网络入侵检测系统中的事件分析核心技术研究

《网络入侵检测系统中的事件分析核心技术研究》由会员上传分享，免费在线阅读，更多相关内容在学术论文-天天文库。

1、"!!!!"!·!"博士论坛·!!!!"网络入侵检测系统中的事件分析核心技术研究邹涛&，!孙宏伟&，!田新广&，!李学春!（&国防科技大学电子科学与工程学院，长沙M&""%#）（!北京首信股份有限公司’N网络技术研究所，北京&"""&B）I>1.42：K06=.0O&MP54/.$A01摘要该文针对入侵检测系统中的核心组件——事件分析引擎，在对各种事件分析技术做出分析的基础之上，设计了一种以归纳学习获得判决模型的基于规则分类判决的事件分析引擎。分析了该’()的分类模型及算法，并以(QLNQ入侵检测数据为基础做相应实验，得出几个有用的结论。实验结果表明，该事件分析引擎具有很高的检测概率

2、和很低的虚警概率。关键词’()事件分析异常检测分类文章编号&""!>O##&>（!""#）"%>"""&>"#文献标识码Q中图分类号CN&O!"#$%&’()*’"+’,-%.*/0*%1*23’&-&4%&5678!9
,&:，;!#’<&’4=*>:，;1>,’?>’4#,’4:，;@>?#*23#’;（&I27A=90/4A)A47/A7./@I/<4/7794/<’/5=4=6=7，-.=40/.2R/4J$0;(7;7/57C7AD/020<3，ED./<5D.M&""%#）（!’N-7=G09HC7AD/020<3’/5=4=6=70;S74T4/

3、$，U=@$，S74T4/<&"""&B）+AB"/,2"：CD458.879;495=./.23K755017H4/@50;7J7/=./.23K4/<=7AD/020<3./@=D7/@754A2.554;4A.=40/GD4AD<7=5=D79627>57=?34/@6A=4J727.9/4/<$’=.250./.23K75=D7535=7110@72.5G722.5=D7.2<094=D1./@@0755017657;627V879417/=5654/<(QLNQ@.=.$CD457J7/=./.23K7945890

4、J7@=0?7G4=DJ793D4

5、势共享，缺陷施来堵塞漏洞和修复系统。入侵检测系统（以下简称为’()）能互补，组成一种全新的分布式’()，从而能够组合各种检测攻够有效地检测各种形式的入侵行为并及时响应，是构筑网络系击的信息，更精确地识别和定位攻击行为。在分布式’()环境统安全防御体系的一个重要组成部分*&%+。下，各’()及其组件必须能够共享信息和相互通信，这就要求’()从保护的对象和采用的数据上可以分为基于主机的各种’()必须遵循相同的信息表达方式和相应的通信机制，也’()（,’()）和基于网络的’()（-’()）；从检测原理上又可以大就是必须遵循一个公共的’()的框架结构，即公共入侵检测框架*B+。致分为异常（.

6、/01.23）检测和误用（145657）检测两种主要类型：异常检测是建立一个与“正常的活动”相对应的特征轮廓（890:;427），然后把所有与所建立的特征轮廓中差别“很大”的行为都!’()的四个基本组件标志为异常。误用检测又称为特征检测（)4?.57@@7:公共入侵检测框架（CD7E0110/’/=96540/(7=7A=40/F9.17:=7A=40/）。它是假设入侵者活动可以用一种模式来表示，系统的G09H，以下简称为E’(F）早期由美国国防部高级研究计划局赞目标是检测主体活动是否符合这些模式。各种’()各有其优缺助研究，现在由E’(F工作组负责。E’(F的体系结

7、构文档阐述点，互为作用，互为补充。了一个’()的通用模型。它将一个’()分为以下四个组件：事“检测概率”和“虚警概率”是评价一个’()中事件分析引件产生器（IJ7/=<7/79.=095）、事件分析器（IJ7/=./.23K795）、事擎性能的两个主要指标。虚警率过高，往往要消耗管理员过多件数据库（IJ7/=@.=.?.575）、响应单元（L7580/576/4=5）。的精力做进一步的判断，这也就限制了其实际应用。如何使得E’(F将’()需要分析的数据统称