基于時(shí)間序列的入侵檢測(cè)模型研究.pdf

1、入侵檢測(cè)技術(shù)就是檢測(cè)企圖破壞計(jì)算機(jī)資源的完整性、保密性和有效性的技術(shù).入侵檢洲技術(shù)已經(jīng)有20多年的發(fā)展歷史,在Dorothy Denning提出的通用模型的基礎(chǔ)上,人們已經(jīng)將諸如自治代理、數(shù)據(jù)挖掘、專家系統(tǒng)和模型推理等知識(shí)應(yīng)用到入侵檢測(cè)領(lǐng)域,使得入侵檢測(cè)的技術(shù)得到了迅速的發(fā)展,但是現(xiàn)存的入侵檢測(cè)模型存在諸多缺陷.該文在分析比較現(xiàn)有入侵檢測(cè)技術(shù),如基于統(tǒng)計(jì)方法學(xué),數(shù)據(jù)挖掘,自治代理的異常檢測(cè)技術(shù),基于專家系統(tǒng)和模型推理的誤用檢測(cè)技術(shù)等的基

2、礎(chǔ)上,針對(duì)這些技術(shù)都沒有對(duì)不同攻擊事件之間的聯(lián)系進(jìn)行分析等問題,該文提出一種新的基于時(shí)間序列的入侵檢測(cè)模型,該模型從攻擊者的攻擊序列對(duì)被攻擊系統(tǒng)所造成的影響為著眼點(diǎn),得出被攻擊系統(tǒng)所處狀態(tài)包含正常狀態(tài)、危險(xiǎn)狀態(tài)、入侵發(fā)生狀態(tài)、和更新\建立模型狀態(tài),此模型可以很好地解決攻擊序列中不同的攻擊事件之間的聯(lián)系沒有進(jìn)行分析,以及先前的模型不具備預(yù)測(cè)將來狀態(tài),不能預(yù)防等問題.該文對(duì)此時(shí)間序列模型用Petri Net進(jìn)行建模,對(duì)所建模型進(jìn)行可達(dá)性、復(fù)

3、雜度等性質(zhì)的定性定量的分析,并且使用C++ builder6.0對(duì)模型的可達(dá)性性質(zhì)進(jìn)行了編碼實(shí)現(xiàn)和性能分析.隨后利用隨機(jī)Petri Net和連續(xù)時(shí)間的馬爾可夫鏈同構(gòu)的性質(zhì),應(yīng)用所獲得的同構(gòu)馬爾可夫鏈對(duì)求得穩(wěn)定狀態(tài)概率的子系統(tǒng)的平均延時(shí)時(shí)間和后繼狀態(tài)轉(zhuǎn)移概率進(jìn)行了詳細(xì)的計(jì)算,從而為入侵檢測(cè)系統(tǒng)的設(shè)計(jì)提供理論根據(jù).最后,利用免費(fèi)公開源代碼snort的規(guī)則的增加和保持不變來對(duì)所建模型的性能進(jìn)行評(píng)估,并且得出以下結(jié)論:當(dāng)系統(tǒng)達(dá)到危險(xiǎn)狀態(tài)時(shí),發(fā)生