基于分类分析的入侵动态取证模型研究

作     者：贾娴 

作者单位：山东师范大学 

学位级别：硕士

导师姓名：刘培玉

授予年度：2012年

学科分类：0839[工学-网络空间安全] 08[工学] 

主      题：动态取证 入侵检测 信息增益 特征冗余度 朴素贝叶斯 加权朴素贝叶斯 

摘      要：随着信息技术的迅猛发展，在给人们生活带来便利的同时，各种各样的网络攻击、黑客、木马、病毒等网络安全威胁问题频发，计算机犯罪问题日益严重，不仅严重阻碍了计算机技术的进一步发展，还给社会造成巨大的经济损失和危害。如何有效地打击计算机违法犯罪活动是急需要解决的问题，而问题的关键就在于获取充分、有效、具有法律效力的电子证据。因此，计算机取证就成为打击计算机犯罪、解决网络安全问题的重要手段。 传统的计算机取证技术多为静态取证，但是随着计算机犯罪手段的提高，仅靠事后的静态取证已不能够适应形势的发展，而与入侵检测、防火墙等网络安全工具相结合的动态取证技术已经成为计算机取证技术发展的新方向，本文将入侵检测技术与计算机取证技术相结合，对入侵检测技术进行了深入研究。在入侵取证中存在着数据高维海量问题，如何在海量的信息中及时地获取所需的证据，以提高取证速度，满足取证及时性的原则，如何提高证据检测的准确率，以保证证据的真实有效等对入侵取证工作都十分重要。对此，本文所做的工作主要包括以下几个方面： 1．提出了一种改进的信息增益算法 基于信息增益算法的特征选择虽然能够较好地解决入侵取证中存在的数据高维海量问题。但由于没有考虑特征之间的关系，导致特征子集中存在着冗余特征，从而影响了入侵取证的速度和精度，由此提出一种改进的基于特征冗余度的信息增益算法，通过添加对特征之间冗余度的判断，在删除无关特征的同时过滤了冗余特征，使特征子集得到有效精简。经实验验证，该算法能有效地选择特征向量，保证检测精度，提高检测速度。 2．提出了一种基于改进信息增益的加权朴素贝叶斯算法 针对传统朴素贝叶斯分类模型在入侵取证中存在的特征项冗余问题和没有考虑入侵行为所涉及的数据属性间的差别问题，本文提出一种基于改进信息增益的加权朴素贝叶斯分类方法，首先用改进的基于特征冗余度的信息增益算法对特征项集进行优化，并在此优化结果的基础上，提取出其中的特征冗余度判别函数作为权值引入贝叶斯分类算法中，通过构造一种新的权重计算公式对不同的条件属性赋予不同的权值。经实验验证，该方法能有效降低分类干扰，提高检测精度。 3．构建了一种入侵动态取证模型并予以实现 该模型主要是基于将入侵检测技术和计算机取证技术相结合的思想，利用入侵检测记录系统工作及黑客入侵的全过程，动态收集识别入侵证据，同时系统将经过分析、提取的证据传送至证据库作证据保全。在该模型中，采用本文提出的改进的信息增益算法和朴素贝叶斯算法实现对入侵行为的分析，从而为动态取证及时地提供足够的证据信息。