基于主機的入侵檢測方法研究.pdf

1、隨著互聯(lián)網(wǎng)的不斷普及，越來越多的公司將其核心業(yè)務向互聯(lián)網(wǎng)轉(zhuǎn)移，網(wǎng)絡安全作為一個無法回避的問題就呈現(xiàn)在人們面前了。網(wǎng)絡入侵的風險性和機會性也相應地急劇增多，設計安全措施來防范未經(jīng)授權的用戶訪問系統(tǒng)的資源和數(shù)據(jù)，是當前網(wǎng)絡安全領域的一個十分重要而迫切的問題。為此入侵檢測技術的發(fā)展為我們解決這種問題提供了有效的手段。 基于主機的入侵檢測，其特點是以網(wǎng)絡中的各個主機的日志文件作為主要的數(shù)據(jù)來源，通過對日志記錄的分析來檢測可疑入侵行為和攻

2、擊；同時它能夠監(jiān)視關鍵的系統(tǒng)文件和可執(zhí)行文件的完整性、監(jiān)視主機服務端口的活動，進而發(fā)現(xiàn)非法入侵行為?；谥鳈C的入侵檢測作為入侵檢測領域的一個重要組成部分，在當今信息社會活動中越來越發(fā)揮著極其重要的安全保障作用。 本文介紹了入侵檢測定義、分類、發(fā)展及其模型，并著重介紹了基于主機的入侵檢測的特點，詳細闡述了其結構特征，并論證了基于主機入侵檢測的優(yōu)點。 本文在著重闡述基于主機入侵檢測原理的基礎上，詳細闡述了三種基于主機的入侵檢

3、測方法：基于免疫原理的、基于頻繁統(tǒng)計滑動窗口的、基于權值樹的三種入侵檢測方法。這三種檢測方法通過對基于主機的系統(tǒng)調(diào)用序列進行相關的分析，進而得出行為是否異常結論。 基于免疫的入侵檢測方法，是結合生物學免疫原理實現(xiàn)的一種檢測方法。該方法是入侵檢測系統(tǒng)中經(jīng)典常用的檢測方法，它也是其它檢測方法的思想基礎。文中闡述的基于頻繁統(tǒng)計的滑動窗口檢測方法、基于權值樹的檢測方法的檢測思想均源于此方法。 基于統(tǒng)計的滑動窗口檢測方法是本文提出

4、的，是運用滑動窗口的序列處理技術，并結合頻繁模式挖掘中的統(tǒng)計思想而實現(xiàn)的一種全新檢測算法。該算法通過統(tǒng)計被檢測序列所產(chǎn)生的滑動窗口序列集中系統(tǒng)調(diào)用出現(xiàn)的頻繁次數(shù)，進而判斷用戶行為是否異常。 基于權值樹的檢測方法是本文重點討論的另一種新的檢測方法。它采用樹的存儲結構，使用滑動窗口技術對系統(tǒng)調(diào)用序列進行處理，并且將序列蘊含的關聯(lián)信息存儲在權值樹森林的相關結點中。在檢測用戶序列的過程中，利用權值樹森林計算出被檢測序列的權值序列，進而分