基于馬爾可夫鏈的協(xié)議異常檢測研究.pdf

1、互聯(lián)網(wǎng)的開放性為信息共享和交互提供了極大的便利，但隨之而來的網(wǎng)絡(luò)安全問題也日益明顯。入侵檢測是用于檢測任何損害或企圖損害系統(tǒng)的保密性、完整性或可用性行為的一種網(wǎng)絡(luò)安全技術(shù)。入侵檢測作為一種主動的信息安全保障措施，它有效的彌補了傳統(tǒng)安全防護技術(shù)的缺陷。 事實上，大量的網(wǎng)絡(luò)攻擊都是對不同的網(wǎng)絡(luò)協(xié)議進行濫用，很多新型的攻擊方法都違背了協(xié)議標(biāo)準(zhǔn)。協(xié)議異常檢測是入侵檢測的一個新技術(shù)，該技術(shù)是對協(xié)議的正確使用行為建立模型，任何偏離此模型的行

2、為都被認(rèn)為是入侵行為或可疑的行為。 首先，本文通過馬爾可夫鏈的方法對TCP/IP網(wǎng)絡(luò)中的應(yīng)用層協(xié)議(主要是FTP協(xié)議和SSH協(xié)議)建立模型，實驗數(shù)據(jù)來自美國麻省理工學(xué)院的林肯實驗室公開發(fā)布的1999年入侵檢測評估數(shù)據(jù)，該數(shù)據(jù)具有較大的權(quán)威性。本文根據(jù)該數(shù)據(jù)中不含有攻擊的流量(第一周和第三周，共10天)進行分析，以得到正常情況下基于馬爾可夫鏈的應(yīng)用層協(xié)議模型。 其次，本文利用上述所建立的應(yīng)用層協(xié)議模型在應(yīng)用層進行協(xié)議異常檢

3、測評估，評估數(shù)據(jù)集來自林肯實驗室提供的含有攻擊的(第二周)數(shù)據(jù)，任何偏離正常情況下協(xié)議模型的行為就被認(rèn)為是入侵，并通過ROC曲線和D1(t)曲線進行分析。 在傳輸層，本文首先通過馬爾可夫鏈的方法對TCP協(xié)議建立模型，并對其進行協(xié)議異常檢測評估，在評估過程中，發(fā)現(xiàn)了原有評估方法存在的問題，進而提出了一種新的基于Chi-squareDistance的傳輸層協(xié)議異常檢測評估方法，并通過檢測SYNFlooding攻擊進一步驗證了新方法的