基于分布式数据挖掘技术的网络入侵检测系统的研究

简要分析了现有的网络入侵检测技术存在的一些问题．在此基础上，提出了一种基于分布式数据挖掘技术的网络入侵检测系统模型，讨论了模型中各个功能部件的结构和关键技术．采用多Agent技术设计了一个基于该模型的网络入侵检测原型系统．对实现不同功能的多类Agent进行了设计．论文还介绍了原型系统的实现技术．通过一个模拟分布式攻击仿真实验，检验了该模型的合理性和原型系统的性能．实验结果表明，该模型可在一定程度上提高入侵检测系统对分布式攻击的检测能力．     

一种新的基于分布式入侵检测的警报聚类方法

针对大量的异构入侵检测传感器产生的警报泛滥问题，提出了一种在线警报聚类融合模型．该模型根据自我学习和调节，建立元警报作为警报聚类融合的基础，对新产生的警报进行分类、聚类，最终将警报特征与元警报融合，扩充元警报的特征信息．实验结果表明该方法能够有效地减少警报数量，提供具有指导意义的入侵响应，并且聚类结果可被用来进行进一步的网络态势评估．     

分布式协同关联入侵检测系统及关联语言

提出了一种完全非集中方式，将入侵建模为发生在被保护网络系统中多个节点上的事件序列，部署的各协同关联引擎自动关联入侵证据，从而得到高层的全局告警．本文为这种模式提出了一种基于XML的分布式协同关联入侵检测描述语言．     

基于数据挖掘的入侵检测系统框架

提出了基于分布式数据挖掘的入侵检测系统框架，详细讨论了该系统的实现方案、模块结构和关键技术，最后给出了系统训练和评价方法。该系统以基于关联规则方法的分布式数据挖掘技术为核心，从而实现了规则库的自动生成和更新，并能有效检测大规模协同攻击。     

基于Petri网的超媒体形式化模型

针对演播类超媒体提出一个基于Ｐｅｔｒｉ网的形式化模型ＯＯＰＮ,它由一个扩展Ｐｅｔｒｉ网、若干对象以及Ｐｅｔｒｉ网与对象之间的映射表示,具有刻画超媒体主要性质的能力．着重给出了ＯＯＰＮ模型的形式化定义以及它对超媒体逻辑结构、时序结构和语义结构的描述     

一种基于Petri网的网络模型设计方法

提出了一种描述和构造通讯设备或通讯介质的Petri网模型，以该模型为基础给出了一个设计网络的Petri网模型的方法，并且给出了一个使用该方法构造的Petri网模型的性能测试实例，为网络设计和网络性能分析提供了一种新的参考方法。     

无人机网络入侵检测与信任体系研究综述

无人机应用场景广泛,然而无人机网络节点移动性强,通信链路不稳定,资源受限,易受网络攻击。常见的攻击有拒绝服务攻击、信息窃取、GPS(global positioning system)欺骗、传播虚假消息等,并且这些攻击在实际应用中会造成许多风险事件。基于上述攻击,本文回顾了近年来无人机网络安全防御方案,首先介绍了入侵检测防御技术,包括基于特征分析的入侵检测、基于数字签名的入侵检测、基于异常行为和行为准则的入侵检测;然后阐述了信任管理模型,包括基础信任模型、分角色和分层信任模型和其他信任模型;最后概述了基于人工智能技术和区块链技术的新型技术安全防御方案。结尾提出完善入侵检测方案与信任体系面临的挑战,为无人机网络安全研究提供参考。     

基于特征优化的多层支撑矢量机入侵检测算法

在入侵检测系统中利用免疫优势克隆算法对训练数据进行优化，获得对入侵检测发挥关键作用的特征集合，再利用基于Boosting组合的多层支撑矢量机算法对优化后的数据进行训练学习，可以在不影响入侵检测系统的推广能力的条件下大大缩短训练时间．     

基于Rete模式匹配算法的入侵检测系统

设计并实现了一个基于专家系统的网络入侵特征检测系统．针对当前入侵检测推理机制中存在的时间冗余性问题，在入侵检测推理过程中采用了Rete模式匹配算法，对推理机制进行了优化．实验结果表明，该系统在检出率和检测效率上要明显高于未采用Rete模式匹配算法的系统，采用Rete模式匹配算法能有效地克服时间冗余性问题，并改善了系统的性能．     

基于神经网络的异常入侵检测设计与实现

讨论了神经网络在异常入侵检测中的应用，提出神经网络的设计方法，给出了系统的结构和识别方法，重点论述了神经网络实现中各环节的技术问题．实验表明该识别方法能较大提高检测率和对入侵变异的自适应性．     

基于网络的主动跟踪框架

在分析现有入侵检测系统跟踪方法的基础上，提出了一种基于网络的主动跟踪模型及体系结构，并对其工作机制进行了描述。     

基于Petri网的生产过程模型及仿真

利用Ｐｅｔｒｉ网为模型，在ＦＯＸＰＲＯ上建立了广泛适用于一类基于工序流程的生产系统的仿真器。其中采用了优先级和限定同步超前量解决变迁冲突的控制策略，能给出多种仿真报告，并具有良好的界面。     

一种新型的分布式防火墙系统

随着现代企业网络的发展，其安全的重要性日益引起人们的重视，传统防火墙已难以满足要求。提出了在企业网络中应用基于VPN并融合IPSec协议的新型分布式防火墙系统，以克服传统防火墙的缺陷。     

一种新型的自适应入侵检测系统的研制

针对当前入侵监测系统存在的自适应能力较差、扩展性差的问题，基于面向混合类型数据的快速启发式聚类算法FHCAM和属性约束的模糊规则挖掘算法ACFMAR，提出了一种采用数据挖掘技术的自适应入侵检测系统DMAIDS．该系统通过划分聚类的方法划分出异常入侵记录；模糊关联规则的方法提取入侵模式．通过对1999年举行的数据挖掘大赛所使用的10%子集进行实验，结果表明该系统平均检测率和平均误检率比大赛获得冠军检测方法准确率提高了近2倍，检测率从数据子集1的65．25％自适应提高到数据子集9的85．7％能自适应的检测各种攻击，表明该系统具有很好的应用前景。     

基于活跃熵的Web应用入侵检测模型

由于现今的一些应用层Web攻击体现出大流量的特征,传统的Web入侵检测技术往往对这类攻击检测能力较弱,本文提出了一种基于活跃熵的Web入侵检测方法.该方法通过对HTTP数据包的截获,提取GET、POST请求参数以及HTTP Header中关键数据,并对其熵值进行分析,利用熵值的变化来发现Web数据流中存在的攻击行为.实验结果表明,本方法能实现此类大流量Web应用攻击行为的检测,有效的弥补了传统检测方法的不足.     

一种基于模型检查的入侵检测方法

在分析系统行为以及其动作序列的语义的基础上，利用时序逻辑公式描述攻击特征，提出了一种基于模型检查的入侵检测方法，该方法解决了检测中的重复验证等问题，通过增加推理链的长度约束，引入时序算子处理统计攻击，从而优化了入侵检测过程。     

一种基于带权CAT的DDoS分布式检测方法

针对DCD(distributed change-point detection)方案存在受害端开销大、检测率低等问题,提出了一种基于带权CAT(change aggregation trees)的检测方案.采用分布式分级体系结构,将检测任务分布到互联网源端、中间网络和受害端,实现攻击的早期检测;利用CUSUM算法对微小变化的敏感性,在源端主机和中间网络的路由器处进行基于到达目标数据包数量的检测以及基于超级流聚合变化的检测;受害端进行基于域树权重的榆测.实验和分析表明,CAT方案对UDP攻击的检测率从DCD的最高0.72提高到0.94,TCP攻击检测率也略有提高;网络的通信开销和受害端的存储丌销从o(mnk)降为o(mk),受害端的计算开销从o(mn)降为o(m).系统在实现检测的同时,获得了攻击路径和攻击的准确位置,实现了DDoS攻击的分布式追踪.     

基于Hash算法的分布式状态检测技术

为了克服IP数据报独立选择路由带来的，在拥有多个接入点的分布式网络模式下传统的状态检测技术无法进行有效的安全检测的缺陷，提出了一种应用于网络层的分布式Hash算法，将源和目的地址相同的IP数据报定向到同一个接入点上进行处理，使得在该点上可以完整地重组会话，从而实现分布式状态检测．为增加该算法的鲁棒性，进一步提出了一种应用于传输层的、具有回迁策略的负载平衡算法，选择任务最少的邻居节点协同处理本地过多的负载，转为轻载状态后迁回迁移出去的任务．仿真实验证明该算法具有较好的可行性、稳定性．     

基于Petri网的并发编程死锁预防策略

针对并发编程中的死锁问题,提出了一种具有同步信号的并发程序的Petri网模型——S3PS(简单连续信号进程系统)网,这种Petri网子类保持活性的充分必要条件是它的虹吸非空.在此基础上,通过对严格极小虹吸加入控制弧控制S3PS网的虹吸非空,使网系统保持活性,从而解决了此类并发程序的死锁问题.应用实例表明了S3PS在并发编程建模中的可行性及其死锁预防策略的有效性.     

针对NIDS的分布式攻击评估技术研究

对网络入侵检测系统本身的一些安全问题，如可靠性和生存健壮性等进行了研究，针对网络入侵检测系统——Snort，利用分布式协同攻击技术对NIDS的可靠性和生存健壮性进行了测试．实验结果显示，当前的NIDS是脆弱的．