資源描述:
《基于異常檢測的入侵檢測系統(tǒng)設(shè)計(jì)》由會員上傳分享��,免費(fèi)在線閱讀�����,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫�����。
1�、摘要現(xiàn)代計(jì)算機(jī)系統(tǒng)在信息安全方面受到越來越大的威脅,數(shù)據(jù)丟失��、非法訪問�、黑客攻擊以及拒絕服務(wù)攻擊等。傳統(tǒng)信息安全系統(tǒng)中的入侵檢測系統(tǒng)在系統(tǒng)安全方面做出了重大貢獻(xiàn)�,但是目前成熟的入侵檢測系統(tǒng)仍然采用的是基于誤用的入侵檢測技術(shù),它對待未知的攻擊行為無能為力�。本文對未知進(jìn)攻的行為檢測技術(shù)進(jìn)行重點(diǎn)探討和研究�。汲取生物免疫系統(tǒng)的基本理論,以Linux2.4內(nèi)核補(bǔ)丁的方式實(shí)現(xiàn)基于系統(tǒng)調(diào)用序列分析算法的原型系統(tǒng)DAEMON���。該系統(tǒng)能夠主動學(xué)習(xí)并構(gòu)建應(yīng)用系統(tǒng)的正常行為規(guī)則�,并以此進(jìn)行主機(jī)入侵行為檢測。當(dāng)其發(fā)現(xiàn)異常行為時����,DAEMON同時能進(jìn)行相應(yīng)的響應(yīng),延遲進(jìn)行
2�����、發(fā)起的系統(tǒng)調(diào)用�����。圍繞DAEMON的設(shè)計(jì)與實(shí)現(xiàn)����,本文詳細(xì)論述了異常檢測理論、檢測算法�、實(shí)現(xiàn)思路、實(shí)現(xiàn)技術(shù)以及系統(tǒng)的未來發(fā)展��。最后闡述了測試入侵檢測系統(tǒng)(IDS)性能的評估標(biāo)準(zhǔn)�����。關(guān)鍵詞:入侵檢測系統(tǒng);異常檢測��;系統(tǒng)調(diào)用��;序列分析法北京下業(yè)人學(xué)T程碩}:學(xué)位論文AbstractModemcomputersystemsaremoreandmorethreatenedbysecurityproblems:suchasdatelost��,unauthorizedaCCeSS���,serviceattack����,denyofserviceattackandSOon.In
3����、trusionDetectionSystem(IDS)oftraditionalsecuritysystemsplaysanimportantroleinsystemsecurity.However,thedetectingtheoryofsuchkindofIDSisstillbasedonmis—useprinciple��,itcannothandleanyanomalybehaviors.Thisthesisdiscussedandresearchedaboutthedetectiontechnologyofanomalybehaviousd
4�、eeply.Basedonthebasictheoryoftheimmunesystem,weimplementaprototypenamedasDAEMONwiththeformofapatchforLinux2.4kernels.DAEMONCannotonlylearnandbuildactivelythenormalbehaviorsoftheapplicationsanddetecttheanomalyevents�,butalsorespondbyslowingdownthatprocess’Ssystemcallswhenitfind
5、sthataprocessisbehavingunusually.Thethesisillustrateddeeplythetheoryofanomalydetection���,detectionalgorithm,implementationtechnologyandthefurtherresearchdirectionsofDAEMON.Lastly,theevaluatedISDisdiscussedinthispaper.Keywords:IntrusionDetectionSystem:Anomalydetection����;Systemcall
6、:SequencesmethodlI獨(dú)創(chuàng)性聲明本人聲明所呈交的論文是我個人在導(dǎo)師指導(dǎo)下進(jìn)行的研究工作及取得的研究成果�。盡我所知,除了文中特別加以標(biāo)注和致謝的地方外���,論文中不包含其他人已經(jīng)發(fā)表或撰寫過的研究成果���,也不包含為獲得北京工業(yè)大學(xué)或其它教育機(jī)構(gòu)的學(xué)位或證書而使用過的材料。與我一同工作的同志對本研究所做的任何貢獻(xiàn)均已在論文中作了明確的說明并表示了謝意�。關(guān)于論文使用授權(quán)的說明≥口o8·§}。本人完全了解北京工業(yè)大學(xué)有關(guān)保留���、使用學(xué)位論文的規(guī)定��,即:學(xué)校有權(quán)保留送交論文的復(fù)印件���,允許論文被查閱和借閱;學(xué)?����?梢怨颊撐牡娜炕虿糠謨?nèi)容,可以采用影印
7�����、�����、縮印或其他復(fù)制手段保存論文����。1.1引言第1章緒論入侵檢測系統(tǒng)(IDS,IntrusionDetectionSystem)近幾年來發(fā)展迅速���,目前已經(jīng)和VPN����、防火墻��、防病毒一起成為計(jì)算機(jī)安全體系框架中不可缺少的四大重要組成部分�。IDS可以彌補(bǔ)防火墻的不足,防火墻技術(shù)只能做到盡量阻止攻擊企圖的得逞或者盡量延緩這個過程��,而不能阻止各種攻擊事件的發(fā)生�����。更何況在安全系統(tǒng)的實(shí)現(xiàn)過程中,還是有可能留下或多或少的漏洞�����,這些都需要在運(yùn)行過程中通過檢測手段的引入來加以彌補(bǔ)�����。IDS技術(shù)為網(wǎng)絡(luò)和主機(jī)活動提供實(shí)時的監(jiān)控��,并且在發(fā)現(xiàn)入侵時采取相應(yīng)的警告���、通知防火墻等響應(yīng)手
8、段�。’����。IDS系統(tǒng)作為必要附加手段,已經(jīng)為大多數(shù)組織機(jī)構(gòu)的安全構(gòu)架所接受���,其作用是顯而易見���。表1-1各類網(wǎng)絡(luò)安全工具的特點(diǎn)比較Tab]e
