一、基于日志分析策略的分布式网络入侵预警系统模型(论文文献综述)
魏能强[1](2020)在《基于密级矩阵的用户行为安全预警分析系统的设计与实现》文中认为随着军工企业信息安全建设的持续推进,大多数军工企业按照国家分级保护要求已形成了一套完整有效的信息安全防护体系,从物理安全、运行安全、信息安全保密和安全保密管理等方面对涉密信息系统进行安全防护。当前的信息安全防护体系有效的增强了涉密网络的健壮性,在一定程度上有效的防止了黑客等内外部网络攻击行为,但针对内部人员的防护略显不足,经过近几年发生的境内外的多起网络安全事件表明,70%的失泄密事件是由于内部人员的访问控制细粒度不足导致的过失泄密事件,而这个比例还在呈上升趋势。因此,一个内部人员由于过失行为所造成的威胁远远超过一个一流黑客的攻击行为。本文主要工作内容来源于涉密军工企业,企业内网中的用户既是信息的发起者也是信息的接收者,针对本企业特殊的信息安全分级保护防护要求,由于用户其自身的涉密程度、知悉范围不同,其所使用的IT设备密级、所访问的应用系统密级、所访问的信息密级等均有严格特殊的要求。为挖掘和发现网络中呈现出来的各种用户行为规律,并对其做出正确的评测和相应的处理,在企业内网根据用户的涉密程度、知悉范围、所使用IT设备的密级,所访问应用系统的密级、所访问信息的密级等多个维度,建立用户网络访问行为密级矩阵算法模型,以实现全网络范围的用户访问行为的预警和分析,最终达到智能化、自动化、信息化的实时发现用户行为是否符合企业信息安全的保密要求。因此,本论文的目的就是设计和实现用户网络行为在信息安全分级保护要求下是否存在不合规现状,并及时进行预警和处理。目前,该论文的研究成果已成功的应用于某军工企业涉密网络中用户行为的全路径分析和预警。实践证明,通过本论文的密级矩阵算法模型,对涉密网络中用户的越权访问、高密低流、低密输出等行为均能及时的发现与预警,有效的防止了内部人员因过失行为而导致的泄密事件的发生。
郑嘉楠[2](2019)在《基于应用日志大数据分析在主动防御审计中的应用》文中研究说明大数据时代的到来,政府、企事业单位对于信息化的投入不断加大,特别是近年来国家提倡向“大整合、高共享、深应用”的信息化目标,政府数据资源类别和数据量激增,个人数据集中度和敏感度进一步增加,数据利用和对外共享更加复杂,数据盗取现象、越权查询数据等造成政府已有个人数据信息泄露、侵犯公民个人隐私的现象不断发生,严重影响到政府信息安全,急需从新的技术手段如机器学习着手,进一步加强对政府数据资源的保护。近年来,公民个人信息泄露屡禁不止,时有曝光,已经成为媒体关注的热点问题,引发各类炒作,造成不良社会影响,严重影响政府机关形象,损害政府信息化发展成果。为此,本文拟通过某月份的应用日志数据,基于神经网络、决策树研究如何更有效的预测异常用户行为。一是研究人工神经网络、决策树算法的基本原理,重点研究了人工神经网络的特点和工作原理以及决策树的算法和适用的应用场景。二是抽取某月份政府应用日志数据进行了预处理与特征分析,建立基于人工神经网络以及基于决策树的用户行为异常审计模型。通过对两种模型训练数据进行设计、优化,逐步优化预测模型并对优化后的预测验证。三是根据决策树模型和神经网络模型对历史数据进行预测,得知神经网络模型有较明显的优势主要是在模型的拟合优度、对初始数据的仿真、模拟能力以及对新数据的预测能力方面。通过比较,深度神经网络模型在实验中主要优于决策树的方面是非线性映射关系、非线性函数动态处理能力、自组织自适应和自学习功能以及对变量的处理效果。
张之刚[3](2019)在《电力监控网络安全态势智能感知方法研究》文中研究表明当前各种网络攻击活动时有发生,如漏洞攻击、分布式拒绝服务攻击、恶意软件攻击等,造成严重的经济损失和恶劣的社会影响。尽管学术界和工业界提出多种网络安全威胁检测和防御技术,如恶意软件检测、漏洞检测、入侵检测、包过滤等,但不难发现,由于当今网络攻击类型复杂多变,现有的威胁检测和防御技术已经不足以应对当前网络安全现状。网络安全问题日益严重,不仅对人们日常生活工作造成较大影响,甚至还危及国家安全。网络安全态势感知技术通过采集多种网络安全要素,辨识和理解网络中不同类型威胁,从而评估网络安全态势。网络安全态势感知技术通过全面理解网络系统中存在的真实威胁,量化评估网络系统中的安全风险,提高网络系统的监控预测和应急响应能力,有利于改善当前网络安全现状,已成为当前热门研究之一。但现有的网络安全态势感知技术仍然存在一些不足,如现有主机威胁辨识技术准确性不足、现有网络风险量化评估技术适应性较差、潜在网络安全风险难以评估等问题。本文针对这些问题,依托电力监控系统业务场景,提出一系列方法用于提升网络安全态势智能感知技术。针对加壳等反检测技术导致现有恶意软件检测方法检测精度和召回率不足的问题,本文提出一种基于系统内核调用行为的加壳恶意软件检测方法。通过采集软件调用系统内核的日志数据,分析系统内核调用的时间序列,构建系统内核调用二元组,用以表示系统内核调用的上下文关系。基于信息增益理论,提取敏感的系统内核调用实例,从而对混淆的恶意软件行为进行降噪,并基于统计表征对子序列进行表示。最后通过采用深度信念网络训练异常系统内核调用序列的检测模型进行检测。理论分析和实验结果表明该加壳恶意软件检测方法的准确性约为92%,检测时间开销小于0.001秒。针对现有告警信息聚合与关联分析技术漏报率较高的问题,本文提出一种基于告警信息融合分析的入侵检测方法。通过实时采集主机入侵告警信息,提取其中的IP地址、端口号和告警类型等,构建告警信息3D模型,用以聚合和关联分析告警信息,并采用3D卷积神经网络自适应训练检测模型对入侵行为进行精准检测,有效规避人工构建规则库对新的攻击活动覆盖率较低这一问题。理论分析和实验结果表明该网络入侵检测方法的准确性约为86%。针对传统电力监控系统攻击检测方法难以适用于检测复合攻击活动的问题,提出一种基于安全事件证据组合推理的系统攻击活动检测方法。通过提出一种改进D-S证据组合方法,以更有效地识别复合攻击活动,并提出一种证据分类合成策略,以发现同一时段内可能存在的多种网络攻击活动。根据安全事件时间序列计算安全事件偏离度,并利用该偏离度对证据进行加权,从而提高攻击活动检测的准确性,同时该方法利用证据理论,鉴别冲突证据,从而有效地辨识同一时段内的多种攻击行为。理论分析和实验结果表明该攻击活动辨识方法具有90%以上的准确性。针对潜在网络安全风险难以评估的问题,本文提出一种基于网络风险投射与传播分析的网络安全态势分布评估方法。根据DNS数据中的网络节点通信构建网络拓扑结构,通过标记已知的异常网络节点确定威胁源,分析威胁源对周边可达网络节点的影响以及风险传播行为特征,构建网络风险传播模型,最后基于随机游走理论,采用置信度传播方法评估威胁源对其他节点的影响,从而量化评估网络安全态势分布以及预测网络节点潜在的风险。理论分析和实验结果表明该网络安全态势分布评估方法的精度约为98%,召回率约为86%。
陈瑞东[4](2019)在《复杂性网络攻击的行为关联性分析》文中研究指明病毒传播、漏洞等传统攻击防御设施日渐全面覆盖、检测技术趋于成熟,复杂性网络攻击逐渐成为信息安全领域在互联网、关键信息基础设施以及国防军工等网络下的主流攻击风险,本文在此背景下,从复杂性网络攻击(Complex Network Attack,简称:CNA)的“攻击主客体、攻击行为、行为特征”等方面着手,通过研究目前主流的复杂性网络攻击事件进而构建复杂网络攻击的基础模型、展开模型,进而提出了复杂性网络攻击的定性、定量分析方法以及相关联的环境要素,并结合攻击树模型、攻击图模型、PetriNet模型等提出了基于攻击图的行为过程研究路线,对攻击行为的任务化分解以及相关资源依赖的执行过程分析,最终形成复杂性网络攻击的行为关联模型和序列关联模型,是继频繁项集分析事务关联关系在复杂性网络攻击的另外一个重要应用。本文的主要研究成果及贡献共包括四个部分,分别为:第一部分详细描述了复杂性网络攻击行为的定性和定量分析方法,将网络攻击通过知识定义转化为“信息收集、关键攻击、攻击功能执行、逃离”等四个基础阶段并量化为七个细化过程,并结合C4ISR提出了基于保活、隐蔽、持续、破坏、突破等量化标准,用于将复杂网络攻击转变为复杂任务执行模式并与原子任务相关联,进而提出了较为完整的复杂网络攻击的行为模型及规律。同时本文还总结了网络攻击所存在的环境信息,并抽象了13项环境维度用于描述全局因素的网络攻击行为规律,并提出了网络攻击行为关联的基础方法,覆盖了传统的基于网络检测报警事件的频繁项集所进行的关联关系挖掘,将支持度、置信度及提升度的计算方式进行了描述,同时将依赖关系、并列关系、选择关系等引入了复杂性网络攻击的关联分析方法中。第二部分重点描述复杂网络攻击的模型以尝试分析出其内在的行为规律,首先分析了AttackTree模型,并结合第一部分中的任务规划形成了攻击树的攻击任务模型,并将攻击路径与所处网络环境因素、安全评估状态等信息相结合,提出了基于攻击树中关键路径分析方法;鉴于攻击树在循环利用攻击渠道、多次攻击状态闭环等情形无法采用攻击树描述,本文则提出了适用于复杂性网络攻击的图表达,并结合了上述章节中攻击任务在资源依赖、多元依赖、异常因素等现实情形,进一步拓展了传统基于状态转移有限自动机理论的攻击图方法;同时本文也提出了基于金字塔的展开模型,并基于该模型开始相应行为关联分析方法的研究,可有效适应于网络安全设施众多且异构,以及将庞大、分散、底层技术化的攻击告警进行综合处理的方法,该部分研究成果可用效应用于复杂性网络攻击的数据归集、告警聚合、攻击阶段发现与场景重建等应用方向。第三部分重点是阐述利用僵尸网络资源进行的系列复杂攻击行为的检测和关联分析工作。该工作的前提是近年来利用僵网来发动窃密、勒索以及黑色产业链构建等事件越来越多,僵网攻击本身就是典型的复杂性网络攻击形态;本文则通过抽象建模Botnet网络的会话过程进而抽取会话特征,通过试验10种主流僵网的流量样本和其他攻击行为分析结果,形成序列化行为矩阵计算形成针对BotHunter、IRC等僵网攻击的检测率提高了49%,同时也反应了关联规则库的重要性;同时本文还提出了将僵网攻击具有关联性的行为样本进行汇集,并采用了较为成熟的模糊聚类来形成不同行为特征的聚类簇,经过实验对混合类僵网攻击识别率约0.75、误报率平均低于10%;对PS类僵尸网络的识别率约0.83,比传统的非关联性行为的离散特征的识别率有了大幅提高。第四部分则重点实践复杂网络攻击的关联预测与溯源反制能力,提出了复杂性网络攻击的关联预测模型,该模型的核心思想是基于复杂攻击是符合行为序列以及前述章节的定性、定量分析模型的,进而计算出相应的攻击前述序列和后继序列等集合,并基于社交网络污点数据攻击等场景进行研究,提取了舆情类复杂攻击事件的前、中、后期等多个阶段所表现出来的特点并通过分组、聚类等方式进行验证,发现了恶意账号以及背后的SNS类Botnet攻击行为,通过分析APT样本的攻击行为、通信特征关联、组件相关性、工具集关系,形成基于关联分析的血缘性结果。综上本文的核心贡献为构建了复杂网络攻击的基础模型和展开模型,提出了复杂性网络攻击的定性、定量分析方法以及关联的环境要素,结合攻击树模型、攻击图模型等提出了基于攻击图的行为过程研究路线,对攻击行为的任务化分解以及相关资源依赖的执行过程分析,最终形成复杂性网络攻击的行为关联和序列关联等有效方法。
李小刚[5](2010)在《教学网络的分布式入侵检测系统的研究与应用》文中研究说明随着计算机网络的快速发展和普及,网络安全问题也变得越来越严峻。入侵检测系统作为一种主动的网络安全保障措施,它通过收集计算机网络中若干关键节点的信息并对其进行检测分析,从中发现违反安全策略的行为。入侵检测系统不仅能检测来自外部的攻击行为,同时也能监督内部用户的未授权活动,扩展了系统管理员的安全管理能力,提高了网络安全基础结构的完整性,有效地弥补了传统安全防护技术的缺陷,被认为是防火墙之后的第二道安全闸门。因此,入侵检测受到人们的高度重视,分布式入侵检测也是网络安全研究的热点之一。Snort是一个基于模式匹配的轻量级的网络入侵检测系统,它具有很好的可扩展性和跨平台性,可以满足多种操作系统和应用环境的需求。本文在研究Snort体系结构的基础上,对Snort规则结构和规则解析过程进行了详细的分析,针对网络攻击具有时间集中性的特点,提出了Snort规则链动态排序的方法。通过实验表明,该方法虽然增加了Snort规则链初始化的时间,但是极大地提高了Snort的规则匹配速度。由于现有的入侵检测系统无法很好的对学生群体在和互联网的交互学习中黄色信息等进行检测预警。针对教学网络的具体环境,设计了防黄规则库,调用Snort主要的功能函数和不对称信息对比模块,设计出一套适合教学网络的分布式入侵检测预警系统,对学生群体在和互联网的交互学习中携带的危险信息、病毒、非法操作、恶意攻击、黄色信息等进行检测预警。该系统主要包括:控制台模块、分布式探测器、非对称信息对比模块、防黄模块。探测器主要由数据包捕获模块、协议分析模块、入侵匹配模块、异常处理模块、规则解析模块等组成。通过实验表明,该系统对学生群体上网遇到的不健康信息有较好的检测预警效果,对净化教学网络环境有重要的实用价值。
赵文涛[6](2009)在《基于网络安全态势感知的预警技术研究》文中研究指明为及早发现并有效防御对网络空间的突然袭击,仅仅依靠身份认证、可信计算、防火墙、入侵检测技术等传统安全防护技术是不够的。通过监控和识别大规模的受保护网络上的入侵企图和入侵行为,基于安全态势感知的预警技术可以获得更精确的安全威胁行为描述和更全面、及时的网络安全状态估计,并试图在攻击发生或造成严重后果之前,对攻击发生的数量及时空特性进行预测,预先采取相应的防御措施来加强网络的安全。开展面向大规模网络的预警技术的研究,对于提高网络系统的应急响应能力、缓解网络攻击所造成的危害、提高系统的反击能力等具有十分重要的意义。本论文研究了基于网络安全态势感知的预警系统相关技术。研究内容包括安全预警体系结构、安全态势知识表示模型、安全态势感知中的网络测量技术、安全态势评估技术、安全预警中的主动学习技术、安全态势预警技术。本文的研究工作和成果包括:1.本文分析了预警系统的体系结构,包括组成、运行模式和工作过程,指出预警系统中对数据的处理流程是在数据、信息和知识三个层面的抽象过程。本文针对预警需求,对IDMEF数据模型进行了改进,设计了一个网络安全态势知识表示模型,定义了相关描述语言。2.研究了预警系统中态势感知器的感知方法、部署模型和优化问题。态势感知器通过主动和被动测量技术,采集网络的性能数据、拓扑数据和安全事件数据等网络态势信息。态势感知器的部署和优化是建立性能良好的预警系统必不可少的环节之一。本文研究了不同感知方法下态势感知器的部署模型和优化算法,以期达到部署尽量少的态势传感器节点,来获取尽量多的态势信息的目的。3.提出了一种新的网络路径流量测量策略COPP。在安全态势信息中,流量是描述网络性能的重要数据,也是衡量蠕虫、拒绝服务等攻击的重要指标。但在没有权限获取网络节点流量数据的条件下,如何实施有效的网络流量测量成为预警系统必须解决的问题之一。COPP充分利用探测报文的信息,结合报文对与自拥塞测量原则,通过考察报文的单向延迟及其变化规律,得到发送速率与可用带宽的关系,同时根据成为转换点的报文对其相邻报文对所受干扰的不同程度,给予相应转换带宽不同的权值,以较小的开销得到较好的测量精度。仿真实验表明,COPP与传统方法相比,在开销、精度、平稳性和网络状态变化敏感性上具有更好的特性。4.提出了一种基于网络安全态势图的态势评估方法。通过分析态势评估在军事应用领域的概念,给出了网络安全态势评估的一种定义,包括安全态势评估的问题描述、功能模型和推理框架。给出了一种基于Honeypot技术的网络安全态势评估框架,并提出了一种基于网络安全态势图的态势评估方法。该方法利用生成算法生成网络安全态势图,引入攻击可信度和攻击度的概念,结合安全态势知识库,对组合攻击实施动态评估。该方法在形式上可以完整再现攻击过程,不仅动态展现入侵对系统的安全威胁演变过程,而且可以用量化的形式预知攻击的潜在威胁。实验测试验证了该评估方法的有效性。5.面向安全态势信息获取,提出了基于委员会的误分类采样主动学习算法和基于图约束及预聚类的可伸缩主动学习算法。攻击和正常状态是安全态势信息获取的重要内容。通过入侵检测的方式获取这些状态信息的过程依赖于获取知识的质量和速度。与人工方式相比较,将机器学习引入其中具有优势。如何获得高质量的已标注历史数据是构建安全态势知识库的关键技术之一,本文利用主动学习技术减少构造入侵检测分类器所需的标注代价。采样算法是主动学习中的关键问题,由于传统采样算法的前提假设在预警系统中不一定成立,本文提出基于委员会的误分类采样算法。更进一步地,考虑到当前主动学习完全不考虑未标注样本分布的弊端,将主动学习和半监督学习相结合,提出基于图约束及预聚类的可伸缩主动学习算法。通过实验测试,证明这两种主动学习算法在达到目标正确率时所需的标注代价小于传统的随机采样、Uncertainty采样和QBC采样算法。6.面向安全态势信息获取,提出基于误分类代价最小化的代价敏感主动学习算法。采用机器学习技术获取网络安全态势信息的关键性能指标之一是误分类代价。传统的机器学习仅仅考虑分类正确率,传统主动学习仅仅考虑标注代价,基于误分类代价最小化的代价敏感主动学习算法用代价敏感算法对学习引擎进行优化,使训练出的版本空间中的假设具有低误分类代价,并且在采样时选择具有最大期望误分类代价的样本。通过实验测试,在考虑误分类代价时,证明该主动学习算法在降低到目标误分类代价时所需的标注代价小于传统的SRS、CRS和CAD采样算法。7.提出了攻击预测的分层认知模型。定义了攻击的认知过程,包括攻击步骤认知、攻击行为认知和攻击过程认知,该认知模型可以有效描述攻击,为攻击预测提供支持。8.提出了一种基于粒子群优化算法的组合预测模型。攻击预测是基于态势感知的预警技术必不可少的功能之一。本文提出的基于粒子群优化算法的组合预测模型利用加权系数对各种预测方法进行组合,集成不同来源的预测结果,从不同的侧面反映整个预测过程,力图使预测结果更加地精确。在各种预测方法加权系数的确定上,利用PSO快速全局优化的特点,可以减少试算的盲目性,提高模型预测准确性。实验结果表明,该组合预测模型与单一预测模型比较,误差更小,精度更高。最后实现了一个预警原型系统。该系统体现了上述研究成果,能够管理和控制态势感知器的工作,接受和处理态势感知器提交的数据,展示当前网络态势和预警的结果。
傅涛[7](2008)在《基于数据挖掘的分布式网络入侵协同检测系统研究及实现》文中研究说明随着网络入侵形式的不断变化与多样性,传统的网络安全技术与设备已不能充分抵御网络攻击。例如,目前推出的商用分布式入侵检测系统基本是采用基于已知入侵行为规则的匹配技术,检测引擎分布在需要监控的网络中或主机上,独立进行入侵检测,入侵检测系统中心管理控制平台仅负责平台配置、检测引擎管理和各检测引擎的检测结果显示,对各检测引擎的检测数据缺乏协同分析。同时网络入侵检测系统与防火墙、防病毒软件等之间也是单兵作战,对复杂的攻击行为难以做出正确的判断。异常入侵检测技术根据使用者的行为或资源使用情况判断是否存在入侵行为,通用性较强,缺陷是误检率太高。误用检测运用已知攻击方法,根据已定义好的入侵模式,通过判断这些入侵模式是否出现来检测攻击,检测准确度高,但系统依赖性太强,检测范围受已知知识的局限。将数据挖掘技术应用到入侵检测系统是目前入侵检测研究的重要方向,论文讨论了基于数据挖掘的入侵检测主体技术,指出了联合使用几种数据挖掘方法和将数据挖掘与传统的误用检测、异常检测协是一个重要的研究方向。论文提出了改进的FP-Growth的关联分析算法、基于分箱统计的FCM网络入侵检测技术和基于免疫学原理的混合入侵检测技术。改进的FP-Growth算法引入了聚合链的单链表结构,每个节点只保留指向父节点的指针,节省了树空间,有效解决了数据挖掘速度问题,提高了入侵检测系统的执行效率和规则库的准确度;基于分箱统计的FCM网络入侵检测技术不需要频繁更新聚类中心,同时耗时问题也得到较好的改善,将特征匹配与基于分箱的FCM算法相结合,能较好的发现新的攻击类型,便于检测知识库的更新;基于免疫学原理的混合入侵检测技术充分发挥了免疫系统在实现过程中表现出的识别、学习、记忆、多样性、自适应、容错及分布式检测等复杂的信息处理能力,具有良好的应用前景。论文分析了网络入侵检测技术在检测性能、系统的健壮性与自适应性等方面存在的主要问题,讨论了网络入侵检测技术的发展趋势。针对目前商用入侵检测系统协同分析几乎空缺、规则更新滞后、检测技术与入侵手段变化不适应的现状,提出了基于数据挖掘的分布式网络入侵协同检测系统(以下简称“协同检测系统”)模型。该模型从数据采集协同、数据分析协同和系统响应协同三个方面实现了入侵检测系统的结构协作、功能协作、动作协作和处理协作,有效增强了入侵检测系统的检测能力。论文详细讨论了“协同检测系统”的检测引擎设计、通信模块设计和系统协同设计。检测引擎是系统的主体,涉及到网络数据包捕获、数据解析、入侵检测等功能。针对高速网络环境下信息量大、实时性要求高,使用Libpcap捕包易造成掉包与瘫痪的现状,提出了内存映射与半轮询(NAPI)捕包新技术,有效减少了系统内核向用户空间的内存拷贝,避免了重负载情况下的中断活锁,确保了高速网络环境下数据包采集的实时性与准确性。数据解协首先对链路层包头、IP层包头、传输层包头、应用层协议四部分进行解析,然后对数据作预处理。在此基础上,运用改进的FP-Growth算法对网络数据进行挖掘,检测子模块解释并评估数据挖掘模块提取的模式,结果送至反馈端口。通信模块实现了数据采集解析器与数据挖掘检测器之间、检测引擎和报警优化器之间、报警优化器与中心控制平台之间的有效通信,给出有关函数。系统协同设计是本系统的特色。本文从入侵检测系统内部数据采集协同、入侵检测系统与漏洞扫描系统协同、入侵检测系统与防病毒系统协同、检测引擎分析协同、不同安全系统分析协同、IDS与防病毒系统协同、IDS与交换机协同、IDS与防火墙协同等方面,科学地给出了数据采集协同、数据分析协同、系统响应协同的含义、原理、方法与实现过程。系统离线实验和仿真实验表明:综合运用本文提出的三种算法可以有效地提高检测效率,降低误报率和漏报率。本文开发的“协同检测系统”可以稳定地工作在以太网络环境下,能够及时发现入侵行为,及时正确记录攻击的详细信息,具备了良好的网络入侵检测性能。
陈云芳[8](2008)在《分布式入侵检测系统关键技术研究》文中研究说明入侵检测系统在计算机网络系统安全中起着关键作用。本文在深入分析了当前入侵检测技术研究现状的基础上,提出并构建了一个完整的基于移动代理的分布式入侵检测系统。该系统具有比传统入侵检测系统更好的检测性能以及具有可靠性、健壮性和自适应性等优点。本文所提出的分布式入侵检测系统关键技术包括一个平台和三个子系统即:基于移动代理的入侵检测平台、基于主机系统调用序列分析的入侵检测子系统、基于主机用户行为关联分析的入侵检测子系统、基于网络数据包免疫分析的入侵检测子系统。本文首先界定了分布式入侵检测系统的基本特征和关键技术要素,然后描述了移动代理平台的基本特性,分析了智能移动代理在分布式入侵检测系统的关键性平台作用。接着提出了一种移动代理的位置透明性方案,该方案有效解决移动代理平台位置管理和消息传递的基础问题。最后提出一种基于移动代理的入侵检测平台,给出系统的体系结构,阐述实现的关键技术,并进行了相关测试。大部分入侵行为都必须通过系统调用来达到它们破坏系统的目的。基于特定程序的系统调用序列具有一定稳定性的原理,本文提出一种系统调用序列分析的系统模型以及详细设计方案。采用将运行于核心态的调用信息拷贝到用户缓冲区中,提取所需的系统调用信息。然后在无入侵的情况下,经过海量的正常的系统调用序列训练得到正常模式库。最后将实时监测到的特定程序的系统调用序列与正常的系统调用模式库进行匹配,采用汉明距离计算出他们的最大相似度,以判定是否出现入侵异常。最后对系统调用序列分析检测模块在移动代理平台下的实现进行了相关测试。有许多入侵行为都是合法用户的非正常操作来达到破坏系统的目的。与系统调用序列分析不同的是,用户行为分析主要涉及到合法用户的非法或误操作模式。基于普通用户的操作行为具有前后的关联性原理,本文提出一种基于用户行为关联分析的系统模型以及详细的设计方案。首先定义了主机合法用户的行为特征和行为模式,采用静态和动态相结合的方式进行用户行为模型的建立,然后根据操作系统日志信息,针对用户的每次登陆会话产生用户行为特征数据,采用递归式相关函数算法来对关联序列进行相似度的计算,以判定是否出现非常行为。最后对用户行为关联分析检测模块在移动代理平台下的实现进行了相关测试。网络数据包分析可以对某个网段的网络数据流进行大规模的分析处理,可以有效监控大规模的计算机网络。由于免疫系统天然的分布性,非常契合入侵检测系统的需求。本文提出一种移动代理平台下的网络数据包免疫分析系统模型以及详细的设计方案。采用最简单的二进制方式表达网络数据包的自我特征;特征之间的距离采用欧拉距离的计算方式;检测器的初始产生采用简单的r连续匹配穷举法,各个检测子节点均可以自主产生属于自己的检测器集合;设置一个总体检测集合库,用于存放源自于各个检测节点所带来的经过初选的检测集,并通过基于克隆选择的二次精英机制产生后代种群。经过各个节点的自体首次免疫耐受,再经过总检测库基于克隆选择的二次精英机制搜索产生优化种群,可以使得系统的各个节点和总控节点都在不断的进化当中,使得检测器所产生的无效检测漏洞概率大大降低。最后自主设计并实现了一个基于移动代理的分布式入侵检测系统原型系统,实验表明移动代理的平台完全能够作为分布式入侵检测系统的可靠的、安全的平台,运行其上的系统调用序列分析、用户行为关联分析、网络数据包免疫分析完全能够达到了预期目标。
李安宁[9](2008)在《基于移动Agent的分布式网络入侵检测系统研究》文中提出入侵检测作为一种积极主动的网络安全防护技术,已经成为网络安全体系中不可或缺的重要组成部分。移动Agent技术有很多优点适合于入侵检测系统,特别是分布式入侵检测系统。目前国内外对移动Agent应用于入侵检测的研究尚处于起步阶段,许多理论和实践问题还没有得到很好地解决。首先,本文结合入侵检测系统的相关理论,以移动Agent技术为基础,设计了一个基于移动Agent的完全对等分布式网络入侵检测系统模型。模型中各入侵检测Agent在平等的协作模式下进行沟通和协作,避免了系统关键节点的处理“瓶颈”,能有效地检测分布式入侵行为。其次,对系统中入侵检测Agent、系统通信和报警信息日志等关键模块进行了详细设计,并对系统进行了初步仿真实验。系统以开源程序Snort为内核、以文中构造的数据表存放入侵报警信息日志、以一种新设计的协议进行通信。实验结果表明,本文设计的模型具有较好的可扩展性、较快的响应速度和较高的检测识别率。此外,文中对传统的BM算法在匹配顺序和坏字符启发两个方面进行了改进,并将改进后的算法作为系统检测机制中字符串匹配的核心算法,提高了系统的检测效率。本系统模型虽然在理论设计上能较好地实现分布式入侵检测功能,但仍需在管理智能化、响应实时化、检测方式多样化等方面做更进一步的研究工作。
王赫,何慧,唐朔飞[10](2008)在《大规模网络宏观预警的研究现状与分析》文中研究说明对国内外的宏观预警技术的研究现状进行了综述,依据宏观预警系统的实施过程对当前研究方法和研究成果进行了较为全面的概述与分析,对现有技术进行了总结与归纳。
二、基于日志分析策略的分布式网络入侵预警系统模型(论文开题报告)
(1)论文研究背景及目的
此处内容要求:
首先简单简介论文所研究问题的基本概念和背景,再而简单明了地指出论文所要研究解决的具体问题,并提出你的论文准备的观点或解决方法。
写法范例:
本文主要提出一款精简64位RISC处理器存储管理单元结构并详细分析其设计过程。在该MMU结构中,TLB采用叁个分离的TLB,TLB采用基于内容查找的相联存储器并行查找,支持粗粒度为64KB和细粒度为4KB两种页面大小,采用多级分层页表结构映射地址空间,并详细论述了四级页表转换过程,TLB结构组织等。该MMU结构将作为该处理器存储系统实现的一个重要组成部分。
(2)本文研究方法
调查法:该方法是有目的、有系统的搜集有关研究对象的具体信息。
观察法:用自己的感官和辅助工具直接观察研究对象从而得到有关信息。
实验法:通过主支变革、控制研究对象来发现与确认事物间的因果关系。
文献研究法:通过调查文献来获得资料,从而全面的、正确的了解掌握研究方法。
实证研究法:依据现有的科学理论和实践的需要提出设计。
定性分析法:对研究对象进行“质”的方面的研究,这个方法需要计算的数据较少。
定量分析法:通过具体的数字,使人们对研究对象的认识进一步精确化。
跨学科研究法:运用多学科的理论、方法和成果从整体上对某一课题进行研究。
功能分析法:这是社会科学用来分析社会现象的一种方法,从某一功能出发研究多个方面的影响。
模拟法:通过创设一个与原型相似的模型来间接研究原型某种特性的一种形容方法。
三、基于日志分析策略的分布式网络入侵预警系统模型(论文提纲范文)
(1)基于密级矩阵的用户行为安全预警分析系统的设计与实现(论文提纲范文)
| 摘要 |
| abstract |
| 第一章 绪论 |
| 1.1 研究工作的背景与意义 |
| 1.2 国内外研究现状 |
| 1.3 研究目标与内容 |
| 1.4 本文的主要贡献与创新 |
| 1.5 本论文的结构安排 |
| 第二章 相关技术模型概述 |
| 2.1 用户行为安全预警分析模型 |
| 2.1.1 多维密级矩阵合规性分析模型 |
| 2.1.2 用户行为价值分析模型 |
| 2.2 Nifi大数据工作流平台 |
| 2.3 Rabbit MQ消息服务中间件 |
| 2.4 Elastic Search分布式全文搜索引擎 |
| 2.5 Redis内存数据库 |
| 2.6 Influx DB时间序列数据库 |
| 2.7 本章小结 |
| 第三章 用户行为安全预警分析系统需求分析 |
| 3.1 建设总体目标 |
| 3.2 建设内容概述 |
| 3.3 功能性需求 |
| 3.3.1 用户行为安全预警需求 |
| 3.3.2 用户行为价值分析需求 |
| 3.4 系统集成需求 |
| 3.4.1 主机监控与审计系统 |
| 3.4.2 信息设备综合管控系统 |
| 3.4.3 应用系统用户管理中心 |
| 3.4.4 保密信息综合管控平台 |
| 3.4.5 电子文件密级标志管理系统 |
| 3.4.6 计算机终端保密卫士管控系统 |
| 3.4.7 某涉密应用管理系统 |
| 3.5 非功能性需求 |
| 3.5.1 安全性需求 |
| 3.5.2 扩展性需求 |
| 3.5.3 兼容性需求 |
| 3.5.4 松耦合需求 |
| 3.5.5 可视化需求 |
| 3.6 本章小结 |
| 第四章 用户行为安全预警分析系统总体设计 |
| 4.1 设计原则 |
| 4.2 设计目标 |
| 4.3 架构设计 |
| 4.3.1 逻辑架构设计 |
| 4.3.2 功能架构设计 |
| 4.3.3 物理架构设计 |
| 4.4 高可用设计 |
| 4.5 高稳定设计 |
| 4.6 高性能设计 |
| 4.7 本章小结 |
| 第五章 用户行为安全预警分析系统详细设计与功能实现 |
| 5.1 主要服务模块设计 |
| 5.1.1 日志采集接收服务模块 |
| 5.1.2 日志清理转换服务模块 |
| 5.1.3 事件关联分析服务模块 |
| 5.1.4 多维密级矩阵服务模块 |
| 5.1.5 在用主机用户服务模块 |
| 5.2 主要功能设计 |
| 5.2.1 用户行为日志采集设计 |
| 5.2.2 用户行为数据清理设计 |
| 5.2.3 多维密级矩阵分析设计 |
| 5.2.4 监控与告警驾驶舱设计 |
| 5.3 接口服务设计 |
| 5.3.1 应用系统用户管理中心 |
| 5.3.2 信息设备综合管控系统 |
| 5.4 本章小结 |
| 第六章 用户行为安全预警分析系统测试 |
| 6.1 测试计划 |
| 6.2 测试环境 |
| 6.3 测试用例设计及测试方法 |
| 6.3.1 功能测试 |
| 6.3.2 接口性能校验 |
| 6.3.3 用户权限安全校验 |
| 6.3.4 兼容性校验 |
| 6.4 测试结论 |
| 6.5 本章小结 |
| 第七章 全文总结与展望 |
| 7.1 全文总结 |
| 7.2 后续工作展望 |
| 致谢 |
| 参考文献 |
(2)基于应用日志大数据分析在主动防御审计中的应用(论文提纲范文)
| 摘要 |
| abstract |
| 第1章 引言 |
| 1.1 研究背景 |
| 1.2 国内外研究现状 |
| 1.3 解决的主要问题 |
| 1.4 本文的主要研究工作 |
| 1.5 论文的章节安排 |
| 第2章 用户行为审计的一般方法 |
| 2.1 决策树 |
| 2.1.1 模型概述 |
| 2.1.2 决策树基本算法的介绍 |
| 2.2 人工神经网络 |
| 2.2.1 模型概述 |
| 2.2.2 人工神经网络的特点 |
| 2.2.3 基本结构和工作原理 |
| 2.2.4 经典的神经网络模型 |
| 第3章 基于决策树的用户行为异常审计 |
| 3.1 数据获取和预处理 |
| 3.1.1 特征分析 |
| 3.1.2 决策树输入和输出设计 |
| 3.2 初始构建决策树模型 |
| 3.2.1 计算信息增益率 |
| 3.2.2 构建决策树模型及评估 |
| 3.3 决策树模型优化 |
| 3.3.1 构建代价函数 |
| 3.3.2 决策树剪枝与Boosting技术 |
| 3.4 优化后预测验证 |
| 第4章 基于神经网络的用户行为异常审计 |
| 4.1 数据获取与预处理 |
| 4.2 构建神经网络模型 |
| 4.2.1 模型建立 |
| 4.2.2 参数设定 |
| 4.2.3 训练结果与分析 |
| 4.3 模型参数调优 |
| 4.4 优化后预测验证 |
| 4.5 决策树与神经网络的比较 |
| 4.5.1 训练结果比较 |
| 4.5.2 新数据预测能力比较 |
| 第5章 大数据日志审计平台的实现 |
| 5.1 系统概述 |
| 5.2 系统目标 |
| 5.3 系统需求问题描述 |
| 5.3.1 业务需求 |
| 5.3.2 数据需求 |
| 5.3.3 功能需求 |
| 5.4 日志审计系统主要功能 |
| 5.4.1 日志数据处理系统 |
| 5.4.2 大数据分析服务引擎 |
| 5.4.3 平台管理中心 |
| 5.4.4 异常行为监测预警系统 |
| 5.4.5 审计日志搜系统 |
| 5.4.6 审计对象搜系统 |
| 5.4.7 日志多维分析系统 |
| 第6章 总结与愿景 |
| 参考文献 |
| 致谢 |
| 个人简历、在学期间发表的学术论文与研究成果 |
(3)电力监控网络安全态势智能感知方法研究(论文提纲范文)
| 摘要 |
| Abstract |
| 第一章 绪论 |
| 1.1 网络安全现状 |
| 1.1.1 互联网网络安全现状 |
| 1.1.2 电力监控网络安全现状 |
| 1.2 网络安全态势感知 |
| 1.2.1 网络安全态势感知概念 |
| 1.2.2 网络安全态势感知研究意义 |
| 1.3 网络安全态势感知方法 |
| 1.3.1 网络安全态势感知系统框架 |
| 1.3.2 网络安全要素融合 |
| 1.3.3 主机安全威胁辨识 |
| 1.3.4 网络安全态势评估与预测 |
| 1.4 现有网络安全态势感知技术面临的问题和挑战 |
| 1.5 主要工作 |
| 1.6 组织机构 |
| 第二章 电力监控网络安全分析 |
| 2.1 电力监控系统概述 |
| 2.2 电力监控系统安全防护现状 |
| 2.3 电力监控系统安全问题分析 |
| 2.4 本章小结 |
| 第三章 基于系统内核调用行为的恶意软件检测方法 |
| 3.1 引言 |
| 3.2 相关方法介绍 |
| 3.2.1 恶意软件静态检测方法 |
| 3.2.2 恶意软件动态检测方法 |
| 3.2.3 多层感知器 |
| 3.2.4 深度信念网络 |
| 3.3 系统内核调用 |
| 3.4 基于深度信念网络的软件异常行为检测方法 |
| 3.4.1 研究思路 |
| 3.4.2 敏感系统行为提取与表示 |
| 3.4.3 模型训练与检测 |
| 3.5 实验分析 |
| 3.5.1 实验环境 |
| 3.5.2 数据集 |
| 3.5.3 超参数设置 |
| 3.5.4 准确性分析 |
| 3.5.5 训练与检测时间开销分析 |
| 3.5.6 鲁棒性分析 |
| 3.6 本章小结 |
| 第四章 基于告警信息融合分析的网络入侵威胁辨识方法 |
| 4.1 引言 |
| 4.2 相关方法介绍 |
| 4.2.1 基于主机异常行为的入侵检测 |
| 4.2.2 基于网络异常流量的入侵检测 |
| 4.2.3 卷积神经网络 |
| 4.2.4 其他深度学习方法 |
| 4.3 告警信息 |
| 4.4 基于3D卷积神经网络的入侵威胁辨识方法 |
| 4.4.1 研究思路 |
| 4.4.2 告警信息3D网格模型 |
| 4.4.3 模型训练与决策 |
| 4.5 实验分析 |
| 4.5.1 实验环境 |
| 4.5.2 数据集 |
| 4.5.3 超参数设置 |
| 4.5.4 准确性分析 |
| 4.5.5 训练与检测时间开销分析 |
| 4.6 本章小结 |
| 第五章 基于安全事件证据组合推理的攻击活动检测方法 |
| 5.1 引言 |
| 5.2 相关方法介绍 |
| 5.2.1 攻击活动检测 |
| 5.2.2 D-S证据理论 |
| 5.3 基于安全事件偏离度的证据组合方法 |
| 5.3.1 研究思路 |
| 5.3.2 基于时间序列回归分析的安全事件偏离度计算方法 |
| 5.3.3 基于安全事件权重的证据组合规则 |
| 5.3.4 证据分类合成策略 |
| 5.4 实验分析 |
| 5.4.1 实验环境 |
| 5.4.2 参数设置 |
| 5.4.3 传统D-S证据理论和改进的D-S证据理论对比实验分析 |
| 5.4.4 本文攻击活动检测方法与传统入侵检测方法对比实验分析 |
| 5.5 本章小结 |
| 第六章 基于网络传播分析的网络安全态势分布评估方法 |
| 6.1 引言 |
| 6.2 相关方法介绍 |
| 6.2.1 网络安全态势感知系统框架 |
| 6.2.2 网络安全态势评估与预测 |
| 6.2.3 随机游走方法 |
| 6.3 网络安全传播分析 |
| 6.4 网络安全要素融合的风险评估 |
| 6.5 基于置信度传播的网络安全态势分布评估方法 |
| 6.5.1 研究思路 |
| 6.5.2 网络风险传播模型 |
| 6.5.3 安全态势分布评估 |
| 6.6 实验分析 |
| 6.6.1 实验环境 |
| 6.6.2 数据集 |
| 6.6.3 准确性分析 |
| 6.6.4 阈值分析 |
| 6.6.5 计算时间开销分析 |
| 6.7 本章小结 |
| 总结 |
| 致谢 |
| 参考文献 |
| 作者简历 |
(4)复杂性网络攻击的行为关联性分析(论文提纲范文)
| 摘要 |
| abstract |
| 第一章 绪论 |
| 1.1 研究工作的背景与意义 |
| 1.1.1 研究背景 |
| 1.1.2 研究意义 |
| 1.2 复杂网络攻击行为关联分析的国内外研究水平 |
| 1.2.1 国内研究现状 |
| 1.2.2 国外研究现状 |
| 1.3 本文的主要贡献与创新 |
| 1.3.1 主要研究内容及关系 |
| 1.3.2 创新点 |
| 1.4 本论文的结构安排 |
| 第二章 复杂性网络攻击的行为关联分析基础 |
| 2.1 复杂性网络攻击的定性分析 |
| 2.2 复杂性网络攻击的定量分析 |
| 2.2.1 保活性量化分析 |
| 2.2.2 隐蔽能力量化分析 |
| 2.2.3 持续能力量化分析 |
| 2.2.4 破坏性量化分析 |
| 2.2.5 突破性量化分析 |
| 2.3 复杂性网络攻击的网络空间环境模型 |
| 2.4 网络攻击行为关联的基本方法 |
| 2.5 复杂性网络攻击的行为规律研究 |
| 2.6 本章小结 |
| 第三章 复杂网络攻击的模型及行为规律 |
| 3.1 AttackTree模型 |
| 3.1.1 AttackTree的攻击任务模型 |
| 3.1.2 AttackTree模型及优化 |
| 3.2 AttackGraph模型 |
| 3.3 基于攻击图的行为过程研究 |
| 3.3.1 基于资源依赖的攻击路径执行分析 |
| 3.3.2 基于多元依赖的攻击路径执行分析 |
| 3.3.3 复杂性网络攻击的方案选取生成模型 |
| 3.3.4 攻击图执行期异常因素分析 |
| 3.4 金字塔及展开模型与行为关联分析 |
| 3.5 复杂性网络攻击的序列关联模型 |
| 3.6 本章小结 |
| 第四章 面向僵尸网络的复杂性攻击行为特征关联分析 |
| 4.1 基于僵尸网络的复杂性攻击检测 |
| 4.2 基于会话特征与序列关联的僵网攻击分析方法 |
| 4.2.1 实验基础 |
| 4.2.2 .核心思想 |
| 4.2.3 .实验结果和性能分析 |
| 4.3 基于模糊聚类和关联挖掘的僵网攻击分析方法 |
| 4.3.1 特征提取 |
| 4.3.2 特征模糊聚类 |
| 4.3.3 僵尸类复杂攻击相关性分析 |
| 4.3.4 面向复杂攻击的类型判断 |
| 4.3.5 实验分析 |
| 4.4 本章小结 |
| 第五章 复杂性网络攻击的关联预测方法 |
| 5.1 关联分析的预测模型 |
| 5.1.1 CNA关联预测背景 |
| 5.1.2 CNA关联预测模型 |
| 5.2 实验基础 |
| 5.2.1 实验场景选取 |
| 5.2.2 相关检测背景 |
| 5.3 复杂舆论攻击的非频繁事件分析 |
| 5.3.1 工作流程分析 |
| 5.3.2 舆情事件的特征 |
| 5.3.3 通用特征提取 |
| 5.3.4 用户分组与行为序列化分析 |
| 5.3.5 组内聚类 |
| 5.4 实验环境设置与结果分析 |
| 5.5 本章小结 |
| 第六章 复杂网络攻击关联分析在溯源反制方面的研究 |
| 6.1 概述 |
| 6.2 攻击分类与溯源分析 |
| 6.2.1 攻击组件溯源分析与结果 |
| 6.2.2 信息窃取行为溯源分析与结果 |
| 6.2.3 通信特征的关联结果 |
| 6.2.4 工具集关系分析结果 |
| 6.3 APT攻击防御及反制思路 |
| 6.4 本章总结 |
| 第七章 总结与展望 |
| 7.1 全文总结 |
| 7.2 后续工作展望 |
| 致谢 |
| 参考文献 |
| 攻读博士学位期间取得的成果 |
(5)教学网络的分布式入侵检测系统的研究与应用(论文提纲范文)
| 摘要 |
| Abstract |
| 目录 |
| 图目录 |
| 1 绪论 |
| 1.1 选题背景 |
| 1.1.1 网络安全现状 |
| 1.1.2 校园网络的安全现状 |
| 1.2 主要的网络安全技术 |
| 1.3 本文研究的意义 |
| 1.4 章节安排 |
| 2 入侵检测概述 |
| 2.1 入侵检测的基本概念 |
| 2.2 网络入侵的一般步骤 |
| 2.3 入侵检测的发展历史 |
| 2.4 CIDF的体系结构 |
| 2.5 入侵检测系统分类 |
| 2.5.1 按照数据源分类 |
| 2.5.2 按照分析技术分类 |
| 2.6 现有的分布式入侵检测系统模型 |
| 2.6.1 层次型DIDS |
| 2.6.2 协作型DIDS |
| 2.6.3 对等型DIDS |
| 2.7 入侵检测系统的发展趋势 |
| 2.8 本章小结 |
| 3 网络入侵检测系统Snort的研究 |
| 3.1 Snort的特点 |
| 3.2 Snort的体系结构 |
| 3.3 Snort的规则结构 |
| 3.3.1 规则头 |
| 3.3.2 规则选项 |
| 3.4 Snort的入侵检测流程 |
| 3.4.1 规则解析流程 |
| 3.4.2 规则匹配流程 |
| 3.5 Snort规则链性能的改进方法 |
| 3.5.1 Snort匹配规则的改进 |
| 3.5.2 改进后的规则链的建立 |
| 3.5.3 规则匹配顺序的更新 |
| 3.5.4 改进后的Snort规则性能测试 |
| 3.6 本章小结 |
| 4 教学网络入侵检测系统的设计 |
| 4.1 分布式入侵检测系统的设计目标 |
| 4.2 分布式入侵检测系统的总体设计 |
| 4.3 防黄模块 |
| 4.3.1 主要函数功能 |
| 4.3.2 黄色信息的规则设计 |
| 4.3.3 黄色信息的响应策略 |
| 4.4 不对称信息对比模块 |
| 4.5 控制中心 |
| 4.6 探测器模块 |
| 4.6.1 数据包捕获模块 |
| 4.6.2 协议分析模块 |
| 4.6.3 规则解析模块 |
| 4.6.4 入侵匹配模块 |
| 4.6.5 其它模块 |
| 4.7 本章小结 |
| 5 系统的实现 |
| 5.1 相关软件的介绍 |
| 5.2 系统实现 |
| 5.2.1 网络入侵检测模块 |
| 5.2.2 数据入侵存储模块 |
| 5.2.3 管理员分析控制台 |
| 5.3 系统测试 |
| 5.3.1 日志分析控制台 |
| 5.3.2 防黄模块测试结果 |
| 5.4 本章小结 |
| 6 总结与展望 |
| 致谢 |
| 参考文献 |
| 个人简历、在学期间发表的学术论文与研究成果 |
(6)基于网络安全态势感知的预警技术研究(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 第一章 绪论 |
| 1.1 研究背景 |
| 1.1.1 网络需要安全技术 |
| 1.1.2 安全技术有待提高 |
| 1.1.3 预警技术应运而生 |
| 1.2 研究现状 |
| 1.2.1 安全预警体系结构 |
| 1.2.2 安全态势知识表示模型 |
| 1.2.3 安全态势感知中的测量技术 |
| 1.2.4 安全态势评估技术 |
| 1.2.5 安全中的主动学习 |
| 1.2.6 安全态势预警技术 |
| 1.3 研究内容 |
| 1.3.1 预警系统体系结构和安全态势知识表示模型的研究 |
| 1.3.2 安全态势感知中的测量技术的研究 |
| 1.3.3 安全态势评估技术的研究 |
| 1.3.4 安全预警中的主动学习技术研究 |
| 1.3.5 预警技术研究及预警系统原型实现 |
| 1.4 研究成果 |
| 1.5 论文结构 |
| 第二章 安全预警体系结构和安全态势知识表示模型研究 |
| 2.1 引言 |
| 2.2 安全预警体系结构 |
| 2.2.1 基于安全态势感知的预警系统组成 |
| 2.2.2 基于安全态势感知的预警系统运行模式 |
| 2.2.3 基于安全态势感知的预警系统工作过程 |
| 2.3 安全态势感知信息的知识表示模型 |
| 2.3.1 安全态势感知信息的层次结构 |
| 2.3.2 安全态势信息的表示模型 |
| 2.4 小结 |
| 第三章 态势感知中测量方法与策略研究 |
| 3.1 引言 |
| 3.2 态势感知中网络测量部署模型及其优化算法 |
| 3.2.1 被动测量模型和算法 |
| 3.2.2 主动测量模型和算法 |
| 3.2.3 分布式收集框架 |
| 3.2.4 研究总结 |
| 3.3 端到端流量测量技术研究 |
| 3.3.1 网络模型及带宽的定义 |
| 3.3.2 测量方法 |
| 3.3.3 相关讨论 |
| 3.4 一种基于应用需求的网络流量测量策略 |
| 3.4.1 相关工作 |
| 3.4.2 COPP方法 |
| 3.4.3 报文对分析 |
| 3.4.4 转换点分析与权重的获取 |
| 3.4.5 阈值的讨论 |
| 3.4.6 仿真结果及分析 |
| 3.4.7 测量策略总结 |
| 3.5 小结 |
| 第四章 网络安全态势评估技术研究 |
| 4.1 引言 |
| 4.1.1 态势评估定义 |
| 4.1.2 态势评估的研究现状 |
| 4.2 网络安全态势评估模型及其推理框架 |
| 4.2.1 网络安全态势评估问题描述 |
| 4.2.2 网络安全态势评估功能模型 |
| 4.2.3 网络安全态势评估推理框架 |
| 4.3 基于蜜罐的网络安全态势评估系统框架 |
| 4.3.1 蜜罐技术对于安全态势评估的意义 |
| 4.3.2 基于蜜罐的安全态势评估系统框架 |
| 4.4 一种基于网络安全态势图的评估方法 |
| 4.4.1 网络安全态势图 |
| 4.4.2 网络安全态势图生成算法 |
| 4.4.3 基于网络安全态势图的态势评估 |
| 4.4.4 方法验证 |
| 4.5 小结 |
| 第五章 基于主动学习的入侵检测方法研究 |
| 5.1 引言 |
| 5.2 相关知识 |
| 5.3 基于委员会的误分类采样算法 |
| 5.3.1 相关工作 |
| 5.3.2 平分版本空间策略 |
| 5.3.3 基于委员会的误分类采样算法 |
| 5.4 基于图约束及预聚类的可伸缩主动学习算法 |
| 5.4.1 基本概念 |
| 5.4.2 基于图约束的主动学习算法 |
| 5.4.3 基于预聚类的可伸缩主动学习算法 |
| 5.5 基于误分类代价最小化的代价敏感主动学习算法 |
| 5.5.1 代价敏感学习 |
| 5.5.2 基于误分类代价最小化的代价敏感主动学习算法 |
| 5.6 实验 |
| 5.6.1 不考虑误分类代价的实验 |
| 5.6.2 考虑误分类代价的实验 |
| 5.7 小结 |
| 第六章 预警技术研究及预警原型系统的实现 |
| 6.1 引言 |
| 6.2 安全态势感知系统中攻击预测的认知模型 |
| 6.2.1 三层攻击认知模型简介 |
| 6.2.2 攻击行为认知方法 |
| 6.3 一种基于粒子群优化算法的组合预测模型 |
| 6.3.1 粒子群算法简介 |
| 6.3.2 组合预测模型 |
| 6.3.3 PSO算法的实现 |
| 6.3.4 基于PSO的组合预测方法的验证 |
| 6.4 预警系统原型的实现 |
| 6.4.1 预警系统原型简介 |
| 6.4.2 安全预警原型系统框架 |
| 6.4.3 预警服务器EWS |
| 6.4.4 态势感知器SS |
| 6.4.5 相关机制 |
| 6.5 小结 |
| 第七章 结束语 |
| 7.1 工作总结 |
| 7.2 未来工作展望 |
| 致谢 |
| 参考文献 |
| 作者在学期间取得的学术成果 |
| 作者在学期间参加的主要科研项目 |
(7)基于数据挖掘的分布式网络入侵协同检测系统研究及实现(论文提纲范文)
| 摘要 |
| Abstract |
| 目录 |
| 图清单 |
| 表清单 |
| 1 绪论 |
| 1.1 网络入侵检测技术面临的主要问题 |
| 1.2 本文的研究背景及意义 |
| 1.3 论文的研究内容及组织结构 |
| 1.4 本章小结 |
| 2 入侵检测系统概述 |
| 2.1 网络入侵检测技术 |
| 2.1.1 异常检测技术 |
| 2.1.2 误用检测技术 |
| 2.1.3 基于数据挖掘的入侵检测技术 |
| 2.2 入侵检测系统功能 |
| 2.3 入侵检测系统的基本结构 |
| 2.4 入侵检测系统的分类 |
| 2.4.1 根据信息源分类 |
| 2.4.2 根据数据分析方法分类 |
| 2.4.3 根据体系结构分类 |
| 2.4.4 根据响应方式分类 |
| 2.5 本章小结 |
| 3 分布式入侵检测系统 |
| 3.1 分布式入侵检测系统的产生 |
| 3.2 分布式入侵检测系统的优势 |
| 3.3 分布式入侵检测系统模型 |
| 3.3.1 基于攻击策略分析的分布式入侵检测系统模型 |
| 3.3.2 基于Agent的分布式入侵检测系统模型 |
| 3.3.3 基于控制中心的分布式入侵检测系统模型 |
| 3.3.4 基于移动代理的分布式入侵检测系统模型 |
| 3.3.5 基于多Agent的层次协同入侵检测模型 |
| 3.4 本章小结 |
| 4 数据挖掘技术 |
| 4.1 数据挖掘概述 |
| 4.1.1 数据挖掘的定义 |
| 4.1.2 数据挖掘过程 |
| 4.2 数据挖掘算法 |
| 4.2.1 关联分析算法 |
| 4.2.2 数据分类算法 |
| 4.2.3 聚类分析算法 |
| 4.2.4 序列模式分析算法 |
| 4.3 本章小结 |
| 5 基于数据挖掘的分布式网络入侵协同检测系统设计 |
| 5.1 系统总体结构设计 |
| 5.1.1 系统设计目标 |
| 5.1.2 系统结构模型 |
| 5.2 系统检测引擎的设计 |
| 5.2.1 网络数据包截获技术 |
| 5.2.2 数据采集模块 |
| 5.2.3 内存映射与半轮询(NAPI)捕包技术 |
| 5.2.4 数据解析模块 |
| 5.2.5 数据预处理模块 |
| 5.2.6 基于改进的FP-Growth算法的数据挖掘模块 |
| 5.2.7 检测模块 |
| 5.2.8 基于分箱统计的FCM网络入侵检测技术 |
| 5.2.9 基于免疫学原理的混合入侵检测检测技术 |
| 5.3 系统其他组件设计 |
| 5.3.1 报警优化器 |
| 5.3.2 日志记录器 |
| 5.3.3 中心控制平台 |
| 5.3.4 特征规则库 |
| 5.4 系统模块间的通信 |
| 5.5 入侵检测系统中的协同设计 |
| 5.5.1 数据采集协同 |
| 5.5.2 数据分析协同 |
| 5.5.3 系统响应协同 |
| 5.6 本章小结 |
| 6 系统实验分析与业务应用 |
| 6.1 离线实验 |
| 6.1.1 实验环境 |
| 6.1.2 实验数据集 |
| 6.1.3 实验结果及分析 |
| 6.2 网络仿真实验 |
| 6.2.1 实验环境 |
| 6.2.2 端口扫描攻击实验 |
| 6.2.3 拒绝服务攻击(DoS)实验 |
| 6.2.4 网络仿真实验实验结果及评价 |
| 6.3 业务试用 |
| 6.4 本章小结 |
| 7 总结与展望 |
| 7.1 总结 |
| 7.2 展望 |
| 致谢 |
| 参考文献 |
| 附录 A 攻读博士学位期间发表的论文情况 |
| 附录 B 攻读博士学位期间参加的科学研究情况 |
| 附录 C 攻读博士学位期间取得软件着作权情况 |
(8)分布式入侵检测系统关键技术研究(论文提纲范文)
| 中文提要 |
| Abstract |
| 第1章 绪论 |
| 1.1 课题来源及意义 |
| 1.2 入侵检测系统 |
| 1.2.1 基本模型和相关协议 |
| 1.2.2 入侵检测系统的分类 |
| 1.2.3 入侵检测的研究现状 |
| 1.3 本文的主要工作 |
| 1.4 本文的组织结构 |
| 第2章 分布式入侵检测系统综述 |
| 2.1 分布式入侵检测的形式化描述 |
| 2.2 分布式入侵检测系统关键技术 |
| 2.2.1 基于移动代理的入侵检测系统 |
| 2.2.2 基于系统调用分析的入侵检测 |
| 2.2.3 基于用户行为分析的入侵检测 |
| 2.2.4 基于网络数据包分析的入侵检测 |
| 2.3 本章小结 |
| 第3章 基于移动代理的入侵检测系统 |
| 3.1 移动代理 |
| 3.1.1 分布式人工智能 |
| 3.1.2 代理的强弱定义 |
| 3.2 移动代理的位置透明性研究 |
| 3.2.1 移动代理的一般定位机制 |
| 3.2.2 新型位置透明性解决方案 |
| 3.2.3 方案评估分析 |
| 3.3 基于移动代理的入侵检测系统 |
| 3.3.1 系统体系结构 |
| 3.3.2 平台实现的关键技术 |
| 3.3.3 基于移动代理的入侵检测平台测试 |
| 3.4 本章小结 |
| 第4章 基于系统调用序列分析的入侵检测 |
| 4.1 系统调用与操作系统内核 |
| 4.2 系统调用的序列分析 |
| 4.2.1 基于系统调用的入侵检测 |
| 4.2.2 系统调用序列分析的现状 |
| 4.3 序列分析的设计 |
| 4.3.1 序列分析的系统模型 |
| 4.3.2 序列分析的详细设计 |
| 4.4 系统调用分析的入侵检测测试 |
| 4.5 本章小结 |
| 第5章 基于用户行为关联分析的入侵检测 |
| 5.1 主机的用户行为 |
| 5.2 用户行为的关联分析 |
| 5.2.1 用户行为模式的定义 |
| 5.2.2 关联分析的数学模型 |
| 5.2.3 关联匹配算法 |
| 5.3 关联分析的设计 |
| 5.3.1 关联分析的系统模型 |
| 5.3.2 关联分析的详细设计 |
| 5.4 用户行为分析的入侵检测测试 |
| 5.5 本章小节 |
| 第6章 基于网络数据包免疫分析的入侵检测 |
| 6.1 人工免疫原理与入侵检测 |
| 6.1.1 生物免疫、人工免疫与入侵检测 |
| 6.1.2 人工免疫系统的工程框架 |
| 6.1.3 基于免疫的分类器设计 |
| 6.2 基于人工免疫的入侵检测模型 |
| 6.2.1 免疫分析的系统模型 |
| 6.2.2 模型的数学描述 |
| 6.2.3 相关定量分析 |
| 6.3 免疫分析的设计 |
| 6.3.1 自我特征表达 |
| 6.3.2 检测器的初始产生 |
| 6.3.3 检测器的二次进化 |
| 6.3.4 主要算法设计 |
| 6.4 网络免疫分析的入侵检测测试 |
| 6.5 本章小结 |
| 第7章 总结与展望 |
| 7.1 创新点总结 |
| 7.2 研究展望 |
| 参考文献 |
| 缩略语表 |
| 攻读学位期间公开的发表论文和参加的科研项目 |
| 致谢 |
| 详细摘要 |
(9)基于移动Agent的分布式网络入侵检测系统研究(论文提纲范文)
| 摘要 |
| Abstract |
| 第一章 绪论 |
| 1.1 研究背景 |
| 1.2 研究现状 |
| 1.3 本文工作 |
| 1.4 论文结构安排 |
| 第二章 入侵检测系统概述 |
| 2.1 入侵检测系统原理 |
| 2.2 入侵检测系统分类 |
| 2.3 几种典型的分布式入侵检测系统模型 |
| 2.4 入侵检测技术的标准化 |
| 2.5 入侵检测的最新发展动向 |
| 2.6 本章小结 |
| 第三章 基于移动Agent 的分布式网络入侵检测系统模型设计 |
| 3.1 移动Agent 技术 |
| 3.1.1 移动Agent 工作原理 |
| 3.1.2 移动Agent 的属性 |
| 3.1.3 基于Agent 的入侵检测系统的标准化 |
| 3.2 基于移动Agent 的分布式网络入侵检测系统模型 |
| 3.2.1 系统模型 |
| 3.2.2 系统模块功能设计 |
| 3.2.3 系统总体工作流程 |
| 3.2.4 系统性能分析 |
| 3.3 本章小结 |
| 第四章 系统设计与仿真 |
| 4.1 入侵检测Agent 设计 |
| 4.1.1 Snort 体系结构 |
| 4.1.2 Snort 检测过程 |
| 4.2 通信模块设计 |
| 4.2.1 通信设计目标 |
| 4.2.2 通信内容分析 |
| 4.2.3 通信协议设计 |
| 4.3 报警信息日志表设计 |
| 4.4 BM 算法及其改进 |
| 4.4.1 BM 算法原理 |
| 4.4.2 BM 改进算法思想 |
| 4.5 仿真实验 |
| 4.6 本章小结 |
| 第五章 结束语 |
| 5.1 总结 |
| 5.2 展望 |
| 致谢 |
| 参考文献 |
| 研究成果 |
(10)大规模网络宏观预警的研究现状与分析(论文提纲范文)
| 1 研究历史与组织机构 |
| 2 预警系统整体框架研究 |
| 3 网络安全事件的检测 |
| 3.1 信息采集 |
| 3.1.1 信息采集技术研究 |
| 3.1.2 检测点位置放置的研究 |
| 3.2 攻击检测 |
| 4 数据融合方法的研究 |
| 4.1 数据融合模型 |
| 4.2 信息交换 |
| 4.3 数据融合与其他应用技术的结合 |
| 5 评估响应 |
| 5.1 威胁评估算法 |
| 5.2 决策响应 |
| 6 结束语 |
四、基于日志分析策略的分布式网络入侵预警系统模型(论文参考文献)
- [1]基于密级矩阵的用户行为安全预警分析系统的设计与实现[D]. 魏能强. 电子科技大学, 2020(03)
- [2]基于应用日志大数据分析在主动防御审计中的应用[D]. 郑嘉楠. 华侨大学, 2019(04)
- [3]电力监控网络安全态势智能感知方法研究[D]. 张之刚. 战略支援部队信息工程大学, 2019(02)
- [4]复杂性网络攻击的行为关联性分析[D]. 陈瑞东. 电子科技大学, 2019(01)
- [5]教学网络的分布式入侵检测系统的研究与应用[D]. 李小刚. 郑州大学, 2010(06)
- [6]基于网络安全态势感知的预警技术研究[D]. 赵文涛. 国防科学技术大学, 2009(04)
- [7]基于数据挖掘的分布式网络入侵协同检测系统研究及实现[D]. 傅涛. 南京理工大学, 2008(01)
- [8]分布式入侵检测系统关键技术研究[D]. 陈云芳. 苏州大学, 2008(03)
- [9]基于移动Agent的分布式网络入侵检测系统研究[D]. 李安宁. 西安电子科技大学, 2008(07)
- [10]大规模网络宏观预警的研究现状与分析[J]. 王赫,何慧,唐朔飞. 计算机应用研究, 2008(02)