基于统计方法的入侵检测技术研究

摘要

随着信息技术和网络技术的发展，信息安全问题越来越受到人们的关注。信息安全是一个系统的概念，包括策略、保护、检测、反应等各方面的内容。入侵检测系统(IDS，IntrusionDetectionSystem)作为一种积极主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时检测，能够在系统受到危害之前做出有效反应。入侵检测系统不仅越来越受到研究者的关注，而且已经成为安全市场上新的热点，开始在各种不同的环境中发挥其关键作用。 本文主要研究基于统计方法的入侵检测技术，从分析进程产生的系统调用序列出发，研究了两种入侵检测统计模型：面向最大似然系统调用短序列的马氏链模型和面向特权流的隐半马氏(HSMM)模型，并通过实验测试了它们的检测效果。 在面向最大似然系统调用短序列的马氏链模型中，我们将每个系统调用看成马氏链的状态，用马氏链来描述系统调用之间的转移规律。模型的运行分为训练和检测两个阶段，在训练阶段，用正常系统调用序列训练马氏链模型参数，然后用Viterbi解码算法求出以某一系统调用开头的固定长度的最大似然系统调用短序列，作为系统的正常特征库;在检测阶段，将程序产生的系统调用短序列与正常特征库中的以相同系统调用开头的最大似然系统调用短序列比较，如果两者的差异超过一定的限度，就认为程序的运行不正常。我们通过实验比较了一阶马氏链模型和二阶马氏链模型的检测效果。 在面向特权流的隐半马氏模型中，我们引入了状态驻留时间分布函数来描述系统在某一状态上的驻留时间，将隐马氏模型扩展为隐半马氏模型，从而更好地描述系统审计数据的特征。文章深入剖析了HSMM算法的复杂度问题，提出了一种适合用于入侵检测且计算复杂度较低的HSMM算法，并结合特权流技术，进一步降低了模型的复杂度。在DARPA1998数据集上的测试表明这种模型具有较好的检测效果。

目录

文摘

英文文摘

论文说明：资助

南开大学学位论文版权使用授权书和原创性声明

第一章绪论

1.1引言

1.2本文的组织

第二章入侵和入侵检测

2.1入侵和攻击

2.1.1入侵和攻击的定义

2.1.2入侵和攻击的机理与分类

2.2入侵检测的必要性

2.3入侵检测的概念和模型

2.4入侵检测的分类

2.5入侵检测数据分析方法

2.6入侵检测系统的评价方法

2.6.1入侵检测系统的主要评价指标

2.6.2 ROC图

2.7入侵检测技术的发展趋势

2.8小结

第三章入侵检测中的统计分析模型

3.1引言

3.2本文的实验数据

3.2.1DARPA98数据集

3.2.2 UNM数据集

3.3面向最大似然系统调用短序列的马氏链模型

3.3.1一阶马氏链和二阶马氏链

3.3.2模型组成

3.3.3实验和讨论

3.4隐马氏模型和隐半马氏模型

3.4.1隐马氏模型(HMM)

3.4.2半马氏随机过程

3.4.3隐半马氏模型(HSMM)

3.5面向特权流的HSMM入侵检测模型

3.5.1特权流

3.5.2模型实现

3.5.3实验

3.5.4讨论

3.6小结

第四章总结和展望

4.1系统设计总结

4.1.1面向最大似然系统调用短序列的马氏链模型

4.1.2面向特权流的HSMM模型

4.2下一步研究思路

致谢

参考文献

附录