入侵檢測系統(tǒng)性能提高新技術研究.pdf

1、隨著計算機技術與網(wǎng)絡數(shù)據(jù)通信技術的快速發(fā)展，特別是Internet技術的日益廣泛深入的應用，網(wǎng)絡信息系統(tǒng)的安全性問題日益凸現(xiàn)。為了保證連網(wǎng)計算機系統(tǒng)及其相互之間數(shù)據(jù)通信的安全，并對網(wǎng)絡入侵進行防范，研究者們設計并實現(xiàn)了多種類型的安全保障措施，其中最典型的是網(wǎng)絡防火墻系統(tǒng)與入侵檢測系統(tǒng)。然而，在從一定程度上減輕網(wǎng)絡入侵危害的同時，這些系統(tǒng)也都面臨著一些難題?；谡`用檢測模型的入侵檢測系統(tǒng)可以很好地檢測出已知種類的攻擊，但對新形式的入侵卻無

2、能為力；而基于異常檢測模型的入侵檢測系統(tǒng)，雖然理論上可以檢測出已知與未知的系統(tǒng)入侵，但其所依賴的對系統(tǒng)正常行為進行建模的過程卻比較困難。同時，由于當前網(wǎng)絡數(shù)據(jù)流量的迅速增加，基于數(shù)據(jù)包過濾技術的網(wǎng)絡防火墻系統(tǒng)與眾多的誤用入侵檢測系統(tǒng)的實時性能也受到了挑戰(zhàn)。 本文從不同層次、多個角度針對如何提高入侵檢測系統(tǒng)的性能進行了深入研究，主要的創(chuàng)新性工作如下： （1）提出了一種用于信息過濾的并行字符串搜索算法PBM。通過將字符串搜索

3、任務并行化，有效地提高了數(shù)據(jù)處理的總體吞吐率，從而直接地提高了基于字符串搜索技術的誤用入侵檢測系統(tǒng)及網(wǎng)絡防火墻系統(tǒng)的性能。 （2）提出了一種分布式入侵檢測系統(tǒng)模型PeerIDS。通過將對等網(wǎng)絡模型引入入侵檢測領域，入侵檢測工作可以通過對等實體間的交互在LAN中實現(xiàn)自動分布，整個系統(tǒng)因而具有較高的自主性并避免了單點失效問題的發(fā)生；同時，系統(tǒng)還具有很好的可擴展性和可伸縮性，簡單地在網(wǎng)絡中增加PeerIDS實例就可以有效地提高整個分布

4、式入侵檢測系統(tǒng)的性能。 （3）提出了一種新型異常檢測模型。該模型結合了模糊概率賦值與貝葉斯置信網(wǎng)絡推理方法，通過將系統(tǒng)中與安全相關的特征屬性進行分類，并以模糊隸屬度函數(shù)的形式給出其取特定值時系統(tǒng)行為異常與否的置信度；貝葉斯置信網(wǎng)絡在綜合這些實時模糊概率值的基礎上，對系統(tǒng)是否正遭受入侵做出決策。較之傳統(tǒng)的閾值模型，該模型可以對較復雜的系統(tǒng)行為進行更精確的建模。 （4）設計并實現(xiàn)了動態(tài)防火墻系統(tǒng)SecuRouter。Secu

5、Router可以依據(jù)與局域網(wǎng)內(nèi)各入侵檢測系統(tǒng)間的交互，動態(tài)地更新其過濾規(guī)則集，以適應多變的網(wǎng)絡安全形勢；同時，通過從前端阻斷攻擊數(shù)據(jù)流，可以有效地緩解后臺入侵檢測系統(tǒng)的壓力，從而從另一個角度提高了入侵檢測的性能。SecuRouter基于一臺連接Internet與內(nèi)部局域網(wǎng)的雙穴主機實現(xiàn)，并為入侵檢測系統(tǒng)提供了相應的通訊接口，其可以通過從該接口接收到的與新檢測出的入侵相關信息來動態(tài)地增加過濾規(guī)則。 （5）提出了一種基于隨機包標記技

6、術的IP追蹤策略NSPPM及相應攻擊路徑重建算法。由于基于對網(wǎng)絡數(shù)據(jù)包流經(jīng)路徑上的頂點信息進行采樣，較之于傳統(tǒng)的基于邊信息采樣的隨機包標記策略，NSPPM入侵追蹤策略的攻擊路徑重建算法具有更低的計算復雜度，因而能夠在DDoS攻擊發(fā)生時得到更有效的執(zhí)行。 （6）提出了一種被動式的拒絕服務攻擊檢測服務Baseline。從保障連網(wǎng)主機中通信進程的最低QoS要求這一獨特角度出發(fā)，給出了一種被動式的DoS／DDoS攻擊容侵／檢測機制。該服