入侵檢測系統(tǒng)研究.pdf

1、入侵檢測技術(shù)作為一種重要的安全技術(shù)，日益得到廣泛的應(yīng)用和深入的研究。存儲級入侵檢測是入侵檢測體系重要的組成部分之一，是目前具有一定挑戰(zhàn)性的研究熱點，它通過收集計算機存儲器的操作數(shù)據(jù)，盡可能實時地發(fā)現(xiàn)非法入侵。
　　攻擊模型和匹配方法是存儲級入侵檢測系統(tǒng)研究中最重要的兩個方面，因此本文主要針對這兩方面進行研究工作。研究內(nèi)容主要包括：基于判定樹分類的攻擊模式自動生成、基于D-S證據(jù)理論的異常檢測特征融合算法，以及不同種類IDS之間基于

2、協(xié)作的聯(lián)合防御，從而提高存儲級入侵檢測系統(tǒng)的檢測能力、檢測精度和檢測效率。
　　本文主要工作如下：
　　1、提出判定樹分類生成算法，進而給出攻擊模式自動生成的方法。
　　攻擊模型是誤用檢測的重要因素，決定著存儲級IDS的檢測率和誤報率。為獲得合理有效的攻擊模型，本文將攻擊模型化理論應(yīng)用于存儲級IDS攻擊模型的建立，擴展判定樹模型，使得攻擊模型更準確、全面地描述攻擊，并能夠重用、共享。進而提出判定樹分類生成算法，使得模型

3、可以自動產(chǎn)生。為驗證模型和算法的有效性，分別以模擬平臺收集的存儲操作數(shù)據(jù)進行實驗，實驗結(jié)果表明，模型和算法是有效的，此外，模型還具有可重用、自動生成等優(yōu)點。
　　2、提出六組計算代價小特征，采用D-S證據(jù)理論進行融合，從而做出評判。
　　異常檢測的研究核心在于建立完備、準確的正常行為模型。在對系統(tǒng)正常運行和異常運行條件下采集到的數(shù)據(jù)進行綜合分析的基礎(chǔ)上，本文提出了六組存儲操作數(shù)據(jù)的計算代價較小的關(guān)鍵特征，并采用D-S證據(jù)理論

4、融合在這些特征上得到的觀察從而做出綜合評判。選取計算代價小的特征以及高效的融合規(guī)則，保證了算法的性能滿足高速檢測的要求。
　　3、提出一種不同層級IDS間聯(lián)合防御方法。
　　本文提出一種IDS間通過協(xié)作進行聯(lián)合防御的方法，模擬人類社會解決問題的過程。協(xié)作分為兩種模式：主動防御模式是指入侵受害者所屬的管轄IDS將入侵情況發(fā)送給入侵者所屬的管轄IDS，由后者采取措施阻止攻擊行為的繼續(xù)；通知預(yù)警模式是指當一個IDS發(fā)現(xiàn)某種攻擊行為