入侵检测系统(IDS)

摘要： 网络安全防护设备是构建网络安全防御体系的关键,不仅可抵御来自不同网域的安全威胁,还能为现网的安全态势分析提供数据支撑。文章列举了防火墙、防毒墙、入侵检测系统(Intrusion Detection System,IDS)、入侵防御系统(Intrusion Prevention System,IPS)、网络流量分析(Network Traffic Analysis,NTA)系统以及网络威胁检测与响应(Network Detection and Response,NDR)系统6类常用的网络安全防护设备,逐一分析了其工作原理、适用场景及部署方式,并预测了网络安全防护设备的潜在发展方向。

摘要： 入侵检测系统是指能够自动识别计算机系统内的入侵行为的系统，它可以检测出内部用户或外部入侵者的非授权使用、误用和恶意攻击等异常行为模式，保护计算机系统的安全。本文在充分研究了人体免疫系统的工作机理的基础上，对于现有的人工免疫模型进行了改进，使得该模型更易于实现。并根据改进后的模型设计了一个基于网络的入侵检测系统，该系统以网络数据包为检测数据来源，具有能检测未知入侵行为、分布式部署等优点。

摘要： 入侵检测系统是指能够自动识别计算机系统内的入侵行为的系统,它可以检测出内部用户或外部入侵者的非授权使用、误用和恶意攻击等异常行为模式,保护计算机系统的安全。本文在充分研究了人体免疫系统的工作机理的基础上,对于现有的人工免疫模型进行了改进,使得该模型更易于实现。并根据改进后的模型设计了一个基于网络的入侵检测系统,该系统以网络数据包为检测数据来源,具有能检测未知入侵行为、分布式部署等优点。

摘要： 在网络安全问题中,一种分布式拒绝服务(Distributed deny of services)攻击严重威胁着现有的互联网.针对DDOS攻击基于神经网络算法的防护,因为现有算法收敛性能不高,过滤DDOS攻击包的速度过慢,无法投入大规模商业使用.本文针对这个问题,提出借助SNORT入侵检测平台,利用捕捉的网络数据包进行数据规整化,利用贝叶斯模式对正常数据和异常数据进行初步分离,使得能减少冗余训练数据对神经网络的输入,之后利用改进的反向传播神经网络进行前期数据训练,使训练产生的数据对检测模型进行优化,并且自动生成防御规则.其优势在于:1)在linux系统上实现部分改进,使得现有包过滤效率增强,在攻击目标端生效之前可进行攻击拒绝;2)使用贝叶斯模型减少重复数据和不必要数据的输入,改进的神经网络算法使得训练收敛速度加快,方便规则的重新制定学习,以防新攻击.实验表明,本文方案在一定程度上提高了原有基于神经网络防护DDOS攻击的处理速度,也能够防护若干未知DDOS攻击,训练算法的收敛速度也得到进一步提升,并且该方案能在软件层面上提升自适应抗DDOS软件的性能.

摘要： 文中对开放源代码入侵检测系统Snort的规则匹配算法以及工作模式进行分析.首先在深度优先搜索算法基础上增加宽度优先搜索算法,其次,提出一个C/S模式Snort的构想,为传统Snort增加服务器支持,来分担客户端Snort的工作量.从而,在两个方面,提高Snort的工作效率.

摘要： A method for detecting intrusions through analyses of host behavior and behavior correlation is proposed. The method can efficiently find out the malicious software that is embedded with anomaly codes, and can be applied to behavior-based intrusion detection systems (IDS). By mining the characters of normal and anomaly behaviors of hosts, a way to build the Markov model of relationship of meta-behaviors and a method to detect intrusions are given. With them, the feasibility and scalability of the proposed method can be enhanced, and the store space can be reduced. The experimental results show that the loss-detection ratio, the error-detection ratio and the renew efficiency of the method are better than the existing methods, although it need more time to train datasets.%提出了一种基于主机行为解析和行为关联分析的主机系统入侵检测方法,对嵌入式恶意软件具有较高的检测效率,可应用于基于网络行为的入侵检测系统.通过对行为进行深层次的解析,建立了行为间的关联关系模型,在降低存储异常行为样本规模的同时,提高了该方法的灵活性和应用范围.实验结果显示,与现有的异常行为检测方法相比,该方法需要较长的训练时间,但是,通过调整行为粒度,该方法可以使训练时间保持在合理的范围之内.随着时间的推进,该方法的性能将逐步提高,在漏报率、误报率及更新效率上,较现有系统都有较大的提高.

摘要： 通过对入侵检测系统的基本概念、发展历史和趋势进行详细论述,以及对各种检测方法进行深入的分析,在Boye Moore算法的基础上提出了一种改进算法来实现入侵检测的关键部分--模式匹配,提高了探测引擎的处理速度.通过实验验证,该改进技术能明显提高系统的检测效率和稳定性,达到了对系统研究和设计的初衷.

摘要： P2DR模型是美国ISS公司提出的动态网络安全体系的代表模型.本文以P2DR模型为背景,结合蜜罐及蜜网技术,加入当今的网络新技术,以便能够动态和自适应地调节网络安全策略和规则.结果表明P2DR模型对现有的公安网络具有明显的保障作用.

摘要： 为了构建安全的校园网络环境,防止黑客入侵攻击;通过合理构建网络拓扑结构,并在网络中采用关键节点植入侵检测技术方法,对网络进行实时监视和记录;通过模拟攻击实验和实践检测,反复考证设备的安全性,获得了很好的实验数据结果.该技术具有记录全面、实时,分析图文并茂,追踪容易的特点.

摘要： 检测对连接控制器(51)与监视控制终端(40)之间的网络(30)的入侵的入侵检测装置(10)具有：通信取得部(11)，其取得流过网络(30)的关于空调设备(56)的通信数据；通信许可列表生成部(14)，其生成允许网络(30)中的通信的通信许可规则并作为通信许可列表进行保存；以及入侵检测部(12)，其对包含通信取得部(11)所取得的通信判定数据的通信判定数据与通信许可列表中的通信许可规则进行比较，由此检测对网络(30)的入侵，通信许可列表生成部(14)根据包含空调设备(56)的对象的属性信息的工程信息生成通信许可规则，其中，该控制器(51)控制空调设备(56)，该监视控制终端(40)对控制器(51)和空调设备(56)进行监视。

摘要： 本发明为一种采用统一检测框架的入侵检测方法和系统，该方法包括：在选择的报文处理单元植入挂载点，为各检测单元配置挂载点，所需的报文特征信息在各自挂载点之前的报文处理过程中得到，将所有启用的检测单元注册到各自要挂载到的挂载点，当报文经过挂载有检测单元的挂载点时，由该挂载点上的检测单元对该报文进行入侵检测，检测完成后，对非最末一级的挂载点，报文再进入该挂载点后的报文处理单元或挂载点继续处理；该系统包括各协议层上的多个报文处理单元、多个检测单元、配置单元、初始化单元以及检测控制单元。本发明不需改变软件架构就可以迅速实现检测单元的增删，节约了时间和系统资源。

摘要： 本发明属于网络入侵检测技术领域，公开了一种基于可持续性集成学习的入侵检测方法及入侵检测系统，将个体学习器的类概率输出和分类置信度乘积作为训练数据构建多类别的回归模型，使集成学习的决策过程对攻击类型具有适应性以提高检测精度，模型更新阶段将历史模型的参数和决策结果加入新模型的训练过程，完成模型的增量式学习。本发明采用多回归模型的集成学习融合方案，细粒度的分配了在对不同攻击类型检测过程中个体学习器的决策权重，并通过将历史模型的参数和结果用于训练新的模型，提高了检测模型的稳定性并保证了学习过程的可持续性。并将实验结果与现有的MV、WMV方案对比验证了本发明在准确率、稳定性和可持续性。

摘要： 基于PLC仿真的工控入侵检测方法和入侵检测系统，该系统由PLC仿真模块、控制对象异常检测模块和被控对象异常检测模块构成。所述的PLC仿真模块由通讯子系统、SCL语言解释子系统、中间层数据缓存子系统、执行引擎子系统构成。所述的通讯子系统与工业控制网络相连。执行引擎子系统同中间层缓存子系统相连。被控对象异常检测模块同PLC仿真模块相连。本发明在不改变工业网络结构和不影响日常生产的前提下，为用户提供了对控制对象和被控对象的入侵检测系统，漏报和误报的现象少，入侵识别快，从而以较低的成本大大提高了工业控制系统的网络安全水平。

摘要： 本发明提供了一种入侵检测系统IDS分析方法和入侵检测系统，其中方法包括IDS的节点捕获流入的数据包，根据协议解码对数据包进行解析，并将数据包解析结果发送给IDS的命令解析器；命令解析器将接收到的数据包解析结果与预先设置的规则库中对应的攻击特征进行规则匹配；如果判断出数据包解析结果与规则库中对应的攻击特征匹配成功，命令解析器进行报警。本发明不仅能够减少计算量，而且可以实现快速探测入侵攻击。

摘要： 检测对连接控制器(51)与监视控制终端(40)之间的网络(30)的入侵的入侵检测装置(10)具有：通信取得部(11)，其取得流过网络(30)的关于空调设备(56)的通信数据；通信许可列表生成部(14)，其生成允许网络(30)中的通信的通信许可规则并作为通信许可列表进行保存；以及入侵检测部(12)，其对包含通信取得部(11)所取得的通信判定数据的通信判定数据与通信许可列表中的通信许可规则进行比较，由此检测对网络(30)的入侵，通信许可列表生成部(14)根据包含空调设备(56)的对象的属性信息的工程信息生成通信许可规则，其中，该控制器(51)控制空调设备(56)，该监视控制终端(40)对控制器(51)和空调设备(56)进行监视。

摘要： 本发明为一种采用统一检测框架的入侵检测方法和系统，该方法包括：在选择的报文处理单元植入挂载点，为各检测单元配置挂载点，所需的报文特征信息在各自挂载点之前的报文处理过程中得到，将所有启用的检测单元注册到各自要挂载到的挂载点，当报文经过挂载有检测单元的挂载点时，由该挂载点上的检测单元对该报文进行入侵检测，检测完成后，对非最末一级的挂载点，报文再进入该挂载点后的报文处理单元或挂载点继续处理；该系统包括各协议层上的多个报文处理单元、多个检测单元、配置单元、初始化单元以及检测控制单元。本发明不需改变软件架构就可以迅速实现检测单元的增删，节约了时间和系统资源。

摘要： 本发明提供一种入侵检测方法、监控平台、入侵检测系统和计算机可读存储介质。所述入侵检测方法包括：将雷达报警信息与视频报警信息进行对比，所述雷达报警信息为雷达检测到的物体进入监控区域内时发出的报警信息，所述视频报警信息为视频采集设备检测到的物体进入所述监控区域内时发出的报警信息；当所述雷达报警信息与所述视频报警信息相匹配时，对所述视频采集设备检测到的物体进行身份确认，以获得确认结果；当所述确认结果表明所述视频采集设备检测到的物体满足预定的入侵告警条件时，判定存在入侵物。

摘要： 提供一种用于门窗的入侵检测方法，包括接收附着在所述门窗上的传感器采集的加速度或角速度数据；判断所述加速度或角速度数据中的多个加速度或角速度数据样本是否包括满足如下预定标准的连续加速度或角速度数据样本：(i)在所述连续加速度或角速度数据样本中每两个相邻加速度或角速度数据样本之间的变化量数据大于第一预定阈值，并且(ii)所述连续加速度或角速度数据样本的个数大于第二预定阈值；基于所述判断的结果确定是否发生针对所述门窗的入侵；以及输出所述确定的结果。由此，准确地识别入侵者的入侵。

摘要： 本发明属于网络入侵检测技术领域，公开了一种基于可持续性集成学习的入侵检测方法及入侵检测系统，将个体学习器的类概率输出和分类置信度乘积作为训练数据构建多类别的回归模型，使集成学习的决策过程对攻击类型具有适应性以提高检测精度，模型更新阶段将历史模型的参数和决策结果加入新模型的训练过程，完成模型的增量式学习。本发明采用多回归模型的集成学习融合方案，细粒度的分配了在对不同攻击类型检测过程中个体学习器的决策权重，并通过将历史模型的参数和结果用于训练新的模型，提高了检测模型的稳定性并保证了学习过程的可持续性。并将实验结果与现有的MV、WMV方案对比验证了本发明在准确率、稳定性和可持续性。