类模型中进行入侵检测分类。实验结果表明:IGWO-SVM模型不仅能够避免灰狼算法陷入局部最优,而且能够提高入侵检测分类性能。

摘要： 针对网络入侵检测模型特征提取算法复杂、训练参数过多、检测结果不理想等问题,提出一种改进卷积神经网络与长短期记忆网络结合的网络入侵检测方法(GCNN-LSTM)。首先,使用卷积神经网络对流量数据做特征选择,并选择全局池化层代替其中的全连接层;其次,结合长短期记忆网络强大的时间序列学习能力对改进卷积神经网络选择后的特征进行学习分类,以期在网络异常数据检测方面获得更好的效率和准确率。实验结果表明,提出的模型在UNSW-NB15数据集上有着较好的检测效果。在同等条件下,使用传统卷积神经网络的模型准确率为84.97%,训练时间为76.3 s;本模型准确率达到了88.96%,训练时间为61.1 s。

摘要： 为了应对大规模网络环境下日益复杂的网络安全威胁,越来越多的研究使用机器学习算法来建立入侵检测模型,其中一些基于随机森林的检测方法具有较好的效果。但传统随机森林中一些分类能力较差的决策树的存在,以及入侵检测数据集的不平衡性,都可能会导致基于传统随机森林的入侵检测模型的性能有所下降。针对这些问题,论文在基于传统随机森林的入侵检测模型上加入了精英选择、加权投票和上采样几种优化方法,并在UNSW-NB15数据集上进行了测试,结果表明优化后的模型具有更好的检测能力。

摘要： 为满足云计算系统在不同网络攻击形式下的需要,文章研究了云计算安全系统的随机化防御系统。针对各种网络攻击和各种安全隐患,文章介绍了基于物理基础设施、虚拟主机系统、数据和应用的“五位一体”安全防御系统。此外,采用随机化方式,可以对云计算中数据传输的参数与密钥进行随机化处理,并运用故障模式匹配方法来实现对各种攻击的辨别和预警。对比随机性防护前后云计算平台对各种攻击的防范报警的概率,实验证明,文章研究的随机化防护系统能较好地抵御各种攻击。

摘要： 本文基于libNIDS在Windows平台上设计并实现了一个简易的网络入侵检测系统SimNIDS，该系统具有检测正确、使用简单、界面友好的特点，测试结果表明，该系统能够正确的检测到相应的入侵，对于设计功能更为完善的网络入侵检测系统具有一定的借鉴意义。

摘要： 在网络入侵检测中，不相关或冗余的特征使得检测变得越来越困难，为了提高检测的精度和效率，提出了一种新的网络入侵检测的特征选择方法．该方法首先利用粗糙集理论的特性对特征进行筛选;然后利用遗传算法在解决NP问题上的并行性、鲁棒性和全局优化搜索等特点，在剩余的特征子集中寻找最优子集．考虑到早熟问题会使遗传算法陷入局部最优，采用对种群聚类的方式建立自适应的交叉、变异率，种群个体交叉时在不同的类内随机选择从而保证群体多样性，每次迭代均保留父代的最优个体．在入侵检测的经典数据集KDD CUP 99上检验了算法的有效性，使用SVM分类器对选出的特征子集进行性能评估．实验结果表明，该方法与相关研究对比提高了入侵检测系统的精度和效率．

摘要： 在网络入侵检测中,大量的特征增加了算法在时间和空间上的消耗,其中不相关或冗余的特征还可能导致检测精度下降.针对这个问题,提出了一种面向网络入侵检测的特征选择方法。该方法基于粗糙集理论和遗传算法,从信息论角度定义特征的重要性,并将此度量作为启发式信息对遗传算法的初始群体进行优化,在提高算法收敛速度的同时取得了更优化的结果.在KDD CUP 99数据集上检验了方法的有效性,并使用SVM分类器对选择的特征子集进行有效性评估.实验结果表明,该方法不仅有效降低了入侵检测系统的复杂性,与相关研究对比其检测精度也得到了提高.

摘要： 本文讨论基于系统日志分析的网络入侵检测.当入侵者突破了所有防御措施之后,系统日志是惟一的、最后的屏障.通过日志文件的记录与分析,可以找到入侵者留下的最细微的蛛丝马迹.系统可作为对现有防火墙技术和入侵检测技术的补充,来协同保护网络环境的安全,可满足计算机管理员了解当前计算机在网络中的工作状态,管理好本地的日志文件,并通过分析日志文件找出潜在的网络入侵行为;当发现入侵时,可向用户报警,并记录入侵手段和相应的防范措施.

摘要： 本文提出了一个基于二次训练的网络入侵检测模型,该模型不但可以从整体上提高入侵检测系统的检测性能,而且对于低频率、高危害攻击类型的检测性能有着更加显著的提升.该模型首先利用PCA算法提取数据集中的重要特征,然后使用二次训练技术训练分类器构建网络入侵检测模型.在实验中,分别使用了决策树、朴素贝叶斯和KNN三个经典分类算法构建基于二次训练的入侵检测模型,并在著名的KDDCup99数据集上进行实验.实验结果表明,基于二次训练的入侵检测模型可以有效地提高入侵检测系统的性能,尤其是对于低频率攻击类型的检测性能有明显的提升.

摘要： 针对网络中少数活跃流占据了较大比例流量的特点,提出了基于活跃流动态调整的负载均衡算法AFLB。该算法通过窗口定期检测出这些活跃流,把它们作为负载不均衡时的调整对象。通过模拟实验表明,与SHI 算法比较,该算法在位流均衡度和报文级均衡度方面都有明显的改善,可以很好的应用于并行网络入侵检测中的分流处理。

摘要： 对基于数据表的模糊Petri网推理算法进行了改进,给出了FPN八元组的定义,建立了模糊推理规则与FPN结点的一一对应关系,给出了依据模糊推理规则构造FPN结点的方法。最后针对网络入侵信息不确定性和大规模规则集的问题,改进基于数据表模糊推理的算法,并应用于网络误用入侵检测中。

摘要： 研究了网络内容安全领域里的恶意夹杂关键词问题,总结出中文主动干扰概念,提出了中文串匹配算法的形式化定义.在此基础上,给出了改进的柔性中文关键词模式匹配算法,并计算了算法复杂度.该算法通过中文主动干扰技术有效地避开了目前经典的中文字符串匹配算法存在的问题,使得包含这类算法的内容安全过滤/网络入侵检测手段失效,完成了恶意夹杂字符的中文关键词匹配.结果表明,用柔性中文字符串匹配方法能较好地解决恶意夹杂字符的字符串匹配难题,对遭受中文主动干扰过的网页能进行有效地安全防护.

摘要： Rootkit是攻击者入侵操作系统后，用于秘密保留对目标机器的超级访问权限的一项技术.首先分析了内核级rootkit的原理，分析了现有的Iinux rootkit的检测方法并指出其中的不足.在此基础上，提出一种基于交叉视图的隐藏恶意代码自动检测方法，并提出了系统恢复的机制.提及的检测和恢复系统以可加载内核模块的形式实现，可还原被恶意修改的系统调用表的内容，终止隐藏的进程，移除隐藏的文件，阻止攻击网络流.实验数据表明提出的方法是有效可行的.

摘要： Rootkit是攻击者入侵操作系统后，用于秘密保留对目标机器的超级访问权限的一项技术.首先分析了内核级rootkit的原理，分析了现有的Iinux rootkit的检测方法并指出其中的不足.在此基础上，提出一种基于交叉视图的隐藏恶意代码自动检测方法，并提出了系统恢复的机制.提及的检测和恢复系统以可加载内核模块的形式实现，可还原被恶意修改的系统调用表的内容，终止隐藏的进程，移除隐藏的文件，阻止攻击网络流.实验数据表明提出的方法是有效可行的.

摘要： 检测对连接控制器(51)与监视控制终端(40)之间的网络(30)的入侵的入侵检测装置(10)具有：通信取得部(11)，其取得流过网络(30)的关于空调设备(56)的通信数据；通信许可列表生成部(14)，其生成允许网络(30)中的通信的通信许可规则并作为通信许可列表进行保存；以及入侵检测部(12)，其对包含通信取得部(11)所取得的通信判定数据的通信判定数据与通信许可列表中的通信许可规则进行比较，由此检测对网络(30)的入侵，通信许可列表生成部(14)根据包含空调设备(56)的对象的属性信息的工程信息生成通信许可规则，其中，该控制器(51)控制空调设备(56)，该监视控制终端(40)对控制器(51)和空调设备(56)进行监视。

摘要： 本发明为一种采用统一检测框架的入侵检测方法和系统，该方法包括：在选择的报文处理单元植入挂载点，为各检测单元配置挂载点，所需的报文特征信息在各自挂载点之前的报文处理过程中得到，将所有启用的检测单元注册到各自要挂载到的挂载点，当报文经过挂载有检测单元的挂载点时，由该挂载点上的检测单元对该报文进行入侵检测，检测完成后，对非最末一级的挂载点，报文再进入该挂载点后的报文处理单元或挂载点继续处理；该系统包括各协议层上的多个报文处理单元、多个检测单元、配置单元、初始化单元以及检测控制单元。本发明不需改变软件架构就可以迅速实现检测单元的增删，节约了时间和系统资源。

摘要： 检测对连接控制器(51)与监视控制终端(40)之间的网络(30)的入侵的入侵检测装置(10)具有：通信取得部(11)，其取得流过网络(30)的关于空调设备(56)的通信数据；通信许可列表生成部(14)，其生成允许网络(30)中的通信的通信许可规则并作为通信许可列表进行保存；以及入侵检测部(12)，其对包含通信取得部(11)所取得的通信判定数据的通信判定数据与通信许可列表中的通信许可规则进行比较，由此检测对网络(30)的入侵，通信许可列表生成部(14)根据包含空调设备(56)的对象的属性信息的工程信息生成通信许可规则，其中，该控制器(51)控制空调设备(56)，该监视控制终端(40)对控制器(51)和空调设备(56)进行监视。

摘要： 状态检测部(105)检测通信系统(600)中包含的多个控制器(300、400)的状态。攻击判定部(103)从分别与状态的组合对应的多个白名单(110)中选择与由状态检测部(105)检测到的多个控制器(300、400)的状态的组合对应的白名单(110)。并且，攻击判定部(103)利用选择出的白名单(110)检测对通信系统(600)的攻击。

摘要： 本发明提供了一种入侵检测方法，采用了聚类分析和SVM联用的技术，在训练支持向量机时，先将大量数据进行分类，生成聚类之后的多个数据类，其中每个数据类具有相似的特征，然后再针对每一个聚类之后的数据类生成一个对应的支持向量机，这样的设计防止将非常不同的两种行为作为训练样本来训练SVM，造成SVM出现过拟合的问题；同时，利用历史经验设计了聚类效果评判标准，防止使用简单的试错法造成的低效率问题。

摘要： 本发明为一种采用统一检测框架的入侵检测方法和系统，该方法包括：在选择的报文处理单元植入挂载点，为各检测单元配置挂载点，所需的报文特征信息在各自挂载点之前的报文处理过程中得到，将所有启用的检测单元注册到各自要挂载到的挂载点，当报文经过挂载有检测单元的挂载点时，由该挂载点上的检测单元对该报文进行入侵检测，检测完成后，对非最末一级的挂载点，报文再进入该挂载点后的报文处理单元或挂载点继续处理；该系统包括各协议层上的多个报文处理单元、多个检测单元、配置单元、初始化单元以及检测控制单元。本发明不需改变软件架构就可以迅速实现检测单元的增删，节约了时间和系统资源。

摘要： 本申请公开了一种基于UDS的入侵检测方法、入侵检测装置、车辆及存储介质，基于UDS的入侵检测方法包括接收终端设备发送的诊断服务请求；获取诊断服务请求中的报文信息；当确定报文信息符合预设条件时，生成诊断服务请求对应的计数值；当计数值大于或者等于预设阈值时，确定车辆受到入侵。本方法实现了根据终端设备发送的诊断服务请求中的报文信息，确定车辆是否受到入侵，以便于用户在车辆受到入侵时对车辆进行处理，降低了车辆的安全隐患。

摘要： 本发明提供一种入侵检测方法、监控平台、入侵检测系统和计算机可读存储介质。所述入侵检测方法包括：将雷达报警信息与视频报警信息进行对比，所述雷达报警信息为雷达检测到的物体进入监控区域内时发出的报警信息，所述视频报警信息为视频采集设备检测到的物体进入所述监控区域内时发出的报警信息；当所述雷达报警信息与所述视频报警信息相匹配时，对所述视频采集设备检测到的物体进行身份确认，以获得确认结果；当所述确认结果表明所述视频采集设备检测到的物体满足预定的入侵告警条件时，判定存在入侵物。

摘要： 本发明提供一种网络入侵检测模型建立方法，方法包括：基于遗传算法，初始化产生种群，将深度置信网络的隐层数、每层神经元数编码在种群的每一个个体中；对个体进行交叉操作和变异操作；对种群中的每一个个体所代表的深度置信网络进行训练和测试；根据预设的与隐层相关的适应值函数，计算种群中每个个体的适应度值；采用轮盘赌选择法获得筛选后的个体，并判断当前迭代次数是否小于预设次数；迭代次数达到预设次数时从最后一代种群中选取适应度值最大的个体，根据所选取的个体解析后获得隐层数和每层神经元数；确定深度置信网络。以及提供一种网络入侵检测方法，应用本发明实施例产生最优的深度置信网络，其检测准确率高，隐层数少，且结构均衡。

摘要： 本发明提供一种网络入侵检测模型建立方法，方法包括：基于遗传算法，初始化产生种群，将深度置信网络的隐层数、每层神经元数编码在种群的每一个个体中；对个体进行交叉操作和变异操作；对种群中的每一个个体所代表的深度置信网络进行训练和测试；根据预设的与隐层相关的适应值函数，计算种群中每个个体的适应度值；采用轮盘赌选择法获得筛选后的个体，并判断当前迭代次数是否小于预设次数；迭代次数达到预设次数时从最后一代种群中选取适应度值最大的个体，根据所选取的个体解析后获得隐层数和每层神经元数；确定深度置信网络。以及提供一种网络入侵检测方法，应用本发明实施例产生最优的深度置信网络，其检测准确率高，隐层数少，且结构均衡。