论文部分内容阅读
`随着时代发展,网络遍及各个角落,网络为人类提供了很大的便利和快捷,但是网络安全问题也日益严峻,尽管各种各样的病毒软件,防火墙和入侵检测系统越来越多,依然阻止不了网络犯罪的出现。网络安全技术不断发展,入侵检测是这一领域的主要研究对象,入侵检测技术成为网络安全体系中不可或缺的一部分。入侵检测系统主要包括基于主机的IDS和基于网络的IDS。基于主机的IDS能够在操作系统、应用程序或内核层次上对攻击进行监控。基于网络的入侵检测技术通过监测网络基础设施中的关键区域的主机流量,从而对整个网络进行入侵检测。 目前已有一些基于主机或者基于网络的入侵检测技术,并通过仿真实验及在实际应用中证实了其有效性。但是大多数检测技术是针对单一数据源的,无法全面获取监测对象的信息,从而导致入侵检测的漏报率和误报率较高。本文针对此问题提出了一种将基于主机的检测技术和基于网络的检测技术相结合的检测方法,克服了单一数据源固有的缺陷,一定程度上提高了检测率,降低了漏报率。 本文将基于网络的入侵检测和基于主机的入侵检测结合起来,在网络中关键网段安装多个NIDS,以便于监测整个网络的运行情况及其周围情况,并且在网络中的关键主机上(如各种类型服务器等)安装HIDS,从而加强对关键主机的监控。最后融合NIDS和HIDS的检测结果,进行报警、切断连接或采取其他必要的措施。其中每一个NIDS和HIDS都采用支持向量机的检测方法。利用支持向量机对基于关键主机的审计数据进行监测,采集系统日志数据,利用基于主机的训练模型检测是否存在入侵行为,并把检测结果提交给系统分析服务器;对基于整个网络的流量数据进行监测,捕获流量数据包,利用基于网络的训练模型预测目前是否发生攻击,提交检测结果。最后,系统分析服务器通过分析两种检测结果,使用证据理论融合策略对两种监测结果实现决策层的融合,提高了入侵检测的性能,提高了检测率,降低了漏报率和误报率,更好的维护了整个网络的安全。