基于成本的入侵检测系统评估分析方法研究

摘要

随着入侵检测技术的深入研究和入侵检测产品的广泛应用,对入侵检测系统进行评估已经成为一个十分重要的研究领域。本文首先对入侵检测系统评估的现状进行了深入地总结研究,在深入分析已有方法的基础上,依次给出了三种评估分析方法:基于最优敏感度的入侵检测系统评估分析方法、基于成本的入侵检测系统评估决策树分析方法和基于成本的入侵检测系统评估矩阵分析方法。基于最优敏感度的入侵检测系统评估分析方法使用ROC(Receiver Operating Characteristic)曲线,通过最优敏感度对入侵检测系统性能进行评估,方法简便但没有考虑成本,对IDS的评估考虑不够全面。基于成本的入侵检测系统评估决策树分析方法也是基于ROC曲线的,它通过决策树引入成本,利用最优预计成本表征入侵检测系统性能。
　　本文分别采用理想演示性数据和真实IDS数据说明了该方法的可行性。但是该方法的不足之处在于要首先知道入侵检测系统的ROC曲线,并且它所引入的成本量过于简单。在研究基于成本的入侵检测系统评估决策树分析方法时得到了一个结论:入侵检测系统的最优配置不仅与该入侵检测系统的检测率及误警率有关,还与入侵检测系统的成本及运行环境的敌对性有关,这一结论提供了入侵检测系统最优配置的理论基础。基于成本的入侵检测系统评估矩阵分析方法将破坏成本和响应成本引入入侵检测系统评估,无须知道入侵检测系统的ROC曲线,而且分析过程及实现比较简单,但该方法的有效性较大的依赖于成本度量的科学性以及测试数据集的完备性。本文给出了基于成本的入侵检测系统评估矩阵分析方法的实现框架。最后,针对基于最优敏感度的评估方法和基于成本的决策树评估方法,实现了一个IDS评估分析原型系统。

目录

摘要

Abstract

第1章 绪论

1.1 课题背景及研究意义

1.2 本文的主要工作

1.3 本文主要内容及结构

第2章 相关理论及技术研究

2.1 入侵检测系统概述

2.1.1 入侵检测的一般模型

2.1.2 入侵检测的分类

2.2 入侵检测系统R的评估综述

2.2.1 评估IDS的目的和作用

2.2.2 评估IDS性能的标准

2.2.3 评估IDS的性能指标

2.2.4 IDS评估的方法步骤

2.2.5 IDS评估利用的数据源

2.2.6 评估IDS的环境配置与框架

2.2.7 已有的IDS评估工作

2.2.8 IDS评估面临的挑战

第3章 基于最优敏感度的IDS评估分析方法

3.1 引言

3.2 现有IDS评估分析方法

3.3 基于最优敏感度的IDS评估分析方法

3.4 基于最优敏感度的IDS评估分析方法实例

3.5 小结

第4章 基于成本的IDS评估决策树分析方法

4.1 引言

4.2 引入成本的重要性

4.3 概念描述

4.4 基于成本的IDS评估决策树分析方法

4.5 基于成本的IDS评估决策树分析方法验证

4.5.1 理想的演示性IDS验证

4.5.2 真实的IDS验证

4.6 小结

第5章 基于成本的IDS评估矩阵分析方法

5.1 引言

5.2 成本因素分析与度量

5.2.1 破坏成本(Damage Cost)

5.2.2 响应成本(Response Cost)

5.2.3 操作成本(Operational Cost)

5.3 基于成本的IDS评估矩阵分析方法

5.3.1 检测报告矩阵

5.3.2 成本分析

5.3.3 基于成本的IDS评估矩阵分析方法测试框架

5.4 小结

第6章 IDS评估分析方法原型系统实现

6.1 原型系统实现目的

6.2 原型系统实现框架

6.3 原型系统功能概述

6.3.1 主界面

6.3.2 导入IDS的ROC曲线数据

6.3.3 参数设定

6.3.4 显示ROC曲线

6.3.5 显示评估结果

结论

1 本文工作总结

2 下一步工作展望

参考文献

致谢

附录A 攻读学位期间完成的论文