论文部分内容阅读
随着计算机网络结构的日益复杂,以及大规模、分布式高速网络的大量应用,整个网络所面临的安全威胁日益严重。入侵检测系统已成为网络安全的重要组成部分。许多网络中布置了大量的入侵检测系统,是对入侵进行预防、检测和响应的基础。但入侵检测系统目前存在的一些不足,如单一的数据来源,大量的漏报和误报,使检测结果的准确性不高;同时,大量的来不及处理的报警信息,也让安全系统和管理人员无法及时、准确的处理报警信息。结合对入侵的检测、评价和响应机制的入侵防护系统已成为业界研究的热点。
本文提出一个基于入侵可信度的入侵防护系统,分别从提高入侵检测能力;降低误报,提高入侵报警信息的可信性;构造攻击场景,获得攻击者的攻击意图等几个方面进行研究,以提高入侵检测结果的可信度;并在此基础上,针对入侵信息的不同可信度,采取对应的响应措施。该系统能有效防范入侵行为。本文主要研究内容有以下几点:
1)提出了基于数据挖掘的异常入侵检测技术。该技术不但采用了基于强规则的检测方法,还提出了基于弱规则的检测方法来检测那些异常操作少,分布时间长的网络攻击;并且同时检测数据包特征和应用层数据,提高了系统的检测率。另外,针对数据挖掘检测方法的误报率高的问题,建立以网络连接各属性为节点的贝叶斯网络作为异常判别器,进一步判别网络攻击的真实性,降低了误报率。
2)提出了判断入侵可信度的模糊综合评判方法。攻击的可信性不仅在于攻击中所实施的行为特征,还要根据整个系统的安全状况,所受的历史攻击情况,攻击目标和攻击实施者的信息,该攻击是否存在攻击欺骗,能否被验证等因素综合判断。本文提出在提高单个检测系统检测能力的基础上,利用多个检测系统和网络管理系统之间的协作信息,综合考虑该攻击的相关信息,用模糊综合评判方法来判断攻击检测结果的可信度。
3)提出一种利用有色Petri网理论实时、动态构造攻击场景的方法。入侵者在进行一次成功的入侵时,前一个攻击步骤通常是为后一个攻击步骤做准备。针对攻击行为和攻击场景的研究,有助于对攻击意图进行预测。本文首先用有色Petri网描述攻击场景,然后用扩展关联矩阵的比值快速匹配、构造攻击对应的攻击场景;并根据已构造的子攻击场景网,验证和检查漏报的攻击,预测下一步可能的攻击:同时利用子攻击场景合并方法,构造新的攻击场景模式。
4)提出一个利用攻击信息综合分析、攻击源追踪和主动响应技术,可管理多安全域的分层分布式可信入侵防护系统。该系统的综合分析部分采用了入侵可信度模糊综合评判、攻击场景分析技术,并结合攻击源追踪技术,为进行准确的主动响应提供了基础。
文章最后对本文工作进行了总结,并探讨了入侵防护技术研究的进一步工作。