● 摘要
随着网络技术的飞速发展,网络的安全性问题也越来越受到广泛的关注,各种网络相关的技术和产品不断涌现。入侵检测技术是继防火墙、数据加密等传统安全保护措施之后的新一代安全保障技术。近年来,随着网络环境的不断复杂化、攻击手段不断多元化,传统的入侵检测逐渐暴露出检测率低、误报率高、系统负荷大等缺陷。本文在参考前人的基础上,重点关注主机系统文件访问特征,设计并实现了一种在Windows平台下,采用文件系统过滤驱动技术,基于贝叶斯统计估计方法学的主机入侵检测系统。 首先,本文详细研究了现有基于主机入侵检测方法的关于数据集选择、检测数据源、建模算法以及检测方法上存在的局限性,重点分析了本文引用的贝叶斯概率估计算法(PAD)存在的局限性,提出了一种根据文件访问规律性将算法样本空间按目录细分的建模方法。基于该文件访问特征分析模型,本文采用文件系统过滤驱动技术,设计并实现了一个基于贝叶斯统计估计方法的入侵检测系统解决方案。此外,本文在入侵检测系统基础上,实现了基于文件系统过滤驱动的文件加解密子系统。 实验表明,本文实现的基于文件目录分类方法的建模方式可以有效的缩短原贝叶斯估计算法的计算时间、提高入侵检测系统的整体性能;通过实验模拟攻击之后,本文实现的入侵检测系统在基于记录以及基于进程的两种检测方式中都具有较好的检测率以及较低的误报率,并且具有运行负荷小以及在线检测等特点;此外,加解密子系统可以按照指定的监控规则对于期望的文件操作实施透明加解密,为主机系统安全再加上一道防护工具。
相关内容
相关标签