一種面向特定網(wǎng)絡(luò)服務的異常檢測方法.pdf

1、隨著計算機網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)安全問題越來越嚴重，入侵檢測作為網(wǎng)絡(luò)安全防御體系的重要組成部分受到人們的關(guān)注。當前入侵檢測系統(tǒng)存在嚴重的漏報和誤報，檢測方法單一等不足。同時，大部分的誤用檢測系統(tǒng)都不能很好地檢測未知攻擊。本文通過對網(wǎng)絡(luò)攻擊分類的研究，發(fā)現(xiàn)U2R和R2L兩類攻擊與DoS及S/P類攻擊在形成原理上有本質(zhì)的不同，對它們的檢測需要加以區(qū)分。 針對上述問題，本文在前期入侵檢測研究基礎(chǔ)上提出了一種面向特定網(wǎng)絡(luò)服務的異常入侵檢測模型

2、，對U2R和R2L兩類攻擊進行檢測并適度彌補誤用檢測模型的不足。這種模型考慮應用層的載荷知識，提取服務請求報文的類型、長度和載荷分布等屬性進行分析。本文以DNS服務為例，對面向DNS服務的異常入侵檢測系統(tǒng)進行設(shè)計與實現(xiàn)，采用統(tǒng)計分析和n-gram算法計算正常應用層網(wǎng)絡(luò)流量的統(tǒng)計模型，用于檢測針對DNS服務的異常網(wǎng)絡(luò)行為，并對閥值的設(shè)定和模型的更新進行論述。本文把面向DNS服務的異常分析引擎作為一個可擴展的插件集成到原有的誤用NIDS平臺