| 【中文题名】 | Snort平台下检测插件技术的研究与实现 |
| 【英文题名】 | Researching and Implementation of Detection Plug-in on Snort |
| 【学科专业】 | 计算机软件与应用 |
| 【论文级别】 | 硕士论文 |
| 【投稿时间】 | 2005-7-7 |
| 【中关键词】 | 入侵检测,Snort,数据挖掘,频繁模式树,频繁项目表,拒绝服务攻击 |
| 【英关键词】 | Intrusion Detection,Snort,Data Mining,Frequent-mode-tree,frequent-itemset,DOS,sendmail, |
| 【分类导航】 | 工业技术>自动化技术、计算机技术>计算技术、计算机技术>计算机的应用>计算机网络>一般性问题 |
| 【论文摘要】 | 入侵检测就是发现或确定入侵行为的动作,它是一种信息识别与检测技术。Snort作为一种轻型入侵检测工具以其巧妙的插件式功能模块的管理方式,允许不同的用户根据自身特定的需求在Snort平台上实现具体的入侵检测。
如果从以数据为中心的观点看,入侵检测本身就是一个数据分析过程。在许多相关的领域,如欺诈检测和故障管理中,数据挖掘已经取得了成功的应用。于是,研究数据挖掘方法在入侵检测领域中的应用,自然就成为一个热门话题。
本文首先概要地介绍和分析了数据挖掘领域中频繁模式挖掘算法的实现、现状及面临的问题,在此基础上应用了频繁项目表的概念,并实现了一种有效的快速的频繁模式挖掘算法;利用此频繁模式挖掘算法对拒绝服务攻击的入侵检测插件通过对网络流量实时跟踪,检测出无可匹配特征的异常网络流量,进而发现黑客的扫描行动;通过研究Sendmail各进程中的系统调用号之间的关联关系,建立正常以及异常行为序列库,利用该频繁模式挖掘算法对各序列库进行频繁模式挖掘,以关联规则的形式获得能区分正常进程与异常进程的典型模式,继而找出所有满足置信度的分类规则,达到检测进程序列中的入侵行为的目的。 |
| 【论文题纲】 |
|
前言 |
6-8 |
|
第一章 系统安全与入侵检测 |
8-16 |
|
1.1 引言 |
8-9 |
|
1.2 入侵检测的概念 |
9-10 |
|
1.3 入侵检测的模型建立方法 |
10 |
|
1.4 入侵检测系统分类 |
10-14 |
|
1.4.1 基于主机的入侵检测系统 |
11-12 |
|
1.4.2 基于网络的入侵检测系统 |
12-14 |
|
1.5 入侵检测技术分类 |
14-16 |
|
第二章 剖析Snort |
16-24 |
|
2.1 Snort概述 |
16-20 |
|
2.1.1 检测引擎的设计 |
18-19 |
|
2.1.2 预处理程序的设计 |
19-20 |
|
2.2 基于Snort的网络入侵检测系统 |
20-23 |
|
2.2.1 基于Snort的入侵检测系统架构 |
20-22 |
|
2.2.2 基于Snort的入侵检测插件 |
22-23 |
|
2.3 小结 |
23-24 |
|
第三章 频繁模式挖掘算法的设计 |
24-40 |
|
3.1 引言 |
24-25 |
|
3.2 频繁模式挖掘研究 |
25-32 |
|
3.2.1 问题描述 |
25-26 |
|
3.2.2 常见的频繁模式挖掘算法 |
26-31 |
|
3.2.3 存在问题 |
31-32 |
|
3.3 FIBER算法 |
32-39 |
|
3.3.1 频繁模式树与频繁项目表 |
32-36 |
|
3.3.2 挖掘频繁模式 |
36-37 |
|
3.3.3 算法描述 |
37-39 |
|
3.4 小结 |
39-40 |
|
第四章 基于频繁模式挖掘算法的入侵检测插件 |
40-52 |
|
4.1 研究与实验环境 |
40-41 |
|
4.2 对拒绝服务攻击的入侵检测 |
41-44 |
|
4.2.1 设计目标 |
41-42 |
|
4.2.2 具体设计 |
42-44 |
|
4.3 Linux平台下对Sendmail攻击的入侵检测 |
44-51 |
|
4.3.1 检测对象的确定 |
44-45 |
|
4.3.2 数据源分析 |
45-47 |
|
4.3.3 与系统调用序列相关联的入侵分析 |
47-51 |
|
4.3 本章小结 |
51-52 |
|
第五章 总结与展望 |
52-54 |
|
5.1 全文总结 |
52 |
|
5.2 展望 |
52-54 |
|
参考文献 |
54-57 |
|
致谢 |
57 |
|
| 【DOI】 | LunWen.ID:2.2008.370649 |
