收藏 分享(赏)

基于启发式规则的入侵检测技术研究论文.doc

上传人:无敌 文档编号:637534 上传时间:2018-04-16 格式:DOC 页数:112 大小:3.36MB
下载 相关 举报
基于启发式规则的入侵检测技术研究论文.doc_第1页
第1页 / 共112页
基于启发式规则的入侵检测技术研究论文.doc_第2页
第2页 / 共112页
基于启发式规则的入侵检测技术研究论文.doc_第3页
第3页 / 共112页
基于启发式规则的入侵检测技术研究论文.doc_第4页
第4页 / 共112页
基于启发式规则的入侵检测技术研究论文.doc_第5页
第5页 / 共112页
点击查看更多>>
资源描述

1、摘 要摘 要北京朱文杰代写论文不付款,特此公告之计算机和网络技术的普及,在给人们的生活带来极大便利的同时,也将安全隐患传播到整个网络。正是由于网络的普及率越来越高,一旦发生有目的、大规模的网络入侵行为,其造成的影响就越恶劣。做为保护网络安全手段之一的入侵检测技术,一直被广大国内外学者所关注。由于网络规模的不断扩大,网络流量的不断增长和黑客技术 的不断发展,对入侵检测的性能提出了更高的要求。本文以提高入侵检测技术的检测正确率,降低误警率和漏警率以及提高检测效率为技术目标,在检测技术、告警融合和分布式入侵检测系统的体系结构等方面进行了深入系统的研究,取得了一些创新性的研究成果,主要内容包括:入侵检

2、测技术分为异常检测和误用检测两大类。本文分别针对异常检测和误用检测技术中存在的问题,研究了其改进方法,并提出一种基于启发式规则的混合入侵检测模型。论文首先介绍了入侵检测技术的研究现状和发展趋势,对目前常用的入侵检测技术和方法进行了归类和分析,同时比较了各种入侵检测方法的优势和不足,指出了入侵检测技术存在的问题。其次,论文讨论了误用入侵检测中模式识别算法,针对模式匹配方法存在的匹配速度慢、误报率较高、模型库动态更新难等问题,论文提出了一种改进的 AC-BM 算法,进一步提高了算法的匹配速度,设计的 MRRT 规约树能支持多线程归约和在线动态调整,特别适用于大规模多模式匹配。再次,论文针对异常检测

3、技术存在计算量大、训练时间长、在小样本情况下分类精度低的问题,论文研究了特征选择和 SVM 分类器,通过 SVM 在训练过程中主动挑选学习样本,从而有效地减少训练样本数量,缩短训练时间。该检测方法解决了异常检测中大量训练样本集获取困难的问题。最后,论文提出了一种基于启发式规则的混合入侵检测模型,系统通过各对连接上下行数据分别采用误用检测方法和异常检测方法,并对检测到得结果进行拟合,通过分析向用户发布告警入侵行为。该模型具有数据处理效率高,误报率低,协作性好,自学习能力强,安全性高等特点。论文最后对所作的研究工作进行了总结,并指出了今后的研究方向。摘 要关键词:入侵检测,模式识别,启发式,特征选

4、择,支持向量机AbstractABSTRACTIntrusion Detection has shown great potential in network security research. Most existing intrusion detection methods treat all data in the network as a whole. However, in reality, data in the network could be divided into two categories: upload data and download data. When in

5、trusion takes place,these two types of dataflow may have different characters. Based on this discovery,we proposed a novel intrusion detection method (U-D method) taking both upload and download data into consideration. With the enhanced separately analysis method,we could figure out the intrusion c

6、lues more effectively and efficiently. We wonder the relationships between these data might contain some instinct clue for discovering important intrusions. Experiment results demonstrate the effectiveness of our approach.Key Words: Intrusion detection, SVM, Upward IP Data, Down-ward IP Data目 录目 录第一

7、章 绪 论 .11.1 研究背景 .11.2 国内外研究现状 .31.3 本文的主要工作 .81.4 本文的组织结构 .9第二章 入侵检测技术研究综述 .112.1 检测技术的发展史 .112.2 检测技术的分类 .122.3 检测技术的评价指标 .132.4 误用检测技术 .142.4.1 基于规则匹配的检测技术 .152.4.2 基于条件概率的检测技术 .152.4.3 基于状态转移分析的检测技术 .162.4.4 基于模型推理误用的检测技术 .162.5 异常检测技术 .172.5.1 基于统计方法的检测技术 .172.5.2 基于贝叶斯推理的检测技术 .182.5.3 基于神经网络的检

8、测技术 .182.5.4 基于遗传算法的检测技术 .192.5.5 基于数据挖掘的检测技术 .202.5.6 基于人工免疫的检测技术 .202.5.7 基于支持向量机的检测技术 .202.6 入侵检测系统结构分析 .212.6.1 集中式 IDS .212.6.2 等级式 IDS .222.6.3 分布式 IDS .242.7 规则描述语言 .25目 录2.8 实验数据 .292.9 本章小结 .33第三章 误用入侵检测中的模式识别算法研究 .353.1 引言 .353.2 AC-BM 算法 .363.3 AC-BM 算法改进 .383.3.1 问题分析 .383.3.2 改进方案 .393.

9、3.3 算法构造 .403.4 实验及分析 .523.5 本章小结 .61第四章 基于启发式搜索的特征选择 .624.1 搜索策略 .624.2 评价准则 .634.3 特征选择算法 .644.4 基于变量相似性特征选择 .664.4.1 线性相关系数准则和最大信息压缩准则 .674.4.2 基于变量相似性的特征选择算法 .684.5 实验及分析 .694.6 本章小结 .71第五章 异常入侵检测中的 SVM 分类器研究 .735.1 引言 .735.2 传统 SVM 分类器 .745.3 INN-SVM 分类器构造 .765.3.1 问题分析 .765.3.2 改进方案 .785.3.3 分

10、类器构造 .795.4 实验及分析 .845.5 本章小结 .87目 录第六章 基于启发式规则的混合入侵检测系统 .886.1 引言 .886.2 传统 IDS .896.3 基于启发式规则的混合入侵检测模型 .906.3.1 设计思路 .906.3.2 模型构造 .906.4 实验及分析 .966.4.1 吞吐率 .976.4.2 匹配性能 .976.4.3 分类器性能 .996.5 本章小结 .100第七章 总结与展望 .1017.1 本论文对相关项目的贡献 .1017.2 本论文的总结 .1017.3 关于未来研究的展望 .102参考文献 .103致 谢 .105在读期间发表的学术论文与

11、取得的其他研究成果 .106第一章 绪 论1第一章 绪 论1.1 研究背景随着网络和计算机技术的不断发展,人类社会进入了一个崭新的互联网时代。科技发展的日新月异,对推动社会发展和人类进步具有不可忽视的重要意义。而以计算机和网络技术为代表的 IT 产业更是位于科技发展的技术前沿,并且直接引导了互联网的一次次技术革命,人类社会的各个领域都在发生着前所未有的重大变革,人类社会正在走进信息化社会。然而随着网络技术、网络规模和网络应用的高速发展,个人和各种组织,包括政府、企业、军队,都越来越依赖于信息系统、通信网络以及与之相关的自动化应用。同时也为网络攻击提供了便利条件,攻击技术快速发展,呈现出多元化、

12、复杂化和智能化的发展趋势,攻击频度和规模逐年递增。以国家计算机网络应急技术处理协调中心(CNCERT/CC)在 2011 年发布的报告为例,2011 年,CNCERT/CC 接收的网络仿冒、垃圾邮件和网页恶意代码等非扫描类网络安全事件报告总数为 4390 件,大大超出去年同期水平,与2010 年相比,网络仿冒事件增长 1.4 倍,垃圾邮件事件增长 1 倍,网页恶意代码事件增长 2.6 倍。同时据抽样显示,2011 年,境内外控制者利用木马控制端对主机进行控制的事件中,木马控制端 IP 地址总数为 433,429 个,被控制端IP 地址总数为 2,861,621 个,比去年同期均有较大幅度的增长

13、。下面对目前的网络安全现状进行具体分析。首先,在当前的网络状况下,各种病毒和攻击方法不断更新换代,安全威胁的种类越来越多,升级的频率越来越快,所能影响的范围也越来越广。目前存在的安全威胁主要有以下几种:1)系统破坏:入侵行为往往对系统造成极大的破坏,主要表现在网络性能变差,影响网络服务的质量甚至无法提供正常的服务,主机速度变慢,程序运行异常,系统无法正常工作,严重时导致系统崩溃。系统遭到破坏产生的直接后果就是用户无法使用电脑进行正常工作。目前,网络已经成为许多企业和用户工作的重要工具,系统的破坏将严重影响企业的正常运营和用户的工作,对企业和个人造成重大的经济损失。2)信息泄漏:企业网络及个人的

14、主机上有许多重要信息和资料,有些保密第一章 绪 论2级别很高,不能对外公开。对于个人来说,个人隐私的泄漏会给人们带来许多不必要的麻烦,如各种电话、短信、垃圾邮件的骚扰等,严重时会对人们的生活造成极大的影响。此外,个人网上银行账户的泄漏会对个人的财产造成重大的损失,某些网络账号和密码的被窃,会被入侵者用来做一些违背用户个人意愿的事情,有时甚至会是违法的事情。对于企业来说,商场如战场,而商机往往由及时可靠的信息获取来决定,许多公司企业的网络中往往会存在一些涉及商业机密的重要文件,这些文件往往成为一些商业计划成败的关键,一旦泄漏,对公司企业的打击是沉重的。信息泄漏的危害很大,甚至会威胁到政府和国家的

15、安全。政府的重要文件和国家机密作为一个国家最为重要的信息,往往决定着国家的重大决策,把握着国家的经济命脉,影响范围十分广泛,涉及国家金融、经济、军事、安全的各个方面,现在政府都建立了自己的网站,方便政府的办公,但是同时也增加了这些重要的文件及机密泄漏的风险。所以信息泄漏是网络安全领域的重要问题,危害十分严重。3)数据损毁:网络中最重要的资源就是数据,网络提供的一切服务以及在网络中传输的任何信息,其实就是一堆数据。数据损毁主要是对数据完整性的破坏,包括数据的损坏和丢失,导致数据损毁的原因是多方面的,有人为的因素,如入侵者的删除和蓄意破坏用户个人的错误操作,误删或没有保存。也有来自系统本身的原因,

16、如系统崩溃导致数据损毁,存储介质故障导致数据损毁。还有一些外来的因素,如突然断电造成的数据损毁。其中,因为入侵行为而导致的数据损毁是最为常见而又很难防范的。在没有很好的数据保护管理机制的情况下,重要数据的损毁对企业和个人往往是灾难性的,很多人面对重要数据的丢失往往是欲哭无泪,诉求无门。4)非法控制:入侵者在成功入侵某些机关、企业或个人的主机后,往往会在被入侵主机中植入木马,留下后门,方便其对主机进行长期的非法控制。在这种情况下,除了可能出现前面提到的三种情况外,还可能会出现一些意想不到的严重后果,造成灾难性的危害。2005 年,美国海军航空中心的电脑被黑客入侵,通过对被入侵电脑的控制,该黑客甚至可以操控军用导弹的发射,一场人为的灾难就因为网络系统的安全问题而掌握在入侵者的一念之间,其后果多么可怕。网络和计算机技术的进步,在给人类的生活带来极大便利的同时,也为黑和恶意攻击者提供了入侵的手段和条件。同时,正是由于当前的网络规模不断大,所涉及的用户范围不断增加,一旦发生有组织,大规模的网络入侵事件,所造成的影响也就越恶劣,据国际网络安全专家分析,目前世界范围内的网络

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 学术论文 > 管理论文

本站链接:文库   一言   我酷   合作


客服QQ:2549714901微博号:道客多多官方知乎号:道客多多

经营许可证编号: 粤ICP备2021046453号世界地图

道客多多©版权所有2020-2025营业执照举报