网络入侵检测技研究与应用.pdf

摘要 经过专家学者们数十年的努力，入侵检测技术在理论上已经比较 成熟。不少著名的入侵检测系统也得到广泛的实际应用。但由于网络 的拓扑复杂多变、攻击手段的不断进化以及网络带宽的急速提升，入 侵检测技术面临日益复杂的局面。理想的入侵检测系统不仅需要同时 具备高的检测率和低的误报率，检测的速度也成为必须考虑的因素。 本文总结了近年来入侵检测领域的国内外研究现状，分析了各种 热点技术的优劣。然后在此基础上，提出综合运用某些已有成果以取 得更好的检测效果的方案。 首先，针对现代网络条件下的入侵检测系统不仅仅需要具备高检 测率和低误报率，还需要具备极快的处理速度这一问题。提出了一个 基于集成学习方法的入侵检测算法。该算法具有计算复杂度低，同时 具备高检测率和低误报率的优点。 其次，针对一般无标记异常检测技术存在较高误报率的问题。提 出了模块集成的方法。将异常检测的样本模式集合按照内在的相似性 分解为了几个较小的子集合，从而将一个一般问题分解为几个独立的 较具体的子问题，利用不同的分类器处理相应子集，有效得提高了检 测率，尤其是降低了误报率。 最后，针对入侵检测系统提供的警报一般是低层次的，孤立的， 管理员难以从这些警报中辨认出攻击者的实际意图，以及攻击者已经 侵入网络的程度这一问题。提出一个利用攻击图来关联警报的方法， 为网络管理员辨认入侵的整体场景提供高层次的信息。 关键词入侵检测，集成学习，模块化集成，警报关联 ABSTRACT ofintrusiondetectionismatureafterscholarshave The也eory being studieditforSO are intmsiondetection manyyears．Theremany systems in ofthe the ofnetworks world．However,with deployedparts topology oftheattack andthe of methods beingcomplex，evolution capacity networks detectionare moreand beinghigher,intrusionsystemsfacingup more environment．Anidealintrusiondectionmust threatening system have rateandlowfalsealarmrateinthesame hi曲detection time，besides high performance． ThesituationofresearchintheintrusiondetectiondomainiS summarizedinthis and is too． paper．Theadvantagedisadvantageanalyzed ofhowtousesome to moreideal Then，methods