基于范例推理及状态转移的入侵检测系统研究

摘要

互联网给人们带来巨大方便之时，也给人们带来了网络安全问题。于是入侵检测(IntrusionDetection)技术也就应运而生。入侵检测是网络安全领域新兴的研究课题，相对于传统的操作系统加固技术和防火墙隔离技术等静态安全防御技术来说，它是一种动态的安全核心技术。入侵检测是一个监测计算机网络和系统以发现违反安全策略事件的过程，它拓宽了传统审计的概念，以几乎不间断的方式进行检测，从而形成连续的检测过程。入侵检测系统(IntrusionDetectionSystem，IDS)被认为是防火墙之后的第二道安全闸门，提供对内部攻击、外部攻击和误操作的实时保护。它通过构建动态的安全循环，最大限度地提高系统的安全保障能力，减少安全威胁对系统造成的危害。因而入侵检测系统因其检测的准确性高、误警率低而且具有很强的实用性而越来越受到人们的喜爱。并且有着广阔的研究与开发前景。 本文首先从传统的网络安全问题谈起，指出了传统的网络安全所面临的不足之处，从而引入了入侵检测技术。接着对入侵检测的定义、分类及基本结构进行了介绍。随后又介绍了模式匹配，介绍了模式匹配的原理、特点及具体实现。着重介绍了两种模式匹配方法，即单模式匹配和多模式匹配。因为多模式匹配也是在单模式匹配的基础上进行的，所以着重介绍了BF、KMP和BM算法。并在此基础上，对单模式匹配算法中的KMP算法进行了改进。 近年来，范例推理(Case-BasedReasoning，CBR)的基础研究及系统实现正受到人们的普遍关注，是当今人工智能研究的前沿课题。CBR不仅是关于人类认知的心理学理论，而且将成为智能计算机系统技术中新的基石之一。作为CBR的扩展应用，本文提出将范例推理与状态转换分析相结合的新型入侵检测方法，解决单纯状态转换分析技术发现新型未知攻击的效果比较差的缺陷，来扩大攻击识别范围。并重点研究了基于范例推理与状态转移的入侵检测系统，该系统的主要优点在于能够概括出上下文相关的入侵模式特点。又由于该模型集中考虑的是特定的模式，因此它能够捕获动态的、潜在特权流和数据流，而且不需要分析所有的审计数据，这样有利于统一定义一些由内部特权滥用引起的操作安全问题。最后，总结全文，并指出了入侵检测技术面临的挑战和发展方向。

目录

文摘

英文文摘

声明

第1章绪论

1.1引言

1.2网络安全问题及常用解决方法

1.3常见的安全技术的局限性

1.4本文的组织结构

第2章入侵检测系统

2.1入侵检测的定义

2.2入侵的一般步骤

2.3入侵检测系统的分类

2.4入侵检测系统的基本结构

2.4.1数据收集模块

2.4.2数据预处理模块

2.4.3协议解析和检测引擎模块

2.4.4入侵响应模块

2.5入侵检测算法理论

第3章模式匹配及其算法

3.1模式匹配概述

3.1.1模式匹配的定义

3.1.2模式匹配原理

3.1.3模式匹配系统特点

3.2常用的模式匹配算法

3.2.1单模式匹配

3.2.2多模式匹配算法

3.3改进的KMP算法

3.4状态转移算法及其与其它算法比较

3.5基于状态转换与范例推理的算法介绍

第4章.范例推理机制及在IDS上的应用

4.1范例推理机制概述

4.1.1 CBR的出现

4.1.2 CBR问题求解的一般过程

4.2特征项权重计算

4.3范例的表示

4.4范例检索算法

4.4.1相似度计算方法

4.4.2范例检索算法描述

4.5 IDS应用及结果分析

4.5.1预警消息的面向对象表示

4.5.2消息相似性度量

第5章基于CBR及状态转移的入侵检测系统

5.1检测模型

5.2状态转换

5.2.1系统状态(System States)

5.2.2状态转换

5.3状态转移与CBR的结合实现

5.3.1范例表示

5.3.2范例检索

第6章系统框架及实现平台

6.1系统框架

6.2软硬件环境

6.2.1硬件环境

6.2.2软件平台

6.3检测模块具体实现

6.4结果分析

第7章结论

7.1 IDS技术面临的挑战

7.2入侵检测技术的发展方向

7.3总结与展望

附录：插图索引

参考文献

硕士学位期间发表的论文