论文题目: 分布式主动协同入侵检测系统研究与实践
论文类型: 博士论文
论文专业: 计算机软件与理论
作者: 邓琦皓
导师: 郭金庚
关键词: 入侵描述语言,分布式主动协同入侵检测,告警融合,扩展有限状态机
文献来源: 中国人民解放军信息工程大学
发表年度: 2005
论文摘要: 本文的研究目的是保护大型网络免遭分布式多步骤入侵。当前的入侵检测系统通常不能很好地处理这些大型网络中部署的传感器所产生的海量数据。因为专用节点处理能力有限,也容易遭受拒绝服务攻击,所以通常会成为整个系统的性能瓶颈。为此本文设计了一个分布式主动协同入侵检测原型系统DACIDS。检测过程本身是通过协同关联节点实现的,这些节点相互协同,将分布在受害网络中多台主机上的各部分证据综合起来形成正在发生的攻击全貌。 本文规范化了DACIDS中协同分析器的输入数据。DACIDS在关联入侵证据时,同等对待传感器的数据和子IDS的告警。这些数据格式多样、内容不一,系统利用分布式多步骤入侵特征语言描述的特征来检测分布式多步骤入侵时,要求协同分析器接收的数据格式一致,只有在格式一致的数据中才能方便地提取出合乎关联条件的内容。本文利用入侵检测工作组制定入侵检测消息交换格式时规范化数据的方法,修改其中的数据模型来满足DACIDS的需求。本文用统一建模语言描述了整个数据模型,给出了数据模型中几种重要类的文档类型定义。 本文提出了分布式多步骤入侵场景建模的方法。分布式多步骤入侵中某些步骤不会对被保护的主机或网段形成直接的威胁,因此不会被部署在其中的子入侵检测系统检测出来。根据分布式多步骤入侵的特点,本文将入侵场景分解成一系列传感器能观察到的特定的事件或者对应于子入侵检测系统能检测到的入侵子目标,将其统称为检测子任务;检测子任务间的关系包括检测子任务发生的先后次序,检测子任务对应的事件属性间的关系,并采用扩展的巴科斯范式对分布式多步骤入侵模型进行了抽象描述。由于采用了递归定义,因此可以方便地建模复杂的入侵场景。 本文定义了一种用来描述分布式多步骤入侵特征的语言DMISL。根据建立的分布式多步骤入侵的模型,定义了一种基于XML的分布式多步骤入侵特征语言,给出用该语言描述的分布式多步骤入侵特征的文档类型定义,用这个文档类型定义可以对安全管理人员或分布式主动协同入侵检测系统用户编码的分布式多步骤入侵特征进行格式检查。DMISL具有XML所有的优点。 本文实现了用于查找满足分布式多步骤特征的事件的分布式算法,该算法很重要的一点是将以DMISL编码的入侵特征转换为特定的扩展有限状态机后再依据状态的转移检测入侵。与现有的方式相比较,这种算法具有良好的可伸缩性和容错特性。这是因为检测过程只发生在具有部分攻击证据的主机上。本文没有使用传统的集中式或层次方式中所用的专用节点来实现事件关联,因为它们限制了可伸缩性,容易出故障或者遭受攻击从而造成单点失效。 本文改进了基于特征的网络子IDS的性能。为了解决提高整个系统的处理速度,本文对基于特征的网络子系统性能进行了改进。一种方式是引入AC状态机匹配算法取代原系
论文目录:
摘要
Abstract
第一章 引言
§1.1 网络安全及入侵检测
§1.1.1 网络安全的目标
§1.1.2 传统网络安全技术
§1.1.3 研究入侵检测的必要性
§1.1.4 入侵检测相关概念及术语
§1.2 主要研究内容和创新点
§1.3 论文章节安排
第二章 相关工作
§2.1 异常检测
§2.1.1 基于统计方法的异常检测
§2.1.2 基于贝叶斯推理的异常检测
§2.1.3 基于神经网络的异常检测
§2.1.4 基于数据挖掘的异常检测
§2.1.5 基于免疫学的异常检测
§2.2 误用检测
§2.2.1 基于专家系统的误用检测
§2.2.2 基于条件概率的误用检测
§2.2.3 基于状态转移分析的误用检测
§2.2.4 基于模型误用的误用检测
§2.3 分布式入侵检测系统结构分析
§2.3.1 集中式
§2.3.2 层次化
§2.3.3 完全分布式
§2.4 入侵描述语言
§2.5 本章小结
第三章 基本检测事件的规范化
§3.1 基本检测事件规范化的需求分析
§3.2 基本检测事件数据模型
§3.3 基于XML的基本检测事件规范
§3.3.1 Detect_Event类
§3.3.2 Sensor_Event类
§3.3.3 Sensor类
§3.3.4 Packet类
§3.3.5 SubIDS_Event类
§3.4 基本检测事件范例
§3.5 本章小结
第四章 分布式多步骤入侵场景建模及其描述
§4.1 分布式多步骤入侵场景建模
§4.1.1 检测子任务
§4.1.2 检测子任务序列
§4.1.3 约束条件的组合
§4.2 分布式多步骤入侵模型的抽象描述
§4.2.1 检测子任务的抽象语法
§4.2.2 分布式多步骤入侵模型描述的抽象语法
§4.2.3 分布式多步骤入侵模型的一个抽象描述例子
§4.3 分布式多步骤入侵特征语言
§4.4 本章小结
第五章 用于检测的DMISL扩展有限状态机
§5.1 DEFSM核心结构的构建
§5.2 DEFSM中状态输出的变量
§5.2.1 到达每个状态前已赋值过的变量集合
§5.2.2 动态约束的重定位
§5.2.3 转移的输出变量集合计算
§5.3 本章小结
第六章 DACIDS体系结构及分布式协同检测算法
§6.1 协同关联节点
§6.1.1 本地检测组件
§6.1.2 协同关联分析器
§6.2 目录服务
§6.3 管理器
§6.4 协同检测
§6.5 事件同步
§6.6 本章小结
第七章 基于特征的网络子IDS性能改进
§7.1 AC状态机匹配算法
§7.1.1 模式匹配定义
§7.1.2 BM算法
§7.1.3 AC状态机匹配算法
§7.1.4 Ac状态机匹配算法在特征检测子模块中的使用
§7.1.5 实验比较
§7.2 利用URL Cache提升网络入侵检测子系统性能
§7.2.1 NIDS的Web特征规则
§7.2.2 Snort中的Web入侵检测
§7.2.3 URL Cache思想
§7.2.3 算法设计
§7.2.4 性能评估
§7.3 本章小结
第八章 告警融合
§8.1 入侵行为模式(IAP)
§8.2 使用入侵行为模式进行告警融合
§8.2.1 减少告警数量
§8.2.2 用于虚警处理
§8.3 入侵行为模式匹配算法
§8.3.1 扩展有限状态机的生成
§8.3.2 模式匹配算法
§8.3.3 关于算法的说明
§8.4 告警融合模块
§8.5 本章小结
第九章 总结与展望
§9.1 本文研究内容总结
§9.2 进一步研究工作的展望
致谢
参考文献
攻读博士期间发表的论文
攻读博士期间的译著
发布时间: 2006-02-20
参考文献
- [1].基于生物免疫学的入侵检测系统的研究与实现[D]. 张琨.南京理工大学2003
- [2].入侵检测系统数据分析方法及其相关技术的研究[D]. 关健.哈尔滨工程大学2004
- [3].智能网络入侵检测系统关键技术研究[D]. 邹涛.国防科学技术大学2004
- [4].基于数据挖掘的入侵检测关键技术研究[D]. 熊家军.华中科技大学2004
- [5].基于序列模式挖掘的误用入侵检测系统及其关键技术研究[D]. 宋世杰.国防科学技术大学2005
- [6].入侵检测系统性能提高新技术研究[D]. 金舒.南京理工大学2006
- [7].基于免疫遗传算法的入侵检测系统研究[D]. 刘刚.铁道部科学研究院2006
- [8].入侵检测信道模型研究[D]. 饶鲜.西安电子科技大学2006
- [9].网络入侵检测系统关键技术研究[D]. 魏宇欣.北京邮电大学2008
- [10].基于免疫学的入侵检测系统研究[D]. 吴作顺.中国人民解放军国防科学技术大学2003
相关论文
- [1].入侵检测系统数据分析方法及其相关技术的研究[D]. 关健.哈尔滨工程大学2004
- [2].网络入侵检测系统NIDS的新技术研究[D]. 薛强.天津大学2004
- [3].基于免疫遗传算法的入侵检测技术研究[D]. 张凤斌.哈尔滨工程大学2005
- [4].网络安全检测关键技术研究[D]. 高翔.西北工业大学2004
- [5].基于对等协同的分布式入侵检测系统模型研究[D]. 陈波.电子科技大学2006
标签:入侵描述语言论文; 分布式主动协同入侵检测论文; 告警融合论文; 扩展有限状态机论文;