基于支持向量机的混合入侵报警分析研究
发布时间:2021-06-24 20:03
当今全球化网络环境中,操作系统、硬件设备、应用软件等的安全漏洞,网络协议设计上的安全缺陷均成为了入侵系统的机会。现有的不管是基于误用还是基于异常的入侵检测系统,均会产生数目巨大的报警信息,且这些报警信息包含大量的误报警。报警信息的融合分析是一个趋势,同时如何在保证较高的检测率的前提下,对入侵检测系统的原始报警进行分析过滤得到尽可能多的与攻击相关的报警,降低入侵报警的误报警率是入侵检测领域的一个研究方向。现阶段将数据挖掘和入侵检测结合是一个热点,本文在此背景下研究了基于支持向量机的入侵检测报警分析。从内网的蠕虫攻击和攻击工具攻击这一实际攻击场景出发,提出了一种基于攻击流程和支持向量机的混合入侵报警分析模型,综合利用网络和主机的混合数据作为入侵检测报警分析的数据来源,区分利用系统漏洞的蠕虫攻击和攻击工具的攻击,关联攻击事件到攻击源地址,还原蠕虫攻击和攻击工具攻击的攻击过程。本文首先从利用系统漏洞的蠕虫攻击和攻击工具的攻击模型出发,详细比较了蠕虫攻击和攻击工具攻击在各个攻击流程中的区别,提取出攻击前中后三个阶段可供利用的特征,以此将报警分析转化为snort报警分析和异常事件分析两个部分,提出...
【文章来源】:北京邮电大学北京市 211工程院校 教育部直属院校
【文章页数】:71 页
【学位级别】:硕士
【文章目录】:
摘要
ABSTRACT
第一章 绪论
1.1 研究背景及意义
1.2 国内外研究现状
1.2.1 数据挖掘
1.2.2 支持向量机
1.2.3 报警关联
1.3 研究内容及章节安排
第二章 入侵检测和支持向量机相关背景知识
2.1 入侵检测
2.1.1 误用检测与异常检测
2.1.2 主机检测与网络检测
2.2 Snort轻量级入侵检测系统
2.2.1 sfPortscan预处理器
2.2.2 event filter
2.2.3 flags字段
2.3 支持向量机理论
2.3.1 机器学习
2.3.2 统计学习理论
2.3.3 支持向量机
2.4 本章小结
第三章 基于攻击流程和支持向量机的混合入侵报警分析模型(HIAMPV)
3.1 HIAMPV结构
3.2 基于攻击流程的报警分析方法
3.3 混合入侵报警
3.3.1 Snort报警
3.3.2 异常事件
3.4 基于支持向量机的报警过滤方法
3.4.1 报警过滤模型
3.4.2 报警信息特征向量
3.5 本章小结
第四章 基于HIAMPV的入侵报警分析系统设计与实现
4.1 系统设计
4.2 模块设计
4.2.1 Snort报警分析模块
4.2.2 隔离文件处理模块
4.2.3 系统监控日志处理模块
4.2.4 报警关联分析模块
4.2.5 报警过滤模块
4.3 关键技术
4.3.1 蜜罐与系统漏洞
4.3.2 连接信息
4.3.3 隔离文件
4.4 本章小结
第五章 实验验证与结果分析
5.1 蠕虫和攻击工具攻击实例
5.1.1 攻击工具攻击
5.1.2 蠕虫攻击
5.2 报警过滤实例
5.3 本章小结
第六章 结束语
6.1 论文主要工作
6.2 下一步工作
参考文献
致谢
作者攻读学位期间发表的学术论文目录
【参考文献】:
期刊论文
[1]一种基于混合策略的孤立点检测方法[J]. 田江,顾宏. 系统工程与电子技术. 2010(08)
[2]入侵检测中基于序列模式的告警关联分析[J]. 武斌,杨义先,郑康锋. 电子科技大学学报. 2009(03)
[3]基于SVM主动学习的入侵检测系统[J]. 段丹青,陈松乔,杨卫平. 计算机工程. 2007(01)
[4]蠕虫预警技术研究与进展[J]. 谢丰,孟庆发. 计算机应用研究. 2006(10)
[5]基于支持向量机的降低入侵检测误报警方法[J]. 肖云,韩崇昭. 计算机工程. 2006(17)
[6]信息熵理论与入侵检测聚类问题研究[J]. 熊家军,李庆华. 小型微型计算机系统. 2005(07)
[7]基于模式挖掘的用户行为异常检测[J]. 连一峰,戴英侠,王航. 计算机学报. 2002(03)
[8]关于统计学习理论与支持向量机[J]. 张学工. 自动化学报. 2000(01)
博士论文
[1]网络安全威胁与态势评估方法研究[D]. 雷杰.华中科技大学 2008
[2]基于机器学习的入侵检测技术研究[D]. 张义荣.国防科学技术大学 2005
[3]基于序列模式挖掘的误用入侵检测系统及其关键技术研究[D]. 宋世杰.国防科学技术大学 2005
[4]基于数据挖掘的自适应入侵检测建模研究[D]. 向继东.武汉大学 2004
硕士论文
[1]基于聚类和支持向量机的入侵异常检测方法研究[D]. 周艳.吉林大学 2011
[2]基于数据挖掘的网络入侵检测方法的研究[D]. 刘犇.南京邮电大学 2011
[3]基于属性相似度的报警关联系统的研究与实现[D]. 毛治佳.西安电子科技大学 2011
[4]改进的HMM网络安全风险评估方法研究[D]. 董静.华中科技大学 2008
[5]基于关联规则挖掘的无线网络入侵检测研究[D]. 谢传荣.华中科技大学 2006
[6]基于LS-SVM的入侵检测模型与实时测试平台研究[D]. 刘永健.国防科学技术大学 2005
本文编号:3247741
【文章来源】:北京邮电大学北京市 211工程院校 教育部直属院校
【文章页数】:71 页
【学位级别】:硕士
【文章目录】:
摘要
ABSTRACT
第一章 绪论
1.1 研究背景及意义
1.2 国内外研究现状
1.2.1 数据挖掘
1.2.2 支持向量机
1.2.3 报警关联
1.3 研究内容及章节安排
第二章 入侵检测和支持向量机相关背景知识
2.1 入侵检测
2.1.1 误用检测与异常检测
2.1.2 主机检测与网络检测
2.2 Snort轻量级入侵检测系统
2.2.1 sfPortscan预处理器
2.2.2 event filter
2.2.3 flags字段
2.3 支持向量机理论
2.3.1 机器学习
2.3.2 统计学习理论
2.3.3 支持向量机
2.4 本章小结
第三章 基于攻击流程和支持向量机的混合入侵报警分析模型(HIAMPV)
3.1 HIAMPV结构
3.2 基于攻击流程的报警分析方法
3.3 混合入侵报警
3.3.1 Snort报警
3.3.2 异常事件
3.4 基于支持向量机的报警过滤方法
3.4.1 报警过滤模型
3.4.2 报警信息特征向量
3.5 本章小结
第四章 基于HIAMPV的入侵报警分析系统设计与实现
4.1 系统设计
4.2 模块设计
4.2.1 Snort报警分析模块
4.2.2 隔离文件处理模块
4.2.3 系统监控日志处理模块
4.2.4 报警关联分析模块
4.2.5 报警过滤模块
4.3 关键技术
4.3.1 蜜罐与系统漏洞
4.3.2 连接信息
4.3.3 隔离文件
4.4 本章小结
第五章 实验验证与结果分析
5.1 蠕虫和攻击工具攻击实例
5.1.1 攻击工具攻击
5.1.2 蠕虫攻击
5.2 报警过滤实例
5.3 本章小结
第六章 结束语
6.1 论文主要工作
6.2 下一步工作
参考文献
致谢
作者攻读学位期间发表的学术论文目录
【参考文献】:
期刊论文
[1]一种基于混合策略的孤立点检测方法[J]. 田江,顾宏. 系统工程与电子技术. 2010(08)
[2]入侵检测中基于序列模式的告警关联分析[J]. 武斌,杨义先,郑康锋. 电子科技大学学报. 2009(03)
[3]基于SVM主动学习的入侵检测系统[J]. 段丹青,陈松乔,杨卫平. 计算机工程. 2007(01)
[4]蠕虫预警技术研究与进展[J]. 谢丰,孟庆发. 计算机应用研究. 2006(10)
[5]基于支持向量机的降低入侵检测误报警方法[J]. 肖云,韩崇昭. 计算机工程. 2006(17)
[6]信息熵理论与入侵检测聚类问题研究[J]. 熊家军,李庆华. 小型微型计算机系统. 2005(07)
[7]基于模式挖掘的用户行为异常检测[J]. 连一峰,戴英侠,王航. 计算机学报. 2002(03)
[8]关于统计学习理论与支持向量机[J]. 张学工. 自动化学报. 2000(01)
博士论文
[1]网络安全威胁与态势评估方法研究[D]. 雷杰.华中科技大学 2008
[2]基于机器学习的入侵检测技术研究[D]. 张义荣.国防科学技术大学 2005
[3]基于序列模式挖掘的误用入侵检测系统及其关键技术研究[D]. 宋世杰.国防科学技术大学 2005
[4]基于数据挖掘的自适应入侵检测建模研究[D]. 向继东.武汉大学 2004
硕士论文
[1]基于聚类和支持向量机的入侵异常检测方法研究[D]. 周艳.吉林大学 2011
[2]基于数据挖掘的网络入侵检测方法的研究[D]. 刘犇.南京邮电大学 2011
[3]基于属性相似度的报警关联系统的研究与实现[D]. 毛治佳.西安电子科技大学 2011
[4]改进的HMM网络安全风险评估方法研究[D]. 董静.华中科技大学 2008
[5]基于关联规则挖掘的无线网络入侵检测研究[D]. 谢传荣.华中科技大学 2006
[6]基于LS-SVM的入侵检测模型与实时测试平台研究[D]. 刘永健.国防科学技术大学 2005
本文编号:3247741
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/3247741.html
