基于免疫学原理的入侵检测系统的设计与实现推荐.ppt

基于免疫学原理的入侵检测系统的设计与实现 学 生： 主要内容 研究、设计意义 本文所做工作 基于生物学免疫检测系统的设计 系统检测算法研究 硬件/软件模块设计与设计环境 系统测试 总结与展望 致谢 研究、总设计意义 一、入侵检测系统的设计与实现意义 计算机技术和网络技术已在社会各领域发挥出了决定性的作用，人们在面对互联网带来的巨大的商机和发展的同时，也将面临着网络安全问题日益突出、病毒肆意蔓延、黑客非法入侵对国家、企业乃至个人信息安全造成无法弥补的影响。如何设计反入侵检测软件来有针对性的阻止非法数据攻击与非法的资源侵入利用，是当前网络安全领域一个十分重要的课题。 二、系统设计的实现 本文基于的生物免疫学原理，借鉴生物肽链定义在网络系统中由特定进程进行的系统调用、相关参数短序列的研究，提出并实现一种全新的非法入侵检测系统---基于免疫学原理的入侵检测系统。 研究、总设计意义 三、设计达到了以下要求： 通过免疫计算机和控制台之间的信息通过一定的技术手段进行共享、相互协作实现实时入侵检测。 免疫入侵系统实现原理 抗体 肽链 系统调用及参数短序列 行为特征数据库 自身细胞 自身细胞 程序正常行为 程序异常行为 主要工作 基于生物学免疫检测系统的总体设计 系统检测算法研究 硬件/软件模块设计与设计环境 系统测试 主要工作 —基于生物学免疫检测系统的总体设计 一、设计原理： 基于生物免疫学的入侵检测系统由免疫控制台组成，免疫计算机通过网络与控制台联系，利用免疫计算机端的应用软件与控制台端的应用软件，对计算机通信、攻击检测、响应处理、检测设置和监控。整个系统的布置对网络结构及其性能不产生任何影响，同时入侵检测系统的通信还采用加密技术，极大的增强了安全性。 二、设计原理框图： 检测模块 分析模块 通信模块 信息数据模块 中心控制台 检测代理 入侵数据传输 设计原理框图 主要工作 —基于生物学免疫检测系统的总体设计 原理框图分析： 系统中出现的每一台免疫计算机它拥有好几个检测单元，而每一个检测单元都需要负责检测相对应的特权进程，一旦特权进程出现了异常行为，检测单元就会根据每个单元相应设置的响应处理措施进行有效的处理，并可以直接通过图中所示的相应模块自动向控制台发送危险报告，同时向数据库传送在这次异常检测出现的一些行为特征的特有信息。在这个系统里，不管是哪个运行模块（比如说控制台、免疫计算机等）都有自己相对应的接口，用户可以非常清晰的的观测到网络中所有受到检测系统保护的主机实时状态，当然还可以通过各台主机的检测情况反馈，来调整各个设置的阈值。 主要工作 —基于生物学免疫检测系统测算法研究 测算法研究： 基于生物免疫学的入侵检测系统的关键技术中最主要就是测算法，本文为了体现检测算法简洁明了，降低检测的错误率，本文提出了相对Hamming距离的入侵检测算法公式---RHDID。 实际操作原理： 把进程的参数段序列与系统调用设定为正常行为特征，以此为依据建立起一个正常行为特征数据库，然后依据RHDID公式，对数据进行计算，得出的结果与正常行为进行对比，然后依据对比结果，看结果有没有高于其中的某个阈值，以此判断当前操作是否存在入侵行为。如图所示（下页） 主要工作 —基于生物学免疫检测系统测算法研究 RHDID检测原理图 主要工作 —硬件/软件模块设计与设计环境 一、系统的软件环境： 基于生物免疫学的入侵检测系统，包含两个主要系统：1、控制台系统2、客户端系统，因为控制台也具有入侵检测的功能，因此控制台子系统也是一个客户端子系统，为了保证系统的可移植性，将系统部署在Linux平台之上，系统的开发采用java平台，利用JDK的AWT和SWD开发技术实现系统的用户界面。系统的开发软件为，JDK1.4.1，My SQL数据库，Jbuilder6.0开发工具以及Kdevelop。 1、控制台系统 控制台不仅具备免疫计算机自身的保护功能，还具备与免疫计算机共享异常行为特征数据库信息的功能。 主要工作 —硬件/软件模块设计与设计环境 控制台检测协同式入侵的过程： 网络中任意一台主机发现侵入后，都将侵入的特征发送到控制台，然后由控制台向中的每台计算机发送警告并且跟新异常行为特征数据库。同时，控制台还累加该攻击，一旦该攻击超过某个阈值，则认为系统受到了网络系统攻击，并向管理员报警，如果在一定时间内还未超过这个阈值，则重新开始监控，右图描述了控制台监控协同式入侵的过程。 开 始 重新设计时间段 接收报警信息 和入侵行为特征 是否在特