資源描述:
《基于層次式網(wǎng)絡(luò)流量特征匯聚的攻擊分類研究》由會員上傳分享,免費在線閱讀,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫。
1、華中科技大學(xué)碩士學(xué)位論文基于層次式網(wǎng)絡(luò)流量特征匯聚的攻擊分類研究姓名:喻坤申請學(xué)位級別:碩士專業(yè):軟件工程指導(dǎo)教師:沈剛20080603華中科技大學(xué)碩士學(xué)位論文摘要入侵檢測是近些年來人們提出的一種新型的防御機(jī)制,已經(jīng)成為網(wǎng)絡(luò)安全的一個重要技術(shù)。大多數(shù)入侵檢測系統(tǒng)采用基于網(wǎng)絡(luò)和主機(jī)的方法檢測和防御攻擊?;诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)以網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包為數(shù)據(jù)源,通過網(wǎng)絡(luò)適配器來監(jiān)視并分析通過網(wǎng)絡(luò)的數(shù)據(jù)流量。目前入侵檢測領(lǐng)域的研究中,異常檢測作為一種網(wǎng)絡(luò)測量手段成為相當(dāng)活躍的研究方向。將網(wǎng)絡(luò)上通過的報文信息按照基于會話、基于IP
2、和基于網(wǎng)絡(luò)的層次和方式匯聚起來,可以構(gòu)成網(wǎng)絡(luò)流量特征集合。從信息匯聚集中提取不同的特征子集可以描述不同網(wǎng)絡(luò)攻擊行為的特征。如果這些特征屬性的值在正常的情況下比較穩(wěn)定,而在對應(yīng)的攻擊發(fā)生時產(chǎn)生較明顯的變化,則可作為相關(guān)攻擊行為的判別要素。根據(jù)特征屬性值的變化趨勢得出備選的判別屬性,對冗余屬性進(jìn)行刪減,使得生成分類器的效率更高,提高入侵檢測系統(tǒng)的實時判別能力?;跊Q策樹算法的分類器是由特征指標(biāo)判別攻擊行為存在與否并識別其類別的有效手段。在網(wǎng)絡(luò)流量層次匯聚模型的基礎(chǔ)上,設(shè)計相關(guān)試驗對設(shè)計的分類器進(jìn)行測試,實驗的數(shù)據(jù)集采用的是
3、MITLincolnLabs用于評估入侵檢測系統(tǒng)的DARPA數(shù)據(jù)集。將這些數(shù)據(jù)還原到真實的網(wǎng)絡(luò)環(huán)境,進(jìn)行層次式匯聚,將得到的特征值數(shù)據(jù)集進(jìn)行決策樹分類,從而得出試驗結(jié)果,進(jìn)一步驗證了層次匯聚的可行性和分類器的正確率。關(guān)鍵詞:入侵檢測層次匯聚特征提取決策樹I華中科技大學(xué)碩士學(xué)位論文AbstractIntrusiondetectionisproposedasnewdefendmechanismofnetworkinrecentyears.Ithasbecomeoneoftheimportanttechnologyof
4、networksecurity.Mostofthenetworkintrusiondetectionsystems(IDS)adoptmethodsbasedonnetworkorhoststodetectanddefendattack.IDSbaseonnetworkusesthedatastreamasthesource,insuchsystemthenetworkadapterisusedtowatchandanalyzethetraffic.Anomalydetectionisaveryactivefiledi
5、ntheresearchofIDS.Thedatagramsonthenetworkcanbeconvergedasthelevelofsession-based,IP-based,network-based,comeintobeingasetofvaluesoffeatures.Differentsubsetsofthisdatasetcanbeusedtodescribevariableattackbehaviors.Thevaluesofthesefeaturesisstableincommoncondition
6、s,butwhenattackdisappeared,theybecomesensitiveandchangeobviously,sotheycanberecognizedasthefactorsfordistinguishingtheexistenceofattacks.Analyzingthetrendofthevalues’transformationtogetthecandidatepropertiesoftheattackanddeletingredundantfeaturesimprovesefficien
7、cyofclassifierandenhancesreal-timediscernmentofIDS.Classifierbasedondecisiontreeisagoodmeanstodeterminewhetherthereisanattackbymonitoringnetworkfeatures.TheDARPAdatasetsprovidedbyMITLincolnlabsareusedtodesignsomeexperimentsonthefoundationofmulti-levelaggregation
8、systemtotesttheclassifier.Thedatasetsarerevertedtotherealnetworkenvironment.Byclassifyingtheresultoffeaturesvaluesconverged,theresultofexperimentiscollectedtovalidate