● 摘要
摘 要随着计算机、通信和网络技术的高速发展,全球信息化的步伐越来越快,网络信息系统己经成为一个国家、一个行业、一个集团持续发展的基础设施。人类在感受到了网络信息系统对社会发展做出巨大贡献的同时,也认识到了网络信息安全问题己经成为影响国家长远利益和持续发展急待解决的重大关键问题。为了保护网络信息系统的安全,人们研究和探索了多种安全防护技术,从一开始的静态安全防护逐渐过渡到了动态安全防护。入侵检测技术是一种重要的动态安全防护技术,己经成为计算机科学与技术的一个重要研究领域。由于数据挖掘能够从海量数据集中挖掘出人们感兴趣的特定模式,因此,有大量的研究计划将数据挖掘技术运用到入侵检测中,这些研究大大推动了入侵检测研究领域的快速发展。但是,基于数据挖掘的入侵检测领域依然存在着许多急待解决的问题,比如:数据挖掘是通向知识发现整体目标中的重要一步,然而,入侵检测中的数据挖掘对新知识的发现还没有引起足够的重视,在入侵检测中,数据挖掘主要被用于构造检测入侵的“黑匣子”,而不是去发现攻击和虚假报警的本质。在基于数据挖掘的入侵检测研究中往往紧密地依赖于高标准的训练数据集,这严重制约了这一领域研究成果的有效性和通用性。为了推动数据挖掘技术和入侵检测技术的发展,针对现有基于数据挖掘的入侵检测研究中存在的问题,从理论和应用两个层面进行了研究,以期解决模式匹配效率、误用入侵检测、远程访问认证协议以及异常检测的行为库挖掘等关键问题,为入侵检测提供新的方法和有效途径。针对入侵检测模式传统匹配算法的低效性,对传统的BM算法进行了改进。通过改进的BM算法,基于Snort的误用入侵检测系统的匹配效率得到了较大提升。另外通过对规则库的特殊字符进行预处理,使检测过程在付出极小的预处理时间代价的同时,在一定程度上改善了系统匹配速度不高的缺陷,为入侵检测系统高效地检测大流量网络的入侵提供了一条简单的途径。由于在基于网络的入侵检测系统中,往往通过网络远程对日志及希望进行管理。这样对登录者的身份认证就显得尤为重要。一旦这个环节上做不好,就会影响到整个入侵检测系统的稳定性和可靠性。针对这一环节,提出了基于AES的访问认证协议。该协议为访问者的身份认证提供了可靠的保证,可以抵抗蛮力攻击、重放攻击、中间人攻击、差分及线性攻击等常见攻击类型。并且借助于AES算法的安全性,本协议中数据的抗破解能力也完全可以应对黑客的各种攻击手段。应用在入侵检测系统中的数据挖掘方法有很多种,而相关规则挖掘是其中应用较为广泛的一类。传统的挖掘方法,诸如Apriori和DHP方法在入侵检测挖掘过程中会发生扫描数据库次数较多以及哈希地址分配出现冲突等情况。针对这一情况,在入侵检测日志系统的挖掘过程中提出了应该ODHP算法进行挖掘的方法。该算法在继承了DHP算法扫描数据库次数不多的优点的同时,应用最小完美哈希函数有效地避免了哈希地址冲突。理论分析和实验表明,ODHP算法在挖掘的效率和速度上都要好于传统的Apriori和DHP算法。最后提出了一个入侵检测系统框架。该框架结合了误用检测和异常检测两类入侵检测方法,能够最大限度地降低误报率和漏报率。在实际的异常检测系统行为模型库建立的过程中,应用了基于轴属性挖掘的理念,从而进一步减少了挖掘出的频繁项目集,从而提高了挖掘效率。