入侵檢測系統(tǒng)的可信度增強技術(shù)研究.pdf

1、隨著計算機和網(wǎng)絡技術(shù)的快速發(fā)展以及應用程度的不斷提高，計算機網(wǎng)絡安全已成為經(jīng)濟發(fā)展的關(guān)鍵，同時也是國防安全的重要組成部分。對入侵和攻擊行為的檢測與防范，保障計算機系統(tǒng)、網(wǎng)絡系統(tǒng)及整個信息基礎(chǔ)設施的安全是一項刻不容緩的重要課題。網(wǎng)絡入侵檢測技術(shù)作為一種積極主動的安全防護技術(shù)正成為目前網(wǎng)絡安全領(lǐng)域中研究的熱點。雖然網(wǎng)絡入侵檢測技術(shù)已經(jīng)研究了許多年，也研制了一些入侵檢測系統(tǒng)，但是當前這些網(wǎng)絡入侵檢測系統(tǒng)（Network Intrusion D

2、etection System, NIDS）正面臨著嚴重的信任危機，如何有效地降低漏報率和誤報率成為入侵檢測領(lǐng)域亟待解決的關(guān)鍵問題?；谶@樣的背景，本文以提高網(wǎng)絡入侵檢測系統(tǒng)的可信度為目的，著重對以下幾個方面進行了深入研究：
　　首先介紹了入侵檢測技術(shù)的研究背景和研究現(xiàn)狀，闡述了入侵檢測的概念和發(fā)展歷史，對入侵檢測系統(tǒng)的分類研究及發(fā)展趨勢進行了綜述，并通過理論分析，指出了高誤報率和漏報率是影響入侵檢測系統(tǒng)可信度的關(guān)鍵因素，進一步明

3、確了本文的研究內(nèi)容和意義。
　　在對漏報進行詳盡分析的基礎(chǔ)上，指出數(shù)據(jù)采集能力不足是產(chǎn)生高漏報率的主要原因。以數(shù)據(jù)采集的排隊論模型為理論指導依據(jù)，在實時操作系統(tǒng)RTLinux下，設計并實現(xiàn)了基于半輪詢驅(qū)動的用戶級報文傳輸機制——UMPS。提出了半輪詢驅(qū)動的概念，利用半輪詢驅(qū)動機制降低了系統(tǒng)中斷頻率，明顯提高了短報文的處理能力。通過更為高效的地址翻譯和基于資源映射圖的緩沖區(qū)管理算法，有效地降低了網(wǎng)絡通信的延遲與開銷，提高了系統(tǒng)報文的

4、峰值吞吐量。實驗結(jié)果表明UMPS對降低系統(tǒng)漏報率行之有效。
　　為了濾除非相關(guān)告警對入侵檢測系統(tǒng)確定性所產(chǎn)生的影響，提出了一個基于上下文驗證的網(wǎng)絡入侵檢測模型——CVNIDM。結(jié)合環(huán)境上下文、弱點上下文、反饋上下文和異常上下文等上下文信息，CVNIDM構(gòu)建了一個以上下文驗證為中心，多種安全技術(shù)相結(jié)合的高效、穩(wěn)定、完整、易管理、可擴充的非相關(guān)告警處理平臺，實現(xiàn)了告警的自動驗證以及攻擊行為是否有效的自動判定，從而達到濾除非相關(guān)告警的目

5、的，為后面的告警關(guān)聯(lián)奠定了可靠的基礎(chǔ)。
　　入侵檢測系統(tǒng)產(chǎn)生的重復性的、不完善的或不完整的告警事件給傳統(tǒng)的依賴人工手動分析的安全管理工作模式提出了相當嚴峻的考驗。為此，提出了以告警的行為模式概念為中心，基于異常檢測思想的自適應告警關(guān)聯(lián)方法——A3PC。通過提取關(guān)聯(lián)規(guī)則和序列模式生成告警的分類模型，對誤報進行自動鑒別，同時采用模式挖掘和聚類分析算法相結(jié)合的處理思想以及人機交互的半自動處理模式，從而形成真實有效的、精簡的管理員告警視圖

6、，提高入侵檢測系統(tǒng)的精確性。
　　針對當前入侵檢測系統(tǒng)普遍存在的告警層次較低，僅能反映簡單瑣碎的攻擊片斷等問題，提出了一種基于權(quán)能轉(zhuǎn)換模型的攻擊場景推理、假設與預測框架——ASRHP。通過引入指數(shù)加權(quán)滑動平均方法過濾相鄰權(quán)能轉(zhuǎn)換過程中的瞬時抖動，ASRHP實現(xiàn)了以告警相關(guān)矩陣為核心的攻擊場景自動推理，提出了最相關(guān)告警的概念，保證了攻擊假設的準確程度并實現(xiàn)了對復合式攻擊意圖的精確預測。實驗數(shù)據(jù)表明，ASRHP具有快速準確的優(yōu)勢，為及