基于協(xié)議分析技術(shù)的異常檢測(cè)算法的設(shè)計(jì).pdf

1、隨著人們對(duì)互聯(lián)網(wǎng)的需求日益增大，網(wǎng)絡(luò)安全已經(jīng)逐漸成為了網(wǎng)絡(luò)各項(xiàng)服務(wù)與應(yīng)用進(jìn)一步發(fā)展急需解決的關(guān)鍵問題之一。入侵檢測(cè)作為一種積極主動(dòng)的網(wǎng)絡(luò)防御安全技術(shù)，在網(wǎng)絡(luò)安全技術(shù)體系中起到了非常重要的作用。目前，入侵檢測(cè)技術(shù)中的誤用檢測(cè)技術(shù)已經(jīng)趨向成熟，市場(chǎng)上已經(jīng)有很多成熟的誤用檢測(cè)的產(chǎn)品。但誤用檢測(cè)不能檢測(cè)未知攻擊的問題，這成為了誤用檢測(cè)的一大詬病。而異常檢測(cè)技術(shù)在未知攻擊檢測(cè)上的優(yōu)異表現(xiàn)正好彌補(bǔ)誤用檢測(cè)的這一大缺點(diǎn)。目前異常檢測(cè)技術(shù)還很不成熟，剛

2、剛起步，還有很大的發(fā)展空間。故異常檢測(cè)成為了近年來(lái)入侵檢測(cè)的一個(gè)重要發(fā)展方向。
　　 本文是以協(xié)議分析為基礎(chǔ)，以隱馬爾可夫鏈（HMM）為模型，對(duì)異常檢測(cè)的算法進(jìn)行設(shè)計(jì)。文中首先論述了目前網(wǎng)絡(luò)安全的現(xiàn)狀以及對(duì)異常入侵檢測(cè)技術(shù)研究的意義。第二章論述了入侵檢測(cè)的概念與模型以及入侵檢測(cè)技術(shù)的不同分類方式，并對(duì)這些進(jìn)行了分析與總結(jié)。著重分析了異常檢測(cè)技術(shù)的概念與原理，并對(duì)異常檢測(cè)技術(shù)作了總結(jié)。第三章論述了TCP/IP的協(xié)議體系，對(duì)協(xié)議分析

3、技術(shù)進(jìn)行了分析，并對(duì)幾種主要的協(xié)議進(jìn)行了詳細(xì)的分析總結(jié)。第四章論述了隱馬爾可夫鏈（HMM），首先對(duì)隱馬爾可夫概念進(jìn)行闡述，再對(duì)隱馬爾可夫的三個(gè)問題作了分析與總結(jié)，并對(duì)HMM在實(shí)際應(yīng)用上進(jìn)行了詳細(xì)的分析。第五章首先論述了協(xié)議分析技術(shù)與HMM在異常檢測(cè)的應(yīng)用原理，再設(shè)計(jì)了以協(xié)議分析技術(shù)為基礎(chǔ)，HMM為數(shù)學(xué)模型的總體異常檢測(cè)模型，在單個(gè)數(shù)據(jù)包方面，對(duì)各種協(xié)議進(jìn)行HMM建模，在數(shù)據(jù)流方面，提出了一種基于TCP/UDP/ICMP的HMM模型的新思

4、路，設(shè)計(jì)了訓(xùn)練算法與數(shù)據(jù)檢測(cè)算法，并分別對(duì)算法設(shè)計(jì)過(guò)程中的模型建立問題、訓(xùn)練初始值問題、收斂問題與閾值界定問題進(jìn)行了分析與總結(jié)并提出了自己的觀點(diǎn)。在訓(xùn)練初始值問題上對(duì)B的值采用了高斯分布法。在收斂問題上采用了比例因子法來(lái)避免訓(xùn)練與檢測(cè)時(shí)出現(xiàn)的下溢問題。在閾值界定問題上提出了一種動(dòng)態(tài)的閾值界定的方法，對(duì)閾值設(shè)置一個(gè)置信區(qū)間，落在區(qū)間內(nèi)與落在區(qū)間左與右的進(jìn)行的不同的處理方法，并對(duì)這種動(dòng)態(tài)的閾值界定法設(shè)計(jì)了相關(guān)的算法，并還提出了基于易受攻擊協(xié)