Software Intrusion Detection Evaluation System: A Cost-Based Evaluation of Intrusion Detection Capability

In this paper, we consider a cost-based extension of intrusion detection capability (CID). An objective metric motivated by information theory is presented and based on this formulation;a package for computing the intrusion detection capability of intrusion detection system (IDS), given certain input parameters is developed using Java. In order to determine the expected cost at each IDS operating point, the decision tree method of analysis is employed, and plots of expected cost and intrusion detection capability against false positive rate were generated. The point of intersection between the maximum intrusion detection capability and the expected cost is selected as the optimal operating point. Considering an IDS in the context of its intrinsic ability to detect intrusions at the least expected cost, findings revealed that the optimal operating point is the most suitable for the given IDS. The cost-based extension is used to select optimal operating point, calculate expected cost, and compare two actual intrusion detectors. The proposed cost-based extension of intrusion detection capability will be very useful to information technology (IT), telecommunication firms, and financial institutions, for making proper decisions in evaluating the suitability of an IDS for a specific operational environment.

基于权能转换模型的攻击场景推理、假设与预测

为了自动地从大量低级的入侵检测告警信息中构建出更高层次的攻击场景,并在一定程度上预测即将发生的攻击,提出了一种基于权能转换模型的实时告警信息相关性分析的方法。通过对推理依据的高度抽象,权能转换模型极大地降低了攻击场景构建过程的复杂度。在DARPA2000测试数据集上的测试实验结果表明,提出的方法是可行的、有效的。

基于信誉度的移动自组网入侵检测分簇算法

针对已有基于路由的分簇算法,不适用于移动自组网入侵检测的特性要求,文中提出了一种基于信誉度的入侵检测分簇算法(CIDS)。该算法从簇结构安全、稳定的角度出发,采用信誉度的概念对网络节点属性进行数学抽象,定义了节点信誉度的数学表达式,选择综合信誉度高的节点收集网络数据、检测网络行为。为移动自组网入侵检测系统提供了稳定、安全的支持。

Linux中的几种安全防护技术

安全操作系统是网络安全的重要研究内容,通过分析Linux内核入侵检测系统(LIDS),验证了Linux操作系统良好的安全性。文章主要分析了LIDS如何保护系统重要文件和进程;怎样利用封装内核的策略限制进程的权限和可装载内核模块(LKM)的启动,最后阐述了怎样利用LIDS阻止恶意代码的攻击。

基于集成学习的入侵检测方法

入侵检测是近年来网络安全研究的热点。利用多分类器技术,研究了基于集成学习的入侵检测方法。应用Bootstrap技术生成分类器个体,为了提高分类器的差异性,应用聚类技术对分类器进行聚类,在相应的聚类结果中选取不同的分类器个体,并选择不同的融合方法对分类结果进行融合。针对入侵检测数据的实验表明了该集成技术的有效性。

油田作业现场近海周界区域入侵检测

为提高油田作业现场安全作业监管效率,保证油田作业现场近海周界区域人员闯入检测的准确性和时效性,针对现有的区域入侵检测方法在检测油田作业现场远距离小目标时效果差,达不到实时的问题,本文提出了一个基于SOLOv2和CenterNet结合的近海区域作业人员入侵检测模型,模型首先采用SOLOv2对作业现场近海区域周界进行分割,并对分割的结果进行识别,再将识别出的近海区域作为危险区域;然后使用CenterNet网络对作业人员进行检测与定位,对作业人员的位置与危险区域的位置进行计算,从而实现近海周界区域入侵检测.实验结果证明,该方法可有效解决作业现场背景复杂,检测准确率要求高,被检测目标小情况下的近海周界区域入侵检测问题,模型的准确率可达94.7%,该模型目前已经成功部署到油田作业现场,运行良好.

入侵检测协作检测模型的分析与评估

目前,入侵检测系统(IDS)存在较高的误报率,这一直是困扰IDS用户的主要问题,而入侵检测系统主要有误用型和异常型两种检测技术,根据这两种检测技术各自的优点,以及它们的互补性,将两种检测技术结合起来的方案越来越多地应用于IDS。通过引入入侵检测能力,从理论上深刻解释了系统协作的必然性,提出了异常检测技术和误用检测技术相结合的IDS模型及其评估方法,降低了单纯使用某种入侵检测技术时产生的误报率,从而提高系统的安全性。

基于优化ELM的信息物理融合系统入侵检测

针对带权正则化极限学习机(WRELM)性能受随机初始值、数据不平衡及离群点影响大的问题,提出基于局部距离的带权正则极限学习机(LDWRELM),提高对不平衡数据集与离群点的抗干扰能力,使用改进的头脑风暴优化算法(MBSO)对LDWRELM的初始权重阈值进行联合优化。MBSO在头脑风暴优化算法(BSO)的基础上对个体更新与变异策略进行改进,在典型函数上验证了该改进对全局寻优能力与收敛速度的提升。构建基于MBSO优化的LDWRELM信息物理融合系统(CPS)入侵检测模型,将仿真结果与其它算法进行比较,验证了MBSO-LDWRELM算法有效提高了准确率,降低了误报率与检测时间。