基于MLSI的多主機(jī)入侵檢測系統(tǒng)的研究.pdf

1、隨著Internet的飛速發(fā)展,網(wǎng)上應(yīng)用的種類和重要性日益增加,計算機(jī)系統(tǒng)的安全變得越來越重要,也越來越具有挑戰(zhàn)性.現(xiàn)在的各種靜態(tài)安全技術(shù),如防火墻、數(shù)據(jù)加密等都比較成熟了,但是這些技術(shù)不能適應(yīng)主動發(fā)現(xiàn)入侵,防止黑客攻擊的需要.入侵檢測技術(shù)能夠?qū)τ嬎銠C(jī)網(wǎng)絡(luò)資源上的惡意使用行為進(jìn)行識別和響應(yīng),它不僅能檢測來自外部的入侵行為,同時也能監(jiān)督內(nèi)部用戶的未授權(quán)活動,因此成為了整個網(wǎng)絡(luò)安全領(lǐng)域的熱點之一.該文在分析網(wǎng)絡(luò)中入侵機(jī)制的基礎(chǔ)上,引用日本研

2、究人員提出的MLSI概念,設(shè)計并建立了一個基于MLSI的多主機(jī)入侵檢測系統(tǒng)模型.該系統(tǒng)在進(jìn)行入侵檢測時,只需查找少數(shù)的MLSI,而不必像其它入侵檢測系統(tǒng)那樣需要獲取大量的攻擊特征,因此能夠在一定程度上解決現(xiàn)有入侵檢測系統(tǒng)和入侵檢測技術(shù)存在的問題.在系統(tǒng)的實現(xiàn)過程中,該文在深入分析Forrest等人提出的基于系統(tǒng)調(diào)用序列分析的入侵檢測方法的基礎(chǔ)上,提出了一種改進(jìn)的異常檢測方法.該方法首先通過查找MLSI對審計數(shù)據(jù)進(jìn)行預(yù)處理,再采用事件計數(shù)