异构环境下的网络异常行为特征提取与监测分析

摘要

随着Internet高速发展与大面积普及,网络攻击也在不断出现。随着攻击技术的不断进步与更新,攻击工具和手法的日趋复杂,攻击工具的使用却越来越简单,现在的异常检测系统面临着巨大挑战。大家迫切需要一种有效的方法来保护信息系统的安全。
　　 网络异常监测是入侵检测领域的一个分支。网络异常监测是基于网络行为的监测技术,是安装在受保护的系统上,监视系统的各种网络行为,在系统的网络行为可能会影响到网络环境、系统资源占用率时,它会实时的向用户告警,避免系统受到破坏。虽然异常监测系统有诸多优点,但其误报漏报率高,操作繁琐,太过于专业化,大大阻碍了它的普及与实际运用,所以有必要对它进行深一步的研究。
　　 网络异常监测包括在监视和分析网络数据,提取数据的特征,发现和识别网络中的异常,并给出适当的报警,以便采取进一步的防御手段,保证网络正常运行。本文研究了在异构环境下异常监测方法,介绍了网络数据捕获、数据持久化、数据抽样、异常行为特征提取、网络异常数据检测等关键技术。本文对统计检测系统中检测方法,网络数据包捕获、数据存储方面做了改进,提高了检测系统的可移植性、准确性,提高系统性能,减少误报漏报。
　　 本文对网络异常监测中的几个关键技术进行了研究,并且详细描述了一个网络异常监测系统在Windows、Linux平台的设计,并且实现了一个原型系统。
　　 对于网络异常监测的关键技术,本文主要讨论了网络数据在异构平台的捕获、分析、处理,并给出了在Windows、Linux平台下各个技术方案,并分析比较了各技术之间的优劣。在异常规则库构建上,提出了自动更新规则库,引入学习模式等来降低异常监测系统的误报率。最后本文详细描述了一个异常监测系统在Windows、Linux平台的设计,包括总体设计,详细设计。

目录

文摘

英文文摘

第一章 引言

1.1 选题背景

1.2 研究目的和意义

1.3 国内外研究现状

1.3.1 产品现状

1.3.2 研究方向现状

1.4 论文主要工作

1.5 论文内容组织

第二章 网络异常行为监测概述

2.1 网络异常监测的基本概念

2.2 相关技术理论概述

2.2.1 Linux系统有关理论

2.2.2 Windows系统有关理论

2.2.3 网络异常行为有关理论

2.2.4 网络异常监测有关理论

2.3 本章小结

第三章 网络异常监测相关技术研究

3.1 网络数据捕获方法研究

3.1.1 Windows下数据捕获的方法

3.1.2 Linux下数据捕获的方法

3.2 数据抽样的研究

3.3 数据存储的研究

3.4 特征分析与异常检测的研究

3.4.1 异常检测方法的研究

3.4.2 误用监测方法的研究

3.5 本章小结

第四章 网络异常监测系统的设计与实现

4.1 总体设计

4.1.1 总体目标

4.1.2 总体结构

4.2 详细设计与实现

4.2.1 数据捕获的设计与实现

4.2.2 数据持久化的设计与实现

4.2.3 数据分析的设计与实现

4.2.4 基于统计分析异常检测的设计与实现

4.2.5 异常告警的设计与实现

4.3 实验与测试

4.4 本章小结

第五章 结论

致谢

参考文献

攻硕期间取得的研究成果

修改提纲