基于包頭和負(fù)載特征分析的異常檢測(cè)技術(shù)研究.pdf

1、隨著互聯(lián)網(wǎng)的日益開放和網(wǎng)絡(luò)技術(shù)的快速發(fā)展，網(wǎng)絡(luò)安全問題日益嚴(yán)峻。入侵檢測(cè)系統(tǒng)（Intrusion Detection System，IDS）能根據(jù)入侵行為的蹤跡和規(guī)律來發(fā)現(xiàn)入侵，成為防火墻、數(shù)據(jù)加密等靜態(tài)安全技術(shù)的有效補(bǔ)充。誤用檢測(cè)具有準(zhǔn)確率高的特點(diǎn)，但是對(duì)新型攻擊和未知攻擊無能為力；異常檢測(cè)通過構(gòu)建正常模型，能夠檢測(cè)到未知攻擊，彌補(bǔ)了誤用檢測(cè)的不足，因此成為近年來的研究熱點(diǎn)。本文旨在擴(kuò)大IDS的檢測(cè)范圍，并實(shí)現(xiàn)檢測(cè)的準(zhǔn)確性和快速性。研

2、究?jī)?nèi)容主要包括以下幾個(gè)方面： 1.對(duì)IDS的分類進(jìn)行了系統(tǒng)性的研究，分析了IDS的國(guó)內(nèi)外研究現(xiàn)狀及發(fā)展趨勢(shì)，剖析了各種攻擊的特點(diǎn)，并著重對(duì)異常檢測(cè)技術(shù)的流量檢測(cè)模型和應(yīng)用層檢測(cè)模型進(jìn)行了分析比較。 2.為應(yīng)對(duì)復(fù)雜的網(wǎng)絡(luò)環(huán)境中攻擊的多樣性，提出了一種面向混合攻擊的異常檢測(cè)方法。重點(diǎn)改進(jìn)了異常檢測(cè)的特征提取和特征建模過程。特征提取力求全面、準(zhǔn)確并簡(jiǎn)潔，提取了數(shù)據(jù)包頭部若干字段及應(yīng)用層的相關(guān)信息。檢測(cè)模型要具有推斷能力，因此將

3、連續(xù)型特征和離散型特征根據(jù)各自的特點(diǎn)分開處理。實(shí)驗(yàn)表明：在保持較低誤報(bào)率的情況下，提高了對(duì)多種攻擊的綜合檢測(cè)率。 3.為了提高檢測(cè)的準(zhǔn)確性和快速性，在異常檢測(cè)的基礎(chǔ)上，結(jié)合誤用檢測(cè)方法，構(gòu)建了一個(gè)分層式混合入侵檢測(cè)系統(tǒng)（HH-IDS）。第一層采用快速的流量統(tǒng)計(jì)技術(shù)，對(duì)數(shù)據(jù)包頭部字段進(jìn)行異常檢測(cè)，將數(shù)據(jù)劃分為正常和異常；第二層采用準(zhǔn)確性較高的模式匹配方法對(duì)第一層的異常數(shù)據(jù)進(jìn)行再次檢測(cè)，以降低誤報(bào)率，而將第一層的正常數(shù)據(jù)和模式匹配未