面向網路對抗的魯棒性入侵檢測技術研究

網路入侵檢測是構建信息安全防線的重要技術手段，面向網路對抗的魯棒性是設計下一代入侵檢測系統的重要挑戰。入侵檢測技術的魯棒性包含兩方面的含義：一方面，對於攻擊者採取的規避行為，仍能準確有效的進行檢測；另一方面，具有高效可擴展的處理能力，即使處於攻擊者發起特定攻擊的最惡劣情況下，仍能有效的處理和檢測報文。本項目分析和評估攻擊行為，建立網路攻防對抗模型，提高對網路流的語義分析能力，實現對規避行為的有效檢測；同時利用多級快取和深度並行等技術手段提高系統在遭受攻擊時的處理能力。具體研究內容包括：分析特定攻擊行為，評估攻擊危害，建立網路攻防對抗模型；設計和驗證多級快取、啟發式過濾、多層次深度並行等魯棒性入侵檢測機制；設計魯棒性入侵檢測框架並實現原型系統，驗證提出的模型和機制的有效性。本項目研究的魯棒性入侵檢測技術和框架，可望對具有對抗能力的下一代入侵檢測系統的理論發展和套用實踐有所貢獻。

三年以來，項目組圍繞課題預先制定的研究要點，順利展開各項研究，取得預期的研究成果。具體研究成果包括：面向入侵檢測系統的魯棒性目標，設計了多層次深度並行、啟發式過濾和多級緩衝等多種提高入侵檢測系統處理性能和魯棒性的技術手段和處理機制，提出了基於不確定圖的網路漏洞分析方法和一系列網路攻防對抗模型。結合這些技術手段，先後提出了基於分散式TCAM的統一檢測結構、一種高性能並行入侵檢測檢測框架、基於Negative Pattern模式匹配的檢測技術、基於擁塞參與度和基於條件隨機場的一系列攻擊檢測技術、網路防禦和安全增強機制。設計並實現了一個魯棒的高性能並行入侵檢測原型系統。相關研究成果分別發表在IEEE Transactions on Computers、IEEE Transactions on Wireless Communications、Computer Networks等國際期刊和“軟體學報”、“計算機科學與探索”、“計算機工程與科學”等國內期刊上。這些研究成果將會推進下一代入侵檢測系統的理論研究和實際套用。項目組在國內外會議和期刊共發表論文32篇，其中被SCIE收錄14篇，被EI收錄12篇，培養博士和碩士研究生12名，大幅超過了計畫預定的指標。另外，本項目研究成果在2013年10月獲得“全軍科技進步三等獎”。