入侵檢測(cè)系統(tǒng)研究.pdf

1、入侵檢測(cè)技術(shù)作為一種重要的安全技術(shù)，日益得到廣泛的應(yīng)用和深入的研究。存儲(chǔ)級(jí)入侵檢測(cè)是入侵檢測(cè)體系重要的組成部分之一，是目前具有一定挑戰(zhàn)性的研究熱點(diǎn)，它通過收集計(jì)算機(jī)存儲(chǔ)器的操作數(shù)據(jù)，盡可能實(shí)時(shí)地發(fā)現(xiàn)非法入侵。
　　攻擊模型和匹配方法是存儲(chǔ)級(jí)入侵檢測(cè)系統(tǒng)研究中最重要的兩個(gè)方面，因此本文主要針對(duì)這兩方面進(jìn)行研究工作。研究?jī)?nèi)容主要包括：基于判定樹分類的攻擊模式自動(dòng)生成、基于D-S證據(jù)理論的異常檢測(cè)特征融合算法，以及不同種類IDS之間基于

2、協(xié)作的聯(lián)合防御，從而提高存儲(chǔ)級(jí)入侵檢測(cè)系統(tǒng)的檢測(cè)能力、檢測(cè)精度和檢測(cè)效率。
　　本文主要工作如下：
　　1、提出判定樹分類生成算法，進(jìn)而給出攻擊模式自動(dòng)生成的方法。
　　攻擊模型是誤用檢測(cè)的重要因素，決定著存儲(chǔ)級(jí)IDS的檢測(cè)率和誤報(bào)率。為獲得合理有效的攻擊模型，本文將攻擊模型化理論應(yīng)用于存儲(chǔ)級(jí)IDS攻擊模型的建立，擴(kuò)展判定樹模型，使得攻擊模型更準(zhǔn)確、全面地描述攻擊，并能夠重用、共享。進(jìn)而提出判定樹分類生成算法，使得模型

3、可以自動(dòng)產(chǎn)生。為驗(yàn)證模型和算法的有效性，分別以模擬平臺(tái)收集的存儲(chǔ)操作數(shù)據(jù)進(jìn)行實(shí)驗(yàn)，實(shí)驗(yàn)結(jié)果表明，模型和算法是有效的，此外，模型還具有可重用、自動(dòng)生成等優(yōu)點(diǎn)。
　　2、提出六組計(jì)算代價(jià)小特征，采用D-S證據(jù)理論進(jìn)行融合，從而做出評(píng)判。
　　異常檢測(cè)的研究核心在于建立完備、準(zhǔn)確的正常行為模型。在對(duì)系統(tǒng)正常運(yùn)行和異常運(yùn)行條件下采集到的數(shù)據(jù)進(jìn)行綜合分析的基礎(chǔ)上，本文提出了六組存儲(chǔ)操作數(shù)據(jù)的計(jì)算代價(jià)較小的關(guān)鍵特征，并采用D-S證據(jù)理論

4、融合在這些特征上得到的觀察從而做出綜合評(píng)判。選取計(jì)算代價(jià)小的特征以及高效的融合規(guī)則，保證了算法的性能滿足高速檢測(cè)的要求。
　　3、提出一種不同層級(jí)IDS間聯(lián)合防御方法。
　　本文提出一種IDS間通過協(xié)作進(jìn)行聯(lián)合防御的方法，模擬人類社會(huì)解決問題的過程。協(xié)作分為兩種模式：主動(dòng)防御模式是指入侵受害者所屬的管轄I(yíng)DS將入侵情況發(fā)送給入侵者所屬的管轄I(yíng)DS，由后者采取措施阻止攻擊行為的繼續(xù)；通知預(yù)警模式是指當(dāng)一個(gè)IDS發(fā)現(xiàn)某種攻擊行為