【摘要】：隨著計(jì)算網(wǎng)絡(luò)環(huán)境愈發(fā)復(fù)雜,海量數(shù)據(jù)下的傳統(tǒng)入侵檢測(cè)方法具有處理能力有限、單點(diǎn)失效等缺點(diǎn)。基于溯源圖和路徑的入侵檢測(cè)方法不適用于大數(shù)據(jù)環(huán)境下的流式數(shù)據(jù),溯源路徑過(guò)長(zhǎng)不僅會(huì)使檢測(cè)時(shí)間增加,還會(huì)導(dǎo)致檢測(cè)率下降以及誤報(bào)率上升。根據(jù)溯源模型對(duì)進(jìn)程和系統(tǒng)調(diào)用間的關(guān)系進(jìn)行了高度抽象,借此提取進(jìn)程特征并利用kNN(k-Nearest Neighbors,k近鄰)算法進(jìn)行檢測(cè)而無(wú)需整合溯源圖,從而提高大數(shù)據(jù)環(huán)境下處理流式數(shù)據(jù)的能力。方法對(duì)收集的溯源信息進(jìn)行預(yù)處理構(gòu)造測(cè)試集,減少溯源信息本身帶來(lái)的空間開(kāi)銷;針對(duì)分布式海量數(shù)據(jù)環(huán)境,利用Kafka消息分發(fā)系統(tǒng)進(jìn)行消息分發(fā),提高檢測(cè)效率;提出基于OPM-kNN的分布式入侵檢測(cè)方法,將分發(fā)的進(jìn)程特征與訓(xùn)練集的正常樣本進(jìn)行相似計(jì)算,提升檢測(cè)率降低誤報(bào)率;利用溯源圖的特性,對(duì)檢測(cè)異常的進(jìn)程進(jìn)行入侵路徑分析,得到漏洞來(lái)源。從測(cè)試結(jié)果來(lái)看,該方法比基于溯源圖和路徑的入侵檢測(cè)方法提升了0.4%~15%的準(zhǔn)確率,檢測(cè)時(shí)間減少了63%~71%;與基于溯源的滑動(dòng)窗口算法相比,提升了59%~80%的準(zhǔn)確率,檢測(cè)時(shí)間減少了98%。結(jié)果證明,該方法具有較好的檢測(cè)功能及較高的檢測(cè)性能,溯源信息的空間開(kāi)銷也在可接受范圍之內(nèi)。
【圖文】：

本章介紹方法設(shè)計(jì)中需要的一些相關(guān)技術(shù)，其中包含了溯源模型簡(jiǎn)介、溯源收集分析、入侵檢測(cè)技術(shù)及分布式架構(gòu)介紹。溯源收集架構(gòu)分析本節(jié)主要介紹本文使用的溯源收集架構(gòu)。1 OPM 開(kāi)放溯源模型溯源的概念最早出現(xiàn)在藝術(shù)品圖書(shū)館中，揭示了藝術(shù)品的來(lái)源并記錄了更改過(guò)]。經(jīng)過(guò)信息技術(shù)的發(fā)展，溯源被引申到計(jì)算機(jī)系統(tǒng)中，被用來(lái)描述一個(gè)數(shù)據(jù)對(duì)歷史操作。OPM（OpenProvenanceModel，開(kāi)放溯源模型），，由溯源研究協(xié)會(huì)于 年提出，用來(lái)定義溯源對(duì)象間的依賴關(guān)系，并旨在構(gòu)建溯源圖來(lái)描述溯源對(duì)象史操作[35]。溯源圖由多種節(jié)點(diǎn)和多種邊組成，構(gòu)成了一個(gè)有向無(wú)環(huán)圖，如圖 2-：

圖 2-2 SPADE 系統(tǒng)架構(gòu)圖.1.3 溯源信息的收集OPM 溯源模型中的節(jié)點(diǎn)主要分為三種，在 SPADE 中收集的不同類型節(jié)點(diǎn)具有同類型的屬性：Artifact（文件）對(duì)象：該類型代表著廣義上的文件，包含了文件系統(tǒng)中的實(shí)體文件、鏈接、文件夾、塊設(shè)備和字符設(shè)備等）、進(jìn)程間通信的實(shí)體（管道、套接字及套接字對(duì)等）、網(wǎng)絡(luò)通信的實(shí)體（網(wǎng)絡(luò)套接字）等類型。主要屬性包括文件路徑、問(wèn)權(quán)限、文件描述符以及更改時(shí)間等。對(duì)于網(wǎng)絡(luò)套接字等特殊類型，還具有源 IP址、源端口、目的 IP 地址和目的端口等屬性。若攻擊來(lái)源為網(wǎng)絡(luò)攻擊，利用 Artifact象不僅可以檢測(cè)本機(jī)的入侵活動(dòng)，還能追溯入侵的 IP 來(lái)源。Proces（s進(jìn)程）對(duì)象：該類型代表著執(zhí)行的進(jìn)程，主要屬性包括進(jìn)程名、進(jìn)程 ID、進(jìn)程 ID、開(kāi)始時(shí)間戳和最近活動(dòng)時(shí)間戳等。對(duì)于 execve 系統(tǒng)調(diào)用執(zhí)行的進(jìn)程，還錄有命令行參數(shù)等屬性。
【學(xué)位授予單位】：華中科技大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2019
【分類號(hào)】：TP393.08

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 劉文強(qiáng);鞏青歌;;基于云模型的分布式入侵檢測(cè)[J];微計(jì)算機(jī)信息;2010年27期

2 姜華斌;江文;謝冬青;;一種基于環(huán)形結(jié)構(gòu)的新型分布式入侵檢測(cè)模型[J];計(jì)算機(jī)工程;2005年23期

3 李立新,李勇,李昀;基于多傳感器數(shù)據(jù)融合與挖掘的分布式入侵檢測(cè)模型[J];河南師范大學(xué)學(xué)報(bào)(自然科學(xué)版);2005年01期

4 李艷芳;基于CORBA的分布式入侵檢測(cè)技術(shù)[J];零陵學(xué)院學(xué)報(bào);2004年11期

5 韓宏;盧顯良;;一種分布式入侵檢測(cè)系統(tǒng)構(gòu)架[J];計(jì)算機(jī)科學(xué);2001年09期

6 金麗;朱浩;;基于可信對(duì)等的分布式入侵檢測(cè)通信框架設(shè)計(jì)[J];計(jì)算機(jī)工程與設(shè)計(jì);2010年05期

7 張敏情;張玉梅;;基于數(shù)據(jù)挖掘的分布式入侵檢測(cè)算法[J];武警工程學(xué)院學(xué)報(bào);2009年02期

8 伍愛(ài)平;施月玲;丁宏;;分布式入侵檢測(cè)中的數(shù)據(jù)融合模型[J];計(jì)算機(jī)與數(shù)字工程;2007年04期

9 史志才;韓彥鐸;賈百奎;沈連山;;實(shí)現(xiàn)分布式入侵檢測(cè)的關(guān)鍵技術(shù)研究[J];大連大學(xué)學(xué)報(bào);2007年03期

10 王曉煜;基于遺傳算法的分布式入侵檢測(cè)模型研究[J];燕山大學(xué)學(xué)報(bào);2004年03期

相關(guān)會(huì)議論文 前9條

1 李二濤;;分布式入侵檢測(cè)技術(shù)在校園網(wǎng)中的應(yīng)用研究[A];全國(guó)第21屆計(jì)算機(jī)技術(shù)與應(yīng)用學(xué)術(shù)會(huì)議（CACIS·2010）暨全國(guó)第2屆安全關(guān)鍵技術(shù)與應(yīng)用學(xué)術(shù)會(huì)議論文集[C];2010年

2 王輝;邵佩英;;基于標(biāo)記的分布式入侵檢測(cè)方法與實(shí)施途徑[A];第十七屆全國(guó)數(shù)據(jù)庫(kù)學(xué)術(shù)會(huì)議論文集（研究報(bào)告篇）[C];2000年

3 李天智;孫海波;魏永紅;;分布式入侵檢測(cè)技術(shù)的實(shí)現(xiàn)[A];中國(guó)自動(dòng)化學(xué)會(huì)全國(guó)第九屆自動(dòng)化新技術(shù)學(xué)術(shù)交流會(huì)論文集[C];2004年

4 鄒瑩;李陶深;;基于資源的分布式入侵檢測(cè)系統(tǒng)模型研究[A];廣西計(jì)算機(jī)學(xué)會(huì)2004年學(xué)術(shù)年會(huì)論文集[C];2004年

5 李陶深;葛志輝;;一種基于智能代理的分布式入侵檢測(cè)系統(tǒng)設(shè)計(jì)[A];廣西計(jì)算機(jī)學(xué)會(huì)2005年學(xué)術(shù)年會(huì)論文集[C];2005年

6 杜曄;郭幽燕;;基于消息驅(qū)動(dòng)的分布式入侵檢測(cè)通信機(jī)制[A];2006年首屆ICT大會(huì)信息、知識(shí)、智能及其轉(zhuǎn)換理論第一次高峰論壇會(huì)議論文集[C];2006年

7 危輝平;陶宏才;;一種新的基于相關(guān)性的層次型分布式入侵檢測(cè)模型[A];四川省通信學(xué)會(huì)Ip應(yīng)用與增值電信技術(shù)會(huì)議論文集[C];2011年

8 張瑞武;夏靖波;羅峗騫;;一種基于Snort的分布式入侵檢測(cè)平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn)[A];第二十次全國(guó)計(jì)算機(jī)安全學(xué)術(shù)交流會(huì)論文集[C];2005年

9 張潔;李俊;付煥煥;;基于報(bào)警管理的分布式入侵檢測(cè)系統(tǒng)模型[A];中國(guó)電子學(xué)會(huì)第十七屆信息論學(xué)術(shù)年會(huì)論文集[C];2010年

相關(guān)重要報(bào)紙文章 前1條

1 朱毅　胡志敏;服務(wù)器政府采購(gòu)風(fēng)向標(biāo)[N];政府采購(gòu)信息報(bào);2007年

相關(guān)博士學(xué)位論文 前5條

1 陳波;基于對(duì)等協(xié)同的分布式入侵檢測(cè)系統(tǒng)模型研究[D];電子科技大學(xué);2006年

2 張?jiān)拦?基于代理的對(duì)等分布式入侵檢測(cè)系統(tǒng)研究[D];山東大學(xué);2006年

3 陳云芳;分布式入侵檢測(cè)系統(tǒng)關(guān)鍵技術(shù)研究[D];蘇州大學(xué);2008年

4 姜建國(guó);分布式入侵檢測(cè)系統(tǒng)與信息融合技術(shù)的研究與實(shí)踐[D];四川大學(xué);2003年

5 姚蘭;無(wú)線傳感器網(wǎng)絡(luò)中路由協(xié)議及其安全性研究[D];東北大學(xué);2008年

相關(guān)碩士學(xué)位論文 前10條

1 廖雪龍;基于OPM-kNN的分布式入侵檢測(cè)方法[D];華中科技大學(xué);2019年

2 安燕;分布式入侵檢測(cè)技術(shù)在電子商務(wù)中的應(yīng)用[D];河北工程大學(xué);2011年

3 杜巍;分布式入侵檢測(cè)系統(tǒng)關(guān)鍵技術(shù)的研究和實(shí)現(xiàn)[D];電子科技大學(xué);2017年

4 汪瑾;分布式入侵檢測(cè)系統(tǒng)關(guān)鍵技術(shù)研究[D];中北大學(xué);2009年

5 馬超;基于網(wǎng)絡(luò)的分布式入侵檢測(cè)及其通信協(xié)議研究[D];哈爾濱工業(yè)大學(xué);2008年

6 鄧志霞;分布式入侵檢測(cè)系統(tǒng)的研究與設(shè)計(jì)[D];汕頭大學(xué);2004年

7 顧恩超;基于關(guān)聯(lián)分析的分布式入侵檢測(cè)模型研究[D];華中科技大學(xué);2007年

8 蔡伯清;分布式入侵檢測(cè)系統(tǒng)節(jié)點(diǎn)聯(lián)動(dòng)算法研究[D];南京理工大學(xué);2008年

9 汪波;分布式入侵檢測(cè)系統(tǒng)組件間的通信[D];華中師范大學(xué);2003年

10 肖新華;一種基于對(duì)等網(wǎng)的分布式入侵檢測(cè)系統(tǒng)模型研究[D];中南大學(xué);2008年

本文編號(hào)：2671981