基于OPM-kNN的分布式入侵检测方法

发布时间：2020-05-20 03:37

【摘要】：随着计算网络环境愈发复杂,海量数据下的传统入侵检测方法具有处理能力有限、单点失效等缺点。基于溯源图和路径的入侵检测方法不适用于大数据环境下的流式数据,溯源路径过长不仅会使检测时间增加,还会导致检测率下降以及误报率上升。根据溯源模型对进程和系统调用间的关系进行了高度抽象,借此提取进程特征并利用kNN(k-Nearest Neighbors,k近邻)算法进行检测而无需整合溯源图,从而提高大数据环境下处理流式数据的能力。方法对收集的溯源信息进行预处理构造测试集,减少溯源信息本身带来的空间开销;针对分布式海量数据环境,利用Kafka消息分发系统进行消息分发,提高检测效率;提出基于OPM-kNN的分布式入侵检测方法,将分发的进程特征与训练集的正常样本进行相似计算,提升检测率降低误报率;利用溯源图的特性,对检测异常的进程进行入侵路径分析,得到漏洞来源。从测试结果来看,该方法比基于溯源图和路径的入侵检测方法提升了0.4%~15%的准确率,检测时间减少了63%~71%;与基于溯源的滑动窗口算法相比,提升了59%~80%的准确率,检测时间减少了98%。结果证明,该方法具有较好的检测功能及较高的检测性能,溯源信息的空间开销也在可接受范围之内。
【图文】：

本章介绍方法设计中需要的一些相关技术，其中包含了溯源模型简介、溯源收集分析、入侵检测技术及分布式架构介绍。溯源收集架构分析本节主要介绍本文使用的溯源收集架构。1 OPM 开放溯源模型溯源的概念最早出现在艺术品图书馆中，揭示了艺术品的来源并记录了更改过]。经过信息技术的发展，溯源被引申到计算机系统中，被用来描述一个数据对历史操作。OPM（OpenProvenanceModel，开放溯源模型），，由溯源研究协会于 年提出，用来定义溯源对象间的依赖关系，并旨在构建溯源图来描述溯源对象史操作[35]。溯源图由多种节点和多种边组成，构成了一个有向无环图，如图 2-：

图 2-2 SPADE 系统架构图.1.3 溯源信息的收集OPM 溯源模型中的节点主要分为三种，在 SPADE 中收集的不同类型节点具有同类型的属性：Artifact（文件）对象：该类型代表着广义上的文件，包含了文件系统中的实体文件、链接、文件夹、块设备和字符设备等）、进程间通信的实体（管道、套接字及套接字对等）、网络通信的实体（网络套接字）等类型。主要属性包括文件路径、问权限、文件描述符以及更改时间等。对于网络套接字等特殊类型，还具有源 IP址、源端口、目的 IP 地址和目的端口等属性。若攻击来源为网络攻击，利用 Artifact象不仅可以检测本机的入侵活动，还能追溯入侵的 IP 来源。Proces（s进程）对象：该类型代表着执行的进程，主要属性包括进程名、进程 ID、进程 ID、开始时间戳和最近活动时间戳等。对于 execve 系统调用执行的进程，还录有命令行参数等属性。
【学位授予单位】：华中科技大学
【学位级别】：硕士
【学位授予年份】：2019
【分类号】：TP393.08

【相似文献】

相关期刊论文 前10条

1 刘文强;巩青歌;;基于云模型的分布式入侵检测[J];微计算机信息;2010年27期

2 姜华斌;江文;谢冬青;;一种基于环形结构的新型分布式入侵检测模型[J];计算机工程;2005年23期

3 李立新,李勇,李昀;基于多传感器数据融合与挖掘的分布式入侵检测模型[J];河南师范大学学报(自然科学版);2005年01期

4 李艳芳;基于CORBA的分布式入侵检测技术[J];零陵学院学报;2004年11期

5 韩宏;卢显良;;一种分布式入侵检测系统构架[J];计算机科学;2001年09期

6 金丽;朱浩;;基于可信对等的分布式入侵检测通信框架设计[J];计算机工程与设计;2010年05期

7 张敏情;张玉梅;;基于数据挖掘的分布式入侵检测算法[J];武警工程学院学报;2009年02期

8 伍爱平;施月玲;丁宏;;分布式入侵检测中的数据融合模型[J];计算机与数字工程;2007年04期

9 史志才;韩彦铎;贾百奎;沈连山;;实现分布式入侵检测的关键技术研究[J];大连大学学报;2007年03期

10 王晓煜;基于遗传算法的分布式入侵检测模型研究[J];燕山大学学报;2004年03期

相关会议论文 前9条

1 李二涛;;分布式入侵检测技术在校园网中的应用研究[A];全国第21届计算机技术与应用学术会议（CACIS·2010）暨全国第2届安全关键技术与应用学术会议论文集[C];2010年

2 王辉;邵佩英;;基于标记的分布式入侵检测方法与实施途径[A];第十七届全国数据库学术会议论文集（研究报告篇）[C];2000年

3 李天智;孙海波;魏永红;;分布式入侵检测技术的实现[A];中国自动化学会全国第九届自动化新技术学术交流会论文集[C];2004年

4 邹莹;李陶深;;基于资源的分布式入侵检测系统模型研究[A];广西计算机学会2004年学术年会论文集[C];2004年

5 李陶深;葛志辉;;一种基于智能代理的分布式入侵检测系统设计[A];广西计算机学会2005年学术年会论文集[C];2005年

6 杜晔;郭幽燕;;基于消息驱动的分布式入侵检测通信机制[A];2006年首届ICT大会信息、知识、智能及其转换理论第一次高峰论坛会议论文集[C];2006年

7 危辉平;陶宏才;;一种新的基于相关性的层次型分布式入侵检测模型[A];四川省通信学会Ip应用与增值电信技术会议论文集[C];2011年

8 张瑞武;夏靖波;罗峗骞;;一种基于Snort的分布式入侵检测平台的设计与实现[A];第二十次全国计算机安全学术交流会论文集[C];2005年

9 张洁;李俊;付焕焕;;基于报警管理的分布式入侵检测系统模型[A];中国电子学会第十七届信息论学术年会论文集[C];2010年

相关重要报纸文章 前1条

1 朱毅　胡志敏;服务器政府采购风向标[N];政府采购信息报;2007年

相关博士学位论文 前5条

1 陈波;基于对等协同的分布式入侵检测系统模型研究[D];电子科技大学;2006年

2 张岳公;基于代理的对等分布式入侵检测系统研究[D];山东大学;2006年

3 陈云芳;分布式入侵检测系统关键技术研究[D];苏州大学;2008年

4 姜建国;分布式入侵检测系统与信息融合技术的研究与实践[D];四川大学;2003年

5 姚兰;无线传感器网络中路由协议及其安全性研究[D];东北大学;2008年

相关硕士学位论文 前10条

1 廖雪龙;基于OPM-kNN的分布式入侵检测方法[D];华中科技大学;2019年

2 安燕;分布式入侵检测技术在电子商务中的应用[D];河北工程大学;2011年

3 杜巍;分布式入侵检测系统关键技术的研究和实现[D];电子科技大学;2017年

4 汪瑾;分布式入侵检测系统关键技术研究[D];中北大学;2009年

5 马超;基于网络的分布式入侵检测及其通信协议研究[D];哈尔滨工业大学;2008年

6 邓志霞;分布式入侵检测系统的研究与设计[D];汕头大学;2004年

7 顾恩超;基于关联分析的分布式入侵检测模型研究[D];华中科技大学;2007年

8 蔡伯清;分布式入侵检测系统节点联动算法研究[D];南京理工大学;2008年

9 汪波;分布式入侵检测系统组件间的通信[D];华中师范大学;2003年

10 肖新华;一种基于对等网的分布式入侵检测系统模型研究[D];中南大学;2008年

本文编号：2671981