使用模式识别算法的入侵检测系统的设计
|
摘要
随着网络的发展,网络安全问题被提到了一个前所未有的高度,作为安全技术核心之一的入侵检测技术(IDS)也成为网络安全领域研究的焦点。目前,入侵检测技术主要分为两种:误用检测和异常检测,误用检测是根据已知的入侵手段建立一个规则库,待检测的信息与库中规则进行匹配达到检测目的。优点是检测结果准确率高,缺点是只能检测到已知类型检测。异常检测是通过构造正常的用户轮廓来检测用户的行为,优点是可以检测到未知的入侵行为,但是技术不成熟,误报率高。本文尝试通过结合二者的优点,同时创建了描述正常用户行为和异常行为两个向量集,并引入一种广泛应用于图象处理技术中的模式识别算法依据这两个向量集来判断待测用户行为的属性,识别出黑客的入侵行为。
本文主要解决三个问题:一、检测需要的数据来源及数据源的预处理;二、近邻法的引入及该算法的分析;三、程序实现。
With the development of Internet, network security becomes more important than it has ever been. Intrusion detection technique, one of the key techniques used in network security, has also become the focus in the area of network security research. At present, intrusion detection technique is divided into anomaly detection and misuse detection. The measure of misuse detection is if the information to be dealt with matches the rule in the rule library based on known intrusive methods. Its advantage is the detective result is accurate, but it can only identify the known intrusive methods. Anomaly detection is an effort to recognize unusual behavior through a profile describing normal behavioral patterns. This measure can discriminate the unknown methods of intrusion but the technique is not mature and false alarm ratio is high.
This paper creates two vector-sets through combining the advantages of the two measures. One describes the behavior of normal users and the other describes that of unusual users, and then introduces a pattern recognition algorithm which is used in image processing technique to judge the behavioral attribute of users to be detected.
This paper primarily solves three questions as follow . the first is data source that the detection needed and preprocessing of these data; the second is introduction and analysis of the neighbor algorithm; the last is the realization of program.
本文主要解决三个问题:一、检测需要的数据来源及数据源的预处理;二、近邻法的引入及该算法的分析;三、程序实现。
With the development of Internet, network security becomes more important than it has ever been. Intrusion detection technique, one of the key techniques used in network security, has also become the focus in the area of network security research. At present, intrusion detection technique is divided into anomaly detection and misuse detection. The measure of misuse detection is if the information to be dealt with matches the rule in the rule library based on known intrusive methods. Its advantage is the detective result is accurate, but it can only identify the known intrusive methods. Anomaly detection is an effort to recognize unusual behavior through a profile describing normal behavioral patterns. This measure can discriminate the unknown methods of intrusion but the technique is not mature and false alarm ratio is high.
This paper creates two vector-sets through combining the advantages of the two measures. One describes the behavior of normal users and the other describes that of unusual users, and then introduces a pattern recognition algorithm which is used in image processing technique to judge the behavioral attribute of users to be detected.
This paper primarily solves three questions as follow . the first is data source that the detection needed and preprocessing of these data; the second is introduction and analysis of the neighbor algorithm; the last is the realization of program.
引文
1.戴英侠等,网络安全与入侵检测技术.清华大学出版社2002年1月
2.边肇祺,阎平凡,杨存荣.模式识别.北京:清华大学出版社,1988
3. Linda Lankewicz and Mark Benardm, Real-time Anomaly Detection Using Nonparametric Pattern Recognition Approach, IEEE, 1991
4.孙龙祥,程义民等,深度图像分析,电子工业出版社,1996
5.蒋建春,马登国,网络入侵检测原理与技术 国防工业出版社 2001年
6.卿斯汉,密码学与计算机网络安全 清华大学出版社 2001年7月
7.冯登国,计算机通信网络安全 清华大学出版社 2001年3月
8.韩海东,王超,李群 入侵检测系统实剖析 清华大学出版社 2002年5月
9.马绚,网络安全防范检测技术的研究,硕士论文,2002年
10.冯登国,裴定,密码学导引,北京:科学出版社,1999
11. William Stallings, Cryptography and Network Security Principles and Practice(Second Edition), Publishing House of Electronics Industry, 2001
12.李镇江,戴英侠,IDS入侵检测系统的研究,计算机工程,2001年4月
13.李唤州,网络安全和入侵检测技术,四川师范大学学报(自然科学版),2001.7
14.阎巧,谢维信,异常检测技术的研究与发展,西安电子科技大学学报,2002.4
15. Ghoshak, Schwartzbarda, Lcarning Program Behavior Profiles for Intrusion Detection. IEEE Computer Society, 1999.9.12
16.刘美兰,姚京松.入侵检测预警系统及其性能设计.见:卿斯汉.冯登国编.信息和通信安全CCICS’99:第1届中国信息和通信安全学术会议论文集.北京:科学出版社,2000 105~111
17.蒋建春,卿斯汉等.网络安全入侵检测:研究综述,软件学报,2000年11月
18.阮耀平,易江波.赵战生,计算机系统入侵检测模型与方法,软件学报,2000.11
19.谢希仁,计算机网络(第2版) 电子工业出版社 1999
20.王勇,状态网络入侵检测系统的设计和原型实现,硕士论文,2002年
21.周武,软件脆弱性的检测、分类与建库,硕士论文,1999年
22.吴泉源,刘江宁,人工智能与专家系统,1999年
23. Jeff Schmidt. Microsoft Windows 2000 Security Handbook. Publishing House of Electonics Industry 2001.7
24. W. Rchard Stemens. TCP/IP Illustrated Volume Ⅰ: The Protocols China Machine Pess, 2000.4
25.杨义先,林晓东.邢育森,信息安全综论,北京邮电大学
26. tombkeeper, Windows 为什么不安全,http://www.nsfocus.com, 2002年7月
27.书生,入侵检测之日志检测.http://www.linuxaid.com.cn, 2002.7
28. short gun, Windows2000Server入侵监测,2002
29.甘冀平,Web恶意内容入侵分析及应对措施,2002
30.星坤,Windows2000的文件详述及删除方法,http://com.6to23.com,2002年
31.RFP Cceye,给所有想当“黑客”或是想学习黑客的朋友们,http://cccye.iscool.net,2002.07.10
32.陆丽娜等,Web日志挖掘中的数据预处理的研究,计算机工程,2000年4月
33.黄锦等,基于防火墙日志信息的入侵检测研究,计算机工程,2001年9月
34 陆丽娜等.Web日志挖掘中的序列模式识别.小型计算机系统,2000年5月
35 田盛丰等,入侵检测中对系统日志审记信息进行数据挖掘的研究.计算机工程,2002年1月
36 施建生等,Web日志中挖掘用户浏览模式的研究.西安交通大学学报,2001年6月
37 冯德旺等,基于Windows NT 主机入侵检测系统的性能和安全日志事件监控,微型电脑应用,2001年第17卷第10期
38 黄锦,李家滨,基于防火墙日志的入侵检测研究,计算机工程,2001年9月
39 胡和平等.Web日志实时规则数据库的查询,计算机工程与科学,2000年第22卷第6期
40 赵畅等,Web日志序列模式挖掘,计算机应用,2000年9月
41 连一峰等,基于模式挖掘的用户行为异常检测.计算机学报,2002年3月
42 Dit-Yan Yeung and Calvin Chow. Parzen-Windows Network Intrusion Detectors.IEEE,2001
43 入侵检测方法,http://www.pfdit.com/tech/ruqin.htm
44 沈庭芝,方子文,数字图像处理及模式识别北京理工大学出版社,1998
45 John G.Daugman. High confidence Visual Recognition of Persons By a Test of Statistical Independence. IEEE Trans. on pattern Analysis and Machine Intelligence,1993
46 Bart Kosko著,黄崇福译,模糊工程,西安交通大学出版社.1999年
47 Dusan Bulatovic, Dusan Velasevic. A Distributed Intrusion Detection System Based on Bayesian Alarm Networks Lecture Notes in Computer Science 1740, 1999
48 Davis Chapman著,骆长乐译.学用Visual C++6.0,清华大学出版社,1999年
49 http://www.snort.org/
50. http://www.securityfocus.com/
51. http://www.nsfocus.com/
52. http://www.chinawill.com/
53. http://www.sdl.sri.com/instrusion/index.html/
54. http://www.ttian.net/
55. http://www.heibai.com/
2.边肇祺,阎平凡,杨存荣.模式识别.北京:清华大学出版社,1988
3. Linda Lankewicz and Mark Benardm, Real-time Anomaly Detection Using Nonparametric Pattern Recognition Approach, IEEE, 1991
4.孙龙祥,程义民等,深度图像分析,电子工业出版社,1996
5.蒋建春,马登国,网络入侵检测原理与技术 国防工业出版社 2001年
6.卿斯汉,密码学与计算机网络安全 清华大学出版社 2001年7月
7.冯登国,计算机通信网络安全 清华大学出版社 2001年3月
8.韩海东,王超,李群 入侵检测系统实剖析 清华大学出版社 2002年5月
9.马绚,网络安全防范检测技术的研究,硕士论文,2002年
10.冯登国,裴定,密码学导引,北京:科学出版社,1999
11. William Stallings, Cryptography and Network Security Principles and Practice(Second Edition), Publishing House of Electronics Industry, 2001
12.李镇江,戴英侠,IDS入侵检测系统的研究,计算机工程,2001年4月
13.李唤州,网络安全和入侵检测技术,四川师范大学学报(自然科学版),2001.7
14.阎巧,谢维信,异常检测技术的研究与发展,西安电子科技大学学报,2002.4
15. Ghoshak, Schwartzbarda, Lcarning Program Behavior Profiles for Intrusion Detection. IEEE Computer Society, 1999.9.12
16.刘美兰,姚京松.入侵检测预警系统及其性能设计.见:卿斯汉.冯登国编.信息和通信安全CCICS’99:第1届中国信息和通信安全学术会议论文集.北京:科学出版社,2000 105~111
17.蒋建春,卿斯汉等.网络安全入侵检测:研究综述,软件学报,2000年11月
18.阮耀平,易江波.赵战生,计算机系统入侵检测模型与方法,软件学报,2000.11
19.谢希仁,计算机网络(第2版) 电子工业出版社 1999
20.王勇,状态网络入侵检测系统的设计和原型实现,硕士论文,2002年
21.周武,软件脆弱性的检测、分类与建库,硕士论文,1999年
22.吴泉源,刘江宁,人工智能与专家系统,1999年
23. Jeff Schmidt. Microsoft Windows 2000 Security Handbook. Publishing House of Electonics Industry 2001.7
24. W. Rchard Stemens. TCP/IP Illustrated Volume Ⅰ: The Protocols China Machine Pess, 2000.4
25.杨义先,林晓东.邢育森,信息安全综论,北京邮电大学
26. tombkeeper, Windows 为什么不安全,http://www.nsfocus.com, 2002年7月
27.书生,入侵检测之日志检测.http://www.linuxaid.com.cn, 2002.7
28. short gun, Windows2000Server入侵监测,2002
29.甘冀平,Web恶意内容入侵分析及应对措施,2002
30.星坤,Windows2000的文件详述及删除方法,http://com.6to23.com,2002年
31.RFP Cceye,给所有想当“黑客”或是想学习黑客的朋友们,http://cccye.iscool.net,2002.07.10
32.陆丽娜等,Web日志挖掘中的数据预处理的研究,计算机工程,2000年4月
33.黄锦等,基于防火墙日志信息的入侵检测研究,计算机工程,2001年9月
34 陆丽娜等.Web日志挖掘中的序列模式识别.小型计算机系统,2000年5月
35 田盛丰等,入侵检测中对系统日志审记信息进行数据挖掘的研究.计算机工程,2002年1月
36 施建生等,Web日志中挖掘用户浏览模式的研究.西安交通大学学报,2001年6月
37 冯德旺等,基于Windows NT 主机入侵检测系统的性能和安全日志事件监控,微型电脑应用,2001年第17卷第10期
38 黄锦,李家滨,基于防火墙日志的入侵检测研究,计算机工程,2001年9月
39 胡和平等.Web日志实时规则数据库的查询,计算机工程与科学,2000年第22卷第6期
40 赵畅等,Web日志序列模式挖掘,计算机应用,2000年9月
41 连一峰等,基于模式挖掘的用户行为异常检测.计算机学报,2002年3月
42 Dit-Yan Yeung and Calvin Chow. Parzen-Windows Network Intrusion Detectors.IEEE,2001
43 入侵检测方法,http://www.pfdit.com/tech/ruqin.htm
44 沈庭芝,方子文,数字图像处理及模式识别北京理工大学出版社,1998
45 John G.Daugman. High confidence Visual Recognition of Persons By a Test of Statistical Independence. IEEE Trans. on pattern Analysis and Machine Intelligence,1993
46 Bart Kosko著,黄崇福译,模糊工程,西安交通大学出版社.1999年
47 Dusan Bulatovic, Dusan Velasevic. A Distributed Intrusion Detection System Based on Bayesian Alarm Networks Lecture Notes in Computer Science 1740, 1999
48 Davis Chapman著,骆长乐译.学用Visual C++6.0,清华大学出版社,1999年
49 http://www.snort.org/
50. http://www.securityfocus.com/
51. http://www.nsfocus.com/
52. http://www.chinawill.com/
53. http://www.sdl.sri.com/instrusion/index.html/
54. http://www.ttian.net/
55. http://www.heibai.com/