基于神经网络的实时入侵检测系统（IDS）可行性报告.docVIP

2002年湖南省信息产业项目 可行性报告 项目名称：基于神经网络的实时入侵检测系统（IDS） 承担单位：（盖章） 地 址：湖南省长沙市雨花路161号 邮政编码：410007 项目负责人：秦 拯　博士 电 话：0731-5559790 传 真：0731-5505122 E-mail：zheng@ 申报时间：2002年6月 目 录 一、项目概况 1 1、国内外相关产品与技术发展现状及趋势 1 2、国内外相关产品与技术现状，已取得的专利和标准情况 2 3、该项目现已取得的阶段成果，达到的技术水平 2 4、该项目完成后市场需求前景、推广应用领域、达到的技术水平，以及在国民经济和社会信息化中的作用 3 二、实施方案 5 1、技术特点、关键技术和关键工艺 5 2、实施的具体内容和技术路线 5 3、实施方式（自主开发、消化吸收、联合开发） 7 4、项目进度与完成期限 7 5、与后续技术改造或基本建设计划的衔接 8 三、技术经济指标 8 1、与现有产品、技术、装备的对比分析 8 2、要达到的技术性能指标和参数 9 3、与国外同类或先进技术对比 9 4、经济效益（形成生产能力、成本、市场销售额、利税、创汇、节汇）与社会效益 10 四、项目资金 10 1、项目总资金与年度资金预算（资金构成及构成比例） 10 2、资金使用情况 10 五、申报单位概况与条件 11 1、申报单位概况 11 2、技术力量和人员结构 12 3、完成项目所具备的技术创新条件 14 4、已完成的主要成果 14 六、其它需要说明的问题 14 一、项目概况 1、国内外相关产品与技术发展现状及趋势 最早的入侵检测模型由Dorothy Denning在1986年提出，描述了怎样利用审计跟踪数据来提高计算机系统的安全性。该模型与具体系统和具体输入无关，对此后的大部分实用系统都很有借鉴价值。 现有的入侵检测系统多数采用概率统计、专家系统、神经网络、模式匹配、行为分析等来实现系统的检测机制，以分析事件的审计记录、识别特定的模式、生成检测报告和最终的分析结果。常用的几种入侵检测模型主要有系统配置分析、异常性检测、基于行为的检测、系统的关键系统程序的安全规格描述方法和神经网络方法。 研究表明，国内外现有ID模型与IDS产品均在某些方面存在不足，难以满足IDS在实时性、适用性、可用性、可靠性、准确性和集成性等方面的需求。 神经网络在概念和处理方法上都很适合入侵检测系统的要求。通过不断学习，神经网络能够从未知模式的大量复杂数据中发现其规律。神经网络方法克服了传统分析过程的复杂性以及选择适当模型函数形式的困难，因而它是一种自然的非线性建模过程，毋需分清存在何种非线性关系，给建模与分析带来极大的方便。神经计算（neural computing）是一种数值计算，速度比专家系统所采用的符号推理运算要快得多，神经网络还具有较强的容错性和鲁棒性，能较好的满足实时性、可用性和可靠性要求。另外，采用神经网络方法，勿需统计假设，且具有学习能力，因而适用性强。也正是由于上述原因，采用神经网络方法时的准确性也会得以提高。 研究表明，国外不仅已有许多实验室在从事IDS的研究与开发，而且已完成一些原型系统和产品；但没有出现基于神经网络和数据挖掘技术的IDS产品和相关专利。国内研究ID的现状相对落后，主要针对某种类型或某几种类型的入侵攻击进行研究，尚无成熟的IDS产品，且绝大多数产品的核心是基于网上公开的源码；在应用神经网络和数据挖掘技术方面，主要介绍了国外研究成果或研究动态。 尽管国外已有较成熟的IDS产品，但不可能在我国得以推广使用。①产品本身的缺陷：人们已对国际上几种主导IDS产品（ISS公司的RealSecure，Cisco公司的NetRanger等）进行了可再现性测试，以及定性与定量分析，结果表明，这些产品均存在不足，认为需要重新设计；②产品价位太高，售价数万美金/套；③中国政策倾向于自主版权的安全产品；④不具备中国特色，且售后服务质量难保证。众所周知，我国计算机网络基础设施已经严重依赖国外；由于地理、语言、政治等多种因素，安全服务和安全系统的核心技术（如有关算法和机制）不能，也不可能依赖国外的组织。 2、国内外相关产品与技术现状，已取得的专利和标准情况 事实上，IDS在国内的发展还是近两年的事，从1999年，国外一些软件商开始将其入侵检测产品引入到国内如CA、NAI、ISS等。另外， Cisco也在其解决方案中加入了入侵检测产品。 与此同时，国内从事入侵检测产品研发销售的企业也迅速发展。IDS产品，具有自主知识产权的极为少见。 根据业内人士的介绍，目前一些国内厂商的入侵检测产品是在国际上一些流行的开放源代码的基础上改进，并重新编写控制台而得到的。这种检测系统的内核和检