随着互联网的普及和信息技术的发展,网络入侵也日益成为人们关注的安全问题。目前的入侵检测技术存在:检测误报率较高;无法有效检测未知攻击等问题。为了解决上述问题,本文在协议分析技术的基础上,利用确定有限自动机,把网络数据抽象得到网络行为,通过判断其行为是否属于用户的正常范围来检测入侵。 网络行为分析技术克服了传统入侵检测技术的盲目性,有效提高检测的准确性,而且能够在一定程度上检测未知类型的攻击。 论文的主要工作包含如下几个方面: (1)概述入侵检测技术的原理以及发展现状。对经典的 Snort入侵检测系统进行详细介绍,通过实验分析 Snort系统存在的缺陷,并简要介绍更有优势的协议分析技术;(2)针对 Snort入侵检测系统自身安全性考虑不足的问题,采用分层的思想,构造一种基于Snort的分层入侵检测框架。通过引入Snort入侵检测分层框架,提高了系统的自身防御能力;分层结构使系统各层次独立部署,极大地简化了系统的配置和调试工作;(3)在协议分析技术的基础上,利用确定有限自动机(DFA),设计一种应用层行为分析模型,并对 Snort入侵检测系统进行框架改进和部分模块优化,从而提出一种基于网络行为分析的Snort入侵检测改进模型BA-IDS(a improved model for snort intrusion detection system based on behavior analysis);(4)对BA-IDS模型的DFA行为检测模块和整体性能进行分析,并与原有的 Snort入侵检测系统进行对比测试。实验结果表明,基于网络行为分析的BA-IDS入侵检测模型,在检测的准确性和系统性能方面具有明显的优势。
暂无评论