基于混合入侵检测技术的网络入侵检测系统研究

摘要

随着计算机网络的日益普及，信息安全已经成为一个急待解决的世界性问题。传统的安全保护技术采用认证、授权、访问控制和加密等机制，这不能阻止利用计算机软硬件系统的缺陷非法闯入计算机系统的行为，而对于针对程序设计的缺陷发起的攻击和通过加密通道的攻击，目前的防火墙技术也无能为力。入侵检测技术是一种重要的动态安全防护技术，已经成为计算机科学与技术的一个重要研究领域。 入侵检测系统是以数据分析为核心的采用主动防御策略的安全系统，已经成为保护网络安全的一道重要屏障。入侵检测作为一种主动的信息安全保障措施，有效地弥补了传统安全防护技术的缺陷。数据挖掘作为数据分析的有效手段自然被引入到入侵检测系统的构建当中。 基于网络的异常检测的优点是可以检测出新的攻击以及其高检测率，而它的缺点是虚警率很高，导致真正的攻击淹没在大量的虚警之中，从而使入侵检测系统失去作用。基于网络的误用检测的优点是虚警率低，而它的缺点是不能检测出新的攻击，因此当攻击者使用新的攻击手段进行攻击时，入侵检测系统就会失去作用。 本文在总结异常检测和误用检测的特点的基础之上，结合其优点，并克服其缺点，提出了基于混合入侵检测技术的网络入侵检测系统模型。对于同一行为，异常检测结果和误用检测结果不总是一样的，本文的跟踪算法有效地解决了异常检测结果与误用检测结果不一致的问题。本文采用了序列模式挖掘方法建立正常行为轮廓库以及入侵规则库，并采用了模式匹配的方法实现异常检测引擎和误用检测引擎。最后通过对实验结果的分析与比较，表明了本文提出的混合检测模型较基于单一入侵检测技术的模型相比，具有更好的检测效果。

目录

文摘

英文文摘

论文说明：图表目录

声明

致谢

第一章 绪 论

1.1 研究背景

1.2 入侵检测系统的发展概况

1.2.1 入侵检测的发展历史

1.2.2 入侵检测系统的研究现状

1.3 本文组织结构

第二章 入侵检测系统概论

2.1 入侵检测系统的体系结构

2.1.1 基于主机的入侵检测系统(HIDS)

2.1.2 基于网络的入侵检测系统(NIDS)

2.1.3 基于主机和网络的入侵检测系统(HNIDS)

2.2 入侵检测系统的功能

2.3 入侵检测技术

2.3.1 误用检测

2.3.2 异常检测

2.3.3 混合检测

2.4 入侵检测系统中的数据挖掘

2.4.1 数据挖掘的概念

2.4.2 数据挖掘算法及其在入侵检测中的应用

2.5 评判入侵检测系统性能的指标

2.6 入侵检测的发展方向

2.7 入侵检测的研究热点

2.8 本章小结

第三章 混合入侵检测系统模型及系统模型中的关键算法

3.1 混合入侵检测系统模型

3.1.1 CIDF体系结构

3.1.2 混合入侵检测系统功能模块

3.1.3 混合检测模块

3.2 系统模型中的关键算法描述

3.2.1 序列模式挖掘算法(PrefixSpan)

3.2.2 模式匹配算法(BM)

3.2.3 跟踪算法

3.3 本章小结

第四章 混合入侵检测系统模型的实现

4.1 实验数据来源与实验环境

4.1.1 实验数据来源

4.1.2 实验环境

4.2 数据预处理

4.2.1 应用层以下网络数据包头特征提取

4.2.2 应用层网络数据包头特征提取

4.3 相关的定义

4.4异常检测

4.4.1 实验步骤

4.4.2 实验结果与分析

4.5 误用检测

4.5.1 实验步骤

4.5.2 实验结果与分析

4.6 混合检测

4.6.1 实验步骤

4.6.2 实验结果与分析

4.7 实验结果比较与分析

4.8 本章小结

第五章 总结与展望

参考文献

攻读硕士学位期间所发表的论文