分布式入侵检测系统关键技术研究

论文摘要

入侵检测系统在计算机网络系统安全中起着关键作用。本文在深入分析了当前入侵检测技术研究现状的基础上,提出并构建了一个完整的基于移动代理的分布式入侵检测系统。该系统具有比传统入侵检测系统更好的检测性能以及具有可靠性、健壮性和自适应性等优点。本文所提出的分布式入侵检测系统关键技术包括一个平台和三个子系统即:基于移动代理的入侵检测平台、基于主机系统调用序列分析的入侵检测子系统、基于主机用户行为关联分析的入侵检测子系统、基于网络数据包免疫分析的入侵检测子系统。本文首先界定了分布式入侵检测系统的基本特征和关键技术要素,然后描述了移动代理平台的基本特性,分析了智能移动代理在分布式入侵检测系统的关键性平台作用。接着提出了一种移动代理的位置透明性方案,该方案有效解决移动代理平台位置管理和消息传递的基础问题。最后提出一种基于移动代理的入侵检测平台,给出系统的体系结构,阐述实现的关键技术,并进行了相关测试。大部分入侵行为都必须通过系统调用来达到它们破坏系统的目的。基于特定程序的系统调用序列具有一定稳定性的原理,本文提出一种系统调用序列分析的系统模型以及详细设计方案。采用将运行于核心态的调用信息拷贝到用户缓冲区中,提取所需的系统调用信息。然后在无入侵的情况下,经过海量的正常的系统调用序列训练得到正常模式库。最后将实时监测到的特定程序的系统调用序列与正常的系统调用模式库进行匹配,采用汉明距离计算出他们的最大相似度,以判定是否出现入侵异常。最后对系统调用序列分析检测模块在移动代理平台下的实现进行了相关测试。有许多入侵行为都是合法用户的非正常操作来达到破坏系统的目的。与系统调用序列分析不同的是,用户行为分析主要涉及到合法用户的非法或误操作模式。基于普通用户的操作行为具有前后的关联性原理,本文提出一种基于用户行为关联分析的系统模型以及详细的设计方案。首先定义了主机合法用户的行为特征和行为模式,采用静态和动态相结合的方式进行用户行为模型的建立,然后根据操作系统日志信息,针对用户的每次登陆会话产生用户行为特征数据,采用递归式相关函数算法来对关联序列进行相似度的计算,以判定是否出现非常行为。最后对用户行为关联分析检测模块在移动代理平台下的实现进行了相关测试。网络数据包分析可以对某个网段的网络数据流进行大规模的分析处理,可以有效监控大规模的计算机网络。由于免疫系统天然的分布性,非常契合入侵检测系统的需求。本文提出一种移动代理平台下的网络数据包免疫分析系统模型以及详细的设计方案。采用最简单的二进制方式表达网络数据包的自我特征;特征之间的距离采用欧拉距离的计算方式;检测器的初始产生采用简单的r连续匹配穷举法,各个检测子节点均可以自主产生属于自己的检测器集合;设置一个总体检测集合库,用于存放源自于各个检测节点所带来的经过初选的检测集,并通过基于克隆选择的二次精英机制产生后代种群。经过各个节点的自体首次免疫耐受,再经过总检测库基于克隆选择的二次精英机制搜索产生优化种群,可以使得系统的各个节点和总控节点都在不断的进化当中,使得检测器所产生的无效检测漏洞概率大大降低。最后自主设计并实现了一个基于移动代理的分布式入侵检测系统原型系统,实验表明移动代理的平台完全能够作为分布式入侵检测系统的可靠的、安全的平台,运行其上的系统调用序列分析、用户行为关联分析、网络数据包免疫分析完全能够达到了预期目标。

论文目录

中文提要

Abstract

第1章绪论

1.1 课题来源及意义

1.2 入侵检测系统

1.2.1 基本模型和相关协议

1.2.2 入侵检测系统的分类

1.2.3 入侵检测的研究现状

1.3 本文的主要工作

1.4 本文的组织结构

第2章分布式入侵检测系统综述

2.1 分布式入侵检测的形式化描述

2.2 分布式入侵检测系统关键技术

2.2.1 基于移动代理的入侵检测系统

2.2.2 基于系统调用分析的入侵检测

2.2.3 基于用户行为分析的入侵检测

2.2.4 基于网络数据包分析的入侵检测

2.3 本章小结

第3章基于移动代理的入侵检测系统

3.1 移动代理

3.1.1 分布式人工智能

3.1.2 代理的强弱定义

3.2 移动代理的位置透明性研究

3.2.1 移动代理的一般定位机制

3.2.2 新型位置透明性解决方案

3.2.3 方案评估分析

3.3 基于移动代理的入侵检测系统

3.3.1 系统体系结构

3.3.2 平台实现的关键技术

3.3.3 基于移动代理的入侵检测平台测试

3.4 本章小结

第4章基于系统调用序列分析的入侵检测

4.1 系统调用与操作系统内核

4.2 系统调用的序列分析

4.2.1 基于系统调用的入侵检测

4.2.2 系统调用序列分析的现状

4.3 序列分析的设计

4.3.1 序列分析的系统模型

4.3.2 序列分析的详细设计

4.4 系统调用分析的入侵检测测试

4.5 本章小结

第5章基于用户行为关联分析的入侵检测

5.1 主机的用户行为

5.2 用户行为的关联分析

5.2.1 用户行为模式的定义

5.2.2 关联分析的数学模型

5.2.3 关联匹配算法

5.3 关联分析的设计

5.3.1 关联分析的系统模型

5.3.2 关联分析的详细设计

5.4 用户行为分析的入侵检测测试

5.5 本章小节

第6章基于网络数据包免疫分析的入侵检测

6.1 人工免疫原理与入侵检测

6.1.1 生物免疫、人工免疫与入侵检测

6.1.2 人工免疫系统的工程框架

6.1.3 基于免疫的分类器设计

6.2 基于人工免疫的入侵检测模型

6.2.1 免疫分析的系统模型

6.2.2 模型的数学描述

6.2.3 相关定量分析

6.3 免疫分析的设计

6.3.1 自我特征表达

6.3.2 检测器的初始产生

6.3.3 检测器的二次进化

6.3.4 主要算法设计

6.4 网络免疫分析的入侵检测测试

6.5 本章小结

第7章总结与展望

7.1 创新点总结

7.2 研究展望

参考文献

缩略语表

攻读学位期间公开的发表论文和参加的科研项目

致谢

详细摘要

分布式入侵检测系统关键技术研究

论文摘要

论文目录

相关论文文献

猜你喜欢