基于启发式规则的入侵检测技术研究论学士学位论文

摘要摘要北京朱文杰代写论文不付款，特此公告之计算机和网络技术的普及，在给人们的生活带来极大便利的同时，也将安全隐患传播到整个网络。正是由于网络的普及率越来越高，一旦发生有目的、大规模的网络入侵行为，其造成的影响就越恶劣。做为保护网络安全手段之一的入侵检测技术，一直被广大国内外学者所关注。由于网络规模的不断扩大，网络流量的不断增长和黑客技术的不断发展，对入侵检测的性能提出了更高的要求。本文以提高入侵检测技术的检测正确率，降低误警率和漏警率以及提高检测效率为技术目标，在检测技术、告警融合和分布式入侵检测系统的体系结构等方面进行了深入系统的研究，取得了一些创新性的研究成果，主要内容包括：入侵检测技术分为异常检测和误用检测两大类。本文分别针对异常检测和误用检测技术中存在的问题，研究了其改进方法，并提出一种基于启发式规则的混合入侵检测模型。论文首先介绍了入侵检测技术的研究现状和发展趋势，对目前常用的入侵检测技术和方法进行了归类和分析，同时比较了各种入侵检测方法的优势和不足，指出了入侵检测技术存在的问题。其次，论文讨论了误用入侵检测中模式识别算法，针对模式匹配方法存在的匹配速度慢、误报率较高、模型库动态更新难等问题，论文提出了一种改进的AC-BM算法，进一步提高了算法的匹配速度，设计的MRRT规约树能支持多线程归约和在线动态调整，特别适用于大规模多模式匹配。再次，论文针对异常检测技术存在计算量大、训练时间长、在小样本情况下分类精度低的问题，论文研究了特征选择和SVM分类器，通过SVM在训练过程中主动挑选学习样本，从而有效地减少训练样本数量，缩短训练时间。该检测方法解决了异常检测中大量训练样本集获取困难的问题。最后，论文提出了一种基于启发式规则的混合入侵检测模型，系统通过各对连接上下行数据分别采用误用检测方法和异常检测方法，并对检测到得结果进行拟合，通过分析向用户发布告警入侵行为。该模型具有数据处理效率高，误报率低，协作性好，自学习能力强，安全性高等特点。论文最后对所作的研究工作进行了总结，并指出了今后的研究方向。关键词：入侵检测，模式识别，启发式，特征选择，支持向量机AbstractABSTRACTIntrusionDetectionhasshowngreatpotentialinnetworksecurityresearch.Mostexistingintrusiondetectionmethodstreatalldatainthenetworkasawhole.However,inreality,datainthenetworkcouldbedividedintotwocategories:uploaddataanddownloaddata.Whenintrusiontakesplace,thesetwotypesofdataflowmayhavedifferentcharacters.Basedonthisdiscovery,weproposedanovelintrusiondetec¬tionmethod(U-Dmethod)takingbothuploadanddownloaddataintoconsideration.Withtheenhancedseparatelyanalysismethod,wecouldfigureouttheintrusioncluesmoreeffectivelyandefficiently.Wewondertherelationshipsbetweenthesedatamightcontainsomeinstinctcluefordiscoveringimportantintrusions.Experimentresultsdemonstratetheeffectivenessofourapproach.KeyWords:Intrusiondetection,SVM,UpwardIPData,Down-wardIPData目录目录第一章绪论 第七章总结与展望第七章总结与展望7.1本论文对相关项目的贡献本论文的研究成果与实践紧密结合，在以下项目中得到实际应用：1)改进的AC-BM多模式匹配算法在“STS-077一体化联合侦控系统”规则子系统中得到应用。2)基于启发式规则的混合入侵检测模型已被用于“长城网网络穿透监测与管控系统”。7.2本论文的总结网络入侵检测技术能够检测网络入侵行为，对于维护网络系统的安全起着重要的作用。本文主要在网络攻击建模方法、入侵检测中的模式匹配算法、基于SVM的入侵检测技术及IDS体系结构四个方面展开研究，所作工作如下：1)对AC-BM模式匹配算法作了分析，针对其在实际应用中存在的对短模式处理性能差、不支持多用户等问题，给出了改进的方法：采用长短模式分开并行处理，避免了短模式对长模式的影响，提高了对短模式的处理性能；采用MRRT规约树支持多用户。实验证明改进的AC-BM算法在性能上要好于AC-BM算法。2)提出了一种变量相似性特征选择算法。由于ReliefF算法无法去除特征之间的冗余性。作者选用数学中常用的最大信息压缩准则作为变量相似性准则。与相关系数准则相比，最大信息压缩准则具有一些优良的特性，很适合用于去除特征之间的冗余。提出的变量相似性特征选择算法先使用ReliefF算法去除无关特征，然后使用最大信息压缩准则进一步去除剩下特征之间的冗余性。文中的实验表明该特征选择方法是有效的。3)对异常入侵检测技术中的SVM分类器作了研究，提出了一种基于超球面边界样本点筛选算法的SVM分类器，该分类器在预处理阶段首先采用KNN算法消除离群点，避免了离群点对SVM分类器泛化能力的影响，再采用超球面的方法提取了边界样本点，缩小了训练样本集，提高了训练速度。该分类器在对入侵进行检测的过程中表现出了较好的性能。4)对IDS体系结构作了研究，提出了一种基于启发式规则的混合入侵检测系统模型：该模型对AAFID模型的体系结构作了改进，具有较好的可扩展性、容错性；该模型还设计了专门的入侵检测模块，检测模块融合了误用及异常入侵检测技术，提高了入侵检测的准确性。整个模型表现出较强的处理能力，能够适用于大规模的、高速的网络环境。7.3关于未来研究的展望面对日益严重的网络安全问题，作为一项重要的网络安全防护技术，网络入侵检测技术在未来的网络安全防护中必将发挥越来越重要的作用。本文虽然对网络入侵检测技术作了研究，但是由于时间和条件有限，还有许多问题尚待解决，需要在未来的工作中作进一步的研究和探讨，这些问题主要包括以下几个方面：1)在入侵检测系统中同时采用误用检测和异常检测方法，必将降低系统性能，如何合理地将这两种检测技术有机地结合，也是今后重要的研究方向。2)论文中提出的异常检测方法虽然在实验中取得了较好的检测效果，然而，由于支持向量机在核函数和核参数的选择上还没有科学的方法可循，因而今后将进一步研究如何寻找系统最佳工作点，发挥系统最佳性能，将异常检测方法运用于实际入侵检测系统。3)实际网络环境中的攻击往往是时变的，如果不能提高入侵检测系统的执行速度就很难实现实时地检测，但是如何能使入侵检测系统做到实时和准确是一个值得长期研究的问题。最后，囿于作者的学识水平和时间有限，一些问题的研究有待于进一步深入、完善，文中不当之处难免，恳请各位前辈、专家、同行批评指正。参考文献参考文献杨义先，钮心忻.入侵检测理论与技术[M].北京：高等教育出版社，2006.DorothyE.Denning，AnIntrusionDctectionModel[J].IEEETransactionsonSoftwareEngineering.1987，13(2)：222～232.ShonT，KimY，LeeC，MoonJ.AmachinelearningframeworkfornetworkanomalydetectionusingSVMandGA[C].Proceedingsofthe2005IEEEWorkshoponInformationAssuranceandSecurity，NewYork，USA，2005.KimD.S.，NguyenH.N.，ParkJ.S.Geneticalgorithmtoimprovesvmbasednetworkintrusiondetectionsystem[C].Proc.ofthe19thInternationalConferenceonAdvancedInformationNetworkingandApplications，2005.e.a.PeterScherer.Usingsvmandclusteringalgorithmsinidssystems[C].Proc.ofDateso2011；2011.W.F.QingleiZhang.Networkintrusiondetectionbysupportvectorsandantcolony[C].Proc.ofIWISA2009.WenkeLee，StolfoS.J.Dataminingapproachesforintrusiondetection[C].Procofthe7thUSENIXSecuritySymp1998.SungA.H.Identifyimportantfeaturesforintrusiondetectionusingsupportvectormachinesandneuralnetworks[C].Proc.ofthe2003SymposiumonApplicationsandtheInternet，2003.Sommer，Robin，et.al.OutsidetheClosedWorld：OnUsingMachineLearningforNetworkIntrusionDetection[C].Proc.of2010IEEESymposiumonSecurityandPrivacy.Rsommer，DBalzarotti；RecentAdvancesinIntrusionDetection：14thInternationalSymposium[C]，Proc.ofRAID2011JisuYang，BooJoongKang；AnefficientSignatureDetectionMethodusingN-GramIndexingforIntrusionDetectionSystem[J]；JournalofSecurityEngineering.20128-1-2012-2.G.GiacintoandF.Roli，"Intrusiondetectionincomputernetworksbymultipleclassifiersystems."inProc.IntConf.PatternRecognition，2002.J.C.BurgesandChristopher，"Atutorialonsupportvectormachinesforpatternrecognition，"Bremen，Germany，1998.L.F.JingTaoYao，SonglunZhao，"Anenhancedsupportvectorma¬chinemodelforintrusiondetection."Bremen，Germany：WIDM'05，November2005.W.F.QingleiZhang，"Networkintrusiondetectionbysupportvectorsandantcolony."Qingdao，China：IWISA2009，November2009.M.WangandA.Zhao，“Investigationofintrusiondetectionbasedondatamining，”LectureNotesinElectricalengineering，2012，Volumn124，279，2012.J.C.BurgesandChrist