学位论文 > 优秀研究生学位论文题录展示
基于HMM模型的对于Snort入侵检测系统的研究与改进
作 者: 朱琳
导 师: 乔佩利
学 校: 哈尔滨理工大学
专 业: 计算机应用技术
关键词: 入侵检测系统Snort 异常检测 误用检测 隐马尔可夫模型 规则优化
分类号: TP393.08
类 型: 硕士论文
年 份: 2011年
下 载: 25次
引 用: 0次
阅 读: 论文下载
内容摘要
近些年来,威胁网络安全的事件屡屡发生,诸如杀毒软件、防火墙等传统的网络安全技术已经不能满足现在形势下的对于入侵防范的需求。入侵检测技术是当前网络安全发展的主要方向,但是,单一的异常入侵检测系统通常会带来较高的误报率和漏报率,而误用入侵检测系统往往对于未知的攻击类型不能够很好的进行识别。本文针对目前入侵检测技术的不足,在现有的Snort入侵检测系统的基础上,提出了基于隐马尔科可夫模型的改进的混合式入侵检测系统。首先,对于Snort入侵检测系统的结构体系和功能进行了详细分析,提出了若干种提高系统性能的改进方法。基于构建该系统使用了便于扩展的插件模式这一特征,分别对于预处理模块和规则链表进行改进,目的是提高系统工作效率。对于规则集采用了一种新的基于活跃度的优化算法,能够降低规则匹配所需的时间。其次,基于描述随机过程的隐马尔可夫模型的理论,制作了基于隐马尔可夫模型的学习模块和检测模块。将这两个模块以插件的形式作为预处理器,将经过Snort系统解码的数据包与通过使用正常数据训练学习模块获得的正常数据模型进行比对,将“正常”的数据包过滤掉,而将“异常”的数据包送往检测引擎进行误用检测。这种方法一方面可以减少系统检测时间,另一方面减少由于数据量大引起的丢包。最后,通过进行实验测试,验证了新的入侵检测系统与原有的采用单一的误用检测技术的系统相对比,用于数据检测的时间得到了显著的缩减。在降低入侵检测的误报率、漏报率和对未知攻击进行检测的方面,系统效率都有所提升。之后,讨论了目前该系统依然存在的不足之处,提出了进一步改进的构想。
|
全文目录
摘要 5-6 Abstract 6-10 第1章 绪论 10-16 1.1 引言 10 1.2 课题背景 10-12 1.3 国内外入侵检测研究现状 12-14 1.4 课题主要研究内容及章节安排 14-16 第2章 入侵检测技术研究 16-27 2.1 网络安全现状分析 16-19 2.2 入侵检测系统分析 19-20 2.3 入侵检测系统的分类 20-26 2.4 本章小结 26-27 第3章 Snort 系统工作分析及规则优化 27-36 3.1 Snort 入侵检测系统介绍 27-28 3.2 Snort 的体系结构 28-29 3.3 Snort 的工作流程 29-31 3.4 Snort 的规则 31-35 3.4.1 Snort 规则介绍 31-33 3.4.2 基于活跃度的Snort 规则优化方法 33-35 3.5 本章小结 35-36 第4章 基于HMM 模型的异常检测功能模块研究 36-48 4.1 HMM 模型算法研究 36-43 4.1.1 Markov 链的定义 36-37 4.1.2 HMM 模型 37-39 4.1.3 HMM 模型的三个问题 39-43 4.2 HMM 模块设计 43-47 4.2.1 HMM 模型的工作形式 43-45 4.2.2 HMM 模型学习模块的实现 45-46 4.2.3 HMM 模型检测模块的实现 46-47 4.3 本章小结 47-48 第5章 实验测试 48-54 5.1 概述 48 5.2 系统测试环境 48-51 5.3 编写实验程序 51 5.4 实验结果 51-53 5.4.1 测试规则优化方法 51-52 5.4.2 测试异常检测模块 52-53 5.5 本章小结 53-54 结论 54-56 参考文献 56-60 攻读硕士学位期间发表的学术论文 60-61 致谢 61
|
相似论文
- 基于核方法的高光谱图像异常检测算法研究,TP751
- 人工免疫分类和异常识别算法的改进,R392.1
- 交通视频中车辆异常行为检测及应用研究,TP391.41
- 一种多数据流聚类异常检测算法,TP311.13
- 基于投影寻踪回归的网络异常检测机制研究,TP393.08
- 无线传感器网络定位及目标跟踪的研究,TN929.5
- 高光谱图像异常目标检测,TP391.41
- 基于非参数统计高斯核函数特征量的网络流量异常检测方法,TP393.07
- EPC网络的RFID供应链数据异常检测研究,TP391.44
- 基于气味分析的设备异常检测方法研究,TB17
- 基于多核混合支持向量机的城市短时交通预测,U491.14
- 基于关联规则的数据库安全审计系统,TP311.13
- 基于C/S的气田巡井考勤睑测子系统的设计与实现,TP274
- NetFlow数据处理与异常检测研究,TP393.08
- 基于网络异常流量的突发毁击事件检测技术研究与应用,TP393.06
- 基于滑窗小波二叉树的网络异常检测与分析,TP393.08
- 支持异常行为检测的物理访问控制系统的设计与实现,TP393.08
- 基于卡尔曼滤波器的自适应网络异常检测方法,TN915.08
- 基于数据源优化的高光谱图像异常检测算法研究,TP751.1
- 基于SNMP的网络安全态势可视化技术,TP393.08
- 防火墙规则的异常检测及优化研究,TP393.08
中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com
|