基于关联规则的网络及主机混合型入侵检测研究

摘要

随着我国信息化的迅猛发展，网络安全威胁等诸多问题也日益凸显，实际工作当中，系统管理员面对大量的入侵检测告警信息和主机审计日志无从下手，单一形式的入侵检测系统本身也沉陷在如何尽量减少误报的基础上获得令人满意的检测率这一问题当中，而部署商用分布式混合入侵检测系统或是所谓的安全管理中心，投入产出比相对较小，一般单位难以承受。
　　针对这一局面，本文在对当前入侵检测技术和关联分析挖掘技术研究基础上，提出了一种基于关联规则的网络及主机混合型入侵检测分析架构。针对这一架构，本文主要进行以下两方面的工作。
　　(1)介绍了论文研究的背景和意义以及国内外研究现状，以及入侵检测的发展历程、入侵检测系统的体系结构等，并从检测方法和数据源的角度，对不同类型的入侵检测系统及其常用技术进行了叙述。
　　(2)给出了关联规则应用于网络及主机混合型入侵检测分析的总体架构，以及相关模块的功能及流程，并对所使用的关联分析算法进行了介绍。为验证和评估在网络及主机混合型入侵检测中，采用关联分析技术的对入侵行为进行分析的有效性和架构的可行性，本文采用麻省理工学院林肯实验室的LLS_DDOS_1.0数据集进行实验，并结合该数据集的入侵场景对实验结果进行验证。经过与该数据集的入侵场景描述比对，还原的攻击过程与数据集的入侵场景描述完全一致，入侵检测分析取得了较好的效果。

目录

声明

摘要

第一章 前言

1．1 课题研究背景及意义

1．2 国内外主要研究现状

1．3 论文工作与组织结构

第二章 入侵检测技术

2．1 入侵检测系统发展历程

2．2 入侵检测系统模型

2．3 入侵检测系统分类

2．3．1 基于检测方法的分类

2．3．2 基于数据源的分类

第三章 关联规则应用于网络及主机混合型入侵检测分析的架构及模块

3．1 总体架构

3．2 数据采集模块

3．2．1 模块功能描述

3．2．2 模块处理流程

3．3 数据预处理模块

3．3．1 模块功能描述

3．2．2 模块处理流程

3．3 关联分析模块

3．3．1 关联分析核心算法

3．3．2 Microsoft关联算法

3．3．3 算法流程

3．4 数据库表

3．4．1 探针类型表

3．4．2 探针信息表

3．4．3 网络安全设备告警信息表

3．4．4 主机审计信息表

第四章 实验与分析

4．1 实验数据概述

4．1．1 网络拓扑

4．1．2 攻击过程描述

4．2 实验环境

4．2．1 硬件环境

4．2．2 软件环境

4．2．3 虚拟机环境

4．3 实验过程及结果

4．3．1 数据采集模块

4．3．2 数据预处理模块

4．3．3 关联分析模块

4．3．4 实验结果

第五章 总结与展望

5．1 论文工作与结论

5．2 进一步研究展望

参考文献

致谢

攻读学位期间发表论文情况