论文摘要
随着信息化大潮席卷全球,信息已逐渐成为推动社会经济发展的关键因素,而网络也已无处不在。然而网络信息犹如一柄双刃剑,一方面,网络技术的发展推动了科技的发展和社会的进步;另一方面,由于网络带来的信息污染、信息授权、信息渗透、乃至信息犯罪却让所有的网络管理人员和计算机网络用户头痛不已。信息安全已逐渐成为各国极为关注的问题。入侵检测技术是主动防御技术的关键。但目前入侵检测系统存在的高误报率、缺乏互操作能力、缺乏全局视图和警报关联等问题,已严重限制了入侵检测系统的发展和应用。本文围绕IDS评估指标体系、报警危急度、报警关联技术等开展研究与实现工作,本文所做的工作主要集中在:1.针对IDS测评研究的现状,提出了一个三维度的IDS评估指标体系,并给出具体指标的定义和几何模型。该模型能全方位定量描述IDS的表现,弥补了现有评价指标过于零散、缺乏定量指标和片面的不足,为IDS评价提供了前提和基础;2.提出了报警危急度的定义与模型,并给出应用实例。该模型考虑了报警次数、报警已逝去时间等因素对危急度的影响,以及影响危急度的直接因素和与攻击有关的间接因素;3.危急度在统一报警格式中的应用。在AISM模型的基础上提出了修正的ABAIM模型,该模型能更好地兼容IDMEF的工作,包含了危急度信息,并且具有更强的表达能力;4.在CRIM的基础上提出了分布式IDS警报关联框架,给出了警报关联的实现思路、警报聚集的实现模型,并实现了其中关键算法;在此基础上,给出了海量警报的几何显示方法。本文的研究成果已经在十五863“网络安全监控与预警系统”(2003AA142010)中得到应用,为课题顺利通过验收打下了基础。