基于Euclidean距離的入侵檢測技術研究.pdf

1、隨著信息技術,特別是Internet的飛速發(fā)展,計算機網絡已逐漸成為21世紀全球最重要的基礎設施.以此為基礎建立起來的各種信息系統(tǒng),給人們的生活、工作帶來了巨大變革.信息系統(tǒng)的應用,加速了社會自動化的進程,減輕了日常繁雜的重復勞動,同時也提高了生產率,創(chuàng)造了可觀的經濟效益.然而,由于計算機網絡具有連結形式多樣性、終端分布不均勻性和網絡的開放性、互聯性等特征,致使網絡的安全隱患越來越多,網絡攻擊對入侵者的技術要求也越來越低,攻擊的手段越來

2、越先進,越來越隱蔽,而危害也越來越大.如何保障計算機系統(tǒng)、網絡系統(tǒng)及整個信息基礎設施的安全已經成為刻不容緩的重要問題,對于中國的國防系統(tǒng)具有尤其重要的意義.另外,統(tǒng)計數據還表明,超過80％的入侵和攻擊是從企業(yè)內部發(fā)起的,由于防火墻自身所固有的防外不防內,使得防火墻對這些入侵和攻擊無能為力.為保護系統(tǒng)資源,需要建立不同于防火墻和防病毒軟件的主動防御機制檢測入侵.入侵檢測系統(tǒng)(Intrusion Detection System)就是監(jiān)控網

3、絡或計算機系統(tǒng)的動態(tài)行為特征并據此判斷是否有入侵的主動防御措施.入侵檢測系統(tǒng)可以彌補防火墻的不足,檢測來自網絡內部的攻擊,為網絡提供實時的監(jiān)控并且在發(fā)現入侵的初期采取相應的防護措施.但是傳統(tǒng)入侵檢測方法存在不足,即誤用檢測方法難于檢測新形式的入侵,異常檢測方法難于建立合理有效的正常行為特征和檢測方法.因此,如何對計算機和網絡中的非法行為進行主動防御和有效抑制,成為當今計算機安全亟待解決的重要問題.該文首先回顧了網絡攻擊和入侵檢測的發(fā)展,

4、隨后對入侵檢測的體系結構、關鍵技術、主要功能模塊的功能以及入侵檢測的標準化進行了詳細的闡述.然后對現有入侵檢測系統(tǒng)進行了分析.在此基礎上,將歐氏距離(Euclidean Distance)引入了入侵檢測系統(tǒng)以降低入侵檢測系統(tǒng)的誤報率,并提出了基于Euclidean距離的入侵檢測方法Intrusion Detection Based onEuclidean Distance(EDID).這種方法的實質是在監(jiān)控特權進程的正常系統(tǒng)調用基礎上建

5、立正常行為模糊子集A,用檢測到的實時調用序列建立模糊子集B,然后用模糊識別方法中的最小距離原則進行檢測.該文的創(chuàng)新點是:通過對特權進程的系統(tǒng)調用及參數序列的研究,提出了基于Euclidean距離的入侵檢測方法EDID,不僅能有效降低漏報率和誤報率,而且使實時入侵檢測成為可能:設計有獨立而完整的特征數據庫,根據被監(jiān)控程序的類別,分別設計正常行為、異常行為等,提高了檢測系統(tǒng)的強健性和可伸縮性;特征數據庫按樹型結構存儲,大大節(jié)省了存儲空間:在