（系统分析与集成专业论文）自稳定型入侵检测响应系统.pdf

山东大学硕士学位论文 摘要 随着网络带宽的快速增加，一般入侵检测系统产生的大量警告信息已经成为 另外一种管理上的负担，使得从警告信息产生到管理者进行处理该警告信息的时 间差越来越大而入侵者有更多的时间从系统的弱点进行入侵以及破坏因此要 保护电脑系统的安全，本论文研究的问题是除了入侵检测外，我们还要增加自动 响应的机制针对已经产生的入侵警告信息做出及时的反应也就是一种自动的根 据入侵检测的报告将防火墙的安全策略进行调整的系统 现阶段的入侵检测自动防御系统主要都是将目标放在如何更准确的从大量 警告信息当中过滤出真正的入侵，而自身的自动响应机制完全依赖于入侵检测的 结果，然而入侵检测却存在错误报警的可能性，因此改进提升响应能力是一个值 得研究的课题，所以本论文研究的意义在于不论对于普通用户或者其他用户实现 本系统将会带来入侵检测防御效率的提高。 当前国内外关于自动响应机制都使用固定的响应策略来针对已知的攻击做 出响应，但是当响应策略不能阻止该攻击或是响应策略过于严格则都会造成系统 负担，这些情况都需要纠正，自稳定系统的研究目标是将自稳定的特性加入以防 火墙为基础的响应机制，一方面使防火墙的策略实施具有弹性，另一方面可以通 过剔除不恰当的防火墙策略来降低防火墙的负担，这就是本论文的主要研究工 作。 依据以上事实，本论文的创新在于设计一种能够自稳定型入侵检测响应系 统，目标是使系统能够修正错误的防火墙策略，能够实现自稳定的响应能力。 在读研究生期间我所做的科研工作有：对浪潮网泰系列防火墙的研究，针 对防火墙策略动态调整方面进行的大量的研究和实验。配合其他研究人员对网泰 系列防火墙向n p 架构升级做了可行性的研究。 关键词：自动响应；入侵检测；防火墙策略 5 山东大学硕士学位论文 险的环境之中，而过度的响应策略虽能有效的保护系统的安全，但也阻挡了合法 的使用者，对于提供特定服务用途的主机造成变相的阻断式攻击。警报有检测到 但是试误判所产生相对应错误的回应策略都属于过度的响应策略，阻挡合法使用 者的进入，对系统产生阻断式攻击的效果。以上这些需修正的响应策略都应该要 有一套完整的回馈机制来进行自我修复，维持系统响应策略实施的正确性。 2 2 1 自我稳定修复功能 早期c h 以及y 锄g 设计了一套入侵检测自动响应系统，其自动响应的部 份是凭借入侵警报对应到已经编辑好的自动应答表格，来找出相对应的回应策略 来执行。响应策略的施行则是给予时间生命周期，生命周期结束则该响应策略究 自动消失。对于时间生命周期的设定若是太短，则会让系统暴露于攻击之中，若 是时间生命周期设定太长，则当错误的响应策略产生，在其生命周期结束之前都 变成在阻挡合法的使用者进入。于是入侵检测自动响应系统需要有自我稳定修复 的功能。需要一个自我稳定的行程来检查并且让这些错误的响应策略在短时何内 被发现，以及修复来降低响应策略错误所引发的变相攻击。 i n t r u s i o n1 ： a 湘1 触i v e7 y e s n o t h r e s h 0 i d d u r a t i o n t r a n s 嘲o n a 髓b n 2 a c t i