一、基于Agent的入侵检测模型系统MACAID的研究和实现(论文文献综述)
沈焱萍[1](2021)在《基于群智能算法优化的入侵检测模型研究》文中提出网络入侵检测系统通过收集网络流量等信息对网络中的非法行为进行检测。作为网络攻击的积极主动检测手段,入侵检测一直是网络安全领域的重要研究内容。随着网络技术高速发展,网络攻击手段的复杂化,基于大规模网络流量准确识别网络攻击,降低系统误报一直是网络入侵检测系统的研究目标。传统的基于特征的检测方法需要大量领域先验知识,只能对已知攻击进行检测。机器学习方法可以从数据中自动寻找规律模式,逐渐应用于入侵检测之中。然而建立机器学习入侵检测模型面临各种问题,如对于某些模型的构建,个别参数的选取直接影响模型的准确率和泛化能力;特征优化是构建机器学习模型的重要步骤,合适的特征集合既能节约系统资源又能准确表示原始数据;集成学习是机器学习领域的重要研究内容,如何选取合适的基学习器,如何将基学习器有效地组合起来是集成学习面临的重要问题。本文采用群智能方法对机器学习模型进行优化,主要研究基于特征选择、参数优化、集成剪枝及多核学习等技术的入侵检测方案,具体如下:(1)针对特征选择和核极限学习机参数选取问题,提出一种基于粒子群优化算法的核极限学习机入侵检测模型。由于核极限学习机方法具有速度快,泛化性能好的特点,首先采用核极限学习机作为检测引擎,但核极限学习机算法的性能严格依赖于惩罚系数和核参数的选取。然后,选择粒子群优化算法参与核极限学习机的训练进行参数优化,同时采用二进制粒子群优化算法进行特征选择。其中,选用高斯函数作为核极限学习机的核函数。实验结果表明,与网格搜索方法和遗传算法相比,粒子群优化算法对核极限学习机的参数优化效率更高。同时,结果还表明选用约原有特征数目1/4的特征子集有着和原数据集相当甚至更好的检测结果。(2)针对集成框架子分类器选取问题,提出一种基于蝙蝠算法的集成剪枝入侵检测模型。首先,针对大数据时代数据量大,维数高的特点,采用基于随机子空间的投票极限学习机作为入侵检测分类器。投票极限学习机是基于极限学习机的投票集成算法,其性能取决于子分类器的个数,但子分类器的个数并不是越多越好。然后,采用蝙蝠算法选择合适的子分类器进行集成,对于蝙蝠算法的适应函数,采用准确率和子分类器差异度相结合的方式进行定义。基于随机子空间的集成方法不仅可以降低数据维度,还可以增加子分类器间的差异度。实验结果表明,基于随机子空间的投票极限学习机和单个极限学习机相比,算法的精度和鲁棒性得到了提高。研究结果还表明,基于蝙蝠算法的集成剪枝方案和应用所有子分类器相比,不仅可以实现类似或更好的性能,还节省了大量计算资源。(3)针对单个预定义核函数不能较好的表示异构信息问题,提出一种基于超启发算法的多核极限学习机入侵检测模型。首先,采用ReliefF进行特征选择,选用核极限学习机作为入侵检测算法。针对核极限学习机的核函数选取问题,采用高斯核的线性组合方式组成多核函数。寻找最优复合核函数即确定高斯核参数和核权重的过程,采用超启发算法对最优复合核函数进行寻优,包括粒子群优化算法,遗传算法,灰狼优化算法,蝙蝠算法和差分进化算法。超启发算法的适应函数通过独立于检测算法的核目标度量定义。实验结果表明,最优复合核函数可以通过上述提到的任一超启发算法确定。由于将基于过滤的特征选择方法与独立于分类器的多核学习方法相结合,与依赖于分类器的多核优化模型相比,所提模型在节省大量计算开销的同时,具有可比拟的检测性能。综上所述,本文研究的重点是根据现有机器学习模型面临的问题,提出基于群智能方法的入侵检测模型优化方案。实验结果表明,本文提出的入侵检测模型方案能够有效地提高检测性能,具有现实意义。
李波[2](2021)在《基于机器学习的入侵检测防火墙设计与实现》文中研究表明互联网的发展带来了很多便利,人们在享受这些的便利的同时,也在经受着愈发激烈和复杂的网络异常攻击的威胁。传统基于签名的防火墙,采用规则匹配进行入侵检测,对未知威胁和零日漏洞的检测能力不足,单机系统对海量流量和日志的入侵检测也面临处理时间、业务响应和存储空间等方面的瓶颈。因此,本文设计了一种基于机器学习的入侵检测防火墙,部署在Spark平台上进行实现。本文的主要工作如下:(1)针对单个特征选择方法结果局限的问题,设计了一种权重集成特征选择(Weight Ensemble feature selection,WEFS)方法,利用集成学习算法思想,聚合多个特征选择算法,同时给予各个特征选择算法不同的权重进行融合,最终获得选择的特征子集。WEFS有利于进一步提高集成特征选择方法的泛化性能,选择出数据集中最重要的特征,有效的提升入侵检测防火墙的效率和性能。(2)通过对机器学习算法深度自编码高斯混合模型(Deep Autoencoding Gaussian Mixture Model,DAGMM)的原理和优缺点进行分析,针对DAGMM的缺点提出了改进和优化,针对联合变量直接拼接带来的问题对联合变量进行特征加权正则化操作,针对网络结构容易出现梯度消失和降维维度过小的问题,对网络结构进行了调整。通过实验确定了最佳降维向量维度值,获得了改进的深度自编码高斯混合模型(Improved Deep Autoencoding Gaussian Mixture Model,IDAGMM)算法,与原DAGMM算法相比提升了检测性能和准确率。(3)设计一套基于机器学习的入侵检测防火墙,并部署在Spark平台上进行实现。将WEFS结合改进的IDAGMM算法融合为权重集成特征选择深度自编码高斯混合模型(Weight Ensemble feature selection-Deep Autoencoding Gaussian Mixture Model,WEFS-DAGMM)算法作为机器学习入侵检测算法对异常入侵进行检测,增强网络的安全性。本文设计实现的基于WEFS-DAGMM的入侵检测防火墙,通过改进特征选择方法和机器学习算法,并将机器学习算法部署在Spark集群上进行入侵检测。经过实验和系统测试后,证实其具有可用性和准确性并可以有效提升入侵检测的性能。
胡默迪[3](2020)在《基于孤立森林的工控网络入侵防御系统的研究与应用》文中研究指明网络安全作为国际上新兴的“战场”,近些年来越来越多的作为关键词出现在了国际新闻中,例如2020年初的“美伊”冲突中,伊朗宣称收到并抵御住了历史上检测到的最大规模的网络攻击,还有联想大约十年前攻击伊朗核设施的大名鼎鼎的“震网病毒”以及其他层出不穷的网络安全事件和网络监听丑闻,不难发现如今全世界各国已经陆续将网络作为继海陆空和太空之外的又一个主要战场,而在这种日益严峻的安全形势下,互联网突飞猛进的发展又是提高国民生产力不可缺少的重要动力,因而对于网络安全的研究有着十分重要的意义和迫切性。工业控制系统(ICS,Industrial Control Systems)已成为我国现代化生产的重要支柱,其安全问题也是国家网络安全的重要组成部分,因此建立针对于ICS的综合入侵防御系统十分重要。本文针对基于机器学习算法的工控网络入侵防御系统开展了研究,主要工作及贡献如下:(1)针对传统入侵检测中静态规则检测的不够灵活以及专家规则的人力成本过高且时效性较低问题,提出了一种基于机器学习的无监督异常检测算法。在系统截取网络流量或其他行为信息数据后,首先进行简单且高速的预处理,将数据简化为向量形式,根据向量具体数据,构建出不同的树,并由这些树构成森林,根据树每个数据在树中的具体位置,经过计算得到数据的异常分数,最后根据这个异常分数判断数据是否为异常数据。由于提出的无监督机器学习算法训练不需要进行预先的数据打标处理,算法同时也适用于难以进行数据收集分类的实际ICS系统应用场景。(2)针对工业控制系统的环境特点将孤立森林算法模型改进为流模型,可以应对无限的流量同时将检测结果实时返回。改进后的算法模型是基于决策树的森林模型,在完成了初步的模型建立之后,可以将数据流引入一个缓冲区。当缓冲区中的数据满足一定条件后,采取修改树结构的方式对整个森林进行更新;在更新操作结束后,还会对过于臃肿以及检测结果偏差相对较大的部分树进行丢弃处理,同时会用最新的数据重新构建相同数量的树,保证森林中的树数量恒定。(3)设计并实现了一个入侵防御系统结构。整个入侵防御系统采用C/S模式,一个服务端可以同时监控多个客户端的安全状况。客户端agent进程主要负责对数据的采集和对异常行为的阻断或者其他处理操作,采集的数据包括宿主机的网络流量信息和部分进程行为信息。服务端会根据传回的数据进行客户端宿主机安全状况的分析,首先根据静态规则判断进行初步的判断,如果判断结果正常则将数据输入机器学习部分,进行进一步的检测分析。所有从客户端传回的数据都会被存入Elasticsearch进行备份存储,而入侵防御系统相关的数据则会被存放在Mongo数据库中。此外,入侵系统还提供一个网页管理界面系统,提供对系统整体的管理和控制功能以及对数据的可视化展示。本文设计并实现的入侵防御系统同时也是与国家某机构的合作项目中的研究成果,并已经进行了试用部署,为提升国家电网的安全防御水平起到了一定的作用。
李鹏磊[4](2009)在《基于免疫Agent分布式入侵检测模型研究》文中研究说明随着网络的飞速发展,需要应对的网络安全问题也越来越多。诸如数字签名、访问控制、防火墙之类的传统网络安全技术己不能很好地满足目前网络安全的需求。网络安全问题正逐渐成为Internet及各项网络服务和应用进一步发展所需解决的关键问题。入侵检测是近几年来出现的新型网络安全技术。它有效弥补了传统网络安全技术的不足,为网络安全提供了实时的入侵检测和相应的防护手段。本文提出一种基于免疫Agent的分布式入侵检测模型,利用Agent收集各种类型的数据,并借助现代免疫学理论和Agent技术,构造出一个新型的入侵检测模型。组成该系统的Agent在网络的各个节点间流动,实时监测网络状况,同时Agent能够互相识别各自的行为并能根据潜在的策略采取适当的反应。首先,本文介绍了入侵检测技术的发展与现状,并对基于移动代理技术和基于免疫机制的入侵检测系统的研究进行了分析,明确了研究的主要任务。其次本文重点分析了移动代理技术和免疫原理技术在入侵检测技术中的可用特性以及给我们的研究启示,在此基础上提出了基于免疫Agent的入侵检测模型,并进行了详细的模型整体设计,其中包括各模块的功能、各组件的内部结构、工作流程、算法以及各组件间的相互通信防作等,详细阐述了如何将网络数据表示为免疫系统中的抗原,如何产生免疫Agent抗体来检测抗原,如何进行Agent之间的交流以实现分布式的检测,如何对入侵行为作出响应等方面。基于以上的设计方案,本文对模型的检测模块做了仿真实验。随后,系统健壮性和容错性进行了测试,并且对攻击的检测结果与一些典型的入侵检测模型进行了比较,从定性和定量两个方面对模型做了分析。
李永忠,徐静,罗军生,孙彦[5](2008)在《基于免疫Agent的网络入侵检测系统》文中指出结合计算机免疫学原理和多Agent技术构建了一个网络化、分布式、智能化的入侵检测系统,该系统融合了两者的优势,同时继承了多Agent系统和免疫系统的优点。其特点是能同时进行多层次的监测和不同级别的响应。系统是完全分布式结构,监视Agent生成后在网络上漫游,各个Agent分布在网络的各个结点上,单个结点受到攻击不会影响其他结点的检测能力,避免了单点失效问题。将疫苗概念引入系统,使得各个Agent可以实现互相学习,增强了整个网络的耐受性、"记忆"机制及新抗体生成机制的能力,提高了系统的适应性,不仅能检测到已知的攻击,而且还能检测到未知的攻击。
李昕[6](2006)在《基于免疫Agent的入侵检测模型研究》文中提出网络安全问题的日益突出对入侵检测技术提出了更高的要求,然而现有入侵检测技术面对攻击技术的飞速变化仍然存在一定缺陷,入侵检测系统在很多地方还有待改进,如分布式、灵活性、效率等方面,需要探索新的技术来提高入侵检测系统的整体性能。本文首先介绍了入侵检测技术的发展与现状,并对基于移动代理技术和基于免疫机制的入侵检测系统的研究进行了综合分析,明确了研究的主要任务。其次本文重点分析了移动代理技术和免疫原理技术在入侵检测技术中的可用特性以及给我们的研究启示,在此基础上提出了基于免疫Agent的入侵检测模型,并进行了详细的模型整体设计,其中包括各模块的功能、各组件的内部结构、工作流程、算法以及各组件间的相互通信协作等,详细阐述了如何将网络数据表示为免疫系统中的抗原,如何产生免疫Agent抗体来检测抗原,如何进行Agent之间的交流以实现分布式的检测,如何对入侵行为作出响应等方面。基于以上的设计方案,本文对模型的检测模块做了仿真实验。随后,对系统健壮性和容错性进行了测试,并且对攻击的检测结果与一些典型的入侵检测模型进行了比较,从定性和定量两个方面对模型系统做了分析。证明了该系统可以有效的提高系统的实时检测和入侵响应的能力,并具有较好的健壮性、容错性和自适应性。
于雪丽[7](2005)在《分布式IDS报警数据融合模型的研究与实现》文中研究表明入侵检测作为一种能够自动、实时地保障网络信息安全的动态安全机制,已经越来越受到人们的重视。本文首先分析了目前入侵检测系统(IDS)的不足之处,如报警量大且冗余数据多,误警率高,没有自动分析的功能等。多传感器数据融合技术为解决上述问题提供了一条重要的技术途径。它通过分析和处理多个异构分布式传感器的数据和信息,来评估整个网络环境的安全态势。本文对各种入侵检测数据融合技术进行了综述。通过对各种技术的分析比较,提出了分布式IDS报警数据融合模型。该模型将IDS结构设计为树型层次分布式结构,并采用了以下三个关键技术来实现报警数据的融合:(1)报警信息的预处理过程:根据攻击特征归并重复报警,提取参与攻击的特征向量;(2)基于地址关联图的关联算法:通过对报警数据的关联,分析攻击路径和攻击意图;(3)网络安全态势评估算法:通过计算一段时间内发生的攻击类型、攻击目标、攻击源以及整个监测网络的攻击能量,将评估对象划分为“告知”、“预警”、“报警”、“紧急”四个安全等级。实验结果表明,分布式IDS报警数据融合模型够有效的压缩告警冗余信息,降低误警率,准确地描述攻击路径和目标,直观地反映网络安全态势,同时增加IDS的可扩展性。本文作者完成了分布式IDS报警数据融合模型的原型系统的设计和实现。在论文的最后,介绍了该系统的功能结构、关键技术以及数据格式。
刘思培[8](2006)在《基于移动代理的分布式入侵检测系统的设计与实现》文中研究指明本文首先分析了网络安全的发展现状及所面临的一系列的安全问题,指出了现在已有的入侵检测技术的局限性,阐述了入侵检测技术的发展历史和研究现状。深入研究了基于MA(移动代理Mobile Agent)的入侵检测技术,提出了一种面向分布式的基于移动Agent协作机制的混合型层次入侵检测系统模型。模型采用Jpcap包抓取网络数据包,提出了一种基于分类的模式匹配算法,基于移动Agent协作综合运用多种检测技术,完成安全入侵检测的功能。模型能够减轻网络的负荷,降低检测的漏报率、误报率,增强系统的可扩展性,对研究基于移动Agent技术的入侵检测系统具有一定的指导作用。同时,结合协议分析技术和模式匹配技术,提出了一种基于分类的模式匹配算法;结合移动代理和协作技术提出了一种移动代理协作机制;把软件保护思想和数据安全传输技术应用在移动代理的安全和入侵检测系统上的安全,保证了系统的安全性。在Windows环境下充分比较各种代理运行平台,选用IBM的Aglet作为实现的平台。利用JAVA实现了数据采集Agent和入侵检测Agent,实现了基于分类的模式匹配算法。
胡伟[9](2004)在《基于智能Agent的入侵检测系统的研究和实现》文中研究指明网络入侵检测作为现代动态安全防御体系的核心部件,属于主动防御技术,它有效地弥补了传统静态安全手段的不足。本论文研究的课题是基于这样的前提:数字社区是人类社会的一个数字化映射,MAS技术作为迄今最为成功的社会运作模拟工具,运用此技术框架的安全防御体系具有更合适的安全防御的潜力。 基于智能Agent的入侵检测系统研究的目的,是通过运用MAS技术搭建一个通用的伸缩性好、灵活的软件框架,使网络安全领域的研发人员能快速地开发适合企业应用环境的解决方案:为入侵检测技术研究人员提供一个易于使用和理解的研发和试验平台。 本文首先综述了当前入侵检测技术的状况,指出了现有入侵检测系统的不足,分析了以入侵检测技术为核心的安全防御体系实现中的困难所在,并提出了解决思路。 本文的主要贡献有:(1)综合对多Agent开发流程的分析,设计了一种基于智能Agent的入侵检测系统框架,从软件体系上解决了分布式入侵检测所面临的问题,为实现一个动态安全防御体系打下基础。 (2)在这个框架中,本文首先提出了一个层次化协作模型,解决了入侵检测系统部件组织和联动问题:然后提出了一个入侵检测通用数据处理模型,从信息处理角度划分了对入侵的不同层次的抽象、表达和处理手段。 (3)本文针对企业级网络的特点,运用多Agent系统方法设计了框架中的各种软件基础设施、通信协议和协作原语、应用Agent结构等。 (4)本文基于上述框架,设计并实现了一个原型系统AIAD-IDS,包括裁减后的基本服务的实现、针对高速交换网的网络数据采集探头的实现、AIAD-IDS中Agent之间交互消息的设计、AIAD-IDS中各类Agent的实现等,并给出所编制软件的功能和性能的测试结果。
肖书成[10](2004)在《基于移动代理的入侵检测系统的研究与实现》文中提出网络安全技术包括防火墙、数据加密、数据认证、VPNs智能卡、IDSs、访问控制等,这当中防火墙技术被使用最为广泛,它能使用访问控制机制阻止非授权访问,但是防火墙不能防止合法用户的权利滥用和网络内部的相互的非授权访问。而入侵检测系统可以对重要数据、资源或网络进行保护,通过合理的布置,可以检测内部和外部网络的攻击。由于IDS可以检测入侵,记录入侵痕迹,因此对入侵者具有一定的威慑力,所以在某种意义上讲,这种技术是一种主动的网络安全技术。现在,IDS从系统的体系来看,已经向分布式发展;从检测的算法上来讲,已经有数据挖掘等高级算法进行研究;从使用的原理上来看,基于生物免疫的研究也比较多;本论文是将移动代理技术应用于入侵检测,以期达到提高入侵检测的性能和扩大它的功能的作用。本文就是研究移动Agent技术在入侵检测中的优势和特点,并提出一个松耦合层次结构的移动代理的入侵检测模型,该模型采用冗余和心跳技术避免单点实效,同时利用健康向量来发挥系统的自主性。在模型通讯机制的设计上,采用层次性的双中心通信模型和3层通讯机制,保证了系统的安全性和减少了数据传输量。最后通过实验验证了本模型的有效性、自主性和移动性,从而证明了本论文提出的模型的技术优势弥补了传统入侵检测系统在自主性和入侵响应方面的不足。
二、基于Agent的入侵检测模型系统MACAID的研究和实现(论文开题报告)
(1)论文研究背景及目的
此处内容要求:
首先简单简介论文所研究问题的基本概念和背景,再而简单明了地指出论文所要研究解决的具体问题,并提出你的论文准备的观点或解决方法。
写法范例:
本文主要提出一款精简64位RISC处理器存储管理单元结构并详细分析其设计过程。在该MMU结构中,TLB采用叁个分离的TLB,TLB采用基于内容查找的相联存储器并行查找,支持粗粒度为64KB和细粒度为4KB两种页面大小,采用多级分层页表结构映射地址空间,并详细论述了四级页表转换过程,TLB结构组织等。该MMU结构将作为该处理器存储系统实现的一个重要组成部分。
(2)本文研究方法
调查法:该方法是有目的、有系统的搜集有关研究对象的具体信息。
观察法:用自己的感官和辅助工具直接观察研究对象从而得到有关信息。
实验法:通过主支变革、控制研究对象来发现与确认事物间的因果关系。
文献研究法:通过调查文献来获得资料,从而全面的、正确的了解掌握研究方法。
实证研究法:依据现有的科学理论和实践的需要提出设计。
定性分析法:对研究对象进行“质”的方面的研究,这个方法需要计算的数据较少。
定量分析法:通过具体的数字,使人们对研究对象的认识进一步精确化。
跨学科研究法:运用多学科的理论、方法和成果从整体上对某一课题进行研究。
功能分析法:这是社会科学用来分析社会现象的一种方法,从某一功能出发研究多个方面的影响。
模拟法:通过创设一个与原型相似的模型来间接研究原型某种特性的一种形容方法。
三、基于Agent的入侵检测模型系统MACAID的研究和实现(论文提纲范文)
(1)基于群智能算法优化的入侵检测模型研究(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 第一章 绪论 |
| 1.1 研究背景及意义 |
| 1.2 入侵检测概述 |
| 1.3 国内外研究现状 |
| 1.3.1 典型入侵检测方法 |
| 1.3.2 基于群智能的入侵检测研究方案 |
| 1.4 本文研究思路和工作创新 |
| 1.4.1 本文研究思路 |
| 1.4.2 工作创新 |
| 1.5 论文的组织结构 |
| 1.6 本章小结 |
| 第二章 相关背景知识 |
| 2.1 超启发式算法 |
| 2.1.1 粒子群优化算法 |
| 2.1.2 蝙蝠算法 |
| 2.1.3 灰狼优化算法 |
| 2.1.4 差分进化算法 |
| 2.2 无免费午餐定理 |
| 2.3 核极限学习机的演进 |
| 2.3.1 单隐层前馈神经网络 |
| 2.3.2 极限学习机 |
| 2.3.3 核极限学习机 |
| 2.4 本章小结 |
| 第三章 基于PSO的核极限学习机入侵检测模型 |
| 3.1 引言 |
| 3.2 基于PSO的核极限学习机建模过程 |
| 3.3 参数优化和特征选择技术 |
| 3.3.1 基于网格搜索的参数优化 |
| 3.3.2 基于遗传算法的参数优化和特征选择 |
| 3.4 仿真实验与结果分析 |
| 3.4.1 数据集及实验环境 |
| 3.4.2 评价指标 |
| 3.4.3 参数对核极限学习机分类器的影响 |
| 3.4.4 适应函数中权重系数选取 |
| 3.4.5 实验结果分析 |
| 3.5 本章小结 |
| 第四章 基于BA的集成剪枝入侵检测模型 |
| 4.1 引言 |
| 4.2 投票极限学习机集成方案 |
| 4.2.1 随机子空间 |
| 4.2.2 基于随机子空间的投票极限学习机集成方法 |
| 4.3 基于BA的集成剪枝过程 |
| 4.3.1 集成学习方法中的多样性度量 |
| 4.3.2 集成剪枝过程 |
| 4.3.3 复杂度分析 |
| 4.4 仿真实验与结果分析 |
| 4.4.1 评价指标 |
| 4.4.2 确定隐藏层节点个数和随机子空间维数 |
| 4.4.3 基本ELM、VELM和Pruning VELM技术比较 |
| 4.4.4 讨论 |
| 4.5 本章小结 |
| 第五章 基于超启发算法的多核极限学习机入侵检测模型 |
| 5.1 引言 |
| 5.2 ReliefF技术 |
| 5.3 基于超启发算法的多核极限学习机模型 |
| 5.3.1 多核极限学习机建模过程 |
| 5.3.2 复杂度分析 |
| 5.4 仿真实验与结果分析 |
| 5.4.1 实验描述 |
| 5.4.2 评价指标 |
| 5.4.3 实验结果及分析 |
| 5.5 本章小结 |
| 第六章 工作总结与展望 |
| 6.1 工作总结 |
| 6.2 未来工作展望 |
| 参考文献 |
| 致谢 |
| 攻读博士学位期间的成果 |
| 攻读博士学位期间参与的科研项目 |
(2)基于机器学习的入侵检测防火墙设计与实现(论文提纲范文)
| 摘要 |
| abstract |
| 第一章 绪论 |
| 1.1 研究工作的背景与意义 |
| 1.2 国内外研究与发展现状 |
| 1.2.1 传统的入侵检测 |
| 1.2.2 基于机器学习的入侵检测 |
| 1.2.3 分布式入侵检测 |
| 1.2.4 特征选择研究 |
| 1.3 论文的主要工作 |
| 1.4 论文的组织结构安排 |
| 第二章 入侵检测防火墙总体设计 |
| 2.1 系统相关基础研究 |
| 2.1.1 入侵检测系统介绍 |
| 2.1.2 机器学习入侵检测算法介绍 |
| 2.1.3 系统分布式技术研究 |
| 2.1.4 入侵检测数据集 |
| 2.2 系统整体架构设计 |
| 2.2.1 系统需求分析 |
| 2.2.2 系统物理层面架构 |
| 2.2.3 系统数据层面架构 |
| 2.2.4 系统硬件配置 |
| 2.3 系统整体流程分析 |
| 2.4 本章小结 |
| 第三章 基于权重的集成特征选择方法 |
| 3.1 基于权重的集成特征选择方法 |
| 3.1.1 权重集成特征选择框架 |
| 3.1.2 算法介绍 |
| 3.1.3 算法证明 |
| 3.2 特征选择算法分析 |
| 3.2.1 特征选择方法研究 |
| 3.2.2 相似性度量 |
| 3.2.3 准确性度量 |
| 3.3 实验与结果分析 |
| 3.3.1 实验环境 |
| 3.3.2 训练策略 |
| 3.3.3 数据预处理 |
| 3.3.4 结果分析 |
| 3.3.5 WEFS对比实验 |
| 3.4 本章小结 |
| 第四章 基于DAGMM入侵检测算法的研究 |
| 4.1 DAGMM算法研究 |
| 4.1.1 压缩网络 |
| 4.1.2 估计网络 |
| 4.1.3 目标函数 |
| 4.2 DAGMM算法的改进与优化 |
| 4.2.1 DAGMM算法分析 |
| 4.2.2 联合特征加权正则化改进 |
| 4.2.3 网络结构改进 |
| 4.2.4 自适应采样 |
| 4.3 入侵检测模型实验与结果分析 |
| 4.3.1 实验环境 |
| 4.3.2 训练策略 |
| 4.3.3 评估指标 |
| 4.3.4 结果分析 |
| 4.3.5 不同算法对比 |
| 4.3.6 改进前后对比 |
| 4.4 本章小结 |
| 第五章 基于WEFS-DAGMM的入侵检测防火墙实现 |
| 5.1 入侵检测防火墙系统实现 |
| 5.1.1 基于Pcap的数据采集实现 |
| 5.1.2 基于WEFS的特征选择 |
| 5.1.3 基于IDAGMM的异常检测实现 |
| 5.1.4 数据存储策略 |
| 5.1.5 系统可视化输出 |
| 5.2 入侵检测防火墙部署配置与测试 |
| 5.2.1 系统部署集群环境 |
| 5.2.2 入侵检测防火墙功能测试 |
| 5.3 本章小结 |
| 第六章 总结与展望 |
| 6.1 论文总结 |
| 6.2 研究展望 |
| 致谢 |
| 参考文献 |
| 附录 |
| 攻读硕士学位期间取得的成果 |
(3)基于孤立森林的工控网络入侵防御系统的研究与应用(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 第一章 绪论 |
| 1.1 研究背景 |
| 1.2 国内外研究现状 |
| 1.3 研究内容 |
| 1.4 论文组织 |
| 第二章 相关理论和技术 |
| 2.1 传统入侵检测技术 |
| 2.2 传统入侵防御技术 |
| 2.3 基于机器学习的入侵检测技术 |
| 2.4 本章小结 |
| 第三章 基于孤立森林的入侵检测模型设计 |
| 3.1 工业控制系统网络特征 |
| 3.2 入侵检测模型设计 |
| 3.2.1 孤立森林算法基本原理 |
| 3.2.2 改进算法的模型构建与检测 |
| 3.2.3 流模型更新 |
| 3.3 入侵检测模型的实验评估 |
| 3.3.1 评价标准 |
| 3.3.2 测试数据集 |
| 3.3.3 实验结果与分析 |
| 3.4 本章小结 |
| 第四章 基于改进孤立森林的入侵防御系统设计与应用 |
| 4.1 入侵防御系统的需求分析 |
| 4.1.1 入侵防御系统的需求背景 |
| 4.1.2 入侵防御系统的安全需求 |
| 4.2 入侵防御系统的架构设计 |
| 4.2.1 入侵防御系统功能设计 |
| 4.2.2 入侵防御系统架构设计 |
| 4.2.3 入侵防御系统数据采集与风险评估 |
| 4.3 入侵防御系统核心模块的设计与应用 |
| 4.3.1 客户端Agent模块 |
| 4.3.2 客户端Daemon模块 |
| 4.3.3 服务端Server模块 |
| 4.3.4 机器学习分析模块 |
| 4.3.5 服务管理模块 |
| 4.4 本章小结 |
| 第五章 总结与展望 |
| 5.1 全文总结 |
| 5.2 未来展望 |
| 参考文献 |
| 致谢 |
| 攻读学位期间发表的学术论文及其他成果 |
(4)基于免疫Agent分布式入侵检测模型研究(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 第1章 绪论 |
| 1.1 课题背景 |
| 1.2 入侵检测的定义 |
| 1.3 入侵检测系统的标准化 |
| 1.4 入侵检测系统存在的问题和发展趋势 |
| 1.4.1 入侵检测系统存在的问题 |
| 1.4.2 入侵检测系统的发展趋势 |
| 1.5 论文的主要研究内容 |
| 第2章 AGENT 技术在IDS 中的应用 |
| 2.1 移动AGENT 的相关特点 |
| 2.1.1 移动Agent 的性质 |
| 2.2 移动AGENT 在入侵检测中的应用 |
| 2.2.1 移动Agent 特点 |
| 2.2.2 基于移动Agent 技术在入侵检测系统中的应用实例 |
| 2.3 移动AGENT 在入侵检测的可用特性 |
| 2.4 移动AGENT 技术用于入侵检测的研究展望 |
| 2.5 设计免疫AGENT 分布式IDS 的特点 |
| 2.6 本章小结 |
| 第3章 免疫检测器的设计 |
| 3.1 生物免疫系统概述 |
| 3.1.1 生物免疫系统概念 |
| 3.1.2 生物免疫系统的性质 |
| 3.2 检测器的定义与分类 |
| 3.3 相关算法研究 |
| 3.3.1 否定选择算法(NSA) |
| 3.3.2 R-邻域匹配函数(RCMF) |
| 3.4 基于免疫的克隆选择 |
| 3.5 检测器的生成方式 |
| 3.6 本章小结 |
| 第4章 免疫AGENT 入侵检测模型的设计 |
| 4.1 模型的设计思想 |
| 4.2 系统的体系结构 |
| 4.2.1 免疫Agent 内部结构图 |
| 4.2.2 系统的模块结构 |
| 4.3 检测模块 |
| 4.3.1 监视Agent |
| 4.3.2 抗体分析基因库 |
| 4.3.3 决策Agent |
| 4.4 信息处理模块 |
| 4.4.1 信息处理模块功能 |
| 4.4.2 系统信息处理模型分析 |
| 4.5 响应模块 |
| 4.5.1 响应模块的功能及分类 |
| 4.5.2 用户权限分类 |
| 4.5.3 系统的响应方式 |
| 4.6 管理模块 |
| 4.6.1 管理模块的主要功能 |
| 4.7 本章小结 |
| 第5章 模型的实现与性能分析 |
| 5.1 开发平台选择 |
| 5.2 AGENT 中各类的层次结构 |
| 5.3 检测模块的实现 |
| 5.3.1 数据包采集 |
| 5.3.2 算法的实现 |
| 5.3.3 决策Agent 设计 |
| 5.4 响应模块的实现 |
| 5.4.1 Agent 平台的建立 |
| 5.4.2 响应模块的设计 |
| 5.4.3 响应代理的设计 |
| 5.5 实验的具体操作 |
| 5.6 模型测试及性能分析 |
| 5.6.1 系统的健壮性和容错性测试 |
| 5.6.2 可扩展性测试 |
| 5.6.3 对典型攻击的入侵识别率检测测试 |
| 5.6.4 可扩展性测试 |
| 5.6.5 响应模块响应时间测试 |
| 5.7 本章小结 |
| 结论 |
| 参考文献 |
| 攻读学位期间发表的学术论文 |
| 致谢 |
(5)基于免疫Agent的网络入侵检测系统(论文提纲范文)
| 1 引言 |
| 2 Agent 技术与网络入侵检测模型 |
| 3 免疫学原理 |
| (1) 都具有学习能力。 |
| (2) 都有自适应性。 |
| (3) 系统中的实体都具协作性和社会性。 |
| 4 基于免疫Agent的分布式网络入侵检测模型 |
| 4.1 免疫Agent |
| 4.2 免疫Multi-Agent入侵检测模型 |
| 4.3 工作原理 |
| (1) 免疫Agent工作原理: |
| (2) 监视层Agent: |
| (3) 通信层Agent: |
| (4) 决策/控制Agent: |
| (5) 防御/行动Agent: |
(6)基于免疫Agent的入侵检测模型研究(论文提纲范文)
| 第1章 绪论 |
| 1.1 课题研究背景 |
| 1.2 入侵检测技术研究的现状与发展 |
| 1.2.1 基于移动代理技术的入侵检测系统的研究 |
| 1.2.2 有关免疫机制的入侵检测模型的研究 |
| 1.2.3 入侵检测系统的发展趋势 |
| 1.3 本文研究的主要内容 |
| 第2章 入侵检测与智能入侵检测技术 |
| 2.1 引言 |
| 2.2 入侵检测技术总述 |
| 2.2.1 入侵检测的概念 |
| 2.2.2 入侵检测的分类 |
| 2.2.3 入侵检测系统的标准化 |
| 2.3 移动代理技术 |
| 2.3.1 移动Agent 的系统结构 |
| 2.3.2 移动代理在入侵检测中可用特性 |
| 2.3.3 移动代理技术用于入侵检测的研究展望 |
| 2.4 免疫原理 |
| 2.4.1 生物免疫系统 |
| 2.4.2 免疫原理 |
| 2.4.3 免疫原理在入侵检测系统中的应用 |
| 2.5 本章小结 |
| 第3章 免疫AGENT 入侵检测模型总体设计 |
| 3.1 引言 |
| 3.2 模型的设计思想 |
| 3.3 系统的结构框架 |
| 3.3.1 系统的模块结构 |
| 3.3.2 系统的体系结构 |
| 3.4 检测模块 |
| 3.4.1 监控Agent |
| 3.4.2 抗体分析基因库 |
| 3.4.3 决策Agent |
| 3.4.4 抗体集 |
| 3.5 通信模块 |
| 3.5.1 系统的通信模型 |
| 3.6 响应模块 |
| 3.6.1 用户权限分类 |
| 3.6.2 系统的响应方式 |
| 3.7 本章小结 |
| 第4章 模型的实现与性能分析 |
| 4.1 引言 |
| 4.2 检测模块实现 |
| 4.2.1 数据包采集 |
| 4.2.2 算法的实现 |
| 4.2.3 决策Agent 的实现 |
| 4.3 响应模块的实现 |
| 4.3.1 Agent 平台的建立 |
| 4.3.2 响应代理的设计 |
| 4.4 系统试验及性能分析 |
| 4.4.1 实验的具体操作 |
| 4.4.2 系统的性能测试分析 |
| 4.5 本章小结 |
| 结论 |
| 参考文献 |
| 攻读学位期间发表的学术论文 |
| 致谢 |
(7)分布式IDS报警数据融合模型的研究与实现(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 主要符号对照表 |
| 第1章 引言 |
| 1.1 课题背景及意义 |
| 1.2 课题来源及目标 |
| 1.3 论文主要研究工作及创新 |
| 1.4 论文组织 |
| 第2章 入侵检测及数据融合相关技术综述 |
| 2.1 入侵检测概述 |
| 2.2 数据融合概述 |
| 2.3 基于IDS 数据融合系统结构 |
| 2.4 基于IDS 的数据融合技术 |
| 2.5 小结 |
| 第3章 分布式IDS 报警数据融合模型 |
| 3.1 分布式IDS 报警数据融合的目标 |
| 3.2 IDS 系统结构 |
| 3.3 融合模型 |
| 3.4 关键技术 |
| 3.5 小结 |
| 第4章 报警关联与态势评估算法 |
| 4.1 基于地址关联图的报警关联算法 |
| 4.2 网络安全态势评估算法 |
| 4.3 小结 |
| 第5章 融合模型的系统实现 |
| 5.1 域内融合的实现 |
| 5.2 域间融合的实现 |
| 5.3 数据对象分类及格式 |
| 5.4 其他关键过程 |
| 5.5 开发及运行环境 |
| 5.6 小结 |
| 第6章 融合模型的性能评估 |
| 6.1 实验环境 |
| 6.2 评估结果及分析 |
| 6.3 小结 |
| 第7章 总结 |
| 7.1 总结 |
| 7.2 下一步工作 |
| 参考文献 |
| 致谢 |
| 个人简历、在学期间发表的学术论文与研究成果 |
| 附件 |
(8)基于移动代理的分布式入侵检测系统的设计与实现(论文提纲范文)
| 第一章 绪论 |
| 1.1 引言 |
| 1.2 研究现状 |
| 1.3 论文选题意义 |
| 1.4 本文主要内容 |
| 第二章 入侵检测和移动代理技术概述 |
| 2.1 入侵检测相关知识 |
| 2.1.1 入侵 |
| 2.1.2 入侵检测 |
| 2.2 入侵检测技术 |
| 2.2.1 误用检测技术 |
| 2.2.2 异常检测技术 |
| 2.2.3 发展趋势 |
| 2.3 代理和移动代理 |
| 2.3.1 代理(Agent) |
| 2.3.2 移动代理(Mobile Agent) |
| 2.3.3 移动Agent 的几个关键问题 |
| 2.3.4 代理技术在入侵检测系统中的应用的优势 |
| 2.3.5 移动Agent 开发相关标准和技术 |
| 2.4 入侵检测和移动代理 |
| 第三章 基于MA 协作的层次分布式的入侵检测模型 |
| 3.1 IDS 的结构类型 |
| 3.1.1 传统的集中式结构IDS 的缺陷 |
| 3.1.2 分布式IDS 系统 |
| 3.2 基于AGENT 的入侵检测模型 |
| 3.2.1 入侵检测自治代理(AFFID) |
| 3.2.2 EMERALD |
| 3.2.3 基于多Agent 的入侵检测协同模型 |
| 3.2.4 小结 |
| 3.3 基于移动代理协作的层次入侵检测模型(MABDIDS) |
| 3.3.1 系统设计目标 |
| 3.3.2 系统模型设计 |
| 3.3.3 主要部件介绍 |
| 3.3.4 模型的工作机理 |
| 3.3.5 本模型的优缺点分析 |
| 第四章 关键技术的改进和分析 |
| 4.1 基于移动代理协作机制 |
| 4.1.1 协作技术发生的环境 |
| 4.1.2 Agent 之间的协作模式 |
| 4.1.3 Agent 协作的模型 |
| 4.2 基于分类的模式匹配算法 |
| 4.2.1 分类模式匹配介绍 |
| 4.2.2 分类模式匹配算法 |
| 4.3 模型的安全性分析 |
| 4.3.1 存在的安全问题 |
| 4.3.2 改进的安全机制 |
| 第五章 系统设计与实现 |
| 5.1 开发环境以及相关技术介绍 |
| 5.2 移动代理平台 |
| 5.3 数据采集代理的实现 |
| 5.3.1 基于主机的数据源 |
| 5.3.2 基于网络的数据源 |
| 5.4 检测代理的实现 |
| 5.5 代理协作机制的实现 |
| 5.6 守护检测代理 |
| 5.7 控制与分析系统的实现 |
| 5.8 移动代理库的实现 |
| 第六章 结束语 |
| 6.1 本文的总结 |
| 6.2 下一步的工作展望 |
| 参考文献 |
| 摘要 |
| ABSTRACT |
| 致谢 |
| 导师及作者简介 |
(9)基于智能Agent的入侵检测系统的研究和实现(论文提纲范文)
| 摘要 |
| Abstract |
| 1 引言 |
| 1.1 课题背景 |
| 1.2 相关研究现状 |
| 1.3 课题意义及研究内容 |
| 1.4 论文组织 |
| 2 入侵检测系统与安全防御体系 |
| 2.1 入侵检测 |
| 2.1.1 基本概念 |
| 2.1.2 IDS技术组成分析 |
| 2.2 动态安全防御体系 |
| 2.2.1 网络动态安全轮模型 |
| 2.2.2 动态安全防御体系 |
| 2.3 小结 |
| 3 MAS在分布式入侵检测系统中的应用 |
| 3.1 MAS基础及其开发过程 |
| 3.1.1 MAS应用基础 |
| 3.1.2 MAS开发过程分析 |
| 3.2 MAS应用于IDS的解决思路 |
| 3.3 小结 |
| 4 基于Agent的入侵检测系统软件框架设计 |
| 4.1 总体设计任务 |
| 4.2 层次化协作框架模型 |
| 4.2.1 分布级别 |
| 4.2.2 层化化组织模型 |
| 4.2.3 入侵检测知识的层次分析和实现 |
| 4.2.4 入侵检测协作分类和实现 |
| 4.3 通用数据处理模型 |
| 4.4 整体框架设计 |
| 4.4.1 基础设施组成 |
| 4.4.2 Agent分类及其结构设计 |
| 4.4.3 通信模型与协作语言设计 |
| 4.4.4 基本服务设计 |
| 5 AIAD-IDS原型设计 |
| 5.1 原型概要 |
| 5.2 交互消息设计 |
| 5.2.1 交互消息内容 |
| 5.2.2 交互消息流 |
| 5.3 MAA设计 |
| 5.3.1 功能需求 |
| 5.3.2 功能类设计 |
| 5.3.3 数据结构设计 |
| 5.4 Sensor设计 |
| 5.4.1 功能需求 |
| 5.4.2 结构设计 |
| 5.5 Console设计 |
| 5.5.1 功能需求 |
| 5.5.2 结构设计 |
| 6 AIAD-IDS基本服务实现 |
| 6.1 消息/事件服务 |
| 6.1.1 实时安全事件订阅 |
| 6.1.2 P-S Service实现 |
| 6.2 心跳服务 |
| 6.2.1 以跳信号 |
| 6.2.2 MAA端的心跳服务设计和实现 |
| 6.2.3 成员端的心跳服务设计和实现 |
| 7 AIAD-IDS的实现和测试结果 |
| 7.1 高速交换以太网数据帧捕获探头 |
| 7.1.1 功能需求和性能指标 |
| 7.1.2 HS-Sniffer软硬件设计 |
| 7.1.3 HS-Sniffer软件实现 |
| 7.1.4 HS-Sniffer软件测试结果 |
| 7.2 Sensor、MAA、Console实现 |
| 7.2.1 Sensor实现 |
| 7.2.2 MAA实现 |
| 7.2.3 Console实现 |
| 7.3 原型测试 |
| 7.3.1 测试环境 |
| 7.3.2 测试结果和评价 |
| 8 结束语 |
| 8.1 总结 |
| 8.2 进一步工作 |
| 参考文献 |
(10)基于移动代理的入侵检测系统的研究与实现(论文提纲范文)
| 中文摘要 |
| 英文摘要 |
| 目录 |
| 1 绪论 |
| 1.1 计算机网络安全概述 |
| 1.2 论文的研究意义 |
| 1.3 论文研究的内容 |
| 1.4 本章小结 |
| 2 入侵检测及其相关技术 |
| 2.1 IDS的发展过程 |
| 2.2 入侵检测概念 |
| 2.3 入侵检测系统的功能和性能要求 |
| 2.4 入侵检测分析方法 |
| 2.5 入侵检测系统的分类 |
| 2.5.1 基于主机的入侵检测系统 |
| 2.5.2 基于网络的入侵检测系统 |
| 2.5.3 分布式结构的入侵检测系统 |
| 2.6 入侵检测的标准化进程 |
| 2.6.1 公共入侵检测框架 |
| 2.6.2 入侵检测工作组(IDWG) |
| 2.7 本章小结 |
| 3 移动agent技术 |
| 3.1 移动agent概念 |
| 3.2 移动agent的特点和优点 |
| 3.3 移动agent平台介绍 |
| 3.4 移动agent技术在入侵检测中的应用 |
| 3.4.1 基于移动agent的入侵检测系统的特点和优点 |
| 3.4.2 基于移动agent的入侵检测系统的发展现状 |
| 3.5 本章小结 |
| 4 MAIDS的设计与分析 |
| 4.1 设计目标 |
| 4.2 系统结构设计 |
| 4.2.1 系统的逻辑结构设计 |
| 4.2.2 系统的物理结构设计 |
| 4.3 管理控制代理(Control agent,CA) |
| 4.3.1 通信模块 |
| 4.3.2 命令处理模块 |
| 4.3.3 事件处理模块 |
| 4.3.4 心跳处理模块 |
| 4.4 分析代理(Analyzer agent,AA) |
| 4.4.1 如何确定入侵可能性 |
| 4.4.2 检测原理 |
| 4.4.3 检测算法分析 |
| 4.4.4 检测流程 |
| 4.5 追踪代理(Tracer agent,TA) |
| 4.6 数据收集代理(Sensor Agent SA) |
| 4.7 用户监视器(Monitor) |
| 4.8 辅助组件 |
| 4.9 通讯机制 |
| 4.10 MAIDS系统模型的技术特点 |
| 4.11 本章小结 |
| 5 MAIDS的通信机制 |
| 5.1 MAIDS通信模型 |
| 5.1.1 模型及其有关定义 |
| 5.1.2 系统通信模型 |
| 5.1.3 系统通信模型特例 |
| 5.2 MAIDS的通讯机制 |
| 5.3 ATP(agent Transport Protocol)协议 |
| 5.4 系统中组件的标识 |
| 5.5 MAIDS的消息格式 |
| 5.6 系统通信的具体实现 |
| 5.7 通信的安全机制 |
| 5.7.1 消息的认证 |
| 5.7.2 消息的保密性问题 |
| 5.7.3 消息的重复性问题 |
| 5.8 本章小结 |
| 6 MAIDS实现和测试 |
| 6.1 系统实现开发平台 |
| 6.1.1 开发平台选择 |
| 6.1.2 IBM Aglet Workbench 介绍 |
| 6.2 系统实现所涉及的相关技术 |
| 6.3 系统实现的类关系 |
| 6.4 系统类具体实现 |
| 6.4.1 Messenger类的实现 |
| 6.4.2 Idbase的实现 |
| 6.4.3 SensorIdbase的实现 |
| 6.4.4 IdManager的实现 |
| 6.4.5 CirculateIdbase的实现 |
| 6.4.6 CirculateAnalyzer的实现 |
| 6.5 系统模型性能的测试 |
| 6.5.1 测试环境及方法 |
| 6.5.2 测试的内容 |
| 6.6 本章小结 |
| 7 总结 |
| 7.1 系统模型的优点 |
| 7.2 模型系统的不足和下一步工作 |
| 致 谢 |
| 参考文献 |
| 附录 |
四、基于Agent的入侵检测模型系统MACAID的研究和实现(论文参考文献)
- [1]基于群智能算法优化的入侵检测模型研究[D]. 沈焱萍. 北京邮电大学, 2021(01)
- [2]基于机器学习的入侵检测防火墙设计与实现[D]. 李波. 电子科技大学, 2021(01)
- [3]基于孤立森林的工控网络入侵防御系统的研究与应用[D]. 胡默迪. 北京邮电大学, 2020(04)
- [4]基于免疫Agent分布式入侵检测模型研究[D]. 李鹏磊. 哈尔滨理工大学, 2009(03)
- [5]基于免疫Agent的网络入侵检测系统[J]. 李永忠,徐静,罗军生,孙彦. 计算机科学, 2008(12)
- [6]基于免疫Agent的入侵检测模型研究[D]. 李昕. 哈尔滨理工大学, 2006(01)
- [7]分布式IDS报警数据融合模型的研究与实现[D]. 于雪丽. 清华大学, 2005(04)
- [8]基于移动代理的分布式入侵检测系统的设计与实现[D]. 刘思培. 吉林大学, 2006(09)
- [9]基于智能Agent的入侵检测系统的研究和实现[D]. 胡伟. 西北工业大学, 2004(04)
- [10]基于移动代理的入侵检测系统的研究与实现[D]. 肖书成. 重庆大学, 2004(01)