论文部分内容阅读
随着Internet网络应用普及与深入,网络安全越来越受到关注。如何解决日益频繁的网络入侵问题,防范不断发展的网络攻击是网络防御技术面临的新挑战。人们认识到只有综合各种技术,才可能建立全面有效的防御体系。网络集成防御正是解决这一问题的技术。同时,入侵检测作为新兴防御技术的代表弥补了传统防御技术的缺陷,更是建立网络集成防御的重要支撑技术。因此,研究网络集成防御和入侵检测技术对网络防御技术有着重要意义。 本文研究的两个领域存在如下研究方向:其中网络集成防御技术领域主要集中于体系结构和子系统集成;而入侵检测领域则涵盖了从框架、抗攻击、高速网络检测到智能化检测等各个方面。本文在系统、全面地学习和总结相关领域最新研究成果的基础上,就若干重要问题进行了深入细致的研究,取得了若干创新成果。 本文的主要创新点包括: (1)提出了一种支持运行时演化的网络集成防御框架和V2C构架 集成防御框架在支持自治代理的分布式构架下,提供了异构系统的集成协同平台。解决了紧耦合系统中表示、存储、控制和通讯的可插入性。该框架支持运行时演化。 本文提出了针对持续演化系统的V2C构架和基于消息的系统演化方式,该构架以本文提出的VIM设计模式为核心,以消息通知机制为基础,解决了基于应用领域的框架在系统演化中的局限性。V2C成功地运用于网络集成防御框架。 (2)提出了入侵检测知识自优化框架和抗毁框架 入侵检测知识的自动更新、交换、共享和传播对系统的检测能力至关重要。知识自优化框架为不同类型的检测系统提供了检测知识的自动分类、更新和传播的能力。抗毁框架针对意外或攻击导致的系统节点失效,给出了一个及时有效恢复系统整体检测能力的方案。实验证明具有良好的效果。 (3)提出了基于元语的防火墙集成管理模型 基于元语的防火墙集成管理模型解决了传统边界防火墙相关安全问题,同时摘要弥补了防火墙田与分布式防火墙的缺陷。其中基于元语的防火墙配置技术提供了跨防火墙类型的统一配置能力,支持系统良好的扩展性。 (4)提出了基于数据挖掘的网络入侵检测规则特征值自动发现算法和规则自动生成算法。 本文提出的Signature APriori算法(简称SA)从攻击通讯数据集合中生成攻击特征值集合。并运用关联规则算法结合SA算法生成检测规则。SA的关键是针对通讯协议报文负荷段进行挖掘,关于通讯协议报文负荷段的挖掘研究目前尚未见报道。 (5)提出了复杂特征值规则生成及检测算法,以及应用于高速网络下的分段合作式检测模型。 本文提出的复杂特征值检测算法降低了单一特征值检测的误报率。同时本文给出了基于数据挖掘的复杂特征值规则自动生成算法。分段合作式检测模型在网络高流量情况下,对报文漏检率指标有明显改善。