毕业设计-入侵检测-序章

 

      我选入侵检测系统作为选题，要实现怎样的目标，必须考虑到的因素有硬件设施，我对安全知识的掌握和距离答辩的时间。

      首先， 入侵检测系统有基于主机的IDS和基于网络的IDS。考虑到我只有自己一台机器，所以基于网络的入侵检测我是做不了了，只能做基于主机的IDS。

     其次， 入侵检测系统有着多种模型，按检测类型划分，IDS有误用/滥用检测和异常检测。下面简单介绍一下他们的方法及优缺点：

     1）误用/滥用检测

           方法： 首先要定义违背安全策略的事件的特征，如网络数据包的某些头信息。检测主要判别这类特征

           是否在所收集到的数据中出现。此方法非常类似杀毒软件。                   

           优缺点： 误报率低，漏报率高。

     2）异常检测：

           方法： 先定义一组系统“正常”情况的数值，如CPU利用率、内存利用率、文件校验和等（这类数据

           可以人为定义，也可以通过观察系统、并用统计的办法得出），然后将系统运行时的数值与所定义的

          “正常”情况比较，得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的“正常”情 

           况。 
           优缺点： 漏报率低，误报率高。

     综上所述， 两种检测技术的方法、有非常大的差异。

     基于异常的误用检测的技术核心是维护一个规则库。对于已知的攻击，它可以详细、准确的报告报告出攻击类型，但是对未知攻击却毫无办法，而且规则库必须不断更新。

     基于异常的检测技术则无法准确判别出攻击的手法，但它可以（至少在理论上可以）判别更广范、甚至未发觉的攻击。
　  如果条件允许，两者结合的检测会达到更好的效果。

     我想，我的条件还是允许的，所以我决定将二者结合。并将可能用到的算法如模式匹配算法，统计算法，加以创新。况且如果我不这么做，毕业设计是否能够通过怕是够悬。

     最后， 毕业设计要的就是创新点，而算法上的创新我的能力是十分有限的，因此总体上我想把我的入侵检测系统做成基于 免疫学的IDS ，这是一个新概念。没时间看贴近大自然的书就把自己的东西做得贴近大自然，这也是我的兴趣所在。