论文部分内容阅读
随着网络的普及和黑客的增多,网络安全问题变得日益重要。作为防火墙的重要补充,入侵检测(IDS)技术成为当前网络安全研究领域的热点。目前IDS存在一些问题,如误报率和漏报率比较高,检测速度慢,占用资源多等。本文针对这些问题,在深入分析Snort、移动代理、模糊推理、最优搜索等技术的基础上,对入侵检测的算法和体系结构作了创新性和探索性研究。主要内容为:(1)研究了模糊推理petri网(FRPN)在入侵检测系统中的应用方法,对FRPN的定义进行了修改,引入了命题的加权因子,同时修改了推理算法,对FRPN应用于入侵检测系统中的合理性进行了验证。FRPN的推理方法一般是模糊命题合取式的真值取各子式真值的最小值,析取式的真值取各子式真值的最大值。在入侵检测系统中,这种方法没有考虑命题在规则中的权重,致使推理不够准确。引入加权因子后,就能够考虑各事件的权重,使推理更加准确。(2)研究了最优搜索理论模型和它在入侵检测的规则匹配中的应用。通过将规则库按照攻击类别分类,然后根据最优搜索原理,将有限的时间分配到各类攻击的检测中去,在尽量不丢包的情况下使检测到攻击的概率最大化。在一般的IDS中,规则匹配的过程采用遍历法,如果匹配过程中使用模式匹配,则在高速网络下就会丢失较多的数据包。如果检测速度不变,可以考虑选取部分规则进行匹配。本文通过最优搜索理论,根据已发生的和可能发生的攻击的情况,对检测时间进行最优分配,减少匹配工作量,尽量使IDS不产生丢包,从而检测到更多的攻击。(3)研究了分布式入侵检测系统的体系结构,提出了一种基于Snort和移动代理(MA)的入侵检测模型。通过主机信息收集器(HIC)收集主机事件,通过Snort和网络信息收集器(NIC)收集网络事件。通过移动代理将各事件信息进行融合分析,从而提高检测的精度。这种结构,不但能检测到传统的攻击行为,而且能检测到分布式攻击。使用移动代理,还可以减少网络数据流,提高系统实时性,而且管理方便。