高速网络中滥用入侵检测系统检测精度的改进研究

代理获取

页面导航

目录
摘要
著录项
相似文献
相关主题

摘要

网络入侵检测系统（NIDS）是一种重要的安全检测工具，检测精度是影响其实用性的重要因素。论文研究了以下三种有助于提高滥用NIDS检测精度的方法：为NIDS引入检测规则自动更新和预处理机制；加强NIDS面向会话流的检测能力；对原始警报进行冗余消除和警报关联等后处理，从而提高滥用NIDS的检测精度，增强其警报事件的可信度。检测规则是滥用入侵检测判定攻击的依据所在，直接关系到检测结果的准确性。论文首先分析了检测规则从哪几个方面影响检测精度，以此为基础设计了一种检测规则自动更新与预处理机制。规则自动更新机制保证了检测规则库的时效性；规则预处理机制则通过对规则进行去错去重、冲突检测、人工微调来剔除那些易于带来误报的规则。为了提高报文分类算法在大规模规则库下的可扩展性，论文在P-HiCuts报文分类算法的基础上通过采用每规则建树和TCP标志域离散化两种改进手段，使改进后的算法减少了平均75％左右的空间消耗，并降低了算法空间占用随规则数增长而增加的速度。传统NIDS采用的是基于单报文的入侵检测手段。为了充分挖掘报文间的联系，论文研究了面向会话流的入侵检测方法。会话流检测可以分为基于在线法和基于缓存法两种，前者虽然空间消耗较少，但所提供的检测能力有限，不能适应日益复杂的检测要求，因此论文采用了基于缓存法的会话流重组算法。应用层协议语义抽取是会话流检测的重要功能，为了提高语义抽取的正确性和效率，论文设计了基于鉴别-抽取机制的语义抽取算法，在满足规则检测要求的基础上提高了抽取算法性能。论文讨论了TCP层次和应用层层次的会话流状态跟踪在抗无状态攻击、改进检测精度上的意义，并给出了相应的实现算法。随着入侵技术的进步，出现了多种变体攻击方法来逃避NIDS的检测。论文分析了会话流检测中所涉及的4类变体攻击问题，并根据适用于高速网络环境（Gbps）和主干网监测等要求设计了相应的检测算法。为了改变各个原始警报信息相互孤立的状态，论文介绍了安全检测事件多级处理的思想。通过对原始警报进行冗余消除和关联分析，检测系统可以进一步减少警报数量，提高警报质量。论文重点对典型的冗余消除算法进行了比较，通过理论分析和实验验证证明基于事件时间间隔相对均方差的多特征关联冗余消除算法在冗余事件的识别程度、冗余消除度和对攻击速度变化的适应性方面均优于其他几种算法，并给出了该算法的实现。最后论文通过系统测试证明改进后的系统检测能力和检测精度均得到了提升，其中改进版在测试中相比于原始版本分别减少了30％的误报和26％的漏报。由于检测规则和检测步骤的增多，改进版空间占用比原始版多出约15％左右，并在性能上有略微降低，但是在实践中这些降低程度都在可接受范围之内。如何在保证检测性能的基础上进一步提高精度是将来研究工作的重点之一。

著录项

作者
马亚鸣;
展开▼
作者单位

东南大学;

展开▼
授予单位东南大学;
学科计算机系统结构
授予学位硕士
导师姓名龚俭;
年度 2009
页码
总页数
原文格式 PDF
正文语种中文
中图分类算法理论;
关键词
高速网络; 入侵检测系统; 自动更新; 预处理机制; 滥用NIDS; 安全检测事件;

相似文献

中文文献
外文文献
专利

1. 高速网络环境下一种对入侵检测系统的改进方法 [J] . 王阿婷 ,毕红军 ,刘云 . 铁路计算机应用 . 2010,第008期
2. 改进 k-means算法在网络入侵检测系统中的应用研究 [J] . 易云飞 ,杨舰 . 软件导刊 . 2014,第003期
3. 高速网络环境下的网络入侵检测系统的研究 [J] . 刘学波 ,孟丽荣 . 计算机工程与设计 . 2005,第005期
4. 高速网络入侵检测系统中包头解析方法 [J] . 肖寅东 ,王厚军 ,田书林 . 仪器仪表学报 . 2012,第6期
5. 高速网络入侵检测系统中基于Hash函数的分流算法 [J] . 杨锋 ,钟诚 ,尹梦晓 . 计算机工程与设计 . 2009,第002期
6. 网络入侵检测系统中模式匹配算法的研究与改进 [C] . 王德正 . 全国第18届计算机技术与应用学术会议(CACIS) . 2007
7. 面向万兆网络的滥用入侵检测系统改进 [A] . 孙成峰 . 2013

高速网络中滥用入侵检测系统检测精度的改进研究

目录

摘要

著录项

相似文献

相关主题

期刊订阅