基于snort的混合式入侵检测系统的研究与实现-计算机科学与技术专业论文.docxVIP

基于snort的混合式入侵检测系统的研究与实现-计算机科学与技术专业论文.docx

  1. 1、本文档共78页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
基于snort的混合式入侵检测系统的研究与实现-计算机科学与技术专业论文

Classified Index: TP393.08 U.D.C: 621.38 Dissertation for the Master Degree of Engineering RESEARCH AND IMPLEMENTATION ON SNORT-BASED HYBRID INTRUSION DETECTION SYSTEM Candidate: Aiwu Liu Supervisor: Associate Prof. Yuxin Ding Academic Degree Applied for: Master of Engineering Specialty: Computer Science and Technology Affiliation: Shenzhen Graduate School Date of Defence: December, 2008 Degree-Conferring-Institution: Harbin Institute of Technology 摘 要 针对当前主要入侵检测系统(IDS)因检测模式单一所带来的不足,本文 结合误用检测和异常检测两种检测模式建立混合式入侵检测系统,以其综合 利用这两种检测方法的优点。 本文构建的混合式入侵检测系统包含三个子模块:误用检测模块、异常 检测模块(ADS)和特征产生模块。误用检测模块的实现基于开源的入侵检测 系统 snort,异常检测模块和特征产生模块则分别使用频繁情景规则(FER) 挖掘算法和 Apriori 的变形算法构建。 ADS 模块的构建分为训练和检测两个阶段。在 ADS 训练阶段,先使用 频繁情景挖掘算法从正常训练数据集中挖掘出描述正常连接的频繁情景。再 从频繁情景中产生频繁情景规则 FER,来刻画正常连接的特征,获得初步 的频繁情景规则集。最后从这个频繁情景规则集中筛选出高效的 FER 规 则,形成正常的频繁情景规则集。 在 ADS 检测阶段,先从测试数据中产生 FER,产生 FER 的具体步骤和 ADS 训练阶段相同。为了对新产生的 FER 赋异常值,把这个新产生的 FER 和正常 FER 规则库中的 FER 比较。利用新 FER 规则的异常值,对测试数据 集里的连接事件赋异常值。根据事件异常值的大小,检测出异常攻击事件。 在 ADS 模块对测试数据集每一个连接都赋有异常值的基础上,特征产 生模块采用 Apriori 变形算法,对已赋值的测试数据集进行挖掘。一个连接 的各属性及属性对应的值构成项集。根据所有连接的异常值,可以获得某一 个项集在测试数据集中的权值:等于拥有相同属性值的所有连接的异常值之 和。设定项集的阈值,即可获得频繁项集。并且考察的连接属性不同,获得 的频繁项集也不同。不断变换待考察的属性集,可以获得频繁项集的集合。 在此基础上,把那些具有较高异常值的频繁项集确定为特征,形成特征集 合。再根据这些特征的属性和 snort 规则关键字之间的对应关系,把特征集 合映射为 snort 规则,加入到 snort 的特征规则库中。 最后在上述思想基础上,在 Debian GNU/Linux 操作系统上实现了混合 式入侵检测系统。使用 MySQL 存储事件,KDD99 IDS 数据集作为实验数 据集。 关键词 IDS;混合入侵检测;频繁情景规则;snort I Abstract Since most of current intrusion detection systems (IDS) use one of the two detection methods, misused detection and anomaly detection. It takes some disadvantages. In this paper, the technique that combines misuse detection system with anomaly detection system (ADS) is used. The hybrid intrusion detection system (HIDS) in this paper consists of three sub-modules: misused detection module, anomaly detection module and signature generation module (SiGM). The SiGM bridges the two detection subsystems together. The basis of misused detection module is snort—an open sourc

文档评论(0)

131****9843 + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档