提高分布式入侵檢測系統(tǒng)檢測準確率的研究.pdf

1、隨著網(wǎng)絡入侵者水平的逐漸提高，入侵行為日益嚴重。網(wǎng)絡使用者必須采用積極的防御技術和縱深的、多樣的手段來保證網(wǎng)絡的安全。入侵檢測系統(tǒng)在網(wǎng)絡安全中的作用日益突出，其研究和實現(xiàn)已經(jīng)成為網(wǎng)絡安全領域的重要課題。 網(wǎng)絡安全領域的專家對入侵檢測系統(tǒng)進行了大量研究，但現(xiàn)有的入侵檢測技術仍不是很成熟，存在較多問題。國內(nèi)入侵檢測產(chǎn)品多處于特征檢測的初級階段，在異常檢測方面與國外還存在相當大的差距，在混合檢測領域更是基本空白，普遍存在檢測手段單一、

2、對未知入侵識別能力較差、誤報漏報嚴重、檢測準確率低、自適應能力差、響應能力差、對大規(guī)模和高速網(wǎng)絡的支持較差等問題，嚴重影響系統(tǒng)性能。在當前網(wǎng)絡入侵手段不斷變化的情況下，入侵檢測系統(tǒng)面臨嚴峻挑戰(zhàn)，急需改進。 本文針對當前入侵檢測系統(tǒng)存在的檢測準確率低、對未知入侵識別能力差等問題進行研究，分析產(chǎn)生原因，并提出解決方案，設計實現(xiàn)了一種基于混合檢測方法的分布式入侵檢測系統(tǒng)。系統(tǒng)采用分布式體系結構，將檢測任務分散到各網(wǎng)段的入侵檢測代理上，

3、由管理中心進行統(tǒng)一管理協(xié)調，解決了大規(guī)模網(wǎng)絡檢測數(shù)據(jù)采集的問題，同時提高檢測速度；將誤用檢測與異常檢測相結合進行混合檢測，利用兩種檢測手段優(yōu)勢互補的特點，在準確檢測已知入侵的同時提高對未知入侵的識別能力，從而提高系統(tǒng)的檢測準確率。 本文重點對網(wǎng)絡入侵檢測代理進行深入研究。入侵檢測代理用混合檢測方法對所在網(wǎng)段進行檢測，采用監(jiān)聽的方式采集所在網(wǎng)段的數(shù)據(jù)包，并進行預處理，誤用檢測與異常檢測兩個檢測引擎同時進行檢測，將兩種檢測方法的檢測

4、結果進行融合。既保證對已知入侵能夠準確識別，對未知入侵又具有一定的檢測能力。系統(tǒng)將入侵報警分為確定的入侵和疑似入侵兩個級別，并對不同類別的入侵報警根據(jù)既定的響應策略進行響應，從而避免了高誤報對管理員的干擾。 網(wǎng)絡入侵檢測代理可將檢測到的入侵向管理中心進行報警，同時可以接收管理中心發(fā)送的檢測規(guī)則更新信息，自動更新本地檢測規(guī)則庫。檢測代理與管理中心進行安全確認，確保自身安全性和健壯性。 針對入侵檢測系統(tǒng)自適應能力較差的問題，