入侵检测技术现状分析与研究
基于深度学习的网络入侵检测技术研究
基于深度学习的网络入侵检测技术研究随着互联网的迅猛发展,网络安全问题也日益突出。
网络入侵行为给个人和组织带来了巨大的损失和风险。
因此,网络入侵检测技术的研究和应用变得至关重要。
近年来,深度学习作为一种强大的数据分析工具,已经在各个领域取得了显著的成果。
本文将讨论基于深度学习的网络入侵检测技术研究。
一、深度学习简介深度学习是机器学习领域的一个重要分支,其核心思想是模拟人脑神经网络的学习和识别能力。
相比传统的机器学习方法,深度学习通过多层次的神经网络结构来学习数据的表征,能够自动提取特征并进行高效的分类和预测。
二、网络入侵检测的问题和挑战网络入侵检测是指通过监测和分析网络流量中的异常行为来识别潜在的入侵者和安全威胁。
然而,传统的入侵检测方法往往依赖于专家设计的规则或者特征工程,无法适应不断变化的网络安全环境。
此外,网络入侵涉及大量的数据和复杂的模式,传统方法往往无法有效捕捉到其中的隐藏规律和关联性。
三、基于深度学习的网络入侵检测技术基于深度学习的网络入侵检测技术通过使用深层次的神经网络结构来自动学习和提取网络流量中的特征,并进行入侵行为的分类和预测。
相比传统方法,基于深度学习的入侵检测技术具有以下优势:1. 自动学习特征:深度学习能够从原始的网络流量数据中自动学习到最具代表性的特征,无需依赖于繁琐的特征工程。
2. 多层次表示:深度学习模型可以通过多层次的神经网络结构来学习不同层次的特征表示,从而提高检测的准确性和泛化能力。
3. 强大的泛化能力:深度学习通过大规模的训练数据和优化算法,能够捕捉到网络入侵中的隐含规律和关联性,具有较强的泛化能力。
4. 实时响应:基于深度学习的入侵检测技术能够实时处理大规模的网络流量数据,并快速准确地检测到入侵行为,提高了网络安全的响应速度。
四、基于深度学习的网络入侵检测模型基于深度学习的网络入侵检测模型可以分为两类:基于传统神经网络的模型和基于卷积神经网络的模型。
1. 基于传统神经网络的模型:传统的神经网络模型如多层感知机(Multi-Layer Perceptron, MLP)和循环神经网络(Recurrent Neural Network, RNN)可以应用于网络入侵检测任务。
入侵检测技术的研究现状及其发展
入侵检测技术的研究现状及其发展毕战科1,许胜礼2(洛阳一拖职业教育学院理论教学部,河南洛阳471039;2.河南经贸职业学院电子工程系,河南郑州450001)摘要:在对当前主流入侵检测技术及系统进行详细研究分析的基础上,提出了面临亟待解决的问题,并对其现状和未来发展趋势进行阐述。
同时对目前市场上一些较有影响的入侵检测产品也给与了一定的介绍,以供用户参考。
关键词:网络安全;入侵检测技术;入侵检测系统(IDS )中图分类号:TP393.08文献标识码:A文章编号:1672-7800(2010)11-0152-031入侵检测技术与其发展历程入侵检测研究起源于20世纪70年代末,詹姆斯·安德森(James P.Anderson )首先提出了这个概念。
1980年,他的一篇题为“Computer Security Threat Monitoring and Surveillance ”论文首次详细阐述了入侵及入侵检测的概念,提出了利用审计跟踪数据监视入侵活动的思想,该论文被认为是该领域最早的出版物。
1984到1986年,乔治敦大学的桃乐茜·顿宁(DorothyDenning )和彼得·诺埃曼(Peter Neumann )合作研究并开发出一个实时入侵检测系统模型,称作入侵检测专家系统(IDES ),桃乐茜·顿宁并于1987年出版了论文“An Intrusion DetectionModel ”,该文为其他研究者提供了通用的方法框架,从而导致众多的研究者参与到该领域中来。
1990年,加州大学戴维斯分校L.T.Heberlein 等人提出并开发了基于网络的入侵检测系统———网络系统监控器NSM (Network Security Monitor )。
该系统第一次直接监控以太网段上的网络数据流,并把它作为分析审计的主要数据源。
自此,入侵检测系统发展史翻开了新的一页。
从20世纪90年代到现在,对入侵检测系统的研发工作己呈现出百家争鸣的繁荣局面。
基于网络流量分析的入侵检测技术研究
基于网络流量分析的入侵检测技术研究一、前言网络入侵成为当今互联网环境中的一大难题,对于企业、政府机构和个人用户的网络安全构成了严重威胁。
因此,在保护网络安全方面,入侵检测技术的研究和应用变得越来越重要。
基于网络流量分析的入侵检测技术可以有效地提高入侵检测的准确率和有效性。
本文将重点介绍基于网络流量分析的入侵检测技术的原理、方法和应用,旨在帮助读者深入了解该技术,并为网络安全行业的发展提供一定的参考和帮助。
二、基于网络流量分析的入侵检测技术原理网络流量是指网络中传输的数据流量,可以分为入站流量、出站流量和转发流量。
基于网络流量分析的入侵检测技术,就是通过对网络流量的分析来检测是否有入侵行为发生。
基于网络流量分析的入侵检测技术的原理主要包括两个方面:流量捕获和流量分析。
1. 流量捕获流量捕获是指通过网络设备(如交换机、路由器、防火墙等)捕获网络数据包,并按照一定的规则存储下来。
常用的流量捕获工具有tcpdump和wireshark。
2. 流量分析流量分析是指通过分析流量数据,来判断是否有入侵行为。
流量分析可以采用多种方法,包括基于规则的检测、基于统计的检测和基于机器学习的检测。
三、基于网络流量分析的入侵检测技术方法基于网络流量分析的入侵检测技术的方法主要包括以下几个方面:1. 基于规则的检测基于规则的检测是指通过事先定义一定的规则,然后根据规则来检测是否有入侵行为发生。
常用的规则有Snort规则和Suricata 规则。
这种方法的优点是易于实现和维护,但是缺点是无法适应新的入侵方式。
2. 基于统计的检测基于统计的检测是指通过对网络流量进行统计分析,来判断是否有入侵行为发生。
常用的方法有K-means聚类、PCA主成分分析和SOM自组织映射。
3. 基于机器学习的检测基于机器学习的检测是指通过对网络流量进行机器学习算法训练,然后使用训练好的模型来检测是否有入侵行为发生。
常用的机器学习算法有支持向量机、决策树和随机森林。
基于深度学习的防火墙入侵检测与防御技术研究
基于深度学习的防火墙入侵检测与防御技术研究随着互联网的快速发展,网络安全问题日益突出,入侵攻击成为网络安全领域的一大挑战。
防火墙作为网络的第一道防线,在保护网络安全方面发挥着重要作用。
然而,传统的防火墙技术对于新型的入侵方式往往无法有效检测和应对。
基于深度学习的防火墙入侵检测与防御技术应运而生,具有更高的准确性和适应性,成为当前研究的热点。
深度学习是机器学习领域的一种技术,通过构建具有多层次结构的神经网络模型,可以实现对复杂数据的自动学习和特征提取。
在防火墙入侵检测与防御中,深度学习可以利用大量的网络数据进行训练,从而识别出潜在的入侵行为,并采取相应的防御措施。
首先,基于深度学习的防火墙入侵检测利用深度神经网络模型对网络数据进行训练和分类。
传统的防火墙入侵检测方法通常使用特征规则集合进行检测,但这种方法需要人工定义规则,难以适应不断变化的入侵攻击方式。
而基于深度学习的方法则可以通过大量的网络数据进行学习,自动提取数据中的特征,从而实现对新型入侵攻击的检测。
其次,基于深度学习的防火墙入侵检测可以利用深度神经网络模型对异常行为进行识别。
入侵攻击往往具有一定的规律和特征,通过深度学习模型的学习,可以识别出网络中不正常的行为,并及时发出警报或采取相应的防御策略。
相比于传统的入侵检测方法,基于深度学习的方法不需要事先定义规则,可以更准确地检测出入侵行为。
此外,基于深度学习的防火墙入侵检测还可以利用大数据平台进行实时分析和处理。
当前,互联网上的数据呈指数级增长,传统的数据处理方法已无法满足实时性和准确性的要求。
而基于深度学习的防火墙入侵检测技术可以利用大数据平台对海量网络数据进行分析和处理,实现对入侵行为的实时监测和响应。
此外,在防火墙入侵防御方面,基于深度学习的技术也发挥了重要的作用。
通过利用深度学习模型对正常网络流量进行训练,可以建立一种正常行为的模型,进而对异常行为进行判定。
同时,基于深度学习的防火墙入侵防御还可以结合传统的安全防护机制,如访问控制、流量过滤等,形成一个更加全面的网络安全体系。
基于深度学习的网络入侵检测研究
基于深度学习的网络入侵检测研究网络安全已经成为当下信息化社会面临的重要问题之一。
随着网络攻击日益普及,网络入侵检测逐渐升温成为热点研究领域。
而深度学习作为近年来发展最快的人工智能领域之一,其在网络入侵检测中的应用也成为研究热点。
本文将分为三个部分来探讨基于深度学习的网络入侵检测研究。
一、传统网络入侵检测技术简介网络入侵检测是指通过检测网络流量中异常行为,从而判断网络是否被入侵。
在传统技术中,入侵检测主要分为两种方式:基于特征分析的方法和基于规则的方法。
基于特征分析的方法需要先确定正常的网络流量行为,然后根据异常流量行为进行异常检测。
常用的技术包括统计分析、网络流量分析和机器学习等。
基于规则的方法则是通过预先定义的规则对网络流量进行检测。
当网络流量符合某种规则时,将其警报或阻断。
但是,这种传统入侵检测技术存在一些缺点,例如无法对未知攻击类型产生高质量的检测结果、易受攻击者的规避手段和欺骗、管理困难等。
二、深度学习在网络入侵检测中的应用深度学习技术是利用神经网络模型来学习数据的内在表征,具有很好的自适应性和泛化能力。
由于其自适应和自学习能力,深度学习在网络入侵检测有许多创新性的应用。
其中最重要的是使用卷积神经网络(CNN)和循环神经网络(RNN)来处理网络数据。
1. 卷积神经网络在网络入侵检测中的应用卷积神经网络是一种专门用于处理图像的神经网络模型。
但是它同样可以用于处理网络包的载荷(Payload)数据。
一般卷积神经网络结构包括输入层、卷积层、池化层和全连接层。
在网络入侵检测领域,卷积神经网络使用卷积和池化技术来对流量的载荷数据进行特征提取和降维,然后将其传输到全连接层进行分类。
2. 循环神经网络在网络入侵检测中的应用循环神经网络是一种专门处理序列数据的神经网络模型,可以对时间序列或文本序列进行处理,但它同样也可以用于处理网络流量。
循环神经网络通过一个反馈机制来实现,因此可以将上一个时间步的输出传送到下一个时间步的输入中。
入侵检测系统的发展研究趋势分析
3入侵检测系统 的分类 3 按照检测系统所用的检测模型来 划分 . 1 异 常 检测 模 型 ( nm l D t tn : 测 A o a e co )检 y ei 与可接受行为之间 的偏差 , 如果可 以定 义每项 可接 受的行为 ,那么每项不可接受 的行 为就应 该是入侵。异常检测分为静态异 常检测 和动态 异常检测两种 。 误 用检测 模型 ( i s D t tn : Ms e e co )检测 与 u ei 已知 的不可接受行为之间 的匹 配程度 。如果 可 以定 义所有的不可接受行为 ,那么每种能够与 之 匹配的行 为都会引起告警 。误用检测通过对 确知决 策规则进行编程实现 ,可 以分为状态建 模、 专家系统和模式匹配三种。 3 . 2按照检测的数 据来 源划分 基于主机的 H D : IS系统分析的数据是计算 机操作 系统 的事件 日志 、 应用程序的事件 日 、 志 系统调用 、 口调用和安 全审计记 录。 端 基于 网络 的 N D : IS系统分析的数据是 网络 上 的数据包 。 }合型 :综合 了基于网络和基于主机的混 昆 合型人侵检测 系统既 可以发 现网络中的攻击信 息, 也可以从 系统 日 中发现异常 隋况 。 志 4局域 网的人侵检测系统的构建方法 根据 CD 规范 , IF 我们 从功能上将入 侵检 测系统划分为 四个基 本部分 : 数据采 集子系统 、 数据分析子系统 、 台子系统 、 据库 管理子 控制 数 系统 。 构建—个基 本的入侵检测系统 , 具体需考 虑以下几个方 面的内容 。 首先 , 数据采集机制 是实现 IS D 的基础 , 数 据采集子系统位于 IS的最底层 。这就 需要使 D 用网络监听来实现审计数据 的获取 , 后 , 然 构建 并 配置探测器 , 实现数据采集功能。 在服务器 上 开出—个 日志分 区, 用于采集数据 的存储 ; 接着 进行有关软件 的安装 与配置 。 其次, 建立数据分析模块。 在对各种网络协 议、 系统漏 洞 、 攻击手法 、 可疑 行为等有 一个 很
对抗攻击的检测及对策方法研究现状
对抗攻击的检测及对策方法研究现状随着互联网的快速发展和普及,网络安全问题日益引人关注。
网络攻击作为其中的重要问题,给个人、企业甚至国家的信息安全带来了严重的威胁。
为了有效对抗攻击行为,研究人员一直致力于探索各种检测和对策方法。
本文将对当前对抗攻击的检测及对策方法的研究现状进行综述。
一、对抗攻击的检测方法1. 基于行为分析的检测方法基于行为分析的检测方法通过分析网络流量、系统日志以及用户行为等多个角度来识别和检测攻击行为。
这些方法通常使用机器学习和数据挖掘技术,通过训练模型来区分正常行为和异常行为。
然而,这种方法在面对未知攻击时的准确率较低。
2. 基于特征分析的检测方法基于特征分析的检测方法通过提取网络流量、文件特征、恶意代码等攻击特征来进行检测。
这些方法可以利用黑白名单、模式匹配、规则引擎等技术进行攻击特征的识别和匹配。
然而,攻击者不断采取新的攻击手段,使得这种方法的适用性和准确性受到一定限制。
3. 基于协议分析的检测方法基于协议分析的检测方法通过深入分析网络协议的安全漏洞和攻击特征来进行检测。
这些方法可以通过对协议头和载荷进行检查、验证数据的合法性,从而发现潜在的攻击行为。
然而,由于协议复杂性和恶意攻击者的技术不断进化,该方法仍然存在许多挑战。
二、对抗攻击的对策方法1. 入侵检测与防御系统(IDS/IPS)入侵检测与防御系统(IDS/IPS)是当下最常见的对抗攻击的对策方法之一。
IDS可用于检测网络中的潜在攻击和漏洞,而IPS则在检测到攻击后,采取主动阻断措施来保护网络安全。
不过,随着攻击手段的不断提升和逃避技术的发展,IDS/IPS也存在一定的局限性。
2. 威胁情报共享机制威胁情报共享机制旨在促进网络安全领域的信息交流和合作,及时分享攻击行为的情报和防御策略。
通过建立信息共享平台和组织专家团队,能够快速获取最新的攻击情报,并采取相应的对策措施。
然而,由于涉及到信息的隐私和安全,威胁情报的共享和信任仍然是一个挑战。
网络入侵检测技术综述
Ke wo d N t o k S c r t ; I t u i n D t c i n E p r y t m N u a e y r s: e w r e u i y n r s o e e t o ; x e tS se ; ey lN t
0 i g 言
于用 户行为 的入侵检 测系统 , 她的重 要著 作 (n I t u in A n r s o
i s o se FI r re a h n s ue f cu ty e— se /c i re n y al T ce t e ’ s。 his pa per pr en t e es ts h de lo me hi t y Ve p nt s or an p en st tu d l es t a s
of n L i n e! ti n i ru , o d : s ec o sy e a i an yz v ri s st m. ld al es a ou ki s : t nd i rus on et ti t h qu n i d ec on ec ni es. fi all n y, th ar — is ti c l di cu e t d el p nt e s ss s he ev o me di ct on nd re i a def ci cy f nt si n i en o i ru o det ct n ec ol gy. e io t hn o
侵检 测的思想 ,研究并开 发 了第 一个 网络入侵 检测 系统 一 “ 网络安全监控器 ”N M N M主要通 过对 网络流量数 据的 (S ) S 分析为检测提供信 息, 的出现大大激 发了对 入侵检测技术 它
入侵检测的 目的是监控 网络 中的资源, 检测异 常行为和 对系统的滥用行为 。 这种观念被真正纳入到整个信息安全的 构架中, 是近十几年才开始的 入侵检测的概念 是 1 8 由 9 0年 J m sA dr o 首次提 出的。在 他的论文里 首次提 出 了 a e n e sn s 审计踪迹 中含有对 于跟踪滥用和理 解用户行为 十分有价 值 的重要信息 , 由此开 始了对滥 用和特定用 户事件的 “ 测 。 检
入侵检测技术的现状及未来
【 关键词 】 网络安全 ; 入侵检测 ; 异常检测 ; 智能技 术
0 . 引言 目前。 在网络安全 日趋严峻的情况下, 解决 网络安全 问题所采用 的 防火墙 、 身份认证 、 数据加密 、 虚拟子网等一般被动防御方法 已经 不能 完全抵御入侵 。此 时, 研 究开发能够及时准确对 入侵 进行检测并 能做 出响应 的网络安 全防范技 术, 即入侵检测 技术( I D , I n t r u s i o n D e t e c t i o n 1 , 成为一个有效的解决途径 入侵检测作为一种积极主动地安全防护技 术, 已经成为 网络安全领域 中最主要的研究方向
1 . 2 入侵检测系统的通用模 型 和误报率较高 ( 2 ) 系统 的 自 适应能力差 , 自 我更新能力不强 , 系统缺 乏灵活性 。 1 9 8 7年 Do r o t h y E D e n n i n g [ 1 ] 提出 了入 侵检 测 的模 型 . 首 次将 入 f 3 ) 入侵 检测 系统是失 效开放( F a i l _ o p e n ) 的机 制, 也就 是一旦系 统 侵检测作为一种计算 机安全防御措施 提出 该模型包括 6 个 主要 的部 分: 主体 ( S u b j e c t s ) 、 对象 ( O b j e c t s ) 、 审计 记 录( A u d i t R e c o r d ) 、 活动 档 案 停止作用, 它所在的整个 网络是开放 的。因此 , 当I D S 遭受拒 绝服务攻 这种失效开放的特性使得黑 客可 以实施攻击而不被发现目 。 ( A c t i v e P r o f i l e ) 、 异常记录( A n o m M y R e c o r d 1 、 活动规 ̄ l J l ( A c t i v i t y R u l e s ) 。 击时, f 4 ) 高速网络下 . 入侵检测 系统的实时检测效 率低和误警率较 高。 2 。 入侵检测 系统采用的检测技术 网络吞吐量 大。 传统 的入侵检测 系统捕 获全部 的数 据包 从 技术上看 . 入侵可以分为两类 : 一种 是有特征的攻击 , 它是对 已 在高速网络下. 知系统的系统弱点进行常规性的攻击 ; 另一种 是异常攻击 。 与此 对应 , 并进行详细分析几乎是不 可能做到 的
入侵检测实验报告(两篇)2024
引言概述:入侵检测是计算机安全领域的重要研究方向之一,目的是通过监控和分析网络流量以及系统日志等数据,从中识别出异常行为和潜在的安全威胁。
本文旨在介绍一个入侵检测实验的进展和结果,此为入侵检测实验报告的第二部分。
正文内容:一、实验背景1.实验目的详细阐述实验的目的,以及为什么需要进行入侵检测实验。
2.实验环境介绍实验所用的计算机网络环境,包括操作系统、网络拓扑等。
3.实验流程概述实验的整体流程,包括数据收集、数据预处理、特征提取等步骤。
4.实验数据集介绍实验中所使用的数据集,包括数据集来源、数据集规模等。
5.实验评估指标详细阐述如何评估入侵检测算法的性能,包括准确率、召回率、F1值等指标。
二、实验方法1.数据收集详细介绍如何收集入侵检测所需的数据,包括网络流量数据和系统日志数据。
2.数据预处理阐述如何对收集到的数据进行预处理,包括数据清洗、数据标准化等步骤。
3.特征提取介绍如何从预处理后的数据中提取有用的特征,以用于后续的入侵检测分析。
4.算法选择阐述实验中选择的入侵检测算法,包括传统机器学习算法和深度学习算法。
5.模型训练与测试详细描述实验中如何将预处理后的数据用于训练和测试入侵检测模型,包括数据划分和交叉验证等。
三、实验结果1.算法性能比较详细阐述不同算法在入侵检测任务上的性能比较,包括准确率、召回率等指标的对比分析。
2.异常检测介绍实验中检测到的具体异常行为,包括网络攻击、系统漏洞等。
3.误报率分析分析实验中算法的误报率,即将正常行为错误地标记为异常行为的情况。
4.可视化展示通过可视化的方式展示实验结果,包括异常行为的时间分布、网络流量的变化趋势等。
5.实验改进与优化针对实验中出现的问题和不足,给出实验改进与优化的建议,并展望未来的研究方向。
总结:通过本次入侵检测实验,我们探索了入侵检测的实践方法和技术,通过数据收集、预处理和特征提取等步骤,以及选择合适的算法进行训练和测试,成功地识别出网络中的异常行为和潜在的安全威胁。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
学 年 论 文 题 目:入侵检测技术现状分析与研究 学 院 专 业 级 班 学生姓名 学 号
指导教师 职 称 完成日期 1 1
入侵检测技术现状分析与研究 【摘 要】随着网络的快速发展及普及,网络安全已经成为不可忽视的信息安全.小至个人用户的信息,大至公司企业重要的资料数据,一但在不知不觉中被盗窃,会给自己乃至公司带来利益的损失.入侵检测技在1980年由JamesP.Anderson在给一个保密客户写的一份题为《计算机安全威胁监控与监视》的技术报告中指出,审计记录可以用于识别计算机误用,他给威胁进行了分类,第一次详细阐述了入侵检测的概念 【关键词】IDS、协议、分析、网络安全 1
目录 第一章 绪 论 ................................................................................................................................................ 1 1.1 入侵检测技术的背景 ...................................................................................................................... 1 1.2 入侵检测技术的应用与发展现状 .................................................................................................. 1 第二章 入侵检测技术 .................................................................................................................................. 1 2.1 入侵检测系统的分类 ...................................................................................................................... 1 2.1.1基于主机的入侵检测系统 ......................................................................................................... 2 2.1.2基于网络的入侵检测系统 ......................................................................................................... 2 2.2 入侵检测技术 .................................................................................................................................. 3 2.2.1异常入侵检测技术 ..................................................................................................................... 3 2.2.2误用入侵检测技术 ..................................................................................................................... 3 第三章 校园网中的分布式入侵检测分析 .................................................................................................. 4 3.1 分布式入侵检测的设计思想 .......................................................................................................... 4 3.2 校园分布式入侵检测模式的分析 .................................................................................................. 4 3.3 采用的入侵检测技术 ...................................................................................................................... 5 第四章 入侵检测系统的发展趋势 .............................................................................................................. 7 第五章 总结 .................................................................................................................................................. 8 1
第一章 绪 论 1.1 入侵检测技术的背景 随着计算机网络技术的飞速发展,人们已经离不开了网络的通信.网络渗透到了人们生活的点点滴滴,地球村的建设,让人们走进了高速发展的时代,信息中心的高速传输,网络资源的高度共享,都离不开网络.网络使得信息的获取、传递、处理和利用变得更加有效,网络带给人们学习、工作、娱乐的便利之余,也带给我们一些安全隐患.网络黑客可以轻松的取走你的重要的文件,盗取你的银行存款,破坏你的企业平台,公布你的隐私信函,篡改、干扰和毁坏你的数据库,甚至直接破坏用户的计算机,使你的网络瘫痪或者崩溃.所以,研究各种切实有效的安全技术来保障计算机系统和网络系统的安全,已经成为一个刻不容缓的问题.伴随着网络的发展,各种网络安全技术也随之发展起来. 美国韦式大辞典中对入侵检测的定义为:“硬闯入的行为,或者是在没受到邀请和欢迎的情况下进入一个地方”.当说到入侵检测的时候,我们是指发现了网络上的一台计算机有未经过授权的闯入行为,这个未经过许可的网络入侵或访问,是一种对其他网络设备的安全威胁或伤害.我们通常使用的网络安全技术有:防火墙、杀毒软件、虚拟专用网、数据加密、数字签名和身份认证技术等.这些传统的网络安全技术,对保护网络的安全起到非常重要的作用,然而它们也存在不少缺陷.例如,防火墙技术虽然为网络服务提供了较好的身份认证和访问控制,但是它不能防止来自防火墙内部的攻击,不能防备最新出现的威胁,不能防止绕过防火墙的攻击,入侵者可以利用脆弱性程序或系统漏洞绕过防火墙的访问控制来进行非法攻击.传统的身份认证技术,很难抵抗脆弱性口令,字典攻击,特洛伊木马,网络窥探器以及电磁辐射等攻击手段.虚拟专用网技术只能保证传输过程中的安全,并不能防御诸如拒绝服务攻击,缓冲区溢出等常见的攻击.另外,这些技术都属于静态安全技术的范畴;静态安全技术的缺点是只能静态和消极地防御入侵,而不能主动检测和跟踪入侵.而入侵检测技术是一种动态安全技术,它主动地收集包括系统审计数据,网络数据包以及用户活动状态等多方面的信息;然后进行安全性分析,从而及时发现各种入侵并产生响应.、
1.2 入侵检测技术的应用与发展现状 在目前的计算机安全状态下,基于防火墙,加密技术等的安全防护固然重要;但是要根本改善系统的安全现状,必须要发展入侵检测技术.它已经成为计算机安全策略中的核心技术之一.Intrusion Detection System(简称IDS)作为一种主动的安全防护技术,提供了对内部攻击,外部攻击和误操作的实时保护.从网络安全立体纵深的多层次防御角度出发,入侵检测理应受到高度重视,这从国外入侵检测产品市场的蓬勃发展就可以看出.在国内,随着上网关键部门,关键业务越来越多,迫切需要具有自主版权的入侵检测产品;但目前我国的入侵检测技术还不够成熟,处于发展和跟踪国外技术的阶段,所以对入侵检测系统的研究非常重要.传统的入侵检测系统中一般采用传统的模式匹配技术,将待分析事件与入侵规则相匹配.从网络数据包的包头开始与攻击特征字符串比较.若比较结果不同,则下移一个字节再进行;若比较结果相同,那么就检测到一个可能的攻击.这种逐字节匹配方法具有两个最根本的缺陷:计算负载大以及探测不够灵活.面对近几年不断出现的ATM,千兆以太网,G比特光纤网等高速网络应用,实现实时入侵检测成为一个现实的问题.适应高速网络的环境,改进检测算法以提高运行速度和效率是解决该问题的一个途径.协议分析能够智能地"解释"协议,利用网络协议的高度规则性快速探测攻击的存在,从而大大减少了模式匹配所需的运算.所以说研究基于协议分析的入侵检测技术具有很强的现实意义.
第二章 入侵检测技术 2.1 入侵检测系统的分类 入侵检测系统按采用的技术分为:异常检测系统和误用检测系统.按系统所监测的对象分为:基于主 2
机的入侵检测系统和基于网络入侵检测系统.按系统的工作方式分为:离线检测系统和在线检测系统.按系统对入侵的反应分为:主动入侵检测系统和被动入侵检测系统.框架图如图所示。
图2-1 入侵检测系统框架图 2.1.1基于主机的入侵检测系统 基于主机的入侵检测系统监视主机的文件系统或者操作系统及各种服务生成的日志文件,以便发现入侵踪迹.它的优点有:不受加密传输的影响,它能够了解被监视主机应用层的活动细节,有效检测发生在应用层的入侵活动,可以检测多种网络环境下的网络包,而不用像网络IDS系统一样需安装多台传感器,这样就使整个系统的成本大大降低;由于使用包含实际发生事件的日志文件,所以比基于网络的系统就更能了解某一入侵行为是否最终成功从而减少错误.它的缺点有:由于作为用户进程运行,这种入侵检测系统依赖于操作系统底层的支持,与系统的体系结构有关,所以它无法了解发生在下层协议的入侵活动;老练的入侵者往往可以进入系统修改、删除有关的日志记录,从而隐藏入侵迹象;由于它位于所监视的每一个主机中,故所占用的资源不能太多,从而大大限制了所采用的检测方法及处理性能.