收藏本站
《广东工业大学》 2008年
收藏 | 手机打开
二维码
手机客户端打开本文

基于对象监控的分布式协同入侵检测

滕少华  
【摘要】: 网络安全形势依然严峻,网络攻击事件时常发生,入侵检测技术的研究需要继续深入,国内外许多专家、学者从不同角度研究攻击分类问题,给出了各自的攻击分类体系,进而支持检测一定的攻击行为,这可通过部分分类体系与分类思想正被应用于当前的一些入侵检测系统证实。然而入侵检测尚有许多问题未解决:①误警率与漏警率高使入侵检测方法难于实用;②几乎每天都有新的攻击方法诞生,而又缺乏有效的方法检测;③分布式协同攻击使许多检测方法失效;④入侵检测系统很难有效地从海量数据中检测出攻击行为。针对上述问题,本文从研究攻击分类入手,提出了相应的检测方法,在一定程度上解决了入侵检测问题。本文的主要工作在于: 提出了一种O-R-M-C(Object,Result,Mechanism,Characteristics)分类体系。O-R-M-C分类以对象为中心,先确定被攻击对象Object,定位被攻击点;其次考察攻击产生的结果和危害程度Result,以迅速做出相应的行动,降低损失;进而分析攻击机理Mechanism,探知攻击的内在原因、攻击方法及攻击情况;总结归纳出攻击的一般特征Characteristics,以利于应对类似攻击或重复攻击的检测。 提出了一个分布式协同入侵检测模型。基于O-R-M-C分类体系,提出了一个由传感器、事件生成器、特征检测代理、场景检测代理、融合中心和控制中心组成的6层结构的分布式协同入侵检测模型。传感器用于收集网络数据包、日志和其他信息,提交给事件生成器;事件生成器对数据进行初步检测、过滤,将正常用户数据及显式入侵数据剔除、过滤掉,目标是尽可能减少入侵检测器处理的数据量,对不确定数据,生成可疑入侵事件,转发到相应的入侵事件检测代理;入侵事件检测代理(特征检测/场景检测/融合中心)对可疑入侵事件进行分析,剔除、过滤掉正常用户数据,当检测出攻击行为时,转响应单元处理;对仍不能确定的可疑入侵数据,提交给更高层的检测代理;监控中心监控、管理、协调各入侵事件检测代理(特征检测代理/场景检测代理)的工作,调节各检测代理负载。 设计并实现了四种入侵事件检测代理,他们分别是特征检测代理、场景检测代理、统计检测代理和基于数据融合技术的检测代理。特征检测代理抽取可疑入侵事件的特征,将其与数据库存放的已知攻击特征进行比较、分析,判断是否为入侵行为;场景检测代理通过对一个已知攻击,分析其攻击机理,将已知攻击及其所有派生攻击组织进一个入侵场景,构造出检测已知攻击及其所有派生攻击的检测自动机;统计检测代理通过考察受害者对象在一定时间内的通信量,判断其是否超出预先设定的阈值来检测攻击行为;数据融合技术的检测代理给出了从空间、时间与内容上融合数据的方法,进而给出了数据融合算法。 设计并实现了检测三大类攻击的检测器,第一类是扫描攻击与拒绝服务攻击检测器,由于扫描攻击与拒绝服务攻击机理、受害对象都相同,因而依据O-R-M-C分类体系,本文提出了一个基于三层结构的检测器检测扫描攻击与拒绝服务攻击,它由特征检测代理、场景检测代理与统计检测代理三层结构组成;第二类是木马攻击检测器,它由基于规范的检测(特征检测代理)与统计检测代理组成;第三类是权限提升及其变种攻击检测器,它由场景检测代理完成。 解决了检测已知攻击及其所有派生攻击的检测问题。研究了权限提升攻击机理,探究了攻击与对象状态变迁的内在联系,揭示了通过一个已知攻击产生变种攻击的原理、技术与方法,提出了运用场景(Scenario)与对象监控技术检测已知攻击及其所有派生的新攻击的方法,进而组织入侵场景,构造有穷自动机来检测这些入侵行为。由于一个变种攻击不同于已知攻击,从这种意义上说,我们提出的方法能够检测新的攻击。 设计并实现了基于数据融合技术的协同入侵检测算法。探讨了数据融合技术在入侵检测领域的应用,给出了从空间、时间及内容上融合可疑入侵数据的方法,通过协同攻击、多次会话攻击及精心设计的攻击的检测问题说明如何运用数据融合技术,改进检测效果。 设计并实现了一个协同入侵检测原型系统CoIDM(Collaborative IntrusionDetection Model)。经实验验证了CoIDM入侵检测原型的有效性,检验了本模型能够检测刻意伪装的攻击及多个攻击者进行的协同攻击。最后给出了将来进一步研究的方向。
【学位授予单位】:广东工业大学
【学位级别】:博士
【学位授予年份】:2008
【分类号】:TP393.08

手机知网App
【相似文献】
中国期刊全文数据库 前10条
1 周敏;;GARBF在网络入侵检测中的应用研究[J];计算机仿真;2011年06期
2 蒋贤特;周晓慧;;基于遗传神经网络的误分类代价敏感网络入侵检测[J];计算机系统应用;2011年06期
3 李佩顺;;探讨入侵检测系统在信息安全中的应用[J];农业网络信息;2011年08期
4 符易阳;周丹平;;Android安全机制分析[J];信息网络安全;2011年09期
5 沈艳;方湘艳;韩威;邹娟;;基于四层过滤的网络入侵检测系统模型[J];计算机与数字工程;2011年06期
6 乔佩利;袁硕;;入侵检测模型中检测器的改进与优化[J];哈尔滨理工大学学报;2011年03期
7 王小芬;刘辉;;自适应入侵检测模型[J];网络安全技术与应用;2011年07期
8 王慧;;基于危险理论树突状细胞算法的入侵检测模型[J];广西民族大学学报(自然科学版);2011年02期
9 李成云;支冬栋;;免疫算法在入侵检测模型中的应用研究[J];电脑知识与技术;2011年19期
10 康世瑜;;基于数据挖掘和特征选择的入侵检测模型[J];微电子学与计算机;2011年08期
中国重要会议论文全文数据库 前10条
1 孙和凯;魏海平;;基于人工免疫的入侵检测模型研究[A];2010通信理论与技术新发展——第十五届全国青年通信学术会议论文集(上册)[C];2010年
2 王新生;孔晓峰;刘玉芳;;应用本体解决入侵检测误警问题[A];第十九次全国计算机安全学术交流会论文集[C];2004年
3 赵敏;王红伟;张涛;张毓森;;AIB-DBIDM:一种基于人工免疫的数据库入侵检测模型[A];第26届中国数据库学术会议论文集(B辑)[C];2009年
4 宋博;张琦建;;基于移动代理的入侵检测模型在水利信息化中的应用[A];科技创新与现代水利——2007年水利青年科技论坛论文集[C];2007年
5 李云霞;郑宏;李平;;基于遗传算法的自适应入侵检测系统研究[A];2005中国控制与决策学术年会论文集(下)[C];2005年
6 周颉;;无线传感器网络入侵检测模型研究[A];中国电子学会第十六届信息论学术年会论文集[C];2009年
7 方琦林;许榕生;陈国龙;;基于多Agent和并行遗传算法的入侵检测系统[A];全国网络与信息安全技术研讨会'2005论文集(上册)[C];2005年
8 胡小勇;胡美珍;;数据挖掘式的入侵检测在数据库中的应用设计[A];江西省煤炭工业协会、江西省煤炭学会2007年工作暨学术年会学术论文集[C];2007年
9 李楠;胡学钢;王东波;;基于改进随机决策树的入侵检测模型研究[A];计算机技术与应用进展·2007——全国第18届计算机技术与应用(CACIS)学术会议论文集[C];2007年
10 张红梅;;基于粗糙集特征约简的SVM集成入侵检测模型[A];2009中国控制与决策会议论文集(3)[C];2009年
中国博士学位论文全文数据库 前10条
1 杨清;移动自组网络路由入侵检测模型与方法研究[D];武汉理工大学;2009年
2 滕少华;基于对象监控的分布式协同入侵检测[D];广东工业大学;2008年
3 李奕男;Ad Hoc网络门限身份认证方案及入侵检测模型研究[D];吉林大学;2010年
4 贾银山;支持向量机算法及其在网络入侵检测中的应用[D];大连海事大学;2004年
5 陈海光;无线传感器网络中若干安全问题研究[D];复旦大学;2008年
6 刘贵松;入侵检测的神经网络方法[D];电子科技大学;2007年
7 陈云芳;分布式入侵检测系统关键技术研究[D];苏州大学;2008年
8 任斐;基于数据挖掘的自适应异常检测研究[D];吉林大学;2009年
9 刘棣华;网络入侵检测系统及其自适应性的研究与实现[D];东华大学;2009年
10 朱卫未;电子政务系统信息安全策略研究[D];中国科学技术大学;2006年
中国硕士学位论文全文数据库 前10条
1 熊小萍;基于移动代理的入侵检测系统研究[D];广西大学;2005年
2 刘恒;基于神经网络的自学习入侵检测系统的设计与实现[D];电子科技大学;2005年
3 赵乘麟;数据挖掘在入侵检测系统中的应用研究[D];中南大学;2005年
4 汪坦岳;基于LM-BP神经网络入侵检测系统的研究与实现[D];湖南大学;2007年
5 路文静;基于移动代理的入侵检测技术在信息化系统中的研究[D];哈尔滨理工大学;2007年
6 黄磊;基于虚拟组织的网格入侵检测系统研究[D];大连理工大学;2007年
7 邝礼红;基于人工神经网络的入侵检测系统研究[D];重庆大学;2007年
8 段颖;基于免疫机制的动态克隆选择算法[D];吉林大学;2007年
9 凌昊;基于决策树分类算法的网络入侵检测系统的研究[D];湖南大学;2007年
10 刘辉;入侵检测中可变检测器的研究[D];哈尔滨理工大学;2008年
 快捷付款方式  订购知网充值卡  订购热线  帮助中心
  • 400-819-9993
  • 010-62791813
  • 010-62985026