基于自组织特征映射的实时入侵检测系统-计算机应用技术专业论文.docxVIP

山东大学硕士学位论文摘 山东大学硕士学位论文 摘 要 入侵检测技术是一种主动保护网络资源免受黑客攻击的安全技术。本文首 先讲述了入侵检测技术的发展状况和关键技术，对现有系统进行了分类，并晚 明了现有IDS的不足以及今后ID技术的发展趋势。 网络的攻防离不丌对网络底层通讯的直接操作。TCP／IP忉-议作为Internet 的基础协议和核心，是网络入侵检测系统研究的对象。本文对TCP／IP协议进 行了概述，着重探讨了TCP／IP协议的安全性能，并概览了当前主要的网络攻 击。 在此基础上，针对当前入侵检测技术的不足，提出了一个基于自组织特征 映射神经网络SOM的层次化分析模型，并以此模型为基础构建了一个基于网 络的实时入侵检测系统。在线检测时数据采集采用支持Win32平台的网络数据 包截取驱动软件WinpCap。 本系统由于采用了神经网络技术，具有较高的检测率和实时性，克服了传 统的入侵检测系统在入侵检测的效率和实时性要求两者之间难以权衡的弱点： 神经网络模块采用层次化结构，检测粒度小．与传统的基于神经网络的分析技 术相比，更易于扩展。另外，本系统采用异常检测技术，能发现己知和未知的攻 击，改进了基于误用检测技术的IDS只能发现已知攻击的缺陷。 V √ ．／ 。? 关键词 入侵检测TCP／IP人l：fI诱网络 亡j缃织特自f颀q十 层玖化 赛时 y y 筑l蚰 山东大学硕士学位论文ABSTRACT 山东大学硕士学位论文 ABSTRACT Intrusion detection techonology is all active secufity techonology which can prevent the network components fiom being attacked by hackers．In the first part of this paper,the development and key techonologies of IDS ale introduced，a taxonomy of presents systems is gived．the shortcomings of the present DS are pointed out．and the future trends in the development of IDS’s techonolies are discussed． The direct operation on the bottom communication of the network iS indispensable of the attack and prevention of the network．TCP／IP iS the base and nucleus of Interact，and it is the object worked over by the NIDS．In the second part of this paper，the TCP衄is summarized，its security performance is discussed in particular，and the most ofthe present attacks ale simply dispicted． In the rest part of the paper，a hierarchical based—Kohonen It)analyzing model is put foml and a real-time IDS using the model is constructed．During the process of the on·lined detection，WinpCap，a driving SOlare for intercepting network packets is used to collect data． The application of the A卜N in the SOM—based DS makes it more effective and makes jt have a good real—time performance，which make up for the corresponding shortcomings of the traditional IDS．ne ANN-based analyzing model of the system is comprised of two layers of SOM，which gives the system a more particular granularity than t