基于IDS报警信息源的入侵检测（历史学毕业论文）.docVIP

基于IDS报警信息源的入侵检测（历史学毕业论文） 文档信息 属性： F-016RG6，doc格式，正文6007字。质优实惠，欢迎下载！ 适用： 作为文章写作的参考文献，解决如何写好实用应用文、正确编写文案格式、内容摘取等相关工作。 目录 TOC \o 1-9 \h \z \u 目录 1 正文 1 搞要 2 关键字：入侵检测； 检测率； 根源分析； 关联分析 2 1IDS报警信息入侵检测的原理性探索? 3 1．1IDS报警信息分析? 3 1．2IDS报警信息入侵检测方法探索? 4 2IDS报警信息入侵检测研究框架? 5 3具体实现? 5 3．1根源分析实现? 5 3．2因果关联分析实现? 8 3．3实验结果? 10 4结束语? 10 参考文献： 10 论文原创声明（模板） 11 论文致谢（模板） 12 正文 基于IDS报警信息源的入侵检测（历史学毕业论文） 搞要 摘要：对入侵检测系统产生的报警信息进行二次分析已经成为改善入侵检测系统检测性能的一个重要的、实际可行的手段。在对入侵检测系统报警信息进行分析的基础上，提出了全面对报警信息进行根源分析和关联分析的框架，并给出了具体实现方法。实验结果证实了该方法的有效性 关键字：入侵检测； 检测率； 根源分析； 关联分析 中图法分类号：TP393．08文献标识码：A 文章编号：1001－3695(2007)01-0161－03 入侵检测[1,2]是当前网络安全研究的一个热点和难点问题，提高入侵检测的检测率是众多研究者共同追求的目标。目前的入侵检测系统（Intrusion Detection System, IDS）一般采用误用检测方法和异常检测方法[1,2]，但这两种方法均具有不可克服的缺点：误用检测方法误报警多，异常检测方法漏报警多。在实际中，这两种方法互为补充。随着网络安全问题的日益严峻，大量的研究工作者投入到了入侵检测的研究工作中，但由于入侵行为的不可判定性，目前还没有一种实用、有效的方法能完全解决入侵检测误报警和漏报警问题。 针对主机数据源和网络数据源的误用检测方法和异常检测方法均具有一定的局限性，许多研究者[3]转而对IDS产生的报警信息进行分析，试图解决IDS的误报警和漏报警问题，以提高报警信息的理解力。但是，这些方法仍然具有一定的局限性，如分析深度不够、分析不够全面和系统难以配置等。 本文提出一种根据IDS报警信息特征进行全面分析的方法：对系统原因产生的报警信息进行根源分析，对入侵行为产生的报警信息进行关联分析，该方法克服了以上方法的不足。 1IDS报警信息入侵检测的原理性探索? 1．1IDS报警信息分析? 由于当前IDS系统的缺陷，导致实际网络中配置的IDS每天产生的报警信息成千上万，人力根本无法处理。我们通过对大量IDS报警信息进行分析，认为IDS报警信息的产生来自两个方面：①由于系统状态与报警规则匹配，尽管该状态是系统正常状态；②IDS发现了入侵者的入侵行为。针对这些报警信息，我们总结了如下六个特征： ①大量的报警信息为误报警信息。据统计，其中大约有99%的误报警信息。 ②大量的报警信息由少数几个报警根源产生。也就是说，大量的报警信息为重复报警信息，由同一个系统根源产生。 ③属于同一个报警根源产生的报警信息有一定的报警模式。也就是说，这些报警信息经过处理，可用一个模式表达。 ④报警信息根源暴露在大报警组中，泛化的报警可模型化报警组。也就是说，从大量的报警信息可分析产生报警信息的根源，同时可以采用泛化的报警信息表示这些大量的报警信息，但不影响对报警信息的理解。 ⑤消除报警根源或过滤报警信息可大大减少报警信息量。 ⑥属于一次完整攻击所产生的报警信息之间具有一定的因果关系。这是由于攻击一般是一次有计划的活动，该活动具有一定的目的性，所采取的行动一般经历踩点、扫描、查点、渗透、提升权限、偷窃、消除痕迹和安装后门八大步骤，这些步骤之间是串联关系，即入侵是否可行是有一定前提的，只有前提满足，入侵行为才可能发生。 1．2IDS报警信息入侵检测方法探索? IDS报警信息中，大量的报警信息仅由少数几个报警根源产生，这些报警根源可识别和消除；由入侵过程产生的报警信息可因果关联。因此，对报警信息我们可以采取如下两个步骤： ①对报警信息进行根源分析，去掉大部分误报警、重复报警信息，减少报警信息量； ②对报警信息进行因果关联分析，识别入侵场景，增强对报警信息的理解。 其中步骤②进行因果关联分析简单，只需要掌握入侵的前提和结果，方法的关键是识别报警信息的根源。 我们知道，数据挖掘(Data Mining)[4]是从大量不完全、有噪声、模糊、随机的数据中，提取隐含在其中、人们事先不知道、但又是潜在有用的信息