資源描述:
《基于web異常檢測入侵檢測系統(tǒng)實現(xiàn)》由會員上傳分享��,免費在線閱讀���,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫�。
1、ADissertationSubmittedtoShanghaiJiaoTongUniversityforMasterDegreeofScienceinEngineeringANIMPLEMENTATIONOFINTRUSIONDETECTIONSYSTEMBASEDONWEBANOMALYDETECTIONAuthor:QianShenSpecialty:CommunicationandInformationSystemsAdvisor:YangShutangSchoolofElectronicsandElectricEnginee
2���、ringShanghaiJiaoTongUniversityShanghai,P.R.ChinaDecember,2009基于Web異常檢測的入侵檢測系統(tǒng)實現(xiàn)摘要隨著Intemet的迅猛發(fā)展�����,人們對網(wǎng)絡(luò)的依賴程度不斷提高�,安全問題變得越來越嚴(yán)峻��。近年來��,動態(tài)網(wǎng)頁等技術(shù)的興起使得網(wǎng)站應(yīng)用豐富起來��。而針對網(wǎng)絡(luò)服務(wù)進行攻擊的事件也越來越多�����,根據(jù)調(diào)查顯示�����,大部分網(wǎng)絡(luò)攻擊事件與網(wǎng)絡(luò)應(yīng)用相關(guān)�����。防火墻等傳統(tǒng)的安全設(shè)備沒有利用web服務(wù)會話層及應(yīng)用層的信息,對攻擊事件無法做到有效地偵測和防范��。鑒于網(wǎng)站公開存取的架構(gòu)以及網(wǎng)絡(luò)應(yīng)用多樣性的特點�����,針對web
3��、應(yīng)用的攻擊手段復(fù)雜多變���,以誤用檢測為基礎(chǔ)的入侵檢測系統(tǒng)很難有效使用建立攻擊特征的方式進行檢測���。本文首先介紹入侵檢測的相關(guān)概念��,包括體系結(jié)構(gòu)�����、誤用檢測和異常檢測��。然后對安全領(lǐng)域的異常檢測技術(shù)進行研究��,討論了每類異常檢測技術(shù)的思想、優(yōu)缺點�����。通過對國內(nèi)外異常檢測現(xiàn)狀的研究��,總結(jié)出目前適用于web服務(wù)的異常檢測技術(shù)�。在上述研究背景下,本文提出一種基于HTTP會話的異常檢測算法�,結(jié)合基于HTTP請求屬性長度、屬性域結(jié)構(gòu)�����、字符分布特征��、屬性域枚舉的檢測算法���,對HTTP請求的多個屬性進行考察����。針對傳統(tǒng)IDS的不足��,本文設(shè)計了一種對服務(wù)器和客戶端流量
4��、進行鏡像的入侵檢測系統(tǒng)架構(gòu),并實現(xiàn)了基于上述web異常檢測算法的入侵檢測系統(tǒng)��。此架構(gòu)上的入侵檢測系統(tǒng)不僅能夠完成異常檢測功能����,而且不會影響web服務(wù)器的服務(wù)質(zhì)量。通過從檢測率與誤報率角度對系統(tǒng)的測試��,展示了異常檢測模塊各個算法以及綜合判決的檢測效果����,表明該系統(tǒng)能有效檢測出廣泛存在的web攻擊。最后對本文所做的工作進行了總結(jié)����,并展望了未來工作。關(guān)鍵詞:web應(yīng)用異常檢測入侵檢測系統(tǒng)HTTP第I頁ANIMPLEMENTATIONOFINTRUSIONDETECTIONSYSTEMBASEDONWEBANOMALYDETECTIONABST
5���、RACTAsaresultofrapiddevelopmentofInternetandpeople’sdependenceonnetwork,securityissuesbecomemoreandmoresevere.Inrecentyears,asaresultofgreatprogressinthedevelopmentofwebapplications,allkindsofwebservicearise.However,theattackeventswhichaimatwebapplicationhavebecomemorea
6�����、ndmorefrequent.Accordingtothesurvey,mostoftheInternetattackeventsarerelatedtowebapplications.Traditionalsecurityequipments,likefirewall,cannotworkeffectivelysincewebapplications’informationonsessionandapplicationlevelhasnotbeenanalyzed.Besides,duetowebsitesareopentopubl
7、icaccessaswellasthediversityofwebsitesandwebapplications,variousattacktechniquesaredevised.Therefore,misusebasedIDSareunabletodetectwebapplicationattackseffectivelythroughupdateitssignatureincessantly.Forthereferredreasons,thepaperfirstlyintroducestherelatedconceptsofin
8�����、trusiondetection,includingarchitecture,misusedetectionandanomalydetection.Thenitstudiesanomalydetectiontechniq
