论文摘要
入侵检测是一种用于检测计算机网络系统中入侵行为的网络信息安全技术。本文针对入侵检测技术的发展趋势和应用需求,研究两种典型的入侵检测方法,分别是基于网络数据包的误用检测方法和基于审计数据的异常检测技术。首先研究了入侵检测系统的标准结构与功能、入侵检测数据源及其产生机制等,对现有的一些入侵检测方法进行了分析与总结。针对实际系统不能完全满足Markov条件,在此基础上建立的模型和检测算法性能不理想的情况,提出一种基于HMM模型的网络入侵误用检测方法。通过HMM模型来刻画和模拟攻击模式,将判断待检测行为属于哪种已知攻击的问题归结为模式的匹配问题,实现了对已知攻击类型的检测和分类。针对U2R和R2L类攻击的高度隐蔽性和极大危害性以及HMM模型在应用过程中存在的无法描述状态驻留、模型学习复杂度偏高、模型对审计数据的规律性转移很难精确模拟等问题,在HMM模型的基础上进行改进,提出主要针对U2R和R2L类攻击的基于HsMM模型的主机型入侵异常检测系统。在训练时间增加不多的情况下,提高了系统的检测性能,大幅降低了检测的误报率和漏报率。最后研究了入侵预报问题,重新定义了描述入侵检测的HsMM模型结构,通过分配各个系统调用的风险性确定状态驻留的时间。计算当前系统调用序列的产生概率来判定当前主机行为是否异常及其后续系统调用发生异常的概率,提前发现其中具有高度入侵危险的进程,并估计该进程发生一次入侵攻击的大致时间,从而在攻击实施前发现企图,为主动入侵防御赢得时间。
论文目录
摘要Abstract第一章 绪论1.1 课题的背景及意义1.2 网络安全与入侵检测1.2.1 网络安全的概念与安全威胁1.2.2 网络安全对策与入侵检测1.2.3 网络安全模型与入侵检测1.2.4 入侵检测的必要性1.3 入侵检测概述1.3.1 入侵检测的概念1.3.2 入侵检测的分类1.3.3 入侵检测系统1.4 入侵检测技术的研究现状及发展方向1.4.1 入侵检测技术研究的历程和现状1.4.2 入侵检测技术存在的问题1.4.3 入侵检测技术的发展方向1.5 本文的主要工作和内容安排第二章 常见攻击手段及其原理分析2.1 入侵与攻击2.1.1 入侵与攻击的定义2.1.2 攻击的分类2.2 网络攻击的发展和变化2.3 小结第三章 基于HMM 模型的网络入侵误用检测方法3.1 引言3.2 网络入侵检测的数据源3.2.1 网络数据包3.2.2 数据的特征选择和提取3.3 入侵检测的HMM 模型3.3.1 HMM 模型3.3.2 评估问题-前向后向算法3.3.3 解码问题-Viterbi 算法3.3.4 训练问题-Baum-Welch 算法3.3.5 关于HMM 训练的几点考虑3.4 基于HMM 模型的误用检测3.4.1 流程框图3.4.2 建模训练3.4.3 入侵行为检测3.5 实验结果及分析3.5.1 网络数据预处理3.5.2 实验结果与分析3.6 小结第四章 基于 HsMM 的主机型异常检测技术4.1 引言4.2 审计数据与特权流4.2.1 审计数据4.2.2 特权流(Privilege flow)4.2.3 DARPA 数据集4.3 基于 HsMM 模型的异常检测4.3.1 系统结构框图4.3.2 HsMM 模型4.3.3 基于HsMM 模型的异常检测4.4 实验结果与分析讨论4.5 小结第五章 基于 HsMM 的入侵预报研究5.1 引言5.2 入侵预报 HsMM 模型的训练5.3 基于 HsMM 模型的入侵预报5.4 实验结果与分析讨论5.5 小结第六章 总结与展望6.1 本文的主要贡献6.2 需进一步研究的问题致谢参考文献攻读硕士学位期间发表的论文
相关论文文献
标签:网络安全论文; 误用检测论文; 异常检测论文; 隐半马尔可夫模型论文; 入侵预报论文;
