幾類高效入侵檢測技術(shù)研究.pdf

1、Internet在給人們帶來了巨大方便的同時，也使得網(wǎng)絡(luò)與信息安全問題變得越來越突出。入侵檢測作為網(wǎng)絡(luò)安全的重要一環(huán)，對網(wǎng)絡(luò)的安全保障起到了重要的作用。本文針對不同的需求和應用，提出并研究了幾種高效的異常檢測方法和模型。論文首先介紹了信息安全現(xiàn)狀和入侵檢測研究進展，接著分析了入侵檢測系統(tǒng)的脆弱性，提出了結(jié)合隱馬爾科夫模型和神經(jīng)網(wǎng)絡(luò)的入侵檢測模型、基于序列互相關(guān)特性的入侵檢測技術(shù)、基于二階隨機過程的入侵檢測技術(shù)和應用統(tǒng)計檢驗進行入侵特征選

2、擇的算法，最后給出了一個分布式的多級網(wǎng)絡(luò)安全防護模型。 在入侵檢測的脆弱性分析中，重點對CIDF模型進行了分析。根據(jù)CIDF模型各組成部分的特點，指出了其容易被攻擊者利用的弱點。根據(jù)攻擊的特點，又把攻擊分為主動攻擊和逃避攻擊，并分別指出主動攻擊和逃避攻擊可能發(fā)生的各種場合。 在脆弱性分析之后，提出了一個隱馬爾科夫模型和神經(jīng)網(wǎng)絡(luò)相結(jié)合的入侵檢測模型。該模型同單獨使用隱馬爾科夫模型的入侵檢測模型比較，有以下幾個優(yōu)點：第一，由

3、于不使用輪廓數(shù)據(jù)庫，所以大大的節(jié)省了系統(tǒng)的存儲空間：第二，使用神經(jīng)網(wǎng)絡(luò)進行結(jié)果判決，比通過輪廓數(shù)據(jù)庫來判定是否有入侵行為要快一些，特別是當輪廓數(shù)據(jù)庫的記錄較多的情形；第三，使用這種混合的入侵檢測模型，比單獨使用隱馬爾科夫模型或者是單獨使用神經(jīng)網(wǎng)絡(luò)的檢測模型有更好的檢測效果。 根據(jù)檢測數(shù)據(jù)為系統(tǒng)調(diào)用序列這一特性，提出了序列互相關(guān)特性在入侵檢測中的應用。由于基于系統(tǒng)調(diào)用的入侵檢測系統(tǒng)的數(shù)據(jù)源是系統(tǒng)調(diào)用序列，所以應用序列的一些特性來分

4、析這些看似無規(guī)律的數(shù)據(jù)有重要意義。論文應用序列的互相關(guān)特性直接進行入侵檢測，取得了很好的效果，應用序列的互相關(guān)特性進行訓練數(shù)據(jù)的選擇，也對系統(tǒng)的性能有較大的提高。 接著，根據(jù)隨機過程的特性和入侵過程的特點，提出了二階隨機過程進行入侵檢測。馬爾可夫模型(即一階隨機過程)在入侵檢測中表現(xiàn)出較好的性能。但是從理論上來說，高階隨機過程可以更好地描述系統(tǒng)調(diào)用過程，因為一個入侵者進行入侵的過程并不是對系統(tǒng)進行獨立的幾個系統(tǒng)調(diào)用就能夠完成的。

5、對于一階隨機過程，當前狀態(tài)同僅僅前面一個狀態(tài)有關(guān)系，同其它的狀態(tài)沒有關(guān)聯(lián)。這在一定程度上就丟失了前面的一些重要狀態(tài)信息，導致它的檢測性能要差一些。二階隨機過程的當前狀態(tài)由前面的兩個狀態(tài)決定，這在一定程度上獲得了系統(tǒng)調(diào)用序列的更多重要信息，因而其性能要好于一階隨機過程。 針對網(wǎng)絡(luò)數(shù)據(jù)流量大，流量數(shù)據(jù)特征多的問題，論文提出使用T檢驗方法，剔除一部分對入侵檢測沒有幫助的特征項目，從而提高入侵檢測的速度，甚至提高檢測率。在本文中比較了使