基于自體集數(shù)據(jù)簡約機(jī)制的IDS方法研究.pdf

1、隨著網(wǎng)絡(luò)的快速發(fā)展,高速率的網(wǎng)絡(luò)流量以及越來越復(fù)雜的入侵手段給現(xiàn)有的入侵檢測技術(shù)帶來挑戰(zhàn),傳統(tǒng)的、單一的、缺乏協(xié)作的入侵檢測技術(shù)已不能滿足要求,需要新的解決方案來使入侵檢測從容處理海量數(shù)據(jù),檢測未知攻擊。
　　本文利用免疫機(jī)理中被動免疫抗體和主動免疫抗體相結(jié)合的原理設(shè)計入侵檢測系統(tǒng),該系統(tǒng)由優(yōu)秀檢測器和自體集檢測器兩部分構(gòu)成,使誤用檢測與異常檢測共同協(xié)作。重點(diǎn)分析了自體集檢測器的建立與檢測運(yùn)行機(jī)制,力求簡約自體集數(shù)據(jù),約束自體集的

2、存儲規(guī)模并提高檢測速率。論文作了以下貢獻(xiàn):
　　(1)提出基于自體集檢測的網(wǎng)絡(luò)入侵檢測設(shè)計方案
　　方案設(shè)計中網(wǎng)絡(luò)數(shù)據(jù)依次通過優(yōu)秀檢測器和自體集檢測器進(jìn)行檢測,優(yōu)秀檢測器的建立基于現(xiàn)有入侵規(guī)則庫,用于檢測已知入侵;自體集檢測器的建立基于自身合法操作數(shù)據(jù)庫,用于檢測未知入侵。
　　(2)提出自體集數(shù)據(jù)簡約方法
　　自體集數(shù)據(jù)簡約方法將網(wǎng)絡(luò)數(shù)據(jù)的包首部和數(shù)據(jù)部分進(jìn)行分離,利用首部屬性關(guān)鍵字建立多叉樹,對數(shù)據(jù)部分進(jìn)行內(nèi)

3、容特征提取編碼算法后進(jìn)行存儲。建立首部多叉樹路徑與數(shù)據(jù)部分存儲地址的映射,以此簡約自體集數(shù)據(jù),為檢測中的匹配提供便利。
　　(3)提出概率匹配高效尋優(yōu)算法
　　分析網(wǎng)絡(luò)數(shù)據(jù)的發(fā)展趨勢,在證明網(wǎng)絡(luò)具有集中性的基礎(chǔ)上設(shè)計尋優(yōu)算法,對命中概率高的優(yōu)秀自體集記錄進(jìn)行優(yōu)先匹配,以此減少系統(tǒng)匹配量,提高檢測器的檢測速率。
　　上述機(jī)制利用誤用檢測與異常檢測相互協(xié)作來有效檢測已知入侵和未知入侵,自體集數(shù)據(jù)簡約方法為處理大規(guī)模數(shù)據(jù)提供