《基于启发式规则的入侵检测技术研究》由会员分享,可在线阅读,更多相关《基于启发式规则的入侵检测技术研究(224页珍藏版)》请在金锄头文库上搜索。
1、摘 要摘 要北京朱文杰代写论文不付款,特此公告之计算机和网络技术的普及,在给人们的生活带来极大便利的同时,也将安全隐患传播到整个网络。正是由于网络的普及率越来越高,一旦发生有目的、大规模的网络入侵行为,其造成的影响就越恶劣。做为保护网络安全手段之一的入侵检测技术,一直被广大国内外学者所关注。由于网络规模的不断扩大,网络流量的不断增长和黑客技术 的不断发展,对入侵检测的性能提出了更高的要求。本文以提高入侵检测技术的检测正确率,降低误警率和漏警率以及提高检测效率为技术目标,在检测技术、告警融合和分布式入侵检测系统的体系结构等方面进行了深入系统的研究,取得了一些创新性的研究成果,主要内容包括:入侵检
2、测技术分为异常检测和误用检测两大类。本文分别针对异常检测和误用检测技术中存在的问题,研究了其改进方法,并提出一种基于启发式规则的混合入侵检测模型。论文首先介绍了入侵检测技术的研究现状和发展趋势,对目前常用的入侵检测技术和方法进行了归类和分析,同时比较了各种入侵检测方法的优势和不足,指出了入侵检测技术存在的问题。其次,论文讨论了误用入侵检测中模式识别算法,针对模式匹配方法存在的匹配速度慢、误报率较高、模型库动态更新难等问题,论文提出了一种改进的AC-BM算法,进一步提高了算法的匹配速度,设计的MRRT规约树能支持多线程归约和在线动态调整,特别适用于大规模多模式匹配。再次,论文针对异常检测技术存在
3、计算量大、训练时间长、在小样本情况下分类精度低的问题,论文研究了特征选择和SVM分类器,通过SVM在训练过程中主动挑选学习样本,从而有效地减少训练样本数量,缩短训练时间。该检测方法解决了异常检测中大量训练样本集获取困难的问题。最后,论文提出了一种基于启发式规则的混合入侵检测模型,系统通过各对连接上下行数据分别采用误用检测方法和异常检测方法,并对检测到得结果进行拟合,通过分析向用户发布告警入侵行为。该模型具有数据处理效率高,误报率低,协作性好,自学习能力强,安全性高等特点。论文最后对所作的研究工作进行了总结,并指出了今后的研究方向。关键词:入侵检测,模式识别,启发式,特征选择,支持向量机Abst
4、ractABSTRACTIntrusion Detection has shown great potential in network security research. Most existing intrusion detection methods treat all data in the network as a whole. However, in reality, data in the network could be divided into two categories: upload data and download data. When intrusion tak
5、es place,these two types of dataflow may have different characters. Based on this discovery,we proposed a novel intrusion detection method (U-D method) taking both upload and download data into consideration. With the enhanced separately analysis method,we could figure out the intrusion clues more e
6、ffectively and efficiently. We wonder the relationships between these data might contain some instinct clue for discovering important intrusions. Experiment results demonstrate the effectiveness of our approach.Key Words: Intrusion detection, SVM, Upward IP Data, Down-ward IP Data目 录目 录第一章 绪 论11.1 研
7、究背景11.2 国内外研究现状31.3 本文的主要工作81.4 本文的组织结构9第二章 入侵检测技术研究综述112.1 检测技术的发展史112.2 检测技术的分类122.3 检测技术的评价指标132.4 误用检测技术142.4.1 基于规则匹配的检测技术152.4.2 基于条件概率的检测技术152.4.3 基于状态转移分析的检测技术162.4.4 基于模型推理误用的检测技术162.5 异常检测技术172.5.1 基于统计方法的检测技术172.5.2 基于贝叶斯推理的检测技术182.5.3 基于神经网络的检测技术182.5.4 基于遗传算法的检测技术192.5.5 基于数据挖掘的检测技术202.
8、5.6 基于人工免疫的检测技术202.5.7 基于支持向量机的检测技术202.6 入侵检测系统结构分析212.6.1 集中式IDS212.6.2 等级式IDS222.6.3 分布式IDS242.7 规则描述语言252.8 实验数据292.9 本章小结33第三章 误用入侵检测中的模式识别算法研究353.1 引言353.2 AC-BM算法363.3 AC-BM算法改进383.3.1 问题分析383.3.2 改进方案393.3.3 算法构造403.4 实验及分析523.5 本章小结61第四章 基于启发式搜索的特征选择624.1 搜索策略624.2 评价准则634.3 特征选择算法644.4 基于变量
9、相似性特征选择664.4.1 线性相关系数准则和最大信息压缩准则674.4.2 基于变量相似性的特征选择算法684.5 实验及分析694.6 本章小结71第五章 异常入侵检测中的SVM分类器研究735.1 引言735.2 传统SVM分类器745.3 INN-SVM分类器构造765.3.1 问题分析765.3.2 改进方案785.3.3 分类器构造795.4 实验及分析845.5 本章小结87第六章 基于启发式规则的混合入侵检测系统886.1 引言886.2 传统IDS896.3 基于启发式规则的混合入侵检测模型906.3.1 设计思路906.3.2 模型构造906.4 实验及分析966.4.1
10、 吞吐率976.4.2 匹配性能976.4.3 分类器性能996.5 本章小结100第七章 总结与展望1017.1 本论文对相关项目的贡献1017.2 本论文的总结1017.3 关于未来研究的展望102参考文献103致 谢105在读期间发表的学术论文与取得的其他研究成果106 第一章 绪 论第一章 绪 论1.1 研究背景随着网络和计算机技术的不断发展,人类社会进入了一个崭新的互联网时代。科技发展的日新月异,对推动社会发展和人类进步具有不可忽视的重要意义。而以计算机和网络技术为代表的IT产业更是位于科技发展的技术前沿,并且直接引导了互联网的一次次技术革命,人类社会的各个领域都在发生着前所未有的重
11、大变革,人类社会正在走进信息化社会。然而随着网络技术、网络规模和网络应用的高速发展,个人和各种组织,包括政府、企业、军队,都越来越依赖于信息系统、通信网络以及与之相关的自动化应用。同时也为网络攻击提供了便利条件,攻击技术快速发展,呈现出多元化、复杂化和智能化的发展趋势,攻击频度和规模逐年递增。以国家计算机网络应急技术处理协调中心(CNCERT/CC)在2011年发布的报告为例,2011年,CNCERT/CC接收的网络仿冒、垃圾邮件和网页恶意代码等非扫描类网络安全事件报告总数为4390件,大大超出去年同期水平,与2010年相比,网络仿冒事件增长1.4倍,垃圾邮件事件增长1倍,网页恶意代码事件增长
12、2.6倍。同时据抽样显示,2011年,境内外控制者利用木马控制端对主机进行控制的事件中,木马控制端IP地址总数为433,429个,被控制端IP地址总数为2,861,621个,比去年同期均有较大幅度的增长。下面对目前的网络安全现状进行具体分析。首先,在当前的网络状况下,各种病毒和攻击方法不断更新换代,安全威胁的种类越来越多,升级的频率越来越快,所能影响的范围也越来越广。目前存在的安全威胁主要有以下几种:1)系统破坏:入侵行为往往对系统造成极大的破坏,主要表现在网络性能变差,影响网络服务的质量甚至无法提供正常的服务,主机速度变慢,程序运行异常,系统无法正常工作,严重时导致系统崩溃。系统遭到破坏产生
13、的直接后果就是用户无法使用电脑进行正常工作。目前,网络已经成为许多企业和用户工作的重要工具,系统的破坏将严重影响企业的正常运营和用户的工作,对企业和个人造成重大的经济损失。2)信息泄漏:企业网络及个人的主机上有许多重要信息和资料,有些保密级别很高,不能对外公开。对于个人来说,个人隐私的泄漏会给人们带来许多不必要的麻烦,如各种电话、短信、垃圾邮件的骚扰等,严重时会对人们的生活造成极大的影响。此外,个人网上银行账户的泄漏会对个人的财产造成重大的损失,某些网络账号和密码的被窃,会被入侵者用来做一些违背用户个人意愿的事情,有时甚至会是违法的事情。对于企业来说,商场如战场,而商机往往由及时可靠的信息获取
14、来决定,许多公司企业的网络中往往会存在一些涉及商业机密的重要文件,这些文件往往成为一些商业计划成败的关键,一旦泄漏,对公司企业的打击是沉重的。信息泄漏的危害很大,甚至会威胁到政府和国家的安全。政府的重要文件和国家机密作为一个国家最为重要的信息,往往决定着国家的重大决策,把握着国家的经济命脉,影响范围十分广泛,涉及国家金融、经济、军事、安全的各个方面,现在政府都建立了自己的网站,方便政府的办公,但是同时也增加了这些重要的文件及机密泄漏的风险。所以信息泄漏是网络安全领域的重要问题,危害十分严重。3)数据损毁:网络中最重要的资源就是数据,网络提供的一切服务以及在网络中传输的任何信息,其实就是一堆数据
15、。数据损毁主要是对数据完整性的破坏,包括数据的损坏和丢失,导致数据损毁的原因是多方面的,有人为的因素,如入侵者的删除和蓄意破坏用户个人的错误操作,误删或没有保存。也有来自系统本身的原因,如系统崩溃导致数据损毁,存储介质故障导致数据损毁。还有一些外来的因素,如突然断电造成的数据损毁。其中,因为入侵行为而导致的数据损毁是最为常见而又很难防范的。在没有很好的数据保护管理机制的情况下,重要数据的损毁对企业和个人往往是灾难性的,很多人面对重要数据的丢失往往是欲哭无泪,诉求无门。4)非法控制:入侵者在成功入侵某些机关、企业或个人的主机后,往往会在被入侵主机中植入木马,留下后门,方便其对主机进行长期的非法控制。在这种情况下,除了可能出现前面提到的三种情况外,还可能会出现一些意想不到的严重后果,造成灾难性的危害。2005年,美国海军航空中心的电脑被黑客入侵,通过对被入侵电脑的控制,该黑客甚至可以操控军用导弹的发射,一场人为的灾难就因为网络系统
