有主动防御能力的入侵检测系统研究

江南大学硕士学位论文具有主动防御能力的入侵检测系统研究姓名：周四伟申请学位级别：硕士专业：计算机应用技术指导教师：蔡勇20060301具有主动防御能力的入侵检测系统研究作者：周四伟学位授予单位：江南大学参考文献(43条)1.唐正军.李建华入侵检测技术20042.RebeccaGurleyBace.陈明奇.吴秋新.张振涛.杨晓兵入侵检测20013.StephenNorthcutt.余青霓.王晓程.周钢网络入侵检测分析员手册20004.唐正军网络入侵检测系统的设计与实现20025.蒋建春.冯等国网络入侵检测原理与技术20016.韩东海.王超.李群入侵检测系统及实例剖析20027.王瑞洋系统防护与反入侵20038.谭毓安网络攻击防护编码设计20029.StephenNorthcutt.MarkCooper.MattFearnow.KarenFrederick入侵特征与分析200210.张千里.陈光英网络安全新技术200311.濮青入侵检测系统面临问题与发展趋势研究[期刊论文]-计算机工程与设计2004(1)12.潘志翔.岑进锋黑客攻防编程解析200313.张兴东.胡华平.况晓辉.陈辉忠防火墙与入侵检测系统联动的研究与实现[期刊论文]-计算机工程与科学2004(4)14.GeorgeELuger.史忠植.张银奎人工智能-复杂问题求解的结构和策略200415.小高知宏.叶明TCP/IP数据包分析程序篇200316.井口信知TCP/IP网络工具篇200317.竹下隆史TCP/IP综合基础篇200318.村山公保TCP/IP网络实验程序篇200319.WRichardStevens.胥光辉.张涛TCP/IP详解卷一:协议200020.刘文涛Linux网络入侵检测系统200421.MFisk.GVargheseFastcontent-basedpackethandlingforintrusiondetection[TechnicalReportCS2001-0670,UniversityofCalifornia,SanDiego]200122.FangluGuo.Tzi-ckerChiuehTrafficAnalysis:FromStatefulFirewalltoNetworkIntrusionDetectionSystem23.查看详情24.CJCoit.SStaniford.JMcAlerneyTowardsfasterpatternmatchingforintrusiondetection,orexceedingthespeedofsnort200225.RSBoyer.JSMooreAfaststringsearchingalgorithm1977(10)26.Baeza-YatesRA.GonnetGH.RegnierAnalysisofBoyer-Mooretypestringsearchingalgorithms199027.ColeRTightboundsonthecomplexityoftheBoyer-Moorestringmatchingalgorithm199428.MikeFisk.GeorgeVargheseFastContent-BasedPacketHandlingforIntrusionDetection[UCSDTechnicalReportCS2001-0670]200129.SunKim.YanggonKimAfastmultiplestring-pattenmatchingalgorithm199930.ZGalilOnimprovingtheworstcaserunningtimeoftheBoyer-Moorestringsearchingalgorithm1979(09)31.RichardODuda.PeterEHart.DavidGStork.李宏东.姚天翔模式分类200332.陈丹.李际军.郑增威基于WinPcap和Boyer-Moore的IDS的实现[期刊论文]-计算机应用2004(5)33.Aho.MCorasickEfficientstringmatch-ing:Anaidtobibliographicsearch1975(06)34.LambertSchaelickeCharacterizingtheePerformanceofNetworkIntrusionDetectionSensors35.Shieh.VDGligorOnaPaaern-OrientedModelforIntrusionDetection1997(04)36.KGAnagnostakisE2xB:Adomain-specificstringmatchingalgorithmforintrusiondetection200337.NeilDesaiIncreasingPerformanceinHighSpeedNIDS-AlookatSnort's200238.SmytheRTTheBoyer-Moore-HorspoolheudsticwithMarkovianinput200139.Michailidis.MMargaritisOn-linestringmatchingalgorithms:surveyandexperimentalresults200140.MagnnsAlmgren.UlfLindqvistApplication-integratedDataCollectionforSecurityMonitoring41.JulieJ.CHRyanInformationSecurityToolsandPractices:whatworks?200442.JJCHRyan.TIJeffrsonTheuse,Misuse,andAbuseofstatisticsInInformationSecurityResearch200343.IMResearchIntursiondetection/preventionproductrevenueup9%inIQ042004相似文献(10条)1.学位论文张倩基于机器学习的入侵检测2008随着网络技术的高速发展，基于网络的入侵也越来越多，网络计算机系统成为黑客的入侵对象，网络系统的安全面临巨大的威胁，入侵检测技术也因此成为网络安全领域的热点话题。它作为传统预防入侵技术，如用户身份认证、信息保护的重要补充，是用来保护网络计算机系统的另一座防护墙。然而，传统的入侵检测方法需要手工更新入侵匹配模式，代价昂贵并且实时性较差，往往在手工更新的这段时间里，新的入侵已经对网络系统造成了非常大的危害。本文主要讨论了基于机器学习的入侵检测研究方法。机器学习能够通过学习已有的入侵或正常模式，对网络数据包的特征进行概率推断或模糊匹配，从而发现未知的入侵，以达到改善入侵检测的自适应性。本文对神经网络，遗传算法，支持向量机三种机器学习算法经行了详细的介绍。同时，本文还介绍了两种特征选择算法。通常的入侵检测系统分为误用检测和异常检测两种，但是两种模型各有缺点，误用检测不能发现未知入侵，而异常检测的误警率较高。本文提出了一种将误用检测和异常检测两种检测方式结合的混合型模型，其中的检测模块用机器学习的方法来实现。本文采用国际上比较流行的1999DARPA入侵检测评价计划数据集为实验数据，对异常检测模型和误用检测、异常检测的混合型模型经行了实验，得到实验数据，并给出了其他一般单独使用误用检测模型的相关数据，对三种模型的实验结果进行比较。混合模型对有未知入侵的网络数据包的检测达到了平均85％左右的检测率和3.5％左右的误警率，性能明显好于只采用误用检测或是异常检测的模型，具有很高的实用性和可推广性。2.期刊论文吕嘉祥.李益发.LUJia-xiang.LIYi-fa基于异常和误用检测协同的多代理分布式入侵检测系统模型-信息工程大学学报2005,6(4)入侵检测是一个比较新的、迅速发展的领域,已成为网络安全体系结构中的一个重要环节.本文通过对多代理技术和两种入侵检测方法的研究,提出了一种基于异常和误用检测协同的多代理分布式入侵检测系统模型,并且对该模型的结构和代理的处理流程进行了描述,该模型是一个开放的系统模型,具有很好的可扩展性,易于加入新的入侵检测代理,也易于增加新的入侵检测模式,代理之间的协同采用独立的通信服务代理来实现.3.学位论文杨士红分布式防火墙日志的入侵检测方法研究2008本文对分布式防火墙中的日志系统以及基于日志的入侵检测技术进行了深入研究，提出了综合应用误用检测和异常检测来对分布式防火墙日志进行入侵检测的方法，同时采用了数据挖掘相关领域的理论知识和技术方法，将数据挖掘知识应用于入侵检测技术中，对基于日志的入侵检测问题进行研究，并通过实验系统来验证该方法的正确性和有效性。实验数据及分析结果表明，通过将两种入侵检测方法相结合的方式对入侵行为具有较高检测率和较低的误报率，具有一定的实际应用意义。传统的入侵检测方法或者仅用误用检测，或者仅用异常检测来判断入侵行为，而这两种方法均有其固有的缺陷，而且容易出现漏检(如复杂入侵)的问题。本文在分析研究误用检测和异常检测两种检测方法的优、缺点之后，采用结合这两种入侵方法对分布式防火墙日志进行入侵检测分析的方法，并把数据挖掘算法应用其中。在组织结构上，本文首先从总体上给出了该分布式防火墙系统的设计，讨论了分布式防火墙日志系统设计目标及日志系统的特点。在此基础之上，给出了基于防火墙日志的入侵检测方法设计。分别从日志，入侵检测和数据挖掘三方面给出了设计方案。利用数据挖掘进行入侵检测是本文的重点，这一部分首先论证了数据挖掘应用于入侵检测系统的可行性和必要性的基础上，接下来介绍具体算法思想以及流程图，最后给出了实验。全文总结部分中对作者的工作进行了回顾，并对下一步的工作进行了展望。本文的主要工作一方面在于在分布式防火墙环境下，提出了一种综合应用误用检测和异常检测来对日志进行入侵检测的方法:另一方面是将数据挖掘技术应用于入侵检测中，通过聚类分析方法中的改进k一均值方法生成正、异常行为库，采用关联规则挖掘中的FP-growth算法和序列模式挖掘中Prefixspan来建立正常特征库。4.期刊论文徐辉增.孙学农数据挖掘算法在入侵检测中的应用研究-考试周刊2007,(22)本文对入侵检测的现状进行了分析,在此基础上重点研究了数据挖掘算法在异常检测和误用检测中的具体应用.对于异常检测,主要研究了分类算法;对于误用检测,主要研究了模式比较和聚类算法:在模式比较中又以关联规则和序列规则为重点研究对象.本文最后对目前数据挖掘算法在入侵检测中应用所面临的难点进行了分析,并指明了今后的研究方向.5.学位论文孙云混成式网络入侵检测与威胁评估的研究2007伴随网络技术的普及和发展，网络安全问题日益严重。网络攻击事件频频发生，不仅造成巨大的经济损失，并且严重阻碍了网络技术的应用和发展，亟需建立有效的安全防护措施。为了保障信息安全，人们研究并提出了一系列安全技术，常见的有反病毒、防火墙、入侵检测等，它们从不同方面起到保护信息安全的作用。传统的反病毒、防火墙属于静态安全防护技术，现代网络的规模日益庞大、结构高度复杂且动态变化，各种网络应用和服务也层出不穷，仅凭静态防护技术难以有效保护网络的安全，入侵检测被认为是继防火墙之后的第二道安全防护系统，在保障信息安全中担负起重要的角色。入侵检测侧重于对信息系统的动态检测和防护，它有力地弥补了传统的静态安全防护技术的不足。本文研究了现有的入侵检测技术，重点从两个层面对入侵检测系统加以改进和扩充。在底层检测层面上，现有的入侵检测系统一直为漏报和误报所困扰，通常的系统采用单一的检测模式：异常检测模式或误用检测模式，两种的检测模式各有其不足之处，难以有效地处理漏报和误报。文中对两种入侵检测模式进行了深入的分析，提出一种将异常检测模式和误用检测模式结合起来的混成式网络入侵检测系统，系统从总体上克服了单一检测模式的不足，降低了入侵检测的漏报和误报