基于行为关联的Web自适应入侵检测系统设计与实现.pdfVIP

第 卷增刊 大 连 理 工 大 学 学 报 ! 45 Vol.45 Su l. PP 年 月 Oct 2005 10 Journal of Dalian Universit of Technoloy gy . 2005 文章编号! ( 1000-8608 2005 S-S142-04 基于行为关联的Web 自适应入侵检测系统设计与实现 赵 东 平! 郑 卫 斌! 张 德 运 !西安交通大学 计算机科学与技术系陕西 西安 710049 # 摘要! 提出了一种适用于Web服务器的自适应入侵检测机制将检测模块直接嵌入Web服务器中采用 客户访问行为关联预测配合异常检测和误用检测动态产生和调整特征规则确定合法请求过滤异常 请求并确认攻击类型从而达到预防新型攻击与检测已知攻击事件的目的 对实现的系统进行了测试验. 证在一般攻击扫描情况下攻击检测准确率可高达 95.8 . 关键词!入侵检测$ 入侵$异常$误用$访问行为关联 Web 中图分类号! 文献标识码! TP393.4 A 0 引 言 大多数入侵检测系统以入侵特征规则作为检测 [] 2 基础 仅能较有效地检测已知的攻击6除对于新型 近年来 网络安全受到越来越多的重视 但由. 攻击无法立即检测或预防外 更无法适时检测出网 于管理者疏忽~系统漏洞~新的攻击手法层出不穷等 站内因本身服务程序(例如 ~ 等的编写缺陷 c i h g p p 各项因素 造成各种网络攻击事件频繁发生 其中. 所导致的数据外泄或窜改等问题. 又以Web 应用类型的攻击最多 而大部分 Web 应 本文提出一个适用于 Web 服务器的应用型入 用并没有采取专门有效的防护措施来应对. 侵检测框架 将检测模块直接嵌入到 Web 服务器 攻击者将越来越多的目光投向Web 服务器和