基于模型檢測的入侵檢測基準測試平臺研究.pdf

1、隨著網(wǎng)絡安全的威脅來源和攻擊手段不斷變化，為了對不斷變化的攻擊手段實施檢測，基于模型檢測的共性技術被應用于入侵檢測當中，并被已有的研究證實是能夠檢測復雜攻擊的入侵檢測系統(tǒng)，因此該技術一經(jīng)提出，即獲得了國內外學者的廣泛關注，并形成了一類基于模型檢測的入侵檢測算法。然而，仍存在若干問題亟待解決。一方面，對于一些常見攻擊類型，該類算法的檢測能力如何，目前尚未可知。另一方面，當前評估入侵檢測算法性能的常用數(shù)據(jù)集是KDD CUP，由于提取數(shù)據(jù)特征

2、的方式不同，該數(shù)據(jù)集不適用于面向“行為”的入侵檢測算法實施評估，而基于模型檢測的入侵檢測算法恰恰是根據(jù)攻擊“行為”的特征實施檢測。因此，我們迫切需要一種面向行為的數(shù)據(jù)集，從而可以在同一個平臺上針對已有的或者未來的基于模型檢測的入侵檢測算法實施性能測評，這就是本文擬研究解決的問題。
　　首先，針對22種常見攻擊類型進行分析，根據(jù)其原理提取關鍵攻擊動作序列，獲得其公式模型。其次，在KDDCUP一定的樣本空間內，隨機選取大量的面向連接的

3、攻擊記錄與正常記錄。然后，面向連接映射到面向行為，獲得由大量的基于行為的攻擊記錄與正常記錄組成的數(shù)據(jù)集，由于該數(shù)據(jù)集的構建過程與任何算法均無關，因而，可對面向行為的入侵檢測算法（類）實施獨立測評。最后，使用該平臺對3種基于模型檢測的入侵檢測算法和22種類型攻擊實施檢測，表明了不同算法相對于不同類型攻擊的檢測能力。
　　仿真結果證實：所構建的測試平臺可有效地評測基于模型檢測的入侵檢測算法（類）；獲得的算法與攻擊類型的相對檢測能力可為