基于异常分析的入侵检测关键技术研究

论文摘要

随着计算机网络及技术的迅速发展,计算机入侵行为也逐年上升,这严重威胁了各种计算机系统的发展及应用。网络攻击方法层出不穷,入侵手段也不断更新,使得目前的防火墙等被动的网络安全机制对许多攻击难以检测。入侵检测技术作为一种主动防御技术,弥补了传统安全技术的不足,然而目前的研究还十分不够。本文对入侵检测研究现状进行了总结,对黑客攻击的方法和技术进行了归纳,对入侵检测的主要技术、方法、体系结构进行了深入的分析,提出了入侵检测技术面临的问题和研究发展趋势,并对入侵检测技术的几个关键理论和方法进行了研究及实验。本文的主要工作如下:1.采用一致逼近和付氏变换对审计信息进行分析,从结构性数据集合中提取特征的有效方法,该方法将空间变换、函数逼近方法和滤波相结合,首先通过空间变换将被观察的审计数据变换到另一个观察空间,然后采用函数一致性逼近的方法来拟合审计数据,最后采用滤波的方式提取重要的特征参数进行比较。2.从如何完善和改进网络入侵检测系统的检测规则方面着眼,说明了噪声环境下入侵行为的相似关系,建立了一个网络入侵检测系统的模糊规则学习模型。并以入侵检测系统原有检测特征为基础,创建了基于权重的模糊检测方法。同时提出了一个反馈误差学习算法,用于对模糊检测方法进行改进以求达到识别的最优。这种匹配模型可以应用于所有基于特征数值的入侵检测系统。3.提出一个免疫遗传模型来重新构造状态转移分析检测方法。在该模型中使用了由状态链和行为链组成的双链基因模式来表示系统的状态转移,并使用STAT系统的原有检测规则来构造初始的专家DNA疫苗库。该模型可以在大空间内分布式有效地进行入侵检测规则的搜索。4.基于静态Markov模型的入侵检测方法中不合理的假设影响了该模型的入侵检测效果。为此提出了窗口Markov模型,又在该模型的基础上引入了窗口模糊隶属度。借助本文的模型可以从系统正常运行情况下产生的事件中提取出一个简便的预测模型,能有效地检测出系统的异常运行状态。同静态Markov模型方法相比,用模糊窗口Markov模型可以一定程度上抵抗噪声数据的干扰,具有更好的异常检测性能。5.从目的节点出发,提出网络可抽象为一个有源的场,场源是目的节点,在某一节点上发送到目的节点的数据包频度(一定时间内的数据包总量)抽象为在此节点上场的散度。据此提出了防守联盟协议,用于完善空间性审计信息以提高入侵检测系统的性能,同时介绍了协议内容、数据格式和协议的基本服务原语;防守联盟协议包括目的节点和相邻节点间的防守联盟协议、以及目的节点和网管中心间的防守联盟协议,目的节点和相邻节点间的防守联盟协议阐述了存在于相邻节点的审计信息如何获取并发送至目的节点,目的节点和网管中心间的防守联盟协议阐述了利用网管中心如何认证连接的真实性以完善空间性审计信息,并分析了二者的关系;简单分析了防守联盟协议的自身安全性。

论文目录

摘要

ABSTRACT

第一章绪论

1.1 研究背景

1.2 传统安全模型的局限性

1.3 网络安全体系结构

1.4 网络安全与入侵检测

1.5 本文的主要创新工作

1.6 论文的结构安排

第二章入侵检测技术综述

2.1 入侵检测的基本概念

2.2 网络的入侵行为

2.2.1 探针（Probe attacks）型攻击

2.2.2 拒绝服务DoS （Denial of Service attacks）

2.2.3 R2L（Remote to Local attacks）

2.2.4 U2R （User to Root attacks）

2.2.5 数据攻击

2.3 入侵检测方法分类

2.3.1 主机型入侵检测系统

2.3.2 网络型入侵检测系统

2.3.3 混和入侵检测系统

2.3.4 误用检测

2.3.5 异常检测

2.3.6 实时攻击检测与事后攻击检测

2.4 入侵检测模型

2.5 入侵检测技术的发展回顾

2.6 主要的IDS 产品

2.7 入侵检测的发展方向

第三章基于逼近及模糊方法的统计检测

3.1 引言

3.2 异常检测算法

3.3 基于空间变换、一致逼近和滤波的异常检测

3.3.1 检测方法分析

3.3.2 算法的总体框架

3.3.3 一致逼近

3.3.4 构造评价值

3.4 基于逼近算法的实验

3.5 特征匹配中的问题及入侵行为相似性

3.5.1 IDS 漏检与误检的原因

3.5.2 同类行为的相容关系

3.6 模糊检测特征学习

3.6.1 模糊检测特征的建立

3.6.2 反馈误差学习策略

3.6.3 稳定性分析

3.7 模糊方法实验

3.8 小结

第四章基于免疫遗传的状态转移分析技术

4.1 前言

4.2 免疫系统与遗传算法

4.2.1 免疫系统

4.2.2 遗传算法

4.3 STAT 状态转移分析

4.3.1 状态转移分析原理

4.3.2 STAT 总体结构

4.4 基于免疫遗传算法的入侵检测

4.4.1 免疫遗传搜索算法分析

4.4.2 基于免疫遗传算法的入侵检测

4.5 有效性试验

4.6 小结

第五章模糊窗口Markov 入侵检测技术

5.1 引言

5.2 问题分析及相关理论

5.2.1 Sun Solaris BSM

5.2.2 短序列匹配算法

5.2.3 滑动窗口分割

5.2.4 滑动窗口序列分析

5.3 静态Markov 链分析

5.4 粗糙多步Markov 链方法

5.5 窗口Markov 链分析

5.6 模糊窗口Markov 链分析

5.7 实验测试

5.7.1 阈值选择对异常检测的影响

5.7.2 滑动窗口长度对异常检测的影响

5.7.3 模糊窗口大小对异常检测的影响

5.7.4 综合检测结果

5.8 小结

第六章完善空间性审计信息——防守联盟协议DAP 的研究

6.1 引言

6.2 空间审计信息研究

6.2.1 审计信息分析

6.2.2 数据质量分析

6.2.3 空间分析

6.3 防守联盟协议：完善空间性审计信息的方法

6.3.1 分布式拒绝服务攻击（DDOS）

6.3.2 对等实体的形式化通信模型

6.3.3 目的节点的安全系数

6.4 目的节点和相邻节点间的防守联盟协议（NBDAP）

6.5 目的节点和网管中心间的防守联盟协议（MCDAP）

6.5.1 相关概念

6.5.2 协议

6.5.3 规则与服务原语

6.5.4 协议的安全分析

6.6 小结

第七章全文总结

7.1 本文主要工作

7.2 进一步的研究工作

参考文献

发表论文和科研情况说明

致谢

基于异常分析的入侵检测关键技术研究

论文摘要

论文目录

相关论文文献

猜你喜欢