IDS中特征代码抽取方法研究.pdf

上海交通大学计算机系 IDS 中特征代码有效识别的研究 The Research ofExtractionMethod forPattern Recognition Abstract The construction of the pattern intrusion detective system based on mis-used. a large amoun network package. package Using These packages included the abnormal patterns.After For validating the method, it according to the algorithm involved in this paper. The system is and running with IDS. Keyword:Intrusion Detective , IDS , Pattern 4 上海交通大学计算机系 IDS 中特征代码有效识别的研究 第1章 研究内容与背景 1.1概述 IDS即入侵检测系统 按照检测方法的不同 通常主要分为异常检测 Anomoly Detection和特征检测两种 异常检测 根据使用者的行为或资源使用状况来判断是否入侵 而不依赖于具体行为是 否出现来检测 所以也被称为基于行为的检测 这类检测包括概率统计方法和神经网络方法 特征检测是根据已有知识库中的知识 对网络上的数据流做分析 当其中某个或某部分 条件满足时 系统就被判断为入侵行为发生 由于计算机程序对单纯的匹配比较容易实现 因而特征检测也就成了今天众多入侵检测系统的基本实现手段 本文所要描述的问题就是建 立在基于特征检测的入侵检测系统之上的 基于特征检测的 IDS系统 最关键的部分就是特征库的实现 特征库的好坏直接决定着 IDS中误报率与漏报率这两个用户极为关心的衡量指标 每个厂商都有自己的一套实现特征 库的方法 有些是使用经验观察法得到 有些是使用自动的方法得到 本文提出了一种基于 正常数据集合和异常数据集合自动搜寻出入侵模式的算法 通过本文提出的多项式级别的算 法抽取出的入侵模式 加入Snort的规则库 能与Snort系统较好的整合运行 对于其它基 于特征代码识别的IDS系统来说 本文提出的方法也是具有借鉴意义的 本文详细描述数据包集合的获取过程 对于模式抽取的算法 经过理论验证为多项式级 别的 实验数据也表明 该算法可用作于现有的IDS的后台支持系统来使用 本文实现的原 型系统经实验表明与Snort能较好的协同工作 第一章 主要简单的回顾一下IDS的历史与发展状况 及现有 IDS的主要问题 并介绍 了一些流行的IDS系统 使得读者对 IDS有一个直观 系统 整体的认识 在此基础上提出 了研究的内容与方法 第二章 描述了特征数据包的获取过程 对于特定的入侵行为 都有相应的环境配置方 法 包括正常网络数据包和异常网络数据包的几种获取方法 并详细比较了各种方法的优缺 点 对于正常包提出了网络收集法和构造法 对于异常数据包提出了构造法 植入法和网络 收集法 第三章 根据已获得的特征包 详细描述了模式搜寻算法 并从理论和实际运行两个方 面验证了该算法的可行性 该算法具有多项式级别的复杂度 即使在最坏情况下也是如此 通常情况下能在可忽略的时间内完成模式的抽取 为了更具直观上的认识还给出了 C#语言 下的关键方法的实现 在模式抽取完成后 进一步分析了模式与模式之间的关联性 第四章 根据第二及第三章的原理 实现了可实际运行的原型系统 用以验证算法的可 行性与准确性 从实现的角度给出了主要的类设计图和程序运行图 并在此基础上对