论文部分内容阅读
随着计算机和网络技术的快速发展以及应用程度的不断提高,计算机网络安全已成为经济发展的关键,同时也是国防安全的重要组成部分。对入侵和攻击行为的检测与防范,保障计算机系统、网络系统及整个信息基础设施的安全是一项刻不容缓的重要课题。网络入侵检测技术作为一种积极主动的安全防护技术正成为目前网络安全领域中研究的热点。虽然网络入侵检测技术已经研究了许多年,也研制了一些入侵检测系统,但是当前这些网络入侵检测系统(Network Intrusion Detection System, NIDS)正面临着严重的信任危机,如何有效地降低漏报率和误报率成为入侵检测领域亟待解决的关键问题。基于这样的背景,本文以提高网络入侵检测系统的可信度为目的,着重对以下几个方面进行了深入研究: 首先介绍了入侵检测技术的研究背景和研究现状,阐述了入侵检测的概念和发展历史,对入侵检测系统的分类研究及发展趋势进行了综述,并通过理论分析,指出了高误报率和漏报率是影响入侵检测系统可信度的关键因素,进一步明确了本文的研究内容和意义。 在对漏报进行详尽分析的基础上,指出数据采集能力不足是产生高漏报率的主要原因。以数据采集的排队论模型为理论指导依据,在实时操作系统RTLinux下,设计并实现了基于半轮询驱动的用户级报文传输机制——UMPS。提出了半轮询驱动的概念,利用半轮询驱动机制降低了系统中断频率,明显提高了短报文的处理能力。通过更为高效的地址翻译和基于资源映射图的缓冲区管理算法,有效地降低了网络通信的延迟与开销,提高了系统报文的峰值吞吐量。实验结果表明UMPS对降低系统漏报率行之有效。 为了滤除非相关告警对入侵检测系统确定性所产生的影响,提出了一个基于上下文验证的网络入侵检测模型——CVNIDM。结合环境上下文、弱点上下文、反馈上下文和异常上下文等上下文信息,CVNIDM构建了一个以上下文验证为中心,多种安全技术相结合的高效、稳定、完整、易管理、可扩充的非相关告警处理平台,实现了告警的自动验证以及攻击行为是否有效的自动判定,从而达到滤除非相关告警的目的,为后面的告警关联奠定了可靠的基础。 入侵检测系统产生的重复性的、不完善的或不完整的告警事件给传统的依赖人工手动分析的安全管理工作模式提出了相当严峻的考验。为此,提出了以告警的行为模式概念为中心,基于异常检测思想的自适应告警关联方法——A3PC。通过提取关联规则和序列模式生成告警的分类模型,对误报进行自动鉴别,同时采用模式挖掘和聚类分析算法相结合的处理思想以及人机交互的半自动处理模式,从而形成真实有效的、精简的管理员告警视图,提高入侵检测系统的精确性。 针对当前入侵检测系统普遍存在的告警层次较低,仅能反映简单琐碎的攻击片断等问题,提出了一种基于权能转换模型的攻击场景推理、假设与预测框架——ASRHP。通过引入指数加权滑动平均方法过滤相邻权能转换过程中的瞬时抖动,ASRHP实现了以告警相关矩阵为核心的攻击场景自动推理,提出了最相关告警的概念,保证了攻击假设的准确程度并实现了对复合式攻击意图的精确预测。实验数据表明,ASRHP具有快速准确的优势,为及时有效的主动防御、网络犯罪取证、安全应急响应以及安全态势评估等提供了有力保障。