姜建国[1]2003年在《分布式入侵检测系统与信息融合技术的研究与实践》文中认为入侵检测系统作为一种能够自动、实时地保障网络信息安全的动态安全设备,构成对防火墙一类的静态安全设备的必要补充,已经越来越受到人们的重视,而分布式入侵检测系统更是随着网络的普及应用,成为技术发展的主流和研究的前沿。 在目前入侵检测技术的研究中,一方面在检测技术上,针对越来越复杂的攻击方法,如何提高检测能力。另一方面,利用代理(Agent)技术在检测系统结构设计上,实现对大型网络,高速网,分布异构平台环境的适应。此外,利用多传感器信息融合技术在分布式入侵检测系统中,实现多层次、多方面的信息处理,以达到对网络安全状况的监控和评估,这方面的研究相对较少。 国外基于分布式入侵检测技术进行研究和产品开发的机构、公司很多,到目前为止,已有一些研究机构对分布式入侵检测进行了有益的研究,也建立了一些实验性系统。也有一些系统开始采用信息融合的处理技术,如NIDES[6],EMERALD[7],只是采用的信息融合处理仅限于局部的、底层的实现,没有从理论上、体系结构上作进一步研究,并加以系统化,以适应大规模异构网络环境的需求,实现更高层次的信息融合和入侵检测。四川大学博士学位论文 本课题试图将多传感器信息融合技术与分布式入侵检测技术相结合,希望能够把从多个异质分布式传感器处得到的各种数据和信息综合成为一个统一的处理进程,来评估整个网络环境的安全状况。为此就需要设计和开发一个适应大规模异构网环境的IDS即Cybe卜IDS,实现大规模异构网络环境下的入侵检测和安全响应,这种新一代IDS必须能够自动鉴别和追踪网络空间中动态的网络活动,从而可以监控网络空间中的各种攻击。 传统 IDS包括主机IDS和网络IDS,仅限于保护单一主机系统或网络系统,保护的资源和范围都很有局限,而现有的分布式入侵检测系统对异构系统及大规模网络的监测明显不足,加之不同的IDS系统之间不能协同工作,无法相互配合,取长补短。本文针对现有入侵检测系统的不足,提出了基于多传感器信息融合技术的分布式入侵检测系统即Cybe卜IDS的概念。为了获得攻击者行为的更加完整的图象,从根本上防范攻击者的入侵,我们必须把视野拓展到多个网络和多个类型的防护系统,这样不再把单一网络作为关注焦点,而是从多个分布式系统收集和分析数据以获得攻击者行为的完整图象。我们需要既考虑攻击的防护,也要考虑攻击者的追踪和监控,这就是C必e卜IDS的目的,我们称之为以网络状况或态势为关注焦点。 本文通过对分布式IDS体系结构进行的研究和分析,提出了适合大规模异构网环境的体系结构,从而建立C沙er-IDS的框架模型。Cyber一 IDS是一个多代理系统,所谓的多代理系统,就是将己有的IDS组织起来,共同完成那些单个IDS无法胜任的工作。采用多代理系统(MAS),不是简单的组合,而是必须具有严格设计的体系结构,实现对多源信息的融合处理。严格设计的树形层次结构保证了系统的可伸缩性、鲁棒性、实时性、可扩展性、安全性与可用性等。 Cyber-IDS以网络态势为关注焦点,既要关注攻击的检测,也要进行攻击者的追踪,因此需要一种数据多层提炼、抽象的结构。本文通过对信息融合不统的研究,结合Cyber IDS的体系结构,建立了用于入侵检测的多传感器信息融合系统模型,它包括了系统的功能模型和结构模型,可以表示数据的多层抽象。信息在系统结构中往__卜传递时,其表达层次也随之由低层向高层转换。四川大学博士学位论文在最低层,原始的传感数据被转换为信一号型信息,经过一系列的融合步骤后,信息可能又被逐步转换为更抽象的数字或符号表达的知识。 显然,Cyber一IDS的树形层次结构可以与信息融合模型很好地结合起来,实现各个层次的功能。通过应用多传感器信息融合技术和多层抽象的观点,Cybe卜IDS实现以网络态势为关注焦点,提供关于攻击、攻击者和它们之间关系的信息或知识。其特有的过滤和融合提炼的功能使得cyber一 IDs与传统IDs相比,能够大大减低系统误报而不会造成大量报警以至淹没用户或管理者。 文章基于Cybor-IDS的融合模型,结合对多传感器信息融合理论和方法在分布式入侵检测系统中的应用,详细讨论和深入研究了相关的数据关联和目标跟踪的方法,以及融合判断和目标检测的方法,从而可以直接应用于Cyber-IDS的设计和实现。 本文作者根据相关研究成果,在中国工程物理研究院军民两用技术基金的资助下,负责进行了Cyber一IDS的原型设计和实现,因而在本文最后,给出了整个原型系统设计实现的关键过程如通信机制、安全机制和相关融合算法。 本文的创新性主要体现为,通过将多传感器信J息、融合技术应用于分布式入侵检测系统,提出了可应用于大规模异构网环境的Cyber一IDS的概念,建立了基于信息融合的分布式入侵检测系统的理论模型和相关融合处理方法,并给出了系统原型的体系结构和实现技术。所提出的Cyber-IDS可以将不同类型的IDS作为入侵检测代理(IDA)结合起来,构成一个无中心、分层
邓琦皓[2]2005年在《分布式主动协同入侵检测系统研究与实践》文中认为本文的研究目的是保护大型网络免遭分布式多步骤入侵。当前的入侵检测系统通常不能很好地处理这些大型网络中部署的传感器所产生的海量数据。因为专用节点处理能力有限,也容易遭受拒绝服务攻击,所以通常会成为整个系统的性能瓶颈。为此本文设计了一个分布式主动协同入侵检测原型系统DACIDS。检测过程本身是通过协同关联节点实现的,这些节点相互协同,将分布在受害网络中多台主机上的各部分证据综合起来形成正在发生的攻击全貌。 本文规范化了DACIDS中协同分析器的输入数据。DACIDS在关联入侵证据时,同等对待传感器的数据和子IDS的告警。这些数据格式多样、内容不一,系统利用分布式多步骤入侵特征语言描述的特征来检测分布式多步骤入侵时,要求协同分析器接收的数据格式一致,只有在格式一致的数据中才能方便地提取出合乎关联条件的内容。本文利用入侵检测工作组制定入侵检测消息交换格式时规范化数据的方法,修改其中的数据模型来满足DACIDS的需求。本文用统一建模语言描述了整个数据模型,给出了数据模型中几种重要类的文档类型定义。 本文提出了分布式多步骤入侵场景建模的方法。分布式多步骤入侵中某些步骤不会对被保护的主机或网段形成直接的威胁,因此不会被部署在其中的子入侵检测系统检测出来。根据分布式多步骤入侵的特点,本文将入侵场景分解成一系列传感器能观察到的特定的事件或者对应于子入侵检测系统能检测到的入侵子目标,将其统称为检测子任务;检测子任务间的关系包括检测子任务发生的先后次序,检测子任务对应的事件属性间的关系,并采用扩展的巴科斯范式对分布式多步骤入侵模型进行了抽象描述。由于采用了递归定义,因此可以方便地建模复杂的入侵场景。 本文定义了一种用来描述分布式多步骤入侵特征的语言DMISL。根据建立的分布式多步骤入侵的模型,定义了一种基于XML的分布式多步骤入侵特征语言,给出用该语言描述的分布式多步骤入侵特征的文档类型定义,用这个文档类型定义可以对安全管理人员或分布式主动协同入侵检测系统用户编码的分布式多步骤入侵特征进行格式检查。DMISL具有XML所有的优点。 本文实现了用于查找满足分布式多步骤特征的事件的分布式算法,该算法很重要的一点是将以DMISL编码的入侵特征转换为特定的扩展有限状态机后再依据状态的转移检测入侵。与现有的方式相比较,这种算法具有良好的可伸缩性和容错特性。这是因为检测过程只发生在具有部分攻击证据的主机上。本文没有使用传统的集中式或层次方式中所用的专用节点来实现事件关联,因为它们限制了可伸缩性,容易出故障或者遭受攻击从而造成单点失效。 本文改进了基于特征的网络子IDS的性能。为了解决提高整个系统的处理速度,本文对基于特征的网络子系统性能进行了改进。一种方式是引入AC状态机匹配算法取代原系
龚德良[3]2010年在《网络入侵检测系统的关键技术研究与实践》文中指出随着Internet的发展,网络安全事件愈演愈烈,网络安全已经成为人们日益关注的问题。虽然网络系统中部署了各种安全措施,但是网络系统的安全状况始终令人担忧。因此,本文在分析国内外网络入侵检测技术研究现状的基础上,针对分布式拒绝服务攻击模式匹配效率低、误报率高、相对独立的安全系统间存在海量冗余的告警事件等叁个问题展开了研究。本文分别采用了两种方法对报文进行分析、检测,即分别对报文头部和报文内容进行检测和分析,一旦发现攻击就生成告警事件;然后对各种告警事件进行融合以生成准确率更高的报警信息。首先对报文进行分离,把头部和内容分离开。然后对报文头进行分析、检测,根据报文头统计模型,计算出同地址报文头集合和幂子集并求得相关系数。通过支持向量机分析相关系数的特性,识别在某一时间是否发生分布式拒绝服务攻击。再对报文内容进行模式匹配,由于对报文内容一个一个字节的进行匹配要浪费大量的资源,消耗较多的时间,所以本文运用否定匹配(NP)思想,给出了基于NP报文内容模式匹配的方法,提高速度,节省检测时间和成本。该方法先从被检测的报文内容中找出NPs,根据NPs把数据流分段,然后再对段内容进行模式匹配,这样不但可以降低误报,还可以减少匹配的次数。最后提出了一个安全数据融合模型,该模型采用模式检测融合与异常检测融合技术,利用融合结果判断网络中是否发生了攻击。模式检测融合是针对告警事件的冗余性,采用基于相异度的方法处理信息;异常检测融合对网络上的异常信息进行采集和量化,采用基于D-S证据理论的方法进行融合。实验结果表明本文的研究工作能有效提高网络安全系统的检测率,降低误报率。
刘勇[4]2006年在《审计信息化系统的研究与实践》文中提出随着计算机、网络、通讯技术的迅速发展,信息技术向经济、社会、生活的各个方面扩展渗透。信息化对于审计工作也带来了挑战。目前,国家机关、重点企事业单位的经济活动和会计信息电子化已经普及,特别是电子商务、网上结算的产生,要求审计机关的作业方式必须与时俱进,以信息化的审计应对信息化的审计对象。审计信息化系统的开发有利于利用计算机网络技术改革审计手段和方式,及时、准确和全面了解审计对象和审计项目的情况,科学制订审计计划和调整审计力量,实现审计资源的整合,提高审计工作效率,促进审计工作规范化、标准化、制度化,加强审计“人、法、技”建设,全面提高审计工作质量,规避风险,更好地履行审计职责。本文根据审计行业发展特点,并结合温江区审计局信息化系统实际业务要求,遵从软件工程原理,从需求分析入手,介绍了系统的总体框架、业务支撑平台以及实现方式,包括系统分析、系统设计、系统实现等内容。首先,本文通过审计信息化建设的背景介绍,突出了审计信息化系统开发的必要性,通过详尽的需求分析,包括审计业务系统描述、审计软件功能、分类数据、数据结构、数据接口、数据属性、审计信息量、审计工作方式改革的需求等,给出了系统开发的总体规划。其次分析了J2EE平台的体系结构以及J2EE应用中的核心技术。J2EE是一种利用Java 2平台来简化企业解决方案的开发、部署和管理相关的复杂问题的体系结构。J2EE体系结构提供中间层集成框架来满足企业应用开发的需求。本文对基于web的多层体系结构,以及J2EE的实现技术,包括JDBC、JNDI、JSP、servlet、EJB和JMS等内容进行了论述。然后在系统设计部分,根据系统性能、功能等需求,提出了基于J2EE多层结构,并满足系统业务逻辑的合理解决方案,并对网络系统、应用系统和安全系统等给出了规划设计。最后在系统实现部分,就多层结构中的每一层的实现方式给出了充分描述,包括客户端、J2EE服务器、企业信息系统层和JDBC实现技术等。通过这些技术的应用,使得系统具有很强的伸缩性、通用性、兼容性和可操作性,每一层能够专注于特定的角色和功能。并对审计管理系统的功能进行了描述,重点选择了现场审计实施系统部分模块以及审计对象管理两个有代表性的模块,来阐述系统的实现过程。系统功能的全部实现必将极大地提高全省审计系统的信息化管理水平。
参考文献:
[1]. 分布式入侵检测系统与信息融合技术的研究与实践[D]. 姜建国. 四川大学. 2003
[2]. 分布式主动协同入侵检测系统研究与实践[D]. 邓琦皓. 中国人民解放军信息工程大学. 2005
[3]. 网络入侵检测系统的关键技术研究与实践[D]. 龚德良. 中南大学. 2010
[4]. 审计信息化系统的研究与实践[D]. 刘勇. 四川大学. 2006
标签:互联网技术论文; 入侵检测系统论文; 信息融合论文; ids论文; 安全审计论文; 网络模型论文; 审计软件论文; 报文交换论文; 网络攻击论文; 分布式技术论文; 数据融合论文; 分布式部署论文;