《基于ARMA模型的CFAR网络入侵检测方法研究》由会员分享,可在线阅读,更多相关《基于ARMA模型的CFAR网络入侵检测方法研究(88页珍藏版)》请在金锄头文库上搜索。
1、上海交通大学硕士学位论文 I基于基于 ARMA 模型的模型的 CFAR 网络入侵检测方法研究网络入侵检测方法研究 摘摘 要要 随着计算机网络应用的普及和网上商务活动的日益频繁,计算机系统的安全问题越来越突出。攻击事件发生的数量逐年增加,近几年的上升幅度更为明显。同时这些安全事故给社会造成了巨大的经济损失。通常使用入侵避免技术,例如用户身份认证、添加网络防火墙等技术来作为防御攻击的第一道防线。但是只有入侵避免技术还不足以完全防止入侵,例如无法防止局域网内部的攻击。这就需要入侵检测技术来作为防御攻击的第二道防线。作为计算机安全领域的一个重要技术,入侵检测技术的研究逐渐受到人们的重视。然而目前的入侵
2、检测系统在有效性、适应性和可扩展性方面都存在不足,尤其是在遇到新的入侵类型时变得无能为力。针对这些不足本文将从数据处理的角度用网络流量异常检测的方法建立入侵检测系统模型。 本文首先对入侵检测系统的技术背景进行了简要的说明和分类,针对异常入侵检测技术的不足,将主要研究方向定在降低入侵检测系统的虚警率上。 在异常检测系统中,建立正确反映网络实际流量的模型至关重要。上海交通大学硕士学位论文 II本文在网络流量的特征中,选取字节数为研究对象,建立了ARMA流量预测模型。针对异常检测系统虚警率高的问题,本文引用了雷达信号处理CFAR检测技术。考虑到网络流量的复杂性,并根据入侵检测系统的需要,引入了三种C
3、FAR检测技术,即:单元平均CACFRA检测、非参量CFAR检测和有序统计OSCFAR检测。 通过理论分析与论证后,本文根据DARPA数据库提供的用于入侵检测系统性能评估的tcpdump日志,对所建立的基于ARMA模型的异常入侵检测系统进行了实验仿真。通过选取不同的时段、样本容量和网络流量特征来对CFAR检测系统进行详细的分析。为了综合的评价CFAR的性能,通过对DARPA数据库所定义的四种不同的入侵类型进行仿真,得到了三种不同CFAR检测的ROC曲线。通过分析比较,本文最后提出了基于以上三种CFAR检测技术相融合的检测系统。实验证明,该系统具有更低的虚警概率,基本可达到实用的标准。 关键词关
4、键词:入侵检测,ARMA模型,CACFAR,非参量CFA,OSCFAR 上海交通大学硕士学位论文 IIICFAR INTRUSION DETECTION METHOD BASED ON ARMA MODEL ABSTRACT With the popularization of the applications of network-based computer systems and the increasing of e-commerce, security issues become more and more outstanding. There are increasing amou
5、nt of attacks year after year, with more increasing rate in the recent years. These security accidents result in tremendous damages to our society. Intrusion prevention techniques, such as user authentication, network firewall, and information protection have been used to protect computer systems as
6、 a first line of defense. Intrusion prevention alone is not sufficient. For example, they cannot avoid attacks inside. Intrusion detection is therefore needed as another wall to protect computer systems. As a serious technique in computer security, intrusion detection has been paid more attention gr
7、adually. However, current intrusion detection systems lack effectiveness, adaptability and extensibility, and especially, they become ineffective in the face of new kinds of attacks. Aimed 上海交通大学硕士学位论文 IVat these shortcomings, this thesis takes a data-centric view to IDS and describes a framework fo
8、r constructing anomaly intrusion detection model by network traffic. At first, the paper introduces the background of IDS in briefly and classify it. Aimed at shortages of anomaly intrusion detection techniques, our main study has been put on decreasing the false alarm rate of IDS. In anomaly detect
9、ion system, it is seriously crucial to construct traffic model which reflects correctly the real network traffic. In traffic variables, we study the numbers of bytes, and have constructed ARMA model. To solve the high false alarm rate, we introduce radar signal processing CFAR detection. Considering
10、 the complexity of network traffic and the need of IDS, we introduce three CFAR detection techniques, which include CA-CFAR detection, nonparametric CFAR detection and OS-CFAR detection. After analysis and demonstration in theory, we test and simulate the constructed IDS of ARMA model in using the l
11、og of tcpdump of DARPA data, which can evaluate IDS. Through the choice of different time span and different sizes of clutter sample and different network traffic variables, we analyze the reflection of IDS based on CFAR in detail. In order to evaluate the performance of CFAR in integration, we get
12、the ROC curve of three CFAR detections through testing the four different types of intrusion defined by DARPA data. After analysis and comparison, fusion detection of three 上海交通大学硕士学位论文 VCFAR detections has been found. The tests prove that this system has lower false alarm rate and even to accord wi
13、th the standard of practicality. Key word: Intrusion detection, ARMA model, CA-CFAR, nonparametric CFAR, OS-CFAR 上海交通大学硕士学位论文 IX图图 录录 图 1.1 入侵检测系统模型.3 图 2.1 入侵检测原理图.6 图 2.2 误用入侵检测模型.9 图 2.3 异常入侵检测模型.10 图 3.1 用 Ethereal 打开 tcpdump.list 数据库的界面.14 图 3.2 用 UltraEdit 打开 outside.tcpdump 数据库的界面 .17 图 3.3 E
14、thereal 与 UltraEdit 打开 outside.tcpdump 数据库的比较.18 图 3.4 预测流程图.22 图 3.5 从图(一)到图(五)表示周一到周五的 10 秒时间间隔内从 8:00 到 14:00 时间段内网络上的字节数 .32 图 3.6 图(一)到(五)分别表示处理过后的时间残余序列 .35 图 4.1 概率密度函数示意图.39 图 4.2 CFAR 检测器结构 .40 图 4.3 移位寄存器长度 N 的选取.41 图 4.4 单元平均 CACFAR 算法图 .42 图 4.5 非参量 CFAR 算法图.44 图 4.6 有序统计 OSCFAR 算法图 .46 图 4.7 基于 ARMA 模型的 CFAR 入侵检测系统 .51 图 5.4 不同样本容量下 CACFAR 检测的虚警率 .59 图 5.5 不同样本容量下 CACFAR 检测的虚警
