入侵检测中双层次模式匹配研究与应用

发布时间：2020-04-05 14:35

【摘要】：针对现有入侵检测系统在模式建立与匹配方法中存在的不足,改进了一种入侵检测系统的模式建立与匹配方法.根据数据样本的数据属性特征,采用双层次聚类方法对数据样本进行分析,建立基于行为索引的系统安全模式,避免对数据属性进行分析时,造成数据关键信息的丢失,降低入侵检测系统的误报率和漏报率.
【图文】：

模型图,模型,入侵检测系统,审计追踪

ｍｐｕｔｅｒＳｅｃｕｒｉｔｙＴｈｒｅａｔＭｏｎｉｔｏｒｉｎｇａｎｄＳｕｒｖｅｉｌｌａｎｃｅ［１］中首次明确提出了入侵的概念，将入侵划为外部闯入、内部不规范操作和滥用三种类型，并提出用审计追踪来监视入侵威胁．１９８７年，ＤｏｒｏｔｈｙＤｅｎｎｉｎｇ在ＡｎＩｎｔｒｕｓｉｏｎＤｅｔｅｃｔｉｏｎＭｏｄｅｌ［２］提出的理论架构奠定了入侵检测系统商业产品的理论基础．ＤｏｒｏｔｈｙＤｅｎｎｉｎｇ给出了一种入侵检测系统框架，简称ＩＤＥＳ模型．如图１所示：图１ＩＤＥＳ模型Ｆｉｇ．１ＩＤＥＳｍｏｄｅｌ它的基本思路为：为用户建立和维护一系列的行７５＊收稿日期：２０１２－１０－１５．作者简介：孙旭东（１９８３－），男，湖南沅江人，南宁市第六人民医院助理工程师，研究方向：网络工程．

系统结构图,系统总体结构

２．２基于行为索引的模式匹配过程模式匹配方法是基于上节行为索引的匹配过程，该行为索引在模式建立阶段是聚类分析的重要手段，由于它以树作为数据结构，因此在模式匹配阶段，它又起到判定树的功能，确定待检测对象的身份信息，，在确定对象的身份及权限后，然后再索引项范围内计算相异度，从而判断待检测对象的行为是否符合正常的安全模式．３入侵检测系统的设计与实现入侵检测是保障信息安全的主要措施之一，经过多年的发展，形成了一套较完善的理论和技术体系．３．１系统结构图入侵检测系统的结构如图２所示．图２系统总体结构图Ｆｉｇ．２Ｔｈｅｗｈｏｌｅｓｙｓｔｅｍｓｔｒｕｃｔｕｒｅ３．２系统功能模块设计①数据采集器．该模块主要完成对网络传输数据包的捕获．笔者采用了专门为数据监听而产生的应用程序设计的开发包Ｌｉｂｐｃａｐ（ＰａｃｋｅｔＣａｐｔｕｒｅＬｉｂｒａｒ－ｙ）来捕获数据包．Ｌｉｂｐｃａｐ是由Ｂｅｒｋｅｌｅｙ大学Ｌａｗ－ｒｅｎｃｅＢｅｒｋｅｌｅｙＮａｔｉｏｎａｌＬａｂｏｒａｔｏｒｙ研究院的ＣｒａｉｇＬｅｒｅｓ、ＳｔｅｖｅｎＭｃＣａｎｎｅ和ＶａｎＪａｃｏｂｓｏｎ编写的，通过直接访问数据链路层，为各项应用层程序提供了捕获底层数据包的ＡＰＩ．②数据过滤及预处理单元．该模块采用了灵活的“插件”结构，用户和程序员可以根据需求加载相应的预处理程序，进一步增强系统的处理能．③数据解析单元．完成对原始数据的解析，形成特定的数据结构，以便检测单元对其进行处理．④检测单元．该模块是整个实验系统的核心，检测引擎执行效率的高低直接影响到整个系统的性能优劣．该模块将采

【参考文献】