智能化威胁信息溯源关键技术分析分析.docx

学位论文版权使用授权书
本学位论文作者完全了解北京交通大学有关保留、使用学位论文的规定。特授权北京交通大学可以将学位论文的全部或部分内容编入有关数据库进行检索, 提供阅览服务,并采用影印、缩印或扫描等复制手段保存、汇编以供查阅和借阅。同意学校向国家有关部门或机构送交论文的复印件和磁盘。
(保密的学位论文在解密后适用本授权说明)
一躲坠氓鹇 导师签名:
签字日期:’。心年牛月加 签字日期:泸l#年眵月乙日
中图分类号: 学校代码:10004
UDC: 密级:公开
北京交通大学
硕士学位论文
智能化威胁信息溯源关键技术研究
Research on the Key Technology of Intelligent Threat Traceback
作者姓名:夏坤鹏 学 号:11120225
导师姓名:刘云 职 称:教授
学位类别:工学 学位级别:硕士
学科专业:信息网络与安全 研究方向:网络安全
北京交通大学 2014年3月
致谢
本论文的工作是在我的导师刘云老师的悉心指导下完成的,刘云老师严谨的治学态度和科学的工作方法给了我极大的帮助和影响,在此衷心感谢两年半来刘云老师对我的关心和指导。
在攻读硕士学位期间,刘云老师悉心指导我完成了实验室的科研工作,在学习上和生活上都给予了我很大的关心和帮助。在本论文的选题和写作过程中,刘云老师都提出了许多宝贵意见,在此向刘云老师表示最衷心的感谢。
在中国信息安全测评中心实习期间,信息资源处的领导和同事们在生活和科研上给我提供了很大的帮助,在此向他们表达我最诚挚的感谢。
在实验室科研及撰写论文期间,罗贵殉、单旭、金鑫磊、郑振龙、陈永波、刘桐欢等同学对我论文中对支持向量机的研究工作给予了热情帮助,在此向他们表达我由衷的感激之情。
另外也感谢我的父亲和母亲,他们的理解和支持使我能够在学校专心完成我
的学、也
Il
中文摘要
中文摘要
摘要:随着信息技术的迅速发展,基于互联网的网络威胁给人们的社会生活带来了重大挑战,为了给威胁信息溯源提供一些有效的思路和有益的参考,本文提出了一种基于入侵检测系统报警信息和rootkit的威胁溯源方法和基于SVM的入侵检测系统报警信息过滤方法,具体如下。
(1)基于入侵检测系统和rootkit的威胁溯源方法。本文研究了威胁信息溯源中的网络数据获取技术、威胁行为检测技术和m溯源技术,分析了现有威胁溯源方法的不足,提出了一种基于入侵检测系统报警信息和rootldt的威胁溯源方法。威胁溯源的关键是对攻击包的发现、记录和分析,在该方法中入侵检测系统负责发现和记录“肉鸡”向受害者发送的攻击包,rootkit通过对“肉鸡”进程以及会话的监控来获取攻击者和“肉鸡”之间的通信数据,并将监控结果及时回传给威胁分析服务器。威胁分析人员对威胁分析服务器上的数据进行时空相似性分析和知识库关联分析,并根据分析结果判断攻击者的真实位置。
(2)基于SVM的入侵检测系统报警信息过滤方法。本文提出的威胁溯源方法面临着一个技术难题,即现有入侵检测系统普遍存在的误警率过高问题。为了解决该难题,本文对入侵检测系统的报警过滤问题进行了分析研究,提出了一种利用支持向量机算法对入侵检测系统的报警信息进行过滤的方法。SVM分类器利用少数的支持向量来决定分类决策函数,解决了报警过滤时存在的小样本问题: 由于计算的复杂度取决于支持向量的个数,与报警数据的维数无关,解决了高维数据计算时存在的维数灾难问题:利用核函数将原输入空间的线性不可分数据映射为高维空间中的线性可分数据,解决了报警数据在原输入空间非线性的问题。基于SVM的入侵检测系统报警信息过滤方法由模型训练和数据预测两部分组成。模型训练包括解析命令行参数,读取训练样本,选择合适的惩罚系数、核函数和
核参数,统计样本种类和每类样本的数量,训练数据分组,利用序列最小优化算
法求解C-SVM分类器模型。数据预测包括读取报警数据和根据模型训练得出的 C-SVM分类器模型计算报警数据的决策值。理论分析和实验数据表明:在合理选择核函数、核参数和训练数据集的情况下,该方法可有效降低入侵检测系统的误警率。
本论文的工作得到了国家自然科学基金(,61271308)、北京市自然科学基金()、高等教育博士点基金()、北京科技计划()和北京市教育委员会学科建设与研究生建设项目等课题的支持。图29幅,表13个,参考文献68篇。
IIl
北京交通大学硕士学位论文
关键字:网络安全;威胁溯源;入侵检测;支持向量机分类号:
IV
丝兰坐兰!
ABSTRACT
network