文献类型：期刊文章

作　　者：诸葛建伟[1] 王大为[1] 陈昱[1] 叶志远[1] 邹维[1]

机构地区：[1]北京大学计算机科学技术研究所,北京100871

出　　处：《软件学报》

基　　金：国家"十五"科技攻关计划;微软学者计划;IBM 博士生英才计划~~

年　　份：2006

卷　　号：17

期　　号：3

起止页码：463-471

语　　种：中文

收录情况：AJ、BDHX、BDHX2004、CSA、CSA-PROQEUST、CSCD、CSCD2011_2012、EI、IC、INSPEC、JST、MR、RCCSE、SCOPUS、ZGKJHX、ZMATH、核心刊

摘　　要：网络异常检测技术是入侵检测领域研究的热点内容,但由于存在着误报率较高、检测攻击范围不够全面、检测效率不能满足高速网络实时检测需求等问题,并未在实际环境中得以大规模应用.基于D-S证据理论,提出了一种网络异常检测方法,能够融合多个特征对网络流量进行综合评判,有效地降低了误报率和漏报率,并引入自适应机制,以保证在实时动态变化的网络中的检测准确度.另外,选取计算代价小的特征以及高效的融合规则,保证了算法的性能满足高速检测的要求.该方法已实现为网络入侵检测原型系统中的异常检测模块.通过DARPA1999年IDS基准评测数据的实验评测表明,该方法在低误报率的前提下,达到了69%的良好检测率,这一结果优于DARPA1999年入侵检测系统评测优胜者EMERALD的50%检测率和同期的一些相关研究成果.

关 键 词：入侵检测 异常检测 D-S理论 证据理论 数据融合  

分 类 号：TP309]