基于机器学习方法的入侵检测技术_许戈静
基于机器学习方法的入侵检测技术
许戈静
(泉州信息工程学院,福建泉州362000)
摘要:随着信息技术的不断发展,人们生活发生了翻天覆地的变化,它给人们带来了很多便利,但与此同时,安全问题也日益突出。目前,传统的入侵检测系统已经不足以完成对越来越复杂的网络攻击的检测任务。入侵监测系统技术之中引入机器学习,可以有效地提高系统性能。文章主要介绍了几种机器学习方法在入侵检测中的应用。
关键词:机器学习方法;入侵检测技术;贝叶斯分类神经网络;遗传算法;支持向量机
中图分类号:TP393.08;TP18文献标识码:A文章编号:1673-1131(2015)12-0127-02
0引言
虽然入侵检测系统可以检测出网络系统中存在的入侵隐患和行为,可是鉴于入侵检测技术和网络技术的局限性,以及网络系统的复杂性等多种原因,传统的入侵检测系统还是很难满足完整性的同时,也满足并行性的要求,它主要的检测手段仅仅是利用简单的模式匹配来发现是不是原有的攻击,但是这种方法却不可以预测出新的攻击,同时也不可以通过自我学习的方式来产生新的检测规则,所以入侵检测系统仍存在很多缺陷和隐患。针对上述的不足,如果将例如数据挖掘技术、专家系统、机器学习等知识融入到现有的入侵检测系统中,就能够既保留原有系统的高性能,还能够使它更加智能化,还可以在现代网络环境中,提高入侵检测的效率、降低漏报率和误报率。本文主要是对于几种基于机器学习方法入侵检测技术做简单的概述。
1基于机器学习方法的入侵检测系统的设计基于机器学习的入侵检测系统,是采用机器学习的方法来检测那些通过网络捕获到的数据包,以此完成入侵检测。此系统由四个模块构成:机器学习、网络数据包捕获、误用规则处理和数据预处理,其中系统的核心是机器学习模块。
(1)机器学习模块:此模块是本系统的核心,通过此模块的训练,使学习机可以检测入侵。
(2)网络数据包捕获模块:一般情况下,监视和验证网络实时的流量和工作状态常常用到它。网络入侵检测系统的设计,以及其他网络管理软件、网络安全软件实现的基础,就是要实现在网络上截获和分析各个协议层次上的数据包。而Sniffer(数据包嗅探器)就是实现这部分功能的程序,也是本系统有效并高效工作的基础。所以,整个系统中最基础的程序就是网络Sniffer。
(3)数据预处理模块:对于网络数据包捕获模块送来的大量的原始数据包该模块要先进行预先处理,从而方便随后的检测分析。
(4)误用规则处理模块:该模块是实现以规则为参照的误用检测的,它用系统己存在的模式数据库和已知的网络入侵与收集到的信息进行对比,从而找出不符合安全策略的行为,确保了目前的误用规则的检测准确率和效率都较高的优势。2侵检测系统中使用的机器学习方法
侵检测系统中机器学习模块中可以采用的机器学习的方法很多,这里对其中几种做介绍。
2.1基于贝叶斯分类的方法
贝叶斯分类模型其实是一种典型的运用统计学的方法来实现的分类模型。它能够用数学公式的精确方法来表示出来,
和JDBC的连接性,同时应用SQL语言完成添加、修改以及查询等各项工作。另外,可以在对数据进行处理后,将结果输送给相关视图。
2.2.2设计手持RFID终端服务子系统的方法
子系统中的手持RFID终端系统,主要包括上位机(And-roid)及RFID读写设备两个组成部分。其中,RFID读写设备的具体设计中,又包含了软件设计和硬件设计两个方面,其作用主要是:读写电子标签。上位机(Android)具有的功能是:有效控制读写器。该设计环节的主要设计内容及步骤包括以下几个方面:第一步,硬件的选型工作:设计人员应该以满足数据中心工作需求为基本的设计理念,结合数据中心的系统的功能性以及应用环境要求,考虑设计结果的可靠性以及成本多少等多重因素,对射频模块、电子标签等相关元器件进行合理选型;第二步,设计电路:将单片机AT89S51作为一项具有主控性的单元,进行供电、USB连接、射频读写等电路的设计,进而完成与上位机(Android)的有效连,并可以对相应射频模块中的读写功能进行控制;第三步,设计读写器应用软件的方法:读写器具有与上位机进行通信和进行电子标签读写的功能,因此,可选择运用外部中断法实现和射频模块的数据通信,并设计好读写电子标签的具体操作方法。另外,在和上位机进行数据传输的过程中,可以选择使用串口转换USB的方式进行通信式的传输;第四步,设计上位机(Android):该设计环节主要包括以下两个部分:一是和读写器进行通信,完成电子标签读写。二是访问Web服务器。
3结语
综上所述,在为数据中心设计管理设备系统时应用RFID 技术,对提升数据中心的管理质量具有重要意义。数据中心,对环境具有很高的要求。当前,除了需要对设备线缆构建出结构化、科学化的数据设计模型,另外,噪声、温湿度等相关境参数、能源消耗以及其他设备的信息均是相关单位比较关注的数据问题。本次设计主要基于RFID的技术理念,并结合数据中心设备管理信息服务系统的实际需求,对系统中的管理数据子系统以及手持RFID终端子系统进行设计分析。但是,为全面提升数据中心的管理质量,数据中心还应该结合实际发展需要,对管理数据的服务系统进行持续性的研究,进而促使数据中心实现信息化、自动化、与时俱进的管理。
参考文献:
[1]天津市小蜜蜂计算机技术有限公司.基于RFID技术的物
流仓库管理解决方案[J].物联网技术,2014,1(6):11-12 [2]郭岩,赵嘉,张鹏,等.基于RFID技术的中国疾控中心固定资
产管理系统应用效果[J].中国数字医学,2015,10(1)
:99-101
127
128
是一种具有最小错误率的概率分类法,而且它能够用多种概率理论来解决,因此许多源于贝叶斯理论的分类方法均被成功地应用了。
而贝叶斯理论中最重要的内容,无疑就是贝叶斯定理,它同时也是贝叶斯理论的基础,把事件的先验概率与后验概率联系起来,通过先验信息和样本数据的信息,来推测出事件的后验概率。
判断观察到的事件是正常行为还是入侵就是入侵检测的基本任务,那么可以将其看作是一个分类的过程。所以,可以使用贝叶斯算法把检测对象的行为进行分类,每一个矢量都是一个对象所对应的一个行为,将这些矢量进行划分,可以分为四类:正常行为、标准行为、异常行为和入侵行为。针对随机变量,一定要明白此变量对每一个分类的概率的分布,然后将该变量归入概率最高的类。
贝叶斯分类的方法中有不同的叶斯分类模型。而这些贝叶斯分类模型的区别就是,它们是通过不同的方法来获得事件的后验概率的。在朴素贝叶斯分类器中,假设全部的属性变量均是相互类条件独立的,此算法的最大优势就是不用搜索,只用简单地计算训练例中的每个属性值所发生的频率数,就能够估算出每个属性的概率估计值,而这一假设也在很大程度上降低了系统的复杂性,目前在一些领域上也获得了十分理想的效果。例如:斯坦福研究院的Valdes 和Skinner 等,就是通过朴素贝叶斯分类器分析了网络流量,从而设计了称为eBayes 的入侵检测系统。
2.2基于神经网络的方法
人工神经网络通过模拟人脑处理、存储和加工信息机制,
实现的一种智能化信息处理技术。它所包含的抽象概括能力、自适应和学习能力,以及内在的并行计算特性,让它在入侵检测方面拥有独特的优势:
(1)神经网络能够通过大量的实例,进行训练,然后学会知识,并从中得到正常的用户或系统活动的特征模式,拥有预测的能力,从而不需要获取描述用户行为特征的特征集以及用户行为特征测度的统计分布。
(2)能够把新发现的入侵攻击实例展示给神经网络,经过第二次的训练让神经网络可以对新的攻击模式做出反应,由此让入侵检测系统获得自适应的能力。
(3)当入侵检测系统正常的工作模式被神经网络掌握了之后,它就可以对偏离系统正常工作的事件产生反应,还能够发现一些新的攻击模式。
(4)神经网络经过训练,能够把对模式的判断和匹配转换成数值的计算,这样有利于加快系统的处理速度,使其更适合于实时处理。
所以,想让IDS 变得更加高效,就可以使用神经网络来构建IDS ,特别是使它拥有自适应能力,来适应入侵行为,并跟踪其变化,这样才可以检测出新型的入侵行为和模式。
2.3基于基因箅法的方法
基因算法(Genetic Algorithm )也叫做遗传算法,是一种模仿生物界的自然选择和进化机制而发展起来的随机、高度并行、自适应搜索的算法。
由于基因算法主要是依靠生物进化和遗传的思想,所以把它应用于入侵检测的规则,发现了它与传统方法具有很多不同的特征:第一,它的处理对象不是参数本身,而是问题参数的编码集;第二,基因算法在搜索空间中,可以同时对很多点进行求解,这样就可以减小收敛于局部的最小可能,以此同时还可以增加处理的并行性。
在网络攻击检测系统当中,通过基因算法产生简单的规则,从而对网络通信量进行监控。这些规则是通过把正常连接和异常连接进行比较,所产生的模式形成的。它们是简单的单连接模式,可以从网络连接中区分非正常连接和正常连接,例如,只与异常连接相匹配的规则表示为:if (模式匹i~d )then (产生警告)。
这些规则能够用于对新的连接和历史记录进行过滤,让管理员可以注意到可疑行为。
基因算法的问题在于变异、交叉和选择算子的设计上,现在主要依靠的经验和实验的方法,如果选择不合理,可能会产生过早收敛的问题。
2.4基于支持向量机的方法
支持向量机(SVM )是利用结构风险最小化(SRM )原理。支持向量机的基本思想是对于一个给定的拥有有限数量训练样本的学习任务.如何机器容量(机器可无错误地学习任意训练集的能力)和在准确性(对于给定训练集)这两个方面进行折衷来获得最好的推广性能。
入侵检测系统存在着在先验知识较少的情况下推广能力差的问题。将支持向量机方法应用到入侵检测系统中。能够确保在先验知识不足的情况下,支持向量机分类器仍有较好的分类正确率,才能使得整个入侵检测系统获得不错的检测性能。
在入侵检测系统中,目前的SVM 方法较多是用来区分正常数据和各种攻击的,通过检测攻击并发出攻击报警,来取得较好的结果。例如:在DARPA 设计的KDD 竞赛数据库上,Mukkamala 等利用SVM 的实验,取得了很好的效果。
还有的研究人员将其他算法和SVM 相结合,发现了更好的入侵检测算法。例如:Wu 等人将SVM 和向量量化技术融合在一起,首先运用向量量化技术使网络审计的数据库变小,产成一个训练编码本,然后在这个训练编码本上再运用SVM ,建立一个入侵检测的模型;Kim 等人将SVM 和基因算法结合了起来,以此来寻找一个“最佳的检测模型”,此方法不但可以找到SVM 的“最佳参数”,还可以找到整个属性集中“最优的属性子集”。
3结语
除了上面介绍的几种方法以外,入侵的特征进行辨识的
还有粗糙集、免疫原理、专家系统、数据挖掘、Agent 等智能化方法。尤其是实现了知识库的不断扩展和更新,并且拥有自学习能力的专家系统,令入侵检测系统的防范能力不断地提高,所以我相信它一定会有更广泛的应用前景的。
随着入侵检测技术的不断进步,它的保护对象,例如网络和系统本身也在飞速地发展,IDS 技术主要面临着下列的挑战:必须减少入侵检测系统的漏报和误报,要提高安全性和准确度。
计算机网络安全的入侵检测技术研究
计算机网络安全的入侵检测技术研究 计算机网络在给人类工作、生活、娱乐等带来极大便 利的同时,其中存在的安全问题也越来越突出。入侵检测技术作为一种重要的网络安全防护技术,受到了网络安全人员的青睐。本文对入侵检测技术的相关理论进行了介绍,对当前入侵检测技术存在的问题进行了详细的分析和讨论,并对入侵检测技术未来的发展趋势进行了展望。 关键词】计算机网络网络安全入侵检测 1 引言当前,计算机网络已经得到了广泛应用,人们工 作、学 习、生活、社交、娱乐等等各个方面几乎都离不开网络,然而,计算机网络中存在的安全问题也给人们造成了极大困扰,已经成为无法回避且亟待解决的重要问题,如果不能及时采取相应的防御或解决措施,将严重制约社会的发展和信息化进程。入侵检测技术作为一种解决网络安全问题的十分有效的技术之一,得到了网络安全人员的青睐。入侵检测技术能够有效检测来自网络内部和外部网络入侵,对网络提供实时保护。 2 入侵检测技术相关理?概述入侵检测技术能够及时检测 出当前系统中出现的异常 现象,该技术在系统中的关键节点收集信息,并通过对这些信息的分析,从中检测出系统当前是否遭到恶意侵袭或是否存在违反安全策略的行为出现。 入侵检测技术通常包括信息收集、信息分析和问题处理 等 3 个主要步骤。在信息分析部分,将收集到的信息传送给驻留在传感器中的检测引擎,利用统计分析、模式匹配等技术进行实时检测,利用完整性分析等技术进行事后检测分析,当出现误用模式时,将告警信息发送给控制台;在问题处理部分,
当控制台收到来自系统的告警信息时,根据事先定义的响应策略,采取终止进程、切断连接等措施。 在计算机网络安全应用中使用到的入侵检测技术主要 包括基于主机和基于网络的两种入侵检测系统。其中,基于主机的入侵检测系统的重点检测对象是计算机,通过预先对主机进行相应的设置,根据计算机的运行状态和相关参数来判断该主机是否收到非法入侵,基于主机的入侵检测系统能够对当前的攻击是否成功进行判断,为主机采取相应的措施提供可靠依据,基于入侵网络的入侵检测系统通常通过设置多个安全点。 3 存在问题和发展趋势 3.1 存在问题 3.1.1 入侵检测技术 相对落后随着计算机技术的不断发张,尽管入侵检测技术 在不断
入侵检测技术 课后答案
精品文档 . 第1章入侵检测概述 思考题: (1)分布式入侵检测系统(DIDS)是如何把基于主机的入侵检测方法和基于网络的入侵检测方法集成在一起的? 答:分布式入侵检测系统是将主机入侵检测和网络入侵检测的能力集成的第一次尝试,以便于一个集中式的安全管理小组能够跟踪安全侵犯和网络间的入侵。DIDS的最初概念是采用集中式控制技术,向DIDS中心控制器发报告。 DIDS解决了这样几个问题。在大型网络互联中的一个棘手问题是在网络环境下跟踪网络用户和文件。DIDS允许用户在该环境中通过自动跨越被监视的网络跟踪和得到用户身份的相关信息来处理这个问题。DIDS是第一个具有这个能力的入侵检测系统。 DIDS解决的另一个问题是如何从发生在系统不同的抽象层次的事件中发现相关数据或事件。这类信息要求要理解它们对整个网络的影响,DIDS用一个6层入侵检测模型提取数据相关性,每层代表了对数据的一次变换结果。 (2)入侵检测作用体现在哪些方面? 答:一般来说,入侵检测系统的作用体现在以下几个方面: ●监控、分析用户和系统的活动; ●审计系统的配置和弱点; ●评估关键系统和数据文件的完整性; ●识别攻击的活动模式; ●对异常活动进行统计分析; ●对操作系统进行审计跟踪管理,识别违反政策的用户活动。 (3)为什么说研究入侵检测非常必要? 答:计算机网络安全应提供保密性、完整性以及抵抗拒绝服务的能力,但是由于连网用户的增加,网上电子商务开辟的广阔前景,越来越多的系统受到入侵者的攻击。为了对付这些攻击企图,可以要求所有的用户确认并验证自己的身份,并使用严格的访问控制机制,还可以用各种密码学方法对数据提供保护,但是这并不完全可行。另一种对付破坏系统企图的理想方法是建立一个完全安全的系统。但这样的话,就要求所有的用户能识别和认证自己,还要采用各种各样的加密技术和强访问控制策略来保护数据。而从实际上看,这根本是不可能的。 因此,一个实用的方法是建立比较容易实现的安全系统,同时按照一定的安全策略建立相应的安全辅助系统。入侵检测系统就是这样一类系统,现在安全软件的开发方式基本上就是按照这个思路进行的。就目前系统安全状况而言,系统存在被攻击的可能性。如果系统遭到攻击,只要尽可能地检测到,甚至是实时地检测到,然后采取适当的处理
入侵检测技术综述
河南理工大学 课程论文 (2014-2015第二学年) 论文题目:入侵检测技术综述 学院: 专业班级: 学号: 姓名: 指导老师: 日期:2015.7.3
1引言 1 2入侵行为的概念、分类和演化 1 3入侵检测技术的发展 3 3.1以Denning模型为代表的IDS早期技术 3 3.2中期:统计学理论和专家系统相结合 4 3.3基于网络的NIDS是目前的主流技术 4 4结语 5 参考文献 6
摘要:自从计算机问世以来,安全问题就一直存在着,使用者也一直未给予足够的重视,结果大量连接到Internet上的计算机暴露在愈来愈频繁的攻击中。本文先介绍入侵行为的概念和演化,然后按时间顺序,沿着技术发展的脉络,回顾了入侵检测技术从20世纪70年代初到今天的发展历程。文章以历史和实践的观点,透视入侵和入侵检测技术相互制约,相互促进的演进过程。 关键词:计算机安全;入侵检测;入侵检测系统;入侵检测系统的历史 1引言 自从计算机问世以来,安全问题就一直存在。特别是随着Internet的迅速扩张和电子商务的兴起,人们发现保护资源和数据的安全,让他免受来自恶意入侵者的威胁是件相当困难的事。提到网络安全,很多人首先想到的是防火墙,防火墙作为一种静态的访问控制类安全产品通常使用包过滤的技术来实现网络的隔离。适当配置的防火墙虽然可以将非预期的访问请求屏蔽在外,但不能检查出经过他的合法流量中是否包含着恶意的入侵代码。在这种需求背景下,入侵检测系统(IDS)应运而生。 入侵检测系统(IDS)是将电子数据处理、安全审计、模式匹配及统计技术等有机地融合在一起,通过分析被检测系统的审计数据或直接从网络捕获数据,发现违背安全策略或危及系统安全的行为和活动。本文主要讨论入侵和入侵检测技术从20世纪70年代初到今天的发展历程。这个概念出自James P.Anderson在1972年的一项报告,随后的30多年中,概念本身几乎没有改变。 2入侵行为的概念、分类和演化 从最早期的计算机安全开始,人们就密切关注恶意使用者破坏保护机制的可能性。早期系统多为多用户批处理系统。这个时期,主要的威胁来自系统的合法使用者,他们企图得到未经授权的材料。到了20世纪70年代,分时系统和其他的多用户系统已成气候,Willis H Ware 主持的计算机安全防御科学特别工作 小组提供了一项报告,为处理多级数据的计算机系统的发展奠定了基础。但这篇报告并没有受到应有的重视,直到70年代中期,人们才开始进行构建多级安全体系的系统研究。 1980年4月,詹姆斯·安德森(James P.Anderson)为美国空军做的题为《Computer Security Threat Monitoring and Surveillance》(计算机安全威胁监控与监视)的技术报告,第一次详细阐述了入侵检测的概念,并首先为入侵和入侵检测提出了一个统一的架构,这是该领域的开山之作。他在论文中给出了入侵和入侵检测技术方面的概念: 威胁(Threat)可能存在有预谋的、未经认可的尝试: ①存取数据; ②操控数据; ③使系统不可靠或无法使用。 危险(Risk)意外的和不可预知的数据暴露,或者,由于硬件故障、软件设计的不完整和不正确所造成的违反操作完整性的问题。 脆弱性(Vulnerability)已知的或可疑的硬件或软件设计中的缺陷;使系统暴露的操作;意外暴露自己信息的操作。攻击(Attack)实施威胁的明确的表达或行为。 渗透/入侵(Penetration)一个成功的攻击;(未经认可的)获得对文件和程序的使用,或对计算机系统的控制。 威胁概念中的③包括DOS(Denial Of Service)“拒绝服务攻击”。盗用计算资源也属于这个类别之内。 一般来说,外部入侵者的首要工作是进入系统。所外人,也可能是合法用户,但违规使用了未经授权的资源。另一方面,除了拒绝服务攻击外,多数攻击都需要入侵者取得用户身份。20世纪80年代中后期,网络计算已经相当普遍,渗透和入侵也更广泛。但许多厂商和系
入侵检测技术的现状及未来
入侵检测技术的现状及未来 【摘要】入侵检测能有效弥补传统防御技术的缺陷,近年来入侵检测系统已经成为网络安全的系统中的重要组成部分。本文在对当前主流入侵检测技术及系统进行详细研究分析的基础上,指出了入侵检测系统面临的问题和挑战。最后对入侵检测系统的未来发展方向进行了讨论,展望了应用人工智能技术的入侵检测系统、基于Android平台的入侵检测系统、基于云模型和支持向量机的特征选择方法等新方向。 【关键词】网络安全;入侵检测;异常检测;智能技术 0.引言 目前,在网络安全日趋严峻的情况下,解决网络安全问题所采用的防火墙、身份认证、数据加密、虚拟子网等一般被动防御方法已经不能完全抵御入侵。此时,研究开发能够及时准确对入侵进行检测并能做出响应的网络安全防范技术,即入侵检测技术(ID,Intrusion Detection),成为一个有效的解决途径。入侵检测作为一种积极主动地安全防护技术,已经成为网络安全领域中最主要的研究方向。 1.入侵检测概述 1.1入侵检测的基本概念 入侵检测(Intrusion Detection),即是对入侵行为的检测。入侵是指潜在的、有预谋的、未被授权的用户试图“接入信息、操纵信息、致使系统不可靠或不可用”的企图或可能性。它通过从计算机网络或计算机系统的关键点收集信息,并对收集到的信息进行分析,从而发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。而入侵检测系统则是入侵检测的软件与硬件的组合。 1.2入侵检测系统的通用模型 1987年Dorothy E Denning[1]提出了入侵检测的模型,首次将入侵检测作为一种计算机安全防御措施提出。该模型包括6个主要的部分:主体(Subjects)、对象(Objects)、审计记录(Audit Record)、活动档案(Active Profile)、异常记录(Anomaly Record )、活动规则(Activity Rules)。 2.入侵检测系统采用的检测技术 从技术上看,入侵可以分为两类:一种是有特征的攻击,它是对已知系统的系统弱点进行常规性的攻击;另一种是异常攻击。与此对应,入侵检测也分为两类:基于特征的(Signature-based即基于滥用的)和基于异常的(Anomaly-based,也称基于行为的)。
入侵检测技术在数据库系统的应用
入侵检测技术在数据库系统的应用 摘要:入侵检测是检测和识别针对计算机系统和网络系统的非法攻击或违反安全策略事件的过程。数据库入侵检测系统的研究与设计借鉴了针对网络和针对主机的入侵检测技术,又考虑了数据库自身的特点。 关键词:入侵检测入侵分析数据库系统 传统的数据库安全机制以身份认证和存取控制为重点,是一种以预防为主的被动安全机制,无法满足日益增长数据库对安全的需要。近年来对数据库入侵检测机制的研究受到了广泛关注和重视。通过建立异常检测机制,有效地发现用户在使用数据库过程中可能发生的入侵和攻击,以期达到保护数字图书馆数据库安全的目的。 1、入侵检测简介 入侵检测是检测和识别针对计算机系统和网络系统,或者更广泛意义上的信息系统的非法攻击,或者违反安全策略事件的过程。它从计算机系统或者网络环境中采集数据,分析数据,发现可疑攻击行为或者异常事件,并采取一定的响应措施拦截攻击行为,降低可能的损失。在入侵检测系统中,系统将用户的当前操作所产生的数据同用户的历史操作数据根据一定的算法进行检测,从而判断用户的当前操作是否属于入侵行为,然后系统根据检测结果采取相应的行动。入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。入侵检测系统能很好地弥补防火墙的不足,从某种意义上说是防火墙的补充。入侵检测技术是计算机安全技术中的重要部分,它从计算机系统中的若干关键点收集信息,并分析这些信息,检测计算机系统中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测系统在几乎不影响计算机系统性能的情况下能对计算机系统进行实时监测,并对系统提供针对内部攻击、外部攻击和误操作的实时保护。入侵检测技术通过对入侵行为的过程与特征的研究,使安全系统对入侵事件和入侵过程能做出实时响应。入侵检测技术扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。 2、入侵检测技术分类 (1)从数据的来源看 入侵检测通常可以分为两类:基于主机的入侵检测和基于网络的入侵检测。基于主机的入侵检测通常从主机的审计记录和日志文件中获得所需的主要数据源,并辅之以主机上的其他信息,例如文件系统属性、进程状态等,在此基础上完成检测攻击行为的任务。基于网络的入侵检测通过监听网络中的数据包来获得必要的数据来源,并通过协议分析、特征匹配、统计分析等手段发现当前发生的攻击行为。从数据分析手段来看,入侵检测通常又可以分为两类:误用入侵检测和异常入侵检测。误用检测的技术基础是分析各种类型的攻击手段,并找出可能的“攻击特征”集合。误入侵检测的定义为:识别针对计算机或网络资源的恶意企图和行为,并对此做出反应的过程。入侵检测系统则是完成如上功能的独立系统。入侵检测系统能够检测未授权对象,针对系统的入侵企图或行为,同时监控授权对象对系统资源的非法操作。 (2)从数据分析手段看 入侵检测通常可以两类:滥用入侵检测和异常入侵检测。滥用入侵检测的技术基础是分析各种类型的攻击手段,并找出可能的“攻击特征”集合形成特征库或者模式库,滥用入侵检测利用形成的特征库,对当前的数据来源进行各种分析处理后,再进行特征匹配或者规则匹配工作,如果发现满足条件的匹配,则指示已经发生了一次攻击行为然后入侵检测系统的响应单元做出相应的处理。异常入侵检测是通过观察当前活动与系统历史正常活动情况之间的差异来实现。这就需要异常入侵检测建立一个关于系统正常活动的状态模型并不断更新,然后将用户当前的活动情况与这个正常模型进行对比,如果发现了超过设定值的差异程度,则指示发现了非法攻击行为。 相比较而言,滥用入侵检测比异常入侵检测具备更好的确定解释能力,即明确指示当前发生的攻击手段类型,另外,滥用入侵检测具备较高的检测率和较低的虚警率,开发规则库和特征集合相对于建立系统正常模型而言,要更容易、更方便。但是,滥用入侵检测只能检测到已知的攻击模式,模式库只有不段更
入侵检测技术现状分析与研究
学年论文 题目:入侵检测技术现状分析与研究 学院专业级班 学生姓名学号 指导教师职称 完成日期
入侵检测技术现状分析与研究 【摘要】随着网络的快速发展及普及,网络安全已经成为不可忽视的信息安全.小至个人用户的信息,大至公司企业重要的资料数据,一但在不知不觉中被盗窃,会给自己乃至公司带来利益的损失.入侵检测技在1980年由JamesP.Anderson在给一个保密客户写的一份题为《计算机安全威胁监控与监视》的技术报告中指出,审计记录可以用于识别计算机误用,他给威胁进行了分类,第一次详细阐述了入侵检测的概念 【关键词】IDS、协议、分析、网络安全
目录 第一章绪论 (1) 1.1入侵检测技术的背景 (1) 1.2入侵检测技术的应用与发展现状 (1) 第二章入侵检测技术 (1) 2.1入侵检测系统的分类 (1) 2.1.1基于主机的入侵检测系统 (2) 2.1.2基于网络的入侵检测系统 (2) 2.2入侵检测技术 (3) 2.2.1异常入侵检测技术 (3) 2.2.2误用入侵检测技术 (3) 第三章校园网中的分布式入侵检测分析 (4) 3.1 分布式入侵检测的设计思想 (4) 3.2 校园分布式入侵检测模式的分析 (4) 3.3 采用的入侵检测技术 (5) 第四章入侵检测系统的发展趋势 (7) 第五章总结 (8)
第一章绪论 1.1入侵检测技术的背景 随着计算机网络技术的飞速发展,人们已经离不开了网络的通信.网络渗透到了人们生活的点点滴滴,地球村的建设,让人们走进了高速发展的时代,信息中心的高速传输,网络资源的高度共享,都离不开网络.网络使得信息的获取、传递、处理和利用变得更加有效,网络带给人们学习、工作、娱乐的便利之余,也带给我们一些安全隐患.网络黑客可以轻松的取走你的重要的文件,盗取你的银行存款,破坏你的企业平台,公布你的隐私信函,篡改、干扰和毁坏你的数据库,甚至直接破坏用户的计算机,使你的网络瘫痪或者崩溃.所以,研究各种切实有效的安全技术来保障计算机系统和网络系统的安全,已经成为一个刻不容缓的问题.伴随着网络的发展,各种网络安全技术也随之发展起来. 美国韦式大辞典中对入侵检测的定义为:“硬闯入的行为,或者是在没受到邀请和欢迎的情况下进入一个地方”.当说到入侵检测的时候,我们是指发现了网络上的一台计算机有未经过授权的闯入行为,这个未经过许可的网络入侵或访问,是一种对其他网络设备的安全威胁或伤害.我们通常使用的网络安全技术有:防火墙、杀毒软件、虚拟专用网、数据加密、数字签名和身份认证技术等.这些传统的网络安全技术,对保护网络的安全起到非常重要的作用,然而它们也存在不少缺陷.例如,防火墙技术虽然为网络服务提供了较好的身份认证和访问控制,但是它不能防止来自防火墙内部的攻击,不能防备最新出现的威胁,不能防止绕过防火墙的攻击,入侵者可以利用脆弱性程序或系统漏洞绕过防火墙的访问控制来进行非法攻击.传统的身份认证技术,很难抵抗脆弱性口令,字典攻击,特洛伊木马,网络窥探器以及电磁辐射等攻击手段.虚拟专用网技术只能保证传输过程中的安全,并不能防御诸如拒绝服务攻击,缓冲区溢出等常见的攻击.另外,这些技术都属于静态安全技术的范畴;静态安全技术的缺点是只能静态和消极地防御入侵,而不能主动检测和跟踪入侵.而入侵检测技术是一种动态安全技术,它主动地收集包括系统审计数据,网络数据包以及用户活动状态等多方面的信息;然后进行安全性分析,从而及时发现各种入侵并产生响应.、 1.2入侵检测技术的应用与发展现状 在目前的计算机安全状态下,基于防火墙,加密技术等的安全防护固然重要;但是要根本改善系统的安全现状,必须要发展入侵检测技术.它已经成为计算机安全策略中的核心技术之一.Intrusion Detection System(简称IDS)作为一种主动的安全防护技术,提供了对内部攻击,外部攻击和误操作的实时保护.从网络安全立体纵深的多层次防御角度出发,入侵检测理应受到高度重视,这从国外入侵检测产品市场的蓬勃发展就可以看出.在国内,随着上网关键部门,关键业务越来越多,迫切需要具有自主版权的入侵检测产品;但目前我国的入侵检测技术还不够成熟,处于发展和跟踪国外技术的阶段,所以对入侵检测系统的研究非常重要.传统的入侵检测系统中一般采用传统的模式匹配技术,将待分析事件与入侵规则相匹配.从网络数据包的包头开始与攻击特征字符串比较.若比较结果不同,则下移一个字节再进行;若比较结果相同,那么就检测到一个可能的攻击.这种逐字节匹配方法具有两个最根本的缺陷:计算负载大以及探测不够灵活.面对近几年不断出现的A TM,千兆以太网,G比特光纤网等高速网络应用,实现实时入侵检测成为一个现实的问题.适应高速网络的环境,改进检测算法以提高运行速度和效率是解决该问题的一个途径.协议分析能够智能地"解释"协议,利用网络协议的高度规则性快速探测攻击的存在,从而大大减少了模式匹配所需的运算.所以说研究基于协议分析的入侵检测技术具有很强的现实意义. 第二章入侵检测技术 2.1入侵检测系统的分类 入侵检测系统按采用的技术分为:异常检测系统和误用检测系统.按系统所监测的对象分为:基于主
入侵检测概念、过程分析和布署
入侵检测概念、过程分析和布署 入侵检测概念、过程分析和布署 1、入侵检测的基本概念入侵检测是指“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图”(参见国标GB/T18336)。入侵检测是检测和响应计算机误用的学科,其作用包括威慑、检测、响应、损失情况评估、攻击预测和起诉支持。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行?募际酢=?腥肭旨觳獾娜砑?胗布?淖楹媳闶侨肭旨觳庀低常↖ntrusion Detection System,简称IDS)。 2、入侵检测系统的发展历史 1980年JamesP.Anderson在给一个保密客户写的一份题为《计算机安全威胁监控与监视》的技术报告中指出,审计记录可以用于识别计算机误用,他给威胁进行了分类,第一次详细阐述了入侵检测的概念。1984年到1986年乔治敦大学的DorothyDenning和SRI公司计算机科学实验室的PeterNeumann研究出了一个实时入侵检测系统模型- IDES(Intrusion Detection Expert Systems入侵检测专家系统),是第一个在一个应用中运用了统计和基于规则两种技术的系统,是入侵检测研究中最有影响的一个系统。1989年,加州大学戴维斯分校的Todd Heberlein写了一篇论文《A Network SecurityMonitor》,该监控器用于捕获TCP/IP分组,第一次直接将网络流作为审计数据来源,因而可以在不将审计数据转换成统一格式的情况下监控异种主机,网络入侵检测从此诞生。 3、系统模型为解决入侵检测系统之间的互操作性,国际上的一些研究组织开展了标准化工作,目前对IDS进行标准化工作的有两个组织:IETF的Intrusion Detection Working Group(IDWG)和Common Intrusion Detection Framework(CIDF)。CIDF早期由美国国防部高级研究计划局赞助研究,现在由CIDF工作组负责,是一个开放组织。 CIDF阐述了一个入侵检测系统(IDS)的通用模型。它将一个入侵检测系统分为以下组件:事件产生器(Event generators),用E盒表示;事件分析器(Event analyzers),用A盒表示;响应单元(Responseunits),用R盒表示;事件数据库(Event databases),用D盒表示。
入侵检测技术 课后答案
习题答案 第1章入侵检测概述 思考题: (1)分布式入侵检测系统(DIDS)是如何把基于主机的入侵检测方法和基于网络的入侵检测方法集成在一起的? 答:分布式入侵检测系统是将主机入侵检测和网络入侵检测的能力集成的第一次尝试,以便于一个集中式的安全管理小组能够跟踪安全侵犯和网络间的入侵。DIDS的最初概念是采用集中式控制技术,向DIDS中心控制器发报告。 DIDS解决了这样几个问题。在大型网络互联中的一个棘手问题是在网络环境下跟踪网络用户和文件。DIDS允许用户在该环境中通过自动跨越被监视的网络跟踪和得到用户身份的相关信息来处理这个问题。DIDS是第一个具有这个能力的入侵检测系统。 DIDS解决的另一个问题是如何从发生在系统不同的抽象层次的事件中发现相关数据或事件。这类信息要求要理解它们对整个网络的影响,DIDS用一个6层入侵检测模型提取数据相关性,每层代表了对数据的一次变换结果。 (2)入侵检测作用体现在哪些方面? 答:一般来说,入侵检测系统的作用体现在以下几个方面: ●监控、分析用户和系统的活动; ●审计系统的配置和弱点; ●评估关键系统和数据文件的完整性; ●识别攻击的活动模式; ●对异常活动进行统计分析; ●对操作系统进行审计跟踪管理,识别违反政策的用户活动。 (3)为什么说研究入侵检测非常必要? 答:计算机网络安全应提供保密性、完整性以及抵抗拒绝服务的能力,但是由于连网用户的增加,网上电子商务开辟的广阔前景,越来越多的系统受到入侵者的攻击。为了对付这些攻击企图,可以要求所有的用户确认并验证自己的身份,并使用严格的访问控制机制,还可以用各种密码学方法对数据提供保护,但是这并不完全可行。另一种对付破坏系统企图的理想方法是建立一个完全安全的系统。但这样的话,就要求所有的用户能识别和认证自己,还要采用各种各样的加密技术和强访问控制策略来保护数据。而从实际上看,这根本是不可能的。 因此,一个实用的方法是建立比较容易实现的安全系统,同时按照一定的安全策略建立相应的安全辅助系统。入侵检测系统就是这样一类系统,现在安全软件的开发方式基本上就是按照这个思路进行的。就目前系统安全状况而言,系统存在被攻击的可能性。如果系统遭到攻击,只要尽可能地检测到,甚至是实时地检测到,然后采取适当的处理 –– 1
入侵检测系统中两种异常检测方法分析【我的论文】_百度文库(精)
网络入侵检测系统的研究 摘要:随着互联网络的广泛应用,网络信息量迅速增长,网络安全问题日趋突出。入侵检测作为网络安全的重要组成部分,已成为目前研究的热点,本文介绍了入侵检测系统的概念、功能、模式及分类,指出了当前入侵检测系统存在的问题并提出了改进措施,特别是针对异常入侵检测方法的研究,着重分析了基于神经网络的和层次聚类的异常检测方法,并从理论和试验层次队两种检测技术进行分析比较,客观分析了两种算法的优缺点。同时预测了入侵检测系统的发展趋势。 关键词:入侵检测;入侵检测系统;BP神经网络;层次聚类;网络安全。 在基于网络的计算机应用给人们生活带来方便的同时,网上黑客的攻击活动正以每年10倍的速度增长,因此,保证计算机系统、网络以及整个信息基础设施的安全已经成为刻不容缓的重要课题。 防火墙作为一种边界安全的手段,在网络安全保护中起着重要作用,其主要功能石控制对网络的非法访问,通过监视、限制、更改通过网络的数据流,一方面尽可能屏蔽内部网的拓扑结构,另一方面对内屏蔽外部危险站点,以防范外对内的非法访问。然而,由于性能的限制,防火墙通常不能提供实时的入侵检测能力,为了弥补防火墙存在缺陷,引入了入侵检测 IDS( Intrusion Detection System 技术。入侵检测是防火墙之后的第二道安全闸门,是对防火墙的合理补充,在不影响网络性能的情况下,通过对网络的检测,帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提供对内部攻击、外部攻击和误操作的实时保护。 一、入侵检测系统的概念
入侵检测定义为识别为被授权使用的计算机系统和有合法权利使用系统但却滥用特权的过程。即通过对计算机网络或系统中的若干关键点收集信息并对其进行分析,从而发现是否有违反安全策略的行为和被入侵的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统(IDS)。一个入侵检测产品通常由两部分组成,即传感器与控制台。传感器负责采集数据、分析数据并生成安全时间;控制台主要起到中央管理作用。商品化的产品通常提供图形界面的控制台,这些控制台基本上都支持Windows NT平台。 入侵检测系统的主要功能有:1、监视、分析用户及系统活动;2、核查系统配置和漏洞;3、识别已知进攻并向相关人员报警;4、统计分析异常行为;5、评估重要系统和数据的完整性; 6、操作系统日志管理,并识别违反安全策略的用户活动。 二、入侵检测系统模型 美国斯坦福国际研究所(SRI)的D.E.Denning于1986年首次提出一种入侵检测模型。该模型的检测方法就是建立用户正常行为的描述模型,并以此同当前用户活动的审计记录进行比较。如果有较大偏差,则表示有异常活动发生:这是一种基于统计的检测方法。随着技术的发展,后来人们又提出了基于规则的检测方法。通用入侵检测架构(CIDF)组织,试图将现有的入侵检测系统标准化,阐述了一个入侵检测系统分为以下4个组件:事件产生器、事件分析器、相应单元和事件数据库,同时将需要分析的数据统称为事件。事件可以是基于网络的数据包,也可以是基于主机的系统日志中的信息。事件产生器的目的是从整个计算机环境中获得事件,并向系统其他部分提供此事件;事件分析器分析得到的事件并产生分析结果;响应单元则是队分析结果做出反应的功能单元,它可以做出切断连接、修改文件属性等强烈反应;事件数据库是存放各种中间和最终数据地方的通称,它可以是复杂的数据库也可以是简单的文本文件。
计算机数据库入侵检测技术的应用
计算机数据库入侵检测技术的应用 发表时间:2019-01-15T10:01:49.673Z 来源:《防护工程》2018年第30期作者:王亮 [导读] 文章正是在此背景下,对计算机数据库入侵检测技术的应用进行了相应分析,以期为计算机数据库的安全工作提供相应借鉴。 广州工商学院计算机科学与工程系 510850 摘要:在计算机被大面积运用的背景下,虽然计算机数据库的出现为民众创造了较大的便利,但其应用压缩期间却存在较多安全问题,容易使计算机数据库里面的数据存在丢失、损坏等现象。因此,对计算机数据库入侵检测技术的应用予以强化便显得极为重要,能够为计算机数据库给予有效保障。文章正是在此背景下,对计算机数据库入侵检测技术的应用进行了相应分析,以期为计算机数据库的安全工作提供相应借鉴。 关键词:计算机;数据库;入侵检测技术 引言:计算机网络技术对全人类的文化、经济等各个领域都带来了无尽的机遇,与此同时也带来了对数据中信息安全各种挑战,数据的安全性已经成为网络发展中最受关注的问题。病毒、各种供给手段的入侵不仅会对网络系统造成破坏,更会使企业、个人机密数据被篡改、窃取,进而造成大量的损失,可以说数据的安全性,对社会的稳定性以及国民的经济都会直接造成影响。因此,就需要利用入侵检测技术具备的准确性、及时性以及主动性为计算机数据库提供安全保障。 1.1数据库入侵技术及方法 数据库入侵检测技术概述对计算机数据库中可能存在的破坏、篡改等行为进行有效识别,同时将这些行为进行消除的这一过程,称为数据库入侵检测技术。在进行检测的过程中,该技术会将计算机系统中的数据进行收集,同时判断系统中是否存在相关违法行为。入侵检测技术会在计算机系统中将相关信息进行分析,从而提高系统中信息的完整性、准确性,并检测用户的活动行为,一旦计算机中包含异常行为,就会对其进行评估,并实时对具体情况进行记录,采取跟踪管理模式,进而确保系统的安全性。 1.2数据库入侵检测技术的方法 异常检测技术。在对数据库入侵技术进行选择阶段,通常情况下人们多数愿意选择异常检测技术,该技术目前的应用范围很广,它可以将所有类型的病毒入侵行为全部判断为恶意行为,计算机系统会综合分析用户的操作行为,进而在系统内构建出用户行为框架(活动模型),在数据库遭到入侵时,系统会将其与活动模型进行对比,一旦发现有异常情况,当即对其进行攻击,查杀。误用检测技术。误用检测技术主要作用是对病毒的类型以及入侵的方法进行分析,进而对其充分了解,一旦确定了攻击对象,该对象就会遭到误用检测技术的攻击,从而将病毒有效查杀。但是一旦入侵计算机数据库的攻击方式以及病毒类型发生了转变,那么误用检测技术就无法有效发挥病毒查杀的功能,因此,误用检测技术只能在计算机系统对入侵活动做出编译后,才能对其进行查杀。在病毒入侵到计算机数据库中时,误用检测技术会以之前预设好的病毒特征对病毒进行判断,并采取防护措施。 1.3数据库入侵检测技术的应用 计算机数据库系统由管理软件和数据库组成的系统,称为计算机数据库系统。数据库系统分为三个层次,即网络系统、宿主操作系统、数据库管理系统三层,当数据库系统遭到入侵时,通常情况下是对操作系统本身进行文件的窃取、篡改行为,可也能会制造一些加的文件、数据。针对数据库系统的安全维护,可以分别对三个层次进行分析。首先是分析入侵容忍技术,即对计算机内层的中间层可采用路径检测技术,计算机外层可采用入侵检测技术。 2.1数据挖掘 对数据的挖掘,需要根据用户的实际需求采取具有针对性的挖掘方式。目前主流的、应用比较广泛的挖掘方式有两种,即序列模式和关联规则。关联规则指在数据库性质相同的项目中挖掘出不同数据库的内在联系,序列模式是指在对数据库进行操作过程中,将时间单元中的关系进行记录。在入侵检测技术中的数据挖掘,主要作用就是对用户的登录进行排序,随后对用户行为进行检测。 2.2入侵容忍技术 数据库入侵检测技术除了起到对恶意入侵进行防范之外,还需要具备遭到攻击后的自我恢复能力,从而确保正常运行。入侵容忍技术是实现自我恢复能力技术,其实现原理是借助 ITDB 发出命令,将可疑攻击行为隔离,随后依据该攻击行为对 ITDB 的相关部件进行自动调配,以确保系统不会受到错误指令的影响。有效应用入侵容忍技术,可以有效使数据库管理系统的自适应功能得到良好发挥。ITDB 能够通过控制用户对数据库的访问,将用户对数据库的读写权限进行限制,一旦发现用户操作存在可疑行为,而该行为会对数据库系统安全造成威胁,就会立即将本用户隔离。 2.3应用入侵检测技术 在对数据库进行应用的过程中,会出现越来越多的病毒以及非法手段,进而对数据库造成较大的安全威胁。另外,入侵检测技术和操作系统之间存在一定差异,数据库应先对 SQL 和 IDS 进行检测,确保预先包装的 Web 应用受到良好保护。入侵检测系统具体工作流程如下:①利用 Web 登录页面将 SQL 发起;②当攻击行为到达服务器,进行相关记录、数据的查找;③评估用户所提交的数据,在传感器进行用户安全证书评估阶段,可查看相关 SQL 语句,一旦发现用户操作存在欺骗行为,须及时采取行动,同时对控制台发出警报。 3.1检测系统缺乏较好的自我保护水平 随着计算机技术的持续推进,病毒技术也获得了较快的发展,更甚者其发展远在计算机技术之上,这使得病毒类别愈来愈多且极为繁杂,部分病毒异变后带来的破坏程度更大,加大了入侵检测技术发展的难度。并且,现阶段我国有关入侵检测技术的人才较为匮乏,对系统的健全和升级构成了相应阻挠,加之病毒的发展来势汹汹,极为迅猛,故而难以实现清理、防范病毒和入侵行为所提出的需求,使得系统缺乏足够的自我保护效力。此外,当前具有的入侵技术操作人员不具备丰富的专业知识及实践经验为其工作提供支撑,再加上系统本身也具有较多不足,故存在大面积病毒入侵事件的时候,入侵检测技术便会被其影响而难以顺利运行。误报、错报的现象时有发生现今社会,科学技术持续进步的境况中,较多计算机、信息技术均获取了较好的发展。但此间,计算机数据库入侵检测技术却被较多因子干扰而发展缓慢,故而难以和其他技术的发展脚步达成一致,滋生了较多不足,譬如操作人员通过计算机针对个人及网络信息保密处
计算机数据库入侵检测技术探究
计算机数据库入侵检测技术探究 摘要:本文则主要就计算机数据库入侵检测技术及其功能加以阐述,并就其应用问题及应用优化策略进行分析探究,希望此次理论研究对实际操作起到一定指导作用。 关键词:计算机;数据库入侵检测技术;应用 随着计算机技术的发展,人们的生活、工作与学习过程对于计算机网络的依赖性越来越高,它为人们提供便利的同时,也促进了各行各业的发展。随着计算机网络在人们日常生活中的不断深入,计算机网络的应用安全问题受到越来越多的关注,防火墙、黑客入侵检测等安全防范系统的应用也随之增多。 1.计算机数据库入侵检测技术概述 入侵检测主要指对检测识别可能入侵计算机网络资源的恶意企图及行为,同时做出快速反映的过程。计算机数据库入侵检测技术的使用中是主动防护的形式运行的,主要是对计算机系统遭到的外部攻击以及误操作等进行的防护,是对防火墙防御不足的补充,已经成了计算机安全信息系统的重要构成部分。计算机入侵检测技术的主要功能包括以下几点:一是监视分析用户活动行为;二是审计计算机系统运行问题及其构造变化等;三是识别检测进攻活动并及时进行报警;四是统计分析网络异常行为和评估系统关键信息;五是跟踪管理计算机操作系统审计问题。 2.计算机数据库入侵检测技术当前存在的部分问题 2.1误报较多 计算机数据库入侵检测技术的主要目的是保护计算机的数据库,而在整个计算机数据库的信息中,信息内容比较复杂,既包括了用户个人信息,也包括了用户所在单位的单位信息,数据库中的信息一旦泄露,一方面严重影响了网络秩序和社会公共秩序,另一方面也给用户和用户单位带来了巨大的损失。为确保数据信息安全,进行数据库入侵检测时通常较为严格。同时,一些隐蔽问题不能全面显现,无法明确其实际情况,难以利用先进工作方式解决当前存在的各类问题,导致工作效率与质量降低。 2.2入侵检测成本高 在目前的计算机运行中,任何数据的处理以及数据的入侵和反入侵都是依靠二进制来进行数据的运算,当运算结算后才能有效的运行,由于数据及其庞大的关系,计算机的计算量是非常巨大的,这一工程运行的安全性以及有效性会在很大程度上会影响计算机信息系统的安全性,因此我们必须确保数据二进制加工运算过程中各项数据的完整性以及加工性,采用计算机数据库入侵检测技术对数据进行全程跟踪与监视,这样一来则大大增加了计算机数据库入侵检测技术的工作量以及成本,降低了计算机数据库检测技术应用的经济性。 2.3自身防护能力差 入侵检测系统是防护计算机系统免遭入侵的重要工具,尽管它对其它对象有比较强的保护能力,但入侵检测系统本身却由于系统设计人员自身知识水平的限制或者系统自身携带的问题,使得入侵检测系统缺乏一定的自我防范功能。其中导致这一问题出现的原因主要是设计人员的专业水平比较低,就使得其系统存在着很大的问题,这样就导致入侵检测系统受到了外部环境的影响,从而造成检测系统出现了比较严重的损坏,甚至还会出现数据攻击破除了系统,使得数据量受到很大的损坏。
互联网安全--浅谈入侵检测技术
浅谈入侵检测技术 姓名: 学号: 学院: 课程: 教师:
浅谈入侵检测技术 1 课题意义 互联网技术的飞速发展,迎来了一个信息化的时代,21世纪,互联网技术已经深深融入到人们的工作、生活、娱乐、思维等各个方面。如今,互联网为人们提供的服务越来越多,和人们日常生活联系得越来越紧密,人们也享受着由此带来的便捷生活。与此同时,由于互联网本身的开放性以及互联网产品一些未知的漏洞,网络安全问题日益突出,威胁网络安全的手段也层出不穷。因此,如何有效保证互联网安全已成为了一项关键而重要的任务。加强入侵检测技术在计算机网络安全维护中的应用探究,发现其中的问题,制定相关的对策,能够有效提升计算机网络安全维护效率和质量,确保在计算机网络安全维护中入侵检测技术的有效应用,推动计算机网络安全维护可持续发展。 1.1 概述 入侵检测技术主要是根据计算机网络或计算机系统中的关键数据、重要文件进行收集,并且基于这些数据的基础上,进行分析,对一些可能危害到系统的能用性、整体性和安全性的方式进行隔绝和报警。面对计算机的不正常运行状态,入侵检测技术能够对计算机内部和外部的意外攻击进行及时防御,并且降低甚至避免其对计算机造成的扰乱。入侵检测技术还能在计算机受到意外攻击后,弥补防火墙不足的缺陷,对计算机做到更深层次的保护。因此,计算机网络安全的入侵检测技术也可以看做是防火墙的补充。 1.2 起源 20世纪70年代开始,计算机及网络的安全问题得研究便已开始,早期主要采用审计跟踪技术来检测入侵行为。直到1980年4月,James P.Anderson在为美国空军做的一份题为Computer Security Threat Monitoring and Surveillance 的技术报告中才首次提出入侵检测的概念。在这份报告中,James P.Anderson提出了一种对计算机系统风险和威胁的分类方法,将威胁分为外部渗透、内部渗透和不法行为三种,还提出了利用审计跟中数据见识入侵行为的思想,从此人们开始了入侵检测技术的研究。 1.3 国内外发展现状 近几年来,随着人们对信息安全的认识不断提升,信息安全问题越来越引起人们的重视,入侵检测系统的市场更是飞速发展,许多公司投入到这一领域,推出自己的产品。国外的企业及其产品有:Sourcefire公司(现被Barracuda Networks INC公司收购)的Snort、ISS(Internet Security System)的RealSecure、Cisco公司的Secure IDS(前身为NetRanger)、Axent Technologies 公司(现被Symantec收购)的Netprowler/Intruder Alert、CA公司的CyberCop Monitor等。国内在入侵检测研究方面虽然起步较晚,但发展很快,目前在公安部取得销售许可证的安全厂商已有30余家,主要的企业及其产品有:启明星辰(VenusTech)的天阗、北方计算中心的NIDS detector、远东科技的黑客煞星、金诺网安的KIDS、绿盟的冰之眼IDS等。 2 入侵检测技术在网络安全维护中的应用 入侵检侧技术在计算机网络安全维护中,主要是起到监控、检测、分析、跟踪和预警的作用,通过监控用户的网络活动,检侧网络中的数据,分析用户是否遭到攻击,或是否存在违反网络安全策略的行为。如果用户属于攻击对象,那么向用户提供安全预警,关闭重要性的文件档案;如果用户是非法入侵,那么解除用户的权限,对用户的操作进行跟踪,寻找攻击数据的特征。 2.1 收集信息 数据在入侵检侧技术中必不可少,数据源主要有4个:其一,系统和网络的日志;其二,
计算机数据库入侵检测技术论文
计算机数据库入侵检测技术的探讨摘要:计算机数据库在应用中会碰到各式的安全性问题,计算机数据库入侵检测技术的重要性已经越来越明显,它对计算机的安全起到保护的作用,在信息安全领域该技术已经受到了广泛的关注,本文仅对计算机数据库入侵检测技术的一些方面进行简单的探析讨论。 关键词:计算机数据库;入侵检测 中图分类号:tp393文献标识码:a文章编号:1007-9599 (2011) 24-0000-01 computer database intrusion detection technology li chaozhi (xiangtan city public security bureau network and mobile technology,xiangtan411100,china) abstract:a computer database in the application will run into all kinds of security issues,computer database of intrusion detection technology has become increasingly obvious importance of its computer security play a role in protection,the technology has been in the field of information security widespread concern in this article only to the computer database intrusion detection technology,some aspects of the simple discussion of the analysis. keywords:computer database;intrusion detection
入侵检测技术简单汇总
入侵检测技术 注意:本文只是对入侵检测技术的粗略的汇总,可供平时了解与学习,不能作为科研使用! 入侵检测分析系统可以采用两种类型的检测技术:异常检测(Anomaly Detection)和误用 检测(Misuse Detection). 异常检测 异常检测也被称为基于行为的检测,基于行为的检测指根据使用者的行为或资源使用状况来判断是否入侵。基于行为的检测与系统相对无关,通用性较强。它甚至有可能检测出以前未出现过的攻击方法,不像基于知识的检测那样受已知脆弱性的限制。但因为不可能对整个系统内的所有用户行为进行全面的描述,况且每个用户的行为是经常改变的,所以它的主要缺陷在于误检率很高。尤其在用户数目众多,或工作目的经常改变的环境中。其次由于统计简表要不断更新,入侵者如果知道某系统在检测器的监视之下,他们能慢慢地训练检测系统,以至于最初认为是异常的行为,经一段时间训练后也认为是正常的了。 异常检测主要方法: (1)统计分析 概率统计方法是基于行为的入侵检测中应用最早也是最多的一种方法。首先,检测器根据用户对象的动作为每个用户都建立一个用户特征表,通过比较当前特征与已存储定型的以前特征,从而判断是否是异常行为。 用户特征表需要根据审计记录情况不断地加以更新。用于描述特征的变量类型有: 操作密度:度量操作执行的速率,常用于检测通过长时间平均觉察不到的异常行为; 审计记录分布:度量在最新纪录中所有操作类型的分布; 范畴尺度:度量在一定动作范畴内特定操作的分布情况; 数值尺度:度量那些产生数值结果的操作,如CPU 使用量,I/O 使用量等。 统计分析通过在一段时间内收集与合法用户行为相关的数据来定义正常的域值(Threshold ),如果当前的行为偏离了正常行为的域值,那么就是有入侵的产生。对于用户所生成的每一个审计记录,系统经计算生成一个单独的检测统计值T2,用来综合表明最近用户行为的异常程度较大的T2值将指示有异常行为的发生,而接近于零的T2值则指示正常的行为。统计值T2本身是一个对多个测量值异常度的综合评价指标。假设有n个测量值表示为Si ,(1<=i<=n ),则T2 =a1S12+a2S22+…+a n S n2,其中a i(1<=i<=n )表示第i个测量值的权重。 其优点是能应用成熟的概率统计理论,检测率较高,因为它可以使用不同类型的审计数据,但也有一些不足之处,如:统计检测对事件发生的次序不敏感,也就是说,完全依靠统计理论可能漏检那些利用彼此关联事件的入侵行为。其次,定义是否入侵的判断阙值也比