基于網(wǎng)絡(luò)的分布式安全預(yù)警系統(tǒng)的研究與設(shè)計.pdf

1、在目前網(wǎng)絡(luò)環(huán)境下，由于各種安全技術(shù)的局限性，要想完全杜絕網(wǎng)絡(luò)入侵是不可能的。網(wǎng)絡(luò)預(yù)警技術(shù)因其可預(yù)知主體受攻擊的可能性和具體的指證將要發(fā)生的行為和產(chǎn)生的后果，而受到網(wǎng)絡(luò)安全業(yè)界的重視。網(wǎng)絡(luò)入侵通常是按一定步驟，在一定時間內(nèi)實施的，需要經(jīng)過掃描、收集信息和實施攻擊三個階段，尤其是分布式的協(xié)同攻擊，在時間和空間上體現(xiàn)更為明顯。這樣就使預(yù)警的實現(xiàn)成為了可能。因此我們就可以通過網(wǎng)絡(luò)數(shù)據(jù)包實時采集，對網(wǎng)絡(luò)數(shù)據(jù)包進行解析還原，對報警信息進行關(guān)聯(lián)融合，

2、達到預(yù)警入侵行為，判斷未來網(wǎng)絡(luò)的安全趨勢的目的。 文章通過對安全預(yù)警系統(tǒng)的介紹和分析，建立了基于網(wǎng)絡(luò)的分布式安全預(yù)警系統(tǒng)框架，并給出了各分系統(tǒng)設(shè)計。以監(jiān)控網(wǎng)絡(luò)中的攻擊行為，并綜合分析各類信息，發(fā)現(xiàn)入侵傾向和潛在的或可能的威脅。 預(yù)警代理模塊基于數(shù)據(jù)挖掘原理，提出了基于會話記錄的誤用檢測和基于網(wǎng)絡(luò)用戶行為的異常檢測方法。期望通過網(wǎng)絡(luò)數(shù)據(jù)檢測，能夠及時發(fā)現(xiàn)、感知正在進行的入侵行為，為預(yù)警系統(tǒng)的實現(xiàn)提供基礎(chǔ)條件。 區(qū)域

3、預(yù)警中心模塊基于多源信息關(guān)聯(lián)融合的概念，建立了數(shù)據(jù)融合預(yù)警、網(wǎng)絡(luò)入侵預(yù)測以及威脅評估的模型。事件關(guān)聯(lián)有效地降低了誤報、漏報和報警信息數(shù)量。融合預(yù)警采用基于IP地址聚類的融合算法，以發(fā)現(xiàn)入侵檢測系統(tǒng)未能發(fā)現(xiàn)的網(wǎng)絡(luò)攻擊，同時，存儲歷史預(yù)警信息到知識庫中，用于對網(wǎng)絡(luò)攻擊的判斷預(yù)測。引入攻擊軌跡鏈的概念，根據(jù)網(wǎng)絡(luò)攻擊序列在邏輯上的因果關(guān)系，匹配報警信息序列與歷史預(yù)警信息序列，判斷未來可能發(fā)生的網(wǎng)絡(luò)攻擊，為提高預(yù)測的準確性，引用了基于概率的判斷方