入侵檢測(cè)系統(tǒng)（IDS）中檢測(cè)技術(shù)的研究與測(cè)試.pdf

1、互聯(lián)網(wǎng)的開(kāi)放性為信息的共享和交互提供了極大的便利，但同時(shí)也對(duì)信息的安全性提出了嚴(yán)峻的挑戰(zhàn)。網(wǎng)絡(luò)安全已逐漸發(fā)展成為信息系統(tǒng)的關(guān)鍵問(wèn)題。 入侵檢測(cè)系統(tǒng)的全稱為Intrusion Detection System，縮寫(xiě)為IDS，它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，檢查網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測(cè)作為一種主動(dòng)的信息安全保障措施，有效地彌補(bǔ)了傳統(tǒng)安全防護(hù)技術(shù)的缺陷。通過(guò)構(gòu)建動(dòng)態(tài)的安全循環(huán)，

2、可以最大限度地提高系統(tǒng)的安全保障能力，減少安全威脅對(duì)系統(tǒng)造成的危害。 本文首先描述了網(wǎng)絡(luò)安全的基本觀點(diǎn)及網(wǎng)絡(luò)安全模型，指出了入侵檢測(cè)在網(wǎng)絡(luò)安全模型中所處的位置及其作用，隨后分析了入侵檢測(cè)的研究現(xiàn)狀。 在檢測(cè)系統(tǒng)的結(jié)構(gòu)模型方面，提出了通用入侵檢測(cè)模型，并對(duì)其進(jìn)行了闡述，得出了入侵檢測(cè)系統(tǒng)的核心在于采用何種檢測(cè)技術(shù)。在此基礎(chǔ)上，進(jìn)而介紹了時(shí)下比較流行的幾種檢測(cè)技術(shù)（模式匹配、統(tǒng)計(jì)分析、完整性分析、基于規(guī)則等），針對(duì)其不足之處

3、提出基于數(shù)據(jù)挖掘的入侵檢測(cè)技術(shù)，探討了該檢測(cè)技術(shù)相對(duì)于傳統(tǒng)的檢測(cè)技術(shù)的優(yōu)勢(shì)及難點(diǎn)。 在算法上采用對(duì)安全審計(jì)數(shù)據(jù)的數(shù)據(jù)挖掘技術(shù)，包括針對(duì)網(wǎng)絡(luò)數(shù)據(jù)源以及針對(duì)主機(jī)系統(tǒng)調(diào)用數(shù)據(jù)源的算法，并將之與傳統(tǒng)的檢測(cè)技術(shù)相結(jié)合，對(duì)系統(tǒng)中的安全審計(jì)數(shù)據(jù)進(jìn)行智能化的處理分析，以幫助發(fā)現(xiàn)入侵檢測(cè)規(guī)則或完成異常檢測(cè)任務(wù)。針對(duì)基于網(wǎng)絡(luò)的安全審計(jì)數(shù)據(jù)，使用數(shù)據(jù)分類(lèi)、關(guān)聯(lián)分析、序列挖掘、聚類(lèi)分析等算法對(duì)會(huì)話記錄、用戶行為模式進(jìn)行分析；針對(duì)基于主機(jī)的安全審計(jì)數(shù)據(jù)，

4、則使用短序列匹配、滑動(dòng)窗口序列分析，對(duì)特權(quán)進(jìn)程產(chǎn)生的系統(tǒng)調(diào)用序列進(jìn)行分析，以發(fā)現(xiàn)異常情況。 通過(guò)對(duì)入侵檢測(cè)模型和入侵檢測(cè)算法的詳細(xì)闡述，本文描述了作者所構(gòu)建的入侵檢測(cè)系統(tǒng)中監(jiān)視器和分析器中各個(gè)模塊單元的劃分、功能定義、模塊交互和具體實(shí)現(xiàn)。系統(tǒng)中兩個(gè)模塊之間的關(guān)系是監(jiān)視器向分析器上傳報(bào)告，分析器向監(jiān)視器下發(fā)指令，并且在各分析器之間協(xié)作通知。針對(duì)所試驗(yàn)的系統(tǒng)模塊，模擬了四種具有代表性的攻擊方式進(jìn)行了一系列的攻擊測(cè)試，并給出了相關(guān)的描