论文.docx
《论文.docx》由会员分享,可在线阅读,更多相关《论文.docx(82页珍藏版)》请在冰豆网上搜索。
论文
大学
UNIVERSITYOFELECTRONICSCIENCEANDTECHNOLOGYOFCHINA
硕士学位论文
MASTERDISSERTATION
(电子科技大学图标)
论文题目基于用户行为分析与识别的数据库入侵检测系统的研究
学科专业软件工程
学号
作者姓名
分类号密级
UDC注1
学位论文
基于用户行为分析与识别的数据库入侵检测系统的研究
指导教师教授
(姓名、职称、单位名称)
申请学位级别工程硕士学科专业软件工程
提交论文日期论文答辩日期
学位授予单位和日期
答辩委员会主席
评阅人
注1:
注明《国际十进分类法UDC》的类号。
IntrusionDetectionSystemofDatabaseBasedonUserBehaviorofAnalysisandIdentification
AMasterDissertationSubmittedto
UniversityofElectronicScienceandTechnologyofChina
Major:
SoftwareEngineering
Author:
ChenDaPeng
Advisor:
Prof.ZhengWenFeng
School:
CollegeofAutomationEngineering
独创性声明
本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的研究成果。
据我所知,除了文中特别加以标注和致谢的地方外,论文中不包含其他人已经发表或撰写过的研究成果,也不包含为获得电子科技大学或其它教育机构的学位或证书而使用过的材料。
与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示谢意。
作者签名:
日期:
年月日
论文使用授权
本学位论文作者完全了解电子科技大学有关保留、使用学位论文的规定,有权保留并向国家有关部门或机构送交论文的复印件和磁盘,允许论文被查阅和借阅。
本人授权电子科技大学可以将学位论文的全部或部分内容编入有关数据库进行检索,可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。
(保密的学位论文在解密后应遵守此规定)
作者签名:
导师签名:
日期:
年月日
摘要
互联网设备的更新、互联网技术的迅速发展以及互联网资费的降低促进了互联网的广泛应用,并不断改变人们的生产生活方式。
但是互联网广泛使用也带来的网络安全问题,随着网络入侵人员的知识背景,技术手段和协同入侵等新特征出现,网络安全问题正逐渐成为互联网数据与资源的最大威胁。
因此,近十年网络入侵检测理论与技术研究日趋活跃。
本文提出基于网络用户行为分析与识别的数据库入侵检测系统研究。
通过对网络数据库用户行为数据集分析,得到网络数据库用户行为的短时随机性分布,长时间的不变性分布规律。
本文的主要工作是在深入研究网络用户行为和传统数据库安全理论的基础上,针对各种网络安全的问题,探索一条基于神经网络算法在数据库网络用户行为入侵检测上的应用。
该算法主要从如下几点完成创新探索。
1.生物视觉的慢变性特征引入到本系统用户行为分析与表达上,有效揭示了用户网络行为的慢变性规律。
2.以BP神经网络为核心的双引擎预警和人为干预方法的有效结合。
3.ICA算法消除数据的相关性与冗余,提高了BP算法的训练效果。
4.前后台数据的动态训练与更新技术,实现了BP网络的自适应性。
5.提出适合本文的双引擎的入侵模式。
6.C#与Matlab编程的在本项目的有效结合,提高了开发速度。
关键词:
入侵检测,独立成分分析,慢变性,动态数据更新,BP神经网络
ABSTRACT
WiththerapiddevelopmentofInternettechnologyandinternetdeviceandtherapidreducingofInternettariffs,theInternetisusedwidely.theInternetischangingthemodelsofpeople'sproductionandlife.ButwidespreadapplicationoftheInternetalsobringsnetworksecurityissues.Thebackgroundofknowledge、technicalmeansandcollaborativeworkingofintrusionmadethatthenetworksecurityissuesarebecomingthebiggestthreattoInternetdataandresources.Thus,inrecentyearsthenetworkintrusiondetectiontheoryandtechnologyarebecomingincreasinglyactive.theintrusiondetectionsystemofthedatabasebasedontheanalysisofuserbehavioranalysisandrecognitionand.byanalysisinguserbehaviordatasetofnetworkdatabase.thearticlerevealstherandomdistributionofnetworkdatabaseuserbehaviors.
Themainworkofthearticle:
explorethatBPnetworkimprovedbasedonintelligentalgorithmsappliedatthesystemintrusiondetectionbasedonthebehaviorofInternetusersinthedatabase.Thealgorithmiscompletedinnovativeexplorationfromthefollowingpoints.
1.Theslowvariabilitycharacteristicofbiologicalvisualsystemisintroducedtotheanalysisofuserbehaviorandexpression,thenounrevealstheslowdegenerationofthelawofusernetworkbehavior.
2.Thetwin-enginewarningbasedonBPneuralnetworkandhumaninterventionmethodsiscombined.
3.ThecorrelationandredundancyofrecordsiseliminatedwithICAalgorithmtoimprovethetrainingeffectBPalgorithm.
4.Thedynamictrainingandupdatingtechnologyfrontandbackdataisusedtoachieveaself-adaptiveBPnetwork.
5.Thispaperproposedasuitabletwin-engineintrusiondetectionmode.
6.TheC#andMatlabprogrammingisIntegratedtoimprovethespeedofdevelopmentoftheproject.
Keywords:
Intrusion-detectionsystem,IndependentComponentAnalysis),TheslowVariability,DynamicDataUpdate,BackPropagationofArtificialNeuralNetwroks
目录
第一章绪论1
1.1研究背景与意义1
1.2研究动态2
1.3研究应用和价值5
1.4研究内容与创新6
1.5论文组织安排6
第二章系统原理与模型8
2.1系统定义与功能8
2.2系统原理与模型9
2.3系统实现方法12
2.3.1体系结构划分法12
2.3.2检测方法划分法13
2.4系统技术方法17
2.5系统问题与发展19
2.5.1系统问题19
2.5.2系统发展20
2.6本章小结21
第三章系统设计23
3.1系统功能设计23
3.1.1系统整体架构23
3.1.2系统主要功能图24
3.2系统功能流程设计29
3.2.1BP神经网络算法29
3.2.2动、静态数据预处理31
3.2.3算法参数调整32
3.2.4规则数据添加34
3.3系统ER图设计35
3.3.1系统用户36
3.3.2专家规则36
3.4数据库表设计37
3.5本章小结40
第四章系统开发与实现41
4.1系统实现平台41
4.2系统的主界面42
4.2.1系统登录窗口实现42
4.2.2系统主界面实现43
4.3BP神经网络算法的实现45
4.3.1神经网络逼近函数实现46
4.3.2神经网络性能曲线46
4.3.3数据预处理函数47
4.3.4学习方法对算法的影响48
4.4专家规则的添加与显示实现49
4.41专家规则添加49
4.4.2专家规则显示50
4.5专家规则导出功能的实现50
4.6数据采集功能的实现52
4.7本章小结54
第五章系统测试56
5.1系统测试的目的56
5.2系统测试方法56
5.3系统测试步骤57
5.4本系统测试58
5.4.1专家系统测试58
5.4.2算法测试63
5.5本章小结65
第六章总结与展望67
6.1总结67
6.2展望68
致谢69
参考文献70
第一章绪论
互联网设备的更新、互联网技术的迅速发展以及互联网资费的降低,人们可以通过各种硬件设备和访问方式,在不同的时间地点访问互联网。
随着3G/4G网络的运营,手机技术的发展,手机访问也成为重要的网络访问方式。
网络信息的多样化,网络资源共享化正在逐步改变人们的生活与工作方式,提高人们的工作效率。
1.1研究背景与意义
2014年中国互联网络信息中心发布了新一期的《国家互联网发展状况统计报告》[1],报告中指出,截止到2014年6月底,我国网民规模进一步增加,互联网普及率也保持了一定的增长。
上网设备中,手机的使用率首次超过传统PC使用率,手机成为为第一大上网终端设备。
同时,手机在电子商务、信息沟通、休闲游戏、日常通讯等方面都取得了较快的发展。
网络正在深刻的改变人们的生活和工作方式。
越来越多的个人、企业和政府参与到互联网进行数据获取与数据交换,给国家和企业带来的巨大的社会和经济效益。
网络的发展是一把双刃剑,带来利益的同时也带来了安全隐患。
2014年初,中国互联网协会、国家互联网应急中心联合公布了《中国互联网站发展状况及安全报告》。
报告中指出,目前我国完整安全问题十分严峻,受国外的网络攻击和网络控制明显增多,已经成为网络安全问题的受害者。
2013年被篡改的网站数量达到24000多个,较上一年大幅增加了五成;在网站被植入后门情况上,2013年全年共76000多个网站,其中包括政府网站2500个;在钓鱼网站方面,发现了约30000个假冒或仿冒IP地址。
随着我国信息化进程的推进,互联网和网络数据业务的飞速发展,越来越多的政府和企业将自己的业务转移到网络上,在获得巨大收益的同时,也伴随着网络实时入侵的风险。
现代网络入侵的出现了新的特征:
网络环境复杂化,攻击手段多样化,攻击人员素质专业化,数据破坏极大化。
面对新的网络入侵手段,对传统数据库与数据安全机制提出了新的要求和挑战。
据统计,数据库安全问题近70%来自数据库系统内部[2]。
即数据库系统授权用户没有按照自身授权进行数据操作,而是跨越权限篡改或破坏数据。
由于此类安全问题发生在系统集团内部,因此,对数据库的危害极大,并且传统的入侵检测方法和数据库安全规则都不能有效防御这些问题,即使一些防火墙软硬件也无法实时检测内部入侵。
传统的数据安全模型是上个世纪70年代提出的,并且得到较好发展。
到目前为止,在数据库上实现的安全策略基本上没有变化,仍旧为访问控制、用户认证、审计和加密存储。
安全审计的任务是对用户已经完成的行为,给予回追式的分析,并对该行为的结果给出最终评价[3]。
这些安全机制在数据库管理上取得了较好成绩,但是面对高素质攻击人员、多样化攻击手段和复杂的网络环境,这些安全机制将无法实时监测入侵行为,保护数据库与数据的安全。
数据库传统安全机制具有较全面的记录功能,能够对用户进行实时操作监视、行为跟踪和行为审查。
随时记录和判定用户的操作行为是否正常、是否合法,及时发现异常和非法的攻击行为,记录攻击行为的责任者、攻击行为的时间、攻击行为的具体内容,并形成安全日志。
数据库安全审计在数据库遭受工具后,能够对用户的异常行为进行分析,找到其中的原因,从而找到系统现有问题,为提高数据库的安全性提供数据支撑和实施方法。
数据库安全审计在受到攻击行为后,能够根据记录的数据重演攻击行为的全过程,从而帮助数据库管理人员找到数据库被攻击的方式和被破坏的数据,并进行数据的修复。
多样性的网络共享资源受到惟一性的数据库的服务器端支持;互联网的迅速发展与广泛应用,带来诸多网络安全问题,其中以网络访问为主要攻击手段的网络数据库的安全问题异常突出,已经成为当前必须解决的问题。
因此研究一个高效可靠的网络安全的入侵检测系统IDS成为当前网络研究热点。
1.2研究动态
现阶段,个人用户、企业用户和政府都是通过防火墙或数据安全机制来实现入侵检测。
但是在复杂网络环境、多样化攻击手段和专业化入侵人员的情况下,现有防火墙技术和数据安全机制有效处理入侵检测问题,尤其是不能对入侵行为进行动态预测,实现实时入侵预警,在第一时间内切断入侵,保护用户数据,降低入侵带来的损失。
虽然传统数据库安全机制不能完全检测现代入侵,但是其有效的数据库安全日志,却能提供过去一段时间内详实的系统内部与外部用户数据访问行为,能否通过智能算法提取用户的实时数据特征,并按时间段组织成时间-行为特征数据库,依据这个时间-行为特征数据库结合先进的分类算法构造实时行为分析模型,对入侵检测进行实时预警,并自动给出处理方案。
大量文献显示,目前国内外数据库安全审计方面的研究主要集中在如下几个领域[4、5]。
1、审计数据源
获取审计数据源是进行其他操作的前提,目前阶段,审计数据源的获取途径包括数据库安全日志以及审计记录。
审计数据源实时地跟踪、记录用户在数据库上的行为。
采取适当的算法,依据审计数据源应该能够再现攻击与入侵场景,为数据管理人员在攻击后进行入侵检测与分析具有重要意义。
但是,现阶段各种不同的数据库之间没有通用的、统一的审计接口。
而是每一种数据库都提供了可配置的审计模块。
管理员或用户依据自身需要使用模块提供的规则进行安全配制。
数据库将以日志形式自动记录数据库用户的全部数据操作,给接下来对该用户的操作分析提供基础。
同时日志文件也为数据库恢复与重建提供必要依据。
2、基于专家库安全审计
专家系统[6]是模仿专家的思维方式思考和决策问题的计算机系统,系统以知识库和专家库方式存放大量的领域专家们的知识和经验。
在基于专家系统的数据库安全审计的专家库中,利用格式为“if-then”的语句来表示异常行为的检测规则。
(if检测条件;then系统对该入侵行为的对策),对这些规则进行归纳与抽象,建立存储这些规则的专家库来辅助系统进行行为检测。
但是专家系统进行判定的主要依据是存储在知识库中的已经确认的异常行为规则,知识库的大小和质量决定了专家系统的入侵检测能力。
专家系统具有非常强的专业性,使该系统不可能移植到该领域以外使用。
3、基于系统状态转移的安全审计
通过对异常行为每步的破坏性进行分析,状态转换方法[7、8]对己知异常行为建立行为状态转换图。
匹配待审计的用户行为特征和状态转移图,判断用户当前行为是否安全。
状态转移图能够直观的、较详细的描述异常用户行为,实现对用户异常行为的预警或者拦截,减轻数据库受攻击的程度,降低经济损失。
但是,基于状态转移的数据库入侵检测系统存在明显的局限性:
无法完全描述每个时刻的状态转换,否则将是一个海量数据检测问题,目前的系统无法实现;状态转移才能判断行为的目的是否为已知异常,对于新的异常无法识别。
4、采用神经网络技术和免疫技术的安全审计
神经网络技术[9、10、11、12]是通过对大脑的神经元进行建模和联接,建立起模拟大脑神经系统功能的数学模型,并研究出具有自主学习、记忆和信息识别等智能信息处理功能的人工系统。
数据库安全审计主要是利用神经网络技术,参考所有正常和正确数据库使用行为,建立起一个具有学习能力的用户行为集合。
并利用集合中的正常行为与可疑行为进行比对,判断行为的异常与否。
免疫原理[13、14、15]是模拟生物的免疫系统功能,对外来细胞和自身变异细胞进行清除的原理,建议系统数学模型。
数据库安全审计主要利用免疫数据模型建立行为检测模块,检测已知和未知的异常行为。
5、基于数据挖掘的行为预处理
面对海量数据,如何从其中快速、准确的找出有用的数据,这是数据挖掘技术的主要研究方向。
近些年数据挖掘方法,在数据库安全方面得到了广泛的应用[16、17、18、19]。
数据库进行安全审计时,有可能需要进行海量的数据源审计,如果对这些数据源进行逐一审计,必然拖慢系统速度,导致数据库系统的响应时间大大加长,造成假死现象。
因此,需要对所有审计的数据进行预处理,去除无用数据,找出真正有价值的信息。
6、保护审计数据
要想能够检测出入侵行为,首先必须保证审计数据自身的安全性和正确性。
审计数据直接反映了数据库用户的直接行为,只有审计数据的正确和准确,才能如实的反映用户的行为。
在此基础上所做的行为入侵检测才是有效的、才是有意义的。
目前比较常见的数据库审计数据安全方法主要使用数据加密方式或是哈希保护等方法[6]。
综上所述,面对高素质的入侵队伍、多样化的入侵手段和复杂的网络结构。
传统的网络入侵检测系统和传统的数据库安全机制都无法满足客户的安全需要。
因此,结合现阶段网络入侵检测系统的优缺点,并受传统数据库和智能算法的启发,重新设计一套安全机制对于数据库管理人员与开发人员是一个挑战,新的安全机制也存在通用性问题。
基于以上的要求,提出了基于用户行为分析与识别的数据库入侵检测系统研究项目。
该项目依据传统安全机制的数据库审计记录和主机网络访问日志,采用经过智能算法优化的BP神经网络提取用户的网络行为和数据库行为特征,生成基于用户网络与数据库行为的用户安全特征库,建立网络行为分析与专家数据库判断的联合入侵检测构架,利用该分析模型能够检测和分析网络数据库用户行为的正常和非正常,并可以根据数据库行为分析模型实时分析数据库现阶段用户行为的合法性,对不合法用户行为报警,并实时进行入侵检测与数据保护。
建立基于用户网络与数据库行为的专家数据库,总结已知的入侵方法、入侵手段,对数据库进行实时保护。
1.3研究应用和价值
基于网络用户行为分析与识别的数据库入侵检测系统研究是理论与实践相结合应用型课题。
现阶段高速互联网的广泛普及,网络的低成本高效益使个人、企业和政府不断推进信息化建设,越来越多的数据库被直接或间接挂机到网络上。
随之而来的网络入侵已成为数据库安全的重要隐患。
入侵手段的多样性,入侵人员的专业性,入侵破坏的严重性组成现阶段网络入侵新特点。
再加上网络结构的复杂性,这些因素给传统数据库安全机制带来严重挑战。
基于此提出了本课题,本课题将利用传统数据库安全机制中的安全日志和主机访问日志,结合现阶段趋于成熟智能算法,尤其是基于遗传算法和粒子群算法的改进神经网络算法。
提取网络用户行为的安全特征,生成安全特征库。
应依据该特征库建立网络用户行为分析模型。
依据该用户行为分析模型实现实时监测各种入侵行为,并根据动态修改用户特征库,实现同步动态数据库更新和实时入侵检测。
专家系统是根据领域专家的知识与经验建立的知识库,并根据这些知识和经验来判断特定的情况是否为攻击行为,并根据判断结果执行相应操作。
这些就是本课题技术创新点,也是本课题的研究意义。
该项目研究成功,将为数据库安全机制探索一条有效的解决方案。
该方案是智能算法在IDS系统上的有一个有效应用。
为数据库安全提供新的安全保障,能够带来较好的经济和社会效益。
1.4研究内容与创新
本论文的主要贡献就是在深入研究网络用户行为和传统数据库安全理论的基础上,面对各种网络安全的问题,探索一条基于神经网络和粒子群算法得改进型BP神经网络算法,并建立。
该算法主要从如下几点完成创新。
1.生物视觉的慢变性特征引入到本系统用户行为分析与表达上,有效揭示了用户网络行为的慢变性规律。
2.以BP神经网络为核心的双引擎预警和人为干预方法的有效结合。
3.ICA算法消除数据的相关性与冗余,提高了BP算法的训练效果。
4.前后台数据的动态训练与更新技术,实现了BP网络的自适应性。
5.提出适合本文的双引擎的入侵模式。
6.C#与Matlab编程的在本项目的有效结合,提高了开发速度。
本论文的另一个主要研究内容是建立一个具有正向工程和逆向工程方式的专家数据库,并根据常见攻击行为建立公有和私有知识库。
1.5论文组织安排
本论文共分为6个章节,各章内容做了如下安排:
第一章为绪论部分,主要介绍了入侵检测系统的背景与意义,国内外研究动态和该项目在理论与实际上的意义,并综合给出基于网络用户行为分析与识别的数据库入侵检测系统研究的贡献与创新。
并详细安排了论文的层次结构。
第二章主要记述了入侵检测系统的技术原理,主要介绍了括入侵检测系统的概念、原理、模型和常见技术方法等内容,并对常用技术方法和存在问题及其未为未来发展趋势做了详细探索求。
并对整个系统的工作模式和工作原理进行了详细的介绍。
第三章为系统设计部分,主要介绍了基于用户行为分析与识别的数据库入侵检测系统的主要设计架构。
并详细讲述了系统中各功能的功能流程和专家数据库系统的详细设计。
第四章主要记述了系统实现部分,主要介绍了系统各个重要功能的具体实现过程,并增加了系统的部分功能界面。
第五章主要记述了系统测试部分,介绍了基于用户行为分析与识别的数据库入侵检测系统的测试过程中所用的测试方法,并详细介绍了和对比了系统中应用新算法后的对比测试结果。
第六章主要记述了论文的总结和展望,对论文的整个研究过程进行总结,并展望研究后期的改进方向。
第二章系统原理与模型
入侵检测系统是一种动态安全防御手段,是静态防护技术有益补充,具有主动性和实时性特点的。
通过对网络用户行为的实时监控,系统可以对系统内用户的越权操作和系
升级会员 