学位论文 > 优秀研究生学位论文题录展示
入侵检测系统中告警融合机制的研究
作 者: 朱旭
导 师: 杨义先
学 校: 北京邮电大学
专 业: 密码学
关键词: 网络安全 入侵检测 协议分析 专家系统 告警融合
分类号: TP393.08
类 型: 硕士论文
年 份: 2008年
下 载: 94次
引 用: 2次
阅 读: 论文下载
内容摘要
近年来,随着互联网的高速发展,网络安全事件数量激增。入侵检测系统在面对海量事件时通常会产生大量告警,这些告警中包含了许多误报和冗余告警,这都严重削弱了入侵检测系统在实际应用中所发挥的作用。因此,对入侵检测系统所产生告警进行融合处理就非常重要,这将能够提高入侵检测系统发现网络安全事件的准确率。本文在首先介绍了入侵检测的基本概念之后,对当前流行的分布式入侵检测系统结构以及实现进行了归纳和整理。同时,提出了基于协议分析的原始数据过滤机制、基于专家系统的入侵检测告警过滤机制和基于告警类关联的初级告警融合机制。基于协议分析的原始数据过滤机制通过采用协议分析来过滤原始数据,减少误告警,而且该机制能够应用于IPv4和IPv6两种网络。基于专家系统的入侵检测告警过滤机制使用专家系统,利用知识库的知识,通过过滤引擎,对原始告警进行过滤,可以减少误告警,为进一步的告警融合做好了准备。基于告警类关联的初级告警融合机制在基于协议分析的原始数据过滤和基于专家系统的告警过滤基础上,利用告警的分类,通过告警类关联技术,使用关联引擎,对告警进行融合,可以减少冗余告警。该机制可以在一定程度上降低误报率,并从海量告警中识别出部分复杂的攻击行为。以上三种告警处理机制是一个有机的整体,经过这三个步骤处理后,入侵检测系统中的误告警和冗余告警会有一定程度的减少,同时通过融合,还能发现部分告警之间的关联关系。
|
全文目录
摘要 4-5 ABSTRACT 5-9 第一章 概述 9-17 1.1 入侵检测系统基本概念 10-14 1.1.1 入侵检测系统简介 10 1.1.2 分布式入侵检测系统简介 10-14 1.2 告警融合技术国内外发展现状 14-16 1.3 本论文研究内容结构 16-17 第二章 基于协议分析的原始数据过滤机制 17-30 2.1 模式匹配方法的缺陷 17-18 2.2 互联网相关协议 18-22 2.3 IPv6协议与IPv4协议的比较 22-23 2.4 协议分析方法 23-25 2.4.1 IPv4协议分析 23-24 2.4.2 IPv6协议分析 24-25 2.5 基于协议分析的入侵检测原始数据过滤模型 25-28 2.6 基于协议分析的入侵检测原始数据过滤系统的实现问题 28-29 2.7 总结 29-30 第三章 基于专家系统的入侵检测告警过滤机制 30-41 3.1 基于专家系统的入侵检测告警过滤机制的设计 30-34 3.1.1 告警过滤在整个IDS中的位置 30-32 3.1.2 告警过滤系统模型 32-34 3.2 告警过滤流程 34-39 3.2.1 告警过滤总流程 34-35 3.2.2 各模块流程 35-39 3.3 总结 39-41 第四章 基于告警类关联的告警融合机制 41-57 4.1 告警类定义 41 4.2 告警融合算法 41-53 4.2.1 告警分类 41-46 4.2.2 告警关联 46-47 4.2.3 基本关联实例分析 47-48 4.2.4 IP欺骗实例分析 48-52 4.2.5 分布式拒绝服务攻击实例分析 52-53 4.3 态势评估 53-55 4.3.1 Dempster-Shafer证据理论 53-54 4.3.2 态势评估实例分析 54-55 4.4 结论 55-57 第五章 展望 57-58 参考文献 58-61 附录 61-62 致谢 62-63 攻读学位期间发表的学术论文目录 63
|
相似论文
- 基于主动方式的恶意代码检测技术研究,TP393.08
- 面向Gnutella和eMule网络拓扑测量和安全性分析,TP393.08
- 基于功能节点的无线传感器网络多对密钥管理协议研究,TP212.9
- 基于LEACH的安全建簇无线传感器网络路由协议研究,TP212.9
- 基于比对技术的非法网站探测系统的实现与研究,TP393.08
- 我国进境植物检疫专家系统开发,S41-30
- 基于行为可信的无线传感器网络入侵检测技术的研究,TP212.9
- 基于区域的无线传感器网络密钥管理方案研究,TP212.9
- 基于关联规则挖掘的入侵检测系统的研究与实现,TP393.08
- 我国保险公司保险网络营销研究,F724.6
- 基于机器学习的入侵检测系统研究,TP393.08
- 基于SE300的车削专家系统关键技术研究,TP182
- 基于VoIP的DDoS攻击源追踪技术的研究,TP393.08
- 基于因子分析和BP神经网络的风机状态诊断研究,F426.61
- 转炉炼钢终点指导系统的研究与设计,TF345
- 移动AdHoc网网的入侵检检:基于时时有限状状自动机方法,TN929.5
- 石化企业变电站操作票系统设计与实现,TP311.52
- 基于自相似分析的流媒体DDoS攻击检测方法研究,TP393.08
- 基于防火墙和三层交换机的校园网络安全策略研究,TP393.08
- 高速网络环境下的入侵检测系统的研究,TP393.08
- 无线传感器网络安全问题的研究,TN915.08
中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com
|