面向网络对抗的鲁棒性入侵检测技术研究

网络入侵检测是构建信息安全防线的重要技术手段，面向网络对抗的鲁棒性是设计下一代入侵检测系统的重要挑战。入侵检测技术的鲁棒性包含两方面的含义：一方面，对于攻击者采取的规避行为，仍能准确有效的进行检测；另一方面，具有高效可扩展的处理能力，即使处于攻击者发起特定攻击的最恶劣情况下，仍能有效的处理和检测报文。本项目分析和评估攻击行为，建立网络攻防对抗模型，提高对网络流的语义分析能力，实现对规避行为的有效检测；同时利用多级缓存和深度并行等技术手段提高系统在遭受攻击时的处理能力。具体研究内容包括：分析特定攻击行为，评估攻击危害，建立网络攻防对抗模型；设计和验证多级缓存、启发式过滤、多层次深度并行等鲁棒性入侵检测机制；设计鲁棒性入侵检测框架并实现原型系统，验证提出的模型和机制的有效性。本项目研究的鲁棒性入侵检测技术和框架，可望对具有对抗能力的下一代入侵检测系统的理论发展和应用实践有所贡献。

三年以来，项目组围绕课题预先制定的研究要点，顺利展开各项研究，取得预期的研究成果。具体研究成果包括：. 面向入侵检测系统的鲁棒性目标，设计了多层次深度并行、启发式过滤和多级缓冲等多种提高入侵检测系统处理性能和鲁棒性的技术手段和处理机制，提出了基于不确定图的网络漏洞分析方法和一系列网络攻防对抗模型。结合这些技术手段，先后提出了基于分布式TCAM的统一检测结构、一种高性能并行入侵检测检测框架、基于Negative Pattern模式匹配的检测技术、基于拥塞参与度和基于条件随机场的一系列攻击检测技术、网络防御和安全增强机制。设计并实现了一个鲁棒的高性能并行入侵检测原型系统。. 相关研究成果分别发表在IEEE Transactions on Computers、IEEE Transactions on Wireless Communications、Computer Networks等国际期刊和“软件学报”、“计算机科学与探索”、“计算机工程与科学”等国内期刊上。这些研究成果将会推进下一代入侵检测系统的理论研究和实际应用。. 项目组在国内外会议和期刊共发表论文32篇，其中被SCIE收录14篇，被EI收录12篇，培养博士和硕士研究生12名，大幅超过了计划预定的指标。另外，本项目研究成果在2013年10月获得“全军科技进步三等奖”。