提高分布式入侵检测系统检测准确率的研究

摘要

随着网络入侵者水平的逐渐提高，入侵行为日益严重。网络使用者必须采用积极的防御技术和纵深的、多样的手段来保证网络的安全。入侵检测系统在网络安全中的作用日益突出，其研究和实现已经成为网络安全领域的重要课题。 网络安全领域的专家对入侵检测系统进行了大量研究，但现有的入侵检测技术仍不是很成熟，存在较多问题。国内入侵检测产品多处于特征检测的初级阶段，在异常检测方面与国外还存在相当大的差距，在混合检测领域更是基本空白，普遍存在检测手段单一、对未知入侵识别能力较差、误报漏报严重、检测准确率低、自适应能力差、响应能力差、对大规模和高速网络的支持较差等问题，严重影响系统性能。在当前网络入侵手段不断变化的情况下，入侵检测系统面临严峻挑战，急需改进。 本文针对当前入侵检测系统存在的检测准确率低、对未知入侵识别能力差等问题进行研究，分析产生原因，并提出解决方案，设计实现了一种基于混合检测方法的分布式入侵检测系统。系统采用分布式体系结构，将检测任务分散到各网段的入侵检测代理上，由管理中心进行统一管理协调，解决了大规模网络检测数据采集的问题，同时提高检测速度；将误用检测与异常检测相结合进行混合检测，利用两种检测手段优势互补的特点，在准确检测已知入侵的同时提高对未知入侵的识别能力，从而提高系统的检测准确率。 本文重点对网络入侵检测代理进行深入研究。入侵检测代理用混合检测方法对所在网段进行检测，采用监听的方式采集所在网段的数据包，并进行预处理，误用检测与异常检测两个检测引擎同时进行检测，将两种检测方法的检测结果进行融合。既保证对已知入侵能够准确识别，对未知入侵又具有一定的检测能力。系统将入侵报警分为确定的入侵和疑似入侵两个级别，并对不同类别的入侵报警根据既定的响应策略进行响应，从而避免了高误报对管理员的干扰。 网络入侵检测代理可将检测到的入侵向管理中心进行报警，同时可以接收管理中心发送的检测规则更新信息，自动更新本地检测规则库。检测代理与管理中心进行安全确认，确保自身安全性和健壮性。 针对入侵检测系统自适应能力较差的问题，本文对基于改进的ART-2神经网络的自适应入侵检测进行了初步探索研究。 系统在Windows2000环境下用VC++6.0开发，通过实验测试，该系统能够在一定程度上提高入侵检测系统检测准确率和自适应能力，提高网络安全水平，具有一定的研究价值。

目录

文摘

英文文摘

原创性声明和关于学位论文使用授权的声明

1引言

2入侵检测系统概况及存在的问题

3基于混合检测的分布式入侵检测系统的设计

4对自适应检测的初步研究

5本系统特点及与传统入侵检测系统的比较

6存在的问题和下一步研究方向

7结束语

参考文献

致谢

攻读硕士学位期间发表的学术论文