• 不 限
  • 期刊论文
  • 硕博论文
  • 会议论文
  • 报 纸
  • 英文论文
  2. 您的位置
  3. 首页
  4. 会议论文
  5. 一种动态的学习的高效入侵检测模型研究

一种动态的学习的高效入侵检测模型研究

来源 :2007年全国网络与信息安全技术研讨会 | 被引量 : 0次 | 上传用户:meteora5
【摘 要】
近些年基于机器学习的智能入侵攻击识别技术已经成为入侵检测领域研究的热点。然而随着网络流量和网络规模的不断增大,以及网络行为特征的不断变化,使得现有的一些机器学习算法难以满足网络入侵检测模型对实时性、动态性和自适应性的要求,从而限制了机器学习在入侵检测系统中的应用。为了提高宽带网络环境下智能入侵检测系统的实用性和可用性,本文提出了一种基于归纳推理的动态自学习的高效入侵检测模型。将归纳推理方法应用到入
【作 者】
杨武 王巍 张乐君 国林 云晓春 
【机 构】
哈尔滨工程大学信息安全研究中心,哈尔滨 150001 哈尔滨工程大学信息安全研究中心,哈尔滨 15
【出 处】
2007年全国网络与信息安全技术研讨会
【发表日期】
2007年8期
【关键词】
网络安全 入侵检测 异常检测 归纳推理 自学习算法 
下载到本地 , 更方便阅读
下载此文 赞助VIP
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
近些年基于机器学习的智能入侵攻击识别技术已经成为入侵检测领域研究的热点。然而随着网络流量和网络规模的不断增大,以及网络行为特征的不断变化,使得现有的一些机器学习算法难以满足网络入侵检测模型对实时性、动态性和自适应性的要求,从而限制了机器学习在入侵检测系统中的应用。为了提高宽带网络环境下智能入侵检测系统的实用性和可用性,本文提出了一种基于归纳推理的动态自学习的高效入侵检测模型。将归纳推理方法应用到入侵检测中,提出了适用于入侵检测的增量学习推理算法。通过该算法建立的入侵检测模型能够对不断出现的新的网络行为数据进行自学习,并动态修正模型的行为轮廓,从而克服了传统静态检测模型必须完全重新学习才能更新模型甚至无法重新学习的缺陷,同时较大地提高了入侵检测模型的学习效率和检测效率。
其他文献
基于自主配置的系统生存性增强算法研究
本文提出了服务生存性的概念,并在系统冗余前提下,提出动态配置原子组件来增强系统生存性方法;根据中心极限定理以及系统运行历史数据,获取原子组件生存性变化曲线,并结合系统服务效率以及服务质量等因素,设计了基于自主配置的生存性增强算法。通过实验验证了生存性计算方法在原子组件不同失效率下的正确性和有效性;仿真实验表明,SAC算法在原子组件遭受攻击和服务能力下降情况下都能有效保证关键服务的生存性。
会议
服务生存性自主配置原子组件
大规模网络安全态势分析中的报警关联规则挖掘
针对大规模网络安全态势分析中报警关联的需要,提出了海量报警日志的多维关联规则挖掘算法MFP-growth,制定了一种有利于理解安全事件的关联规则模板,能够在最小支持度较低时,完成大规模报警日志的挖掘任务;并进行了报警的时间序列规则挖掘,发现复杂攻击事件中的攻击模式。实验证明,该文中方法能够有效实现大规模网络报警日志的关联挖掘,并对整体网络安全趋势分析提供可靠依据。
会议
网络安全态势分析报警关联规则攻击模式
高交互蜜罐主机的识别技术研究
高交互蜜罐是信息安全研究人员用于收集网络攻击信息的重要工具,但攻击者也常常会利用蜜罐主机自身的特点探测其存在进而绕开陷阱,严重降低蜜罐主机的有效性。本文根据高交互蜜罐主机的特点,分析总结出攻击者常用的蜜罐识别技术原理,并给予具体攻击行为刻画与实例分析。高交互蜜罐主机识别技术的原理与实例分析将为安全人员进行蜜罐高效部署与维护提供决策依据;攻击者恶意行为模式的刻画也可为蜜罐主机识别规避与反探测等主动安
会议
蜜罐技术虚拟机识别攻击行为安全防御信息安全
基于权能转换模型的攻击场景推理、假设与预测
为了自动地从大量低级的入侵检测告警信息中构建出更高层次的攻击场景,并在一定程度上预测即将发生的攻击,提出了一种基于权能转换模型的实时告警信息相关性分析的方法。通过对推理依据的高度抽象,权能转换模型极大地降低了攻击场景构建过程的复杂度。在DARPA2000测试数据集上的测试实验结果表明,提出的方法是可行的、有效的。
会议
网络安全攻击场景权能转换模型相关性分析入侵检测
基于加同态加密机制的互联网路由异常检测
对路由系统进行监测和异常检测是增强骨干网络安全的重要途径。为了发现隐藏的路由攻击或者提高检测算法准确性,往往需要对多个ISP的路由表进行联合检测。但是由于路由表蕴涵ISP的商业互联信息和丰富的路由策略,具有很强的私密性,为多视图路由检测方法的实现和部署带来障碍。本文应用安全多方计算理论,提出基于加同态公钥加密算法的互联网路由异常检测协议,在正确进行联合路由检测的同时,很好地保证输入的路由数据的私密
会议
安全多方计算同态公钥密码体制路由攻击异常检测加密机制
基于被动监听的攻击验证技术研究
现有入侵检测系统(Intrusion Detection System,IDS)在发现网络攻击时,只告警,而不关心随后的攻击结果,导致高误报率并降低了网络维护效率。本文提出一个被动网络攻击验证系统(Passive Attack Verification System,PAVS)。EAVS被动监测数据流,以攻击分类特征为前提捕捉反馈,确认攻击结果,并以此给出不同级别告警信息。实验结果表明,在误报率上
会议
网络攻击入侵检测系统误报率攻击验证技术被动监听
骨干网路由器控制平面攻击方法的研究
骨干网是实现城域网互联的网络,其安全性直接影响到互联网的可靠运行。本论文从攻击角度研究骨干网核心设备路由器的安全,根据Amoroso分类标准以及骨干网路由器的特点,提出了一种可扩展、层次清晰的攻击分类方法,着重研究了其控制平面主要协议OSPF、IS-IS和BGP面临的攻击方法。
会议
骨干网路由器控制平面攻击分类网络安全
基于蠕虫传播技术的网络实验床研究
建立网络实验床对网络安全研究具有重要意义。在分析网络实验特点的基础上,本文研究并设计了一种基于蠕虫传播技术的网络实验床。采用蠕虫传播技术与传统网络服务相结合的方法,实现实验床的动态部署,并设计相应的广播网络和树状控制结合的网络结构,有效地解决实验床的管理配置问题。在该实验床上进行了两种典型的网络攻击测试,实验表明该实验床能对网络攻击实验提供灵活有效的实验环境。
会议
网络安全蠕虫传播技术网络实验床网络服务攻击测试
基于决策树模型的恶意程序判定方法
在反病毒企业中,对未知样本的分拣和病毒的判定,往往依靠大量的人工判定,而每日捕捉上来的样本数量是非常大的,这会导致对危险级别较高的样本往往得不到最优先的处理,本文建立了一种基于决策树的恶意代码判定方法,从大量的已知数据挖掘过程中学习并建立了决策树模型,应用于未知样本的预分拣流程中,准确率达到91.2%以上,取得了较为显著的判定效果。王维于2004年就职于哈尔滨安天实验室至今,现任安天的病毒样本管理
会议
决策树模型恶意程序样本分拣数据挖掘恶意代码
基于主机活跃性和通信模式分析的实时异常流量检测
提出一种基于主机活跃性和通信模式分析的实时异常流量检测方法,对整个网络报文空间按异常流量事件相关报文类型进行分类,在各报文子空间中分析各活动主机的活跃性,采用自适用报文抽样和报文特征分布熵方法提取各活跃主机通信模式,与先前建立的各类型异常流量检测事件通信模式进行比较,从而实现对各类型异常流量事件的实时检测和异常流量事件源的准确物理定位。通过在实验环境中进行混合模拟攻击测试表明,本异常流量检测方法对
会议
网络安全异常流量通信模式异常检测网络报文