【正文】 響。早期，攻擊圖由Red Teams通過(guò)對(duì)系統(tǒng)的脆弱性分析，手動(dòng)生成，當(dāng)網(wǎng)絡(luò)規(guī)模較大時(shí)，這種方式效率很低。網(wǎng)絡(luò)攻擊模型的建模方法主要有四種，分別是攻擊樹、攻擊網(wǎng)、狀態(tài)轉(zhuǎn)移圖和攻擊圖。所以，其可伸縮性、安全性都得到了顯著的提高，但維護(hù)成本卻高了很多，并且增加了所監(jiān)控主機(jī)的工作負(fù)荷，如通信機(jī)制、審計(jì)開銷、蹤跡分析等。這種結(jié)構(gòu)仍存在兩個(gè)問(wèn)題：①當(dāng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)改變時(shí)，區(qū)域分析結(jié)果的匯總機(jī)制也需要做相應(yīng)的調(diào)整；②這種結(jié)構(gòu)的IDS最后還是要把各地收集到的結(jié)果傳送到最高級(jí)的檢測(cè)服務(wù)器進(jìn)行全局分析，所以系統(tǒng)的安全性并沒(méi)有實(shí)質(zhì)性的改進(jìn)。(2)等級(jí)式：為了克服集中的缺點(diǎn)，等級(jí)式IDS被提出來(lái)。這種結(jié)構(gòu)的IDS無(wú)法適應(yīng)大規(guī)模網(wǎng)絡(luò)環(huán)境，在可伸縮性、可配置性方面存在致命缺陷：①隨著網(wǎng)絡(luò)規(guī)模的增加，導(dǎo)致網(wǎng)絡(luò)性能大大降低。(1)集中式：這種結(jié)構(gòu)的工DS可能有多個(gè)分布于不同主機(jī)上的審計(jì)程序，但只有一個(gè)中央入侵檢測(cè)服務(wù)器。經(jīng)過(guò)二十來(lái)年的研究與發(fā)展，入侵檢測(cè)已經(jīng)從最初簡(jiǎn)單的基于審計(jì)信息的單機(jī)檢測(cè)模式，發(fā)展到以網(wǎng)絡(luò)為平臺(tái)，研究?jī)?nèi)容豐富，涉及領(lǐng)域廣泛的一門綜合性學(xué)科。國(guó)外的企業(yè)及其產(chǎn)品有：Sourcefire公司(現(xiàn)被Barracuda Networks INC收購(gòu))的Snort， ISS(Internet Security System)公司的RealSecure， Cisco公司的Secure IDS(前身為NetRanger )，Axent Technologies公司(現(xiàn)被Symantec收購(gòu))的Netprowler/Intruder Alert， CA公司的SessionWall3/eTrust Intrusion Detection， NFR公司的NID， NAI公司的C如erCop Monitor等。卿斯?jié)h等人定期會(huì)撰寫介紹入侵檢測(cè)研究現(xiàn)狀的文章，發(fā)表在國(guó)內(nèi)權(quán)威期刊上，這對(duì)于國(guó)內(nèi)信息安全研究人員了解相關(guān)領(lǐng)域的研究動(dòng)態(tài)起了很好的幫助作用。國(guó)內(nèi)從事信息安全入侵檢測(cè)研究的主要機(jī)構(gòu)有：中科院，國(guó)防科技大學(xué)、哈爾濱工業(yè)大學(xué)、上海交通大學(xué)、北京郵電大學(xué)等。國(guó)外從事信息安全入侵檢測(cè)研究的主要機(jī)構(gòu)有：?jiǎn)讨味卮髮W(xué)，普渡大學(xué)COAST實(shí)驗(yàn)室，SRI公司計(jì)算機(jī)科學(xué)實(shí)驗(yàn)室(SRI/CLS )，Haystack實(shí)驗(yàn)室，加州大學(xué)戴維斯分校，加州大學(xué)圣塔芭芭拉分校，洛斯阿拉莫斯國(guó)家實(shí)驗(yàn)室、哥倫比亞大學(xué)、新墨西哥大學(xué)等。國(guó)際信息與通信安全會(huì)議ICICS是國(guó)內(nèi)信息安全領(lǐng)域的頂級(jí)會(huì)議，也是國(guó)際公認(rèn)的第一流國(guó)際會(huì)議，由中科院軟件研究所主辦。IFIP/SEC主要由IFIP信息安全專委會(huì)TC11負(fù)責(zé)，第一屆IFIP/SEC信息安全國(guó)際會(huì)議于1983年5月在瑞典斯德哥爾摩召開，每年召開一次，到2009年已召開24屆。ACM，Springer，Elsevier，IEEE等國(guó)際知名組織和出版商每年都會(huì)刊登大量的相關(guān)文章，出版相應(yīng)的論文集。隨著網(wǎng)絡(luò)的興起，網(wǎng)絡(luò)的安全問(wèn)題日益嚴(yán)重，入侵檢測(cè)得到了重視，廣泛的發(fā)展起來(lái)。這無(wú)疑給網(wǎng)絡(luò)安全技術(shù)提出了新的挑戰(zhàn)。網(wǎng)絡(luò)和計(jì)算機(jī)技術(shù)的進(jìn)步，在給人類的生活帶來(lái)極大便利的同時(shí)，也為黑和惡意攻擊者提供了入侵的手段和條件。在這種情況下，除了可能出現(xiàn)前面提到的三種情況外，還可能會(huì)出現(xiàn)一些意想不到的嚴(yán)重后果，造成災(zāi)難性的危害。在沒(méi)有很好的數(shù)據(jù)保護(hù)管理機(jī)制的情況下，重要數(shù)據(jù)的損毀對(duì)企業(yè)和個(gè)人往往是災(zāi)難性的，很多人面對(duì)重要數(shù)據(jù)的丟失往往是欲哭無(wú)淚，訴求無(wú)門。還有一些外來(lái)的因素，如突然斷電造成的數(shù)據(jù)損毀。數(shù)據(jù)損毀主要是對(duì)數(shù)據(jù)完整性的破壞，包括數(shù)據(jù)的損壞和丟失，導(dǎo)致數(shù)據(jù)損毀的原因是多方面的，有人為的因素，如入侵者的刪除和蓄意破壞用戶個(gè)人的錯(cuò)誤操作，誤刪或沒(méi)有保存。所以信息泄漏是網(wǎng)絡(luò)安全領(lǐng)域的重要問(wèn)題，危害十分嚴(yán)重。信息泄漏的危害很大，甚至?xí){到政府和國(guó)家的安全。此外，個(gè)人網(wǎng)上銀行賬戶的泄漏會(huì)對(duì)個(gè)人的財(cái)產(chǎn)造成重大的損失，某些網(wǎng)絡(luò)賬號(hào)和密碼的被竊，會(huì)被入侵者用來(lái)做一些違背用戶個(gè)人意愿的事情，有時(shí)甚至?xí)沁`法的事情。2)信息泄漏：企業(yè)網(wǎng)絡(luò)及個(gè)人的主機(jī)上有許多重要信息和資料，有些保密級(jí)別很高，不能對(duì)外公開。系統(tǒng)遭到破壞產(chǎn)生的直接后果就是用戶無(wú)法使用電腦進(jìn)行正常工作。首先，在當(dāng)前的網(wǎng)絡(luò)狀況下，各種病毒和攻擊方法不斷更新?lián)Q代，安全威脅的種類越來(lái)越多，升級(jí)的頻率越來(lái)越快，所能影響的范圍也越來(lái)越廣。同時(shí)據(jù)抽樣顯示，2011年，境內(nèi)外控制者利用木馬控制端對(duì)主機(jī)進(jìn)行控制的事件中，木馬控制端IP地址總數(shù)為433，429個(gè)，被控制端IP地址總數(shù)為2，861，621個(gè)，比去年同期均有較大幅度的增長(zhǎng)。同時(shí)也為網(wǎng)絡(luò)攻擊提供了便利條件，攻擊技術(shù)快速發(fā)展，呈現(xiàn)出多元化、復(fù)雜化和智能化的發(fā)展趨勢(shì)，攻擊頻度和規(guī)模逐年遞增。而以計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)為代表的IT產(chǎn)業(yè)更是位于科技發(fā)展的技術(shù)前沿，并且直接引導(dǎo)了互聯(lián)網(wǎng)的一次次技術(shù)革命，人類社會(huì)的各個(gè)領(lǐng)域都在發(fā)生著前所未有的重大變革，人類社會(huì)正在走進(jìn)信息化社會(huì)。作者簽名：　　 　 　　 日　 期：　　　 　目 錄第一章 緒 論 1 研究背景 1 國(guó)內(nèi)外研究現(xiàn)狀 3 本文的主要工作 8 本文的組織結(jié)構(gòu) 9第二章 入侵檢測(cè)技術(shù)研究綜述 11 檢測(cè)技術(shù)的發(fā)展史 11 檢測(cè)技術(shù)的分類 12 檢測(cè)技術(shù)的評(píng)價(jià)指標(biāo) 13 誤用檢測(cè)技術(shù) 14 基于規(guī)則匹配的檢測(cè)技術(shù) 15 基于條件概率的檢測(cè)技術(shù) 15 基于狀態(tài)轉(zhuǎn)移分析的檢測(cè)技術(shù) 16 基于模型推理誤用的檢測(cè)技術(shù) 16 異常檢測(cè)技術(shù) 17 基于統(tǒng)計(jì)方法的檢測(cè)技術(shù) 17 基于貝葉斯推理的檢測(cè)技術(shù) 18 基于神經(jīng)網(wǎng)絡(luò)的檢測(cè)技術(shù) 18 基于遺傳算法的檢測(cè)技術(shù) 19 基于數(shù)據(jù)挖掘的檢測(cè)技術(shù) 20 基于人工免疫的檢測(cè)技術(shù) 20 基于支持向量機(jī)的檢測(cè)技術(shù) 20 入侵檢測(cè)系統(tǒng)結(jié)構(gòu)分析 21 集中式IDS 21 等級(jí)式IDS 22 分布式IDS 24 規(guī)則描述語(yǔ)言 25 實(shí)驗(yàn)數(shù)據(jù) 29 本章小結(jié) 33第三章 誤用入侵檢測(cè)中的模式識(shí)別算法研究 35 引言 35 ACBM算法 36 ACBM算法改進(jìn) 38 問(wèn)題分析 38 改進(jìn)方案 39 算法構(gòu)造 40 實(shí)驗(yàn)及分析 52 本章小結(jié) 61第四章 基于啟發(fā)式搜索的特征選擇 62 搜索策略 62 評(píng)價(jià)準(zhǔn)則 63 特征選擇算法 64 基于變量相似性特征選擇 66 線性相關(guān)系數(shù)準(zhǔn)則和最大信息壓縮準(zhǔn)則 67 基于變量相似性的特征選擇算法 68 實(shí)驗(yàn)及分析 69 本章小結(jié) 71第五章 異常入侵檢測(cè)中的SVM分類器研究 73 引言 73 傳統(tǒng)SVM分類器 74 INNSVM分類器構(gòu)造 76 問(wèn)題分析 76 改進(jìn)方案 78 分類器構(gòu)造 79 實(shí)驗(yàn)及分析 84 本章小結(jié) 87第六章 基于啟發(fā)式規(guī)則的混合入侵檢測(cè)系統(tǒng) 88 引言 88 傳統(tǒng)IDS 89 基于啟發(fā)式規(guī)則的混合入侵檢測(cè)模型 90 設(shè)計(jì)思路 90 模型構(gòu)造 90 實(shí)驗(yàn)及分析 96 吞吐率 97 匹配性能 97 分類器性能 99 本章小結(jié) 100第七章 總結(jié)與展望 101 本論文對(duì)相關(guān)項(xiàng)目的貢獻(xiàn) 101 本論文的總結(jié) 101 關(guān)于未來(lái)研究的展望 102參考文獻(xiàn) 103致 謝 105在讀期間發(fā)表的學(xué)術(shù)論文與取得的其他研究成果 106 第一章 緒 論第一章 緒 論 研究背景隨著網(wǎng)絡(luò)和計(jì)算機(jī)技術(shù)的不斷發(fā)展，人類社會(huì)進(jìn)入了一個(gè)嶄新的互聯(lián)網(wǎng)時(shí)代。對(duì)本研究提供過(guò)幫助和做出過(guò)貢獻(xiàn)的個(gè)人或集體，均已在文中作了明確的說(shuō)明并表示了謝意。tion method (UD method) taking both upload and download data into consideration. With the enhanced separately analysis method,we could figure out the intrusion clues more effectively and efficiently. We wonder the relationships between these data might contain some instinct clue for discovering important intrusions. Experiment results demonstrate the effectiveness of our approach.Key Words: Intrusion detection, SVM, Upward IP Data, Downward IP Data目 錄畢業(yè)設(shè)計(jì)（論文）原創(chuàng)性聲明和使用授權(quán)說(shuō)明原創(chuàng)性聲明本人鄭重承諾：所呈交的畢業(yè)設(shè)計(jì)（論文），是我個(gè)人在指導(dǎo)教師的指導(dǎo)下進(jìn)行的研究工作及取得的成果。論文最后對(duì)所作的研究工作進(jìn)行了總結(jié)，并指出了今后的研究方向。最后，論文提出了一種基于啟發(fā)式規(guī)則的混合入侵檢測(cè)模型，系統(tǒng)通過(guò)各對(duì)連接上下行數(shù)據(jù)分別采用誤用檢測(cè)方法和異常檢測(cè)方法，并對(duì)檢測(cè)到得結(jié)果進(jìn)行擬合，通過(guò)分析向用戶發(fā)布告警入侵行為。再次，論文針對(duì)異常檢測(cè)技術(shù)存在計(jì)算量大、訓(xùn)練時(shí)間長(zhǎng)、在小樣本情況下分類精度低的問(wèn)題，論文研究了特征選擇和SVM分類器，通過(guò)SVM在訓(xùn)練過(guò)程中主動(dòng)挑選學(xué)習(xí)樣本，從而有效地減少訓(xùn)練樣本數(shù)量，縮短訓(xùn)練時(shí)間。論文首先介紹了入侵檢測(cè)技術(shù)的研究現(xiàn)狀和發(fā)展趨勢(shì)，對(duì)目前常用的入侵檢測(cè)技術(shù)和方法進(jìn)行了歸類和分析，同時(shí)比較了各種入侵檢測(cè)方法的優(yōu)勢(shì)和不足，指出了入侵檢測(cè)技術(shù)存在的問(wèn)題。本文以提高入侵檢測(cè)技術(shù)的檢測(cè)正確率，降低誤警率和漏警率以及提高檢測(cè)效率為技術(shù)目標(biāo)，在檢測(cè)技術(shù)、告警融合和分布式入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu)等方面進(jìn)行了深入系統(tǒng)的研究，取得了一些創(chuàng)新性的研究成果，主要內(nèi)容包括：入侵檢測(cè)技術(shù)分為異常檢測(cè)和誤用檢測(cè)兩大類。做為保護(hù)網(wǎng)絡(luò)安全手段之一的入侵檢測(cè)技術(shù)，一直被廣大國(guó)內(nèi)外學(xué)者所關(guān)注。摘 要基于啟發(fā)式規(guī)則的入侵檢測(cè)技術(shù)研究摘 要計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的普及，在給人們的生活帶來(lái)極大便利的同時(shí)，也將安全隱患傳播到整個(gè)網(wǎng)絡(luò)。正是由于網(wǎng)絡(luò)的普及率越來(lái)越高，一旦發(fā)生有目的、大規(guī)模的網(wǎng)絡(luò)入侵行為，其造成的影響就越惡劣。由于網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，網(wǎng)絡(luò)流量的不斷增長(zhǎng)和黑客技術(shù) 的不斷發(fā)展，對(duì)入侵檢測(cè)的性能提出了更高的要求。本文分別針對(duì)異常檢測(cè)和誤用檢測(cè)技術(shù)中存在的問(wèn)題，研究了其改進(jìn)方法，并提出一種基于啟發(fā)式規(guī)則的混合入侵檢測(cè)模型。其次，論文討論了誤用入侵檢測(cè)中模式識(shí)別算法，針對(duì)模式匹配方法存在的匹配速度慢、誤報(bào)率較高、模型庫(kù)動(dòng)態(tài)更新難等問(wèn)題，論文提出了一種改進(jìn)的ACBM算法，進(jìn)一步提高了算法的匹配速度，設(shè)計(jì)的MRRT規(guī)約樹能支持多線程歸約和在線動(dòng)態(tài)調(diào)整，特別適用于大規(guī)模多模式匹配。該檢測(cè)方法解決了異常檢測(cè)中大量訓(xùn)練樣本集獲取困難的問(wèn)題。該模型具有數(shù)據(jù)處理效率高，誤報(bào)率低，協(xié)作性好，自學(xué)習(xí)能力強(qiáng)，安全性高等特點(diǎn)。關(guān)鍵詞：入侵檢測(cè)，模式識(shí)別，啟發(fā)式，特征選擇，支持向量機(jī)AbstractABSTRACTIntrusion Detection has shown great potential in network security research. Most existing intrusion detection methods treat all data in the network as a whole. However, in reality, data in the network could be divided into two categories: upload data and download data. When intrusion takes place,these two types of dataflow may have different characters. Based on this discovery,we proposed a novel intrusion detec172。盡我所知，除文中特別加以標(biāo)注和致謝的地方外，不包含其他人或組織已經(jīng)發(fā)表或公布過(guò)的研究成果，也不包含我為獲得安陽(yáng)工學(xué)院及其它教育機(jī)構(gòu)的學(xué)位或?qū)W歷而使用過(guò)的材料。作 者 簽 名：　　 　 　　 日　 期：　　　 　 指導(dǎo)教師簽名：　　 　 　　 日　　期：　　　 　 　使用授權(quán)說(shuō)明本人完全了解安陽(yáng)工學(xué)院關(guān)于收集、保存、使用畢業(yè)設(shè)計(jì)（論文）的規(guī)定，即：按照學(xué)校要求提交畢業(yè)設(shè)計(jì)（論文）的印刷本和電子版本；學(xué)校有權(quán)保存畢業(yè)設(shè)計(jì)（論文）的印刷本和電子版，并提供目錄檢索與閱覽服務(wù)；學(xué)?？梢圆捎糜坝?、縮印、數(shù)字化或其它復(fù)制手段保存論文；在不以贏利為目的前提下，學(xué)校可以公布論文的部分或全部?jī)?nèi)容?？萍及l(fā)展的日新月異，對(duì)推動(dòng)社會(huì)發(fā)展和人類進(jìn)步具有不可忽視的重要意義。然而隨著網(wǎng)絡(luò)技術(shù)、網(wǎng)絡(luò)規(guī)模和網(wǎng)絡(luò)應(yīng)用的高速發(fā)展，個(gè)人和各種組織，包括政府、企業(yè)、軍隊(duì)，都越來(lái)越依賴于信息系統(tǒng)、通信網(wǎng)絡(luò)以及與之相關(guān)的自動(dòng)化應(yīng)用。以國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(CNCERT/CC)在2011年發(fā)布的報(bào)告為例，2011年，CNCERT/CC接收的網(wǎng)絡(luò)仿冒、垃圾郵件和網(wǎng)頁(yè)惡意代碼等非掃描類網(wǎng)絡(luò)安全事件報(bào)告總數(shù)為4390件，大大超出去年同期水平，與2010年相比，垃圾郵件事件增長(zhǎng)1倍。下面對(duì)目前的網(wǎng)絡(luò)安全現(xiàn)狀進(jìn)行具體分析。目前存在的安全威脅主要有以下幾種：1)系統(tǒng)破壞：入侵行為往往對(duì)系統(tǒng)造成極大的破壞，主要表現(xiàn)在網(wǎng)絡(luò)性能變差，影響網(wǎng)絡(luò)服務(wù)的質(zhì)量甚至無(wú)法提供正常的服務(wù)，主機(jī)速度變慢，程序運(yùn)行異常，系統(tǒng)無(wú)法正常工作，嚴(yán)重時(shí)導(dǎo)致系統(tǒng)崩潰。目前，網(wǎng)絡(luò)已經(jīng)成為許多企業(yè)和用戶工作的重要工具，系統(tǒng)的破壞將嚴(yán)重影響企業(yè)的正常運(yùn)營(yíng)和用戶的工作，對(duì)企業(yè)和個(gè)人造成重大的經(jīng)濟(jì)損失。對(duì)于個(gè)人來(lái)說(shuō)，個(gè)