入侵检测系统的分析与研究.pdfVIP

中文摘要 本文的研究工作分为五个部分： 首先，本文概述了入侵的概念，介绍了入侵的几个方面，包括网络监昕、利 用系统漏洞、恶意下载程序及病毒、IP欺骗。随后详细地介绍了几种常见的入 侵类型及对策，诸如探针型攻击、拒绝服务的攻击、成为本地用户型攻击、成为 根用户型攻击和数据型攻击这几种较为普遍的入侵类型及防范措施。 其次，介绍了审计的概念和传统安全审计系统的历史，分析了常用安全措施 的不足，并在此基础上产生的基于网络的安全审计系统，具体介绍了两种基于网 络的安全审计系统的常用的实现方法：基于数据库的方法和基于数理统计的方 法。又分别介绍了基于网络的安全审计系统的新方法：有学习能力的数据挖掘以 及基于系统调用序列的方法：基于审计向量的入侵检测模型(AUDIDS)。 第三，本文介绍了目前入侵检测系统的审计信息，对审计信息提出了两方面 的评价指标：时序逻辑性和空间性，提出了针对完善空间性审计信息的方法：防 守联盟协议，该方法是获取入侵行为在发起节点以及和目的节点物理相邻节点上 的入侵行为特征作为入侵检测系统的审计信息，前一部分阐述存在于相邻节点的 入侵行为特征如何获取并发送至目的节点，如转发到目的节点数据包的数据量及 频度等作为审计信息；后一部分阐述利用网管中心获取入侵发起节点上的入侵行 为特征，即通过对三次握手连接进行修正，认证连接的真实性以完善空间性审计 信息。 第四，介绍了一致逼近技术，并利用一致逼近技术的特点，将其应用于异常 入侵检测技术。以特洛伊木马这个典型的异常入侵类型为例，通过讨论“特洛伊 木马”运行模式，给出由图像函数定义的系统状态，利用系统状态的所有直接和 间接关系确定系统转换过程中行为模式的变化及其规则，在此基础上分析了“特 洛伊木马”的入侵检测。 最后，介绍了本课题就此领域所作的初步研究。概要的阐述了所做的试验， 并附了部分界面和源程序。 关键词；网络入侵安全审计 审计记录 一致逼近 ABSTRACT The dividedintofive study parts： summarizesthe of recommends Firstly,the paper conceptionintrusion．Following．it somefamiliarintrusionindetailand their aS countermeasures．Such attacks． probe anddataattack． DDOS，R2L，U2R in20ducesthe auditthe of and of traditional Secondly,the history paper conception audit thelackof in measurecom／non the security analyses use，and system．It security Network Audit introduces