基于免疫机理的入侵检测系统的研究.ppt
《基于免疫机理的入侵检测系统的研究.ppt》由会员分享,可在线阅读,更多相关《基于免疫机理的入侵检测系统的研究.ppt(53页珍藏版)》请在三一办公上搜索。
1、安徽大学博士学位论文开 题 报 告,论文题目:基于免疫机理的入侵检测系统的研究研究方向:智能软件课题来源:安徽省高等学校自然科学基金“Snort入侵检测系统的研究与优化”(kj2007B242),Outline,Context of Network Security ProblemSignificance of Studying Intrusion Detection TechniqueAdvance in IDSAdvance in AIS and its application to computer securityMain research workStudy methodology
2、and notionInnovations and features of the dissertationReferences,1.Context of Network Security Problem,Context of Network security Problem,随着计算机网络技术的飞速发展,Internet逐渐成为整个社会基础设施之一。计算机信息系统安全的重要性日益突出。,Context of network security Problem,黑客攻击技术与病毒技术日趋融合,Context of network security Problem,攻击者需要的技能日趋下降,Con
3、text of network security Problem,传统的安全技术如Firewall,User Authentication,Authorization and Access Control技术不能对系统是否被真正入侵有任何保证,2.Significance of Studying Intrusion Detection Technique,美国国际互联网安全系统公司(ISS)提出的P2DR安全系统理论。,Significance of Studying Intrusion Detection Technique,Significance of Studying Intrusio
4、n Detection Technique,研究入侵检测技术具有巨大的市场价值。美国DARPA出资资助了一系列的入侵检测研究项目(如CDIS),日本、德国也都拨巨款开展信息安全的研究,中国也启动了国家863信息安全应急计划资助信息安全方面特别是入侵检测方面的研究工作。,Significance of Studying Intrusion Detection Technique,安全软件销售,Significance of Studying Intrusion Detection Technique,随着各种攻击手段的不断提高,网络流量持续增大,迫切要求新型的具有自学习和自适应能力的智能入侵检测
5、系统的出现,所以入侵检测技术的研究涉及到计算机、数据库、通信、网络、密码学和人工智能等综合知识,具有重要的理论研究意义。,Significance of Studying Intrusion Detection Technique,根据MIT Lincoln实验室对入侵检测系统的评估结果,以及当前商用入侵检测系统的使用情况调查,可以了解到当前的入侵检测系统在检测性能(如检测新型攻击能力)、自适应性、灵活性、分布式等多方面远远不能满足当前社会的需要。所以本论文主要是借鉴生物的自然免疫系统的特性,进行基于免疫机理的入侵检测系统的研究,以解决当前入侵检测系统的问题。,Significance of
6、Studying Intrusion Detection Technique,NIS是一个分布式的、具有自适应性和自学习能力的分类器,它通过学习、记忆和联想提取来解决识别和分类任务。IDS与自然免疫系统非常类似,这种类似主要表现在下面三方面:NIS与IDS的任务类似;NIS与IDS所处的环境类似;NIS与IDS所采用的检测方法类似。NIS对入侵检测技术在分布性、自适应性、多样性、联想记忆等方面的启示,吸引了很多计算机安全研究者和人工智能研究者。,3.Advance in IDS technique,Advance in IDS technique,入侵检测系统的数学描述:U:universe
7、set,S:normal/legitimate/acceptable pattern set(self set),N:anomalous/illegitimate/unacceptable pattern set(nonself set),SN=U,SN=IDS=(f,M),f is a nonlinear classification function,M is detection range of detection system,f:U*Unormal,anomalous,Nonself,Self,M,False positives,False negatives,U,Advance i
8、n IDS technique,1980 年James Anderson 在论文“计算机安全威胁监控与监视”中首次提出了入侵检测的概念 1987 年Dorothy Denning 发表了重要论文“入侵检测模型”S.Stanfod-Chen 等于1998 年提出了入侵检测通用框架CIDF(Common Intrusion Detection Framework)将软件构件理论应用到入侵检测系统中。,Advance in IDS technique,SRI 公司研究的基于专家系统的EMERALD 系统,它是一个广泛的基于专家系统的特征分析机,利用P-BEST 进行入侵特征推理。Purdue 大学C
9、ERIAS 研制的分布入侵检测系统AAFID,它是使用自治Agent 进行入侵检测的第一个框架结构。Columbia 大学的Wenke Lee 等人进行了实时环境下基于数据挖掘的入侵检测的研究。,Advance in IDS technique,Ghosh 等人于1999年利用神经网络来学习程序轨迹中的局部模式,这种方法与用户反复无常的更改其工作习惯无关,并能克服当恶意用户察觉到被检测时故意逐渐改变其行为,而使其入侵的行为被编码到正常的轮廓中去的缺点。Tim Bass 认为应当将数据融合的思想应用到入侵检测系统中去,他提出下一代入侵检测系统的输入应包括传感器数据、命令、已建立的数据库中的先验数
10、据,输出是对威胁源的身份估计、入侵的分类、速率估计等,并给出了初步的入侵检测数据融合信息流图。,Advance in IDS technique,国内许多大学和研究机构也投入了对入侵检测技术的研究,如中科院软件所提出的基于Agent的分布入侵检测系统模型框架、清华大学设计了基于SVM 分类机的入侵检测系统、北京航空大学提出的基于资源监视的入侵检测概念、西安电子科技大学提出的基于神经网络的入侵检测等等、东北大学对基于应用的高速网络入侵检测系统的研究,李之棠等人建立了一种基于模糊专家系统的入侵检测框架模型,将模糊证据理论引入到入侵检测中。,4.Advance in AIS and its appl
11、ication in computer security field,Advance in AIS and its application in computer security field,1990年,H.Bersini等人首次将免疫算法应用于求解问题。1991年,我国靳蕃等指出“免疫系统所具有的信息处理与肌体防卫功能,从工程角度来看,具有非常深远的意义”。1994年,Stephanie.Forrest等人将免疫算法用于计算机安全。90年代中期,J.Hunt 等人将免疫算法用于机器学习。,Advance in AIS and its application in computer secu
12、rity field,1996年12月,在日本举行了基于免疫系统的国际专题讨论会,首次提出了“人工免疫系统”的概念。90年代后半期开始,在国内,焦李成(西安电子科大)、王煦法(中国科大)、孟繁桢(天津大学)等人也提出了很多免疫算法。02年至今召开的国际会议有:International Conference on Artificial Immune Systems(ICARIS).Special Session on Artificial Immune Systems at the IEEE Congress on Evolutionary Computation(CEC)03年至今召开的国际
13、会议有:Special Track on Artificial Immune Systems at Genetic and Evolutionary Computation Conference(GECCO).Panelist on Biologically Inspired/Motivated Computational Modelsat International Joint Conference on Neural Networks(IJCNN)Offered tutorial on Immunological Computation at International Joint Con
14、ference on Artificial Intelligence(IJCAI),Advance in AIS and its application in computer security field,AIS方面重要的算法:(1)负选择算法(Negative Selection Algorithm,Forrest 1994)(2)免疫遗传算法(A Novel Genetic Algorithm Based on Immunity,Jiao 2000)(3)克隆选择算法(Clonal Selection Algorithm,Kim,de Castro presented)(4)免疫网络模型
15、(Immune Network Models.Timmis等的资源受限人工免疫系统(Resource Limited Artificial Immune System)和de Castro等的aiNet),Advance in AIS and its application in computer security field,将AIS应用于计算机安全领域的研究者:除了New Mexico大学的Forrest领导的团队研究AIS-Based computer security之外,2000年Kim等也提出他们的网络入侵检测模型。它包括主IDS(等效于胸腺或骨髓)和从IDS(等效于淋巴节点),主
16、IDS 负责生成检测器,而从IDS 执行检测。利用三种进化过程即基因库进化学习,阴性选择和克隆选择并通过网络相互合作以满足网络入侵检测系统分布、自组织和轻型的要求。一直从事建立一种入侵检测的人工免疫系统的研究的还有Dipankar Dasgupta(Memphis Univ.),他提出用基因搜索方法进化新型模式检测器,该模式检测器能够区分网络流量的异常程度。,5.Main study work,Main study work,一、在研究自然免疫系统的机制及其功能的基础上,建立一个完全是分布式的入侵检测系统模型,设计一个基于免疫机理的入侵检测系统的体系结构。该分布式模型是在不同的计算机上放置不同
17、的IDS,每个IDS有自己的基因库(Genes library),独立地进行基因库进化,每个IDS检测器群体独立地进行Clone selection。每个IDS有一个通信与协同组件(communicator),实现和其它计算机上的IDS的协同刺激(co-stimulation)。并计划从理论上证明该分布式模型具有可扩缩性(scalability)、鲁棒性(robustness)、自适应性(adaptability)。,Main study work,二、在以往文献的克隆选择算法中,关于检测器(抗体)亲和力进化,只用到了变异和选择算子,所以论文欲研究抗体进化的免疫算法,首次提出在该算法中增加了多
18、克隆算子(McAb Operator)和接种疫苗算子(Vaccination Operator),目的是产生的检测器具有多样性、特异性、自学习性,能检测未知攻击。,Main study work,三、在前面工作的基础之上,研究实现一个基于免疫机理的入侵检测系统,该检测系统不仅能检测网络层、传输层的攻击(IP探测、端口扫描、Dos攻击等),而且能检测应用层的攻击(如CGI、FTP、PHP注入漏洞攻击等)。在此过程中从理论上对检测率(detection rate)、漏检率(false positive error rate)、检测器覆盖(detector cover)、检测漏洞(detection
19、 hole)、检测器冗余进行分析。,Main study work,四、在NIS中,“自我”是指机体的自身组成成份;在IDS中,“自我”是指合法的、可接受的操作模式或网络连接模式。利用免疫原理进行入侵检测研究的一个基础就是自我集的构造,根据negative selection算法的思想,检测器的产生依据就是自我集。在目前的研究中,自我集的构造是静态的,未考虑其动态进化,而且构造方法主要是在假定自我集的构造阶段不存在入侵事件的基础上,通过观察来定义。另外,由于自我集的构造是静态的,导致构造的自我集具有不备性,因此,论文准备对更精确的自我集构造算法和进化算法进行研究,目的是提高IDS的整体性能。,
20、Main study work,五、在Forrest&Hofmeyr研究的LISYS系统中使用了协同信号,所采用的协同信号是由系统管理员所发送的确认是入侵的信号如电子邮件,其缺点是不能自动进行协同。这之后CDIS系统提供的协同信号是检测器与其它检测器一起交叉检验输入的数据包,直到多个检测器检测到攻击才产生报警,其缺点是如果一个IDS中的检测器群体中的个体相互匹配(相近)的话,仍然不能改进虚警率。因此,论文准备在自然免疫系统原理的基础上研究一种新的协同机制,来克服以上缺点并减少异常检测过程中虚警率。,6.Research methodology and thought,Research meth
21、od and thought,(1)构建LAN实验环境。安装Web,Ftp等服务器软件、安装黑客工具如Xscan,Smurf,Fluxay,teardrop,ping of death等。(2)数据收集。第一种方法是在广播式的LAN中或交换式的网络中(要求交换机有端口镜像功能)收集网络数据包,可以利用Winpcap for Windows或Libpcap for Unix/Linux的抓包库中的函数进行编程,从以太网卡获取原始的数据包。第二种方法是从MIT的Lincoln实验室下载入侵检测数据,包括training data set,test data set,real-time data s
22、et。,Research method and thought,(3)包头解析与特征提取。对于以上收集到的数据,对网络层和传输层数据只对包头进行解析,进行特征的选择和提取(如基本特征、统计特征、连接频率特征等)。对应用层的数据,根据RFC1700对包进行解析,提取连接频率、应用层包头、应用层包的内容等特征。检测特征的确定对后续的检测性能影响非常大,过多的检测特征不仅会占据大量资源,使得实时性难以保障,特征选取不充分,又会增加漏检而且并不一定能得到好的检测效果。而且自身群体和检测器群体中个体的结构是依据提取的特征的。,Research method and thought,(4)基因库的生成与进
23、化。(5)自身群体的生成与进化。(6)检测器(抗体)群体的生成、检测、免疫进化。检测器的结构与自身的结构是一样的,都是由若干个基因组成的。首先根据随机基因组合、基因重组成检测器(pre-detectors),然后通过negative selection算法生成成熟的检测器(mature detectors),组成这些成熟检测器的基因又被注册到基因库中。在检测网络流量数据的过程中(实际就是将每个检测器与网络流量数据进行匹配),对于亲和力(适应度)高的个体检测器执行Clonal selection算法和immune evolutionary算法进行增殖和进化,以产生更高亲和力的检测器,并能检测未知
24、的相似的攻击行为。,Research method and thought,(7)理论上分析检测率(detection rate)、漏检率(false positive error rate)、检测器覆盖(detector cover)、检测漏洞(detection hole)、检测器冗余等。(8)协同机制的实现。(9)实验结果、分析,检测结果与MIT入侵检测评估、与他人研究结果的比较。,7.Main innovation and features of dissertation,研究一个真正分布式的入侵检测模型,设计一个基于免疫机理的入侵检测系统的体系结构。实现一个能检测应用层攻击的基于免疫
25、机理的入侵检测系统。3.对更精确的自我集构造算法和进化算法进行研究,以提高IDS的整体性能。4.在研究自然免疫的协同刺激原理的基础上,研究一种新的协同机制来减少异常检测中的虚警。5.在检测器进化中提出了使用免疫进化算法,即引入了Vaccination Operator和McAb Operator。,References,References,http:/Taxonomy=%2fpr%2f5e3,2004CERT/CC Statistics 1998-2002.http:/www.cert.org/stats/,2003康勇建,姚京松,林鹏.“基于P2DR模型的银行计算机网络动态适应安全系统”.
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 基于 免疫 机理 入侵 检测 系统 研究
三一办公所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
题目外部(不同域之间)邮件收发.ppt题目外部(不同域之间)邮件收发.ppt
[交通运输]基于描述逻辑的IDS告警关联模型研究最终版.doc[交通运输]基于描述逻辑的IDS告警关联模型研究最终版.doc
网络入侵检测系统中相关技术的分析与研究本科毕业论文.doc网络入侵检测系统中相关技术的分析与研究本科毕业论文.doc
《入侵检测系统》PPT课件.ppt《入侵检测系统》PPT课件.ppt
九章防火墙与入侵检测.ppt九章防火墙与入侵检测.ppt
局域网安全与管理.ppt局域网安全与管理.ppt
防火墙与入侵检测.ppt防火墙与入侵检测.ppt
网络安全22入侵检测系统.ppt网络安全22入侵检测系统.ppt
网络系统安全网络安全防护ppt课件.pptx网络系统安全网络安全防护ppt课件.pptx
第五章、信息系统安全ppt课件.pptx第五章、信息系统安全ppt课件.pptx
链接地址:https://www.31ppt.com/p-6223713.html