分布式入侵檢測系統(tǒng)中事件分析器的設計與實現(xiàn).pdf

1、入侵檢測是當前網(wǎng)絡安全研究領域的熱點,但現(xiàn)有的入侵檢測方法大部分沒有分析入侵行為中一系列事件之間的相關性,所以存在誤報率高、檢測滯后等問題.為了降低入侵檢測系統(tǒng)的誤報率,在分布式入侵檢測系統(tǒng)DIDS中專門設計了一個基于入侵模式的事件分析器.在充分分析現(xiàn)有各種入侵手段的基礎之上發(fā)現(xiàn),入侵過程主要可分成入侵前的信息收集、入侵和入侵成功后的現(xiàn)場處理三個階段.每種入侵方法的各個階段都有其特征,將其特征抽取出來就可形成相應的入侵模式.給出了入侵模

2、式設計的基本原則、描述方式以及入侵模式一般應包括的元素,并設計了若干典型的入侵模式.給出了一次入侵的定義并討論了它的關鍵屬性對事件分析器的分析結(jié)果可能造成的影響,提出了事件分析器的設計要求和數(shù)據(jù)源要求.然后,基于入侵模式設計了事件分析器的框架,給出了相應的算法,并描述了事件分析器與DIDS其它組件的通信機制.事件分析器的實現(xiàn)主要包括數(shù)據(jù)庫設計和事件分析算法的實現(xiàn).數(shù)據(jù)庫設計包括入侵模式數(shù)據(jù)庫、新事件數(shù)據(jù)庫和分析結(jié)果數(shù)據(jù)庫三部分.實驗結(jié)果