基于異常檢測(cè)的入侵檢測(cè)系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn).pdf

1、入侵檢測(cè)系統(tǒng)是計(jì)算機(jī)網(wǎng)絡(luò)安全的重要組成部分,它實(shí)現(xiàn)對(duì)入侵信息實(shí)時(shí)檢測(cè)的功能.入侵檢測(cè)系統(tǒng)一般采用基于網(wǎng)絡(luò)的,采用誤用檢測(cè)技術(shù)的.采用誤用檢測(cè)技術(shù)的優(yōu)點(diǎn)是精確;但它的主要弱點(diǎn)是速度上的限制和對(duì)新的攻擊無(wú)能為力.異常檢測(cè)技術(shù)能夠檢測(cè)到新的攻擊行為,是入侵檢測(cè)系統(tǒng)發(fā)展的熱點(diǎn),是誤用檢測(cè)技術(shù)的有益補(bǔ)充.但這種技術(shù)方法目前還不是很完備,還處于研究熱點(diǎn)之中.該論文討論的入侵檢測(cè)系統(tǒng)-ANIDS(Anomaly-based Network Intru

2、sion Detection System)是基于網(wǎng)絡(luò)的,采用異常檢測(cè)技術(shù).異常檢測(cè)的前提是假設(shè)入侵者的活動(dòng)與正常主體的活動(dòng)是不一樣的,然后根據(jù)這種"不一樣"來(lái)作為判斷是否入侵行為的依據(jù).ANIDS是基于異常檢測(cè)技術(shù)的入侵檢測(cè)系統(tǒng),它從兩個(gè)方面來(lái)實(shí)現(xiàn)異常檢測(cè).一個(gè)是對(duì)異常數(shù)據(jù)包的檢測(cè),另一個(gè)是對(duì)異常網(wǎng)絡(luò)流量來(lái)進(jìn)行檢測(cè).該論文從這兩個(gè)方面設(shè)計(jì)了一個(gè)入侵檢測(cè)系統(tǒng)(ANIDS),并加以實(shí)現(xiàn).在異常數(shù)據(jù)包檢測(cè)方面,首先從IP數(shù)據(jù)包的角度來(lái)分析異

3、常數(shù)據(jù)包的一些可能的特征,從而得出異常數(shù)據(jù)包特征的一些規(guī)則集.其次,ANIDS根據(jù)規(guī)則集中的規(guī)則來(lái)進(jìn)行檢測(cè)入侵.若發(fā)現(xiàn)當(dāng)前數(shù)據(jù)包異常,則進(jìn)行報(bào)警.在異常網(wǎng)絡(luò)流量檢測(cè)方面,首先確立測(cè)度集和建立模型,從網(wǎng)絡(luò)中實(shí)時(shí)捕獲樣本值.其次,根據(jù)信息庫(kù)中保存的信息,對(duì)當(dāng)前流量進(jìn)行檢測(cè).若發(fā)現(xiàn)當(dāng)前流量異常,則進(jìn)行報(bào)警.ANIDS有三種報(bào)警方式:聲音報(bào)警,實(shí)時(shí)頁(yè)面報(bào)警和日志.最后,對(duì)ANIDS進(jìn)行了測(cè)試.在真實(shí)網(wǎng)絡(luò)環(huán)境運(yùn)用ANIDS檢測(cè)出一些攻擊事件,并在