返回
基于用户行为的信息窃取预警系统的设计与实现

基于用户行为的信息窃取预警系统的设计与实现

ID:27287749

大小:4.12 MB

页数:153页

时间:2018-12-02

基于用户行为的信息窃取预警系统的设计与实现_第1页
基于用户行为的信息窃取预警系统的设计与实现_第2页
基于用户行为的信息窃取预警系统的设计与实现_第3页
基于用户行为的信息窃取预警系统的设计与实现_第4页
基于用户行为的信息窃取预警系统的设计与实现_第5页
资源描述:

《基于用户行为的信息窃取预警系统的设计与实现》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、·哈尔滨工业大学工程硕士学位论文密文方式,将数据传递给信息收集及预处理子系统,同时对格式化数据进行特征匹配,并根据匹配结果结合控制策略,对数据流进行相应处理[4-5];信息收集子系统将各客户端行为数据流经去噪声、归并等操作后输入数据库子系统;信息窃取行为分析挖掘子系统从数据库中提取数据并进行深度分析、关联挖掘等操作,获取可疑或非法行,对用户给出及时重要的预警,可以有效的保护用户的信息安全[6-8]。1.3国内外研究现状分析基于用户行为的信息窃取预警系统属于入侵检测系统的一种,入侵检测系统能够主动保护计算机信息不受非法窃取,是用户网络安

2、全的一种检测系统。基于用户行为的信息窃取预警系统是对每个人的计算机安全进行检测的一种入侵检测系统,它是实时检测的,能够发现即时的信息窃取隐患,同时可以有效的进行预警,防患信息窃取于未然。入侵检测系统作为一种安全运行机制,除了能够保护信息免于被窃取,还能够提供很多人性化的选择,构成一个以安全防御为主的系统使用辅助工具,越来越受到人们的重视和喜爱。提到入侵检测系统,本文很有必要对它的来源以及发展进行讲解,入侵检测系统的概念始于1980年,在一篇文章中第一次出现了它的明确定义,在报告中,JamesP.Anderson将计算机系统的存在的安全

3、隐患归为内部隐患,外部隐患和不法行为三个部分。这篇报告为入侵检测系统的设计和实现奠定了基础。在1988年,发生了举世闻名的蠕虫事件,它给人们带来了巨大的经济损失,但同时它大大的激发了人们对入侵检测系统的研究热情,给它的发展带来了积极的作用,入侵检测系统的发展大概经历了三个主要阶段:第一个阶段,这个阶段的入侵检测系统主要是在1983年和1984年,在这个阶段中,入侵检测尚处于早期阶段,由于技术和发展背景的限制,在这个阶段中,入侵检测的方法还停留在原始的通过将数据跟非法的数据流进行比较的方法。但是在这个阶段也出现了比较具有代表性的成果,一

4、个是1984年开发的实时入侵检测系统[7-9],另一个是分布式入侵检测系统[10],它们都很好的诠释了这个阶段的技术特点以及研究成果。第二个阶段,这个阶段的入侵检测系统主要是在90年代,在这个阶段的入侵检测系统较第一个阶段的入侵检测系统有了较大的改进,在这个阶段主要的研究技术脱离了特征匹配,而比较注重实时的入侵检测,主要是通过数据包的捕获、分析等技术来进行入侵的发现。在这一时期代表性的成果是Snort(1998年基于网络的入侵检测系统,它采用了误用检测技术,由于它存在于开放平台,发展迅速,-2-····哈尔滨工业大学工程硕士学位论文当

5、今已经是应用比较广泛的入侵检测系统之一[11-13])。第三个阶段,这个阶段的入侵检测技术主要是指21世纪以来的入侵检测技术,由于互联网的广泛发展,使人们越来越意识到入侵检测的必要性和时效性,因此入侵检测技术也有了较大的提高。主要通过异常分析和协议分析技术,将原来盲目的检测范围进一步缩小,提高了效率和准确性。在这个阶段的主要成果有NetworkICE、ISSRealSecure、NFR等[14-16]。为了对入侵检测系统进行很好的研究,除了对入侵检测的历史有一个大致的了解外,还需要将它的研究方法进一步划分归类。根据它具有的自身特性,可

6、以将系统进行有针对性的归类[17]。本文中主要从数据源和检测方法对对入侵检测系统进行分类。(1)基于数据源的分类。基于数据源,可以通过对捕获数据源的方式的不同,将研究的系统进行分类。主要分为以下两种类别,一个是基于目标计算机的全面的检测系统,一个是基于网络的全面的检测系统。基于目标计算机的入侵检测系统主要是计算机上生成的日志文件进行分析,为了能够得到精确的数据源,需要通过在主机上安装针对主机操作系统的软件进行设计日志的生成和分析,由于安装软件复杂度高,往往会对机器的运行产生负面影响,影响系统的使用[18-20]。基于网络的入侵检测系统

7、,主要是通过分析网络数据流,而为了捕获网络数据流,则需要监听网络端口,由于网络端口的捕获往往对系统产生的影响较小,不需要太多的资源占用,因此基于网络的入侵检测系统能够更好的适用于各种情况,获得很好的表现效果。本文将采用这种方法进行研究。(2)基于检测方法的分类。系统的检测方法主要是指通过何种方式分析出入侵行为,一种方法是判定用户的行为是否符合规律,即为异常检测;一种方法是判定用户的行为是否和非法行为特征匹配,即为误用检测。通常来说,异常检测是根据用户的使用情况来判断用户是否在正常的使用机器。为了判断异常行为,首先需要对用户的正常行为根

8、据访问的协议,时间,日期以及数据量和类别等行为特征来进行建模,通过已有的样本来断定用户的异常行为。因此异常检测常常是根据用户的行为习惯进行判定,但人的行为有时是无意识和发散的,导致往往误检率较高[21-24]。误用检测主

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。