网络入侵事件检测及攻击行为预测的方法研究

发布时间：2018-12-10 18:28

【摘要】：随着网络与信息技术的发展，互联网的广泛普及和应用，网络正逐步改变着人类的生活和工作方式，尤其是云计算、物联网、智慧城市、移动互联网和微博等新一代应用和技术在当代生活中得到广泛应用，在促进应用创新的同时，也将带来严重的信息安全隐患。攻防的不断发展，安全威胁的不断进化，新应用、新技术的广泛使用，对原有的安全保障理念和模式也将带来巨大的冲击，原有的安全检测手段已经不能完全解决面临的安全问题。针对这种情况，入侵检测作为一种主动防御技术，对网络进行检测，提供对内部攻击、外部攻击和误操作的实时监控，能够在入侵攻击对网络系统造成危害前，及时检测到入侵攻击的发生，并进行报警，在入侵攻击发生时，可以通过与防火墙联动等方式进行报警及动态防御，被入侵攻击后，可以提供详细的攻击信息，便于取证分析，从而大大提高了网络的安全性，给网络带来全面的防御。本文针对网络入侵事件提出了有效的检测算法，并针对网络中的攻击行为构建预测模型，对可能发生的攻击进行预测。 (1)提出一种基于HCRF (Hidden Conditional Random Field)的入侵事件检测方法。针对网络入侵数据维数较高的特点，首先对原始数据集进行人工约减，之后进行规范化处理，消除由属性度量差异对算法产生的影响，然后对不同类别的原始会话记录建立特征向量序列和对应的标签序列，构建入侵事件的HCRF模型，实现基于HCRF模型的入侵事件检测和攻击行为分类。实验结果表明该算法在处理有限样本和高维样本上表现出了特有的优势，，即准确率高，不需要复杂训练、计算量小，在保证了检测率和误报率的同时，降低了训练与测试时间，证明了数据特征降维的有效性和可行性。 (2)提出一种基于HMM (Hidden Markov Model)的攻击行为预测方法。通常成功的攻击都不会是简单的单步攻击，越是危险级别高的攻击活动，其攻击步骤越是复杂多样，每一阶段都会触发不同的报警信息，随着系统受威胁程度的加深，报警信息不断累积，观察者根据这些报警信息建立HMM预测模型，该预测模型分为两层：1）由报警信息风险值组成的观察层；2）由攻击行为造成的系统威胁程度组成的隐藏层。该算法实现了已知当前状态预测下一时刻系统的威胁等级，实验结果表明预测效果较佳。 最后对本文研究内容进行了总结，展望了未来的研究方向。
[Abstract]:With the development of network and information technology, the wide spread and application of the Internet, the network is gradually changing the way of human life and work, especially cloud computing, Internet of things, intelligent city. Mobile Internet and Weibo and other new generation of applications and technologies are widely used in contemporary life, while promoting application innovation, will also bring serious information security risks. The continuous development of attack and defense, the constant evolution of security threats, the new applications and the extensive use of new technologies will also bring tremendous impact to the original concept and mode of safety and security. The original means of safety detection can not completely solve the security problems. In view of this situation, intrusion detection, as an active defense technology, detects the network, provides real-time monitoring of the internal attack, external attack and misoperation, and can do harm to the network system before the intrusion attack causes harm to the network system. The intrusion attack can be detected and alerted in time. When the intrusion attack occurs, the alarm and dynamic defense can be carried out by means of linkage with the firewall. After being attacked, the attack information can be provided in detail, which is convenient for forensic analysis. Thus greatly improves the network security, brings the overall defense to the network. In this paper, an effective detection algorithm for network intrusion events is proposed, and a prediction model is constructed for the attack behavior in the network to predict the possible attacks. (1) an intrusion detection method based on HCRF (Hidden Conditional Random Field) is proposed. In view of the high dimension of network intrusion data, the original data set is reduced manually, and then standardized processing is carried out to eliminate the influence of attribute measurement difference on the algorithm. Then, the feature vector sequence and the corresponding tag sequence are established for different kinds of original session records, and the HCRF model of intrusion events is constructed. Intrusion event detection and attack behavior classification based on HCRF model are realized. The experimental results show that the algorithm has its own advantages in dealing with finite and high-dimensional samples, that is, high accuracy, no need of complex training, small amount of calculation, and low detection rate and false alarm rate, while reducing the training and testing time. The validity and feasibility of dimensionality reduction of data features are proved. (2) an attack behavior prediction method based on HMM (Hidden Markov Model) is proposed. Usually a successful attack is not a simple one-step attack. The more dangerous an attack is, the more complex and diverse the attack steps are, and each stage triggers a different alarm message, as the system becomes more threatened. According to the alarm information, the observer establishes the HMM prediction model. The prediction model is divided into two layers: 1) the observation layer is composed of the alarm information risk value; 2) A hidden layer consisting of the degree of system threat caused by the attack. The algorithm realizes the threat level of the system at the next moment when the current state is known. The experimental results show that the prediction effect is better. Finally, the research content of this paper is summarized, and the future research direction is prospected.
【学位授予单位】：西安电子科技大学
【学位级别】：硕士
【学位授予年份】：2014
【分类号】：TP393.08

【相似文献】

相关期刊论文 前10条

1 曹苏来;;典型攻击行为描述及特征向量提取[J];科技信息(科学教研);2008年02期

2 杨海波;;关于青少年不良行为研究的述评[J];甘肃科技纵横;2007年05期

3 王宇;从IDS预警中获取有用信息[J];微电脑世界;2004年15期

4 陈世卿,徐红云,张大方;基于过程的匿名通信系统攻击分类研究[J];计算机应用研究;2005年07期

5 ;IPS面临市场考验,精确阻断水平成关键[J];信息安全与通信保密;2007年06期

6 陈明奇;;分布式拒绝服务攻击处理实例分析[J];信息网络安全;2007年06期

7 曹苏来;;浅谈计算机操作系统的攻击行为和特征向量提取[J];科技信息(科学教研);2008年04期

8 王念;;关于网站服务器的安全维护问题[J];硅谷;2011年06期

9 易飞;;针对IP网络的攻击及安全防护措施[J];电信技术;2009年02期

10 王朝阳;;基于主动防御的网络安全攻防实验平台设计[J];电脑知识与技术;2010年20期

相关会议论文 前10条

1 何燕;屈勇刚;周红;向春和;刘秀霞;刘星亮;廖和荣;;斗鸡的攻击行为观测及行为谱编制研究初探[A];中国动物遗传育种研究进展——第十五次全国动物遗传育种学术讨论会论文集[C];2009年

2 曹晓君;陈旭;;3-5岁留守幼儿抑制性控制与攻击行为的关系研究[A];第十二届全国心理学学术大会论文摘要集[C];2009年

3 韩斌;张文新;陈光辉;李春;;家庭教养方式在父母受教育程度和儿童攻击行为关系中的作用[A];第十二届全国心理学学术大会论文摘要集[C];2009年

4 刘玉祥;张腊英;;住院精神病人攻击行为调查分析[A];第10次全国精神病学术交流会暨《中国民康医学》创刊20周年庆典论文汇编[C];2008年

5 岳盈盈;寇_g;;初中生自尊与攻击行为关系研究[A];北京市社会心理学会2007年学术年会论文摘要集[C];2007年

6 马效芝;;精神科护士遭受患者攻击行为的感知、态度及行为现状调查[A];河南省精神科护理风险管理培训班及学术交流会资料汇编[C];2011年

7 王益文;张文新;;发展心理学幼儿攻击行为与“心理理论”关系的研究[A];第九届全国心理学学术会议文摘选集[C];2001年

8 郭瑞丽;薛燕;郭新新;;精神病患者攻击行为的分析及护理对策[A];2007河南省精神卫生学术研讨会资料汇编[C];2007年

9 赵冬梅;周宗奎;;童年中后期攻击行为发展趋势的多层线性模型分析[A];第十一届全国心理学学术会议论文摘要集[C];2007年

10 龙彬;陈美娟;宋立升;高哲石;;痴呆病人攻击行为与抑郁等相关因素分析[A];中国残疾人康复协会心理卫生专业委员会第三届学术交流会论文集[C];2002年

相关重要报纸文章 前10条

1 本报特约记者　郭京霞;8848告百度败诉[N];民营经济报;2005年

2 郭军;IPS：将IDS打散重造[N];中国计算机报;2007年

3 郭京霞;首例网络攻击案一审宣判[N];中国质量报;2005年

4 安康职业中专 唐玉梅;中职生攻击行为的分析与矫正[N];安康日报;2007年

5 杜跃进;恶黑客大闹世界 酷警察揭秘黑幕[N];计算机世界;2006年

6 本报记者 刘玉其;中国网络深受黑客“垂青”[N];通信信息报;2007年

7 汪智慧;远离愤怒与孤独[N];健康报;2003年

8 西北工业大学网络与教育技术中心技术支持部主任 王革;IPS须实时深度并重[N];中国计算机报;2007年

9 唐安平;被动——攻击行为 心理扭曲的反映[N];健康报;2003年

10 翁晖亮;矫治儿童攻击行为[N];健康报;2003年

相关博士学位论文 前10条

1 姚秀钰;精神疾病患者攻击行为风险评估的研究[D];北京协和医学院;2013年

2 刘华锋;5-HT和MAOA基因多态性与攻击行为的关联性及营养素干预的实验研究[D];吉林大学;2010年

3 孙连荣;社会偏见对攻击行为影响的理论和实验[D];华东师范大学;2011年

4 王振宏;青少年情感风格与攻击行为[D];首都师范大学;2005年

5 刘新学;工读学校学生执行功能及其与攻击行为关系的研究[D];华东师范大学;2008年

6 肖敏;基于可拓学的网络安全管理相关技术[D];华中师范大学;2008年

7 靳宇倡;工作场所攻击行为及其影响因素的研究[D];西南大学;2010年

8 张博;基于IPv6环境的网络安全检测与Phishing防御研究[D];西北工业大学;2006年

9 马琳茹;网络安全告警信息处理技术研究[D];国防科学技术大学;2007年

10 张勇;孕期家庭暴力与孕妇心理、产后抑郁、新生儿神经生化及遗传—环境交互作用对婴儿认知行为的影响[D];中南大学;2008年

相关硕士学位论文 前10条

1 李安;工读生冲突责任判断与攻击行为的内隐社会认知研究[D];浙江大学;2002年

2 陈立民;亲子关系、同伴关系与青少年攻击性行为的相关研究[D];华南师范大学;2007年

3 姚利;儿童青少年价值观、道德判断与攻击行为的关系[D];山东师范大学;2009年

4 李胜达;武术的技击性对民族传统体育专业学生攻击行为的影响[D];西北师范大学;2009年

5 查抒佚;儿童气质和关系攻击行为对受欢迎性的影响研究[D];浙江大学;2006年

6 王慧丽;雄激素受体类似物在拟黑多刺蚁中的免疫组织化学定位研究[D];陕西师范大学;2007年

7 宋玉红;武术运动员攻击行为内隐社会认知的实验研究[D];聊城大学;2007年

8 张秀R

本文编号：2371017