互联网的开放性为信息共享和交互提供了极大的便利,但随之而来的网络安全问题也日益明显。入侵检测是用于检测任何损害或企图损害系统的保密性、完整性或可用性行为的一种网络安全技术。入侵检测作为一种主动的信息安全保障措施,它有效的弥补了传统安全防护技术的缺陷。 事实上,大量的网络攻击都是对不同的网络协议进行滥用,很多新型的攻击方法都违背了协议标准。协议异常检测是入侵检测的一个新技术,该技术是对协议的正确使用行为建立模型,任何偏离此模型的行为都被认为是入侵行为或可疑的行为。 首先,本文通过马尔可夫链的方法对TCP/IP网络中的应用层协议(主要是FTP协议和SSH协议)建立模型,实验数据来自美国麻省理工学院的林肯实验室公开发布的1999年入侵检测评估数据,该数据具有较大的权威性。本文根据该数据中不含有攻击的流量(第一周和第三周,共10天)进行分析,以得到正常情况下基于马尔可夫链的应用层协议模型。 其次,本文利用上述所建立的应用层协议模型在应用层进行协议异常检测评估,评估数据集来自林肯实验室提供的含有攻击的(第二周)数据,任何偏离正常情况下协议模型的行为就被认为是入侵,并通过ROC曲线和D1(t)曲线进行分析。 在传输层,本文首先通过马尔可夫链的方法对TCP协议建立模型,并对其进行协议异常检测评估,在评估过程中,发现了原有评估方法存在的问题,进而提出了一种新的基于Chi-square Distance的传输层协议异常检测评估方法,并通过检测SYN Flooding攻击进一步验证了新方法的有效性。 最后,本文根据TCP/IP协议的分层特性,提出了一种基于统计分析方法的协议异常检测器原型系统的设计方案,该协议异常检测器通过统计分析的方法分别对Internet层的IP协议、传输层的TCP协议和应用层的协议异常进行检测。