基于snort的混合式入侵检测系统的研究与实现-计算机科学与技术专业论文.docxVIP

Classified Index： TP393.08 U.D.C： 621.38 Dissertation for the Master Degree of Engineering RESEARCH AND IMPLEMENTATION ON SNORT-BASED HYBRID INTRUSION DETECTION SYSTEM Candidate： Aiwu Liu Supervisor： Associate Prof. Yuxin Ding Academic Degree Applied for： Master of Engineering Specialty： Computer Science and Technology Affiliation： Shenzhen Graduate School Date of Defence： December, 2008 Degree-Conferring-Institution： Harbin Institute of Technology 摘 要 针对当前主要入侵检测系统(IDS)因检测模式单一所带来的不足，本文 结合误用检测和异常检测两种检测模式建立混合式入侵检测系统，以其综合 利用这两种检测方法的优点。 本文构建的混合式入侵检测系统包含三个子模块：误用检测模块、异常 检测模块(ADS)和特征产生模块。误用检测模块的实现基于开源的入侵检测 系统 snort，异常检测模块和特征产生模块则分别使用频繁情景规则(FER) 挖掘算法和 Apriori 的变形算法构建。 ADS 模块的构建分为训练和检测两个阶段。在 ADS 训练阶段，先使用 频繁情景挖掘算法从正常训练数据集中挖掘出描述正常连接的频繁情景。再 从频繁情景中产生频繁情景规则 FER，来刻画正常连接的特征，获得初步 的频繁情景规则集。最后从这个频繁情景规则集中筛选出高效的 FER 规 则，形成正常的频繁情景规则集。 在 ADS 检测阶段，先从测试数据中产生 FER，产生 FER 的具体步骤和 ADS 训练阶段相同。为了对新产生的 FER 赋异常值，把这个新产生的 FER 和正常 FER 规则库中的 FER 比较。利用新 FER 规则的异常值，对测试数据 集里的连接事件赋异常值。根据事件异常值的大小，检测出异常攻击事件。 在 ADS 模块对测试数据集每一个连接都赋有异常值的基础上，特征产 生模块采用 Apriori 变形算法，对已赋值的测试数据集进行挖掘。一个连接 的各属性及属性对应的值构成项集。根据所有连接的异常值，可以获得某一 个项集在测试数据集中的权值：等于拥有相同属性值的所有连接的异常值之 和。设定项集的阈值，即可获得频繁项集。并且考察的连接属性不同，获得 的频繁项集也不同。不断变换待考察的属性集，可以获得频繁项集的集合。 在此基础上，把那些具有较高异常值的频繁项集确定为特征，形成特征集 合。再根据这些特征的属性和 snort 规则关键字之间的对应关系，把特征集 合映射为 snort 规则，加入到 snort 的特征规则库中。 最后在上述思想基础上，在 Debian GNU/Linux 操作系统上实现了混合 式入侵检测系统。使用 MySQL 存储事件，KDD99 IDS 数据集作为实验数 据集。 关键词 IDS；混合入侵检测；频繁情景规则；snort I Abstract Since most of current intrusion detection systems (IDS) use one of the two detection methods, misused detection and anomaly detection. It takes some disadvantages. In this paper, the technique that combines misuse detection system with anomaly detection system (ADS) is used. The hybrid intrusion detection system (HIDS) in this paper consists of three sub-modules: misused detection module, anomaly detection module and signature generation module (SiGM). The SiGM bridges the two detection subsystems together. The basis of misused detection module is snort—an open sourc