入侵檢測系統(tǒng)（IDS）中檢測技術(shù)的研究與測試.pdf

1、互聯(lián)網(wǎng)的開放性為信息的共享和交互提供了極大的便利，但同時也對信息的安全性提出了嚴(yán)峻的挑戰(zhàn)。網(wǎng)絡(luò)安全已逐漸發(fā)展成為信息系統(tǒng)的關(guān)鍵問題。 入侵檢測系統(tǒng)的全稱為Intrusion Detection System，縮寫為IDS，它從計算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息，并分析這些信息，檢查網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測作為一種主動的信息安全保障措施，有效地彌補(bǔ)了傳統(tǒng)安全防護(hù)技術(shù)的缺陷。通過構(gòu)建動態(tài)的安全循環(huán)，

2、可以最大限度地提高系統(tǒng)的安全保障能力，減少安全威脅對系統(tǒng)造成的危害。 本文首先描述了網(wǎng)絡(luò)安全的基本觀點及網(wǎng)絡(luò)安全模型，指出了入侵檢測在網(wǎng)絡(luò)安全模型中所處的位置及其作用，隨后分析了入侵檢測的研究現(xiàn)狀。 在檢測系統(tǒng)的結(jié)構(gòu)模型方面，提出了通用入侵檢測模型，并對其進(jìn)行了闡述，得出了入侵檢測系統(tǒng)的核心在于采用何種檢測技術(shù)。在此基礎(chǔ)上，進(jìn)而介紹了時下比較流行的幾種檢測技術(shù)（模式匹配、統(tǒng)計分析、完整性分析、基于規(guī)則等），針對其不足之處

3、提出基于數(shù)據(jù)挖掘的入侵檢測技術(shù)，探討了該檢測技術(shù)相對于傳統(tǒng)的檢測技術(shù)的優(yōu)勢及難點。 在算法上采用對安全審計數(shù)據(jù)的數(shù)據(jù)挖掘技術(shù)，包括針對網(wǎng)絡(luò)數(shù)據(jù)源以及針對主機(jī)系統(tǒng)調(diào)用數(shù)據(jù)源的算法，并將之與傳統(tǒng)的檢測技術(shù)相結(jié)合，對系統(tǒng)中的安全審計數(shù)據(jù)進(jìn)行智能化的處理分析，以幫助發(fā)現(xiàn)入侵檢測規(guī)則或完成異常檢測任務(wù)。針對基于網(wǎng)絡(luò)的安全審計數(shù)據(jù)，使用數(shù)據(jù)分類、關(guān)聯(lián)分析、序列挖掘、聚類分析等算法對會話記錄、用戶行為模式進(jìn)行分析；針對基于主機(jī)的安全審計數(shù)據(jù)，

4、則使用短序列匹配、滑動窗口序列分析，對特權(quán)進(jìn)程產(chǎn)生的系統(tǒng)調(diào)用序列進(jìn)行分析，以發(fā)現(xiàn)異常情況。 通過對入侵檢測模型和入侵檢測算法的詳細(xì)闡述，本文描述了作者所構(gòu)建的入侵檢測系統(tǒng)中監(jiān)視器和分析器中各個模塊單元的劃分、功能定義、模塊交互和具體實現(xiàn)。系統(tǒng)中兩個模塊之間的關(guān)系是監(jiān)視器向分析器上傳報告，分析器向監(jiān)視器下發(fā)指令，并且在各分析器之間協(xié)作通知。針對所試驗的系統(tǒng)模塊，模擬了四種具有代表性的攻擊方式進(jìn)行了一系列的攻擊測試，并給出了相關(guān)的描