分布式、大规模入侵检测系统研究——多传感器数据融合、入侵检测信息交换格式

摘要

该文就当前入侵检测系统中存在的虚警率、漏警率过高的问题,首先对多传感器数据融合技术进行了讨论,并最终提出基于多传感器数据融合的入侵检测模型,该模型是从总体上考虑入侵检测的,具有容易实现,灵活,易扩展的特点.对于报警的聚集和融合部分,该文根据CRIM的结构模型,提出了改进措施,达到了实时检测的效果.另外由于在对报警进行处理的时候,报警可能来自异构的IDS,所以IDS报警需要一个标准的格式,该文在后面的章节中讨论了IDMEF,并针对大规模入侵检测系统中的接口标准的研究中的互动问题对IDMEF进行了扩充,在IDMEF中增加了响应类,并定义了它的IDMEF类型的数据格式.

目录

文摘

英文文摘

第一章 前言

1.1背景知识

1.2当前IDS存在的问题

1.3国内外发展动态

1.4本文的组织结构

第二章多传感器数据融合技术以及JDL模型

2.1数据融合的目的和定义

2.2信息融合的基本原理

2.3信息融合的级别

2.4数据融合的功能模型

2.4.1检测

2.4.2数据校准

2.4.3相关(关联)

2.4.4状态估计

2.4.5目标识别

2.4.6行为估计

2.5 JDL数据融合的功能处理模型

2.6多传感器数据融合的层次问题

2.7黑板结构和机会推理

2.8数据融合的关键问题

第三章基于数据融合的入侵检测系统

3.1数据融合IDS的目的

3.2入侵检测数据融合模型的功能层分析

3.3体系结构

3.3.1.数据融合用于入侵检测的多层抽象视图

3.3.2.所考虑的一些问题

3.3.3.引入多传感器数据融合混合框架

3.3.4.采用专家系统

3.3.5.黑板结构模型用于解决机会推理

3.3.6.通用的数据融合模型

3.4数据融合概念在分布式大规模IDS中的应用

第四章多IDS报警的聚集与关联技术

4.1前言

4.2协同检测框架

4.2.1 CRIM简介：

4.2.2 CRIM体系结构

4.3对CRIM结构的改进

4.4报警库的管理

4.5报警聚集

4.5.1相似关系

4.5.2相似性专家规则

4.6报警合并与冲突解决

4.6.1对攻击的Classifications属性进行合并

4.6.2合并攻击的Sources/Targets属性

4.7显式关联

4.8 LAMDA中的半显式关联

4.8.1方法背景

4.8.2报警关联定义

4.8.3间接关联

4.8.4生成关联规则

4.8.5应用关联规则

第五章入侵检测信息交换格式介绍

5.1 IDMEF数据模型

5.1.1 Alert类

5.1.2 Heartbeat类

5.1.3 core类

5.2统一建模语言UML

5.3使用XML语言描述IDMEF文档

5.3.1 XML简介

5.3.2在XML中实现IDMEF的基本原理

5.3.3表示实例

5.4对IDMEF的一些改进

参考文献

致谢