不平衡数据下面向包粒度应用层负载的轻量化入侵检测模型

1

作者 杨毅铭 陈世平 《小型微型计算机系统》 北大核心 2025年第2期465-473,共9页

网络入侵检测是一种重要的网络安全方案.目前网络入侵检测模型都有较高精确度,但是模型复杂,参数量和计算量较大.针对该问题,设计了一种新的基于包粒度应用层负载的网络入侵检测一维卷积轻量模型.本文首先对UNSWNB15数据集的原始流量文... 网络入侵检测是一种重要的网络安全方案.目前网络入侵检测模型都有较高精确度,但是模型复杂,参数量和计算量较大.针对该问题,设计了一种新的基于包粒度应用层负载的网络入侵检测一维卷积轻量模型.本文首先对UNSWNB15数据集的原始流量文件进行包粒度应用层负载数据提取,构造一维灰度特征向量.在此基础上,本文提出一种由新的一维深度可分离卷积残差模块组成,融入了全局上下文注意力机制(Global Context Attention Module)的一维卷积轻量模型Fast Payload,并进行了针对性的模型优化和可行性论证.Fast Payload模型在UNSWNB15数据集上的9分类任务中宏平均准确率达到82.433%,加权平均精确率达到90.820%,均高于对比模型;同时,该模型计算量和参数量均低于对比模型.其次本文提出了二阶段类别平衡损失函数GHM2StageLoss,有效解决了数据集的类别不平衡问题,相比其他类别平衡损失函数,效果更好.为方便后续研究的复现,本研究开源部分源代码,网址为https://github.com/sadantange/FastPayload. 展开更多

关键词 入侵检测 一维卷积神经网络 深度可分离卷积 全局上下文注意力机制 类别平衡

在线阅读 下载PDF 职称材料

基于生成对抗网络的系统调用主机入侵检测技术 被引量：3

2

作者 樊燚 胡涛 伊鹏 《计算机科学》 CSCD 北大核心 2024年第10期408-415,共8页

程序的系统调用信息是检测主机异常的重要数据,然而异常发生的次数相对较少,这使得收集到的系统调用数据往往存在数据不均衡的问题。较少的异常系统调用数据使得检测模型无法充分理解程序的异常行为模式,导致入侵检测的准确率较低、误... 程序的系统调用信息是检测主机异常的重要数据,然而异常发生的次数相对较少,这使得收集到的系统调用数据往往存在数据不均衡的问题。较少的异常系统调用数据使得检测模型无法充分理解程序的异常行为模式,导致入侵检测的准确率较低、误报率较高。针对以上问题,提出了一种基于生成对抗网络的系统调用主机入侵检测方法,通过对异常系统调用数据的增强,缓解数据不平衡的问题。首先将程序的系统调用轨迹划分成固定长度的N-Gram序列,其次使用SeqGAN从异常数据的N-Gram序列中生成合成的N-Gram序列,生成的异常数据与原始数据集相结合,用于训练入侵检测模型。在一个主机系统调用数据集ADFA-LD及一个安卓系统调用数据集Drebin上进行了实验,所提方法的检测准确率分别为0.986和0.989,误报率分别为0.011和0,检测效果优于现有的基于混合神经网络的模型、WaveNet、Relaxed-SVM及RNN-VED的入侵检测研究方法。 展开更多

关键词 主机入侵检测 系统调用 生成对抗网络 深度学习 数据不均衡

在线阅读 下载PDF 职称材料

基于上下文验证的网络入侵检测模型 被引量：29

3

作者 田志宏 王佰玲 +2 位作者 张伟哲 叶建伟 张宏莉 《计算机研究与发展》 EI CSCD 北大核心 2013年第3期498-508,共11页

大量误报引发的可信问题一直是入侵检测研究领域所面对的具有挑战性的未解技术难题之一.为了提高入侵检测系统的确定性和准确性,必须对其告警信息加以区分,滤除无效攻击导致的虚警,从而自动准确地识别有效攻击.由此,提出了一种基于上下... 大量误报引发的可信问题一直是入侵检测研究领域所面对的具有挑战性的未解技术难题之一.为了提高入侵检测系统的确定性和准确性,必须对其告警信息加以区分,滤除无效攻击导致的虚警,从而自动准确地识别有效攻击.由此,提出了一种基于上下文验证的网络入侵检测模型,结合环境上下文、弱点上下文、反馈上下文和异常上下文等多种上下文信息,构建了一个以上下文为中心、多种验证技术相结合的高效、稳定、完整、易管理、可扩充的虚警处理平台,实现了告警的自动验证以及攻击行为能否成功地自动判定,从而达到滤除虚警的目的,使入侵检测系统起到真正的预警作用. 展开更多

关键词 入侵检测 上下文 虚警 误报率 上下文验证

在线阅读 下载PDF 职称材料

入侵检测系统研究 被引量：23

4

作者 薛英花 吕述望 +1 位作者 苏桂平 杨柱 《计算机工程与应用》 CSCD 北大核心 2003年第1期150-152,177,共4页

入侵检测系统是防火墙之后的第二道安全闸门。该文讨论了基于主机和基于网络的入侵检测系统的不同之处,以说明如何将这两种方式融合在一起,以提供更加有效的入侵检测和保护措施。并结合当今攻击技术的发展,提出今后入侵检测技术的发展... 入侵检测系统是防火墙之后的第二道安全闸门。该文讨论了基于主机和基于网络的入侵检测系统的不同之处,以说明如何将这两种方式融合在一起,以提供更加有效的入侵检测和保护措施。并结合当今攻击技术的发展,提出今后入侵检测技术的发展方向。 展开更多

关键词 入侵检测系统 防火墙 网络安全 计算机网络

在线阅读 下载PDF 职称材料

基于混杂模型的上下文相关主机入侵检测系统 被引量：31

5

作者 李闻 戴英侠 +1 位作者 连一峰 冯萍慧 《软件学报》 EI CSCD 北大核心 2009年第1期138-151,共14页

主机入侵检测的关键是监测进程的运行是否正常.现有的基于静态分析建模的方法具有零虚警的优良特性,但是,由于缺乏精确性或者效率的问题仍然不能实际使用,先前的工作试图在这两者之间寻找平衡点.基于NFA(nondeterministic finite automa... 主机入侵检测的关键是监测进程的运行是否正常.现有的基于静态分析建模的方法具有零虚警的优良特性,但是,由于缺乏精确性或者效率的问题仍然不能实际使用,先前的工作试图在这两者之间寻找平衡点.基于NFA(nondeterministic finite automaton)的方法高效但是不够精确,基于PDA(push down automaton)的方法比较精确但却由于无限的资源消耗而不能应用.其他模型,例如Dyck模型、VPStatic模型和IMA模型使用一些巧妙的方法提高了精确性又不过分降低可用性,但是都回避了静态分析中遇到的间接函数调用/跳转问题.提出一种静态分析-动态绑定的混杂模型(hybrid finite automaton,简称HFA)可以获得更好的精确性并且解决了这一问题.形式化地与典型的上下文相关模型作比较并且证明HFA更为精确,而且HFA更适合应用于动态链接的程序.还给出了基于Linux的原型系统的一些实现细节和实验结果. 展开更多

关键词 入侵检测 混杂自动机 免训练 调用上下文相关 LINUX

在线阅读 下载PDF 职称材料

一种实时入侵检测专家系统的设计与实现 被引量：5

6

作者 凌军 曹阳 +2 位作者 尹建华 卢勇 黄天锡 《计算机工程与应用》 CSCD 北大核心 2002年第9期9-10,43,共3页

该文在分析几种常见入侵检测方法的基础上,设计并实现了一种实时入侵检测专家系统,给出了详细的设计方案和实现方法。最后,分析了常见的入侵,并提供用于检测主机/端口扫描的规则集。实验结果表明,该系统能够快速有效地发现并报告多种入... 该文在分析几种常见入侵检测方法的基础上,设计并实现了一种实时入侵检测专家系统,给出了详细的设计方案和实现方法。最后,分析了常见的入侵,并提供用于检测主机/端口扫描的规则集。实验结果表明,该系统能够快速有效地发现并报告多种入侵,能集成到网络安全产品中。 展开更多

关键词 入侵检测 专家系统 主机/端口扫描 网络安全 计算机网络 人工智能 设计

在线阅读 下载PDF 职称材料

基于主机的安全审计系统研究 被引量：9

7

作者 崔蔚 赵强 +2 位作者 姜建国 黄钧 刘渊 《计算机应用》 CSCD 北大核心 2004年第4期124-126,共3页

文中综合入侵检测、访问控制等技术,提出了一种适用于涉密局域网中UNIX主机的主机(服务器)安全审计系统的原型系统,模型以多级安全策略为基础,以全面增强主机安全。通过实际的应用,验证了系统的可行性。

关键词 主机安全 访问控制 多级安全策略 安全审计 入侵检测 P2DR

在线阅读 下载PDF 职称材料

一种Windows主机入侵检测实验系统 被引量：7

8

作者 王勇 章熙骏 +1 位作者 杨辉华 王行愚 《计算机工程》 EI CAS CSCD 北大核心 2006年第10期132-134,共3页

针对广泛使用的Windows平台,建立了一个基于主机的入侵检测实验系统。在深入分析Windows主机的安全特性的基础上,利用安全日志、系统日志、性能日志及文件完整性校验、注册表等多种信息,提出了18项入侵检测特征,并利用支持向量机建立入... 针对广泛使用的Windows平台,建立了一个基于主机的入侵检测实验系统。在深入分析Windows主机的安全特性的基础上,利用安全日志、系统日志、性能日志及文件完整性校验、注册表等多种信息,提出了18项入侵检测特征,并利用支持向量机建立入侵检测器,实现了对多种攻击的检测。实验结果表明,特征选取合理、检测方法有效。 展开更多

关键词 入侵检测系统 异常检测 Windows主机 特征选取 支持向量机

在线阅读 下载PDF 职称材料

分布式入侵检测系统研究与实现 被引量：5

9

作者 张建忠 徐敬东 +2 位作者 吴功宜 练书成 江罡 《计算机工程与应用》 CSCD 北大核心 2004年第36期160-162,173,共4页

该文提出了综合多种入侵检测与防范技术的分布式网络入侵检测系统平台(DistributedIntrusionDetectionSystemsPlatform,DIDSP)的总体框架,并对基于网络和基于主机的入侵检测系统的实现方法进行了详细讨论。系统采用插件机制,可以很容易... 该文提出了综合多种入侵检测与防范技术的分布式网络入侵检测系统平台(DistributedIntrusionDetectionSystemsPlatform,DIDSP)的总体框架,并对基于网络和基于主机的入侵检测系统的实现方法进行了详细讨论。系统采用插件机制,可以很容易地集成新的入侵检测技术,具有良好的可扩展性。 展开更多

关键词 入侵检测系统 基于网络入侵检测 基于主机入侵检测 异常检测

在线阅读 下载PDF 职称材料

多级免疫检测器集在分布式入侵检测中的应用 被引量：2

10

作者 刘才铭 张雁 +2 位作者 赵辉 彭凌西 曾金全 《电子科技大学学报》 EI CAS CSCD 北大核心 2007年第6期1179-1182,共4页

为了提高入侵检测系统的网络环境适应能力,提出了一种基于多级免疫检测器集的分布式入侵检测模型。该模型由检测主机、检测子网和中心服务器组成,将入侵检测系统部署在网络的各检测主机中,检测子网具有与上层入侵检测网络相同的特征,中... 为了提高入侵检测系统的网络环境适应能力,提出了一种基于多级免疫检测器集的分布式入侵检测模型。该模型由检测主机、检测子网和中心服务器组成,将入侵检测系统部署在网络的各检测主机中,检测子网具有与上层入侵检测网络相同的特征,中心服务器负责为检测主机和子网提供支持。通过模拟生物免疫系统的免疫细胞,检测主机的免疫检测器进行了学习和进化,该模型利用二级免疫检测器集机制,协同中心服务器的疫苗接收和种痘操作,减少了检测器的数量和提高了检测器的检测能力。 展开更多

关键词 生物免疫系统 检测主机 免疫检测器 入侵检测

在线阅读 下载PDF 职称材料

一个基于CORBA的主机监测系统 被引量：4

11

作者 张强 房鼎益 《计算机应用与软件》 CSCD 北大核心 2004年第2期27-29,共3页

引入分布对象计算技术 (如CORBA)是构造大型分布式主机监测系统的有效途径。论文提出了一个基于CORBA的大型主机监测系统CHDS的构造模型 。

关键词 主机监测 文件监测 入侵监测 CORBA 分布对象计算技术 计算机网络技术 异构网络

在线阅读 下载PDF 职称材料

Linux环境下的日志分析系统LASL 被引量：2

12

作者 王全民 王蕊 赵钦 《北京工业大学学报》 CAS CSCD 北大核心 2005年第4期420-422,共3页

日志文件是计算机系统运行轨迹的写照,是入侵检测分析中重要的数据来源.日志分析主要用于入侵事件后采取相应的应急响应措施,最大可能地减少入侵造成的损失.LASL把传统的日志分析技术和移动Agent技术相结合,实现了Linux环境下的主机日... 日志文件是计算机系统运行轨迹的写照,是入侵检测分析中重要的数据来源.日志分析主要用于入侵事件后采取相应的应急响应措施,最大可能地减少入侵造成的损失.LASL把传统的日志分析技术和移动Agent技术相结合,实现了Linux环境下的主机日志分析系统,具有智能化、自动化和分布式的特点. 展开更多

关键词 基于主机的入侵检测系统 日志 LINUX 移动代理

在线阅读 下载PDF 职称材料

UNIX主机文件完整性校验工具的原理与实现 被引量：3

13

作者 孙玉霞 陈火炎 《计算机应用与软件》 CSCD 北大核心 2006年第6期119-120,137,共3页

文件系统完整性校验是一种基于主机的入侵检测技术,可以检测出入侵者对主机文件的非法修改。介绍了文件完整性校验的原理,并详述了所开发的文件系统完整性校验工具的关键实现技术。

关键词 文件完整性 基于主机入侵检测

在线阅读 下载PDF 职称材料

基于Windows的文件完整性检测系统的设计和实现 被引量：2

14

作者 顾巧云 李安欣 《计算机工程》 CAS CSCD 北大核心 2004年第B12期578-579,619,共3页

有些计算机病毒和木马一旦进入系统,就会伪装自己,使系统难以觉察。通过对主机文件系统的完整性验证,能有效地拦截系统未 知的病毒和木马。在Windows系统中,使用拦截技术,当可执行程序运行时对其进行拦截,并验证其文件完整性,确保程序... 有些计算机病毒和木马一旦进入系统,就会伪装自己,使系统难以觉察。通过对主机文件系统的完整性验证,能有效地拦截系统未 知的病毒和木马。在Windows系统中,使用拦截技术,当可执行程序运行时对其进行拦截,并验证其文件完整性,确保程序未受感染后,才 允许程序执行。利用文件完整性检查防范计算机病毒和木马,具有较好的实时性和主动性。 展开更多

关键词 主机入侵检查 文件签名技术 Windows拦截技术

在线阅读 下载PDF 职称材料

基于数据挖掘的主机入侵行为检测

15

作者 昝鑫 韩崇昭 +1 位作者 姚婷婷 韩九强 《西安交通大学学报》 EI CAS CSCD 北大核心 2005年第2期195-195,共1页

针对主机入侵行为的复杂性与正常用户行为的相似性，提出利用序列模式挖掘方法挖掘攻击者频繁使用的主机入侵命令序列，将频繁主机入侵命令转换为底层入侵检测器的检测规则，用于检测用户的可疑行为，同时为了消除误报，设计了一个基于... 针对主机入侵行为的复杂性与正常用户行为的相似性，提出利用序列模式挖掘方法挖掘攻击者频繁使用的主机入侵命令序列，将频繁主机入侵命令转换为底层入侵检测器的检测规则，用于检测用户的可疑行为，同时为了消除误报，设计了一个基于入侵事件状态的关联引擎，将挖掘产生的频繁主机入侵命令序列作为入侵关联规则并提出了一种新的入侵关联算法。 展开更多

关键词 入侵行为 主机 命令 数据挖掘 序列模式挖掘 入侵检测 关联规则 正常 状态 误报

在线阅读 下载PDF 职称材料

一种主机系统可适应综合安全模型的研究

16

作者 刘渊 赵强 +2 位作者 姜建国 黄钧 崔蔚 《计算机应用研究》 CSCD 北大核心 2004年第11期139-141,共3页

综合入侵检测与访问控制相关安全技术,基于P2DR思想,提出了一种适用于主机系统的可适应综合安全模型,并以之为参考设计了一个原型系统,基本验证了其可行性和有效性。该模型以动态策略管理为基础,形成一个集防护、检测和响应为一体的完... 综合入侵检测与访问控制相关安全技术,基于P2DR思想,提出了一种适用于主机系统的可适应综合安全模型,并以之为参考设计了一个原型系统,基本验证了其可行性和有效性。该模型以动态策略管理为基础,形成一个集防护、检测和响应为一体的完整安全体系,从而对主机系统实施综合安全保护。 展开更多

关键词 主机安全 入侵检测 访问控制 动态策略

在线阅读 下载PDF 职称材料

基于系统呼叫和网络数据包的两层入侵检测模型

17

作者 张小强 朱中梁 范平志 《计算机工程》 EI CAS CSCD 北大核心 2005年第6期123-125,共3页

由于每种检测手段都有各自的优缺点,任何一种单独的检测手段或方式都不能够检测出所有的入侵行为。为了弥补这些缺陷和不足,该文提出了一种基于系统呼叫和网络数据包的两层入侵检测模型,这种模型有机地把两种入侵检测技术融合在一起,极... 由于每种检测手段都有各自的优缺点,任何一种单独的检测手段或方式都不能够检测出所有的入侵行为。为了弥补这些缺陷和不足,该文提出了一种基于系统呼叫和网络数据包的两层入侵检测模型,这种模型有机地把两种入侵检测技术融合在一起,极大地提高了系统的安全性能。结果也表明,这种检测模型具有更好的检测效果和健壮性。 展开更多

关键词 网络入侵检测 主机入侵检测 系统呼叫 两层检测模型

在线阅读 下载PDF 职称材料

一种基于行为关联的主机系统入侵检测方法

18

作者 王映龙 李京春 +3 位作者 王少杰 锁延锋 梁利 郭瑞龙 《高技术通讯》 CAS CSCD 北大核心 2012年第9期897-903,共7页

提出了一种基于主机行为解析和行为关联分析的主机系统入侵检测方法，对嵌入式恶意软件具有较高的检测效率，可应用于基于网络行为的入侵检测系统。通过对行为进行深层次的解析，建立了行为间的关联关系模型，在降低存储异常行为样本规... 提出了一种基于主机行为解析和行为关联分析的主机系统入侵检测方法，对嵌入式恶意软件具有较高的检测效率，可应用于基于网络行为的入侵检测系统。通过对行为进行深层次的解析，建立了行为间的关联关系模型，在降低存储异常行为样本规模的同时，提高了该方法的灵活性和应用范围。实验结果显示，与现有的异常行为检测方法相比，该方法需要较长的训练时间，但是，通过调整行为粒度，该方法可以使训练时间保持在合理的范围之内。随着时间的推进，该方法的性能将逐步提高，在漏报率、误报率及更新效率上，较现有系统都有较大的提高。 展开更多

关键词 关联分析 主机系统 入侵检测系统(IDS)

在线阅读 下载PDF 职称材料

基于集成学习的系统调用实时异常检测框架 被引量：5

19

作者 陈仲磊 伊鹏 +1 位作者 陈祥 胡涛 《计算机工程》 CAS CSCD 北大核心 2023年第6期162-169,179,共9页

基于系统调用数据的异常检测无法完成进程生命周期内的入侵行为同步感知任务,且存在实时异常检测准确率低的问题。提出一个基于集成学习的系统调用实时异常检测框架,其中包括数据处理与切片、集成学习、异常检测与反馈模块。在数据处理... 基于系统调用数据的异常检测无法完成进程生命周期内的入侵行为同步感知任务,且存在实时异常检测准确率低的问题。提出一个基于集成学习的系统调用实时异常检测框架,其中包括数据处理与切片、集成学习、异常检测与反馈模块。在数据处理与切片模块中,对处于生命周期内的进程行为轨迹进行采集与分析,根据线上待分析数据与线下模型训练数据对时效性的不同要求,设计2种系统调用轨迹的切分策略;在集成学习模块中,改进GPT语言模型和门控循环神经单元用于构建系统调用轨迹片段行为轮廓,以集成学习思想融合异常检测异构模型同时抓取单向语义特征与统计特征;在异常检测与反馈模块中,采用考虑单个系统调用重要度的异常判决方法,引入同步感知与实时裁决共存的异常预警机制。在公开数据集上的实验结果表明,该框架具有进程生命周期内的入侵同步感知能力,所构建的集成模型在保证低误报率(0.2%)的同时具有高异常检测准确率(99.3%),优于决策树模型、单分类SVM、BiLSTM等对比模型。 展开更多

关键词 异常检测 系统调用 主机入侵检测 集成学习 半监督学习

在线阅读 下载PDF 职称材料

一种基于行为的主机入侵防护系统设计与实现 被引量：5

20

作者 李春光 赵彬 周保群 《计算机工程》 CAS CSCD 北大核心 2007年第6期129-131,共3页

提出了一种结合系统调用和过滤器驱动技术的基于行为HIPS,通过在操作系统内核的两个层次上实施强制访问控制,来实时阻止已知和未知攻击的破坏。研究了在Windows2000/XP操作系统中,可应用的安全策略及支持这些策略的实施机制。

关键词 检测 访问控制 主机入侵防护系统

在线阅读 下载PDF 职称材料