基于网络流量特征分析的跳板入侵检测方法的研究

摘要

随着Internet技术的迅猛发展，网络环境快速复杂化，各种入侵攻击频繁出现，给网络带来了巨大危害，尤其是基于“跳板”（Stepping Stone）的入侵攻击。攻击者并不直接对目标发动攻击，而是先攻破若干中间主机，然后控制这些中间主机向目标发动攻击，而这些被攻破的中间主机即为“跳板”。基于跳板的入侵方式由于其自身具有隐藏真实身份、扩大攻击效果的优势，受到越来越多攻击者的青睐，导致跳板入侵问题越来越严重，是目前网络安全中亟需解决的安全问题。本文针对目前跳板入侵检测技术检测率较低、检测效率较低及时空开销大等问题，在研究已存在的网络跳板入侵检测技术的基础之上，结合混沌理论、熵理论、时间序列预测模型和网络流量特征分析技术，深入研究跳板入侵的检测，并提出以下几种方法： 第一、提出了基于混沌理论选取检测参数值的入侵检测方法。针对目前跳板入侵检测方法CBID(Context-Based stepping-stone Intrusion Detection model)在选取检测参数方面的不足，提出了先通过相空间重构技术对网络流量进行重构，在恢复网络流量隐藏的性质基础之上，依据流量自身特点选取检测参数的方法。并结合网络流之间的关联关系进行判断，以实现“跳板”的检测。 第二、提出了基于比特熵的网络流水印检测方法。信息熵能作为描述系统随机程度的指标，且能快速反应网络异常行为。针对目前水印嵌入方法基于随机嵌入引起检测率较低的问题，先借助熵定性定量地分析目标流，并依据流量自身特征自适应地选择适合水印嵌入的时间点。然后在选定的时间间隔内嵌入水印。最后通过寻找当前流中是否存在水印信息用来实现跳板入侵的检测。 第三、提出了基于网络流量预测与比特熵的网络流水印检测方法。针对目前网络流水印嵌入的速率、水印鲁棒性较低等问题，研究了网络流量预测的基本应用原理，提出了在实现水印嵌入前精确选取水印嵌入点的方法。即先对目标流进行预测，结合熵对预测流的特点进行分析，并确定适合水印嵌入的时间间隔。然后当目标流的实际流量到达与预测流相对应的最优时间间隔时，选取该时间间隔进行水印嵌入，并结合网络流之间关联关系判断是否存在跳板入侵。 本文所研究的跳板入侵检测方法能有效地检测跳板入侵攻击。与现有检测方法相比，本文提出的方法具有更快的检测效率、更高的检测准确率及更低的时间开销。对跳板入侵检测的研究提供了理论依据与方法，这对网络安全的维护具有重要意义。

目录

封面

声明

中文摘要

英文摘要

目录

第1章 绪论

1. 1 研究背景与意义

1. 2 国内外研究现状及不足

1. 3 本文的主要工作

1. 4 本文组织结构

第2章 基于混沌理论选取检测参数的入侵检测方法

2. 1 引言

2. 2 相关研究

2. 3 检测方法介绍

2. 4 实验结果与分析

2. 5 本章小结

第3章 基于比特熵的网络流水印检测方法

3. 1 引言

3. 2 相关研究

3. 3 检测方法描述

3. 4 实验与分析

3. 5 本章小结

第4章 基于流量预测和比特熵的网络流水印检测方法

4. 1 引言

4. 2 相关研究

4. 3 检测方法描述

4. 4 实验结果与分析

4. 5 本章小结

第5章 结论与展望

5. 1 研究工作总结

5. 2 未来工作展望

参考文献

致谢

个人简历、在学期间发表的学术论文与研究成果