基于免疫机理的入侵检测技术研究

论文摘要

入侵检测系统(IDS)的主要目标是检测计算机系统内部或外部入侵者的非授权使用、误用和滥用。IDS独特的作用使它在网络安全体系中占有不可替代的地位。生物免疫系统与入侵检测系统有着许多相似之处，这些相似性使免疫系统为入侵检测系统提供了一个自然的研究模板。特别是免疫系统在信息处理中表现出的分布式保护、多样性、自适应性、健壮性、记忆能力、容错能力、动态稳定性等良好特性，正是当前入侵检测领域中所期望得到的，以克服当前IDS所面临的问题。在传统方法还不能解决网络安全问题之时，借鉴生物免疫系统的免疫原理进行入侵检测技术研究已引起计算机安全研究人员的高度重视，目前这方面的研究已成为一个热门方向。本论文在研究生物免疫机制的基础上，为提高入侵检测系统自学习、自适应技术，在以下方面作了一些有创造性的研究与探索： (1)基于抗原／抗体多样性，提出“特征元素—特征因子—特征基—特征”的多层次、多特征融合的特征表述方法。该方法具有多样性。一组特征因子，通过不同的组合，可产生多样的特征基。一组特征基，通过不同的组合，可表征不同入侵行为的特征；该方法具有开放性。新的特征基可能是已有特征因子的新组合，实际可识别空间取决于特征因子的可组合数，这个数目远远大于现有的特征基数。 (2)基于抗体基本功能及结构特点，设计了融检测与自动响应于一体的检测器。检测器由检测特征基、攻击标识和效应函数指针三者构成。检测特征基，形式上与入侵特征基一致，因此也具有开放性和多样性。检测特征基的多样性，决定了检测器的多样性，是检测器可进化的基础。攻击标识是对入侵特征基识别后的分类结果。效应函数指针链接响应措施，特别是主动响应措施，一方面提高系统的防御能力，另一方面为检测器进化提供必要的时间。 (3)基于免疫danger theory，提出以危险信号作为攻击检测协同作用的思想。本文以被保护对象发出的可测的极小受损迹象作为“危险信号”，以此作为攻击检测的协同作用信号。旨在通过该协同检测，提高对未知攻击的检测能力、克服由于“正常”与“异常”界线模糊引起的误报与漏报、引导检测器进化，从而提高IDS的自适应能力。 (4)基于粗糙集理论，实现了对危险信号的测定。本文主要以易测量且又能直接反映系统工作状态，与系统可用资源相关的参数及受保护对象属性等为危险信号来源。在多个危险因子共同作用时，基于粗糙集理论，用各个危险因子对危险决策的重要性确定各自的权值，危险信号值是各危险因子的加权和。

论文目录

摘要

Abstract（英文摘要）

1 绪论

1.1 论文研究的背景与意义

1.1.1 网络安全现状

1.1.2 入侵检测的必要性

1.1.3 入侵检测面临的挑战

1.1.4 入侵检测的发展趋势

1.1.5 基于免疫的入侵检测思路

1.2 论文研究内容与组织结构

1.2.1 主要研究内容

1.2.2 主要工作与创新性

1.2.3 论文组织结构

1.3 小结

2 入侵检测和生物免疫机理

2.1 入侵检测概论

2.1.1 入侵

2.1.2 入侵检测

2.1.3 入侵检测的分类

2.1.4 主流检测技术介绍

2.2 生物免疫机理和性质

2.2.1 生物免疫机理

2.2.2 免疫系统性质

2.3 入侵检测与生物免疫相似之处

2.4 该领域研究进展

2.5 小结

3 基于抗原/抗体多样性机制的入侵特征表述与识别

3.1 研究动机

3.1.1 问题的提出

3.1.2 抗原/抗体多样性启示

3.1.3 研究目标

3.2 攻击及攻击特征

3.2.1 攻击步骤

3.2.2 典型攻击介绍

3.2.3 攻击特征分析

3.3 设计与实现

3.3.1 特征成份剖析

3.3.2 特征模糊性分析

3.3.3 特征库创建

3.3.4 特征提取算法

3.4 小结

4 危险信号协同刺激的入侵检测与防御

4.1 研究动机

4.1.1 问题的提出

4.1.2 免疫危险理论

4.1.3 研究目标

4.2 入侵检测协同刺激信号设计与测试

4.2.1 协同刺激信号设计

4.2.2 危险信号测定

4.3 危险检测协同刺激的IDS

4.3.1 系统逻辑结构

4.3.2 处理流程

4.3.3 危险信号的控制策略

4.4 小结

5 基于免疫的IDS模式进化

5.1 研究动机

5.1.1 问题提出

5.1.2 免疫系统的学习进化

5.1.3 研究目标

5.2 IDS检测器/免疫细胞

5.2.1 检测器结构解析

5.2.2 效应函数

5.2.3 检测器分类

5.2.4 检测器结构设计

5.3 检测器的进化

5.3.1 特异性识别

5.3.2 克隆选择

5.3.3 亲和力成熟/检测器进化

5.4 IDS模式及模式进化

5.4.1 入侵/检测模式定义

5.4.2 模式的交叉

5.4.3 模式匹配

5.4.4 模式进化

5.5 算法性能测试

5.5.1 变异与检测器进化

5.5.2 检测器数与扫描时间

5.5.3 激活阈值与扫描时间

5.6 小结

6 系统构建与实施

6.1 问题定义

6.2 规则提取

6.2.1 数据源

6.2.2 基于Rough Set的规则提取

6.3 实验环境构建

6.3.1 硬件

6.3.2 开发平台

6.4 攻击实施

6.4.1 Ping to death

6.4.2 portsweep

6.4.3 Hgod

6.5 数据采集与预处理

6.5.1 捕包器设计与流量统计

6.5.2 CPU性能测试

6.5.3 内存使用监测

6.5.4 进程捕获

6.6 工作曲线

6.7 小结

7 总结与展望

7.1 本文总结

7.2 进一步研究工作

致谢

参考文献

攻读博士期间参加科研项目情况

攻读博士期间发表论文情况

基于免疫机理的入侵检测技术研究

论文摘要

论文目录

相关论文文献

猜你喜欢