论文摘要
随着互联网技术的快速发展,网络提供的功能和服务越来越多样,电子商务、电子政务等一些高级的网络应用的出现,要求网络环境提供的安全的程度也越来越高。但是现如今的网络环境并不乐观,充斥着大量网络攻击、非法操作的网络环境对网络安全研究者提出了很高的要求。看似信息丰富,发展形势大好的网络环境中,存在着许多的虚假信息与破坏型的数据。网络病毒,网络攻击已经成为了现在非常令人头疼的问题。如何进行更好的网络环境的维护一直是网络管理者时刻在努力解决的难题。而在众多的网络攻击中,多步攻击亦即DOS攻击这个出现了10多年之久却至今找不到一种良好的抵御其攻击的方法的网络攻击为现在最主要的网络攻击手段之一。入侵检测系统(IDS)近年来作为除防火墙之外的重要的网络防护设备,其防护与监测能力较防火墙有极大的改善,在很多领域都显示出了很好的应用性和适应性,对于现在的复杂的网络环境有很好的防御能力。相比传统的防火墙技术,入侵检测系统不再是被动防御,不再是简单制定条件规则,而是能够做到积极的防御。但其警报的误报率问题一直是困扰其发展的主要问题,尤其是对多步的攻击它难以做到准确的预测与防护。越来越严峻的网络安全难题已经摆在现在网络技术发展首先必须解决的位置上,入侵检测系统的发展面临着很严峻的挑战。本文对入侵检测技术和多步攻击技术在国内外研究现状进行介绍,分析了现在诸多研究领域的研究热点与存在的主要问题,从不同方向对现在发展的核心技术进行了详细的阐述,这样就可以了解到各种方式的优劣,通过对比各种方法的利弊后,提出了一种基于贝叶斯网络方法的多步攻击分析方法来解决入侵检测系统中警报关联的问题。该算法融合了贝叶斯网络模型建立的方法,并结合离散数学中关键路径与最大路径的图论查询方式来解决警报关联的问题,最后通过相关理论验证了这个算法的可行性。其中贝叶斯网络模型的建立提供了一个依靠属性之间的关联程度建立模型的方法,通过统计知识赋予权值,以这个权值建立类贝叶斯网络模型的网络拓扑图,而后通过关键路径与最大路径方法找寻一个攻击数据可能出现的区域作为判断网络攻击是否出现的依据,重现一个复杂攻击的完整模型,这样就能够非常清晰的了解一个攻击的具体实现过程,为更好的防御这种攻击起到积极的推动作用。最后本文通过实验来证明该方法在多步攻击的分析中是一种简单高效的方法,通过实验数据证明了这个算法所能处理的数据信息和算法的可行性—既能检测出简单攻击,也能发现大多数的多步攻击。