入侵檢測(cè)系統(tǒng)的若干關(guān)鍵技術(shù)的研究.pdf

1、該文針對(duì)分布式入侵檢測(cè)與響應(yīng)協(xié)作模型、報(bào)警關(guān)聯(lián)與分析算法、網(wǎng)絡(luò)入侵檢測(cè)方法和數(shù)據(jù)庫(kù)系統(tǒng)的入侵檢測(cè)四個(gè)重要問題,結(jié)合XML技術(shù)、數(shù)據(jù)挖掘和計(jì)算機(jī)免疫學(xué)技術(shù)進(jìn)行了研究.該文利用XML在數(shù)據(jù)表示方面的優(yōu)勢(shì)以及平臺(tái)無關(guān)性,提出了一個(gè)基于XML消息交換的分布式入侵檢測(cè)與響應(yīng)協(xié)作模型.在該模型中,設(shè)計(jì)了協(xié)作代理,負(fù)責(zé)對(duì)來自于各入侵檢測(cè)代理的檢測(cè)結(jié)果進(jìn)行關(guān)聯(lián)分析,并結(jié)合從其他域的協(xié)作代理收到的報(bào)警消息來檢測(cè)復(fù)雜的入侵行為.擴(kuò)展了IDMEF消息交換格式

2、,使用XML文檔來表示各入侵檢測(cè)部件間交換的消息,協(xié)作代理間通過XML消息交換來實(shí)現(xiàn)協(xié)作.這些XML文檔由系統(tǒng)定義的Schema來約束.提出了懷疑度的概念,將發(fā)現(xiàn)的所有可疑的和入侵行為都報(bào)告給監(jiān)控部件,以便及時(shí)進(jìn)行隔離和監(jiān)控.該文先提出了一個(gè)基于CLOSET頻繁閉模式挖掘的報(bào)警關(guān)聯(lián)與分析算法,然后又加以改進(jìn),按照一個(gè)最小懷疑度和最小支持度對(duì)報(bào)警消息進(jìn)行預(yù)處理,然后使用修改的頻繁閉模式挖掘算法,對(duì)報(bào)警信息進(jìn)行挖掘,得到頻繁閉模式序列.我們