论文部分内容阅读
计算机网络已成为现代生活中不可或缺的重要元素,安全问题也已成为信息时代不可忽视的紧迫挑战。入侵检测作为网络安全的重要防护措施,致力于尽早尽快发现入侵,采取记录,报警,隔断等有效措施来堵塞漏洞和修复系统。1994年,Kumar首次将Petri网引入到入侵检测系统中,创建了基于Petri网的入侵检测系统模型。用Petri网表示入侵行为,只需了解入侵初始状态和被入侵状态,不需要知道其入侵方式,把传统的入侵模式匹配法向状态匹配法转变,大大提高了入侵模型的效率。基于Petri网的入侵检测技术对提高互联网安全中起到了非常大的帮助。为了能够描述、分析和抵御异构集成网络环境下日益复杂多样化的网络入侵问题,本文在前人研究基础上将ASAX(Advanced SecurityAudit-trailAnalysis on uniX)和Petri网结合,提出了一种基于Petri网的ASAX的网络入侵模型,并基于Petri网分析方法设计了一个该模型的行为分析方法。主要工作包括:(1)对已有入侵模型进行整理,分析其优缺点,为本文工作提供指导思路。当前网络环境下,各种入侵检测模型种类繁多,但是各种模型之间不能协同工作,并且宽带高速网络模式下,处理大量信息存在问题,导致检测效率的低下,并且存在着模型过于庞大的问题。(2)提出一种基于Petri网的ASAX的网络入侵模型IDM-AP。引入ASAX系统审计数据分析工具,它能将异构操作系统的审计记录转化为标准格式,其通用的基于规则分析语言适用于处理大规模序列化文件,具备更快的信息处理能力。ASAX所依赖的专家系统我们采取有色Petri网对正常/异常行为进行建模,有色Petri网支持不同的类型标识(用不同的颜色表示),支持变量的合一操作以及变迁约束条件,从而减小网的规模,处理模型过于庞大的问题。(3)设计基于Petri网的入侵模型行为分析方法。针对入侵检测模型IDM-AP行为分析问题,我们以Petri网的T-不变量为工具,研究了T-不变量的引发支集与可达图中有向环路上标注的变迁对应特性,把状态方程的解向量进行线性分解,使原解向量改写成网的极小T-不变量的与基础向量的线性组合,分别针对原网Σ=(P, T; F, M0, W)、逆网Σ-1=(P, T; F-1, M d, W)按层序依次构造可达树,通过同步比较当前叶节点层标识以寻找相同标识,从而达到IDM-AP模型中合法行为序列达判定目的。该方法有助于剔除IDM-AP模型中的非合法行为,找出入侵行为。