网络入侵进程风险评估系统研究

摘要

入侵检测系统通过监视网络或系统资源，寻找违反安全策略的行为或攻击行为，并发出报警。入侵检测系统弥补了防火墙不足，但本身也存在高误报率、漏报率、冗余报警多、有限的响应能力等问题。
　　 为了解决上述问题，人们提出网络入侵进程风险评估的概念和框架，以入侵进程为主要评估对象，重点评估网络攻击对网络和系统造成的危害，为安全管理人员提供准确的安全态势评估，为深入、自动的安全信息处理奠定基础。本文重点研究风险评估的模型中报警聚合关联模块和风险评估模块的算法。主要工作如下：
　　 首先，针对基于入侵进程的风险评估系统的报警信息处理模块提出一种基于因果关联和分类相似度关联的综合报警信息聚合关联改进算法，降低了报警信息的漏报率和减少了大量的重复报警。
　　 其次，在风险评估模块研究并提出一种从服务、主机和网络自下到上的层次化风险评估模型及其算法，该算法充分利用报警信息聚合关联模块产生的报警信息，以准确地评估一个正在发生的报警线程在这三个层面所产生的风险，为后期的入侵响应决策提供客观依据
　　 最后，作为这些成果的应用，本文基于c＃.net实现了改进的算法和提出的模型，并用DARPA2000数据集对系统进行测试，验证了系统的可行性、有效性，并总结系统的各个方面的性能，为以后进一步改进奠定了基础。

目录

文摘

英文文摘

声明

第1章 引言

1.1研究背景

1.2研究内容和意义

1.2.1本课题研究内容

1.2.2研究意义

1.3论文的组织安排

第2章 本研究相关理论基础

2.1报警信息综合处理技术

2.1.1现有入侵检测系统问题

2.1.2报警信息综合处理概述

2.1.3报警聚合方法

2.1.4报警关联

2.2风险评估技术

2.2.1风险评估的基本概念

2.2.2风险评估的流程

2.2.3风险评估的常用方法

2.2.4动态风险评估

2.3本章小结

第3章 报警信息综合处理与风险评估算法研究

3.1报警聚合算法

3.2漏报关联算法

3.2.1因果关联算法及其改进

3.2.2漏报关联算法相关概念

3.2.3漏报关联算法描述

3.3层次风险评估算法

3.3.1相关概念

3.3.2层次风险评估模型及其算法

3.4本章小结

第4章 网络入侵进程风险评估系统设计与相关算法应用

4.1系统总体框架

4.2数据库设计

4.3改进的因果关联算法在系统中的应用

4.3.1报警预处理

4.3.2报警信息聚合

4.3.3直接关联和漏报关联

4.4层次风险评估算法在系统中的应用

4.5本章小结

第5章 实验结果

5.1实验平台

5.2报警聚合算法和漏报算法测试

5.2.1实验结果

5.2.2结果分析

5.3风险评估算法测试

5.3.1实验结果

5.3.2结果分析

5.4本章小结

第6章 结论和展望

6.1总结

6.2展望

致谢

参考文献

攻读学位期间的研究成果