結合異常與誤用檢測技術的入侵檢測系統(tǒng)研究設計.pdf

1、隨著網絡的廣泛應用，特別是政府信息、電子商務信息和軍事數據在網絡上的傳輸給網絡安全提出了很高的要求。網絡攻擊方法層出不窮，入侵手段也不斷更新，使得防火墻等被動式網絡安全機制對許多攻擊難以防范。入侵檢測作為一種主動防御技術，是對被動防御技術的必要補充，它彌補了傳統(tǒng)安全技術的不足。通過對網絡系統(tǒng)狀態(tài)、用戶行為以及系統(tǒng)使用情況監(jiān)控，入侵檢測系統(tǒng)可以對用戶的越權使用以及由安全缺陷招致的系統(tǒng)入侵進行報警，并對入侵行為采取相應的措施阻斷。

2、本論文首先介紹了網絡安全問題、網絡安全模型和入侵檢測原理，對現有的入侵檢測技術進行了詳細的分析、比較，找出了異常檢測技術和誤用檢測技術各自的優(yōu)缺點。在此基礎上提出了一種將異常檢測技術融合到誤用檢測技術中的綜合入侵檢測系統(tǒng)，彌補兩種技術的不足，發(fā)揮各自的優(yōu)勢，提高入侵檢測系統(tǒng)的檢測性能，并對其進行了構建和實現。 本文的主要工作如下： 針對傳統(tǒng)基于誤用的模式匹配檢測技術存在著對未知攻擊漏報率高的問題，本文提出了一種將異常檢測

3、技術和誤用檢測結合起來的綜合入侵檢測系統(tǒng)的設計構想。本系統(tǒng)把異常檢測技術和誤用檢測技術的優(yōu)勢結合起來，并集成了協議分析技術；充分發(fā)揮誤用檢測對已知攻擊快速、準確檢測的優(yōu)勢，同時利用異常檢測增強對未知攻擊行為的判斷能力，通過對兩種檢測技術的檢測結果進行比對、整合，在保證報警準確率的同時，顯著地降低了攻擊漏報率。 本文對設計的綜合網絡入侵檢測系統(tǒng)進行了合理的模塊劃分，建立了清晰的系統(tǒng)結構，實現了其中的網絡數據包捕獲模塊、協議分析模塊