论文部分内容阅读
随着Internet的飞速发展,网上应用的种类和重要性日益增加,计算机系统的安全变得越来越重要,也越来越具有挑战性。现在的各种静态安全技术,如防火墙、数据加密等都比较成熟了,但是这些技术不能适应主动发现入侵,防止黑客攻击的需要。入侵检测技术能够对计算机网络资源上的恶意使用行为进行识别和响应,它不仅能检测来自外部的入侵行为,同时也能监督内部用户的未授权活动,因此成为了整个网络安全领域的热点之一。 本文在分析网络中入侵机制的基础上,引用日本研究人员提出的MLSI概念,设计并建立了一个基于MLSI的多主机入侵检测系统模型。该系统在进行入侵检测时,只需查找少数的MLSI,而不必像其它入侵检测系统那样需要获取大量的攻击特征,因此能够在一定程度上解决现有入侵检测系统和入侵检测技术存在的问题。 在系统的实现过程中,本文在深入分析Forrest等人提出的基于系统调用序列分析的入侵检测方法的基础上,提出了一种改进的异常检测方法。该方法首先通过查找MLSI对审计数据进行预处理,再采用事件计数器的方法来进行异常检测,在这些行为发生时再与正常库进行比较,检测出入侵行为,从而降低系统开销,提高检测效率。 最后,本文开发了一个简化的原型系统,对所提出的异常检测方法进行了实验分析。理论分析和实验表明,MLSI能够有效地标识入侵,通过查找MLSI,再进行异常检测的方法可以大大地降低系统的开销。这些都说明本文设计的基于MLSI的多主机入侵检测系统和改进的异常检测方法是有效、可行的。