基于有色Petri网的分布式网络入侵检测系统

在回顾入侵检测理论与实现模型两方面工作的基础上介绍了一种将CPN技术用于入侵行为建模的方法及其理论基础，阐述从CPN模型到层次型多Agent系统的转化方法及其实现结构．通过保留CPN模型的细分过程信息避免了传统多Agent入侵检测系统的单点失效问题，提高了系统可扩展性和健壮性，并通过在传感器层结合传统基于规则的入侵检测系统和CPN模型改善了系统性能．     

基于分布式数据挖掘技术的网络入侵检测系统的研究

简要分析了现有的网络入侵检测技术存在的一些问题．在此基础上，提出了一种基于分布式数据挖掘技术的网络入侵检测系统模型，讨论了模型中各个功能部件的结构和关键技术．采用多Agent技术设计了一个基于该模型的网络入侵检测原型系统．对实现不同功能的多类Agent进行了设计．论文还介绍了原型系统的实现技术．通过一个模拟分布式攻击仿真实验，检验了该模型的合理性和原型系统的性能．实验结果表明，该模型可在一定程度上提高入侵检测系统对分布式攻击的检测能力．     

基于Rete模式匹配算法的入侵检测系统

设计并实现了一个基于专家系统的网络入侵特征检测系统．针对当前入侵检测推理机制中存在的时间冗余性问题，在入侵检测推理过程中采用了Rete模式匹配算法，对推理机制进行了优化．实验结果表明，该系统在检出率和检测效率上要明显高于未采用Rete模式匹配算法的系统，采用Rete模式匹配算法能有效地克服时间冗余性问题，并改善了系统的性能．     

基于特征优化的多层支撑矢量机入侵检测算法

在入侵检测系统中利用免疫优势克隆算法对训练数据进行优化，获得对入侵检测发挥关键作用的特征集合，再利用基于Boosting组合的多层支撑矢量机算法对优化后的数据进行训练学习，可以在不影响入侵检测系统的推广能力的条件下大大缩短训练时间．     

一种新型的自适应入侵检测系统的研制

针对当前入侵监测系统存在的自适应能力较差、扩展性差的问题，基于面向混合类型数据的快速启发式聚类算法FHCAM和属性约束的模糊规则挖掘算法ACFMAR，提出了一种采用数据挖掘技术的自适应入侵检测系统DMAIDS．该系统通过划分聚类的方法划分出异常入侵记录；模糊关联规则的方法提取入侵模式．通过对1999年举行的数据挖掘大赛所使用的10%子集进行实验，结果表明该系统平均检测率和平均误检率比大赛获得冠军检测方法准确率提高了近2倍，检测率从数据子集1的65．25％自适应提高到数据子集9的85．7％能自适应的检测各种攻击，表明该系统具有很好的应用前景。     

基于机群网络入侵阻断研究

首先叙述了NNA侵阻断技术背景，然后分析了网络入侵阻断技术发展状况及所存在的问题．在此基础上，本文提出了一个基于机群网络入侵阻断系统(简称CBIPS)，CBIPS由多台计算机组成，并行阻断网络攻击．实验结果表明，CBIPS可以提高网络入侵阻断性能．     

基于神经网络的异常入侵检测设计与实现

讨论了神经网络在异常入侵检测中的应用，提出神经网络的设计方法，给出了系统的结构和识别方法，重点论述了神经网络实现中各环节的技术问题．实验表明该识别方法能较大提高检测率和对入侵变异的自适应性．     

基于网络的主动跟踪框架

在分析现有入侵检测系统跟踪方法的基础上，提出了一种基于网络的主动跟踪模型及体系结构，并对其工作机制进行了描述。     

关联规则在网络异常检测中的应用

异常检测在网络安全中已成为一个重要的课题,异常检测是入侵检测(IDS)的一种,它对网络及用户正常行为的特征进行描述,并通过对正常网络行为的偏差的比较来实现入侵检测.关联规则是一种典型的数据挖掘方法,可以用来描述事物之间在特定条件下存在的某种强度的联系.通过对网络数据进行采集并利用关联规则数据挖掘的方法描述网络特性,建立了一个有效的网络异常检测系统模型,获得了较好的效果.     

一种新的基于分布式入侵检测的警报聚类方法

针对大量的异构入侵检测传感器产生的警报泛滥问题，提出了一种在线警报聚类融合模型．该模型根据自我学习和调节，建立元警报作为警报聚类融合的基础，对新产生的警报进行分类、聚类，最终将警报特征与元警报融合，扩充元警报的特征信息．实验结果表明该方法能够有效地减少警报数量，提供具有指导意义的入侵响应，并且聚类结果可被用来进行进一步的网络态势评估．     

一种移动代理执行的高可用性容错机制

可靠性和容错是移动代理系统实现的重要条件．基于Bounded Failure Rate假设，利用合作Agent及被动复制措施提出了一种适于大规模网络环境下检测与恢复拜占庭故障的高可用性的容错机制，该机制确保了Non-blocking和Exactly-once两个原则的贯彻．重点讲述了绝大部分Agent故障现象的检测与恢复．     

网络控制论在网络攻防中的应用

基于网络控制论的基本概念和原理，为解决网络安全问题，提出了一种网络攻防控制模型．该模型围绕网络的脆弱性信息，运用网络控制论中通过反馈与决策实现对网络系统的开环和闭环控制方法来构建．模型中，攻防双方在攻击和防御过程中，利用各自获知的网络脆弱性信息不断调整和实施控制与反控制行为，克服了一般攻防策略模型不能规避网络背景等因素变化而增加风险的不足，并应用于设计网络入侵检测与防护控制系统．结果表明，应用网络控制论构建网络攻防控制模型能够为解决网络安全问题提供一种新途径．     

蜜罐技术在校园网络安全中的应用研究

由于网络攻击和入侵行为日趋复杂,传统防御技术已经无法有效的保护校园网络.文章提出在校园网络中使用蜜罐系统,并与防火墙和入侵检测技术结合共同抵御网络攻击,从而达到全面加强网络安全性的目的.     

基于Hash函数改进遗传算法的 IPv6下模糊异常检测模型

为了实现基于IPv6的异常检测，设计了一种新的高效异常检测模型．针对传统遗传算法编码效率低下的不足进行了改进．该模型使用基于遗传算法的IPv6模糊异常检测规则生成技术，采用Hash函数进行初始种群优化、随机实数编码进行种群编码，提高了检测准确性．使用实时网络数据流对原型系统和Snort进行对比测试，结果表明所提出的模型在检测效率上有明显改善．     

基于嵌入式Linux的网络摄像机设计

提出了一种基于32位嵌入式操作系统的网络摄像机设计思路，并从硬件结构、软件框架方面介绍系统的具体实现方法．采用台湾智源公司的FIC8120作为系统主控芯片，省去了设计专门音视频压缩编码模块，显著减少了系统复杂性．该软件平台采用可移植、裁减和实时多任务特性的Linux操作系统，可用于处理复杂的网络传输协议，具有良好的稳定性和可靠性．     

大数据环境下基于信息论的入侵检测数据归一化方法

在大数据时代,入侵检测作为网络安全的一种重要技术手段被广泛采用.网络入侵检测数据不同的特征属性具有不同的量纲和量纲单位,为了消除特征属性之间的量纲影响,一般在进行数据分析之前采用归一化处理.当前网络入侵检测数据的归一化处理大多只考虑特征属性取值本身的分布情况,没有客观地评估它对类别信息或其他特征属性的影响.针对这个问题,提出了一种基于信息论的网络入侵检测数据归一化方法.对连续特征属性,它以联合信息增益作为区间的分割评估方法,以区间的类别占比作为标准依据进行归一化处理;对离散特征属性,它根据类别条件熵的占比进行了归一化处理.利用NSL-KDD数据集仿真实验,结果表明,该方法不仅能够提高学习算法的收敛性,而且归一化的结果有助于提高分类模型的检测率和降低分类模型的误报率.     

GMPLS网络中约束最短路径优先算法研究

针对GMPLS网络中求解最短路径问题，提出了一种具有共享风险链路约束的启发式约束最短路径优先路由算法，对该算法的有效性和可靠性进行了比较全面的仿真测试，仿真结果显示此算法提高了网络资源的利用率，减少了网络的阻塞，同时降低了链路失效时的风险，提高了网络的强壮性和可靠性．     

网络编码在高质量应用层组播中的应用

在面向节点群的混合网状应用层组播模型(Hybrid Mesh Application Multicast Model,HM-ALM)中设计并实现了确定性线性网络编码,探讨了网络编码对提高组播性能的作用.实验表明,网络编码能减少传输延迟和增强系统健壮性.使用网络编码后系统传输延迟减少了约50%;在系统动态变化时,正确接收数据的节点数可以达到最大值,系统能更快恢复稳定.     

分布式协同关联入侵检测系统及关联语言

提出了一种完全非集中方式，将入侵建模为发生在被保护网络系统中多个节点上的事件序列，部署的各协同关联引擎自动关联入侵证据，从而得到高层的全局告警．本文为这种模式提出了一种基于XML的分布式协同关联入侵检测描述语言．     

基于协议状态转移的异常检测方法研究

文章分析了误用检测方法和统计异常检测方法的缺陷，在Kumar Das的研究基础上。根据面向连接协议有限的并且是可以定义的的网络正常状态，构建一个确定有穷自动机(DFA)来约束网络。并用由正规表达式产生的语言来描述一系列的正常的状态转化，将接收到的数据包映射成协议的状态转换，当这一系列状态及其转换输入建立好的自动机时，看能否被自动机接受来判断是否发生了入侵行为．