一种基于二层贝叶斯网的网络入侵检测方法
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
侵检 测与 响应决 策 的实施较 为 困难. 因此 , 寻求 能 对 复杂 多变 的各 种 入 侵行 为信 息 进 行 快速 融 合 、 并 有效处 理 不确 定性 知识 的检 测 模 型及 方 法 , 一 直 是研究 者们 不懈 努力 的方 向. 贝叶斯 网是 目前 不确 定知识 表 达和 推理领 域 最 有效 的理论模 型之 一 , 用 于 不 确定 性 和 概 率 适
士报 警 ; 计分 析异 常行 为模 式 ; 统 评估 重要 系统 和 数 据 文件 的完 整性 ; 审计 、 跟踪 管 理操 作 系 统 , 识
别 用户 违反 安 全 策 略 的行 为【 .D 1 I S可 以 弥补 防 ] 火 墙 的不足 , 网络 安 全 提 供 实 时 的入 侵 检测 并 为
性 来 学 习 的 情况 下 , 测 效 果 仍 比较 好 . 检
关 键 词 : 层 贝 叶斯 网 ; 络入 侵 检 测 ; 确 定 性 推 理 二 网 不
中图法分类号 : TP3 3 0 9.7 DOI l . 9 3 j is . 0 6 2 2 . 0 0 0 . 4 : 0 3 6 /.s n 1 0 ~ 8 3 2 1 . 1 0 2
的检测 . 它通 过 收集 和 分 析计 算 机 网络 或计 算 机 系 统 中若 干关 键 点 的信 息 , 查 网络 或 系统 中是 检 否存 在违 反安 全 策 略 的行 为 和 被 攻击 的迹 象. 可
以把 I DS理 解 为 实 施 入 侵 检 测 安 全 措 施 的 计 算 机 系统 , 括 硬 软 件 系统 . 执 行 的 主 要 任 务 包 包 它
第 3 卷 第 1期 4
21 0 0年 2月
武 汉理 工大学 学 报 ( 交通 科学 与工 程版 )
J u n lo u a nv r i fTe h oo y o r a fW h n U ie st o c n lg y
( a s o tt n S in e 8 gn e ig Tr n p rai ce c LEn iern ) o
作为 实现 网络入 侵警 报与 响应拦 截 的关键 技 术 之 一 , 侵 检 测 系 统 (n rso eet n s s 入 itu in d tci y - o tm,D ) 于保 障用 户 数据 的安 全 与 隐私 、 证 e IS 对 保 用户计 算机 的安 全具 有重要 作用 . 但是 , 由于现 实
Vo1 4 No. .3 1 Fe b. 2 O 01
一
种基 于二 层 贝 叶斯 的 网络 人 侵 检 测 财 经 政 法 大学 信息 学 院 ” 武 汉 中 4 0 7 ) ( 州 电 子科 技 大 学计 算 机 学 院 3 0 0 杭 杭 州 3 0 1 ) 10 8
入侵 检测 (nr s nd tcin 是对 入侵 行为 itu i eet ) o o
收 稿 日期 : 0 9 l 一 1 2 0 一o 1
本文 所 要研究 和讨 论 的是 信 息 分析 这 一 步 ,
程 传 慧 ( 9 0 ) 女 , 士 , 师 , 要研 究 领 域 为 计 算 机 网络 18一 : 博 讲 主 湖 北 省 自然 科学 基 金项 目资 助 ( 准 号 :0 9 D 1 3 批 20C B 0)
器 (n lzr 和 用 户 接 口( s r nefc) 成 [ . a aye) u e trae 组 i 2 ]
入 侵检 测过 程可 分为 三部分 : 息收集 、 息 信 信
1 相 关 技 术
1 1 入 侵 检 测 .
分析 和结果 处理 . 三个步 骤 中 , 这 最重 要 的是信 息 分 析 与结果 处理 , 关 系 到 入侵 检测 的准 确 性 和 这 拦 截 响应 的决策效 果.
括 : 视 、 析 用户 及 系 统 活 动 ; 监 分 审计 系 统构 造 和 弱点 ; 别 、 映 已知 进 攻 的 活动 模 式 , 识 反 向相 关 人
网络 中存在 很多错 综 复杂 、 联耦 合 的相互关 系 , 关 并 存在 大量 的不 确定 因 素及 不 确 定 信息 , 使得 入
有 向图解 描述 , 具有 多源 信 息一 致表 达 与 信 息 融 合能 力 , 进行 双 向并 行推 理 , 能综 合先 验信 息 能 并 和样本 信息 , 使推 理结 果更 为准确 可信 . 如果 能把
贝叶斯 网应用 在入 侵检 测 中 , 是 非 常有意 义 的. 将
上讲 , 入侵 检测 系统 一般 由探 测器 (e sr 、 析 sn o ) 分
摘 要 : 出 了一 种 基 于二 层 贝 叶斯 网 的 网 络 入 侵 检 测 方 法 , 方 法 能 够 从 审 计 数 据 中 自动 学 习 知 提 该 识 生 成 入 侵 模 型 , 根 据 该 模 型检 测 入 侵 行 为 , 而 提 高 入 侵 检 测 系统 得 自适 应 性 和 可 移 植 性 , 并 从 降 低 系 统 的 误 报 率 和 误 检率 . 通 过 设 计 实 验 来 验 证 基 于 贝 叶 斯 网 的 入 侵 检 测 系 统 的性 能 , 验 数 并 实 据 采 用 K D c p1 9 D u 99年 的部 分 数 据 . 验 结 果 表 明 : 方 法 在 只 使 用 1 训 练 数 据 和 部 分 记 录属 实 该 O
采 取 相应 的防 护手 段 , 记 录证 据 、 踪 入侵 、 如 跟 恢
性 的知识 表达 和 推理 , 特别 适 用 于有 条件 地 依 赖
多种 控制 因素 的决 策 . 是 一 种 基 于 网络 结 构 的 它
复 或断 开 网络连接 等. I DS既能检 测非 经授权 而 使用 计算 机 系统 的 用户 ( ak r , 能 检 测那 些 虽 有 合 法 的权 限 但 h c e) 也 却 滥 用 系 统 的 用 户 (n ie h et . 功 能 逻 辑 is rt ra ) 从 d
士报 警 ; 计分 析异 常行 为模 式 ; 统 评估 重要 系统 和 数 据 文件 的完 整性 ; 审计 、 跟踪 管 理操 作 系 统 , 识
别 用户 违反 安 全 策 略 的行 为【 .D 1 I S可 以 弥补 防 ] 火 墙 的不足 , 网络 安 全 提 供 实 时 的入 侵 检测 并 为
性 来 学 习 的 情况 下 , 测 效 果 仍 比较 好 . 检
关 键 词 : 层 贝 叶斯 网 ; 络入 侵 检 测 ; 确 定 性 推 理 二 网 不
中图法分类号 : TP3 3 0 9.7 DOI l . 9 3 j is . 0 6 2 2 . 0 0 0 . 4 : 0 3 6 /.s n 1 0 ~ 8 3 2 1 . 1 0 2
的检测 . 它通 过 收集 和 分 析计 算 机 网络 或计 算 机 系 统 中若 干关 键 点 的信 息 , 查 网络 或 系统 中是 检 否存 在违 反安 全 策 略 的行 为 和 被 攻击 的迹 象. 可
以把 I DS理 解 为 实 施 入 侵 检 测 安 全 措 施 的 计 算 机 系统 , 括 硬 软 件 系统 . 执 行 的 主 要 任 务 包 包 它
第 3 卷 第 1期 4
21 0 0年 2月
武 汉理 工大学 学 报 ( 交通 科学 与工 程版 )
J u n lo u a nv r i fTe h oo y o r a fW h n U ie st o c n lg y
( a s o tt n S in e 8 gn e ig Tr n p rai ce c LEn iern ) o
作为 实现 网络入 侵警 报与 响应拦 截 的关键 技 术 之 一 , 侵 检 测 系 统 (n rso eet n s s 入 itu in d tci y - o tm,D ) 于保 障用 户 数据 的安 全 与 隐私 、 证 e IS 对 保 用户计 算机 的安 全具 有重要 作用 . 但是 , 由于现 实
Vo1 4 No. .3 1 Fe b. 2 O 01
一
种基 于二 层 贝 叶斯 的 网络 人 侵 检 测 财 经 政 法 大学 信息 学 院 ” 武 汉 中 4 0 7 ) ( 州 电 子科 技 大 学计 算 机 学 院 3 0 0 杭 杭 州 3 0 1 ) 10 8
入侵 检测 (nr s nd tcin 是对 入侵 行为 itu i eet ) o o
收 稿 日期 : 0 9 l 一 1 2 0 一o 1
本文 所 要研究 和讨 论 的是 信 息 分析 这 一 步 ,
程 传 慧 ( 9 0 ) 女 , 士 , 师 , 要研 究 领 域 为 计 算 机 网络 18一 : 博 讲 主 湖 北 省 自然 科学 基 金项 目资 助 ( 准 号 :0 9 D 1 3 批 20C B 0)
器 (n lzr 和 用 户 接 口( s r nefc) 成 [ . a aye) u e trae 组 i 2 ]
入 侵检 测过 程可 分为 三部分 : 息收集 、 息 信 信
1 相 关 技 术
1 1 入 侵 检 测 .
分析 和结果 处理 . 三个步 骤 中 , 这 最重 要 的是信 息 分 析 与结果 处理 , 关 系 到 入侵 检测 的准 确 性 和 这 拦 截 响应 的决策效 果.
括 : 视 、 析 用户 及 系 统 活 动 ; 监 分 审计 系 统构 造 和 弱点 ; 别 、 映 已知 进 攻 的 活动 模 式 , 识 反 向相 关 人
网络 中存在 很多错 综 复杂 、 联耦 合 的相互关 系 , 关 并 存在 大量 的不 确定 因 素及 不 确 定 信息 , 使得 入
有 向图解 描述 , 具有 多源 信 息一 致表 达 与 信 息 融 合能 力 , 进行 双 向并 行推 理 , 能综 合先 验信 息 能 并 和样本 信息 , 使推 理结 果更 为准确 可信 . 如果 能把
贝叶斯 网应用 在入 侵检 测 中 , 是 非 常有意 义 的. 将
上讲 , 入侵 检测 系统 一般 由探 测器 (e sr 、 析 sn o ) 分
摘 要 : 出 了一 种 基 于二 层 贝 叶斯 网 的 网 络 入 侵 检 测 方 法 , 方 法 能 够 从 审 计 数 据 中 自动 学 习 知 提 该 识 生 成 入 侵 模 型 , 根 据 该 模 型检 测 入 侵 行 为 , 而 提 高 入 侵 检 测 系统 得 自适 应 性 和 可 移 植 性 , 并 从 降 低 系 统 的 误 报 率 和 误 检率 . 通 过 设 计 实 验 来 验 证 基 于 贝 叶 斯 网 的 入 侵 检 测 系 统 的性 能 , 验 数 并 实 据 采 用 K D c p1 9 D u 99年 的部 分 数 据 . 验 结 果 表 明 : 方 法 在 只 使 用 1 训 练 数 据 和 部 分 记 录属 实 该 O
采 取 相应 的防 护手 段 , 记 录证 据 、 踪 入侵 、 如 跟 恢
性 的知识 表达 和 推理 , 特别 适 用 于有 条件 地 依 赖
多种 控制 因素 的决 策 . 是 一 种 基 于 网络 结 构 的 它
复 或断 开 网络连接 等. I DS既能检 测非 经授权 而 使用 计算 机 系统 的 用户 ( ak r , 能 检 测那 些 虽 有 合 法 的权 限 但 h c e) 也 却 滥 用 系 统 的 用 户 (n ie h et . 功 能 逻 辑 is rt ra ) 从 d