文档介绍:入侵检测系统研究摘要摘要入侵检测技术作为一种重要的安全技术,日益得到广泛的应用和深入的研究。存储级入侵检测是入侵检测体系重要的组成部分之一,是目前具有一定挑战性的研究热点,它通过收集计算机存储器的操作数据,尽可能实时地发现非法入侵。攻击模型和匹配方法是存储级入侵检测系统研究中最重要的两个方面,因此本文主要针对这两方面进行研究工作。研究内容主要包括:基于判定树分类的攻击模式自动生成、基于D-S证据理论的异常检测特征融合算法,以及不同种类IDS之间基于协作的联合防御,从而提高存储级入侵检测系统的检测能力、检测精度和检测效率。本文主要工作如下: 1、提出判定树分类生成算法,进而给出攻击模式自动生成的方法。攻击模型是误用检测的重要因素,决定着存储级IDS的检测率和误报率。为获得合理有效的攻击模型,本文将攻击模型化理论应用于存储级IDS攻击模型的建立,扩展判定树模型,使得攻击模型更准确、全面地描述攻击,并能够重用、共享。进而提出判定树分类生成算法,使得模型可以自动产生。为验证模型和算法的有效性,分别以模拟平台收集的存储操作数据进行实验,实验结果表明,模型和算法是有效的,此外,模型还具有可重用、自动生成等优点。 2、提出六组计算代价小特征,采用D—S证据理论进行融合,从而做出评判。异常检测的研究核心在于建立完备、准确的正常行为模型。在对系统正常运行和异常运行条件下采集到的数据进行综合分析的基础上,本文提出了六组存储操作数据的计算代价较小的关键特征,并采用D—S证据理论融合在这些特征上得到的观察从而做出综合评判。选取计算代价小的特征以及高效的融合规则,保证了算法的性能满足高速检测的要求。 3、提出一种不同层级IDS间联合防御方法。本文提出一种IDS间通过协作进行联合防御的方法,模拟人类社会解决问题的过程。协作分为两种模式:主动防御模式是指入侵受害者所属的管辖IDS将入侵情况发送给入侵者所属的管辖IDS,由后者采取措施阻止攻击行为的继续;通知预警模式是指当一个IDS发现某种攻击行为后,将这种情况通知其熟人IDS,使后者能够提前采取措施,采取预防措施。入侵检测系统研究摘要除此以外,针对入侵检测系统的研究特点,本文进行了存储级入侵检测研究框架的研究、采集和分析了存储操作数据。最后,本文设计实验进一步验证了提出模型、算法等的正确性。存储入侵检测技术还有许多问题值得探讨,本文的工作只是一个探索,还有待今后进一步的深入研究。关键词入侵检测系统,攻击模式,检测模型,主动存储,判定树分类,D—s证据理论,证据理论,信息融合 2 入侵检测系统研究 Abstract Abstract As an important security technology,Intrusion Detection System(IDS)is used more and more —based Intrusion Detection iS one of the most important parts inthe intrusion detection aim ofStorage—based Intrusion Detection is todetect unauthorized intrusion as quickly aspossible by analyzing the operation data collected from storage devices. Attack model and analysiS method are two important aspects instorage——based intrusion detection system research and therefore e the focus of this research mainly involves buiiding attack pattern automatically based on decision classification tree:detecting abnormal behaviors fused multiple data features using the D—S Evidence Theory:and coordinated protection among different types of IDSes to improve the detection ability, accuracy and efficiency of Storage—based IDS. The main achievements of thiS thesiS can be summarized as fo