入侵检测系统数据集评测研究

入侵检测技术已经成为信息安全保障体系的重要组成部分。但是到目前为止,还没有广泛认同的入侵检测系统(IDS)评测标准,用户和研究人员对IDS和新的检测算法的有效性抱有疑问。解决这些问题的关键在于对IDS进行完善的评测。研究者对此提出了多种不同的IDS评测方案,如MIT Lincoln Lab提出的数据集评测和Neohapsis提出的OSEC(Open Security Evaluation Criteria)等。通过对评测结果的分析,能发现现有技术的不足,从而为IDS技术今后的研究提供指导。本文对MIT LL提出的数据集评测方法进行了详细分析,阐述了数据集评测方法中的关键问题,并在MIT LL研究的基础上,提出了相关改进方案,作为进一步的研究。

基于TCP/IP的入侵检测评测技术研究

入侵检测系统的评测是入侵检测研究的一个重要方面。论文研究TCP/IP协议下如何利用协议的脆弱性按层次生成评测数据,在此基础上提出了分段混合评测的入侵检测评测方法。该方法的主要思想是数据混合和评测分段。相对以往的评测方法,由于数据混合,它的评测数据更丰富、更接近现实环境,而且可以自由添加;由于评测分段,简化了评测的实现,对正常网络的干扰很小,能够生成一些特定网络中无法生成的攻击。

用于入侵检测数据集评测的SMTP流量模拟

利用评测数据集对入侵检测系统进行评测是目前可行并且有效的评估手段,数据集包括背景流量和攻击流量两部分。背景流量的设计和模拟非常重要,因为背景流量体现实际网络的特征。提出了一种基于SMTP和POP3日志聚类的建模方法用于入侵检测评测数据集中SMTP流量的模拟,保留了网络和用户的特征,具有较好的扩展性,可以根据评测需要灵活定制SMTP流量。

入侵检测系统评测数据集发展分析

入侵检测系统是网络安全的重要组成部分,入侵检测系统的评测分析能发现技术的不足及为研究提供改进的方向。文章对MIT林肯实验室的评测方法进行了详细的分析,并对基于该数据集的二次处理数据集进行了介绍。指出了MIT林肯实验室数据集的不足,作为进一步研究。