基于主機(jī)的入侵檢測(cè)方法研究.pdf

1、隨著互聯(lián)網(wǎng)的不斷普及，越來越多的公司將其核心業(yè)務(wù)向互聯(lián)網(wǎng)轉(zhuǎn)移，網(wǎng)絡(luò)安全作為一個(gè)無(wú)法回避的問題就呈現(xiàn)在人們面前了。網(wǎng)絡(luò)入侵的風(fēng)險(xiǎn)性和機(jī)會(huì)性也相應(yīng)地急劇增多，設(shè)計(jì)安全措施來防范未經(jīng)授權(quán)的用戶訪問系統(tǒng)的資源和數(shù)據(jù)，是當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域的一個(gè)十分重要而迫切的問題。為此入侵檢測(cè)技術(shù)的發(fā)展為我們解決這種問題提供了有效的手段。 基于主機(jī)的入侵檢測(cè)，其特點(diǎn)是以網(wǎng)絡(luò)中的各個(gè)主機(jī)的日志文件作為主要的數(shù)據(jù)來源，通過對(duì)日志記錄的分析來檢測(cè)可疑入侵行為和攻

2、擊；同時(shí)它能夠監(jiān)視關(guān)鍵的系統(tǒng)文件和可執(zhí)行文件的完整性、監(jiān)視主機(jī)服務(wù)端口的活動(dòng)，進(jìn)而發(fā)現(xiàn)非法入侵行為?；谥鳈C(jī)的入侵檢測(cè)作為入侵檢測(cè)領(lǐng)域的一個(gè)重要組成部分，在當(dāng)今信息社會(huì)活動(dòng)中越來越發(fā)揮著極其重要的安全保障作用。 本文介紹了入侵檢測(cè)定義、分類、發(fā)展及其模型，并著重介紹了基于主機(jī)的入侵檢測(cè)的特點(diǎn)，詳細(xì)闡述了其結(jié)構(gòu)特征，并論證了基于主機(jī)入侵檢測(cè)的優(yōu)點(diǎn)。 本文在著重闡述基于主機(jī)入侵檢測(cè)原理的基礎(chǔ)上，詳細(xì)闡述了三種基于主機(jī)的入侵檢

3、測(cè)方法：基于免疫原理的、基于頻繁統(tǒng)計(jì)滑動(dòng)窗口的、基于權(quán)值樹的三種入侵檢測(cè)方法。這三種檢測(cè)方法通過對(duì)基于主機(jī)的系統(tǒng)調(diào)用序列進(jìn)行相關(guān)的分析，進(jìn)而得出行為是否異常結(jié)論。 基于免疫的入侵檢測(cè)方法，是結(jié)合生物學(xué)免疫原理實(shí)現(xiàn)的一種檢測(cè)方法。該方法是入侵檢測(cè)系統(tǒng)中經(jīng)典常用的檢測(cè)方法，它也是其它檢測(cè)方法的思想基礎(chǔ)。文中闡述的基于頻繁統(tǒng)計(jì)的滑動(dòng)窗口檢測(cè)方法、基于權(quán)值樹的檢測(cè)方法的檢測(cè)思想均源于此方法。 基于統(tǒng)計(jì)的滑動(dòng)窗口檢測(cè)方法是本文提出

4、的，是運(yùn)用滑動(dòng)窗口的序列處理技術(shù)，并結(jié)合頻繁模式挖掘中的統(tǒng)計(jì)思想而實(shí)現(xiàn)的一種全新檢測(cè)算法。該算法通過統(tǒng)計(jì)被檢測(cè)序列所產(chǎn)生的滑動(dòng)窗口序列集中系統(tǒng)調(diào)用出現(xiàn)的頻繁次數(shù)，進(jìn)而判斷用戶行為是否異常。 基于權(quán)值樹的檢測(cè)方法是本文重點(diǎn)討論的另一種新的檢測(cè)方法。它采用樹的存儲(chǔ)結(jié)構(gòu)，使用滑動(dòng)窗口技術(shù)對(duì)系統(tǒng)調(diào)用序列進(jìn)行處理，并且將序列蘊(yùn)含的關(guān)聯(lián)信息存儲(chǔ)在權(quán)值樹森林的相關(guān)結(jié)點(diǎn)中。在檢測(cè)用戶序列的過程中，利用權(quán)值樹森林計(jì)算出被檢測(cè)序列的權(quán)值序列，進(jìn)而分