基于時間序列的入侵檢測模型研究.pdf

1、入侵檢測技術(shù)就是檢測企圖破壞計算機(jī)資源的完整性、保密性和有效性的技術(shù).入侵檢洲技術(shù)已經(jīng)有20多年的發(fā)展歷史,在Dorothy Denning提出的通用模型的基礎(chǔ)上,人們已經(jīng)將諸如自治代理、數(shù)據(jù)挖掘、專家系統(tǒng)和模型推理等知識應(yīng)用到入侵檢測領(lǐng)域,使得入侵檢測的技術(shù)得到了迅速的發(fā)展,但是現(xiàn)存的入侵檢測模型存在諸多缺陷.該文在分析比較現(xiàn)有入侵檢測技術(shù),如基于統(tǒng)計方法學(xué),數(shù)據(jù)挖掘,自治代理的異常檢測技術(shù),基于專家系統(tǒng)和模型推理的誤用檢測技術(shù)等的基

2、礎(chǔ)上,針對這些技術(shù)都沒有對不同攻擊事件之間的聯(lián)系進(jìn)行分析等問題,該文提出一種新的基于時間序列的入侵檢測模型,該模型從攻擊者的攻擊序列對被攻擊系統(tǒng)所造成的影響為著眼點(diǎn),得出被攻擊系統(tǒng)所處狀態(tài)包含正常狀態(tài)、危險狀態(tài)、入侵發(fā)生狀態(tài)、和更新\建立模型狀態(tài),此模型可以很好地解決攻擊序列中不同的攻擊事件之間的聯(lián)系沒有進(jìn)行分析,以及先前的模型不具備預(yù)測將來狀態(tài),不能預(yù)防等問題.該文對此時間序列模型用Petri Net進(jìn)行建模,對所建模型進(jìn)行可達(dá)性、復(fù)

3、雜度等性質(zhì)的定性定量的分析,并且使用C++ builder6.0對模型的可達(dá)性性質(zhì)進(jìn)行了編碼實(shí)現(xiàn)和性能分析.隨后利用隨機(jī)Petri Net和連續(xù)時間的馬爾可夫鏈同構(gòu)的性質(zhì),應(yīng)用所獲得的同構(gòu)馬爾可夫鏈對求得穩(wěn)定狀態(tài)概率的子系統(tǒng)的平均延時時間和后繼狀態(tài)轉(zhuǎn)移概率進(jìn)行了詳細(xì)的計算,從而為入侵檢測系統(tǒng)的設(shè)計提供理論根據(jù).最后,利用免費(fèi)公開源代碼snort的規(guī)則的增加和保持不變來對所建模型的性能進(jìn)行評估,并且得出以下結(jié)論:當(dāng)系統(tǒng)達(dá)到危險狀態(tài)時,發(fā)生