基于混合入侵檢測技術(shù)的網(wǎng)絡(luò)入侵檢測系統(tǒng)研究.pdf

1、隨著計算機網(wǎng)絡(luò)的日益普及，信息安全已經(jīng)成為一個急待解決的世界性問題。傳統(tǒng)的安全保護(hù)技術(shù)采用認(rèn)證、授權(quán)、訪問控制和加密等機制，這不能阻止利用計算機軟硬件系統(tǒng)的缺陷非法闖入計算機系統(tǒng)的行為，而對于針對程序設(shè)計的缺陷發(fā)起的攻擊和通過加密通道的攻擊，目前的防火墻技術(shù)也無能為力。入侵檢測技術(shù)是一種重要的動態(tài)安全防護(hù)技術(shù)，已經(jīng)成為計算機科學(xué)與技術(shù)的一個重要研究領(lǐng)域。 入侵檢測系統(tǒng)是以數(shù)據(jù)分析為核心的采用主動防御策略的安全系統(tǒng)，已經(jīng)成為保護(hù)網(wǎng)

2、絡(luò)安全的一道重要屏障。入侵檢測作為一種主動的信息安全保障措施，有效地彌補了傳統(tǒng)安全防護(hù)技術(shù)的缺陷。數(shù)據(jù)挖掘作為數(shù)據(jù)分析的有效手段自然被引入到入侵檢測系統(tǒng)的構(gòu)建當(dāng)中。 基于網(wǎng)絡(luò)的異常檢測的優(yōu)點是可以檢測出新的攻擊以及其高檢測率，而它的缺點是虛警率很高，導(dǎo)致真正的攻擊淹沒在大量的虛警之中，從而使入侵檢測系統(tǒng)失去作用?；诰W(wǎng)絡(luò)的誤用檢測的優(yōu)點是虛警率低，而它的缺點是不能檢測出新的攻擊，因此當(dāng)攻擊者使用新的攻擊手段進(jìn)行攻擊時，入侵檢測系

3、統(tǒng)就會失去作用。 本文在總結(jié)異常檢測和誤用檢測的特點的基礎(chǔ)之上，結(jié)合其優(yōu)點，并克服其缺點，提出了基于混合入侵檢測技術(shù)的網(wǎng)絡(luò)入侵檢測系統(tǒng)模型。對于同一行為，異常檢測結(jié)果和誤用檢測結(jié)果不總是一樣的，本文的跟蹤算法有效地解決了異常檢測結(jié)果與誤用檢測結(jié)果不一致的問題。本文采用了序列模式挖掘方法建立正常行為輪廓庫以及入侵規(guī)則庫，并采用了模式匹配的方法實現(xiàn)異常檢測引擎和誤用檢測引擎。最后通過對實驗結(jié)果的分析與比較，表明了本文提出的混合檢測模