一種面向特定網(wǎng)絡(luò)服務(wù)的異常檢測(cè)方法.pdf

1、隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，網(wǎng)絡(luò)安全問題越來越嚴(yán)重，入侵檢測(cè)作為網(wǎng)絡(luò)安全防御體系的重要組成部分受到人們的關(guān)注。當(dāng)前入侵檢測(cè)系統(tǒng)存在嚴(yán)重的漏報(bào)和誤報(bào)，檢測(cè)方法單一等不足。同時(shí)，大部分的誤用檢測(cè)系統(tǒng)都不能很好地檢測(cè)未知攻擊。本文通過對(duì)網(wǎng)絡(luò)攻擊分類的研究，發(fā)現(xiàn)U2R和R2L兩類攻擊與DoS及S/P類攻擊在形成原理上有本質(zhì)的不同，對(duì)它們的檢測(cè)需要加以區(qū)分。 針對(duì)上述問題，本文在前期入侵檢測(cè)研究基礎(chǔ)上提出了一種面向特定網(wǎng)絡(luò)服務(wù)的異常入侵檢測(cè)模型

2、，對(duì)U2R和R2L兩類攻擊進(jìn)行檢測(cè)并適度彌補(bǔ)誤用檢測(cè)模型的不足。這種模型考慮應(yīng)用層的載荷知識(shí)，提取服務(wù)請(qǐng)求報(bào)文的類型、長(zhǎng)度和載荷分布等屬性進(jìn)行分析。本文以DNS服務(wù)為例，對(duì)面向DNS服務(wù)的異常入侵檢測(cè)系統(tǒng)進(jìn)行設(shè)計(jì)與實(shí)現(xiàn)，采用統(tǒng)計(jì)分析和n-gram算法計(jì)算正常應(yīng)用層網(wǎng)絡(luò)流量的統(tǒng)計(jì)模型，用于檢測(cè)針對(duì)DNS服務(wù)的異常網(wǎng)絡(luò)行為，并對(duì)閥值的設(shè)定和模型的更新進(jìn)行論述。本文把面向DNS服務(wù)的異常分析引擎作為一個(gè)可擴(kuò)展的插件集成到原有的誤用NIDS平臺(tái)