入侵检测系统(IDS)的主要任务是依照一定的策略,对网络的运行状况进行监视,尽可能发现各种攻击行为,以保证网络系统资源的机密性、完整性和可用性。 从响应机制划分,入侵检测可以分为异常检测模型和误用检测模型。前者通过检查当前行为与已经建立的正常模式之间的偏差来检测入侵,后者则是基于当前网络活动与已知异常模式的匹配程度来识别入侵。对于异常检测,其主要缺点是误报率较高;对于误用检测,不足之处在于它无法识别未知的攻击类型。 入侵检测系统(IDS)在运行过程中会产生大量的报警信息(alert),其中有很大一部分是误报,这不仅加重了报警分析和决策制定过程的工作量,也使得对入侵的识别变得更加困难。对于多阶段分布式网络攻击(如DDoS),情况尤为严重,真正的入侵将会被大量的报警信息淹没。 为了解决上述问题,本文首先提出了一个基于最大熵模型(Maximum Entropy Model)的入侵检测方法。最大熵模型是一种灵活的概率估计方法,它提供了一个简洁、可适应的框架来包含丰富的背景信息。其特点还包括:建立一个尽可能符合已知数据的模型,对未知数据做最少的假设。在UCI KDD标准数据集上所做的大量实验显示,我们的入侵检测方法的检测能力与SVM相近,优于C4.5和简单贝叶斯分类算法(naive Bayes classifier)。此外,我们的入侵检测方法在各种数据集上均取得了较好的检测结果,显示出其在入侵检测领域内的诱人前景。 此外,本文还针对分布式拒绝服务攻击(DDoS)提出了一个基于序列模式挖掘(sequential pattern mining)方法的报警关联模型。通过挖掘报警序列并且对得到的序列报警模式根据其相似性进行关联,我们的报警关联系统极大的减少了报警的数量,并且能够识别DDoS入侵。实验表明,对于DDoS报警序列识别而言,我们的方法略优于传统的隐马尔科夫模型(Hidden Markov Model)。