基于网络的入侵检测系统数据包采样策略研究

doi:10.7523/j.issn.2095-6134.2006.4.016

中国科学院大学学报 ›› 2006, Vol. 23 ›› Issue (4): 534-542.DOI: 10.7523/j.issn.2095-6134.2006.4.016

基于网络的入侵检测系统数据包采样策略研究

王卫平; 朱卫未; 陈文惠; 梁樑

中国科学技术大学信息管理与决策系安徽合肥 230052

收稿日期:1900-01-01 修回日期:1900-01-01 发布日期:2006-07-15

An Analyse of Packet Sampling Strategy of Network-based Intrusion Detection System

WANG Wei-Ping, ZHU Wei-Wei, CHEN Wen-Hui, LIANG Liang

School of Management, University of Science & Technology of China, Hefei 230052 China

Received:1900-01-01 Revised:1900-01-01 Published:2006-07-15

摘要/Abstract

摘要： 入侵检测是信息安全研究的重要组成部分，基于网络的入侵检测系统通过详细分析计算机网络中传输的网络数据包进行入侵检测。由于检测速率与数据包采集速率不匹配，以及检测所需成本的限制，在收集用于检测的网络数据包时，必须选择有效的采样策略。本文引入博弈模型框架上的原始入侵数据包采样策略，在此基础上再进行分析和扩展。本文针对单一采样策略的缺陷与不足，引入风险管理的思想来分析在决策者不同效用偏好情况下的采样策略选择问题，并且通过具体的实例，说明了基于风险差异的采样策略选择的有效性。

关键词: 入侵检测、采样策略、博弈理论方法、风险管理

Abstract: Intrusion detection is an important part of the information security research, and the network-based intrusion detection system accomplish the detection by examine the network packets. Since sampling entails incurring network costs for real-time packet sampling and packet examination hardware, we would like to develop a network packet sampling strategy to effectively detect network intrusions while not exceeding the velocity of the packet examination. We consider this problem in a game theoretic framework and introduce sampling schemes that are optimal in this game theoretic setting by the Minimax theorem and the max-flow min-cut theorem. According to the limitation and scarcity of this single intrusion node method, We introduce a method of risk management and extend the solution to more complex cases to solve the choice of sampling strategy while facing more various environments. At last, we provide an empirical study to exemplify our improved method.

Key words: Intrusion detection, sampling strategy, game theoretic approach, risk management.

中图分类号:

TP393.08

王卫平; 朱卫未; 陈文惠; 梁樑. 基于网络的入侵检测系统数据包采样策略研究[J]. 中国科学院大学学报, 2006, 23(4): 534-542.

WANG Wei-Ping, ZHU Wei-Wei, CHEN Wen-Hui, LIANG Liang. An Analyse of Packet Sampling Strategy of Network-based Intrusion Detection System[J]. , 2006, 23(4): 534-542.

[1]	赖训飞, 梁旭文, 谢卓辰, 李宗旺. 基于实体嵌入和长短时记忆网络的入侵检测方法[J]. 中国科学院大学学报, 2020, 37(4): 553-561.
[2]	方喆君, 刘奇旭, 张玉清. Android应用软件功能泄露漏洞挖掘工具的设计与实现[J]. 中国科学院大学学报, 2015, 32(1): 127-135.
[3]	蔡权伟, 林璟锵, 荆继武, 尚铭. PKI应用系统互操作性检测工具的设计与实现[J]. 中国科学院大学学报, 2012, (6): 799-804.
[4]	刘涛, 聂晓峰, 荆继武, 王跃武. 基于小型对象分配技术的 GTNetS蠕虫仿真内存管理[J]. 中国科学院大学学报, 2012, 29(1): 131-135.
[5]	刘书明, 刘建伟, 毛剑. 一种改进的AODV安全路由协议[J]. 中国科学院大学学报, 2011, 28(6): 801-805.
[6]	杨晓晖, 赵鹏远, 石强, 田俊峰. 基于主观逻辑扩展的实体行为动态可信模型[J]. 中国科学院大学学报, 2011, 28(6): 818-825.
[7]	王鹏. 一个关于MAC伪随机性与不可伪造性的注记[J]. 中国科学院大学学报, 2010, 27(2): 263-266.
[8]	孔(王莹), 张玉清. 一种改进的网络可生存需求分析方法[J]. 中国科学院大学学报, 2009, 26(4): 555-562.
[9]	吴晶晶, 荆继武, 王跃武, 林璟锵, 刘怡聪. 真实应用环境下的PKI信任模型[J]. 中国科学院大学学报, 2009, 26(3): 389-399.
[10]	施妍冯登国赵险峰. 基于Gabor小波特征确认多媒体消息数字水印版权标识[J]. 中国科学院大学学报, 2007, 24(4): 494-500.
[11]	卢凤清，林东岱. 认证测试的一个扩展[J]. 中国科学院大学学报, 2007, 24(4): 488-493.
[12]	王大印; 林东岱; 吴文玲; 姜中华. XOR-MAC消息认证码的安全性新证明[J]. 中国科学院大学学报, 2006, 23(2): 257-262.
[13]	刘海蛟; 荆继武; 林璟锵; 杜皎. 一种入侵容忍的资料库[J]. 中国科学院大学学报, 2006, 23(1): 46-51.
[14]	莫燕, 张玉清, 李学干. SSL3.0基本握手协议的运行模式分析[J]. 中国科学院大学学报, 2005, 22(4): 511-517.
[15]	连一峰. 分布式入侵检测系统的协作交互研究[J]. 中国科学院大学学报, 2005, 22(2): 202-209.

基于网络的入侵检测系统数据包采样策略研究

An Analyse of Packet Sampling Strategy of Network-based Intrusion Detection System

PDF (PC)

可视化

摘要/Abstract

引用本文

使用本文

参考文献

相关文章 15

编辑推荐

Metrics

本文评价

访问统计

联系我们