入侵檢測(cè)系統(tǒng)的可信度增強(qiáng)技術(shù)研究.pdf

1、隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的快速發(fā)展以及應(yīng)用程度的不斷提高，計(jì)算機(jī)網(wǎng)絡(luò)安全已成為經(jīng)濟(jì)發(fā)展的關(guān)鍵，同時(shí)也是國(guó)防安全的重要組成部分。對(duì)入侵和攻擊行為的檢測(cè)與防范，保障計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)及整個(gè)信息基礎(chǔ)設(shè)施的安全是一項(xiàng)刻不容緩的重要課題。網(wǎng)絡(luò)入侵檢測(cè)技術(shù)作為一種積極主動(dòng)的安全防護(hù)技術(shù)正成為目前網(wǎng)絡(luò)安全領(lǐng)域中研究的熱點(diǎn)。雖然網(wǎng)絡(luò)入侵檢測(cè)技術(shù)已經(jīng)研究了許多年，也研制了一些入侵檢測(cè)系統(tǒng)，但是當(dāng)前這些網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)（Network Intrusion D

2、etection System, NIDS）正面臨著嚴(yán)重的信任危機(jī)，如何有效地降低漏報(bào)率和誤報(bào)率成為入侵檢測(cè)領(lǐng)域亟待解決的關(guān)鍵問(wèn)題?；谶@樣的背景，本文以提高網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的可信度為目的，著重對(duì)以下幾個(gè)方面進(jìn)行了深入研究：
　　首先介紹了入侵檢測(cè)技術(shù)的研究背景和研究現(xiàn)狀，闡述了入侵檢測(cè)的概念和發(fā)展歷史，對(duì)入侵檢測(cè)系統(tǒng)的分類研究及發(fā)展趨勢(shì)進(jìn)行了綜述，并通過(guò)理論分析，指出了高誤報(bào)率和漏報(bào)率是影響入侵檢測(cè)系統(tǒng)可信度的關(guān)鍵因素，進(jìn)一步明

3、確了本文的研究?jī)?nèi)容和意義。
　　在對(duì)漏報(bào)進(jìn)行詳盡分析的基礎(chǔ)上，指出數(shù)據(jù)采集能力不足是產(chǎn)生高漏報(bào)率的主要原因。以數(shù)據(jù)采集的排隊(duì)論模型為理論指導(dǎo)依據(jù)，在實(shí)時(shí)操作系統(tǒng)RTLinux下，設(shè)計(jì)并實(shí)現(xiàn)了基于半輪詢驅(qū)動(dòng)的用戶級(jí)報(bào)文傳輸機(jī)制——UMPS。提出了半輪詢驅(qū)動(dòng)的概念，利用半輪詢驅(qū)動(dòng)機(jī)制降低了系統(tǒng)中斷頻率，明顯提高了短報(bào)文的處理能力。通過(guò)更為高效的地址翻譯和基于資源映射圖的緩沖區(qū)管理算法，有效地降低了網(wǎng)絡(luò)通信的延遲與開(kāi)銷，提高了系統(tǒng)報(bào)文的

4、峰值吞吐量。實(shí)驗(yàn)結(jié)果表明UMPS對(duì)降低系統(tǒng)漏報(bào)率行之有效。
　　為了濾除非相關(guān)告警對(duì)入侵檢測(cè)系統(tǒng)確定性所產(chǎn)生的影響，提出了一個(gè)基于上下文驗(yàn)證的網(wǎng)絡(luò)入侵檢測(cè)模型——CVNIDM。結(jié)合環(huán)境上下文、弱點(diǎn)上下文、反饋上下文和異常上下文等上下文信息，CVNIDM構(gòu)建了一個(gè)以上下文驗(yàn)證為中心，多種安全技術(shù)相結(jié)合的高效、穩(wěn)定、完整、易管理、可擴(kuò)充的非相關(guān)告警處理平臺(tái)，實(shí)現(xiàn)了告警的自動(dòng)驗(yàn)證以及攻擊行為是否有效的自動(dòng)判定，從而達(dá)到濾除非相關(guān)告警的目

5、的，為后面的告警關(guān)聯(lián)奠定了可靠的基礎(chǔ)。
　　入侵檢測(cè)系統(tǒng)產(chǎn)生的重復(fù)性的、不完善的或不完整的告警事件給傳統(tǒng)的依賴人工手動(dòng)分析的安全管理工作模式提出了相當(dāng)嚴(yán)峻的考驗(yàn)。為此，提出了以告警的行為模式概念為中心，基于異常檢測(cè)思想的自適應(yīng)告警關(guān)聯(lián)方法——A3PC。通過(guò)提取關(guān)聯(lián)規(guī)則和序列模式生成告警的分類模型，對(duì)誤報(bào)進(jìn)行自動(dòng)鑒別，同時(shí)采用模式挖掘和聚類分析算法相結(jié)合的處理思想以及人機(jī)交互的半自動(dòng)處理模式，從而形成真實(shí)有效的、精簡(jiǎn)的管理員告警視圖

6、，提高入侵檢測(cè)系統(tǒng)的精確性。
　　針對(duì)當(dāng)前入侵檢測(cè)系統(tǒng)普遍存在的告警層次較低，僅能反映簡(jiǎn)單瑣碎的攻擊片斷等問(wèn)題，提出了一種基于權(quán)能轉(zhuǎn)換模型的攻擊場(chǎng)景推理、假設(shè)與預(yù)測(cè)框架——ASRHP。通過(guò)引入指數(shù)加權(quán)滑動(dòng)平均方法過(guò)濾相鄰權(quán)能轉(zhuǎn)換過(guò)程中的瞬時(shí)抖動(dòng)，ASRHP實(shí)現(xiàn)了以告警相關(guān)矩陣為核心的攻擊場(chǎng)景自動(dòng)推理，提出了最相關(guān)告警的概念，保證了攻擊假設(shè)的準(zhǔn)確程度并實(shí)現(xiàn)了對(duì)復(fù)合式攻擊意圖的精確預(yù)測(cè)。實(shí)驗(yàn)數(shù)據(jù)表明，ASRHP具有快速準(zhǔn)確的優(yōu)勢(shì)，為及