IPS入侵行為特征分析技術研究與實現(xiàn).pdf

1、近些年,隨著網絡上的入侵事件越來越多,系統(tǒng)及網絡的安全成為一個熱門領域。防火墻等安全設備已不能滿足現(xiàn)在人們對安全的要求,入侵檢測成為安全領域一個熱點問題。入侵防御系統(tǒng)就是在這樣的大環(huán)境下產生,它不但能檢測出已知的攻擊行為,還能探測出網絡中部分未知的攻擊方式,更能對這些攻擊行為進行主動的、積極的響應、處理和防御,這是入侵檢測系統(tǒng)所不能具備的。
　　 但是入侵防御目前對于入侵的檢測多集中在單點檢測,即一個獨立的入侵防御系統(tǒng),這樣的構

2、架將不能對整個網站中的攻擊行為進行確切的檢測。本論文將數(shù)據挖掘中的序列挖掘與分布式架構相結合,綜合分析多個獨立的入侵防御系統(tǒng)收集的信息,采用序列模式匹配的方式,使針對入侵的檢測更加準確。
　　 本文研究和實現(xiàn)了入侵防御系統(tǒng)的主要功能模塊。論文主要工作如下:
　　 1、將基于時序數(shù)據分層的序列挖掘算法應用到了入侵防御系統(tǒng)中來。該方法首先將多維時序行為序列分層,并從中篩選頻繁項,最后生成關聯(lián)規(guī)則。最終的關聯(lián)規(guī)則是多維時序的,

3、應用于入侵檢測系統(tǒng),可以基于更多的信息,更準確地分析識別更多的攻擊行為。
　　 2、提出了雙層入侵防御系統(tǒng)體系架構。該系統(tǒng)架構由兩層組成:本地系統(tǒng)和交互系統(tǒng)。本地系統(tǒng)是一個集中式的架構,有探針用于初步分析處理本地數(shù)據,也有數(shù)據處理中心負責管理本地信息。其中,數(shù)據處理中心是本地系統(tǒng)的中心節(jié)點。交互系統(tǒng)是一個純分布式的架構,該系統(tǒng)內的節(jié)點即是本地系統(tǒng)中的數(shù)據中心。交互系統(tǒng)用于在各個數(shù)據中心間共享信息,以收集更多的證據來發(fā)現(xiàn)攻擊。