基于關(guān)聯(lián)分析的分布式入侵檢測(cè)模型研究.pdf

1、隨著互聯(lián)網(wǎng)絡(luò)的快速發(fā)展，網(wǎng)絡(luò)安全問(wèn)題日益突出。由于網(wǎng)絡(luò)入侵手段的多樣化，傳統(tǒng)的防火墻技術(shù)不足以鞏固整個(gè)網(wǎng)絡(luò)安全體系，入侵檢測(cè)技術(shù)由此引起了人們?cè)絹?lái)越多的重視，已經(jīng)成為計(jì)算機(jī)安全的一個(gè)重要研究領(lǐng)域。
　　 傳統(tǒng)的入侵檢測(cè)系統(tǒng)對(duì)中小型網(wǎng)絡(luò)的安全檢測(cè)發(fā)揮了重要的作用，但是隨著網(wǎng)絡(luò)帶寬的增加、攻擊手段的復(fù)雜化，入侵檢測(cè)系統(tǒng)在可擴(kuò)展性和檢測(cè)效率上面臨著新的挑戰(zhàn)。充分利用分布式技術(shù)的特點(diǎn)，提出了一個(gè)新型的分布式入侵檢測(cè)模型，有效地解決了傳統(tǒng)

2、的入侵檢測(cè)模型漏包嚴(yán)重和單點(diǎn)失效問(wèn)題，并且利用關(guān)聯(lián)分析的方法從日志庫(kù)中挖掘出新的規(guī)則，實(shí)現(xiàn)了規(guī)則庫(kù)的自動(dòng)更新。
　　 通過(guò)對(duì)入侵檢測(cè)和數(shù)據(jù)挖掘中的重要技術(shù)分析，闡述了入侵檢測(cè)系統(tǒng)的分類(lèi)方式及各種檢測(cè)模型的特點(diǎn)，指出分布式檢測(cè)模型的優(yōu)越性；闡述了數(shù)據(jù)挖掘幾種方法，指出了這些方法在入侵檢測(cè)系統(tǒng)的應(yīng)用。
　　 將數(shù)據(jù)挖掘中的關(guān)聯(lián)分析技術(shù)引入到入侵檢測(cè)中，提出了一種基于關(guān)聯(lián)分析的分布式入侵檢測(cè)模型，并采用模塊化和層次化的方法對(duì)系

3、統(tǒng)進(jìn)行了設(shè)計(jì)實(shí)現(xiàn)。本模型共分為兩大層，分布在不同的主機(jī)上，一層為前端的移動(dòng)檢測(cè)結(jié)點(diǎn)，負(fù)責(zé)獨(dú)立入侵檢測(cè)，另一層為后臺(tái)集中控制，負(fù)責(zé)數(shù)據(jù)關(guān)聯(lián)分析。前端的檢測(cè)結(jié)點(diǎn)既有基于主機(jī)的異常檢測(cè)模型，又有基于網(wǎng)絡(luò)的誤用檢測(cè)模型，根據(jù)網(wǎng)絡(luò)的規(guī)模部署響應(yīng)的結(jié)點(diǎn)數(shù)量，有很強(qiáng)的靈活性，這些結(jié)點(diǎn)之間又相互協(xié)作以發(fā)現(xiàn)分布式入侵行為；后臺(tái)集中控制主機(jī)通過(guò)對(duì)日志庫(kù)的關(guān)聯(lián)分析發(fā)現(xiàn)新的入侵行為和規(guī)則。
　　 通過(guò)實(shí)驗(yàn)分析證明，提出的模型具有可擴(kuò)展能力強(qiáng)的特點(diǎn)，降低