安徽大学博士学位论文开题报告推荐.ppt

Main study work 二、在以往文献的克隆选择算法中，关于检测器（抗体）亲和力进化，只用到了变异和选择算子，所以论文欲研究抗体进化的免疫算法，首次提出在该算法中增加了多克隆算子（McAb Operator）和接种疫苗算子(Vaccination Operator)，目的是产生的检测器具有多样性、特异性、自学习性，能检测未知攻击。 * Main study work 三、在前面工作的基础之上，研究实现一个基于免疫机理的入侵检测系统，该检测系统不仅能检测网络层、传输层的攻击（IP探测、端口扫描、Dos攻击等），而且能检测应用层的攻击（如CGI、FTP、PHP注入漏洞攻击等）。在此过程中从理论上对检测率（detection rate）、漏检率(false positive error rate)、检测器覆盖(detector cover)、检测漏洞(detection hole)、检测器冗余进行分析。 * Main study work 四、在NIS中，“自我”是指机体的自身组成成份；在IDS中，“自我”是指合法的、可接受的操作模式或网络连接模式。利用免疫原理进行入侵检测研究的一个基础就是自我集的构造，根据negative selection算法的思想，检测器的产生依据就是自我集。在目前的研究中，自我集的构造是静态的，未考虑其动态进化，而且构造方法主要是在假定自我集的构造阶段不存在入侵事件的基础上，通过观察来定义。另外，由于自我集的构造是静态的，导致构造的自我集具有不备性，因此，论文准备对更精确的自我集构造算法和进化算法进行研究，目的是提高IDS的整体性能。 * Main study work 五、在Forrest&Hofmeyr研究的LISYS系统中使用了协同信号，所采用的协同信号是由系统管理员所发送的确认是入侵的信号如电子邮件，其缺点是不能自动进行协同。这之后CDIS系统提供的协同信号是检测器与其它检测器一起交叉检验输入的数据包，直到多个检测器检测到攻击才产生报警，其缺点是如果一个IDS中的检测器群体中的个体相互匹配（相近）的话，仍然不能改进虚警率。因此，论文准备在自然免疫系统原理的基础上研究一种新的协同机制，来克服以上缺点并减少异常检测过程中虚警率。 * 6. Research methodology and thought * Research method and thought （1）构建LAN实验环境。安装Web, Ftp等服务器软件、安装黑客工具如Xscan, Smurf， Fluxay，teardrop, ping of death等。 （2）数据收集。第一种方法是在广播式的LAN中或交换式的网络中（要求交换机有端口镜像功能）收集网络数据包，可以利用Winpcap for Windows或Libpcap for Unix/Linux的抓包库中的函数进行编程，从以太网卡获取原始的数据包。第二种方法是从MIT的Lincoln实验室下载入侵检测数据，包括training data set, test data set, real-time data set。 * Research method and thought （3） 包头解析与特征提取。对于以上收集到的数据，对网络层和传输层数据只对包头进行解析，进行特征的选择和提取（如基本特征、统计特征、连接频率特征等）。对应用层的数据，根据RFC1700对包进行解析，提取连接频率、应用层包头、应用层包的内容等特征。检测特征的确定对后续的检测性能影响非常大，过多的检测特征不仅会占据大量资源，使得实时性难以保障，特征选取不充分，又会增加漏检而且并不一定能得到好的检测效果。而且自身群体和检测器群体中个体的结构是依据提取的特征的。 * Research method and thought （4） 基因库的生成与进化。 （5） 自身群体的生成与进化。 （6） 检测器（抗体）群体的生成、检测、免疫进化。检测器的结构与自身的结构是一样的，都是由若干个基因组成的。首先根据随机基因组合、基因重组成检测器（pre-detectors），然后通过negative selection算法生成成熟的检测器（mature detectors），组成这些成熟检测器的基因又被注册到基因库中。在检测网络流量数据的过程中（实际就是将每个检测器与网络流量数据进行匹配），对于亲和力（适应度）高的个体检测器执行Clonal selection算法和immune evolutionary算法进行增殖和进化，以产生更高亲和力的检测器，并能检测未知的相似的攻击行为。 * Research method and thought （7） 理论上分析检测率（detection rate）、漏检率(false posi