文档介绍：大连理工大学
硕士学位论文
基于误用检测的网络入侵检测系统设计与实现
姓名:张恩昊
申请学位级别:硕士
专业:软件工程
指导教师:牛纪桢
20061209
摘要随着网络技术的快速发展和互联网应用的不断普及,人类在感受到网络对社会发展做出巨大贡献的同时,网络安全问题日益突出。为了保护网络信息的安全,人们研究和探索了多种安全防护技术。传统的加密和防火墙技术己不能完全满足网络安全需求,入侵检测技术作为一种全新的安全手段,越来越显示出其重要性。入侵检测技术是一种重要的动态安全防护技术,能够对计算机和网络资源上的恶意使用行为进行识别和响应。它不仅检测来自外部的入侵行为,同时也监督内部用户的未授权活动,是继防火墙、数据加密等传统安全保护措施后的新一代的网络安全保障技术。由于数据挖掘能够从海量数据集中挖掘出入们感兴趣的特定模式,因此有大量的研究计划将数据挖掘技术运用到入侵检测中,这些研究大大推动了入侵检测研究领域的快速发展。本文首先阐述了入侵检测的基本概念和相关技术,探讨了入侵检测系统的研究现状,并分析了数据挖掘技术在入侵检测系统中的应用。最后本文设计并部分实现了基于误用检测的入侵检测系统,并将数据挖掘技术应用于入侵检测中,通过对入侵行为进行分析,提取特征,实现入侵规则库的更新。基于误用检测的入侵检测系统的一大缺点是误警率高。经研究发现入侵检测系统触发的大量警报有一些相对较少但却是很主要的根源,那么将警报根源识别出来并消除可以大大降低系统的误警率,提高系统性能。本文采用基于面向属性归纳的概念聚类方法来处理警报,将相似的警报聚类,从中识别出警报根源并消除。对于无法消除的警报根源,可以通过设置过滤规则,减少系统的负载。关键词:入侵检测;误用检测;数据挖掘;入侵警报;聚类分析大连理工大学专业学位硕士学位论文’
删譼齡皿篒大连理工大学专业学位硕士学位论文。舔,;∞甀適豠,..;—
独创性说明作者郑重声明:本硕士学位论文是我个人在导师指导下进行的研究工作及取得研究成果。尽我所知,除了文中特别加以标注和致谢的地方外,论文中不包含其他人已经发表或撰写的研究成果,也不包含为获得大连理工大学或者其他单位的学位或证书所使用过的材料。与我一同工作的同志对本研究所做的贡献均已在论文中做了明确的说明并表示了谢意。作者签名
丝酿。丛掣三月上日盅坦熟大连理工大学学位论文版权使用授权书本学位论文作者及指导教师完全了解“大连理工大学硕士、博士学位论文版权使用规定”,同意大连理工大学保留并向国家有关部门或机构送交学位论文的复印件和电子版,允许论文被查阅和借阅。本人授权大连理工大学可以将本学位论文的全部或部分内容编入有关数据库进行检索,也可采用影印、缩印或扫描等复制手段保存和汇编学位论作者签名导师签名大连理工大学专业学位硕士学位论文文。
雙川,~年度针对大鲤工大学专业学位硕士学位论文髀./咄吐緎‘网络安全现状随着信息技术的迅猛发展和吐的快速普及,信息网络设施和资源对于国家、企业和个人的重要性日益增强。人类社会网络信息化程度日益增加,对网络依赖性日益增强,如何能够保证信息化社会的正常、安全、平稳地运转,其中信息网络的安全性是最重要的环节之一,必须不断地得到充实、强化和提高。目前,网络互联领域的广度和深度的不断扩展,开放特性不断深化,造成越来越多的网络系统面临攻击和入侵的威胁。年月铡癕”通过自复制方式感染网络主机系统并破译系统密码而实现恶意代码传播,给整个互联网系统造成了巨大的损失,揭开了互联网入侵攻击的序幕【啤C拦鶪美国政府计算机系统的入侵事件达危辽賚龉叵抵罸%政府预算的主要部门曾受到攻击,而其中仅ァ痮的入侵被检测到,甚至有的不到ァM毕允荆肭止击在过去曛幸%的速度增长,%的大公司均发生过重大入侵事件,而且针对政府和重要部门计算机系统的攻击变得日益频繁。网络入侵攻击事件不断发生,事态不断扩大,开始涉及国家政治、经济、军事等重要敏感部门。年代和年代初期,,而现在对于从事电子商务,在线证券交易等网络贸易,拒绝服务攻击经常造成系统停止运作。根据美国计算机紧急事件反应小组协调中心疌ú嫉统计数字显示,报告的入侵事件几乎成指数增加,而且攻击一手段日益复杂,如图所示。图緾疌暧笔录臣
入侵检测的必要性当今,随着通用入侵工具广为传播,这些工具能够从因特网上轻松得到,攻击者使用这些实用工具来攻击数以万计的系统,与此同时,有经验的入侵者正变得更加狡猾,攻击类型日益复杂,手段多样性趋势更加明显,入侵和破坏在瞬间完成,一般采取隐藏行踪的手段来逃避检测系统的跟踪,比如破坏公共服务设施,重新装入预制软件系统,删除行为记录等。据报道,世界平均每秒钟发生一起黑客攻击入侵事件,在美国每年因此造成的经济损失高