網(wǎng)絡入侵檢測系統(tǒng)的安全性分析及相關技術研究.pdf

1、入侵檢測系統(tǒng)是在目前網(wǎng)絡安全問題日益突出的環(huán)境下,提出的一種對網(wǎng)絡傳輸進行實時監(jiān)控,主動保護自己免受攻擊的一種網(wǎng)絡安全技術。盡管這項技術經(jīng)歷了長足的發(fā)展,但是在某些關鍵問題上,尤其是在基于系統(tǒng)調用序列的主機入侵檢測系統(tǒng)中,還是沒有得到很好的解決,例如建模方法不精確,建模過程中存在安全隱患,檢測系統(tǒng)的實時檢測性能不高等問題仍是當前的研究重點。本文針對這些問題進行了深入的剖析并提出自己的解決方案。 本文對短滑動窗口建模方法所帶來的安

2、全隱患進行了分析,因為這種建模方法只能覆蓋較小部分的檢測區(qū)域,使攻擊者可以通過改變攻擊程序的編碼順序或增加刪除代碼的方法輕松繞過入侵檢測系統(tǒng)的監(jiān)控,達到入侵主機的目的。同時,針對目前廣泛使用的提升系統(tǒng)實時性的建模方案,即基于系統(tǒng)調用頻率特性的建模方案,本文也從安全性方面進行了分析。指出這種建模方法不僅使正常系統(tǒng)行為的范圍擴大造成不能精確建模的問題,還使系統(tǒng)在檢測階段只能事后報警,不能及時報警,降低了系統(tǒng)的可用性。 基于這一系列的

3、安全漏洞,我們提出了通過增加滑動窗口長度的方法以提高入侵檢測系統(tǒng)的防護能力。并考慮到窗口長度的增加所帶來的海量信息,提出了一種高效的建模、檢測算法。我們利用非負矩陣分解算法在小波空間上對原始數(shù)據(jù)進行建模并得到了較為滿意的檢測結果。試驗表明,我們提出的算法不僅可以得到同傳統(tǒng)算法一樣的檢測精度,同時還降低了系統(tǒng)的檢測時間,增加了系統(tǒng)的實時處理能力。 考慮到在真實的網(wǎng)絡環(huán)境中收集訓練數(shù)據(jù)存在噪聲干擾的問題,使訓練數(shù)據(jù)集不能完全代表正常