多數(shù)據(jù)源融合的網(wǎng)絡入侵檢測系統(tǒng)研究.pdf

1、`隨著時代發(fā)展，網(wǎng)絡遍及各個角落，網(wǎng)絡為人類提供了很大的便利和快捷，但是網(wǎng)絡安全問題也日益嚴峻，盡管各種各樣的病毒軟件，防火墻和入侵檢測系統(tǒng)越來越多，依然阻止不了網(wǎng)絡犯罪的出現(xiàn)。網(wǎng)絡安全技術(shù)不斷發(fā)展，入侵檢測是這一領(lǐng)域的主要研究對象，入侵檢測技術(shù)成為網(wǎng)絡安全體系中不可或缺的一部分。入侵檢測系統(tǒng)主要包括基于主機的IDS和基于網(wǎng)絡的IDS?；谥鳈C的IDS能夠在操作系統(tǒng)、應用程序或內(nèi)核層次上對攻擊進行監(jiān)控?；诰W(wǎng)絡的入侵檢測技術(shù)通過監(jiān)測網(wǎng)絡

2、基礎(chǔ)設(shè)施中的關(guān)鍵區(qū)域的主機流量，從而對整個網(wǎng)絡進行入侵檢測。
　　目前已有一些基于主機或者基于網(wǎng)絡的入侵檢測技術(shù)，并通過仿真實驗及在實際應用中證實了其有效性。但是大多數(shù)檢測技術(shù)是針對單一數(shù)據(jù)源的，無法全面獲取監(jiān)測對象的信息，從而導致入侵檢測的漏報率和誤報率較高。本文針對此問題提出了一種將基于主機的檢測技術(shù)和基于網(wǎng)絡的檢測技術(shù)相結(jié)合的檢測方法，克服了單一數(shù)據(jù)源固有的缺陷，一定程度上提高了檢測率，降低了漏報率。
　　本文將基于網(wǎng)

3、絡的入侵檢測和基于主機的入侵檢測結(jié)合起來，在網(wǎng)絡中關(guān)鍵網(wǎng)段安裝多個NIDS，以便于監(jiān)測整個網(wǎng)絡的運行情況及其周圍情況，并且在網(wǎng)絡中的關(guān)鍵主機上（如各種類型服務器等）安裝HIDS，從而加強對關(guān)鍵主機的監(jiān)控。最后融合NIDS和HIDS的檢測結(jié)果，進行報警、切斷連接或采取其他必要的措施。其中每一個NIDS和HIDS都采用支持向量機的檢測方法。利用支持向量機對基于關(guān)鍵主機的審計數(shù)據(jù)進行監(jiān)測，采集系統(tǒng)日志數(shù)據(jù)，利用基于主機的訓練模型檢測是否存在入