入侵檢測(cè)算法及體系結(jié)構(gòu)研究.pdf

1、隨著網(wǎng)絡(luò)的普及和黑客的增多，網(wǎng)絡(luò)安全問(wèn)題變得日益重要。作為防火墻的重要補(bǔ)充，入侵檢測(cè)(IDS)技術(shù)成為當(dāng)前網(wǎng)絡(luò)安全研究領(lǐng)域的熱點(diǎn)。目前IDS存在一些問(wèn)題，如誤報(bào)率和漏報(bào)率比較高，檢測(cè)速度慢，占用資源多等。 本文針對(duì)這些問(wèn)題，在深入分析Snort、移動(dòng)代理、模糊推理、最優(yōu)搜索等技術(shù)的基礎(chǔ)上，對(duì)入侵檢測(cè)的算法和體系結(jié)構(gòu)作了創(chuàng)新性和探索性研究。主要內(nèi)容為： (1)研究了模糊推理petri網(wǎng)(FRPN)在入侵檢測(cè)系統(tǒng)中的應(yīng)用方法

2、，對(duì)FRPN的定義進(jìn)行了修改，引入了命題的加權(quán)因子，同時(shí)修改了推理算法，對(duì)FRPN應(yīng)用于入侵檢測(cè)系統(tǒng)中的合理性進(jìn)行了驗(yàn)證。FRPN的推理方法一般是模糊命題合取式的真值取各子式真值的最小值，析取式的真值取各子式真值的最大值。在入侵檢測(cè)系統(tǒng)中，這種方法沒(méi)有考慮命題在規(guī)則中的權(quán)重，致使推理不夠準(zhǔn)確。引入加權(quán)因子后，就能夠考慮各事件的權(quán)重，使推理更加準(zhǔn)確。 (2)研究了最優(yōu)搜索理論模型和它在入侵檢測(cè)的規(guī)則匹配中的應(yīng)用。通過(guò)將規(guī)則庫(kù)按照攻

3、擊類別分類，然后根據(jù)最優(yōu)搜索原理，將有限的時(shí)間分配到各類攻擊的檢測(cè)中去，在盡量不丟包的情況下使檢測(cè)到攻擊的概率最大化。在一般的IDS中，規(guī)則匹配的過(guò)程采用遍歷法，如果匹配過(guò)程中使用模式匹配，則在高速網(wǎng)絡(luò)下就會(huì)丟失較多的數(shù)據(jù)包。如果檢測(cè)速度不變，可以考慮選取部分規(guī)則進(jìn)行匹配。本文通過(guò)最優(yōu)搜索理論，根據(jù)已發(fā)生的和可能發(fā)生的攻擊的情況，對(duì)檢測(cè)時(shí)間進(jìn)行最優(yōu)分配，減少匹配工作量，盡量使IDS不產(chǎn)生丟包，從而檢測(cè)到更多的攻擊。 (3)研究了