高速網(wǎng)絡(luò)中濫用入侵檢測系統(tǒng)檢測精度的改進(jìn)研究.pdf

1、網(wǎng)絡(luò)入侵檢測系統(tǒng)（NIDS）是一種重要的安全檢測工具，檢測精度是影響其實(shí)用性的重要因素。論文研究了以下三種有助于提高濫用NIDS檢測精度的方法：為NIDS引入檢測規(guī)則自動更新和預(yù)處理機(jī)制；加強(qiáng)NIDS面向會話流的檢測能力；對原始警報進(jìn)行冗余消除和警報關(guān)聯(lián)等后處理，從而提高濫用NIDS的檢測精度，增強(qiáng)其警報事件的可信度。 檢測規(guī)則是濫用入侵檢測判定攻擊的依據(jù)所在，直接關(guān)系到檢測結(jié)果的準(zhǔn)確性。論文首先分析了檢測規(guī)則從哪幾個方面影響檢

2、測精度，以此為基礎(chǔ)設(shè)計了一種檢測規(guī)則自動更新與預(yù)處理機(jī)制。規(guī)則自動更新機(jī)制保證了檢測規(guī)則庫的時效性；規(guī)則預(yù)處理機(jī)制則通過對規(guī)則進(jìn)行去錯去重、沖突檢測、人工微調(diào)來剔除那些易于帶來誤報的規(guī)則。為了提高報文分類算法在大規(guī)模規(guī)則庫下的可擴(kuò)展性，論文在P-HiCuts報文分類算法的基礎(chǔ)上通過采用每規(guī)則建樹和TCP標(biāo)志域離散化兩種改進(jìn)手段，使改進(jìn)后的算法減少了平均75％左右的空間消耗，并降低了算法空間占用隨規(guī)則數(shù)增長而增加的速度。 傳統(tǒng)NI

3、DS采用的是基于單報文的入侵檢測手段。為了充分挖掘報文間的聯(lián)系，論文研究了面向會話流的入侵檢測方法。會話流檢測可以分為基于在線法和基于緩存法兩種，前者雖然空間消耗較少，但所提供的檢測能力有限，不能適應(yīng)日益復(fù)雜的檢測要求，因此論文采用了基于緩存法的會話流重組算法。應(yīng)用層協(xié)議語義抽取是會話流檢測的重要功能，為了提高語義抽取的正確性和效率，論文設(shè)計了基于鑒別-抽取機(jī)制的語義抽取算法，在滿足規(guī)則檢測要求的基礎(chǔ)上提高了抽取算法性能。論文討論了TC

4、P層次和應(yīng)用層層次的會話流狀態(tài)跟蹤在抗無狀態(tài)攻擊、改進(jìn)檢測精度上的意義，并給出了相應(yīng)的實(shí)現(xiàn)算法。隨著入侵技術(shù)的進(jìn)步，出現(xiàn)了多種變體攻擊方法來逃避NIDS的檢測。論文分析了會話流檢測中所涉及的4類變體攻擊問題，并根據(jù)適用于高速網(wǎng)絡(luò)環(huán)境（Gbps）和主干網(wǎng)監(jiān)測等要求設(shè)計了相應(yīng)的檢測算法。 為了改變各個原始警報信息相互孤立的狀態(tài)，論文介紹了安全檢測事件多級處理的思想。通過對原始警報進(jìn)行冗余消除和關(guān)聯(lián)分析，檢測系統(tǒng)可以進(jìn)一步減少警報數(shù)量

5、，提高警報質(zhì)量。論文重點(diǎn)對典型的冗余消除算法進(jìn)行了比較，通過理論分析和實(shí)驗(yàn)驗(yàn)證證明基于事件時間間隔相對均方差的多特征關(guān)聯(lián)冗余消除算法在冗余事件的識別程度、冗余消除度和對攻擊速度變化的適應(yīng)性方面均優(yōu)于其他幾種算法，并給出了該算法的實(shí)現(xiàn)。 最后論文通過系統(tǒng)測試證明改進(jìn)后的系統(tǒng)檢測能力和檢測精度均得到了提升，其中改進(jìn)版在測試中相比于原始版本分別減少了30％的誤報和26％的漏報。由于檢測規(guī)則和檢測步驟的增多，改進(jìn)版空間占用比原始版多出約