IDS洪流報警報警過濾報警聚合報警關聯(lián)碩士論文_第1頁
IDS洪流報警報警過濾報警聚合報警關聯(lián)碩士論文_第2頁
IDS洪流報警報警過濾報警聚合報警關聯(lián)碩士論文_第3頁
IDS洪流報警報警過濾報警聚合報警關聯(lián)碩士論文_第4頁
IDS洪流報警報警過濾報警聚合報警關聯(lián)碩士論文_第5頁
全文預覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領

文檔簡介

1、基于屬性相似度的報警關聯(lián)系統(tǒng)的研究與實現(xiàn)通信與信息系統(tǒng), 2011, 碩士【摘要】 IDS(Intrusion Detection Systems)旨在檢測網(wǎng)絡入侵行為,當前的IDS普遍存在以下問題:1)洪流報警:普通的IDS每天幾乎能產(chǎn)生數(shù)百甚至上千的報警,報警中的大部分都是誤報警(false- negative)和重復報警;2)低級報警:大部分基于規(guī)則的IDS在工作的過程中,只要檢測到滿足某個特征的數(shù)據(jù)包便會產(chǎn)生報警,通過這些低級獨立的報警信息很難關聯(lián)和分析出攻擊者的意圖;3)報警獨立:IDS只能針對不同的攻擊產(chǎn)生相互獨立的報警,不能報告諸如DDOS和蠕蟲病毒等大范圍的攻擊。本文針對洪流報

2、警和低級報警問題進行了如下的研究:(1)對現(xiàn)有報警相似度計算方法進行了研究和對比分析,確定了IP地址,端口和報警類別相似度的計算方法,并對時間相似度算法進行了重點研究。通過實驗分析了報警之間時間相似度的變化趨勢及數(shù)學模型,給出了本文采用的時間相似度算法和參數(shù)的取值。這些相似度算法構(gòu)成了報警屬性相似度綜合算法的基礎模塊。(2)設計了基于屬性相似度的報警信息聚合關聯(lián)系統(tǒng),針對IDS存在的不同問題,采用不同的模塊予以處理,具體包括:采用報警過濾器來過濾重復報警;采用聚合器來關聯(lián)低級別的. 更多還原【Abstract】 IDS(Intrusion Detection Systems) aim

3、s at detecting network intrusion behaviors. For the present, the IDS have the following disadvantages:(1)Flood Alert: An ordinary IDS almost produces hundreds of alerts per day, and most of them are false-negative and repetitive alerts. (2)Primitive Alert: most rule-based IDS will produce alert as l

4、ong as certain packets was detected. With these primitive and individual alert information, it is hard to correlate and analyse the attackers intention. (3) Indepe. 更多還原 【關鍵詞】 IDS; 洪流報警; 報警過濾; 報警聚合; 報警關聯(lián); 【Key words】 IDS; Flood-Alerts; Alert-Filter; Alert-aggregation; Alert-correlation; 摘要 3-4

5、Abstract 4 第一章 緒論 7-13 1.1 研究背景 7-8 1.2 國內(nèi)外IDS 研究現(xiàn)狀 8-10 1.2.1 IDS 的發(fā)展 8-9 1.2.2 IDS 研究現(xiàn)狀 9-10 1.3 本文的研究內(nèi)容及組織結(jié)構(gòu) 10-13 1.3.1 本文研究內(nèi)容和意義 10-11 1.3.2 本文組織結(jié)構(gòu) 11-13 第二章 相關背景知識 13-27 2.1 入侵檢測技術(shù) 13-18 2.2 數(shù)據(jù)挖掘基礎 18-22 2.3 數(shù)據(jù)挖掘在入侵檢測系統(tǒng)當中的應用 22-24 2.4 常用的報警關聯(lián)方法 24-25 2.5 本章小結(jié) 25-27 第三章 報警屬性相似度研究 27-41 3.1 報警信息

6、的格式化 27-31 3.1.1 報警屬性的選取 29-30 3.1.2 報警之間的關系 30-31 3.1.3 聚合關聯(lián)中相關術(shù)語定義 31 3.2 報警相似度計算 31-35 3.2.1 全局相似度的計算 31-32 3.2.2 IP 地址相似度的計算 32-33 3.2.3 端口相似度的計算 33-34 3.2.4 報警類別相似度的計算 34 3.2.5 報警時間相似度的計算 34-35 3.3 時間相似度的研究 35-40 3.3.1 研究現(xiàn)狀與問題 35-36 3.3.2 參數(shù)選取的方法 36-38 3.3.3 分析與結(jié)論 38-40 3.4 本章小結(jié) 40-41 第四章 報警聚合關聯(lián)系統(tǒng)結(jié)構(gòu)設計 41-57 4.1 總體設計 41-45 4.1.1 總體結(jié)構(gòu) 41-42 4.1.2 報警關聯(lián)系統(tǒng)總體設計 42-45 4.2 模塊設計 45-55 4.2.1 報警過濾器的設計 45-48 4.2.2 報警聚合器的設計 48-52 4.2.3 報警關聯(lián)器的設計 52-55 4.3 本章小結(jié) 55-57 第五章 測試與結(jié)論 57-65 5.1 測試準備 57-59 5.1.1 測試環(huán)境介紹 57-58 5.1.2 測試數(shù)據(jù)的介紹 58-59 5.2 測試結(jié)果的分析 59-64 5.2.1 各模塊統(tǒng)計數(shù)據(jù)分析 59-60 5.2.2 對

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論