论文部分内容阅读
随着计算机技术与网络数据通信技术的快速发展,特别是Internet技术的日益广泛深入的应用,网络信息系统的安全性问题日益凸现。为了保证连网计算机系统及其相互之间数据通信的安全,并对网络入侵进行防范,研究者们设计并实现了多种类型的安全保障措施,其中最典型的是网络防火墙系统与入侵检测系统。然而,在从一定程度上减轻网络入侵危害的同时,这些系统也都面临着一些难题。基于误用检测模型的入侵检测系统可以很好地检测出已知种类的攻击,但对新形式的入侵却无能为力;而基于异常检测模型的入侵检测系统,虽然理论上可以检测出已知与未知的系统入侵,但其所依赖的对系统正常行为进行建模的过程却比较困难。同时,由于当前网络数据流量的迅速增加,基于数据包过滤技术的网络防火墙系统与众多的误用入侵检测系统的实时性能也受到了挑战。 本文从不同层次、多个角度针对如何提高入侵检测系统的性能进行了深入研究,主要的创新性工作如下: (1) 提出了一种用于信息过滤的并行字符串搜索算法PBM。通过将字符串搜索任务并行化,有效地提高了数据处理的总体吞吐率,从而直接地提高了基于字符串搜索技术的误用入侵检测系统及网络防火墙系统的性能。 (2) 提出了一种分布式入侵检测系统模型PeerIDS。通过将对等网络模型引入入侵检测领域,入侵检测工作可以通过对等实体间的交互在LAN中实现自动分布,整个系统因而具有较高的自主性并避免了单点失效问题的发生;同时,系统还具有很好的可扩展性和可伸缩性,简单地在网络中增加PeerIDS实例就可以有效地提高整个分布式入侵检测系统的性能。 (3) 提出了一种新型异常检测模型。该模型结合了模糊概率赋值与贝叶斯置信网络推理方法,通过将系统中与安全相关的特征属性进行分类,并以模糊隶属度函数的形式给出其取特定值时系统行为异常与否的置信度;贝叶斯置信网络在综合这些实时模糊概率值的基础上,对系统是否正遭受入侵做出决策。较之传统的阈值模型,该模型可以对较复杂的系统行为进行更精确的建模。 (4) 设计并实现了动态防火墙系统SecuRouter。SecuRouter可以依据与局域网内各入侵检测系统间的交互,动态地更新其过滤规则集,以适应多变的网络安全形势;同时,通过从前端阻断攻击数据流,可以有效地缓解后台入侵检测系统的压力,从而从另一个角度提高了入侵检测的性能。SecuRouter基于一台连接Internet与内部局域网的双穴主机实现,并为入侵检测系统提供了相应的通讯接口,其可以通过从该接口接收到的与新检测出的入侵相关信息来动态地增加过滤规则。