隐Markov模型和数据融合在入侵检测中的应用研究

摘要

本文分别采用单步、多步Markov链和基于多步Markov链的序列预测三个方面，较为全面地研究了Markov链模型(MarkovModel)在异常检测上的应用，并结合实验讨论在安全领域知识缺乏的情况下，异常检测的可行性，给出了一种使用隐Markov模型建立系统正常行为模式的方法，并采用了序列支持度分析、序列预测两种方法，研究了这一隐Markov模型在异常检测中的应用，提出一种融合策略，通过聚类、合并、关联三个模块实现了对多个检测组件的低级报警的融合处理，能将低级报警消息逐步提炼为高级报警信息，介绍了一个应用于大规模网络的分布式系统的整体结构，并给出了一种能保证系统安全性和可靠性并使得系统具有良好开放性的运作机制。

目录

文摘

英文文摘

第一章绪论

1.1入侵检测介绍

1.1.1互联网现状

1.1.2入侵检测的概念

1.1.3基本原理

1.1.4系统分类

1.1.5研究热点

1.2异常检测技术

1.2.1概述

1.2.2马尔可夫模型与入侵检测

1.2.3隐Markov模型与异常检测

1.3数据融合

1.3.1数据融合的目的和定义

1.3.2入侵检测中的数据融合

1.4本文的组织结构

第二章工作基础

2.1 引言

2.2“科祯网侦”入侵检测系统简介

2.2.1系统结构

2.2.2检测模块

2.2.3控制模块

2.2.4系统特点

2.2.5典型应用案例

2.3系统存在的缺陷暨本文研究着眼点

2.3.1主机数据分析及异常检测能力

2.3.2数据融合能力

2.3.3信息交互安全性

2.4小结

第三章Markov模型在异常检测中的应用

3.1引言

3.2 Markov模型介绍

3.3 Markov链模型应用于异常检测

3.3.1建立Markov链模型

3.3.2 Markov链分析检测数据

3.3.3算法复杂度分析

3.4实验及结果分析

3.4.1正常模式对序列支持度

3.4.2多步Markov法计算异常率

3.4.3基于多步Markov链的序列预测

3.4.4检测实时性分析

3.5小结

第四章隐Markov模型在异常检测中的应用

4.1引言

4.2隐Markov模型

4.3隐Markov模型应用于异常检测

4.3.1使用隐Markov模型为系统正常模式建模

4.3.2使用隐Markov模型分析检测数据

4.4实验及结果分析

4.4.1序列支持度分析

4.4.2序列预测

4.5小结

第五章数据融合

5.1引言

5.2数据融合

5.3聚集模块

5.4合并模块

5.4.1对攻击的Classifications属性进行合并

5.4.2合并攻击的Sources/Targets属性

5.4.3合并时间信息

5.5关联模块

5.5.1显式关联

5.5.2半显式关联

5.6小结

第六章系统模型

6.1引言

6.2分布式系统的结构

6.3系统运作机制

6.3.1注册

6.3.2建立安全对话

6.3.3会话控制

6.3.4注销

6.4小结

第七章总结与展望

7.1本文研究工作总结

7.2进一步研究方向

参考文献

在读期间发表的论文

攻读学位期间参加的科研课题和工程项目

致谢