网络入侵进程风评估系统研究.pdf

摘要 摘要 入侵检测系统通过监视网络或系统资源，寻找违反安全策略的行为或攻击行 为，并发出报警。入侵检测系统弥补了防火墙不足，但本身也存在高误报率、 漏报率、冗余报警多、有限的响应能力等问题。 为了解决上述问题，人们提出网络入侵进程风险评估的概念和框架，以入侵 进程为主要评估对象，重点评估网络攻击对网络和系统造成的危害，为安全管 理人员提供准确的安全态势评估，为深入、自动的安全信息处理奠定基础。本 文重点研究风险评估的模型中报警聚合关联模块和风险评估模块的算法。主要 工作如下： 首先，针对基于入侵进程的风险评估系统的报警信息处理模块提出一种基于 因果关联和分类相似度关联的综合报警信息聚合关联改进算法，降低了报警信 息的漏报率和减少了大量的重复报警。 其次，在风险评估模块研究并提出一种从服务、主机和网络自下到上的层次 化风险评估模型及其算法，该算法充分利用报警信息聚合关联模块产生的报警 信息，以准确地评估一个正在发生的报警线程在这三个层面所产生的风险，为 后期的入侵响应决策提供客观依据 最后，作为这些成果的应用，本文基于蒯．net实现了改进的算法和提出的模 型，并用DARPA2000数据集对系统进行测试，验证了系统的可行性、有效性， 并总结系统的各个方面的性能，为以后进一步改进奠定了基础。 关键词：入侵检测；风险评估；报警关联；报警聚合；层次分析 ABS丁RACT ABSTRACT Intrusiondetection monitorthenetworkor find systems systemresources，to violationsof actsor thencreatealerts．Intrusiondetection safety attacks，and policy forlackof italsohasa falsealarm systemsup afirewall，but high rate， mak．e omission a to andSO alarmmorethanlimited on． rate，redundant ability respond Inordertosolvetheabove been have for problems，Intrusionprocesses proposed to riskassessmentandframeworksinorderassesstheinvasion concepts process，as main the tothecurrentattacksontheharmcausednetworkand target，response by for to anaccurateassessmentofthe systemsafetymana