基于马尔可夫链的协议异常检测研究

摘要

互联网的开放性为信息共享和交互提供了极大的便利，但随之而来的网络安全问题也日益明显。入侵检测是用于检测任何损害或企图损害系统的保密性、完整性或可用性行为的一种网络安全技术。入侵检测作为一种主动的信息安全保障措施，它有效的弥补了传统安全防护技术的缺陷。 事实上，大量的网络攻击都是对不同的网络协议进行滥用，很多新型的攻击方法都违背了协议标准。协议异常检测是入侵检测的一个新技术，该技术是对协议的正确使用行为建立模型，任何偏离此模型的行为都被认为是入侵行为或可疑的行为。 首先，本文通过马尔可夫链的方法对TCP/IP网络中的应用层协议(主要是FTP协议和SSH协议)建立模型，实验数据来自美国麻省理工学院的林肯实验室公开发布的1999年入侵检测评估数据，该数据具有较大的权威性。本文根据该数据中不含有攻击的流量(第一周和第三周，共10天)进行分析，以得到正常情况下基于马尔可夫链的应用层协议模型。 其次，本文利用上述所建立的应用层协议模型在应用层进行协议异常检测评估，评估数据集来自林肯实验室提供的含有攻击的(第二周)数据，任何偏离正常情况下协议模型的行为就被认为是入侵，并通过ROC曲线和D1(t)曲线进行分析。 在传输层，本文首先通过马尔可夫链的方法对TCP协议建立模型，并对其进行协议异常检测评估，在评估过程中，发现了原有评估方法存在的问题，进而提出了一种新的基于Chi-squareDistance的传输层协议异常检测评估方法，并通过检测SYNFlooding攻击进一步验证了新方法的有效性。 最后，本文根据TCP/IP协议的分层特性，提出了一种基于统计分析方法的协议异常检测器原型系统的设计方案，该协议异常检测器通过统计分析的方法分别对Internet层的IP协议、传输层的TCP协议和应用层的协议异常进行检测。

目录

文摘

英文文摘

论文说明：插图索引、附表索引

湖南大学学位论文原创性声明及版权使用授权书

第1章引言

1.1入侵检测概述

1.1.1入侵检测基本概念及原理

1.1.2入侵检测系统通用模型

1.1.3入侵检测分类

1.2入侵检测方法

1.2.1基于统计的分析方法

1.2.2基于数据挖掘的分析方法

1.2.3其他检测方法

1.3协议异常检测研究背景

1.4课题研究意义及主要工作

1.5本文组织结构

第2章基于马尔可夫链的应用层协议模型的改进

2.1马尔可夫过程

2.1.1马尔可夫过程假设

2.1.2马尔可夫链

2.1.3马尔可夫链的一般性

2.2 MIT/LL评估数据集

2.3 TCPDUMP简介

2.4协议模型的改进

2.4.1标识化过程

2.4.2训练过程

2.4.3建模过程

2.5小结

第3章基于马尔可夫链的应用层协议异常检测

3.1入侵检测系统评估的性能指标

3.2评估方法

3.3实验结果分析

3.3.1 D1(t)曲线

3.3.2 ROC曲线

3.4小结

第4章传输层协议异常检测及改进

4.1基于马尔可夫链的传输层协议异常检测

4.1.1 TCP模型的建立

4.1.2实验结果

4.2原有传输层协议异常检测存在的问题

4.2.1问题1

4.2.2问题2

4.3一种新的传输层协议异常检测方法

4.3.1均值法

4.3.2 EWMA

4.3.3实验结果

4.4 Chi-Square Distance在检测SYN Flooding的应用

4.4.1 SYN Flooding的攻击原理

4.4.2 SYN Flooding的检测

4.5小结

第5章协议异常检测器原型系统设计

5.1网络分层结构

5.2协议异常检测器设计

5.2.1系统设计图

5.2.2 工作原理

5.3协议异常检测器工作模式

5.3.1学习模式

5.3.2检测模式

5.3.3 响应模式

5.4小结

结论

参考文献

致谢

附录A攻读学位期间所发表的学术论文