论文部分内容阅读
伴随网络技术的普及和发展,网络安全问题日益严重。网络攻击事件频频发生,不仅造成巨大的经济损失,并且严重阻碍了网络技术的应用和发展,亟需建立有效的安全防护措施。
为了保障信息安全,人们研究并提出了一系列安全技术,常见的有反病毒、防火墙、入侵检测等,它们从不同方面起到保护信息安全的作用。传统的反病毒、防火墙属于静态安全防护技术,现代网络的规模日益庞大、结构高度复杂且动态变化,各种网络应用和服务也层出不穷,仅凭静态防护技术难以有效保护网络的安全,入侵检测被认为是继防火墙之后的第二道安全防护系统,在保障信息安全中担负起重要的角色。入侵检测侧重于对信息系统的动态检测和防护,它有力地弥补了传统的静态安全防护技术的不足。
本文研究了现有的入侵检测技术,重点从两个层面对入侵检测系统加以改进和扩充。在底层检测层面上,现有的入侵检测系统一直为漏报和误报所困扰,通常的系统采用单一的检测模式:异常检测模式或误用检测模式,两种的检测模式各有其不足之处,难以有效地处理漏报和误报。文中对两种入侵检测模式进行了深入的分析,提出一种将异常检测模式和误用检测模式结合起来的混成式网络入侵检测系统,系统从总体上克服了单一检测模式的不足,降低了入侵检测的漏报和误报。在上层分析层面上,入侵检测系统运行时会产生大量的报警,其中相当数量的报警是无关报警,巨大的报警数量使分析工作变得既困难,也容易出错。因此对报警信息进行进一步处理,将大量零散的报警转换成简洁、高效的宏观层面信息,成为目前入侵检测的一个热点研究方向。文中讨论了报警威胁评估系统,并从攻击和防御两个角度对威胁进行评估,从攻击的角度而言,就是寻找威胁较大的攻击源,进而采取一定的措施遏制攻击;从防御的角度来说,就是寻找风险较大的主机和服务,并采取相应措施加固系统。对报警威胁进行评估时,考虑了系统的安全策略、运行环境等多种安全相关要素,并将威胁值细化成可用性、机密性,完整性三个方面,从而比较全面、准确地评估攻击威胁。
本文的主要工作如下:
1)在分析了误用检测模式和异常检测模式的基础上,提出一种将两种检测模式结合起来的混成式网络入侵检测系统,系统从总体上克服了单一检测模式的不足,提高了检测率和正确率。
2)在对网络攻击模型进行分析的基础上,对入侵检测报警进行威胁评估,将报警与系统安全策略、运行环境等要素结合起来,从可用性、机密性,完整性三个方面对威胁值进行量化评估,并从攻击和防御的角度分别展开评估。