论文部分内容阅读
当我们越来越依靠信息基础设施作为国防、银行、电讯、运输、电力及其他有关国计民生的社会系统的支撑措施时,我们的社会就面临着承担入侵这些社会系统所带来的严重的灾难性后果的威胁。因此,开展网络安全特别是入侵攻击与防范技术的研究,开发急需的、高效实用的网络入侵检测系统,对计算机网络的发展和网络信息建设与应用都具有重要的意义。
入侵检测技术能够捕获闯入信息系统的入侵行为,这种技术是加强信息系统安全的一种重要手段。现存的入侵检测技术可分为两大类:特征识别与异常检测两种技术。
由于TCP/IP在网络互联方面的健壮性,使它在互联网中广泛流行。但是同是因为在设计之初仅考虑它的易用性,对它的安全设计考虑的不是很充分,TCP/IP在使用过程中暴露了它越来越多的漏洞与缺陷。这些漏洞与缺陷对网络上的入侵者来说,这是留给他们一试身手的天然后门,因此使用TCP/IP协议联入Internet的信息系统不可避免的由于这些漏洞而时时承受被攻击的威胁。
统计技术是入侵检测系统中现今最为成熟和常用的技术,它的一个突出优点是它具有精确描述和处理牵涉于系统活动中的偏差与噪音的能力。
本文提出了一种基于网络协议特性的统计入侵检测模型,在该模型中用统计技术实现了两种不同的入侵检测方法。针对网络协议通信的特性,从网络协议包中提取各种协议标志,构建向量P={f1,f1,….,fp},这里fi(i=1,2,……,p)表示协议标志的统计频数,在此基础上设计特征检测与异常检测。实现特征检测使用了统计技术中x2检验的一种变体形式r×s列联表的Pearsonx2检验技术;在实现异常检测时则用的是费歇(Fisher)判别法。
网络数据流中数据传输使用最多的协议是IP与TCP协议,本文重点以IP与TCP协议为研究对象,分析了IP与TCP在传输数据时所留下的安全隐患。针对常见的入侵方式,选取IP协议包的分片标志(Fragmentflag);对于TCP协议包,则选取TCP连接初始标志Syn、TCP连接断开标志Fin与TCP连接重置标志Reset。在模型系统实现上向量P的组织形式为P={f1,f2,f3,f4},其中f1、f2、f3与f4分别表示Fragment、Fin、Syn与Reset在向量P中的频数。用Z=Σfi来记数标志频数之和,Z为可调参数,在规定的时间段内当从网络上获取的标志频数达到上限Z时则记P为一检测模式。
现今商用或研究中的入侵检测系统用统计技术来做入侵检测时基本上都是用来做异常检测。本文提出在基于网络特性基础上用统计技术实现特征检测与异常检测简化了入侵检测系统实现的复杂性。
本文最后系统的介绍了入侵检测模型系统的详细设计过程,对各个功能模块作了详细的叙述。
入侵检测的主要目的是在最短的时间内检测出尽可能多的入侵行为,为整个信息系统安全管理者提交正确的决策依据。从试验结果来看,本文提出的入侵检测系统有较好的效果。