首页> 正文

基于对象监控的分布式协同入侵检测

2020-11-28阅读(750)

基于对象监控的分布式协同入侵检测

论文摘要

网络安全形势依然严峻,网络攻击事件时常发生,入侵检测技术的研究需要继续深入,国内外许多专家、学者从不同角度研究攻击分类问题,给出了各自的攻击分类体系,进而支持检测一定的攻击行为,这可通过部分分类体系与分类思想正被应用于当前的一些入侵检测系统证实。然而入侵检测尚有许多问题未解决:①误警率与漏警率高使入侵检测方法难于实用;②几乎每天都有新的攻击方法诞生,而又缺乏有效的方法检测;③分布式协同攻击使许多检测方法失效;④入侵检测系统很难有效地从海量数据中检测出攻击行为。针对上述问题,本文从研究攻击分类入手,提出了相应的检测方法,在一定程度上解决了入侵检测问题。本文的主要工作在于:提出了一种O-R-M-C(Object,Result,Mechanism,Characteristics)分类体系。O-R-M-C分类以对象为中心,先确定被攻击对象Object,定位被攻击点;其次考察攻击产生的结果和危害程度Result,以迅速做出相应的行动,降低损失;进而分析攻击机理Mechanism,探知攻击的内在原因、攻击方法及攻击情况;总结归纳出攻击的一般特征Characteristics,以利于应对类似攻击或重复攻击的检测。提出了一个分布式协同入侵检测模型。基于O-R-M-C分类体系,提出了一个由传感器、事件生成器、特征检测代理、场景检测代理、融合中心和控制中心组成的6层结构的分布式协同入侵检测模型。传感器用于收集网络数据包、日志和其他信息,提交给事件生成器;事件生成器对数据进行初步检测、过滤,将正常用户数据及显式入侵数据剔除、过滤掉,目标是尽可能减少入侵检测器处理的数据量,对不确定数据,生成可疑入侵事件,转发到相应的入侵事件检测代理;入侵事件检测代理(特征检测/场景检测/融合中心)对可疑入侵事件进行分析,剔除、过滤掉正常用户数据,当检测出攻击行为时,转响应单元处理;对仍不能确定的可疑入侵数据,提交给更高层的检测代理;监控中心监控、管理、协调各入侵事件检测代理(特征检测代理/场景检测代理)的工作,调节各检测代理负载。设计并实现了四种入侵事件检测代理,他们分别是特征检测代理、场景检测代理、统计检测代理和基于数据融合技术的检测代理。特征检测代理抽取可疑入侵事件的特征,将其与数据库存放的已知攻击特征进行比较、分析,判断是否为入侵行为;场景检测代理通过对一个已知攻击,分析其攻击机理,将已知攻击及其所有派生攻击组织进一个入侵场景,构造出检测已知攻击及其所有派生攻击的检测自动机;统计检测代理通过考察受害者对象在一定时间内的通信量,判断其是否超出预先设定的阈值来检测攻击行为;数据融合技术的检测代理给出了从空间、时间与内容上融合数据的方法,进而给出了数据融合算法。设计并实现了检测三大类攻击的检测器,第一类是扫描攻击与拒绝服务攻击检测器,由于扫描攻击与拒绝服务攻击机理、受害对象都相同,因而依据O-R-M-C分类体系,本文提出了一个基于三层结构的检测器检测扫描攻击与拒绝服务攻击,它由特征检测代理、场景检测代理与统计检测代理三层结构组成;第二类是木马攻击检测器,它由基于规范的检测(特征检测代理)与统计检测代理组成;第三类是权限提升及其变种攻击检测器,它由场景检测代理完成。解决了检测已知攻击及其所有派生攻击的检测问题。研究了权限提升攻击机理,探究了攻击与对象状态变迁的内在联系,揭示了通过一个已知攻击产生变种攻击的原理、技术与方法,提出了运用场景(Scenario)与对象监控技术检测已知攻击及其所有派生的新攻击的方法,进而组织入侵场景,构造有穷自动机来检测这些入侵行为。由于一个变种攻击不同于已知攻击,从这种意义上说,我们提出的方法能够检测新的攻击。设计并实现了基于数据融合技术的协同入侵检测算法。探讨了数据融合技术在入侵检测领域的应用,给出了从空间、时间及内容上融合可疑入侵数据的方法,通过协同攻击、多次会话攻击及精心设计的攻击的检测问题说明如何运用数据融合技术,改进检测效果。设计并实现了一个协同入侵检测原型系统CoIDM(Collaborative IntrusionDetection Model)。经实验验证了CoIDM入侵检测原型的有效性,检验了本模型能够检测刻意伪装的攻击及多个攻击者进行的协同攻击。最后给出了将来进一步研究的方向。

论文目录

  • 摘要
  • ABSTRACT
  • 目录
  • Contents
  • 第一章 绪论
  • 1.1 引言
  • 1.2 网络安全技术简介
  • 1.2.1 加密与解密技术
  • 1.2.2 访问控制技术
  • 1.2.3 防病毒技术
  • 1.2.4 审计
  • 1.2.5 防火墙
  • 1.2.6 入侵检测技术
  • 1.2.7 其他网络安全技术
  • 1.3 入侵检测技术概述
  • 1.3.1 入侵和入侵检测
  • 1.3.2 入侵检测的标准化
  • 1.4 入侵检测现状及问题
  • 1.4.1 入侵检测系统分类
  • 1.4.2 现有入侵检测系统的不足
  • 1.4.3 入侵检测技术发展趋势
  • 1.5 研究内容和组织结构
  • 1.5.1 研究内容
  • 1.5.2 取得的结果
  • 1.5.3 组织结构
  • 第二章 攻击方法分类研究
  • 2.1 分类研究意义
  • 2.2 分类依据
  • 2.3 相关分类工作
  • 2.3.1 计算机滥用与入侵
  • 2.3.2 攻击过程分类法
  • 2.3.3 攻击特征分类
  • 2.3.4 缺陷假设方法分类
  • 2.3.5 网络攻击分类
  • 2.3.6 其它有关分类学及攻击方面的研究
  • 2.4 攻击分类法分析
  • 2.5 小结
  • 第三章 O-R-M-C攻击分类法
  • 3.1 引言
  • 3.2 O-R-M-C分类及分类依据
  • 3.3 O-R-M-C分类体系
  • 3.3.1 攻击对象
  • 3.3.2 攻击结果
  • 3.3.3 攻击机理
  • 3.4 O-R-M-C分类体系的分析
  • 3.5 小结
  • 第四章 分布式协同入侵检测
  • 4.1 引言
  • 4.2 入侵过程的自动机模型
  • 4.3 基于对象监控技术的分布式协同入侵检测体系结构
  • 4.4 分布式协同入侵检测各组件简介
  • 4.4.1 传感器
  • 4.4.2 事件生成器
  • 4.4.3 入侵事件检测代理
  • 4.4.4 基于数据融合技术的入侵检测代理
  • 4.4.5 响应单元
  • 4.4.6 其他组件
  • 4.5 事件生成器
  • 4.5.1 网络数据包
  • 4.5.2 过滤器
  • 4.6 小结
  • 第五章 局部入侵检测与入侵事件检测代理
  • 5.1 数据预处理
  • 5.1.1 数据清理
  • 5.1.2 数据整合与变换
  • 5.2 入侵事件检测代理
  • 5.3 扫描攻击与检测
  • 5.3.1 扫描攻击
  • 5.3.2 扫描攻击检测
  • 5.4 木马攻击与检测
  • 5.5 基于场景的入侵检测
  • 5.5.1 基于场景的入侵检测模型构造过程
  • 5.5.2 入侵场景与衍生攻击
  • 5.5.3 用O-R-M-C分类对入侵场景进行分析
  • 5.5.4 状态转换法检测入侵
  • 5.5.5 场景及其组成
  • 5.5.6 场景学习机
  • 5.5.7 场景自适应器
  • 5.5.8 求出场景的拓扑序列
  • 5.5.9 同构与同构类
  • 5.5.10 入侵场景库结构
  • 5.5.11 构建基于入侵场景的检测自动机
  • 5.5.12 基于场景的检测集合
  • 5.6 关键操作与对象监控
  • 5.6.1 特殊操作或命令集
  • 5.6.2 引发系统对象变化的操作或命令
  • 5.6.3 交互式确认
  • 5.6.4 对象监控
  • 5.7 协同攻击检测
  • 5.8 小结
  • 第六章 基于数据融合技术的协同检测
  • 6.1 融合中心体系结构
  • 6.2 预处理器
  • 6.3 空间融合
  • 6.4 时间融合
  • 6.5 内容融合
  • 6.5.1 基于操作的内容融合
  • 6.5.2 基于检测结果的内容融合
  • 6.6 数据归约与概化
  • 6.6.1 证据归约与概化
  • 6.6.2 规则归约与概化
  • 6.7 数据融合算法
  • 6.7.1 场景检测代理结果融合
  • 6.7.2 Bayesian定理和Bayesian网络
  • 6.8 小结
  • 第七章 攻击与检测实验
  • 7.1 实验环境
  • 7.2 扫描攻击检测实验
  • 7.3 拒绝服务攻击检测实验
  • 7.4 木马攻击检测实验
  • 7.4.1 木马植入与执行
  • 7.4.2 木马检测
  • 7.5 权限提升攻击检测实验
  • 7.5.1 权限提升与变种攻击检测实验
  • 7.5.2 权限提升攻击检测实验分析
  • 7.6 证据融合攻击检测实验
  • 7.6.1 两个扫描攻击检测实验
  • 7.6.2 扫描攻击检测实验分析
  • 7.6.3 Northcutt扫描攻击检测
  • 7.6.4 多种混合攻击检测
  • 7.7 与其它IDS之比较
  • 7.8 小结
  • 总结与展望
  • 参考文献
  • 攻读学位期间从事的科研项目及发表的论文
  • 致谢

    • 相关论文文献

    • [1].7品牌冰淇淋检测结果[J]. 消费者报道 2014(07)
    • [2].探索性和验证性检测研究[J]. 江西建材 2020(03)
    • [3].隔离检测保安全[J]. 中国建材 2020(06)
    • [4].生产线上的战“疫”——精细检测 践行品质承诺[J]. 中国建材 2020(07)
    • [5].高校快速检测实验室建设与问题浅析[J]. 天津农学院学报 2020(02)
    • [6].检验检测与认证认可的互补发展分析[J]. 食品安全导刊 2020(22)
    • [7].纺织品负离子发生量检测相关问题探讨[J]. 中国纤检 2020(08)
    • [8].桥梁新型检测技术的研究和分析[J]. 中华建设 2019(07)
    • [9].建筑检测及管理中存在问题的探讨[J]. 建材与装饰 2018(17)
    • [10].检验检测行业的主要问题是低价竞争[J]. 质量与认证 2018(08)
    • [11].基于距离的孤立点检测在系统入侵检测的应用[J]. 黑龙江科技信息 2017(11)
    • [12].放射免疫分析技术检测甲状腺激素准确性的影响因素及对策分析[J]. 临床检验杂志(电子版) 2016(01)
    • [13].艺术品检测公告(十月)[J]. 文物鉴定与鉴赏 2015(12)
    • [14].试论发电厂高压电气设备放电检测方法研究[J]. 民营科技 2015(12)
    • [15].2015年11月在播综艺栏目网络传播检测数据TOP20[J]. 当代电视 2016(01)
    • [16].2016年5月在播综艺栏目网络传播检测数据TOP20[J]. 当代电视 2016(07)
    • [17].关于纺织品检验检测研究[J]. 东西南北 2019(20)
    • [18].“简单机械和功”检测题[J]. 初中生世界(八年级物理) 2012(Z4)
    • [19].以课堂检测实现课堂高效[J]. 山西教育(教学) 2011(11)
    • [20].小学六年级下学期期末数学检测样题[J]. 云南教育(小学教师) 2008(03)
    • [21].“从算式到方程”检测题[J]. 中学生数理化(七年级数学)(配合人教社教材) 2020(11)
    • [22].食用油品质的检测技术进展[J]. 粮食科技与经济 2020(04)
    • [23].检测发动机状况术语10则[J]. 汽车与安全 2010(06)
    • [24].克伦特罗的检测方法研究进展[J]. 食品研究与开发 2017(04)
    • [25].煤炭检测现状及检测技术探讨[J]. 科技资讯 2017(09)
    • [26].地基基础检测中常见问题与对策解决[J]. 建筑技术开发 2017(03)
    • [27].基于食用油掺假检测方法分析[J]. 现代食品 2016(03)
    • [28].用不同的乙肝病毒血清标志物检测法诊断乙肝病毒感染的效果对比[J]. 人人健康 2019(24)
    • [29].新检测技术在粮食检测中的应用及发展[J]. 食品界 2019(04)
    • [30].粮油储藏与检测技术专业[J]. 黑龙江粮食 2014(06)

    标签:;  ;  ;  ;  ;  ;  ;  ;  

    基于对象监控的分布式协同入侵检测
    下载Doc文档

    猜你喜欢

    © 2024 毕速过 版权所有 鄂ICP备12018319号-5