导读:本文包含了主机异常入侵检测论文开题报告文献综述及选题提纲参考文献,主要关键词:主机异常入侵检测,主机实时流量,主机资源,数据融合
主机异常入侵检测论文文献综述
高翠霞[1](2009)在《主机异常入侵检测方法研究》一文中研究指出主机异常入侵检测是通过检查或监视主机是否偏离或脱离正常运行状态,而判断或发现其是否遭受外部攻击的一种技术,是网络安全防护的重要手段。现有的很多主机异常入侵检测技术,如特征检测、异常检测和状态检测等,虽然各有优势,但也都存在缺陷。如常用的特征检测技术,在攻击发生变异后就会失效、或降低准确率或升高误/漏报率。另外现有的主机异常入侵检测系统,其数据源常常和被监控主机的操作系统等因素密切相关,于是不同的系统需安装不同的主机引擎,这也对属主系统的运行和稳定造成影响。因此,研究新的主机异常入侵检测方法和技术成为当今的前沿热点研究问题。针对上述问题,在深入分析网络攻击和入侵特点的基础上,研究基于与系统无关的、具有代表性的且易于获取和计算的数据源的主机异常入侵检测方法,试图在提高方法适用性、提高检测准确性,降低系统误报率和漏报率之间取得更好的平衡。主机的实时流量、系统资源使用模式、系统核心文件的访问状态以及其它安全工具的告警信息都为检测主机异常提供了有价值线索,采用适当的方法就可挖掘出这些数据中隐藏的主机异常入侵行为。提出了一种基于主机流量的异常检测方法。主机的网络流量在一定程度上可以反映主机的活动特点,深入分析主机的实时流量是检测主机异常入侵的可行途径。选择主机流量中有代表性的13个特征,用贝叶斯逻辑回归方法客观地确定其对主机异常入侵的影响。用贝叶斯方法确定特征的先验概率,并结合训练数据集的信息,得到逻辑回归模型各个特征的后验概率。考虑到算法的简单高效以及模型的客观性,使用模型拟合优度检验AIC信息标准(AIC:Akaike Information Criterion)对变量特征进行筛选,保留对检测结果影响最大的几个主要流量特征作为模型的变量。实验结果表明该模型能够检测大部分类型的异常入侵。提出了一种基于主机资源使用模式的异常检测方法。主机的安全状态与其资源的使用情况密切相关。建立了主机资源可用性测度指标体系,包括主机的计算资源、存储资源、网络资源、IO资源以及进程/线程的统计信息,分析主机资源的正常使用轮廓,确定各个指标对主机资源可用性的影响并进而判断主机的安全状态。运用层次分析法确定指标的主观权重,熵权法确定指标的客观权重,然后将主、客观权重进行有机集成,得到组合权重的最优解,在此基础上建立目标主机资源可用性综合评价模型,进而评估主机安全状态。设计了基于D-S证据理论的多源异构数据融合模型,根据融合结果判断主机异常。网络攻击的形式和手段日益多样化,依靠单一数据源检测所能检测到的攻击类型受到很大限制,且检测的效率也受到极大的影响。网络入侵行为常常会在多方面特征中表现出异常,融合多种异构信息来检测主机异常是一种新的思路。主机流量信息、资源信息、文件系统信息以及其他安全设备的告警都为主机的异常检测提供大量信息,对这些信息进行融合后可得到高层的准确判断。选择多种安全相关且计算量小的信息,运用D-S证据理论进行融合,消除信息本身的不确定性,同时引入主机正常轮廓的自适应机制,为主机活动是否异常提供一个较为准确的概率。实验表明:D-S信息融合可降低依靠单个证据检测入侵带来的不确定性,降低误报率和漏报率,同时可以增加检测系统的可扩展性和实时性。(本文来源于《华中科技大学》期刊2009-11-01)
皮建勇,巩明树,刘心松,李泽平[2](2009)在《基于访问控制的主机异常入侵检测模型》一文中研究指出结合访问控制和入侵检测各自的优势,在以访问控制为系统正常访问参考模式的条件下,提出了基于访问控制的主机异常入侵检测模型——ACB IDS。根据系统调用函数间的约束关系构建基于扩展有向无环图(DAG)的系统调用活动关联图,构建活动关联图的偏离函数,用于计算实际系统调用序列与活动关联图的匹配程度,以达到入侵检测的目的。实验结果表明,ACB IDS相对于传统的入侵检测具有较低的漏报率和误报率,并具有较高的运行效率。(本文来源于《计算机应用研究》期刊2009年02期)
陈祥[3](2007)在《基于SVM-RFE的异常入侵检测主机特征选择研究》一文中研究指出异常入侵检测需要提取入侵特征的原始信息,因此特征选择非常重要。本文介绍了26个异常入侵Windows主机特征,以及SVM-RFE特征选择方法,并把SVM-RFE应用于SVM框架下的异常入侵检测系统主机特征选择。通过特征选择实验,得到了26个主机特征的重要性排序,并选出了18个主要特征。(本文来源于《电子测量技术》期刊2007年11期)
周国辉,王勇[4](2005)在《基于Windows 2000的异常入侵检测主机特征研究》一文中研究指出异常检测很重要的一步就是输入数据的提取,本文设计了18项Windows2000环境下的主机特征,并且实现了特征数据提取,可以为异常检测的各种智能方法提供训练数据和实时的检测数据。(本文来源于《网络安全技术与应用》期刊2005年12期)
崔洁,蔡忠闽,孙国基[5](2005)在《一种基于文件访问监控的主机异常入侵检测系统》一文中研究指出本文通过对计算机系统行为的分析,提出了以文件系统作为监控对象,采用改进的PAD算法CSSPAD进行异常检测的思想,设计并实现了基于文件访问监控的主机异常入侵检测系统。通过大量实验证明该系统具有检测率高、误报率低、运行负荷小、具有在线检测能力等特点。(本文来源于《微电子学与计算机》期刊2005年04期)
苏璞睿,李德全,冯登国[6](2003)在《基于基因规划的主机异常入侵检测模型(英文)》一文中研究指出异常检测技术假设所有的入侵行为都会偏离正常行为模式.尝试寻找一种新的异常入侵检测模型改善准确性和效率.模型利用应用程序的系统调用序列,通过基因规划建立了正常行为模式.模型的一个例程管理一个进程.当它发现进程的实际系统调用序列模式偏离正常的行为模式时,会将进程设标记为入侵,并采取应急措施.还给出了基因规划的适应度计算方法以及两个生成下一代的基本算子.通过与现有一些模型的比较,该模型具有更好的准确性和更高的效率.(本文来源于《软件学报》期刊2003年06期)
主机异常入侵检测论文开题报告
(1)论文研究背景及目的
此处内容要求:
首先简单简介论文所研究问题的基本概念和背景,再而简单明了地指出论文所要研究解决的具体问题,并提出你的论文准备的观点或解决方法。
写法范例:
结合访问控制和入侵检测各自的优势,在以访问控制为系统正常访问参考模式的条件下,提出了基于访问控制的主机异常入侵检测模型——ACB IDS。根据系统调用函数间的约束关系构建基于扩展有向无环图(DAG)的系统调用活动关联图,构建活动关联图的偏离函数,用于计算实际系统调用序列与活动关联图的匹配程度,以达到入侵检测的目的。实验结果表明,ACB IDS相对于传统的入侵检测具有较低的漏报率和误报率,并具有较高的运行效率。
(2)本文研究方法
调查法:该方法是有目的、有系统的搜集有关研究对象的具体信息。
观察法:用自己的感官和辅助工具直接观察研究对象从而得到有关信息。
实验法:通过主支变革、控制研究对象来发现与确认事物间的因果关系。
文献研究法:通过调查文献来获得资料,从而全面的、正确的了解掌握研究方法。
实证研究法:依据现有的科学理论和实践的需要提出设计。
定性分析法:对研究对象进行“质”的方面的研究,这个方法需要计算的数据较少。
定量分析法:通过具体的数字,使人们对研究对象的认识进一步精确化。
跨学科研究法:运用多学科的理论、方法和成果从整体上对某一课题进行研究。
功能分析法:这是社会科学用来分析社会现象的一种方法,从某一功能出发研究多个方面的影响。
模拟法:通过创设一个与原型相似的模型来间接研究原型某种特性的一种形容方法。
主机异常入侵检测论文参考文献
[1].高翠霞.主机异常入侵检测方法研究[D].华中科技大学.2009
[2].皮建勇,巩明树,刘心松,李泽平.基于访问控制的主机异常入侵检测模型[J].计算机应用研究.2009
[3].陈祥.基于SVM-RFE的异常入侵检测主机特征选择研究[J].电子测量技术.2007
[4].周国辉,王勇.基于Windows2000的异常入侵检测主机特征研究[J].网络安全技术与应用.2005
[5].崔洁,蔡忠闽,孙国基.一种基于文件访问监控的主机异常入侵检测系统[J].微电子学与计算机.2005
[6].苏璞睿,李德全,冯登国.基于基因规划的主机异常入侵检测模型(英文)[J].软件学报.2003