高效網(wǎng)絡入侵檢測技術研究.pdf

1、本文以提高入侵檢測系統(tǒng)數(shù)據(jù)處理性能和檢測效率的同時盡可能降低系統(tǒng)誤報率和漏報率為目的,著重對高效網(wǎng)絡入侵檢測技術與算法進行深入研究.主要研究內(nèi)容包括以下幾個方面:提出了一種適用于高速網(wǎng)絡入侵檢測系統(tǒng)的用戶級報文傳輸機制-ULMM(User-Level Messaging Mechanism).在ULMM中,通過在應用進程空間靜態(tài)分配并鎖定緩沖區(qū)的方式來消除內(nèi)存頁面動態(tài)分配/釋放和加鎖/解鎖操作所帶來的開銷.通過高效的地址轉換技術和特殊設

2、計的緩沖區(qū)管理機制來實現(xiàn)用戶緩沖區(qū)和網(wǎng)絡接口之間網(wǎng)絡報文真正的零拷貝傳輸.為了與ULMM相配合,提出了一種基于用戶層的多規(guī)則報文過濾機制-ULPF(User-Level Packet Filter).在ULPF中,使用一種基于有限狀態(tài)自動機的方法來構造多規(guī)則包過濾器模型,從而能夠在對數(shù)據(jù)包的一次掃描過程中發(fā)現(xiàn)與其符合的過濾規(guī)則.在ULMM和ULPF的基礎上,提出了一種可擴展的高效網(wǎng)絡捕包平臺結構模型.在對基于模式匹配的入侵檢測系統(tǒng)(sn

3、ort)性能剖析的基礎上,提出并實現(xiàn)了一種基于規(guī)則匹配的改進入侵檢測模型-RIDM(Rule-based Intrusion Detection Model).在RIDM中,采用了高效協(xié)議分析技術和高速模式匹配算法相結合的方案.在對傳統(tǒng)的歸納推理算法研究的基礎上,將基于規(guī)則學習的推理算法應用到入侵檢測建模中.改進并提出了兩種基于規(guī)則學習的入侵檢測算法.針對較小樣本的入侵檢測審計訓練數(shù)據(jù),采用改進的Boosting方法來增強規(guī)則學習算法以

4、消除過學習現(xiàn)象,提出了增強的入侵檢測規(guī)則學習算法-BNIDRLA(Boosting Network Intrusion Detection Rule Learning Algorithm);針對噪聲多、規(guī)模大的入侵檢測審計數(shù)據(jù),在保證檢測精度的同時,為了提高算法的學習和檢測效率,提出了改進的高效入侵檢測規(guī)則學習算法-FNIDRLA(Fast Network Intrusion Detection Rule Learning Algori

5、thm),并由此構建了基于歸納推理的入侵檢測模型.在對支持向量機理論深入研究的基礎上,針對入侵檢測訓練數(shù)據(jù)集規(guī)模較大時,支持向量機算法的計算復雜度高的情況,提出了基于VQ-SVM的入侵檢測算法.該算法利用矢量量化技術實現(xiàn)訓練樣本集的縮減,生成訓練碼書;在此基礎上,用改進的SMO算法訓練支持向量機,從而在泛化性能不降低的同時極大地提高了傳統(tǒng)SVM算法的檢測效率.針對在實際應用中入侵檢測訓練數(shù)據(jù)常常是未標定的情況,研究利用one-class

6、 SVM算法建立了無監(jiān)督的異常檢測模型并與其他無監(jiān)督檢測算法進行了比較.提出并實現(xiàn)了一種基于多關系警報信息融合的層次協(xié)作式高效網(wǎng)絡入侵檢測系統(tǒng)DENIDS(Distributed Efficient Network Intrusion Detection System).DENIDS結合了層次式IDS和協(xié)作式IDS的優(yōu)點,能夠適應大規(guī)模、大流量以及多管理域的網(wǎng)絡中入侵檢測的要求.探討了系統(tǒng)實現(xiàn)過程中的一些關鍵問題,并在實際環(huán)境中對系統(tǒng)的