入侵检测系统

摘要： 随着网络基础设施的不断发展和电子政务比重的不断增加,网络规模逐渐扩大,安全数据日益增多,网络安全问题也被提到了至关重要的位置。在学校业务信息化、数字化的同时,网络威胁手法也在不断演变,网络安全威胁也变得更加复杂,但是现有的安全产品,如防火墙、入侵检测系统、入侵防御系统、漏洞扫描系统和防毒系统等却各自为政,并不能全面地、有机地发现网络中存在的安全问题。

摘要： 随着互联网的快速发展,网络安全越来越受到人们的重视。传统的异常流量检测模型虽然具有较好的识别率,但需要大量有标记的数据进行训练。因此,基于无监督学习的网络异常流量检测方法被广泛采用。近年来,随着深度学习算法在异常检测中的运用,无监督深度学习模型也不同程度地提升了检测算法的性能。然而,无监督深度学习方法往往无法避免异常检测阈值选择的问题。因此,针对现有数据标记困难和阈值选择的问题,文中提出了一种基于代价敏感度改进的K近邻算法结合阈值选择方法的异常流量检测系统。该系统不但可以准确识别恶意流量,也无需有标记数据集,极大减少了人工标注数据的工作量。实验使用UNSW-NB15、NSL-KDD和CICIDS2017数据集来验证模型的适用性,并分别与经典的机器学习算法One Class SVM以及深度学习方法AutoEncoder进行了对比。实验结果表明,在3类数据集上,与深度学习算法和传统的无监督机器学习算法相比,该算法有效提升了网络异常流量检测的性能。

摘要： 随着Web应用的越来越广泛,Web程序受到攻击会造成严重的数据泄露和财产损失。基于Web日志的传统人工入侵检测对网络管理员有着一定的专业要求并且效率也较低,因此文章提出了一种面向SQL注入和XSS攻击的Web入侵检测方法。首先在漏洞平台DVWA上,针对各种SQL注入攻击和XSS攻击的方法进行分析、人工提取SQL注入攻击向量SQLIAV和XSS攻击向量XSSAV,来构建出有效的攻击向量知识库SQL;然后对比分析常见的模式匹配算法并选取相对高效的模式匹配Sunday算法,并对算法的时间性能进行优化改进;最后将构建的攻击向量知识库通过优化的模式匹配Sunday算法进行匹配并设计出入侵检测系统,并将文章设计入侵检测系统与Snort入侵检测系统相比较。实验结果表明,该入侵检测系统具有一定的有效性和可靠性。

摘要： 随着用户的各项需求增长,电网功能逐渐变得多样化,传统电网已经不能满足所需功能,智能电网因其可以与用户进行信息流和电流的双向沟通,可以更加快捷方便地检测电网的故障而受到了青睐,因此越来越多的传统电网正在向智能电网转型。然而转型的同时,智能电网的安全问题层出不穷,拒绝服务攻击、侧信道攻击、虚假数据注入攻击、欺骗、非法访问以及对基础设施造成破坏和攻击等都威胁着智能电网的稳定运行。本文首先介绍了智能电网安全方面的背景和发展,然后针对目前智能电网主要面临的安全威胁进行了分类和阐述,并根据上述威胁提出了设立防火墙、入侵检测系统、访问控制和身份认证等后续相应的保护方案。最后,讨论了未来在更多新能源(风能、太阳能、核能)以及大量物联网设备等接入智能电网后的网络安全防护工作和安全建议。

摘要： 由于硬件性能的限制,导致传统网络入侵检测系统存在检测功能和应用性能差的问题,为此利用COME模块优化设计网络入侵检测系统。根据COME模块的运行原理和组成结构,改装系统的主板元件,优化设计网络处理器。收集实时数据并根据实体之间的关系进行数据存储,实现系统数据库的设计与更新。以实时捕获的网络传输数据为基础,提取网络运行特征。在入侵检测规则的约束下,通过网络特征与入侵检测标准的比对,分别从网络流量和协议滥用2个方面,实现网络入侵检测功能。经过系统测试实验得出结论:与传统检测系统相比,设计系统的检测结果更加接近设置数据,且将其应用到实际的网络环境中,数据丢失量降低了7.22 MB。

摘要： 本文分析了计算机网络存在的一些安全问题,并从技术层面和管理层面提出具体的解决措施,以此来有效应对网络安全问题,让网络具有高稳定性和安全性,对人类和社会的发展起到促进作用。

摘要： 入侵检测系统(IDS)是计算机和通信系统中对攻击进行预警的重要技术.目前的IDS在安全检测方面存在2个问题:1)存在大量高维冗余数据及不相关特征干扰分类过程;2)现有模型多是针对早期网络攻击类型,对新型攻击适应性较差.针对这2个问题,提出了一种结合特征选择的SAE-LSTM入侵检测框架,采用融合聚类思想的随机森林特征打分机制,弥补在特征量大的情况下计算消耗高的不足.将特征选取后的数据,先经稀疏自动编码器进行数据重构,再由LSTM模型进行分类检测.实验在UNSW-NB15网络数据集上进行,结果表明:模型在时间戳步长为8时表现最佳,准确率达98%以上,误报率低至4.18%,与其他入侵检测模型相比有着更优秀的检测效果.

摘要： 针对传统的IDS规则更新方法基本只能提取已知攻击行为的特征,或者在原有特征的基础上寻找最佳的一般表达式,无法针对当前发生的热点网络安全事件做出及时更新,提出基于威胁情报的自动生成入侵检测规则方法。文章分类模块使用Word2Vec进行特征提取,利用AdaBoost算法训练文章分类模型获取威胁情报文本;定位IoC所在的段落并使用条件共现度算法进行特征扩展和子文档重构,使用深度学习算法ResLCNN提取文章中的IoC数据;将所提取的IoC数据转化为入侵检测规则。通过对最新恶意代码流量数据进行测试,该方法对新发现的恶意代码的检测能力优于现有的入侵检测系统,能够提升计算机网络应对网络安全热点事件的能力。

摘要： 可编程数据平面为实现快速、准确和数据驱动的控制回路决策提供了令人兴奋的机会,很多研究者已经提出了许多数据平面系统来实时地处理网络动态(例如拥塞、故障),这些系统的核心是具有数据包处理的数据平面算法,可连续监控流量并自动响应.尽管有诸多好处,但对网络事件的自动响应会导致潜在输入源的增加,从而增加了攻击面.设计了一个异常检测系统,用于在运行时检测此类攻击,系统对合理的预期行为进行建模,并使用该模型作为参考来检查系统是否受到攻击,实验证明:所设计的异常检测系统在对抗性攻防方面是可行性的,也是有效的.

摘要： 针对目前入侵检测数据集存在的数据类型不平衡问题,提出了一种基于最高密度点的入侵检测数据过采样方法。方法提出了一种基于密集和稀疏相结合的数据生成方案,稀疏生成方案是基于最高密度点和类内平均距离将原本少数类较为稀疏的聚类范围缩小到少数类较为密集的区域,增加了少数类样本被过采样的可能性;密集方案与其它方法不同的是在非密集区抛弃了传统的目标样本分组的思想,采用放射型SMOTE方法,使得在非密集区域只关注该聚类中目标类样本的最高密度点和非密集区的样本点,从而来避免样本重叠问题。将该方法在NSL-KDD和UNSW-NB15数据集上与其它方法进行实验对比,结果表明上述方法增强了决策边界,减少了噪声的生成,有效地解决了数据不平衡问题。

摘要： 本文针对广播电台网络建设的实际,对广播电台的网络安全问题,提出了一种基于Snort的三层入侵检测系统的设计与实现.有效确保了广播电台的网络安全.

摘要： 以基于Snort的入侵检测系统为例,探索其在运营商DCN内的应用.首先,网络管理员应根据DCN拓扑,定位出本地DCN的网络出口.随后,将部署好IDS的主机连接到出口交换机并设置为混杂模式,交换机对应端口设置为镜像模式,此时IDS就可以检测到网络中的数据.需要注意的是,只有管理员在Snort的配置文件(snort.config)中配置好规则文件(rule),系统才会检测到指定类型的入侵信息.

摘要： 无线局域网应用电磁波作为传输媒介,在日常生活中应用得越来越广泛,其安全问题也显得越来越重要.首先介绍了目前无线网络安全现状及现有的无线网络安全技术,而后提出一种融合了VPN技术和入侵检测系统的无线局域网安全方案.该方案是对现有的无线局域安全技术的有益补充,具有一定的参考价值.

摘要： 在论述负载均衡技术在入侵检测系统中应用的相关工作基础上,本文提出一种基于TSDB技术的动态负载均衡模型.TSDB技术实现了将属于同一会话的数据包分配到同一规则匹配引擎,同时避免了由于一次性大量迁移造成的二次过载现象.在高速网络环境下更好地保证了较为均衡的负载状况,从而提高了入侵检测系统的匹配性能.

摘要： 随着无线传感器网络被越来越多的部署到实际环境中,其以感知数据为中心的特点日益凸显.考虑到传统的入侵检测系统主要对网络流量进行监测,不再适用于以感知数据为中心的传感网,本文提出了一种面向感知数据的无线传感器网络入侵检测系统.该入侵检测系统根据感知数据的时间相关性,通过利用ARMA模型预测未来时刻感知数据做被动式检测,然后将被动式检测与主动式检测结合检测基于伪造数据的欺骗攻击.实验结果表明该系统在正确检测到欺骗攻击的情况下充分利用了无线传感器网络基于感知数据的特点,减少了无效的网络通信,降低了节点能耗.

摘要： 本文根据当前某主导通信运营商实际网络安全需求情况,收集并整理了该运营商现有DCN网络安全状况,分析其在承载企业内网信息安全和稳定所面临的系列问题,结合运营商当前资源和远期建设的实际情况,提出满足DCN建设和远期需求的入侵检测系统建设原则,进而思考并总结归类出解决问题的模型,结合实例提出入侵检测系统建设方案.

摘要： 针对现有网络入侵检测系统(NIDS)存在智能程度低、自适应能力弱、协同性差、负载不均衡等局限性,引入了免疫软件人(ISM)智能体的理论,提出了一种基于multi-ISM联盟的网络入侵检测与防御系统的分布式社区协作控制模型及其算法.该模型系统采用了部分-全局规划(PGP)策略以及multi-ISM间的协作、协调和协商机制,融合了网络协作模型与层次模型的优点,从性能上改善了当前分布式入侵检测系统(DIDS)难以适应高带宽、大流量的动态网络环境等问题.实验结果表明:该模型系统相比其他的DIDS,在检测性能和误报率等方面具有明显优势,对于服务器系统资源的占用率不是很大,同时它还能够较好地解决网络信任社区内与社区间的协同防御和预警问题.

摘要： 针对传感器结点资源受限的特点,提出一种新的基于危险理论的入侵检测系统,对树突细胞算法进行改进,使其能适应无线传感器网络资源有限的运行环境并检测出特定的网络攻击.仿真结果显示配置该入侵检测系统的无线传感器网络对特定的网络攻击有较好的检测效果以及较低的能量消耗.

摘要： 网络流量的不断增长和网络攻击形式的多样性,使得网络入侵检测系统(NIDS)变得越来越复杂.基于单引擎检测的NIDS 靠辅助硬件和改进检测算法来提高处理性能,已无法适用10G 以上流量的线速处理要求.利用多检测引擎进行并行处理是实现高性能入侵检测的重要技术手段,并行检测系统通过多检测引擎进行并行协同检测,具有高性能和可扩展的优点.综合现有并行入侵检测框架的优点,提出了一个统一的支持多检测引擎并行检测的体系结构UPDA(Uniformed Parallel Detection Architecture).利用NetMagic平台,基于UPDA框架,设计和实现了一个高性能并行入侵检测原型系统,并通过实验验证了系统的高性能和有效性.

摘要： 在IDS中,传统数据分组的捕获是从网卡复制到内核,再由内核复制到用户空间,这导致了CPU频繁地中断响应、冗余数据复制和上下文切换,没有充足时间来进行数据分组的进一步处理.为了提升捕获包效率,采用多线程思想,通过PF_RING ZC技术实现零拷贝,把PF_RING ZC捕获数据分组的方法做成动态链接库,并集成到Snort中;对捕获技术进行IPv6协议扩充,使IDS实现了支持IPv6检测的功能.实验表明,相比libpcap技术,PF_RING ZC技术在高速和低速网络环境中有着更低的丢包率和CPU占用率.

摘要： 检测对连接控制器(51)与监视控制终端(40)之间的网络(30)的入侵的入侵检测装置(10)具有：通信取得部(11)，其取得流过网络(30)的关于空调设备(56)的通信数据；通信许可列表生成部(14)，其生成允许网络(30)中的通信的通信许可规则并作为通信许可列表进行保存；以及入侵检测部(12)，其对包含通信取得部(11)所取得的通信判定数据的通信判定数据与通信许可列表中的通信许可规则进行比较，由此检测对网络(30)的入侵，通信许可列表生成部(14)根据包含空调设备(56)的对象的属性信息的工程信息生成通信许可规则，其中，该控制器(51)控制空调设备(56)，该监视控制终端(40)对控制器(51)和空调设备(56)进行监视。

摘要： 本发明为一种采用统一检测框架的入侵检测方法和系统，该方法包括：在选择的报文处理单元植入挂载点，为各检测单元配置挂载点，所需的报文特征信息在各自挂载点之前的报文处理过程中得到，将所有启用的检测单元注册到各自要挂载到的挂载点，当报文经过挂载有检测单元的挂载点时，由该挂载点上的检测单元对该报文进行入侵检测，检测完成后，对非最末一级的挂载点，报文再进入该挂载点后的报文处理单元或挂载点继续处理；该系统包括各协议层上的多个报文处理单元、多个检测单元、配置单元、初始化单元以及检测控制单元。本发明不需改变软件架构就可以迅速实现检测单元的增删，节约了时间和系统资源。

摘要： 检测对连接控制器(51)与监视控制终端(40)之间的网络(30)的入侵的入侵检测装置(10)具有：通信取得部(11)，其取得流过网络(30)的关于空调设备(56)的通信数据；通信许可列表生成部(14)，其生成允许网络(30)中的通信的通信许可规则并作为通信许可列表进行保存；以及入侵检测部(12)，其对包含通信取得部(11)所取得的通信判定数据的通信判定数据与通信许可列表中的通信许可规则进行比较，由此检测对网络(30)的入侵，通信许可列表生成部(14)根据包含空调设备(56)的对象的属性信息的工程信息生成通信许可规则，其中，该控制器(51)控制空调设备(56)，该监视控制终端(40)对控制器(51)和空调设备(56)进行监视。

摘要： 本发明为一种采用统一检测框架的入侵检测方法和系统，该方法包括：在选择的报文处理单元植入挂载点，为各检测单元配置挂载点，所需的报文特征信息在各自挂载点之前的报文处理过程中得到，将所有启用的检测单元注册到各自要挂载到的挂载点，当报文经过挂载有检测单元的挂载点时，由该挂载点上的检测单元对该报文进行入侵检测，检测完成后，对非最末一级的挂载点，报文再进入该挂载点后的报文处理单元或挂载点继续处理；该系统包括各协议层上的多个报文处理单元、多个检测单元、配置单元、初始化单元以及检测控制单元。本发明不需改变软件架构就可以迅速实现检测单元的增删，节约了时间和系统资源。

摘要： 提供一种用于门窗的入侵检测方法，包括接收附着在所述门窗上的传感器采集的加速度或角速度数据；判断所述加速度或角速度数据中的多个加速度或角速度数据样本是否包括满足如下预定标准的连续加速度或角速度数据样本：(i)在所述连续加速度或角速度数据样本中每两个相邻加速度或角速度数据样本之间的变化量数据大于第一预定阈值，并且(ii)所述连续加速度或角速度数据样本的个数大于第二预定阈值；基于所述判断的结果确定是否发生针对所述门窗的入侵；以及输出所述确定的结果。由此，准确地识别入侵者的入侵。

摘要： 本发明属于网络入侵检测技术领域，公开了一种基于可持续性集成学习的入侵检测方法及入侵检测系统，将个体学习器的类概率输出和分类置信度乘积作为训练数据构建多类别的回归模型，使集成学习的决策过程对攻击类型具有适应性以提高检测精度，模型更新阶段将历史模型的参数和决策结果加入新模型的训练过程，完成模型的增量式学习。本发明采用多回归模型的集成学习融合方案，细粒度的分配了在对不同攻击类型检测过程中个体学习器的决策权重，并通过将历史模型的参数和结果用于训练新的模型，提高了检测模型的稳定性并保证了学习过程的可持续性。并将实验结果与现有的MV、WMV方案对比验证了本发明在准确率、稳定性和可持续性。

摘要： 基于PLC仿真的工控入侵检测方法和入侵检测系统，该系统由PLC仿真模块、控制对象异常检测模块和被控对象异常检测模块构成。所述的PLC仿真模块由通讯子系统、SCL语言解释子系统、中间层数据缓存子系统、执行引擎子系统构成。所述的通讯子系统与工业控制网络相连。执行引擎子系统同中间层缓存子系统相连。被控对象异常检测模块同PLC仿真模块相连。本发明在不改变工业网络结构和不影响日常生产的前提下，为用户提供了对控制对象和被控对象的入侵检测系统，漏报和误报的现象少，入侵识别快，从而以较低的成本大大提高了工业控制系统的网络安全水平。

摘要： 本发明提供了一种入侵检测系统IDS分析方法和入侵检测系统，其中方法包括IDS的节点捕获流入的数据包，根据协议解码对数据包进行解析，并将数据包解析结果发送给IDS的命令解析器；命令解析器将接收到的数据包解析结果与预先设置的规则库中对应的攻击特征进行规则匹配；如果判断出数据包解析结果与规则库中对应的攻击特征匹配成功，命令解析器进行报警。本发明不仅能够减少计算量，而且可以实现快速探测入侵攻击。

摘要： 本发明提供一种入侵检测方法、监控平台、入侵检测系统和计算机可读存储介质。所述入侵检测方法包括：将雷达报警信息与视频报警信息进行对比，所述雷达报警信息为雷达检测到的物体进入监控区域内时发出的报警信息，所述视频报警信息为视频采集设备检测到的物体进入所述监控区域内时发出的报警信息；当所述雷达报警信息与所述视频报警信息相匹配时，对所述视频采集设备检测到的物体进行身份确认，以获得确认结果；当所述确认结果表明所述视频采集设备检测到的物体满足预定的入侵告警条件时，判定存在入侵物。

摘要： 本发明属于网络入侵检测技术领域，公开了一种基于可持续性集成学习的入侵检测方法及入侵检测系统，将个体学习器的类概率输出和分类置信度乘积作为训练数据构建多类别的回归模型，使集成学习的决策过程对攻击类型具有适应性以提高检测精度，模型更新阶段将历史模型的参数和决策结果加入新模型的训练过程，完成模型的增量式学习。本发明采用多回归模型的集成学习融合方案，细粒度的分配了在对不同攻击类型检测过程中个体学习器的决策权重，并通过将历史模型的参数和结果用于训练新的模型，提高了检测模型的稳定性并保证了学习过程的可持续性。并将实验结果与现有的MV、WMV方案对比验证了本发明在准确率、稳定性和可持续性。