返回
多信息源的实时入侵检测方法研究

多信息源的实时入侵检测方法研究

ID:32374506

大小:1.13 MB

页数:118页

时间:2019-02-03

多信息源的实时入侵检测方法研究_第1页
多信息源的实时入侵检测方法研究_第2页
多信息源的实时入侵检测方法研究_第3页
多信息源的实时入侵检测方法研究_第4页
多信息源的实时入侵检测方法研究_第5页
资源描述:

《多信息源的实时入侵检测方法研究》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、分类号TP393.08密级UDC学号4100041006多信息源的实时入侵检测方法研究学位申请人:王伟指导教师:管晓宏教授彭勤科教授学科专业:系统工程学位类别:工学2005年5月-1-

2、引用格式:王伟,多信息源的实时入侵检测方法研究,博士论文,西安交通大学,2005。WeiWang,Efficientreal-timeintrusiondetectionbasedonmultipledatasourcesincomputernetworksecurity(inChinese),Ph.D.thesis,Xi’anJiaotong

3、University,2005.PermanentContact:wei.wang.email@gmail.comEfficientreal-timeintrusiondetectionbasedonmultipledatasourcesincomputernetworksecurityDissertationSubmittedtoXi’anJiaotongUniversityinpartialfulfillmentoftherequirementforthedegreeofDoctorofEngineeringScience

4、ByWangWei(SystemsEngineering)DissertationAdvisor:Prof.GuanXiaohong,Prof.PengQinkeMay,2005论文题目:多信息源的实时入侵检测方法研究专业:系统工程博士生:王伟指导教师:管晓宏教授,彭勤科教授摘要入侵检测系统(IntrusionDetectionSystem,IDS)是对计算机或计算机网络系统中的攻击行为进行检测的智能系统,是网络安全深层防卫系统的重要组成部分。当前大部分入侵检测方法普遍存在如下几个关键问题:(1)缺乏审计数据特征选择的理论和方

5、法;(2)没有海量审计数据的实时快速处理能力,检测的实时性不高;(3)不能应用在多源的审计数据中;(4)不能全面检测入侵,检测精度也有待进一步提高。本文致力于解决入侵检测中普遍存在的以上几个关键问题,其中的主要工作和贡献可归纳为以下几个方面:(1)针对高效入侵检测中审计数据特征的选择问题,本文通过使用隐马尔可夫模型(HiddenMarkovModel,HMM)和自组织映射(SelfOrganizingMaps,SOM)这两种方法,利用系统调用数据建立程序的正常行为模型并实现入侵检测。HMM方法考虑的是数据的转移特性,而SOM方

6、法则使用数据的频率特性。实验结果表明:与审计数据的转移特性相比,频率特性更有利于实时的入侵检测。虽然考虑频率特性得到的检测效果没有转移特性的好,但是也能满足检测要求。文中的结论为入侵检测中数据特征的选择提供了非常重要的参考。(2)针对当前大部分入侵检测方法没有海量审计数据的实时快速处理能力,本文利用非负矩阵分解(Non-negativeMatrixFactorization,NMF)方法建立正常的程序行为和用户行为模型,并实现了实时的入侵检测。该方法对系统调用数据按照进程进行分组,对命令序列数据以一定的长度进行分组。统计每组数

7、据中每个元素出现的频率。将频率组成一个列向量代表对应的该组数据。通过NMF对代表原始数据的向量进行降维处理。最后用一个数值表示每组数据的特征,并以此作为度量检测入侵。实验结果表明,基于NMF的入侵检测方法简单,检测效果好,具有高维海量数据的快速处理能力,非常适用于实时的入侵检测。本文的研究工作受到国家杰出青年基金(6970025);国家自然科学基金(60243001)以及国家863计划(2001AA140213,2003AA142060)的资助。i(3)针对当前大部分入侵检测方法不能应用在多种信息源中以及实时性较差等问题,本文

8、使用主成分分析(PrincipleComponentAnalysis,PCA)方法建立正常的程序行为、用户行为和网络行为模型,并实现了实时的入侵检测。本文采用与NMF类似的数据预处理方法,并使用PCA对高维海量的数据进行降维,在低维空间中进行入侵检测。实验结果表明,本文提出的方法简单,计算量小,具有多源海量数据的实时快速处理能力,检测效果也明显优于其他方法,是一种可应用于多信息源的高效实时的入侵检测新方法。(4)为了全面检测入侵,有效提高检测精度和入侵检测的实时性,本文提出了一种深度防卫的自适应入侵检测系统模型。该模型按照黑客

9、入侵对系统影响的一般顺序,从网络行为、用户行为和系统行为3个层次,使用相应方法对这3层涉及到的6种数据源进行异常检测,并通过信息融合技术融合不同检测器的检测结果。在此基础上还提出了一种系统安全风险评估方法,并由此制定了一套简单高效的自适应入侵检测策略。作为深度防卫的自适应入侵

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。