網(wǎng)絡(luò)安全中混合型入侵檢測(cè)系統(tǒng)設(shè)計(jì).pdf

1、隨著信息技術(shù)和互聯(lián)網(wǎng)的迅速發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)與信息系統(tǒng)所面臨的安全問(wèn)題越來(lái)越嚴(yán)重。傳統(tǒng)的安全技術(shù)大都屬于靜態(tài)機(jī)制，局限于防護(hù)環(huán)節(jié)，難以滿足網(wǎng)絡(luò)安全的需求。入侵檢測(cè)技術(shù)作為動(dòng)態(tài)安全模型P2DR中檢測(cè)部分的主要技術(shù)手段，能主動(dòng)對(duì)網(wǎng)絡(luò)和網(wǎng)絡(luò)上的主機(jī)行為進(jìn)行有效地識(shí)別和響應(yīng)，從而檢測(cè)外部入侵和內(nèi)部誤用，為網(wǎng)絡(luò)提供安全保護(hù)。 目前國(guó)內(nèi)外研究的入侵檢測(cè)系統(tǒng)大多存在誤報(bào)率高、檢測(cè)效率低等問(wèn)題，其主要原因是分析信息源和分析手段單一，系統(tǒng)結(jié)構(gòu)簡(jiǎn)單。

2、入侵檢測(cè)系統(tǒng)從數(shù)據(jù)來(lái)源上可以分為基于網(wǎng)絡(luò)和基于主機(jī)兩大類(lèi)，其檢測(cè)方法主要基于異常檢測(cè)技術(shù)或誤用檢測(cè)技術(shù)，而目前的入侵檢測(cè)系統(tǒng)大多則是純粹采用一種數(shù)據(jù)來(lái)源和單一的檢測(cè)手法。針對(duì)這一問(wèn)題，本文提出了一種構(gòu)架靈活的混合型入侵檢測(cè)系統(tǒng)，其特點(diǎn)是在數(shù)據(jù)源上結(jié)合網(wǎng)絡(luò)和關(guān)鍵主機(jī)數(shù)據(jù)，在檢測(cè)方法上結(jié)合異常分析技術(shù)和誤用分析技術(shù)并提出了二層混合分析方法，同時(shí)在系統(tǒng)體系構(gòu)架上可靈活擴(kuò)展以適用于不同的網(wǎng)絡(luò)環(huán)境。論文在研究混合型入侵檢測(cè)理論的基礎(chǔ)上，給出了混合

3、型入侵檢測(cè)系統(tǒng)的系統(tǒng)構(gòu)架和功能結(jié)構(gòu)，并詳細(xì)介紹了幾個(gè)關(guān)鍵模塊的理論、設(shè)計(jì)和部分算法，聯(lián)合分析模塊根據(jù)信息融合理論采用可信度方法分析，通過(guò)已有專(zhuān)家知識(shí)，建立聯(lián)合分析規(guī)則庫(kù)，解析網(wǎng)絡(luò)數(shù)據(jù)和主機(jī)信息特征。多樣的信息源提高了混合型入侵檢測(cè)系統(tǒng)的檢測(cè)能力，而聯(lián)合分析和數(shù)據(jù)融合技術(shù)保證了檢測(cè)的準(zhǔn)確性。論文最后說(shuō)明了混合型入侵檢測(cè)系統(tǒng)的測(cè)試方案和測(cè)試部署，為混合型入侵檢測(cè)系統(tǒng)的實(shí)用性提供測(cè)試依據(jù)。混合型入侵檢測(cè)系統(tǒng)經(jīng)過(guò)不同環(huán)境的測(cè)試應(yīng)用，表現(xiàn)了良好的