一、基于模式匹配的Windows主机入侵检测系统研究(论文文献综述)
陈晓安[1](2021)在《计算机网络入侵检测系统的研究》文中研究指明本文在论述计算机入侵检测技术原理的基础上,探讨了计算机网络入侵检测系统的基本框架和结构模型,对基于主机入侵、基于网络入侵、基于主机检测的分布式入侵和基于网络检测的分布式入侵检测系统的结构进行深入分析,最后对计算机网络系统入侵检测系统的算法和改进的多模式匹配算法进行探究,旨在为快速提升计算机网络入侵检测系统的研发水平带来一定参考和启迪。
明泽[2](2021)在《基于主机日志的恶意登录异常检测方法研究》文中认为恶意登陆指的是攻击者通过某种手段自动将密码输入到被攻击的主机或网站中,直到成功登陆,然后攻击者可以劫持相关数据来达到自己的目的。随着信息时代的到来,以电子诈骗和信息窃取为目的的恶意登陆攻击因为其隐蔽性、危险性大的特点对组织和个人,甚至国家安全都造成了巨大的危害。主机日志收集了用户了操作信息和计算机的相关事件信息,这些数据往往记录了攻击者的攻击行为,分析日志已成为恶意登陆检测的必不可少的一环。随着大数据时代的到来,恶意登陆攻击数据急剧增加,日志类型多种多样。除此之外,许多检测模型没有考虑到恶意登录攻击中的时序信息,导致不能及时检测、报警。根据上诉问题,本论文结合注意力机制以及循环神经网络,提出一种基于深度学习的网络恶意登录异常检测方法。本论文主要研究内容为:针对不同类型的用户操作日志,本论文提出word-level和char-level两种编码方式,对日志进行向量化表示;使用LSTM模型提取用户操作日中所蕴含的特征信息,以识别用户操作日志中的正常行为,通过注意力机制使模型更加关注操作正常的特征信息,同时过滤冗余操作,得到用户操作评分,设定阈值判断该日志流是否为恶意登陆,并同时反馈给网络管理员。本论文实验数据集选用了LANL真实数据集,是洛斯阿拉莫斯国家实验室在内部网络收集,包含了16亿真实的主机事件。实验结果表明,本论文所提方法可针对不同用户日志进行编码,特征提取准确率高,网络恶意登陆异常检测的F1-Score达到了97.6%。
王嘉佩[3](2021)在《工控系统边缘服务安全技术研究》文中研究指明近年来,信息技术的快速发展以及“互联网+”、“工业4.0”等新概念的提出,使得原本处于隔离状态下的工业控制系统开始更多地接触到外部互联网环境之中,随之而来的攻击工控系统的危害事件也愈演愈烈。对于工业控制系统的信息安全研究变得势不可挡,在边缘服务端进行安全防护设计是其中一个重要的研究方向。为保障工控系统边缘服务不受到外部互联网的攻击,本文旨在研究工控系统边缘服务的信息安全防护技术,设计并实现对于工控边缘服务系统的安全防护。其主要研究内容如下:首先,针对工控系统边缘服务的系统架构,研究数据控制层和处理层通信系统所面临的安全威胁。其中重点分析工控系统中以太网传输所采用的Modbus TCP通信协议的特性和脆弱性,以及工控边缘处理层与云端处理层之间通信系统所采用的MQTT通信协议的安全漏洞。接着对于工控系统上下位机的数据通信安全,主要研究以太网传输的安全性问题。将Modbus TCP通信协议的异常行为概括为三大类,分别是非法协议消息、拒绝服务攻击和扫描威胁服务,并将每一类可用于检测的特征规则都进行详细描述,归纳了总共12种异常行为。由此在工控系统边缘服务端,设计基于Snort的异常流量入侵检测方法,对上下位机数据通信的网络进行实时监测,一旦出现异常行为随时报警。其次对于边缘服务到云端服务之间的通信系统,研究RSA非对称加密算法并在边缘端开发加密程序;对MQTT通信中的明文数据包进行安全传输层协议TLS加密保护,并设计边缘服务侧上客户端身份的认证与授权管理。从这三个方面来防御数据篡改、窃取和中间人攻击,从而保证工控系统边缘端与互联网云端通信的安全。最后,对上述各个安全防护技术进行测试,验证设计的工控系统专用Snort入侵检测的可行性、以及边缘处理层到云端处理层的通信加密。从而保障数据从工控系统以太网传输到边缘处理层再到云端处理层的通信过程都是加密安全、稳定的。
刘天一[4](2021)在《面向物联网的增量式入侵检测技术研究》文中进行了进一步梳理随着万物互联时代的加速到来,现代工业与制造业的信息化改革需求对物联网提出技术挑战。由于物联网终端设备的安全标准存在滞后性,以及在生产中缺乏产品自身的安全评估,给物联网埋下了安全隐患。无线传感网络(Wireless Sensor Network,WSN)作为一种新型网络被广泛应用,由于传感器节点在计算、存储和能量方面存在限制,所以针对WSN的有效的防御机制和检测系统一直被深入的研究。基于网络的入侵检测系统,能够在局域网中检测正常流量与异常流量之间的特征差异,但是随着物联网终端设备的大量接入,使得网络环境更加的复杂,通信过程中产生更多高纬度、非线性的流量数据,增加入侵检测的难度。因此,能更准确的利用网络流量特征进行异常检测,建立一个具有自适应能力的基于网络流量的入侵检测系统尤为重要。针对上述问题,本文主要对卷积神经网络进行改进,结合增量学习思想,对入侵检测系统的关键技术进行研究,并在WSN和传统局域网中进行验证。主要研究工作如下:(1)针对网络中产生海量的高维和非线性网络流量的数据处理问题,利用多核卷积神经网络实现网络流量数据的特征提取。通过对网络模型中每个卷积层进行多核处理得到多种不同尺度的特征信息,再通过融合和拼接得到固定尺度的融合特征矩阵,侧重对网络流量数据的全局特征的提取。(2)针对网络中新增流量的自适应问题,设计增量学习算法实现多核卷积神经网络模型学习新增样本的能力。通过在原始模型的多核卷积层中增加控制模块,面对新增数据时再按照控制模块的线性规则对原始模型进行更新,使得模型保留大部分已有知识的前提下,学习新知识。(3)针对入侵检测模型对网络流量分类准确率较低的问题,从训练所用数据集和损失函数两方面出发。分别使用KDD CUP99、UNSW-NB15数据集以及WSN-DS数据集进行验证,利用过采样算法调整数据集中不同类别样本的数据分布,利用生成对抗网络实现攻击样本的生成,并在模型的训练过程中使用错分敏感的损失函数加强对少数类样本的学习,提高入侵检测模型的准确率。
魏晓宇[5](2021)在《基于多设备告警的威胁感知与评估方法研究与实现》文中指出随着互联网技术的快速发展,网络越来越成为当今社会不可或缺的组成部分。技术的不断进步给人们的生活带来巨大的改变的同时,也面临由网络威胁带来的信息泄露、隐私侵犯以及财产损失等问题,网络安全受到了越来越多的关注。为维护网络安全,保障网络的安全运行,各种各样的安全设备被安装在网络中,以便能够利用多种安全设备生成的安全情报数据,进行的网络环境中的威胁感知与评估。当前的威胁感知与评估研究大多是对告警这一类安全情报进行分析、处理和可视化等方式实现,不能有效利用不同设备数据之间的关联性,得到的评估结果仅能反映面临的外部攻击威胁,对自身内部的威胁的体现有所不足;且在告警的分析处理过程中,为实现较好的分析效果,需要依靠专家知识的支持和大量的运算,这些因素导致了告警分析在实际的生产环境中运行时需要进行不断的调试和优化。本文基于网络威胁感知技术,提出了基于多设备告警信息的威胁感知与威胁评估技术,通过多种安全设备的告警日志,实现对系统内外部威胁的感知与评估,本文研究目标包括改进基于IDS告警的威胁感知方法;研究通过多种安全设备生成的告警数据进行威胁评估的方法以及基于以上研究完成一个威胁感知与评估系统的设计与实现。本文主要研究内容主要包括三部分。首先,研究基于告警的威胁感知方法,采用告警聚合技术、关联分析技术以及模式匹配进行威胁的感知。在告警聚合技术上,提出了文本相似度的聚合方法,以及基于匹配和搜索的攻击阶段判定方法。其次,研究多维信息威胁评估方法,确定了以通过告警分析得出的威胁度来反映外部攻击威胁,以漏洞、端口的脆弱性指标反映系统内部风险的评估体系。最后,基于上述的威胁感知方法,本文设计和实现了基于多设备告警信息的威胁感知与评估系统,该系统以IDS告警作为前端数据,结合告警分析技术、漏洞扫描技术、端口扫描技术、爬虫技术等对主机面临的威胁进行感知及评估。实验结果表明,此系统在威胁感知上通过聚合和匹配的方法保证了较高的效率和较好的准确性,能够识别当前攻击的类型以及所处的阶段,同时威胁评估数据也能够适配威胁感知的结果。
帅隆文[6](2021)在《基于Snort的工业控制系统入侵检测系统设计与实现》文中研究指明工业控制系统作为工业生产中的核心基础设施,广泛应用于能源、化工业、交通等各种国民支柱产业中。由于工业控制系统发展早期并不与互联网连接,在系统和通信协议设计上相对封闭和独立,较少考虑安全问题。随着中国大力发展工业互联网等技术,工业控制系统系统联网暴露组件数量逐年上升。为了应对严峻的工业控制系统安全形势,入侵检测系统经常部署于工控系统边缘。在实际入侵检测系统的应用中,Snort是应用最为广泛、模块化架构、二次开发容易的一种开源入侵检测系统。它采用的检测思想是基于特征的,其缺陷是只能识别已知入侵行为特征的攻击形式。在工业控制系统中,由于它所应用到行业和场景的不同,工控系统通信流量也会呈现出差异性。在对工控系统通信流量做入侵检测时,应当考虑到这种差异性,并对检测的报文内容及其合法值范围做出调整。本文以在工业控制系统中使用最为广泛的Modbus TCP协议为研究对象,使用两种在检测思想上具有本质不同的检测方法,第一种是基于特征的,第二种是基于异常的,研究了Modbus TCP协议的入侵检测问题。本文所做的工作包括如下几个方面。1.从基于特征的入侵检测方法入手,提出了一种白名单访问控制机制与深度包检测技术相结合的入侵检测方法。该方法首先对捕获的工业控制系统正常通信流量进行学习,从而构建出数据包白名单列表,使用白名单访问控制机制过滤掉非法的报文。随后对通过白名单检测的数据包按照功能码类型以及报文是否为请求报文等进行分类,对于不同类别的数据包采用不同的检测依据进行检测。2.在白名单机制与深度包检测技术的实现细节上,考虑到工控系统通信流量的差异性,设计和实现了参数化的iptables规则与Snort检测规则。使用Modbus Poll/Slave等软件搭建跨主机的Modbus主站和从站通信环境。实验结果表明,使用该检测方法能够过滤掉不符合白名单要求的数据包,同时验证了Snort检测规则可以检测出符合检测依据的Modbus TCP异常报文。3.采用基于异常的入侵检测方法思想,提出了一种机器学习与Snort相结合的入侵检测方法,其优点是识别出未知的攻击行为。使用包含真实攻击行为的原始Modbus通信流量,选择了15种Modbus协议特征。通过对流量的解析和预处理构建出在机器学习分类模型上可用的数据集,使用5种分类算法在该数据集上训练、测试和参数寻优,最终确定随机森林为最优分类模型。4.针对Snort不能识别未知攻击行为的问题,设计出一种内置随机森林异常流量检测模型的Snort预处理器,重新编译和配置了Snort,从而实现了Snort与机器学习分类模型的结合。实验结果表明该预处理器可以有效检测到Modbus TCP异常报文。通过该方法扩展了Snort功能,从而使得Snort具备部分使用基于异常的入侵检测方法工作的能力。
李尹楠[7](2021)在《基于深度学习的入侵检测模型研究》文中研究说明面对当前复杂网络环境下的网络安全问题,入侵检测的相关研究尤显重要。针对真实网络中的流量数据普遍存在的数据非平衡问题,以及传统机器学习方法中特征提取难度较大、提取到的特征表达不准确等问题,本文在不影响样本数量较多的流量类别检测性能的前提下,以提高样本数量较少的攻击类别的检测性能为研究目的,将解决非平衡问题的方法和深度学习方法共同应用于入侵检测模型。本文的主要工作和创新如下:1、针对流量类别间的数据非平衡问题,以及传统机器学习特征提取困难、不准确的问题,本文设计并实现了基于Borderline-SMOTE和双Attention的入侵检测模型。首先,本文将一维流量数据转化为二维灰度图像以充分利用二维卷积神经网络的强大特征提取能力,同时通过构建双Attention网络中的特征提取和特征更新部分来提取流量特征并精确特征表示;其次,使用经过Borderline-SMOTE处理后的流量数据对网络进行训练,以提高模型在真实网络环境中检测非平衡流量数据的能力;最后,在NSL-KDD数据集上的测试结果表明该模型的整体准确率高达99.24%,同时针对样本数量较少的R2L和U2R攻击类别的检测精确度分别达到了83.95%、82.33%。2、考虑到当面对高维数据时,深度学习相较于传统机器学习具有更强的表征能力,因此,本文通过构建VAE中的编码器和解码器结构来学习某类流量数据的内在特征分布,进而可以根据给定的原始流量样本的分布情况来生成类似真实样本的伪样本。同时为了探究更加复杂的神经网络对入侵检测性能的影响,该模型通过引入Dense Net中的密集连接模块对流量数据通道维度的特征进行重复利用,并在每个密集连接模块中的复合函数中加入有效通道注意力机制,以捕获邻近通道间的交互特征。通过对比不同的非平衡处理方法表明了VAE处理流量数据非平衡问题的先进性,同时该模型在NSL-KDD数据集上的测试结果显示出针对样本数量较少的R2L和U2R攻击类别的检测精确度分别达到了90.69%、100%。
石兰[8](2021)在《入侵报警数据融合与关联分析方法研究》文中研究说明黑客或恶意攻击者通过各种方法入侵网络,导致网络环境面临着大量具有针对性、隐蔽性和渗透性的潜在威胁,网络安全面临着严峻的挑战。入侵检测系统(Intrusion Detection System,IDS)作为安全防御系统被用来检测网络环境是否存在入侵行为,并针对各种入侵行为产生相应的报警数据,便于安全管理人员采取相应的防御措施,然而IDS在实际应用中会产生大量冗余、错误的报警,使得管理人员难以从中找到关键的报警信息,并且这些低级报警数据不能展示出攻击全貌,从而导致管理人员无法根据完整的攻击过程来识别入侵者的攻击策略。针对上述问题,论文针对入侵报警数据融合与关联分析方法进行研究,旨在减少冗余报警数据,并通过关联分析构建较为全面的攻击场景以识别攻击意图,主要研究工作如下:(1)由于IDS存在的一些缺陷,如冗余报警多、误报率高,以及产生的报警数据只能反应攻击过程中的单步攻击但无法展示攻击全貌的问题,提出一种入侵报警数据融合和关联分析的层次模型。该模型适用于当前复杂的网络环境,并能够应对当前IDS产生的报警冗余率高、误报率高的问题,而且可以全面展示攻击者的攻击过程。此外,还根据构建的模型进行了相应的原型系统设计。(2)针对报警数据中普遍存在大量冗余或者误报的报警,难以从中找出关键的安全事件的问题,且考虑到报警属性间存在着一定的关联,提出一种基于改进谱聚类的报警数据融合方法。为了减少矩阵计算时间,该方法首先将报警数据按照攻击类型进行分组;其次以谱聚类算法为基础,通过利用属性相似度度量方法来计算各组报警数据的相似度,进而将相似度较高的报警数据聚到一个簇中;最后对同一个簇中的报警数据进行融合处理。实验结果表明,该方法可以有效减少冗余报警数据,降低IDS的误报率。(3)针对现有报警关联方法作用比较单一,大多依赖先验知识库难以发现新的攻击模式的问题,提出一种基于攻击场景构建的报警关联分析方法。该方法首先利用动态时间窗口来划分场景;然后考虑到报警之间存在的因果关系,采用基于因果关联和格兰杰因果检验两种互补的关联方法对同一场景中的报警数据进行关联;最后根据关联结果重建攻击场景。实验结果表明,该方法能够提高关联效率,还原出较为完整的攻击过程,并能有效去除孤立的报警数据。
傅伟[9](2021)在《基于GAN的入侵检测数据增强技术研究》文中研究说明互联网给我们带来便利的同时,网络安全问题也日益突出,用户的个人隐私和数据屡遭攻击,包括僵尸网络、网页钓鱼和托管诈骗等,传统的防火墙防御技术难以快速应对复杂多变的攻击环境。随着深度学习技术的迅猛发展,加持强大的特征自学习能力的入侵检测技术使得防御系统能够积极、主动地对攻击行为进行预警。然而,这种基于数据驱动的深度学习入侵检测技术面临训练样本滞后缺乏、隐私数据不公开等问题,严重影响入侵检测技术的发展,亟需在数据增强层面作进一步研究。针对基于深度学习的入侵检测系统缺乏多样性训练数据且难以识别演化攻击的问题,本文在分析入侵检测数据集特性的基础上研究基于生成对抗网络的入侵检测数据增强模型,去生成和预测攻击行为。研究取得了如下成果:针对基于深度学习的入侵检测系统缺乏演化训练数据的问题,本文提出一种基于条件Wasserstein生成对抗网络的入侵检测数据生成方法。该方法采用辅助分类生成对抗网络生成入侵检测数据,判别器额外的条件损失判别将修正生成数据的标签信息,通过引入Wasserstein距离和梯度惩罚项解决传统模型训练不稳定、模式崩溃的问题。实验结果表明,所提出的方法能够按照指定类型生成高质量攻击样本。针对数据增强过程中少数类样本生成效果差的问题,面向R2L攻击设计一种非功能性特征扰动的生成模型。对该类攻击样本,首先保持功能性特征不变,然后拆分其非功能性特征并输入生成对抗网络中,最后将功能性特征与生成的非功能性特征进行拼接输出。实验结果表明,所提出的模型能够进行小批次数据生成工作。针对传统生成对抗网络处理离散特征效果差和难以高效表示特征的问题,本文提出一种融合交叉层的生成对抗网络用于并行生成离散和连续型特征,采用softmax和sigmoid激活函数分别生成二者。考虑到部分特征间存在弱相关性,为了更好地建模组合特征的关系,引入交叉层网络,即在每一网络层应用特征交叉以自动学习组合特征,克服了人工特征工程的低效性。实验结果表明,所提出的模型能够较好处理离散特征并且生成高质量样本。为了验证生成数据的有效性,解决现有研究仅仅使用单一分类器方法进行数据评估的问题,本文从多个角度、多个方法衡量生成数据的好坏。实验结果表明,生成数据与真实数据具有相似的特征分布,增强后的数据训练的模型泛化能力得以提升,验证了模型的有效性以及生成数据可以用于扩充真实数据集。
雷凯[10](2021)在《使用Windows API进行恶意软件检测的研究》文中提出近年来计算机技术不断发展,计算机软件和硬件水平也不断提高,越来越多的恶意软件涌现了出来。针对Windows主机的的入侵也越来越多,传统的网络安全措施难以适应Windows环境安全检测需求。为了解决Windows环境下的网络安全问题,研究者们提出了基于机器学习的Windows入侵检测技术。在机器学习算法中,随机森林、K-Means、SVM等算法被广泛应用于入侵检测,但是这些算法复杂度高,模型泛化能力弱,数据量较大时检测时间较长。使用集成学习Boosting的算法有LightGBM,使用集成学习Bagging思想的算法有随机森林,Bagging思想是非常简单的,就是每一个子数据集生成一个弱学习器,然后通过投票的方式决出一个强学习器,对于简单的数据集来说,随机森林简单且高效。LightGBM是基于直方图算法的决策树算法,能够将大量相对连续的数值进行离散化。本文通过对入侵检测以及集成算法的研究,最终选LightGBM算法作为入侵检测系统的算法,并对入侵检测结果使用准确率、精确率、召回率、F-1度量进行了评估。论文主要工作内容如下:(1)针对数据集的处理,本论文充分利用收集到的多个关于Windows API调用的公开数据集,针对这些数据集的不同,本文将这些数据集进行了合并,形成了两套数据集。通过对比这两套数据集,选用一套效果好的数据集加入到本文的入侵检测系统中。整理完数据集本文先对数据进行预处理,充分挖掘数据信息,找到296个重要的API调用,并考虑到不同恶意软件之间的差异,将数据集分为9部分,代表不同的九种恶意软件。(2)本论文设计了 Windows环境下的使用LightGBM入侵检测系统,利用Python的Sklearn库对数据集进行训练,通过调整LightGBM中学习率、树的最大深度、特征选取比例和每次迭代的数据比例参数确定了理想参数范围,并在测试集上取得了很高的分类准确率。(3)作为横向对比,采用相同数据集,在LightGBM检测基础上,分别使用回归树、决策树、随机森林、GBDT、XGBoost和LightGBM算法进行了异常检测。在训练时间以及准确率等方面,将结果与LightGBM算法进行对比,对模型进行评估及优化。LightGBM的准确率、精确率、F-1值和AUC值都高于其他机器学习模型,都在97%以上。
二、基于模式匹配的Windows主机入侵检测系统研究(论文开题报告)
(1)论文研究背景及目的
此处内容要求:
首先简单简介论文所研究问题的基本概念和背景,再而简单明了地指出论文所要研究解决的具体问题,并提出你的论文准备的观点或解决方法。
写法范例:
本文主要提出一款精简64位RISC处理器存储管理单元结构并详细分析其设计过程。在该MMU结构中,TLB采用叁个分离的TLB,TLB采用基于内容查找的相联存储器并行查找,支持粗粒度为64KB和细粒度为4KB两种页面大小,采用多级分层页表结构映射地址空间,并详细论述了四级页表转换过程,TLB结构组织等。该MMU结构将作为该处理器存储系统实现的一个重要组成部分。
(2)本文研究方法
调查法:该方法是有目的、有系统的搜集有关研究对象的具体信息。
观察法:用自己的感官和辅助工具直接观察研究对象从而得到有关信息。
实验法:通过主支变革、控制研究对象来发现与确认事物间的因果关系。
文献研究法:通过调查文献来获得资料,从而全面的、正确的了解掌握研究方法。
实证研究法:依据现有的科学理论和实践的需要提出设计。
定性分析法:对研究对象进行“质”的方面的研究,这个方法需要计算的数据较少。
定量分析法:通过具体的数字,使人们对研究对象的认识进一步精确化。
跨学科研究法:运用多学科的理论、方法和成果从整体上对某一课题进行研究。
功能分析法:这是社会科学用来分析社会现象的一种方法,从某一功能出发研究多个方面的影响。
模拟法:通过创设一个与原型相似的模型来间接研究原型某种特性的一种形容方法。
三、基于模式匹配的Windows主机入侵检测系统研究(论文提纲范文)
(1)计算机网络入侵检测系统的研究(论文提纲范文)
| 0 引言 |
| 1 入侵检测技术原理 |
| 2 入侵检测系统框架模型 |
| 3 入侵检测系统结构 |
| 3.1 基于主机入侵检测系统 |
| 3.2 基于网络入侵检测系统 |
| 3.3 基于主机检测的分布式入侵检测系统 |
| 3.4 基于网络检测的分布式入侵检测系统 |
| 4 网络入侵检测系统的多模式匹配算法 |
| 4.1 算法分析 |
| 4.2改进的多模式匹配算法 |
| 5 结语 |
(2)基于主机日志的恶意登录异常检测方法研究(论文提纲范文)
| 摘要 |
| abstract |
| 1 绪论 |
| 1.1 课题研究背景和意义 |
| 1.1.1 选题背景 |
| 1.1.2 选题意义 |
| 1.2 国内外研究现状 |
| 1.2.1 恶意登录研究概况 |
| 1.2.2 深度学习在恶意登录中的研究 |
| 1.3 主要研究内容与创新 |
| 1.3.1 主要研究内容与关系 |
| 1.3.2 创新点 |
| 1.4 论文的结构安排 |
| 2 相关概念与技术理论基础 |
| 2.1 恶意登录攻击分析 |
| 2.2 恶意登录检测方法概述 |
| 2.2.1 恶意登陆异常检测概述 |
| 2.2.2 基于主机日志的恶意登陆异常检测方法 |
| 2.3 深度学习理论基础 |
| 2.3.1 多层感知机 |
| 2.3.2 循环神经网络 |
| 2.4 本章小结 |
| 3 基于实体嵌入的日志向量化表示方法 |
| 3.1 实体嵌入算法思想 |
| 3.1.1 词嵌入 |
| 3.1.2 实体嵌入 |
| 3.2 基于实体嵌入的日志向量化表示方法 |
| 3.2.1 日志数据编码 |
| 3.2.2 基于实体嵌入的特征提取 |
| 3.3 实验与分析 |
| 3.3.1 数据集描述 |
| 3.3.2 实验结果 |
| 3.3.3 实验分析 |
| 3.4 本章小结 |
| 4 基于神经网络的恶意登录异常检测方法 |
| 4.1 注意力机制原理 |
| 4.2 长短时记忆网络 |
| 4.3 基于注意机制的LSTM恶意登录异常检测模型 |
| 4.3.1 研究框架 |
| 4.3.2 用户操作评分 |
| 4.4 实验与分析 |
| 4.4.1 评判指标 |
| 4.4.2 实验结果与分析 |
| 4.4.3 实验分析 |
| 4.5 本章小结 |
| 5 总结与展望 |
| 参考文献 |
| 攻读硕士学位期间所获得的研究成果 |
| 致谢 |
(3)工控系统边缘服务安全技术研究(论文提纲范文)
| 摘要 |
| Abstract |
| 1 绪论 |
| 1.1 研究背景及意义 |
| 1.2 国内外研究现状 |
| 1.2.1 国外研究现状 |
| 1.2.2 国内研究现状 |
| 1.3 论文主要研究内容和结构安排 |
| 2 工控系统边缘服务的架构与漏洞分析 |
| 2.1 工控系统边缘服务整体架构 |
| 2.2 工控系统上下位机通信的安全威胁 |
| 2.3 边缘服务端与云端服务通信系统的安全威胁 |
| 2.4 小结 |
| 3 工控系统的专用入侵检测规则设计 |
| 3.1 基于Snort的入侵检测系统 |
| 3.1.1 入侵检测系统 |
| 3.1.2 Snort技术原理 |
| 3.1.3 Snort语法规则 |
| 3.2 Modbus TCP数据包的异常行为 |
| 3.3 设计异常Modbus TCP数据包的Snort规则 |
| 3.4 小结 |
| 4 边缘处理层与云端处理层安全通信系统的设计 |
| 4.1 安全传输层协议TLS与数字证书技术 |
| 4.1.1 TLS安全协议 |
| 4.1.2 基于数字证书的身份认证技术 |
| 4.2 基于TLS的MQTT通信加密 |
| 4.3 边缘服务端的数据加密开发 |
| 4.4 MQTT客户端认证与授权设计 |
| 4.5 小结 |
| 5 工控系统边缘服务安全防护的测试验证 |
| 5.1 工控系统上下位机通信异常检测模块 |
| 5.1.1 模拟工控系统的通信过程 |
| 5.1.2 基于Snort的异常流量检测 |
| 5.2 边缘服务端与云端服务的加密模块 |
| 5.2.1 Open SSL签发证书 |
| 5.2.2 基于TLS的MQTT安全通信加密测试 |
| 5.3 小结 |
| 总结与展望 |
| 参考文献 |
| 致谢 |
(4)面向物联网的增量式入侵检测技术研究(论文提纲范文)
| 摘要 |
| Abstract |
| 第一章 绪论 |
| 1.1 研究背景及意义 |
| 1.2 国内外研究现状 |
| 1.2.1 入侵检测技术 |
| 1.2.2 无线传感网的入侵检测方法 |
| 1.2.3 增量学习算法 |
| 1.3 主要研究内容 |
| 1.4 文章组织结构 |
| 第二章 相关知识及技术 |
| 2.1 入侵检测系统及其分类 |
| 2.1.1 入侵检测技术的基本概念 |
| 2.1.2 入侵检测系统的框架 |
| 2.1.3 入侵检测系统的分类 |
| 2.2 入侵检测中网络流量分类的方法 |
| 2.2.1 传统的网络流量分类方法 |
| 2.2.2 基于深度学习的网络流量分类方法 |
| 2.3 相关模型与算法介绍 |
| 2.3.1 卷积神经网络模型 |
| 2.3.2 增量学习 |
| 2.4 本章小结 |
| 第三章 基于卷积神经网络模型的入侵检测方法 |
| 3.1 入侵检测数据集介绍 |
| 3.1.1 KDD CUP99 |
| 3.1.2 UNSW-NB15 |
| 3.1.3 WSN-DS |
| 3.2 数据预处理 |
| 3.3 基于CNN的入侵检测方法 |
| 3.3.1 入侵检测方法的整体流程 |
| 3.3.2 卷积神经网络模型结构设计 |
| 3.3.3 生成对抗网络模型结构设计 |
| 3.4 实验分析 |
| 3.4.1 实验环境 |
| 3.4.2 实验结果及分析 |
| 3.5 本章小结 |
| 第四章 面向物联网的增量式入侵检测方法 |
| 4.1 增量式入侵检测模型结构设计 |
| 4.1.1 多核卷积神经网络模型设计 |
| 4.1.2 增量学习方法设计 |
| 4.2 面向物联网的增量式入侵检测方法 |
| 4.2.1 整体方案 |
| 4.2.2 数据处理阶段 |
| 4.2.3 训练阶段 |
| 4.3 实验分析 |
| 4.3.1 实验环境 |
| 4.3.2 评价指标 |
| 4.3.3 实验结果及分析 |
| 4.4 本章小结 |
| 第五章 总结与展望 |
| 5.1 全文总结 |
| 5.2 工作展望 |
| 参考文献 |
| 在学期间的研究成果 |
| 致谢 |
(5)基于多设备告警的威胁感知与评估方法研究与实现(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 第一章 绪论 |
| 1.1 课题背景 |
| 1.2 课题研究内容 |
| 1.2.1 研究内容 |
| 1.2.2 课题创新点 |
| 1.3 论文组织与结构 |
| 第二章 相关技术介绍 |
| 2.1 告警采集与告警信息处理 |
| 2.1.1 入侵检测系统 |
| 2.1.2 告警聚合 |
| 2.1.3 告警关联 |
| 2.2 网络威胁评估方法介绍 |
| 2.2.1 网络威胁评估指标 |
| 2.2.2 基于模式匹配的评估方法 |
| 2.2.3 基于CVSS的脆弱性评估方法 |
| 2.3 本章小结 |
| 第三章 威胁感知与评估方法研究 |
| 3.1 问题描述 |
| 3.2 方法整体流程 |
| 3.3 基于IDS告警的威胁感知方法 |
| 3.3.1 基于文本相似度的告警聚合方法 |
| 3.3.2 基于匹配的威胁感知过程 |
| 3.3.3 攻击模式构建关联算法 |
| 3.4 多维威胁评估方法 |
| 3.4.1 基于告警的外部威胁评估方法 |
| 3.4.2 系统脆弱性评估方法 |
| 3.4.3 实验分析 |
| 3.5 本章小结 |
| 第四章 概要设计 |
| 4.1 系统需求分析 |
| 4.2 系统整体架构 |
| 4.3 模块间接口设计 |
| 4.3.1 威胁指标采集层模块间接口设计 |
| 4.3.2 数据分析层模块间接口设计 |
| 4.3.3 威胁评估层模块间接口设计 |
| 4.4 本章小结 |
| 第五章 详细设计与实现 |
| 5.1 威胁指标采集层模块设计 |
| 5.1.1 告警采集模块设计 |
| 5.1.2 脆弱性指标采集模块设计 |
| 5.1.3 数据存取模块设计 |
| 5.2 威胁指标分析层模块设计 |
| 5.2.1 威胁指标分析层模块整体工作流程 |
| 5.2.2 告警分析模块设计 |
| 5.2.3 脆弱性指标分析模块设计 |
| 5.3 威胁评估层模块设计 |
| 5.3.1 威胁度评分模块设计 |
| 5.3.2 脆弱性评分模块设计 |
| 5.4 结果展示层模块设计 |
| 5.5 数据库表结构设计 |
| 5.5.1 总表 |
| 5.5.2 数据库表描述 |
| 5.6 本章小结 |
| 第六章 测试及结果分析 |
| 6.1 软硬件环境 |
| 6.2 测试数据 |
| 6.3 测试用例设计 |
| 6.4 测试结果及分析 |
| 6.5 本章小结 |
| 第七章 总结及展望 |
| 7.1 论文总结 |
| 7.2 未来展望 |
| 参考文献 |
| 致谢 |
| 攻读学位期间发表的学术论文目录 |
(6)基于Snort的工业控制系统入侵检测系统设计与实现(论文提纲范文)
| 摘要 |
| Abstract |
| 第1章 绪论 |
| 1.1 课题研究背景及意义 |
| 1.2 国内外研究现状 |
| 1.2.1 工业控制系统安全防护技术研究现状 |
| 1.2.2 国内外工业控制系统入侵检测研究现状 |
| 1.3 论文主要研究内容 |
| 1.4 论文章节安排 |
| 第2章 入侵检测技术与Snort入侵检测系统 |
| 2.1 入侵检测技术研究 |
| 2.1.1 入侵检测过程 |
| 2.1.2 入侵检测技术分类 |
| 2.2 Snort入侵检测系统 |
| 2.2.1 Snort的工作模式 |
| 2.2.2 Snort整体架构与工作流程 |
| 2.2.3 Snort检测规则 |
| 2.2.4 Snort插件机制 |
| 2.3 本章小结 |
| 第3章 基于白名单访问控制机制与深度数据包检测的Modbus入侵检测方法设计与实现 |
| 3.1 Modbus TCP协议概述与安全性分析 |
| 3.1.1 Modbus TCP协议概述 |
| 3.1.2 Modbus TCP协议安全性分析 |
| 3.2 基于白名单访问控制机制与深度包检测的Modbus入侵检测方法的设计 |
| 3.2.1 检测方法架构 |
| 3.2.2 白名单访问控制机制 |
| 3.2.3 Modbus TCP数据包深度检测 |
| 3.3 白名单访问控制机制与Snort检测规则的设计与实现 |
| 3.3.1 白名单访问控制机制的实现 |
| 3.3.2 Snort检测规则的设计与实现 |
| 3.4 实验与分析 |
| 3.4.1 白名单访问控制实验与分析 |
| 3.4.2 Snort检测规则实验 |
| 3.5 本章小结 |
| 第4章 基于机器学习与Snort的Modbus TCP协议入侵检测方法设计与实现 |
| 4.1 入侵检测方法框架 |
| 4.2 Modbus数据集与特征提取 |
| 4.2.1 Modbus数据集概述 |
| 4.2.2 特征提取与数据集构建 |
| 4.3 模型筛选 |
| 4.3.1 评价指标 |
| 4.3.2 最优分类模型筛选 |
| 4.4 基于随机森林的Snort预处理器的设计与实现 |
| 4.5 实验与分析 |
| 4.5.1 预处理器实验一 |
| 4.5.2 预处理器实验二 |
| 4.6 本章小结 |
| 第5章 总结与展望 |
| 5.1 全文总结 |
| 5.2 工作展望 |
| 参考文献 |
| 致谢 |
| 作者简历及攻读学位期间发表的学术论文与研究成果 |
(7)基于深度学习的入侵检测模型研究(论文提纲范文)
| 中文摘要 |
| ABSTRACT |
| 第一章 绪论 |
| 1.1 研究背景及意义 |
| 1.2 国内外研究现状 |
| 1.2.1 入侵检测研究现状 |
| 1.2.2 注意力机制研究现状 |
| 1.3 本文主要工作 |
| 1.4 本文组织结构 |
| 第二章 关键技术与基础知识 |
| 2.1 入侵检测 |
| 2.1.1 入侵检测系统概述 |
| 2.1.2 入侵检测系统分类 |
| 2.1.3 入侵检测的发展趋势 |
| 2.2 深度学习 |
| 2.2.1 深度学习概述 |
| 2.2.2 深度学习基本原理 |
| 2.2.3 深度学习模型 |
| 2.3 软注意力机制 |
| 2.4 数据集介绍 |
| 2.5 本章小结 |
| 第三章 基于Borderline-SMOTE和双Attention的入侵检测模型 |
| 3.1 BS-DAMN模型设计 |
| 3.1.1 模型总体架构 |
| 3.1.2 数据预处理 |
| 3.1.3 双Attention网络设计 |
| 3.2 实验分析 |
| 3.2.1 实验环境 |
| 3.2.2 评价指标 |
| 3.2.3 实验设计及结果分析 |
| 3.3 本章小结 |
| 第四章 基于VAE和改进的神经网络的入侵检测模型 |
| 4.1 VINN模型设计 |
| 4.1.1 模型总体架构 |
| 4.1.2 生成式模型处理数据 |
| 4.1.3 改进的神经网络设计 |
| 4.2 实验分析 |
| 4.2.1 实验环境 |
| 4.2.2 评价指标 |
| 4.2.3 实验设计及结果分析 |
| 4.3 本章小结 |
| 第五章 总结与展望 |
| 5.1 全文工作总结 |
| 5.2 后续工作展望 |
| 参考文献 |
| 攻读学位期间取得的研究成果 |
| 致谢 |
| 个人简况及联系方式 |
(8)入侵报警数据融合与关联分析方法研究(论文提纲范文)
| 摘要 |
| Abstract |
| 第一章 绪论 |
| §1.1 研究背景与意义 |
| §1.2 国内外研究现状 |
| §1.2.1 入侵检测系统研究现状 |
| §1.2.2 报警数据融合研究现状 |
| §1.2.3 报警关联分析研究现状 |
| §1.3 主要研究内容 |
| §1.4 论文组织结构 |
| 第二章 相关理论与关键技术 |
| §2.1 入侵检测系统 |
| §2.1.1 入侵检测系统概述 |
| §2.1.2 入侵检测系统体系结构 |
| §2.1.3 入侵检测技术概述 |
| §2.2 报警融合技术 |
| §2.2.1 报警数据 |
| §2.2.2 报警融合概述 |
| §2.3 报警关联技术 |
| §2.3.1 报警关联概述 |
| §2.3.2 攻击场景 |
| §2.3.3 常用的报警关联方法 |
| §2.4 本章小结 |
| 第三章 入侵报警数据融合与关联分析模型设计 |
| §3.1 模型设计 |
| §3.2 分层描述 |
| §3.2.1 数据采集层 |
| §3.2.2 数据预处理层 |
| §3.2.3 报警融合层 |
| §3.2.4 报警关联层 |
| §3.3 原型系统设计 |
| §3.4 本章小结 |
| 第四章 基于改进谱聚类的报警数据融合方法 |
| §4.1 引言 |
| §4.2 基于改进谱聚类的报警数据融合方法设计 |
| §4.2.1 谱聚类算法 |
| §4.2.2 改进的谱聚类算法 |
| §4.2.3 融合方法设计思想 |
| §4.2.4 融合方法实现 |
| §4.3 实验与结果分析 |
| §4.3.1 实验环境 |
| §4.3.2 实验数据 |
| §4.3.3 实验结果分析 |
| §4.4 本章小结 |
| 第五章 基于攻击场景构建的报警关联分析方法 |
| §5.1 引言 |
| §5.2 基于攻击场景构建的报警关联分析方法设计 |
| §5.3 格兰杰因果关系检验 |
| §5.4 基于动态时间窗口的场景划分方法 |
| §5.5 基于因果关系和GCT的报警关联分析方法 |
| §5.5.1 基于因果关系的报警关联方法 |
| §5.5.2 基于GCT的报警关联方法 |
| §5.6 实验与结果分析 |
| §5.6.1 实验环境 |
| §5.6.2 实验结果分析 |
| §5.7 本章小结 |
| 第六章 总结与展望 |
| §6.1 论文研究工作总结 |
| §6.2 下一步研究工作展望 |
| 参考文献 |
| 致谢 |
| 作者在攻读硕士期间的主要研究成果 |
(9)基于GAN的入侵检测数据增强技术研究(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 第1章 绪论 |
| 1.1 课题背景及研究的目的和意义 |
| 1.2 国内外研究现状 |
| 1.2.1 入侵检测方法研究 |
| 1.2.2 基于GAN的网络安全数据增强的方法研究 |
| 1.3 本文主要工作 |
| 1.4 论文组织结构 |
| 第2章 相关研究 |
| 2.1 数据表示方法研究 |
| 2.1.1 数值编码 |
| 2.1.2 One-hot编码 |
| 2.1.3 Word2vec编码 |
| 2.2 入侵检测数据生成模型研究 |
| 2.2.1 生成对抗网络 |
| 2.2.2 生成对抗网络衍生模型 |
| 2.2.3 交叉层 |
| 2.3 数据增强效果评估研究 |
| 2.3.1 分类算法 |
| 2.3.2 性能指标 |
| 2.4 深度学习框架简介 |
| 2.5 小结与分析 |
| 第3章 基于生成对抗网络的入侵检测数据增强方法 |
| 3.1 数据集分析 |
| 3.2 基于条件WASSERSTEIN生成对抗网络的入侵检测数据增强 |
| 3.2.1 数据表示方法 |
| 3.2.2 入侵检测数据增强模型构建 |
| 3.3 基于生成对抗网络的少数类攻击数据生成 |
| 3.4 基于改进ACWGAN-GP的入侵检测数据增强 |
| 3.4.1 数据表示方法 |
| 3.4.2 入侵检测数据增强模型构建 |
| 3.5 本章小结 |
| 第4章 实验结果与分析 |
| 4.1 条件WASSERSTEIN生成对抗网络生成结果与分析 |
| 4.1.1 实验环境配置 |
| 4.1.2 结果分析 |
| 4.2 少数类攻击生成结果与分析 |
| 4.2.1 实验环境配置 |
| 4.2.2 结果分析 |
| 4.3 改进ACWGAN-GP生成结果与分析 |
| 4.3.1 实验环境配置 |
| 4.3.2 结果分析 |
| 4.4 本章小结 |
| 总结与展望 |
| 参考文献 |
| 致谢 |
(10)使用Windows API进行恶意软件检测的研究(论文提纲范文)
| 摘要 |
| Abstract |
| 第一章 绪论 |
| 1.1 研究背景及意义 |
| 1.1.1 课题研究背景 |
| 1.1.2 课题研究内容 |
| 1.2 入侵检测国内外研究现状 |
| 1.3 论文研究内容及目标 |
| 1.3.1 论文研究内容 |
| 1.3.2 论文研究目标 |
| 1.4 论文结构与安排 |
| 第二章 Windows主机入侵检测 |
| 2.1 计算机病毒发展史 |
| 2.2 Windows恶意软件的种类 |
| 2.2.1 勒索病毒 |
| 2.2.2 挖矿病毒 |
| 2.2.3 DDoS木马病毒 |
| 2.2.4 蠕虫病毒 |
| 2.2.5 感染型病毒 |
| 2.2.6 后门病毒 |
| 2.2.7 木马病毒 |
| 2.2.8 间谍病毒 |
| 2.2.9 广告病毒 |
| 2.3 Windows恶意软件入侵的方式 |
| 2.4 Windows恶意软件检测方法 |
| 2.5 本章小结 |
| 第三章 入侵检测算法模型 |
| 3.1 决策树算法 |
| 3.1.1 ID3算法 |
| 3.1.2 C4.5算法 |
| 3.1.3 CART算法 |
| 3.1.4 决策树的生成和剪枝 |
| 3.2 决策树集成算法 |
| 3.2.1 RF |
| 3.2.2 AdaBoost |
| 3.2.3 GBDT |
| 3.2.4 XGBoost |
| 3.2.5 LightGBM |
| 3.3 本章小结 |
| 第四章 基于Windows API入侵检测系统设计 |
| 4.1 实验环境的搭建 |
| 4.1.1 Cuckoo沙箱环境 |
| 4.1.2 机器学习模型环境的搭建 |
| 4.2 数据的获取 |
| 4.2.1 公开数据集 |
| 4.2.2 自产数据集 |
| 4.2.3 数据的预处理 |
| 4.2.4 数据结构设计 |
| 4.3 机器学习模型的选取与训练 |
| 4.3.1 实验的分类设计 |
| 4.3.2 实验评价指标 |
| 4.3.3 实验方案1结果以及分析 |
| 4.3.4 实验方案2的结果及分析 |
| 4.4 入侵检测系统的评估 |
| 4.5 本章小结 |
| 第五章 总结与展望 |
| 5.1 论文工作的总结 |
| 5.2 未来研究展望 |
| 参考文献 |
| 附录 |
| 致谢 |
四、基于模式匹配的Windows主机入侵检测系统研究(论文参考文献)
- [1]计算机网络入侵检测系统的研究[J]. 陈晓安. 电子测试, 2021(18)
- [2]基于主机日志的恶意登录异常检测方法研究[D]. 明泽. 中北大学, 2021(09)
- [3]工控系统边缘服务安全技术研究[D]. 王嘉佩. 大连理工大学, 2021(01)
- [4]面向物联网的增量式入侵检测技术研究[D]. 刘天一. 北方工业大学, 2021(01)
- [5]基于多设备告警的威胁感知与评估方法研究与实现[D]. 魏晓宇. 北京邮电大学, 2021(01)
- [6]基于Snort的工业控制系统入侵检测系统设计与实现[D]. 帅隆文. 中国科学院大学(中国科学院沈阳计算技术研究所), 2021(08)
- [7]基于深度学习的入侵检测模型研究[D]. 李尹楠. 山西大学, 2021(12)
- [8]入侵报警数据融合与关联分析方法研究[D]. 石兰. 桂林电子科技大学, 2021
- [9]基于GAN的入侵检测数据增强技术研究[D]. 傅伟. 北京建筑大学, 2021(01)
- [10]使用Windows API进行恶意软件检测的研究[D]. 雷凯. 北京邮电大学, 2021(01)