基于日志分析的网络入侵检测系统研究

中南大学

硕士学位论文

基于日志分析的网络入侵检测系统研究

姓名：程暄

申请学位级别：硕士

专业：计算机软件与理论

指导教师：黄家林

20070417

硕士论文

ＩｆＸＯｏｆＰＯｉｎＴｏｔｈｅｎＡＩ锄ａｎｄＬｅｖｅｌａｎｄＡｃｔｉｏｎ

Ｐｏ代表事件模式，Ｘ０为ＴＯ时间段内Ｐ０发生数，Ａｌａｒｍ代表报警事件，Ｌｅｖｅｌ代表Ａｌａｒｍ的严重级别，Ａｃｔｉｏｎ＝［Ｌｏｇ，Ｂｅｅｐ，Ｅｍａｉｌ，Ｐａｇｅｒ，Ｏｐｅｒａｔｅ，】代表行为。

北京航空航天大学为了提高入侵检测的有效性，提出了一种二级决策报警过滤从而消除误报、滥报问题的方法川，并针对两种出现误报漏报的典型场景设计实现了一种基于报警缓冲池的报警优化过滤算法，并对算法进行了效率分析和实验，用实验证明该技术改善了检测效果。同济大学提出在获得了日志文件后，利用单向散列函数和消息鉴别码完成日志完整性和一致性保护，然后对日志进行分析，得出最后结果的一系列技术解决方案嘲。日志会告诉我们系统发生了什么。然而，日志记录增加过快，占用大量的磁盘空间，使系统管理员发现攻击或防止黑客行为变得困难。而标准的日志功能不能自动过滤和检查日志记录，并提供管理员所需要的信息。该文章采取算法对日志文件内容进行适当的过滤，将无用的信息过滤掉，缩小日志文件的大小。同时利用关键字，如ｍ地址、登陆时间登陆帐号和密码、操作行为将日志内容中的相关信息提取出来。在日志的传送方面，利用了单向散列函数和ＭＡＣ技术做了处理。保证了日志没有被篡改。该文章提出了如图ｌ－１的系统拓扑结构：并提出了基于内容的日志过滤与提取技术。

圈１－１系统的拓扑结构图

中国农业大学的齐建东提出了基于网络的异常入侵检测系统（ＮＡＩＤＳ）原型［２】，ＮＡＩＤＳ从一个新的角度将关联规则和分类技术应用到网络审计数据中以检测攻击行为，在关联规则的基础上，建立了动态和静态挖掘模式，对分类引擎进行了应用上的改进，从而使得ＮＡＩＤＳ系统具备一定的检测新类型攻击的能力。

第二章网络入侵行为的特征与分析

传统的网络安全设施如防火墙、入侵检测系统等，都是采取预先设定好的策略对网络安全性进行保护。防火墙策略决定了它仅仅能够作为网络边界的屏障，而不能代替整个的安全系统的作用。传统的基于入侵特征库的检测系统，仅仅能够被动地检测已知的安全入侵方式，对于未知的入侵方式的检测效果很差。即使具备了一定的异常模式判断的入侵检测系统，对于新的攻击模式的实际应用效果往往是误报率很高，结果不可信。本文提出了如图（２．１）的基于网络入侵行为特征的入侵防御模型。

图２－１入侵防御模型

在主动防御系统中，有２个关键的环节：一是威胁的确认，一是威胁的定位。前者从网络安全事件中挖掘并发现网络中的安全威胁：后者根据相关信息发现这个威胁在网络中的具体位置，并做出处理。

由于主动防御体系的响应模块判断威胁的条件必须很充分，否则，主动响应可能会对合法用户的形成一种新的攻击。我们可以从网络中各种安全设备搜集日志，得到相关的威胁信息，然后把威胁信息发往主动防御体系的响应模块。

主动防御系统要求我们将多种安全产品有机地结合起来构成一个动态的多层次的防御系统，系统各部分应能相互协调、协作形成一个整体，完成整个威胁响应生命周期的自动管理。