基于MLSI的多主機(jī)入侵檢測(cè)系統(tǒng)的研究.pdf

1、隨著Internet的飛速發(fā)展,網(wǎng)上應(yīng)用的種類和重要性日益增加,計(jì)算機(jī)系統(tǒng)的安全變得越來(lái)越重要,也越來(lái)越具有挑戰(zhàn)性.現(xiàn)在的各種靜態(tài)安全技術(shù),如防火墻、數(shù)據(jù)加密等都比較成熟了,但是這些技術(shù)不能適應(yīng)主動(dòng)發(fā)現(xiàn)入侵,防止黑客攻擊的需要.入侵檢測(cè)技術(shù)能夠?qū)τ?jì)算機(jī)網(wǎng)絡(luò)資源上的惡意使用行為進(jìn)行識(shí)別和響應(yīng),它不僅能檢測(cè)來(lái)自外部的入侵行為,同時(shí)也能監(jiān)督內(nèi)部用戶的未授權(quán)活動(dòng),因此成為了整個(gè)網(wǎng)絡(luò)安全領(lǐng)域的熱點(diǎn)之一.該文在分析網(wǎng)絡(luò)中入侵機(jī)制的基礎(chǔ)上,引用日本研

2、究人員提出的MLSI概念,設(shè)計(jì)并建立了一個(gè)基于MLSI的多主機(jī)入侵檢測(cè)系統(tǒng)模型.該系統(tǒng)在進(jìn)行入侵檢測(cè)時(shí),只需查找少數(shù)的MLSI,而不必像其它入侵檢測(cè)系統(tǒng)那樣需要獲取大量的攻擊特征,因此能夠在一定程度上解決現(xiàn)有入侵檢測(cè)系統(tǒng)和入侵檢測(cè)技術(shù)存在的問(wèn)題.在系統(tǒng)的實(shí)現(xiàn)過(guò)程中,該文在深入分析Forrest等人提出的基于系統(tǒng)調(diào)用序列分析的入侵檢測(cè)方法的基礎(chǔ)上,提出了一種改進(jìn)的異常檢測(cè)方法.該方法首先通過(guò)查找MLSI對(duì)審計(jì)數(shù)據(jù)進(jìn)行預(yù)處理,再采用事件計(jì)數(shù)