网络入侵检测系统的安全性分析及相关技术研究.pdfVIP

摘要 入侵检测系统是在目前网络安全问题日益突出的环境下，提出的一种对网络 传输进行实时监控，主动保护自己免受攻击的一种网络安全技术。尽管这项技术 经历了长足的发展，但是在某些关键问题上，尤其是在基于系统调用序列的主机 入侵检测系统中，还是没有得到很好的解决，例如建模方法不精确，建模过程中 存在安全隐患，检测系统的实时检测性能不高等问题仍是当前的研究重点。本文 针对这些问题进行了深入的剖析并提出自己的解决方案。 本文对短滑动窗13建模方法所带来的安全隐患进行了分析，因为这种建模方 法只能覆盖较小部分的检测区域，使攻击者可以通过改变攻击程序的编码顺序或 增加删除代码的方法轻松绕过入侵检测系统的监控，达到入侵主机的目的。同时， 针对目前广泛使用的提升系统实时性的建模方案，即基于系统调用频率特性的建 模方案，本文也从安全性方面进行了分析。指出这种建模方法不仅使正常系统行 为的范围扩大造成不能精确建模的问题，还使系统在检测阶段只能事后报警，不 能及时报警，降低了系统的可用性。 基于这一系列的安全漏洞，我们提出了通过增加滑动窗口长度的方法以提高 入侵检测系统的防护能力。并考虑到窗口长度的增加所带来的海量信息，提出了 一种高效的建模、检测算法。我们利用非负矩阵分解算法在小波空间上对原始数 据进行建模并得到了较为满意的检测结果。试验表明，我们提出的算法不仅可以 得到同传统算法一样的检测精度，同时还降低了系统的检测时间，增加了系统的 实时处理能力。 考虑到在真实的网络环境中收集训练数据存在噪声干扰的问题，使训练数据 集不能完全代表正常的系统行为，同时也考虑到提升入侵检测系统效率的问题， 本文同样基于非负矩阵分解算法提出了针对系统调用序列的无监督分类方法，其 检测速度快、精度高，试验表明这种方法可以在不影响系统建模时间的情况下得 到满意的结果。 关键词：网络安全，入侵检测系统，系统调用，无监督分类，非负矩阵分解 Abstract Basedonthe thatthenetwork hasbeen poignantproblem security increasingly for ofintrusiondetectioniSaimedto thisdecade，the challenged development syStem deteCt behaviorsinrealtimeand defensethe fromvarious system subjectively system newkindsof hasbeen vital attacks．Althou西such technique developed，some the onhost．basedintrusiondetectionand problems，especiallvproblems system callsbasedintrusiondetection notsolved incorrect system system，are well，including modelsfor issuesdeducedcertain behaviors。secure methods，and system by modeling arestilllistedonthe deteriorated and contents