基于免疫機(jī)理的入侵檢測(cè)系統(tǒng)的研究_第1頁
基于免疫機(jī)理的入侵檢測(cè)系統(tǒng)的研究_第2頁
基于免疫機(jī)理的入侵檢測(cè)系統(tǒng)的研究_第3頁
基于免疫機(jī)理的入侵檢測(cè)系統(tǒng)的研究_第4頁
基于免疫機(jī)理的入侵檢測(cè)系統(tǒng)的研究_第5頁
已閱讀5頁,還剩48頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、安徽大學(xué)博士學(xué)位論文安徽大學(xué)博士學(xué)位論文開開 題題 報(bào)報(bào) 告告姓姓 名:名:方賢進(jìn)方賢進(jìn)導(dǎo)師姓名:導(dǎo)師姓名:李龍澍教授李龍澍教授論文題目:基于免疫機(jī)理的入侵檢測(cè)系統(tǒng)的研究基于免疫機(jī)理的入侵檢測(cè)系統(tǒng)的研究研究方向:智能軟件智能軟件課題來源:安徽省高等學(xué)校自然科學(xué)基金安徽省高等學(xué)校自然科學(xué)基金“snort入侵檢測(cè)系統(tǒng)的入侵檢測(cè)系統(tǒng)的研究與優(yōu)化研究與優(yōu)化” (kj2007b242)outlinencontext of network security problemnsignificance of studying intrusion detection techniquenadvance in i

2、dsnadvance in ais and its application to computer securitynmain research worknstudy methodology and notionninnovations and features of the dissertationnreferences1. context of network security problemcontext of network security problemincidents reported to cert/cc050001000015000200002500090919293949

3、59697989900 隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,internet逐漸成為整個(gè)社會(huì)基礎(chǔ)設(shè)施之一。計(jì)算機(jī)信息系統(tǒng)安全的重要性日益突出。 context of network security problem黑客攻擊技術(shù)與病毒技術(shù)日趨融合context of network security problemcontext of network security problem傳統(tǒng)的安全技術(shù)如firewall, user authentication, authorization and access control技術(shù)不能對(duì)系統(tǒng)是否被真正入侵有任何保證2. significance of st

4、udying intrusion detection technique美國國際互聯(lián)網(wǎng)安全美國國際互聯(lián)網(wǎng)安全系統(tǒng)公司(系統(tǒng)公司(ississ)提出)提出的的p2drp2dr安全系統(tǒng)理論。安全系統(tǒng)理論。significance of studying intrusion detection techniquesignificance of studying intrusion detection technique研究入侵檢測(cè)技術(shù)具有巨大的市場(chǎng)價(jià)值。美國美國darpadarpa出資資助了一系列的入侵檢測(cè)研究項(xiàng)目(如出資資助了一系列的入侵檢測(cè)研究項(xiàng)目(如cdiscdis),日本、德國也都撥巨款開展

5、信息安全的),日本、德國也都撥巨款開展信息安全的研究,中國也啟動(dòng)了國家研究,中國也啟動(dòng)了國家863863信息安全應(yīng)急計(jì)劃資信息安全應(yīng)急計(jì)劃資助信息安全方面特別是入侵檢測(cè)方面的研究工作。助信息安全方面特別是入侵檢測(cè)方面的研究工作。 significance of studying intrusion detection techniquevendor1999 revenue1999 market share2000revenue2000 market sharesymantec$345m13.2%$482m14.7%computer associates$453m17.3%$468m14.3%i

6、bm$393m15%$429m13.1%network associates$381m14.5%$339m10.4%check point software$153m5.9%$283m8.6%others$892m34.1%$1.3b38.9%安全軟件銷售安全軟件銷售significance of studying intrusion detection technique隨著各種攻擊手段的不斷提高,網(wǎng)絡(luò)流量持續(xù)增大,隨著各種攻擊手段的不斷提高,網(wǎng)絡(luò)流量持續(xù)增大,迫切要求新型的具有自學(xué)習(xí)和自適應(yīng)能力的智能入迫切要求新型的具有自學(xué)習(xí)和自適應(yīng)能力的智能入侵檢測(cè)系統(tǒng)的出現(xiàn),所以入侵檢測(cè)技術(shù)的研究涉及

7、侵檢測(cè)系統(tǒng)的出現(xiàn),所以入侵檢測(cè)技術(shù)的研究涉及到計(jì)算機(jī)、數(shù)據(jù)庫、通信、網(wǎng)絡(luò)、密碼學(xué)和人工智到計(jì)算機(jī)、數(shù)據(jù)庫、通信、網(wǎng)絡(luò)、密碼學(xué)和人工智能等綜合知識(shí),具有重要的理論研究意義。能等綜合知識(shí),具有重要的理論研究意義。 significance of studying intrusion detection technique根據(jù)根據(jù)mit lincolnmit lincoln實(shí)驗(yàn)室對(duì)入侵檢測(cè)系統(tǒng)的評(píng)估結(jié)實(shí)驗(yàn)室對(duì)入侵檢測(cè)系統(tǒng)的評(píng)估結(jié)果,以及當(dāng)前商用入侵檢測(cè)系統(tǒng)的使用情況調(diào)查,果,以及當(dāng)前商用入侵檢測(cè)系統(tǒng)的使用情況調(diào)查,可以了解到當(dāng)前的入侵檢測(cè)系統(tǒng)在檢測(cè)性能(如檢可以了解到當(dāng)前的入侵檢測(cè)系統(tǒng)在檢測(cè)性能(如

8、檢測(cè)新型攻擊能力)、自適應(yīng)性、靈活性、分布式等測(cè)新型攻擊能力)、自適應(yīng)性、靈活性、分布式等多方面遠(yuǎn)遠(yuǎn)不能滿足當(dāng)前社會(huì)的需要。所以本論文多方面遠(yuǎn)遠(yuǎn)不能滿足當(dāng)前社會(huì)的需要。所以本論文主要是借鑒生物的自然免疫系統(tǒng)的特性,進(jìn)行基于主要是借鑒生物的自然免疫系統(tǒng)的特性,進(jìn)行基于免疫機(jī)理的入侵檢測(cè)系統(tǒng)的研究,以解決當(dāng)前入侵免疫機(jī)理的入侵檢測(cè)系統(tǒng)的研究,以解決當(dāng)前入侵檢測(cè)系統(tǒng)的問題。檢測(cè)系統(tǒng)的問題。significance of studying intrusion detection techniquenisnis是一個(gè)分布式的、具有自適應(yīng)性和自學(xué)習(xí)是一個(gè)分布式的、具有自適應(yīng)性和自學(xué)習(xí)能力的分類器,它通過學(xué)

9、習(xí)、記憶和聯(lián)想提取來解能力的分類器,它通過學(xué)習(xí)、記憶和聯(lián)想提取來解決識(shí)別和分類任務(wù)。決識(shí)別和分類任務(wù)。idsids與自然免疫系統(tǒng)非常類似,與自然免疫系統(tǒng)非常類似,這種類似主要表現(xiàn)在下面三方面這種類似主要表現(xiàn)在下面三方面:nis:nis與與idsids的任務(wù)類的任務(wù)類似似 ;nisnis與與idsids所處的環(huán)境類似所處的環(huán)境類似 ;nisnis與與idsids所采用所采用的檢測(cè)方法類似的檢測(cè)方法類似 。nisnis對(duì)入侵檢測(cè)技術(shù)在分布性、自適應(yīng)性、多對(duì)入侵檢測(cè)技術(shù)在分布性、自適應(yīng)性、多樣性、聯(lián)想記憶等方面的啟示,吸引了很多計(jì)算機(jī)樣性、聯(lián)想記憶等方面的啟示,吸引了很多計(jì)算機(jī)安全研究者和人工智能研

10、究者。安全研究者和人工智能研究者。3. advance in ids techniqueadvance in ids techniqueotherwiseanomalousmsnormalsmf,),(入侵檢測(cè)系統(tǒng)的數(shù)學(xué)描述:u:universe set,s: normal/legitimate/acceptable pattern set (self set ),n: anomalous/illegitimate/unacceptable pattern set (nonself set),sn=u, sn=ids=(f, m), f is a nonlinear classificatio

11、n function, m is detection range of detection system, f: u*unormal, anomalousum nonselfselfmfalse positivesfalse negativesuadvance in ids technique1980 1980 年年james anderson james anderson 在論文在論文“計(jì)算機(jī)安全計(jì)算機(jī)安全威脅監(jiān)控與監(jiān)視威脅監(jiān)控與監(jiān)視”中首次提出了入侵檢測(cè)的概中首次提出了入侵檢測(cè)的概念念 1987 1987 年年dorothy denning dorothy denning 發(fā)表了重要論文發(fā)

12、表了重要論文“入入侵檢測(cè)模型侵檢測(cè)模型” ” s.stanfod-chen s.stanfod-chen 等于等于1998 1998 年提出了入侵檢測(cè)年提出了入侵檢測(cè)通用框架通用框架cidfcidf(common intrusion detection common intrusion detection frameworkframework)將軟件構(gòu)件理論應(yīng)用到入侵檢測(cè)系)將軟件構(gòu)件理論應(yīng)用到入侵檢測(cè)系統(tǒng)中統(tǒng)中 。advance in ids techniquesri sri 公司研究的基于專家系統(tǒng)的公司研究的基于專家系統(tǒng)的emerald emerald 系統(tǒng),系統(tǒng),它是一個(gè)廣泛的基于專家系

13、統(tǒng)的特征分析機(jī),它是一個(gè)廣泛的基于專家系統(tǒng)的特征分析機(jī),利用利用p-best p-best 進(jìn)行入侵特征推理。進(jìn)行入侵特征推理。purdue purdue 大學(xué)大學(xué)cerias cerias 研制的分布入侵檢測(cè)系統(tǒng)研制的分布入侵檢測(cè)系統(tǒng)aafidaafid,它是使用自治,它是使用自治agent agent 進(jìn)行入侵檢測(cè)的第進(jìn)行入侵檢測(cè)的第一個(gè)框架結(jié)構(gòu)。一個(gè)框架結(jié)構(gòu)。columbia columbia 大學(xué)的大學(xué)的wenke lee wenke lee 等人進(jìn)行了實(shí)時(shí)環(huán)等人進(jìn)行了實(shí)時(shí)環(huán)境下基于數(shù)據(jù)挖掘的入侵檢測(cè)的研究。境下基于數(shù)據(jù)挖掘的入侵檢測(cè)的研究。advance in ids techniq

14、ueghosh ghosh 等人于等人于19991999年利用神經(jīng)網(wǎng)絡(luò)來學(xué)習(xí)程序軌跡年利用神經(jīng)網(wǎng)絡(luò)來學(xué)習(xí)程序軌跡中的局部模式,這種方法與用戶反復(fù)無常的更改其中的局部模式,這種方法與用戶反復(fù)無常的更改其工作習(xí)慣無關(guān),并能克服當(dāng)惡意用戶察覺到被檢測(cè)工作習(xí)慣無關(guān),并能克服當(dāng)惡意用戶察覺到被檢測(cè)時(shí)故意逐漸改變其行為,而使其入侵的行為被編碼時(shí)故意逐漸改變其行為,而使其入侵的行為被編碼到正常的輪廓中去的缺點(diǎn)。到正常的輪廓中去的缺點(diǎn)。tim bass tim bass 認(rèn)為應(yīng)當(dāng)將數(shù)據(jù)融合的思想應(yīng)用到入侵認(rèn)為應(yīng)當(dāng)將數(shù)據(jù)融合的思想應(yīng)用到入侵檢測(cè)系統(tǒng)中去,他提出下一代入侵檢測(cè)系統(tǒng)的輸入檢測(cè)系統(tǒng)中去,他提出下一代入

15、侵檢測(cè)系統(tǒng)的輸入應(yīng)包括傳感器數(shù)據(jù)、命令、已建立的數(shù)據(jù)庫中的先應(yīng)包括傳感器數(shù)據(jù)、命令、已建立的數(shù)據(jù)庫中的先驗(yàn)數(shù)據(jù),輸出是對(duì)威脅源的身份估計(jì)、入侵的分類、驗(yàn)數(shù)據(jù),輸出是對(duì)威脅源的身份估計(jì)、入侵的分類、速率估計(jì)等,并給出了初步的入侵檢測(cè)數(shù)據(jù)融合信速率估計(jì)等,并給出了初步的入侵檢測(cè)數(shù)據(jù)融合信息流圖。息流圖。advance in ids technique國內(nèi)許多大學(xué)和研究機(jī)構(gòu)也投入了對(duì)入侵檢測(cè)技術(shù)國內(nèi)許多大學(xué)和研究機(jī)構(gòu)也投入了對(duì)入侵檢測(cè)技術(shù)的研究,如中科院軟件所提出的的研究,如中科院軟件所提出的基于基于agentagent的分布的分布入侵檢測(cè)系統(tǒng)模型框架、清華大學(xué)設(shè)計(jì)了入侵檢測(cè)系統(tǒng)模型框架、清華大學(xué)設(shè)

16、計(jì)了基于基于svmsvm 分類機(jī)的入侵檢測(cè)系統(tǒng)、北京航空大學(xué)提出的基于分類機(jī)的入侵檢測(cè)系統(tǒng)、北京航空大學(xué)提出的基于資源監(jiān)視資源監(jiān)視的入侵檢測(cè)概念、西安電子科技大學(xué)提出的入侵檢測(cè)概念、西安電子科技大學(xué)提出的的基于神經(jīng)網(wǎng)絡(luò)基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)等等、東北大學(xué)對(duì)基于的入侵檢測(cè)等等、東北大學(xué)對(duì)基于應(yīng)用的高速網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的研究,李之棠等人應(yīng)用的高速網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的研究,李之棠等人建立了一種基于建立了一種基于模糊專家系統(tǒng)模糊專家系統(tǒng)的入侵檢測(cè)框架模型,的入侵檢測(cè)框架模型,將模糊證據(jù)理論引入到入侵檢測(cè)中。將模糊證據(jù)理論引入到入侵檢測(cè)中。4. advance in ais and its applica

17、tion in computer security fieldadvance in ais and its application in computer security field19901990年,年,h. bersinih. bersini等人首次將免疫算法應(yīng)用于求解問題。等人首次將免疫算法應(yīng)用于求解問題。19911991年,我國靳蕃等指出年,我國靳蕃等指出“免疫系統(tǒng)所具有的信息處理與肌免疫系統(tǒng)所具有的信息處理與肌體防衛(wèi)功能,從工程角度來看,具有非常深遠(yuǎn)的意義體防衛(wèi)功能,從工程角度來看,具有非常深遠(yuǎn)的意義”。19941994年,年,stephanie.forreststephanie.

18、forrest等人將免疫算法用于計(jì)算機(jī)安等人將免疫算法用于計(jì)算機(jī)安全。全。9090年代中期,年代中期,j. hunt j. hunt 等人將免疫算法用于機(jī)器學(xué)習(xí)。等人將免疫算法用于機(jī)器學(xué)習(xí)。advance in ais and its application in computer security field19961996年年1212月,在日本舉行了基于免疫系統(tǒng)的國際專題討論會(huì),首次提出了月,在日本舉行了基于免疫系統(tǒng)的國際專題討論會(huì),首次提出了“人工免疫系統(tǒng)人工免疫系統(tǒng)”的概念。的概念。9090年代后半期開始,在國內(nèi),焦李成(西安電子科大)、王煦法(中國科大)、孟繁楨年代后半期開始,在國內(nèi)

19、,焦李成(西安電子科大)、王煦法(中國科大)、孟繁楨(天津大學(xué))等人也提出了很多免疫算法。(天津大學(xué))等人也提出了很多免疫算法。0202年至今召開的國際會(huì)議有:年至今召開的國際會(huì)議有:international conference on artificial immune systems (icaris).international conference on artificial immune systems (icaris).special session on artificial immune systems at the ieee congress on special sessi

20、on on artificial immune systems at the ieee congress on evolutionary computation (cec)evolutionary computation (cec)0303年至今召開的國際會(huì)議有:年至今召開的國際會(huì)議有:special track on artificial immune systems at genetic and evolutionary special track on artificial immune systems at genetic and evolutionary computation co

21、nference (gecco).computation conference (gecco).panelist on biologically inspired/motivated computational modelsat panelist on biologically inspired/motivated computational modelsat international joint conference on neural networks (ijcnn)international joint conference on neural networks (ijcnn)offe

22、red tutorial on immunological computation at international joint offered tutorial on immunological computation at international joint conference on artificial intelligence (ijcai)conference on artificial intelligence (ijcai)advance in ais and its application in computer security fieldaisais方面重要的算法:方

23、面重要的算法:(1)(1)負(fù)選擇算法(負(fù)選擇算法(negative selection algorithmnegative selection algorithm,forrest 1994 forrest 1994 )(2)(2)免疫遺傳算法(免疫遺傳算法(a novel genetic algorithm based a novel genetic algorithm based on immunity on immunity ,jiao 2000jiao 2000) (3)(3)克隆選擇算法(克隆選擇算法(clonal selection algorithmclonal selection

24、 algorithm,kim, kim, de castro presentedde castro presented)(4)(4)免疫網(wǎng)絡(luò)模型(免疫網(wǎng)絡(luò)模型(immune network models. timmisimmune network models. timmis等等的資源受限人工免疫系統(tǒng)的資源受限人工免疫系統(tǒng)(resource limited artificial (resource limited artificial immune systemimmune system)和)和de castrode castro等的等的ainetainet)advance in ais an

25、d its application in computer security field將將aisais應(yīng)用于計(jì)算機(jī)安全領(lǐng)域的研究者:應(yīng)用于計(jì)算機(jī)安全領(lǐng)域的研究者:除了除了new mexiconew mexico大學(xué)的大學(xué)的forrestforrest領(lǐng)導(dǎo)的團(tuán)隊(duì)研究領(lǐng)導(dǎo)的團(tuán)隊(duì)研究ais-based ais-based computer securitycomputer security之外,之外,20002000年年kimkim等也提出他們的網(wǎng)絡(luò)入等也提出他們的網(wǎng)絡(luò)入侵檢測(cè)模型。它包括主侵檢測(cè)模型。它包括主ids(ids(等效于胸腺或骨髓等效于胸腺或骨髓) )和從和從idsids(等(等效于淋

26、巴節(jié)點(diǎn)),主效于淋巴節(jié)點(diǎn)),主ids ids 負(fù)責(zé)生成檢測(cè)器,而從負(fù)責(zé)生成檢測(cè)器,而從ids ids 執(zhí)行檢執(zhí)行檢測(cè)。利用三種進(jìn)化過程即基因庫進(jìn)化學(xué)習(xí),陰性選擇和克隆測(cè)。利用三種進(jìn)化過程即基因庫進(jìn)化學(xué)習(xí),陰性選擇和克隆選擇并通過網(wǎng)絡(luò)相互合作以滿足網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)分布、自選擇并通過網(wǎng)絡(luò)相互合作以滿足網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)分布、自組織和輕型的要求。組織和輕型的要求。一直從事建立一種入侵檢測(cè)的人工免疫系統(tǒng)的研究的還有一直從事建立一種入侵檢測(cè)的人工免疫系統(tǒng)的研究的還有dipankar dasguptadipankar dasgupta(memphis univ.memphis univ.),他提出用基因搜索

27、),他提出用基因搜索方法進(jìn)化新型模式檢測(cè)器,該模式檢測(cè)器能夠區(qū)分網(wǎng)絡(luò)流量方法進(jìn)化新型模式檢測(cè)器,該模式檢測(cè)器能夠區(qū)分網(wǎng)絡(luò)流量的異常程度。的異常程度。5. main study workmain study work一、在研究自然免疫系統(tǒng)的機(jī)制及其功能的基礎(chǔ)上,一、在研究自然免疫系統(tǒng)的機(jī)制及其功能的基礎(chǔ)上,建立一個(gè)完全是分布式的入侵檢測(cè)系統(tǒng)模型,設(shè)計(jì)一建立一個(gè)完全是分布式的入侵檢測(cè)系統(tǒng)模型,設(shè)計(jì)一個(gè)基于免疫機(jī)理的入侵檢測(cè)系統(tǒng)的個(gè)基于免疫機(jī)理的入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu)體系結(jié)構(gòu)。該分布。該分布式模型是在不同的計(jì)算機(jī)上放置不同的式模型是在不同的計(jì)算機(jī)上放置不同的idsids,每個(gè),每個(gè)idsids有自己

28、的基因庫(有自己的基因庫(genes librarygenes library), ,獨(dú)立地進(jìn)行基因獨(dú)立地進(jìn)行基因庫進(jìn)化,每個(gè)庫進(jìn)化,每個(gè)idsids檢測(cè)器群體獨(dú)立地進(jìn)行檢測(cè)器群體獨(dú)立地進(jìn)行clone clone selectionselection。每個(gè)。每個(gè)idsids有一個(gè)通信與協(xié)同組件有一個(gè)通信與協(xié)同組件(communicatorcommunicator),實(shí)現(xiàn)和其它計(jì)算機(jī)上的),實(shí)現(xiàn)和其它計(jì)算機(jī)上的idsids的協(xié)同的協(xié)同刺激(刺激(co-stimulation)co-stimulation)。并計(jì)劃從理論上證明該分布。并計(jì)劃從理論上證明該分布式模型具有可擴(kuò)縮性式模型具有可擴(kuò)縮性(s

29、calability)(scalability)、魯棒性、魯棒性(robustness)(robustness)、自適應(yīng)性(、自適應(yīng)性(adaptabilityadaptability)。)。main study work二、二、在以往文獻(xiàn)的克隆選擇算法中,關(guān)于檢在以往文獻(xiàn)的克隆選擇算法中,關(guān)于檢測(cè)器(抗體)親和力進(jìn)化,只用到了變異測(cè)器(抗體)親和力進(jìn)化,只用到了變異和選擇算子,所以論文欲研究抗體進(jìn)化的和選擇算子,所以論文欲研究抗體進(jìn)化的免疫算法,首次提出在該算法中增加了多免疫算法,首次提出在該算法中增加了多克隆算子(克隆算子(mcab operator)和接種疫苗)和接種疫苗算子算子(vac

30、cination operator),目的是產(chǎn)生,目的是產(chǎn)生的檢測(cè)器具有多樣性、特異性、自學(xué)習(xí)性,的檢測(cè)器具有多樣性、特異性、自學(xué)習(xí)性,能檢測(cè)未知攻擊。能檢測(cè)未知攻擊。main study work三、在前面工作的基礎(chǔ)之上,研究實(shí)現(xiàn)一個(gè)基于免三、在前面工作的基礎(chǔ)之上,研究實(shí)現(xiàn)一個(gè)基于免疫機(jī)理的入侵檢測(cè)系統(tǒng),該檢測(cè)系統(tǒng)不僅能檢測(cè)網(wǎng)疫機(jī)理的入侵檢測(cè)系統(tǒng),該檢測(cè)系統(tǒng)不僅能檢測(cè)網(wǎng)絡(luò)層、傳輸層的攻擊(絡(luò)層、傳輸層的攻擊(ipip探測(cè)、端口掃描、探測(cè)、端口掃描、dosdos攻攻擊等),而且能檢測(cè)應(yīng)用層的攻擊(如擊等),而且能檢測(cè)應(yīng)用層的攻擊(如cgicgi、ftpftp、phpphp注入漏洞攻擊等)。在此

31、過程中從理論上對(duì)檢注入漏洞攻擊等)。在此過程中從理論上對(duì)檢測(cè)率(測(cè)率(detection ratedetection rate)、漏檢率)、漏檢率(false (false positive error rate)positive error rate)、檢測(cè)器覆蓋、檢測(cè)器覆蓋(detector (detector cover)cover)、檢測(cè)漏洞、檢測(cè)漏洞(detection hole)(detection hole)、檢測(cè)器冗余、檢測(cè)器冗余進(jìn)行分析。進(jìn)行分析。main study work四、在四、在nisnis中,中,“自我自我”是指機(jī)體的自身組成成份;在是指機(jī)體的自身組成成份;在id

32、sids中,中,“自我自我”是指合法的、可接受的操作模式或網(wǎng)是指合法的、可接受的操作模式或網(wǎng)絡(luò)連接模式。利用免疫原理進(jìn)行入侵檢測(cè)研究的一個(gè)絡(luò)連接模式。利用免疫原理進(jìn)行入侵檢測(cè)研究的一個(gè)基礎(chǔ)就是自我集的構(gòu)造,根據(jù)基礎(chǔ)就是自我集的構(gòu)造,根據(jù)negative selectionnegative selection算算法的思想,檢測(cè)器的產(chǎn)生依據(jù)就是自我集。在目前的法的思想,檢測(cè)器的產(chǎn)生依據(jù)就是自我集。在目前的研究中,自我集的構(gòu)造是靜態(tài)的,未考慮其動(dòng)態(tài)進(jìn)化,研究中,自我集的構(gòu)造是靜態(tài)的,未考慮其動(dòng)態(tài)進(jìn)化,而且構(gòu)造方法主要是在假定自我集的構(gòu)造階段不存在而且構(gòu)造方法主要是在假定自我集的構(gòu)造階段不存在入侵事件

33、的基礎(chǔ)上,通過觀察來定義。另外,由于自入侵事件的基礎(chǔ)上,通過觀察來定義。另外,由于自我集的構(gòu)造是靜態(tài)的,導(dǎo)致構(gòu)造的自我集具有不備性,我集的構(gòu)造是靜態(tài)的,導(dǎo)致構(gòu)造的自我集具有不備性,因此,論文準(zhǔn)備對(duì)更精確的自我集構(gòu)造算法和進(jìn)化算因此,論文準(zhǔn)備對(duì)更精確的自我集構(gòu)造算法和進(jìn)化算法進(jìn)行研究,目的是提高法進(jìn)行研究,目的是提高idsids的整體性能。的整體性能。main study work五、在五、在forrest&hofmeyrforrest&hofmeyr研究的研究的lisyslisys系統(tǒng)中使用了系統(tǒng)中使用了協(xié)同信號(hào),所采用的協(xié)同信號(hào)是由系統(tǒng)管理員所發(fā)協(xié)同信號(hào),所采用的協(xié)同信號(hào)是由

34、系統(tǒng)管理員所發(fā)送的確認(rèn)是入侵的信號(hào)如電子郵件,其缺點(diǎn)是不能送的確認(rèn)是入侵的信號(hào)如電子郵件,其缺點(diǎn)是不能自動(dòng)進(jìn)行協(xié)同。這之后自動(dòng)進(jìn)行協(xié)同。這之后cdiscdis系統(tǒng)提供的協(xié)同信號(hào)是系統(tǒng)提供的協(xié)同信號(hào)是檢測(cè)器與其它檢測(cè)器一起交叉檢驗(yàn)輸入的數(shù)據(jù)包,檢測(cè)器與其它檢測(cè)器一起交叉檢驗(yàn)輸入的數(shù)據(jù)包,直到多個(gè)檢測(cè)器檢測(cè)到攻擊才產(chǎn)生報(bào)警,其缺點(diǎn)是直到多個(gè)檢測(cè)器檢測(cè)到攻擊才產(chǎn)生報(bào)警,其缺點(diǎn)是如果一個(gè)如果一個(gè)idsids中的檢測(cè)器群體中的個(gè)體相互匹配中的檢測(cè)器群體中的個(gè)體相互匹配(相近)的話,仍然不能改進(jìn)虛警率。因此,論文(相近)的話,仍然不能改進(jìn)虛警率。因此,論文準(zhǔn)備在自然免疫系統(tǒng)原理的基礎(chǔ)上研究一種新的協(xié)準(zhǔn)備在

35、自然免疫系統(tǒng)原理的基礎(chǔ)上研究一種新的協(xié)同機(jī)制,來克服以上缺點(diǎn)并減少異常檢測(cè)過程中虛同機(jī)制,來克服以上缺點(diǎn)并減少異常檢測(cè)過程中虛警率。警率。6. research methodology and thoughtresearch method and thought(1 1)構(gòu)建)構(gòu)建lanlan實(shí)驗(yàn)環(huán)境。安裝實(shí)驗(yàn)環(huán)境。安裝web, ftpweb, ftp等服務(wù)器軟件、等服務(wù)器軟件、安裝黑客工具如安裝黑客工具如xscan, smurfxscan, smurf, fluxayfluxay,teardrop, teardrop, ping of deathping of death等。等。(2 2)數(shù)

36、據(jù)收集。第一種方法是在廣播式的)數(shù)據(jù)收集。第一種方法是在廣播式的lanlan中或交中或交換式的網(wǎng)絡(luò)中(要求交換機(jī)有端口鏡像功能)收集網(wǎng)換式的網(wǎng)絡(luò)中(要求交換機(jī)有端口鏡像功能)收集網(wǎng)絡(luò)數(shù)據(jù)包,可以利用絡(luò)數(shù)據(jù)包,可以利用winpcap for windowswinpcap for windows或或libpcap libpcap for unix/linuxfor unix/linux的抓包庫中的函數(shù)進(jìn)行編程,從以太的抓包庫中的函數(shù)進(jìn)行編程,從以太網(wǎng)卡獲取原始的數(shù)據(jù)包。第二種方法是從網(wǎng)卡獲取原始的數(shù)據(jù)包。第二種方法是從mitmit的的lincolnlincoln實(shí)驗(yàn)室下載入侵檢測(cè)數(shù)據(jù),包括實(shí)驗(yàn)室下

37、載入侵檢測(cè)數(shù)據(jù),包括training training data set, test data set, real-time data setdata set, test data set, real-time data set。research method and thought(3 3)包頭解析與特征提取。對(duì)于以上收集到的數(shù)據(jù),包頭解析與特征提取。對(duì)于以上收集到的數(shù)據(jù),對(duì)網(wǎng)絡(luò)層和傳輸層數(shù)據(jù)只對(duì)包頭進(jìn)行解析,進(jìn)行特征對(duì)網(wǎng)絡(luò)層和傳輸層數(shù)據(jù)只對(duì)包頭進(jìn)行解析,進(jìn)行特征的選擇和提取(如基本特征、統(tǒng)計(jì)特征、連接頻率特的選擇和提取(如基本特征、統(tǒng)計(jì)特征、連接頻率特征等)。對(duì)應(yīng)用層的數(shù)據(jù),根據(jù)征等)。對(duì)

38、應(yīng)用層的數(shù)據(jù),根據(jù)rfc1700rfc1700對(duì)包進(jìn)行解對(duì)包進(jìn)行解析,提取連接頻率、應(yīng)用層包頭、應(yīng)用層包的內(nèi)容等析,提取連接頻率、應(yīng)用層包頭、應(yīng)用層包的內(nèi)容等特征。檢測(cè)特征的確定對(duì)后續(xù)的檢測(cè)性能影響非常大,特征。檢測(cè)特征的確定對(duì)后續(xù)的檢測(cè)性能影響非常大,過多的檢測(cè)特征不僅會(huì)占據(jù)大量資源,使得實(shí)時(shí)性難過多的檢測(cè)特征不僅會(huì)占據(jù)大量資源,使得實(shí)時(shí)性難以保障,特征選取不充分,又會(huì)增加漏檢而且并不一以保障,特征選取不充分,又會(huì)增加漏檢而且并不一定能得到好的檢測(cè)效果。而且自身群體和檢測(cè)器群體定能得到好的檢測(cè)效果。而且自身群體和檢測(cè)器群體中個(gè)體的結(jié)構(gòu)是依據(jù)提取的特征的。中個(gè)體的結(jié)構(gòu)是依據(jù)提取的特征的。res

39、earch method and thought(4 4) 基因庫的生成與進(jìn)化?;驇斓纳膳c進(jìn)化。(5 5) 自身群體的生成與進(jìn)化。自身群體的生成與進(jìn)化。(6 6) 檢測(cè)器(抗體)群體的生成、檢測(cè)、免疫進(jìn)化。檢測(cè)器檢測(cè)器(抗體)群體的生成、檢測(cè)、免疫進(jìn)化。檢測(cè)器的結(jié)構(gòu)與自身的結(jié)構(gòu)是一樣的,都是由若干個(gè)基因組成的。首的結(jié)構(gòu)與自身的結(jié)構(gòu)是一樣的,都是由若干個(gè)基因組成的。首先根據(jù)隨機(jī)基因組合、基因重組成檢測(cè)器(先根據(jù)隨機(jī)基因組合、基因重組成檢測(cè)器(pre-detectorspre-detectors),),然后通過然后通過negative selectionnegative selection算法

40、生成成熟的檢測(cè)器(算法生成成熟的檢測(cè)器(mature mature detectorsdetectors),組成這些成熟檢測(cè)器的基因又被注冊(cè)到基因庫),組成這些成熟檢測(cè)器的基因又被注冊(cè)到基因庫中。在檢測(cè)網(wǎng)絡(luò)流量數(shù)據(jù)的過程中(實(shí)際就是將每個(gè)檢測(cè)器與中。在檢測(cè)網(wǎng)絡(luò)流量數(shù)據(jù)的過程中(實(shí)際就是將每個(gè)檢測(cè)器與網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行匹配),對(duì)于親和力(適應(yīng)度)高的個(gè)體檢網(wǎng)絡(luò)流量數(shù)據(jù)進(jìn)行匹配),對(duì)于親和力(適應(yīng)度)高的個(gè)體檢測(cè)器執(zhí)行測(cè)器執(zhí)行clonal selectionclonal selection算法和算法和immune evolutionaryimmune evolutionary算法算法進(jìn)行增殖和進(jìn)化,

41、以產(chǎn)生更高親和力的檢測(cè)器,并能檢測(cè)未知進(jìn)行增殖和進(jìn)化,以產(chǎn)生更高親和力的檢測(cè)器,并能檢測(cè)未知的相似的攻擊行為。的相似的攻擊行為。research method and thought(7 7)理論上分析檢測(cè)率(理論上分析檢測(cè)率(detection ratedetection rate)、漏檢)、漏檢率率(false positive error rate)(false positive error rate)、檢測(cè)器覆蓋、檢測(cè)器覆蓋(detector cover)(detector cover)、檢測(cè)漏洞、檢測(cè)漏洞(detection hole)(detection hole)、檢、檢測(cè)器冗余

42、等。測(cè)器冗余等。(8 8)協(xié)同機(jī)制的實(shí)現(xiàn)。協(xié)同機(jī)制的實(shí)現(xiàn)。(9 9)實(shí)驗(yàn)結(jié)果、分析,檢測(cè)結(jié)果與實(shí)驗(yàn)結(jié)果、分析,檢測(cè)結(jié)果與mitmit入侵檢測(cè)評(píng)估、入侵檢測(cè)評(píng)估、 與他人研究結(jié)果的比較。與他人研究結(jié)果的比較。7. main innovation and features of dissertation1.研究一個(gè)真正分布式的入侵檢測(cè)模型,設(shè)計(jì)一個(gè)基于免研究一個(gè)真正分布式的入侵檢測(cè)模型,設(shè)計(jì)一個(gè)基于免疫機(jī)理的入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu)。疫機(jī)理的入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu)。2.實(shí)現(xiàn)一個(gè)能檢測(cè)應(yīng)用層攻擊的基于免疫機(jī)理的入侵檢測(cè)實(shí)現(xiàn)一個(gè)能檢測(cè)應(yīng)用層攻擊的基于免疫機(jī)理的入侵檢測(cè)系統(tǒng)。系統(tǒng)。3.對(duì)更精確的自我集構(gòu)造

43、算法和進(jìn)化算法進(jìn)行研究,以提對(duì)更精確的自我集構(gòu)造算法和進(jìn)化算法進(jìn)行研究,以提高高ids的整體性能。的整體性能。4.在研究自然免疫的協(xié)同刺激原理的基礎(chǔ)上,研究一種新在研究自然免疫的協(xié)同刺激原理的基礎(chǔ)上,研究一種新的協(xié)同機(jī)制來減少異常檢測(cè)中的虛警。的協(xié)同機(jī)制來減少異常檢測(cè)中的虛警。5.在檢測(cè)器進(jìn)化中提出了使用免疫進(jìn)化算法,即引入了在檢測(cè)器進(jìn)化中提出了使用免疫進(jìn)化算法,即引入了vaccination operator和和mcab operator。referencesreferences1. http:/ taxonomy=%2fpr%2f5e3,20042. cert/cc statistics

44、1998-2002. /stats/,20033. 康勇建,姚京松,林鵬. “基于p2dr模型的銀行計(jì)算機(jī)網(wǎng)絡(luò)動(dòng)態(tài)適應(yīng)安全系統(tǒng)”. 中國金融電腦2001年第2期4. idc有關(guān)網(wǎng)絡(luò)安全產(chǎn)品市場(chǎng)研究報(bào)告信息安全與通信保密2001.12第12期(總12期):66-675. richard. lippmann, joshua w. haines. the 1999 darpa off-line intrusion detection evaluation. computer networks,34 (4),p5 79-595,20006. third editio

45、n of the intrusion detection system http:/www.nss.co.uk/ids/edition3/index.html7. stephanie forrest, steven a. hofineyr. john hollands invisible hand: an artificial immune system. 2000.8. steven a. hofineyr. an interpretative introduction to the immune system design principles for the immune system

46、and other distributed autonomous systems”. oxford university press, eds, i. cohen and l. segel. 2000.9. j.panderson. “computer security threat monitoring and surveillance”. technical, james p. anderson company, fort washington, pennsylvania, april 1980.10. dorothy e. denning. an intrusion detection

47、model. ieee transactions on software engineering vol se-13,no.2,february pp.222-232,1987.references11. henry s.teng, kaihu chen,stephen c-y lu. adaptive realtime anomaly detection using inductively generated sequential paterns. proceeding of the 1990 ieee symposium on security and privacy 1990.12. s

48、.stainford-chen. “common intrusion detection framework”. /cidf 1998.13. nicholas j.puketza ,kui zhang mandy chung ,biswanath mukheriee,ronald a.oisson. a methodology for testing intrusion detection systems. ieee transaction of software engineering vol.22,no.10,pp719-729,19

49、96.14. kristopher kendall. a database of computer attacks for the evaluation of intrusion detection systems . mit master thesis 1999.15. ulf lindqvist phillip a.porras. detecting computer and network misuse through the production-based expert system tool set (p-best). ieee symposium on security and

50、privacy pp.146-166, 1999.16. eugene h.spaford, diego zamboni. “intrusion detection using autonomous agents”. computer network 34(2000) pp.547-570,2000.17. weake lee salvatore j.stolfo kui w.mok a data mining framework for building intrusion detection models. ieee symposium on security and privacy pp

51、.120-132,1999.references18. s. staniford-chen, s. cheung, r. crawford, m. dilger, j. frai水j. hoagland, k. levitt, c.wee, r.yip, and d.zerkle. “grids一a graph based intrusion detection system for large networks” .in proceedings of the 20th national information systems security conference volume 1 ,pag

52、es 361-370,october 1996.19. anup k .ghosh and aaron schwartzbard. a study in using neural networks for anomaly and misuse detection. proceeding of the 8th usenis security symposium on washington, d.c.,usa. pp.23 -26,1999.20. tim bass multi sensor data fusion for next generation distributed intrusion

53、 detection system.1999 iris national symposium 1999.21. 馬恒太,蔣建春,陳偉鋒,卿斯?jié)h.“基于agent的分布式入侵檢測(cè)系統(tǒng)模型”. 軟件學(xué)報(bào)vol.1l pp.1312-1319,2000.22. 蔣建春,馬恒太,任黨恩,卿斯?jié)h.“網(wǎng)絡(luò)安全入侵檢測(cè):研究綜述”. 軟件學(xué)報(bào) vol. 11 , pp.1460-1465,2000.23. 陳光英,張千里,李星. “基于svm分類機(jī)的入侵檢側(cè)系統(tǒng)”,通信學(xué)報(bào),vol.23,no.5,200224. 夏春和 張欣.“網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的研究”. 系統(tǒng)仿真學(xué)報(bào), vol.12, no.4: pp.

54、375-399,2000.25. 李鴻培 王新梅.“基于神經(jīng)網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)模型,西安電子科技大學(xué)學(xué)報(bào), vol.26,no.5,1999.26. 李鴻培.“入侵檢測(cè)中幾個(gè)關(guān)鍵問題的研究”. 博士學(xué)位論文西安電子科技大學(xué)2001.references27. 李信滿, 趙大哲, 趙宏, 劉積仁.“基于應(yīng)用的高速網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)研究”. 通信學(xué)報(bào)vo1.23 no.9 2002 pp. l-7.28. 李之堂, 楊紅云. “模糊入侵檢側(cè)模型”. 計(jì)算機(jī)工程與科學(xué), vol.22,no.2,pp.49-53,200029. 李之棠, 李家春. “模糊神經(jīng)網(wǎng)絡(luò)在入侵檢測(cè)中的應(yīng)用”. 小型微型計(jì)算機(jī)系

55、統(tǒng)2002 vol.23 no.10: pp. 1235-1238.30. s. forrest, a. s. perelson, l. allen and r. cherukuri. “self-nonself discrimination in a computer”. in proceedings of the ieee symposium on research in security and privacy. 1994.31. j. e. hunt and d. e. cooke, “an adaptive and distributed learning system based

56、on the immune system”. in proc. of the ieee international conference on smc, pp. 2494 -2499, 1995.32. l. c. jiao and l. wang. “a novel genetic algorithm based on immunity”. ieee trans. systems, man and cybernetics. 30(5): pp. 552-561. 2000.33. 張軍,劉克勝,王煦法. 一種基于免疫調(diào)節(jié)算法的bp網(wǎng)絡(luò)設(shè)計(jì),安徽大學(xué)學(xué)報(bào)(自然科學(xué)版),1999,23(1):6

57、3-66.34. 張軍,劉克勝,王煦法. 一種基于免疫調(diào)節(jié)和共生進(jìn)化的神經(jīng)網(wǎng)絡(luò)優(yōu)化設(shè)計(jì)方法,計(jì)算機(jī)研究與發(fā)展,2000,37(8):924-930.35. forrest, s., hofmeyr, s. a., & somayaji, a. (1997). “computer immunology”. communications of the acm, 40(10), 8896.references36 jiao l c, wang l. “a novel genetic algorithm based on immunity”. ieee trans. on systems, m

58、an, and cybernetics-part a: system and humans, 2000,30(5):552561.37 j.kim, ebentley. “immune memory in the dynamic clonal selection algorithm”. in: proc of the 1st international conference on artificial immune systems, canterbury, uk ,2002:57-65.38tarakanov a, dasgupta d. “a formal model of an artif

59、icial immune system”. biosystems, 2000, 55: 151158.39tarakanov a o. “towards immunocompute”. http:/solvayins.ulb.ac.be/fixed/immune/demosoft.html, 2004.40timmis j, neal m. “a resource limited artificial immune system for data analysis”. knowledge based systems, 2001,14(3-4):121130.41nunes de castro

60、l, von zuben f j. “an evolutionary immune network data clustering”. proceeding of the sixth brazilian symposium on neural networks, 2000, 8489.42 stephanie forrest, alan s.perelson, lawrence allen. self-nonself discrimination in a computer. in proceedings of the 1994 ieee symposium on research in security and

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論