几类高效入侵检测技术研究-通信与信息系统专业论文.docx

西南交通大学博士研究生学位论文 西南交通大学博士研究生学位论文 第1页 摘 要 Internet在给人们带来了巨大方便的同时，也使得网络与信息安全问题变 得越来越突出．入侵检测作为网络安全的重要一环，对网络的安全保障起到了 重要的作用。本文针对不同的需求和应用，提出并研究了几种高效的异常检测 方法和模型。论文首先介绍了信息安全现状和入侵检测研究进展，接着分析了 入侵检测系统的脆弱性，提出了结合隐马尔科夫模型和神经网络的入侵检测模 型、基于序列互相关特性的入侵检测技术、基于二阶随机过程的入侵检测技术 和应用统计检验进行入侵特征选择的算法，最后给出了一个分布式的多级网络 安全防护模型。 在入侵检测的脆弱性分析中，重点对CIDF模型进行了分析。根据CIDF模 型各组成部分的特点，指出了其容易被攻击者利用的弱点。根据攻击的特点， 又把攻击分为主动攻击和逃避攻击，并分别指出主动攻击和逃避攻击可能发生 的各种场合。 在脆弱性分析之后，提出了一个隐马尔科夫模型和神经网络相结合的入侵 检测模型。该模型同单独使用隐马尔科夫模型的入侵检测模型比较，有以下几 个优点：第一，由于不使用轮廓数据库，所以大大的节省了系统的存储空间； 第二，使用神经网络进行结果判决，比通过轮廓数据库来判定是否有入侵行为 要快一些，特别是当轮廓数据库的记录较多的情形；第三，使用这种混合的入 侵检测模型，比单独使用隐马尔科夫模型或者是单独使用神经网络的检测模型 有更好的检测效果。 根据检测数据为系统调用序列这～特性，提出了序列互相关特性在入侵检 测中的应用。由于基于系统调用的入侵检测系统的数据源是系统调用序列，所 以应用序列的一些特性来分析这些看似无规律的数据有重要意义。论文应用序 列的互相关特性直接进行入侵检测，取得了很好的效果，应用序列的互相关特 性进行训练数据的选择，也对系统的性能有较大的提高。 接着，根据随机过程的特性和入侵过程的特点，提出了二阶随机过程进行 入侵检测。马尔可夫模型(即一阶随机过程)在入侵检测中表现出较好的性能。 但是从理论上来说，高阶随机过程可以更好地描述系统调用过程，因为一个入 侵者进行入侵的过程并不是对系统进行独立的几个系统调用就能够完成的。对 于一阶随机过程，当前状态同仅仅前面一个状态有关系，同其它的状态没有关 联。这在一定程度上就丢失了前面的一些重要状态信息，导致它的检测性能要 第Ⅱ页 第Ⅱ页 西南交通大学博士研究生学位论文 差一些。二阶随机过程的当前状态由前面的两个状态决定，这在一定程度上获 得了系统调用序列的更多重要信息，因而其性能要好于一阶随机过程。 针对网络数据流量大，流量数据特征多的问题，论文提出使用T检验方法， 剔除一部分对入侵检测没有帮助的特征项目，从而提高入侵检测的速度，甚至 提高检测率。在本文中比较了使用41个特征和30特征的检测结果，表明使用 30个特征的检测效果要好于使用41个特征。 最后，针对网络安全问题提出一个以两层入侵检测系统为核心的分布式多 级网络安全模型。该模型从安全子网、域和全局网的角度来设置不同的安全措 施，同时协调不同安全手段之间的互相交换信息，可最大限度保证网络的安全。 关键词：入侵检测；隐马尔科夫模型；系统调用；互相关特性；随机过程；统 计检验 西南交通大学博士研究生学位论文 西南交通大学博士研究生学位论文 第1II页 Abstract When enjoying the convenience from the Internet，the issue of network and information security is becoming more urgent．Intrusion detection is an important security measure and can greatly enhance the network security．In this thesis，several efficient intrusion detection methods and models are proposed and investigated based on different requirements and applications．First，the background of the information security and intrusion detection is introduced．Second，the weakness of the intrusion detection is analysed．Third．the detection model combined with m似and ANN．intrusion detection ba