基于混合入侵檢測技術的網絡入侵檢測系統(tǒng)研究.pdf

1、隨著計算機網絡的日益普及，信息安全已經成為一個急待解決的世界性問題。傳統(tǒng)的安全保護技術采用認證、授權、訪問控制和加密等機制，這不能阻止利用計算機軟硬件系統(tǒng)的缺陷非法闖入計算機系統(tǒng)的行為，而對于針對程序設計的缺陷發(fā)起的攻擊和通過加密通道的攻擊，目前的防火墻技術也無能為力。入侵檢測技術是一種重要的動態(tài)安全防護技術，已經成為計算機科學與技術的一個重要研究領域。 入侵檢測系統(tǒng)是以數據分析為核心的采用主動防御策略的安全系統(tǒng)，已經成為保護網

2、絡安全的一道重要屏障。入侵檢測作為一種主動的信息安全保障措施，有效地彌補了傳統(tǒng)安全防護技術的缺陷。數據挖掘作為數據分析的有效手段自然被引入到入侵檢測系統(tǒng)的構建當中。 基于網絡的異常檢測的優(yōu)點是可以檢測出新的攻擊以及其高檢測率，而它的缺點是虛警率很高，導致真正的攻擊淹沒在大量的虛警之中，從而使入侵檢測系統(tǒng)失去作用?；诰W絡的誤用檢測的優(yōu)點是虛警率低，而它的缺點是不能檢測出新的攻擊，因此當攻擊者使用新的攻擊手段進行攻擊時，入侵檢測系

3、統(tǒng)就會失去作用。 本文在總結異常檢測和誤用檢測的特點的基礎之上，結合其優(yōu)點，并克服其缺點，提出了基于混合入侵檢測技術的網絡入侵檢測系統(tǒng)模型。對于同一行為，異常檢測結果和誤用檢測結果不總是一樣的，本文的跟蹤算法有效地解決了異常檢測結果與誤用檢測結果不一致的問題。本文采用了序列模式挖掘方法建立正常行為輪廓庫以及入侵規(guī)則庫，并采用了模式匹配的方法實現異常檢測引擎和誤用檢測引擎。最后通過對實驗結果的分析與比較，表明了本文提出的混合檢測模