30000字硕士毕业论文基于网络行为分析的攻击检测系统探讨

论文类型：硕士毕业论文

论文字数：30000字

论点：入侵,网络,系统

论文概述：

研究背景及意义计算机网络在经济和生活的各个领域正在迅速普及，众多的企业、组织、政府部门与机构都在组建自己的网络并连接到互联网上，以充分共享、利用网络的信息和资源。整个社会

论文正文：

第一章引言

         1.1研究背景及意义计算机网络在经济和生活的各个领域正在迅速普及，众多的企业、组织、政府部门与机构都在组建自己的网络并连接到互联网上，以充分共享、利用网络的信息和资源。整个社会对网络的依赖程度越来越大，网络显然已经成为国家的基础设施和社会经济发展强大动力。然而伴随着网络的发展也产生了各种各样的问题，其中安全问题尤为突出。近年来由于网络犯罪的递增，大量重大安全后果事件的发生，促使人们更加重视网络的安全问题。1988年11月2口“MorrisWorm”通过自复制方式感染网络主机系统并破译系统密码而实现恶意代码传播，给整个互联网系统造成了巨大的损失，揭开了互联网入侵攻击的序幕。为了应对“MorrisWorm”的挑战，美国DARPA建立了计算机紧急响应组(ComputerEmergencyResponseTeam)，机构的主要任务是报告并统计分析互联网上发生的主要安全事件，同时开展信息安全领域的基础性研究。美国GeneralAccountingOffice(GAO)1996年的报告指出[1,2]199_5-1996年度针对美国政府计算机系统的入侵事件达2_5000次，而其中仅1070-4%的入侵被检测到，甚至有的不到1070;同时显示，入侵攻击在过去5年中以2_50%的速度增长，99%的大公司均发生过重大入侵事件，而目_针对政府和重要部门计算机系统的攻击变得口益频繁。在我国也不断发生黑客入侵网络和系统的事件。        公安部每年进行的“全国信息网络安全状况与计算机病毒疫情调查”结果显示我国信息网络安全事件发生比例连续多年增长，2008年信息网络安全事件发生比例为62.7070，计算机病毒感染率为8_5._5}02007年_5月至2008年_5月期间发生过一次以上网络安全事件的调查样本比例为62070，这其中还不包括已经受到非法侵害却没有察觉的样本比例。如图1-1zoo?年5月至zoos策月是否发生过网络安全事件o}}\"1\'uo2tr}o32iC61(}\"}}$}图1-12008年我国信息安全事件发生比例随着计算机知识和互联网的普及，各种入侵工具可以轻易获取，攻击类型和!手段口趋复杂多样化。传统的保护网络安全的方法就是使用防火墙和安装防病毒软件。这种被动地对系统自身进行加固和防护的方法已经不能满足当今网络安全的需求。现实需要一种积极主动的安全防护技术，提供对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截入侵，使其成为防火墙的合理补充。这项技术就是入侵检测技术(IntrusionDetectionSystemIDS)o在结合多项安全技术之后，一个较通用的网络安全层次结构如图1-2所示。图1-2网络安全防范层次结构防火墙和身份认证负责把黑客挡在门外，使入侵者“进不来”;访问控制技术负责控制对信息的读写，使入侵者“拿不走”重要信息;信息加密技术使入侵者“看不懂”获得的信息，}fn要及时的发现入侵攻击，就需要入侵检测技术。入侵检测系统(IntrusionDetectionSystemIDS)是对计算机或计算机网络系统中的攻击行为进行检测的自动系统。入侵检测技术作为一种积极主动的网络安全防护技术，具有监视和分析用户或系统的行为、检测系统配置、对入侵行为进行主动防御等功能，使系统管理员可以有效地监视和检测自己的网络信息系统，扩展了系统管理员的安全管理能力。因此，入侵检测技术提供了对外部攻击、内部攻击和误操作的实时防护，弥补了传统网络信息安全保护措施的不足。        1.2入侵检测技术在国内外研究状况1.2.1国外研究状况1980年，Anderson}4}-先提出了入侵检测的概念，他将入侵尝试或威胁定义为:潜在的、有预谋的、未经授权的访问信息、操作信息，致使系统不可靠或无法使用的企图，他提出审计追踪方法可应用十监视入侵威胁。这一设想的重要性当时并未被理解，但他的这一份报告被认为是入侵检测的开创性工作。此后入侵检测技术不断发展，199_5年以后出现了很多不同的新的IDS研究方法特别是智能IDS，包括神经网络、遗传算法、模糊识别、免疫系统、数据挖掘                               参考文献[1]United states general accounting office.工nformation security:computer  attacks  at  department  of  defense  pose  increasingrisks. GAO/A工MD一96一84, USA, 1996United states general accounting office.工nformation security:opportunities         for    improved   OMB   oversight   of   agency practice s. GAO/A工MD一96一110, USA, 1996[3]   2008年全国信息网络安全状况R计算机病毒疫情调查报告  J. P. Anderson,“Computer security threat monitoring andsurveillance”，Technical Report，Jmaes  P. Anderson  Company, Fort Washnigton，  C. L. SusnaPennsylvania,April 1980.VH. Dvaid,“Traninig a Nuearl-Network Based工ntrusion Detector”.工EEE Transactions on systrms, man and cyberneties, 2001，31(4)，pp. 294一299.[6〕B. Bala j math, S.V Raghavan,“工ntrusion detection through leaningbehavior model”， Computer Comnunications,2001，24(12)，PP. 1202一1212.[7〕李之棠，杨红云，模糊入侵检侧模型，计算机工程与科学，2000 ,22 (2) PP. 49一53.A. H. Steven,“An工mmunological Model of Distributed Detection and工is Application  to   Computer  Security”，PhD  thtesis, New  Mexieo, TheUniversity ofNewMexico,1999. Manganaaris, ete,“A data mining analysis of RT工D alarms”，ComputerNetworks, 2000, 34 (4)，PP. 571-[10〕D. E. Donning, Neumann  P  G577.Requirements and model for工DES一“a real一time   intrusion        detection   expert   system”report,Computer Science Laboratory,SR工工nternational, USA, 1985  D. E. Donning,“An工ntursion  Deteetion  Model,”工EEE  Trans.Software En g.，vol.13, 1987, pp. 222一232.B. Mukherjee, Thbeerlein, K. N. Lveitt,“Network intursiondetection”.工EEE Network, 1994,5，PP. 26一30.李鸿培，王新梅.基十神经网络的入侵检测系统模型[J].西安电子科技大学学报，1999, 26(5), PP:667-670.[14] Ghosh AK, Miehael C, Schatz M, A real一time intrusion detection system based on learning Program behavior[C].Debar H,  Advances in工ntrusion Detection (RA工D2000).Oakland, CA, 2000:93一109.  摘要 5-6 ABSTRACT 6 致谢 7-13 第1章 绪论 13-18     1.1 研究背景及意义 13-14     1.2 入侵检测技术在国内外研究状况 14-15         1.2.1 国外研究状况 14-15         1.2.2 国内研究现状 15     1.3 入侵检测技术的发展方向 15-16     1.4 论文的主要内容及结构安排 16-17     1.5 本章小结 17-18 第2章 入侵检测系统IDS 18-28     2.1 入侵检测技术概述 18-19     2.2 入侵检测的方法 19-22         2.2.1 异常检测技术 19-21         2.2.2 滥用检测技术 21-22     2.3 入侵检测系统 IDS 22-25         2.3.1 入侵检测系统的通用模型 22-23         2.3.2 入侵检测系统的分类 23-25     2.4 入侵检测系统面临的问题 25-27         2.4.1 入侵检测系统自身的脆弱性 25-26         2.4.2 入侵检测系统的误警问题 26         2.4.3 高速网络的入侵检测难题 26-27     2.5 本章小结 27-28 第3章 网络行为理论 28-35     3.1 网络行为学概述 28     3.2 网络行为分类 28-31         3.2.1 基于协议分析的微观网络行为 28-30         3.2.2 基于流量的宏观网络行为 30-31     3.3 网络测量 31-34         3.3.1 主动测量 31-32         3.3.2 被动测量 32         3.3.3 网络测量的其他几个问题 32-34     3.4 本章小结 34-35 第4章 网络行为的特征分析与预测 35-45     4.1 样本流量的采集 35-37         4.1.1 时间驱动的抽样采集 35         4.1.2 以事件驱动的抽样采集 35-36         4.1.3 泊松抽样检验 36-37     4.2 流量行为的特征分析 37-41     4.3 流量行为的预测研究 41-44         4.3.1 指数平滑算法 41-42         4.3.2 指数平滑算法的小波分解改进 42-44     4.4 本章小结 44-45 第5章 基于网络行为分析的入侵检测系统 45-55     5.1 系统概述 45-46         5.1.1 设计思想 45         5.1.2 系统模型 45-46     5.2 系统主要模块分析 46-52         5.2.1 抽样采集系统 46-47         5.2.2 数据预处理系统 47-48         5.2.3 并行分析与预测系统 48-49         5.2.4 决策系统 49-50         5.2.5 数据存储系统 50-52         5.2.6 用户平台 52     5.3 性能测试与分析 52-54         5.3.1 测试环境与方法 52-53         5.3.2 测试结果与分析 53-54     5.4 本章小结 54-55 第6章 总结与展望 55-56 参考文献 56-61