基于snort的混合式入侵检测系统的研究与实现

摘要

针对当前主要入侵检测系统(IDS)因检测模式单一所带来的不足，本文结合误用检测和异常检测两种检测模式建立混合式入侵检测系统，以其综合利用这两种检测方法的优点。
　　本文构建的混合式入侵检测系统包含三个子模块：误用检测模块、异常检测模块(ADS)和特征产生模块。误用检测模块的实现基于开源的入侵检测系统snort，异常检测模块和特征产生模块则分别使用频繁情景规则(FER)挖掘算法和Apriori的变形算法构建。
　　ADS模块的构建分为训练和检测两个阶段。在ADS训练阶段，先使用频繁情景挖掘算法从正常训练数据集中挖掘出描述正常连接的频繁情景。再从频繁情景中产生频繁情景规则FER，来刻画正常连接的特征，获得初步的频繁情景规则集。最后从这个频繁情景规则集中筛选出高效的FER规则，形成正常的频繁情景规则集。
　　在ADS检测阶段，先从测试数据中产生FER，产生FER的具体步骤和ADS训练阶段相同。为了对新产生的FER赋异常值，把这个新产生的FER和正常FER规则库中的FER比较。利用新FER规则的异常值，对测试数据集里的连接事件赋异常值。根据事件异常值的大小，检测出异常攻击事件。
　　在ADS模块对测试数据集每一个连接都赋有异常值的基础上，特征产生模块采用Apriori变形算法，对已赋值的测试数据集进行挖掘。一个连接的各属性及属性对应的值构成项集。根据所有连接的异常值，可以获得某一个项集在测试数据集中的权值：等于拥有相同属性值的所有连接的异常值之和。设定项集的阈值，即可获得频繁项集。并且考察的连接属性不同，获得的频繁项集也不同。不断变换待考察的属性集，可以获得频繁项集的集合。在此基础上，把那些具有较高异常值的频繁项集确定为特征，形成特征集合。再根据这些特征的属性和snort规则关键字之间的对应关系，把特征集合映射为snort规则，加入到snort的特征规则库中。
　　最后在上述思想基础上，在Debian GNU/Linux操作系统上实现了混合式入侵检测系统。使用MySQL存储事件，KDD99 IDS数据集作为实验数据集。

目录

基于snort的混合式入侵检测系统的研究与实现

Research and Implementation on Snort-Based Hybrid Intrusion Detection System

摘要

Abstract

绪论

1.1 课题背景

1.2 入侵检测简介

1.3 国内外研究现状

1.4 本文的研究内容和组织结构

第2章 入侵检测系统

2.1 引言

2.2 入侵检测系统结构

2.3 入侵检测系统分类

2.4 入侵检测系统发展方向

2.5 本章小结

第3章 混合式入侵检测

3.1 引言

3.2 混合式入侵检测简介

3.3 Snort简介

3.4 混合式系统框架

3.5 网络连接特征

3.6 本章小结

第4章 构建异常检测模块

4.1 引言

4.2 挖掘序列模式

4.3 情景规则

4.3.1 情景规则的一般描述

4.3.2 挖掘频繁情景

4.3.3 挖掘频繁情景规则

4.3.4 情景规则的比较

4.4 本章小结

第5章 构建特征产生模块

5.1 引言

5.2 关联规则

5.3 Apriori算法及其变形

5.4 Apriori变形算法的实现

5.4.1 属性连接

5.4.2 集合子集算法

5.5 映射为snort规则

5.6 本章小结

第6章 实验结果与分析

6.1 引言

6.2 实验平台的搭建

6.3 实验数据

6.3.1 数据集分析

6.3.2 数据集预处理

6.4 实验结果

6.4.1 训练阶段

6.4.2 攻击检测

6.4.3 提取特征及映射为snort规则

6.4.4 系统测试

6.4.5 测试结果分析

6.5 本章小结

结论

参考文献

附录1 数据集格式

附录2 实验平台的安装

攻读学位期间发表的学术论文

哈尔滨工业大学硕士学位论文原创性声明

哈尔滨工业大学硕士学位论文使用授权书

致谢