梁可心的答辩演示文档重点.ppt

基于人工免疫的入侵检测系统的研究与实现 答 辩 人：梁可心 指导教师：李涛 教授 答辩时间：2005年5月30日 答辩内容 1. 绪论 背景与现状 主要防御手段 病毒检测（Virus Detection） 防火墙（Firewall） 入侵检测（Intrusion Detection） 入侵防御（Intrusion Prevention） 蜜罐（Honneypots） 人工免疫理论 一种新的仿生计算理论，借鉴于人体免疫系统 由Forrest，Hofmeyr，Bentley等人把免疫学相关机制引入到入侵检测领域，包括否定选择，克隆选择，免疫耐受，免疫记忆等。 本文工作 分析了目前现有入侵检测技术 分析了基于免疫的入侵检测技术 对比了传统入侵检测方法与基于免疫的入侵检测方法 提出了一种基于免疫的动态入侵检测方法 给出了定量的理论描述，建立了系统模型 对模型进行了仿真，并对比了其它的基于免疫的检测系统 2. 传统入侵检测技术 分类 基于主机的入侵检测 入侵检测技术 基于异常（AD）：偏离正常模式的行为为入侵 基于误用（MD）：符合已有攻击特征的行为为入侵 传统入侵检测技术的不足 基于误用的检测无法对于新的或已知攻击的变体进行检测，且误报率高 基于误用的检测虽能检测新攻击，同样误报率很高，检测性能不稳定 缺乏自适应性，动态性和自学习性 3. 人工免疫理论与基于免疫的入侵检测技术 人工免疫理论 组成：B细胞－－携带抗体，抗体－－匹配抗原，T细胞－－协助检测 基于免疫的入侵检测 检测方法 检测算法 优点与缺点 优点： 缺点： 4. 基于人工免疫的动态入侵检测模型 术语定义 自体：正常网络行为或数据 非自体：非正常网络行为或数据 抗原：从网络数据包中获取的长度为l的特征二进制串 抗体：固定长度l的二进制串，用于匹配抗原 匹配：Euclidean距离，Manhattan距离、Hamming距离、r连续位 r-contiguous bites 匹配等等 自体耐受：删除能匹配识别自体的抗体的过程 未成熟细胞：抗体随机生成的细胞，未与自体进行耐受 免疫细胞：携带单个抗体及细胞属性（年龄，匹配计数）的结构 模型整体结构 各模块工作流程 耐受模块（否定选择机制） 记忆细胞检测模块 成熟细胞检测模块 协调刺激模块 5. 模型仿真与对比实验 系统参数对系统性能影响实验 成熟细胞激活阈值对系统的影响 未成熟细胞耐受期对系统的影响 成熟细胞生命周期对系统的影响 抗原更新周期对系统的影响 综合比较后选取的一组参数 与传统基于免疫的检测系统的对比实验 非自体检测性能（TP值）对比实验 自体误检测（FP值）对比实验 成熟免疫细胞生成效率对比实验 6. 结束语 谢 谢 大 家 ! 成熟细胞激活阈值对系统的影响 未成熟细胞耐受期对系统的影响 成熟细胞生命周期对系统的影响 抗原更新周期对系统的影响 非自体检测性能对比实验 自体误检测对比实验 成熟免疫细胞生成效率对比实验 生命周期对模型TP值和FP值的影响，其中激活阈值＝40，耐受期＝48小时，抗原更形周期＝15代 生命周期与FP，TP值成正比 抗原更新周期对模型TP值和FP值的影响，其中激活阈值＝40，耐受期＝48小时，生命周期＝7天 抗原更新周期与FP，TP值成正比 模型与Exhaustive算法TP值对比实验：每发送100个数据包中夹杂80个非自体包，其中非自体中有40个包是刚刚确定的，即以前这种类型的IP包被认为是正常的，现在被认为是非法的网络行为 模型具有更好的TP值 模型与Exhaustive算法FP值对比实验：每100个数据包中夹杂40个自体包，其中20个自体包为新近定义，即以前这些IP包被认为来自不正常的网络行为，但现在被认为它们是正常的 模型具有更低的FP值 * 四川大学硕士学位答辩 绪论 传统入侵检测技术 人工免疫理论与基于免疫的入侵检测技术 基于免疫的动态入侵检测模型 模型仿真与对比实验 结束语 背景与研究现状 本文工作 20亿美元 的损失 Blaster 12.5亿美元 的损失 Slammer 6.4亿美元 的损失 Nimda 26.2亿美元 的损失 Code Red 感染了1988年网络上仅有的60000台系统的5%-10% Internet Worm 来自网络的威胁 分类 检测技术 不足 基于主机的入侵检测（HID） 基于网络的入侵检测（NID） 基于异常的入侵检测（Anomaly Detection） 基于误用的入侵检测（Misuse Detection） 特征：以单台主机为数据采集对象，监控主机 优点：采集数据针对性强；系统平台特定 缺点：信息采集效率低，效果不佳； 一旦侵入某