幾類高效入侵檢測(cè)技術(shù)研究.pdf

1、Internet在給人們帶來(lái)了巨大方便的同時(shí)，也使得網(wǎng)絡(luò)與信息安全問題變得越來(lái)越突出。入侵檢測(cè)作為網(wǎng)絡(luò)安全的重要一環(huán)，對(duì)網(wǎng)絡(luò)的安全保障起到了重要的作用。本文針對(duì)不同的需求和應(yīng)用，提出并研究了幾種高效的異常檢測(cè)方法和模型。論文首先介紹了信息安全現(xiàn)狀和入侵檢測(cè)研究進(jìn)展，接著分析了入侵檢測(cè)系統(tǒng)的脆弱性，提出了結(jié)合隱馬爾科夫模型和神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)模型、基于序列互相關(guān)特性的入侵檢測(cè)技術(shù)、基于二階隨機(jī)過程的入侵檢測(cè)技術(shù)和應(yīng)用統(tǒng)計(jì)檢驗(yàn)進(jìn)行入侵特征選

2、擇的算法，最后給出了一個(gè)分布式的多級(jí)網(wǎng)絡(luò)安全防護(hù)模型。 在入侵檢測(cè)的脆弱性分析中，重點(diǎn)對(duì)CIDF模型進(jìn)行了分析。根據(jù)CIDF模型各組成部分的特點(diǎn)，指出了其容易被攻擊者利用的弱點(diǎn)。根據(jù)攻擊的特點(diǎn)，又把攻擊分為主動(dòng)攻擊和逃避攻擊，并分別指出主動(dòng)攻擊和逃避攻擊可能發(fā)生的各種場(chǎng)合。 在脆弱性分析之后，提出了一個(gè)隱馬爾科夫模型和神經(jīng)網(wǎng)絡(luò)相結(jié)合的入侵檢測(cè)模型。該模型同單獨(dú)使用隱馬爾科夫模型的入侵檢測(cè)模型比較，有以下幾個(gè)優(yōu)點(diǎn)：第一，由

3、于不使用輪廓數(shù)據(jù)庫(kù)，所以大大的節(jié)省了系統(tǒng)的存儲(chǔ)空間：第二，使用神經(jīng)網(wǎng)絡(luò)進(jìn)行結(jié)果判決，比通過輪廓數(shù)據(jù)庫(kù)來(lái)判定是否有入侵行為要快一些，特別是當(dāng)輪廓數(shù)據(jù)庫(kù)的記錄較多的情形；第三，使用這種混合的入侵檢測(cè)模型，比單獨(dú)使用隱馬爾科夫模型或者是單獨(dú)使用神經(jīng)網(wǎng)絡(luò)的檢測(cè)模型有更好的檢測(cè)效果。 根據(jù)檢測(cè)數(shù)據(jù)為系統(tǒng)調(diào)用序列這一特性，提出了序列互相關(guān)特性在入侵檢測(cè)中的應(yīng)用。由于基于系統(tǒng)調(diào)用的入侵檢測(cè)系統(tǒng)的數(shù)據(jù)源是系統(tǒng)調(diào)用序列，所以應(yīng)用序列的一些特性來(lái)分

4、析這些看似無(wú)規(guī)律的數(shù)據(jù)有重要意義。論文應(yīng)用序列的互相關(guān)特性直接進(jìn)行入侵檢測(cè)，取得了很好的效果，應(yīng)用序列的互相關(guān)特性進(jìn)行訓(xùn)練數(shù)據(jù)的選擇，也對(duì)系統(tǒng)的性能有較大的提高。 接著，根據(jù)隨機(jī)過程的特性和入侵過程的特點(diǎn)，提出了二階隨機(jī)過程進(jìn)行入侵檢測(cè)。馬爾可夫模型(即一階隨機(jī)過程)在入侵檢測(cè)中表現(xiàn)出較好的性能。但是從理論上來(lái)說，高階隨機(jī)過程可以更好地描述系統(tǒng)調(diào)用過程，因?yàn)橐粋€(gè)入侵者進(jìn)行入侵的過程并不是對(duì)系統(tǒng)進(jìn)行獨(dú)立的幾個(gè)系統(tǒng)調(diào)用就能夠完成的。

5、對(duì)于一階隨機(jī)過程，當(dāng)前狀態(tài)同僅僅前面一個(gè)狀態(tài)有關(guān)系，同其它的狀態(tài)沒有關(guān)聯(lián)。這在一定程度上就丟失了前面的一些重要狀態(tài)信息，導(dǎo)致它的檢測(cè)性能要差一些。二階隨機(jī)過程的當(dāng)前狀態(tài)由前面的兩個(gè)狀態(tài)決定，這在一定程度上獲得了系統(tǒng)調(diào)用序列的更多重要信息，因而其性能要好于一階隨機(jī)過程。 針對(duì)網(wǎng)絡(luò)數(shù)據(jù)流量大，流量數(shù)據(jù)特征多的問題，論文提出使用T檢驗(yàn)方法，剔除一部分對(duì)入侵檢測(cè)沒有幫助的特征項(xiàng)目，從而提高入侵檢測(cè)的速度，甚至提高檢測(cè)率。在本文中比較了使