国家高技术研究发展计划(2004AA1Z2280)
- 作品数:5 被引量:18H指数:3
- 相关作者:肖云韩崇昭郑庆华赵婷王选宏更多>>
- 相关机构:西安交通大学西北大学西安邮电学院更多>>
- 发文基金:国家高技术研究发展计划国家重点基础研究发展计划更多>>
- 相关领域:自动化与计算机技术更多>>
- 基于网络安全知识库的入侵检测模型被引量:3
- 2009年
- 在网络安全知识库系统的基础上,提出一个基于网络安全基础知识库系统的入侵检测模型,包括数据过滤、攻击企图分析和态势评估引擎。该模型采用进化型自组织映射发现同源的多目标攻击;采用时间序列分析法获取的关联规则来进行在线的报警事件的关联,以识别时间上分散的复杂攻击;最后对主机级和局域网系统级威胁分别给出相应的评估指标以及对应的量化评估方法。相比现有的IDS,该模型的结构更加完整,可利用的知识更为丰富,能够更容易地发现协同攻击并有效降低误报率。
- 肖云王选宏
- 关键词:网络安全知识库入侵检测模型
- 基于粗糙集-支持向量机理论的过滤误报警方法被引量:7
- 2007年
- 为过滤入侵检测系统报警数据中的误报警,根据报警的根源性和时间性总结出了区分真报警和误报警的19个相关属性,并提出了一种基于粗糙集-支持向量机理论的过滤误报警的方法。该方法首先采用粗糙集理论去除相关属性中的冗余属性,然后将具有约简后的10个属性的报警数据集上的误报警过滤问题转化为分类问题,采用支持向量机理论构造分类器以过滤误报警。实验采用由网络入侵检测器Snort监控美国国防部高级研究计划局1999年入侵评测数据(DARPA99)产生的报警数据,结果表明提出的方法在漏报警约增加1.6%的代价下,可过滤掉约98%的误报警。该结果优于文献中使用相同数据、相同入侵检测系统的其它方法的结果。
- 肖云韩崇昭郑庆华赵婷
- 关键词:入侵检测误报警粗糙集支持向量机
- 基于支持向量机的降低入侵检测误报警方法被引量:7
- 2006年
- 应用支持向量机处理入侵检测系统所产生的报警数据,以降低大量误报警。由于报警数据的异构性,在构造支持向量机时选择可以准确度量异构距离的类径向基核函数,以提高分类精度。实验数据是利用入侵检测器Snort对实验环境下获得的攻击和正常数据产生的报警数据集,并添加了6项背景属性以增强分类精度。测试结果表明了该文的方法具有良好的性能:在不增加漏报的前提下真报警率为100%,误报警消除率为99.7291%,每条数据的处理时间为0.38ms。
- 肖云韩崇昭
- 关键词:入侵检测误报警支持向量机
- 基于改进的进化型自组织映射的攻击实例挖掘
- 2007年
- 针对从入侵检测系统产生的复杂报警数据中难以获取有意义的攻击实例的问题,提出了一种基于改进的进化型自组织映射(IESOM)的攻击实例挖掘方法。IESOM算法给出了基于获胜神经元和其它神经元的距离的连接强度初始值,解决了进化型自组织映射(ESOM)算法中的连接强度初始值的选择问题。基于IESOM的攻击实例挖掘方法先对报警数据进行IESOM聚类,再使用合并规则得到初步的攻击实例,最后使用筛选规则获取有意义的攻击实例。对XJTU-sensor的报警数据的攻击案例获取结果表明了提出的基于IESOM的攻击实例挖掘方法能够从大量的报警数据中高效地获取典型的攻击实例。
- 肖云韩崇昭
- 关键词:入侵报警自组织映射聚类
- 基于核神经气聚类的入侵报警分析被引量:1
- 2006年
- 利用无监督的核神经气聚类方法分析入侵报警数据,并针对核神经气聚类方法运行时间较长的缺点作了改进,加快了学习过程的速度而不影响其收敛性。利用改进的核神经气聚类方法对真正报警数据进行聚类,获得了各个神经元被作为获胜神经元的次数分布图,并根据此分布图获得报警的判别规则以区分误报警和真报警。实验采用网络入侵检测器Snort在实验环境下获得的攻击和正常数据产生的报警数据集,测试结果证明了提出的方法具有良好的性能:当滑窗长度为10时,在漏报增加率约为6%的代价下可以去除约81%的误报警。
- 肖云韩崇昭郑庆华昝鑫
- 关键词:入侵检测报警
