论文部分内容阅读
目前的入侵检测系统还远远不够完美,存在的主要问题是无意义报警过多、误报过高、对入侵事件的理解困难等.针对这些问题,该文在总结前人工作的基础上,提出一个多层次的入侵事件检测和关联模型.该模型自底向上分成三个层次,自成一个体系.最底层是智能检测层,用当今机器学习理论中最活跃的支持向量机和核方法来增强对入侵事件的检测能力;中间层是入侵事件关联与预处理层,通过对多个检测器产生的入侵报警进行后期关联与预处理,剔除无关事件,精简入侵报警;最高层是入侵场景重建层,在经过前两层处理过的入侵事件集上,用基于多假设跟踪的入侵场景重建方法构建黑客的攻击场景,方便用户对入侵事件和黑客攻击的理解.该文的主体内容围绕这个模型展开,分别阐述了作者在这三个层次的具体工作.在智能检测层,作者研究了入侵检测与机器学习的关系,将统计学习理论引入入侵检测,对支持向量机和核方法在异构数据集上进行推广,提出一种基于支持向量机的智能检测方HVDM-SVMID方法,并将这种方法应用于网络连接信息的分类,最终在DARPA98数据集上应用了该方法,与前人方法的对比表明,该方法极大的提高了检测精度,降低了误报率.在入侵事件关联预处理层,就入侵事件关联的三个关键问题:关联知识获取、异构检测器支持、高效关联引擎作了研究与分析,提出"离线知识获取、在线事件关联"的思想,设计了一个基于交互式知识发现的入侵事件关联预处理系统(iKDD-ECS).在入侵场景重建层,作者分析了机动目标跟踪和多入侵检测器环境下的入侵场景重建的类似性,借鉴机动目标多假设跟踪的思想,设计了一种模糊化的多假设入侵场景重建方法.建立了黑客的攻击片段模型和入侵检测器的近似模型,设计了一种模糊化的假设评价体系,仿照多假设跟踪算法的流程,按照假设形成、模糊假设评价、假设管理的步骤对多个入侵检测器上报的入侵事件进行再组织利再分析,最终通过可信假设片段的前因后果关联重构黑客的攻击流程.纵观全文,该文提出并实现了一个多层次的入侵事件检测与关联原型系统,分别在三个层次对入侵检测的相关问题做了深入探讨,提出了一系列可行的入侵事件检测和厉期处理方法,极大的提高了入侵事件关联处理的效率,为入侵事件的准确检测、高效关联和融合提供了一个可操作的模型和方法.