基于Petri網(wǎng)的入侵檢測模型設(shè)計與研究.pdf

1、計算機(jī)網(wǎng)絡(luò)已成為現(xiàn)代生活中不可或缺的重要元素,安全問題也已成為信息時代不可忽視的緊迫挑戰(zhàn)。入侵檢測作為網(wǎng)絡(luò)安全的重要防護(hù)措施,致力于盡早盡快發(fā)現(xiàn)入侵,采取記錄,報警,隔斷等有效措施來堵塞漏洞和修復(fù)系統(tǒng)。1994年,Kumar首次將Petri網(wǎng)引入到入侵檢測系統(tǒng)中,創(chuàng)建了基于Petri網(wǎng)的入侵檢測系統(tǒng)模型。用Petri網(wǎng)表示入侵行為,只需了解入侵初始狀態(tài)和被入侵狀態(tài),不需要知道其入侵方式,把傳統(tǒng)的入侵模式匹配法向狀態(tài)匹配法轉(zhuǎn)變,大大提高了

2、入侵模型的效率?；赑etri網(wǎng)的入侵檢測技術(shù)對提高互聯(lián)網(wǎng)安全中起到了非常大的幫助。
　　為了能夠描述、分析和抵御異構(gòu)集成網(wǎng)絡(luò)環(huán)境下日益復(fù)雜多樣化的網(wǎng)絡(luò)入侵問題,本文在前人研究基礎(chǔ)上將ASAX(Advanced Security Audit-trail Analysis on uniX)和Petri網(wǎng)結(jié)合,提出了一種基于Petri網(wǎng)的ASAX的網(wǎng)絡(luò)入侵模型,并基于Petri網(wǎng)分析方法設(shè)計了一個該模型的行為分析方法。主要工作包括:<

3、br>　　(1)對已有入侵模型進(jìn)行整理,分析其優(yōu)缺點,為本文工作提供指導(dǎo)思路。
　　當(dāng)前網(wǎng)絡(luò)環(huán)境下,各種入侵檢測模型種類繁多,但是各種模型之間不能協(xié)同工作,并且寬帶高速網(wǎng)絡(luò)模式下,處理大量信息存在問題,導(dǎo)致檢測效率的低下,并且存在著模型過于龐大的問題。
　　(2)提出一種基于Petri網(wǎng)的ASAX的網(wǎng)絡(luò)入侵模型IDM-AP。
　　引入ASAX系統(tǒng)審計數(shù)據(jù)分析工具,它能將異構(gòu)操作系統(tǒng)的審計記錄轉(zhuǎn)化為標(biāo)準(zhǔn)格式,其通用的基于

4、規(guī)則分析語言適用于處理大規(guī)模序列化文件,具備更快的信息處理能力。ASAX所依賴的專家系統(tǒng)我們采取有色Petri網(wǎng)對正常/異常行為進(jìn)行建模,有色Petri網(wǎng)支持不同的類型標(biāo)識(用不同的顏色表示),支持變量的合一操作以及變遷約束條件,從而減小網(wǎng)的規(guī)模,處理模型過于龐大的問題。
　　(3)設(shè)計基于Petri網(wǎng)的入侵模型行為分析方法。
　　針對入侵檢測模型IDM-AP行為分析問題,我們以Petri網(wǎng)的T-不變量為工具,研究了T-不變