基于神经网络的入侵检测技术
基于深度学习的入侵检测技术研究
基于深度学习的入侵检测技术研究随着互联网的普及和应用,网络安全问题越来越受到人们的关注,如何保护网络安全成为现代社会面临的重要问题之一。
其中,入侵检测技术作为网络安全的重要组成部分,得到了广泛关注。
而基于深度学习的入侵检测技术,其应用前景更加广阔。
一、深度学习的概念深度学习是一种模仿人脑神经网络进行机器学习的算法,其核心是神经网络模型。
传统的机器学习算法需要人工对数据进行特征工程,提取数据的关键特征,然后输入到模型中进行学习,但是深度学习不需要进行特征工程,它可以自动从原始数据中提取特征,并对数据进行分类、识别等任务。
尤其是在图像、语音、自然语言处理等领域,深度学习已经取得了很大的进展。
二、入侵检测的概念入侵检测是指通过对网络数据流的分析,识别出是否存在入侵行为的过程。
其目的是及时发现并阻止网络攻击,对网络安全起到重要作用。
入侵检测可以分为主机入侵检测和网络入侵检测两类。
主机入侵检测是指在主机上对异常行为进行检测,如病毒、木马、恶意软件等攻击方式。
而网络入侵检测则是指对网络中传输的数据进行分析,识别网络攻击行为。
三、深度学习在入侵检测中的应用传统的入侵检测技术主要是基于规则的方法和基于统计的方法,都需要先进行特征工程或手工设计特征,然后再将特征输入到模型中进行分类。
但是传统方法往往存在特征选择不完备、计算效率低等问题,因此在处理大规模数据时的表现不佳。
而基于深度学习的入侵检测技术可以解决传统方法中的问题。
首先,深度学习可以自动提取从原始数据中学习到的特征,可以更好地处理大规模数据;其次,深度学习可以对非线性的数据进行建模,能够更好地识别复杂的入侵攻击。
因此,基于深度学习的入侵检测技术被认为是未来入侵检测的趋势。
四、基于深度学习的入侵检测技术研究现状目前,基于深度学习的入侵检测技术已经被广泛研究。
现有的主要方法可以分为三类:卷积神经网络、循环神经网络和卷积-循环神经网络。
卷积神经网络主要用于处理图像数据,在入侵检测中主要用于提取数据的时序特征。
基于深度学习的网络入侵检测系统研究
基于深度学习的网络入侵检测系统研究摘要:网络入侵日益成为网络安全领域的重要问题,传统的入侵检测系统往往无法有效应对复杂多变的网络攻击。
本文通过引入深度学习技术,研究了一种基于深度学习的网络入侵检测系统。
该系统利用深度神经网络对网络流量数据进行分析和判断,能够实现实时、准确地检测网络入侵行为。
实验结果表明,该系统在检测精度和处理速度上显著优于传统的入侵检测系统。
1. 引言网络入侵行为对网络安全造成了严重威胁,传统的入侵检测系统往往采用基于规则的方法,但这种方法存在规则维护困难、无法应对未知攻击等问题。
深度学习作为一种基于数据驱动的方法,可以自动从大量数据中学习特征,并能够适应各种复杂多变的攻击手段。
因此,基于深度学习的网络入侵检测系统成为了当前研究的热点之一。
2. 深度学习在网络入侵检测中的应用深度学习通过构建深层次的神经网络模型,不仅可以自动学习到网络流量中的复杂非线性特征,还可以通过端到端的方式对输入数据进行分类和判断。
在网络入侵检测中,我们可以借助深度学习对网络流量中的异常行为进行建模和识别。
2.1 数据预处理在进行深度学习之前,我们需要对原始的网络流量数据进行预处理。
首先,我们需要对数据进行清洗和去噪,去除无用的特征和异常数据。
其次,我们需要对数据进行归一化处理,将数据映射到合适的范围内,以加快网络模型的训练速度和提高模型的鲁棒性。
2.2 深度神经网络模型设计在网络入侵检测中,我们可以构建各种不同的深度神经网络模型。
常用的模型包括卷积神经网络(CNN)、循环神经网络(RNN)和长短期记忆网络(LSTM)。
这些模型可以自动从数据中提取特征,并将特征映射到合适的维度上,以便进行后续的分类和判断。
2.3 深度学习模型的训练与优化深度学习模型的训练需要大量的标注数据和计算资源。
在网络入侵检测中,我们可以利用已知的入侵样本进行有监督的训练,同时也可以利用未知的正常样本进行无监督的训练。
为了提高模型的泛化能力和鲁棒性,我们可以采取一系列的优化策略,如正则化、批量归一化、随机失活等。
基于BP神经网络的入侵检测系统
2 De to o ue ce c , ih a iest f t . p. f mp tr in e Sc u nUnv ri o s& S in e , z o 3 0 0 C ia C S y Ar ce c s Dah u6 5 0 , hn )
Absr c : e i t u i n d t c i n s se i a e n BP n u a e wo k . e o i i l c o n a a wh c ip a e y ta t Th n r so e e to y t m sb s d o e r ln t r s Th rg na c u t t i h d s l y d b a d
O 引言
计 算 机 系 统 的主 要 问题 是 网络 信 息 安 全 。 入 侵 检 测 是 为 系 统 提 供 实 时 的 检 测 及 采 取 相 应 的 防护 手 段 。Itre 数 据 传 输 是 基 于 T P I 议 ,缺 乏 安 nent C /P协 全 措 施 。故 设 计 基 于 B P神 经 网 络 的入 侵 检测 系 统 。
文 章 编 号 : 1 0 — 5 6 ( 07)0 — 0 10 0 6 17 2 0 405— 2
2 0 , o . 6 No 4 0 7 V 12 , .
基于 B P神 经 网络 的入 侵检 测 系 统
杜 晓 曦 ,钟乐 海 ,陈 良维 z ( .西华 师 范大 学 计 算机 学 院 , 四川 南 充 6 7 0 ;2 1 3 0 2 .四川 文 理学 院 计 算机 科 学系 ,四川 达 J 6 5 0 ) J 3 00 ’ I
摘要 :基 于 B P神 经 网络 技 术 的入侵 检 测 系统 ,将二 进 制表 示 的原 始 审 计数 据 用 A C I 表 示 ,再 进行 数 据预 S I码 处 理 , 包括 数 据 解析 和 转化 成神 经 网络 可识 别 的输 入 。 然后 执 行数 据 收 集 和预 处 理 ,得 到评 估 数据 集 ,以评 估 新 的 模 式或特征的准确率。最后 ,神经网络分析 引擎处理分析数据 集,判断是否为异常数据。 关键 词 :B P神 经 网络 ;入 侵检 测 ;I ; 神 经元 :训 练 DS
基于深度学习的网络入侵检测技术研究
基于深度学习的网络入侵检测技术研究随着互联网的迅猛发展,网络安全问题也日益突出。
网络入侵行为给个人和组织带来了巨大的损失和风险。
因此,网络入侵检测技术的研究和应用变得至关重要。
近年来,深度学习作为一种强大的数据分析工具,已经在各个领域取得了显著的成果。
本文将讨论基于深度学习的网络入侵检测技术研究。
一、深度学习简介深度学习是机器学习领域的一个重要分支,其核心思想是模拟人脑神经网络的学习和识别能力。
相比传统的机器学习方法,深度学习通过多层次的神经网络结构来学习数据的表征,能够自动提取特征并进行高效的分类和预测。
二、网络入侵检测的问题和挑战网络入侵检测是指通过监测和分析网络流量中的异常行为来识别潜在的入侵者和安全威胁。
然而,传统的入侵检测方法往往依赖于专家设计的规则或者特征工程,无法适应不断变化的网络安全环境。
此外,网络入侵涉及大量的数据和复杂的模式,传统方法往往无法有效捕捉到其中的隐藏规律和关联性。
三、基于深度学习的网络入侵检测技术基于深度学习的网络入侵检测技术通过使用深层次的神经网络结构来自动学习和提取网络流量中的特征,并进行入侵行为的分类和预测。
相比传统方法,基于深度学习的入侵检测技术具有以下优势:1. 自动学习特征:深度学习能够从原始的网络流量数据中自动学习到最具代表性的特征,无需依赖于繁琐的特征工程。
2. 多层次表示:深度学习模型可以通过多层次的神经网络结构来学习不同层次的特征表示,从而提高检测的准确性和泛化能力。
3. 强大的泛化能力:深度学习通过大规模的训练数据和优化算法,能够捕捉到网络入侵中的隐含规律和关联性,具有较强的泛化能力。
4. 实时响应:基于深度学习的入侵检测技术能够实时处理大规模的网络流量数据,并快速准确地检测到入侵行为,提高了网络安全的响应速度。
四、基于深度学习的网络入侵检测模型基于深度学习的网络入侵检测模型可以分为两类:基于传统神经网络的模型和基于卷积神经网络的模型。
1. 基于传统神经网络的模型:传统的神经网络模型如多层感知机(Multi-Layer Perceptron, MLP)和循环神经网络(Recurrent Neural Network, RNN)可以应用于网络入侵检测任务。
浅析基于神经网络的网络入侵检测技术
途 径 。本 文通 过 分 析 入 侵 过 程 、 侵 检 测 的过 程 及 目前 入 侵 检 测 技 术存 在 不足 的基 础 上 , 入 结合 神 经 网络 的优 势 , 引入 基 于神 经 网络 的 网络 入 侵 检 测模 型 , 望能 更 加 有 效 的维 护 网络 安 全 , 建 和 谐 网络 环 境 。 希 构
【 关键词 】 网络安全 ; 经网络 ; 神 网络入侵检测
随着 因 特 网 的 发 展 , 络 系 统 的 安 全 问题 正 变 得 日益 突 出 , 正 检 测 技 术 和 基 于 免 疫 系 统 的 入 侵 检 测 技 术 等 。 现 存 的 入 侵 检 测 系 统 网 现 但
遭 受 着 黑 客 、 毒 、 意 软 件 和 其 他 不 轨 行 为 的攻 击 。 侵 检 测 系 统 作 均 不 够 完 善 , 存 在 以下 问 题 : 病 恶 入 还 为安 全 防 御 的最 后 一 道 防 线 ,能 够 用 于 检 测 各 种 形 式 的 入 侵 行 为 , 是 21 入 侵 检 测 系统 本 身 还 在 迅 速 发 展 和变 化 , 未 成 熟 。 目前 , 大 . 远 绝 安 全 防御 体 系 的重 要 组 成 部 分 。为 抵 御 网络 安 全 的 威 胁 , 入 侵 检 测 多 数 的商 业 入 侵 检 测 系 统 的 工 作 原 理 和 病 毒 检 测 相 似 ,而 具 有 自学 对 系统 的科 学 建 设 显 得 尤 为 重 要 和 必 需 。 习、 自适 应 的入 侵 检 测 系统 还 远 未 成 熟 , 侵 检 测 技 术 在 理 论 上 突破 。 22 虚 警 率 偏 高 , 重 干 扰 了 结 果 , 扰 管 理 员 的 注 意 力 。 . 严 干
基于人工智能的网络入侵检测方法研究
基于人工智能的网络入侵检测方法研究随着网络技术的发展和应用的广泛,网络安全问题愈演愈烈。
网络入侵攻击威胁着网上用户的安全与隐私,如何有效地检测和防范网络入侵威胁成为了当前迫切需要解决的问题之一。
人工智能技术因其在处理复杂问题方面具有的优势而逐渐成为网络入侵检测领域中的重要手段。
本文对基于人工智能的网络入侵检测技术进行了研究和探讨,并提出了相应的应对方案。
一、人工智能在网络入侵检测领域的应用人工智能技术在网络入侵检测领域中的应用主要体现在以下三个方面:1. 基于机器学习的网络入侵检测方法。
机器学习是一种能够让计算机不断地学习和适应的技术,通过对样本数据进行学习和模型构建,使得计算机能够在没有人类干预的情况下自动识别和处理数据。
在网络入侵检测领域,基于机器学习的方法通过建立模型来学习网络入侵行为的规律,并将新的数据与模型进行比对来判断其是否存在入侵行为。
相较于传统的基于规则的检测方法,机器学习技术能够更加全面地考虑网络入侵的各个方面,提高检测精度和准确性。
2. 基于神经网络的网络入侵检测方法。
神经网络是一种类似于人类大脑神经细胞相互连接的计算模型,能够学习和处理复杂的非线性关系。
在网络入侵检测领域,基于神经网络的方法通过构建网络模型来学习和识别网络流量特征,从而实现网络入侵检测。
相较于基于机器学习的方法,基于神经网络的方法能够更加准确地识别数据流量中的复杂关系,从而提高检测精度和准确性。
3. 基于深度学习的网络入侵检测方法。
深度学习是一种基于神经网络的机器学习方法,在处理复杂问题方面具有明显的优势。
在网络入侵检测领域,基于深度学习的方法通过多层次的神经网络架构来学习和识别网络入侵行为。
相较于传统的基于规则和特征提取的方法,深度学习技术能够更加高效地识别复杂的网络入侵行为和攻击类型。
二、基于人工智能的网络入侵检测技术的发展现状当前,基于人工智能的网络入侵检测技术已经逐渐成为网络安全领域的重要研究方向。
基于LSTM网络的网络入侵检测技术
基于LSTM网络的网络入侵检测技术网络安全一直是当今科技发展中的一个重要领域,随着互联网的普及和网络攻击手段的不断进化,网络入侵检测技术变得尤为重要。
本文将介绍一种基于LSTM(长期短期记忆)网络的网络入侵检测技术,探讨其原理以及在实际应用中的效果。
一、引言在互联网时代,网络安全问题日益突出。
网络入侵行为通过潜在的威胁随时威胁着企业和个人的信息安全。
网络入侵检测技术是保护网络安全的重要手段之一。
传统的网络入侵检测技术主要依赖于规则匹配和特征提取,但针对未知的入侵行为往往无法有效应对。
而基于LSTM网络的网络入侵检测技术能够利用其强大的序列模型特性,有效地进行入侵行为的检测和预测。
二、LSTM网络原理LSTM网络是一种具有长短期记忆能力的循环神经网络。
相比于传统的循环神经网络,LSTM网络引入了遗忘门和输入门,能够更好地处理长序列依赖关系。
遗忘门用于控制哪些信息应该被遗忘,输入门用于控制哪些新信息应该被添加进来。
这一机制使得LSTM网络在处理近期和远期依赖问题时更加准确和有效。
三、基于LSTM网络的网络入侵检测技术基于LSTM网络的网络入侵检测技术主要分为两个阶段:训练阶段和测试阶段。
1. 训练阶段在训练阶段,需要准备入侵和非入侵样本数据集。
入侵样本数据集包含已知的入侵行为数据,非入侵样本数据集包含正常的网络流量数据。
首先,将样本数据集进行预处理,包括数据清洗、特征提取等步骤。
然后,构建LSTM网络模型进行训练。
在训练过程中,通过反向传播算法不断调整网络的权重和参数,以达到对入侵行为的准确识别和分类。
2. 测试阶段在测试阶段,使用已训练好的LSTM网络模型对实时网络流量进行检测。
将实时网络流量输入到网络模型中,通过前向传播算法进行预测。
根据预测结果,可以将网络流量划分为入侵行为和非入侵行为两类。
通过设定合适的阈值,可以对入侵行为进行进一步的细分和报警。
四、实验与应用为了验证基于LSTM网络的网络入侵检测技术的效果,我们进行了一系列实验。
基于LM的半自适应遗传神经网络在入侵检测中的应用
基于LM的半自适应遗传神经网络在入侵检测中的应用摘要:入侵检测是一种主动防御技术,能够实时地对入侵行为进行识别。
本文研究了现有的基于遗传神经网络的入侵检测系统及其改进方法,针对传统遗传算法容易早熟和自适应遗传算法计算量大、收敛速度慢等问题,提出了基于LM优化算法的半自适应遗传神经网络。
首先,让半自适应遗传算法确定全局最优区域,然后再用LM算法精确搜索。
改进后的遗传神经网络充分利用了半自适应遗传算法计算简单且具有全局搜索特性,并结合了LM优化算法局部精确搜索的优点。
将该网络应用于入侵检测中,实验结果表明,效果良好。
关键字:遗传神经网络;LM优化算法;半自适应遗传算法;入侵检测1引言随着Internet的高速发展,网络安全问题日益严峻。
入侵检测(IDS)作为一种主动防御技术,能够对企图入侵、正在入侵或已经发生的入侵进行识别并及时作出反应。
不仅能检测来自外部的入侵行为,同时也能监督网络内部用户的异常活动,在网络安全领域正发挥着越来越重要的作用。
但是随着入侵技术的发展,传统入侵检测技术的不足和缺点也逐渐显现,比如误报率高、处理速度慢等。
针对上述缺点,目前应用到入侵检测中的一些新技术主要包括神经网络、数据挖掘、数据融合和计算机免疫等。
由于神经网络具有良好的自学习、模糊运算和联想记忆能力,并且能够将模式的判断和匹配转换为数值的计算,进而可以提高系统分析及处理数据的速度。
因此,本文重点研究神经网络在入侵检测中的应用。
然而,现有的神经网络应用到入侵检测中也存在一些问题。
比如:容易陷入局部极小值、漏报率高和检测效率低等。
针对上述缺点,本文提出了基于LM数值优化算法的半自适应遗传神经网络,并将改进后的遗传神经网络应用于入侵检测仿真实验中,实验结果表明效果较好。
2 神经网络在入侵检测中的应用2.1 入侵检测系统的结构入侵检测系统是目前网络安全领域的研究热点,在保障网络安全方面起着越来越重要的作用。
该系统的通用模型[1]如下图所示:数据收集器的目的是从整个计算机环境中获得数据,并把收集到的数据交给分析器。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
基于神经网络的入侵检测技术摘要:关于神经网络与入侵检测技术的结合一直是网络安全问题研究的一个热点,本文介绍了网络发展带来的问题,并详细阐述了入侵检测技术的基本概况,接着说明神经网络在入侵检测中的应用,最后对其提出了一些展望。
关键词:神经网络入侵检测激励函数模型Abstract:On neural network and intrusion detection technology combined with network security issues has been a research focus, this paper brings the issue of network development, and elaborated on the basic overview of intrusion detection technology, and then the neural network intrusion detection Finally, some prospects of its proposed.Key words:neural network intrusion Detection Activation function model1 引言伴随着计算机网络技术的快速发展,网络的安全问题也日益突出,网络安全的一个主要威胁就是通过网络对信息系统的人侵。
特别是系统中一些敏感及关键信息,经常遭受恶意和非法用户的攻击,使得这些信息被非法获取或破坏,造成严重的后果。
目前在各个领域的计算机犯罪和网络非法入侵,无论是数量,手段,还是性质、规模,已经到了令人咋舌的地步。
据统计,美国每年由于网络安全问题而造成的经济损失超过170亿美元,德国、英国也均在数十亿美元以上,法国、新加坡等其它国家问题也很严重[1]。
在国际刑法界列举的现代社会新型犯罪排行榜上,计算机犯罪已名列榜首。
2008年,CSI/FBI调查所接触的524个组织工作中,有56%遇到电脑安全事件,其中有38%遇到1-5起,16%以上遇到11起以上。
因与互联网连接而成为频繁攻击点的组织连续3年不断增加,遭受拒绝服务攻击则从2005年的27%上升到2008的42%。
所以,对网络及其信息的保护成为重要课题。
对于网络安全现有的解决方案,我们知道防火墙、加密技术等都属于静态的防护手段,只能够被动的防御攻击,而对于已经发生的攻击则束手无策。
鉴于此,能动态、主动地实现网络防卫的实时人侵检测技术日益成为网络安全领域的一个关键技术。
神经网络NN (Neural Network)具有检测准确度高且有良好的非线性映射和自学习能力、建模简单、容错性强等优点。
神经网络技术具备相当强的攻击模式分析能力,能够较好地处理带噪声的数据,在概念和处理方法上都适合入侵检测系统的要求,已成为入侵检测技术领域研究的热点之一[2]。
但由于传统的入侵检测技术存在着规则库难于管理、统计模型难以建立以及较高的误报率和漏报率等诸多问题,制约了入侵检测系统在实际应用中的效果。
因此针对目前入侵检测系统存在的各种缺点和不足,提出了将神经网络运用于入侵检测的概念模型。
网络入侵检测问题本质上是获取网络上的数据流量信息并根据一定的方法进行分析,来判断是否受到了攻击或者入侵,因此,入侵检测问题可以理解为模式识别问题。
而人工神经网络是一种基于大量神经元广泛互联的数学模型,具有自学习、自组织、自适应的特点,在模式识别领域的应用取得了良好的效果。
利用神经网络技术的自学习能力、联想记忆能力和模糊运算能力,可以对各种入侵和攻击进行识别和检测。
基于这个思路,将神经网络技术和入侵检测技术相结合,建立了一个基于神经网络的入侵检测系统模型并实现了一个基于BP(Back Propagation)神经网络的入侵检测系统的原形,对原有的误差返向传播算法进行了改进以太提高收敛速度,然后对一些实际数据进行了测试和分析,在检测率,漏报率,误报率等方面取得了较好的效果。
2 入侵检测技术概况2.1入侵检测介绍2.1.1入侵检测的基本概念入侵(Intrusion)是指任何试图破坏资源完整性、机密性和可用性或可控性的行为。
完整性是指数据未经授权不能改变的特性;机密性是指信息不泄漏给非授权用户、实体或过程,或供其利用的特性;可用性是可被授权实体访问并按要求使用的特性;可控性是指对信息传播及内容具有控制能力。
作为一个广义的概念,入侵不仅包括发起攻击的人(如恶意的黑客)取得超出合法范围的系统控制权,也包括用户对于系统资源的误用,收集漏洞信息造成拒绝访问(Denial of Service)等对计算机系统造成危害的行为。
入侵检测(Intrusion Detection),顾名思义,是指对于面向计算资源和网络资源的恶意行为的识别和响应。
入侵检测是一种主动保护网络和系统安全的新型网络安全技术,是目前网络安全体系结构中的重要组成部分。
它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为或被攻击的迹象,然后采取适当的响应措施来阻挡攻击,降低可能的损失[3]。
入侵检测系统的主要功能包括:1、监视、分析用户及系统活动;2、检查系统配置及存在的漏洞;3、评估系统关键资源和数据文件的完整性;4、识别已知的攻击;5、统计分析异常行为;6、管理操作系统的日志,并识别违反用户安全策略的行为。
2.1.2入侵检测的一般步骤(1)信息收集确定数据源是入侵检测的第一步。
它的内容包括系统、网络、数据及用户活动的状态和行为。
入侵检测是否准确很大程度上依赖于收集信息的可靠性和正确性,入侵检测利用的信息一般来自一下四个方面:A系统日志和网络数据报B目录和文件中的不期望的改变C程序执行中的不期望行为D物理形式的入侵信息(2)数据分析收集到的有关系统、网络、数据及用户活动的状态和行为等信息,被送到检测引擎,一般通过三种技术手段进行分析:模式匹配、统计分析和完整性分析。
模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。
该过程可以很简单(如通过字符串匹配以寻找一个简单的条目或指令),也可以很复杂(如利用正规的数学表达式来表示安全状态的变化)。
一般来讲,一种进攻模式可以用一个过程(如执行一条指令)或一个输出(如获得权限)来表示。
该方法的一大优点是只需收集相关的数据集合,显著减少系统负担,且技术已相当成熟。
它与病毒防火墙采用的方法一样,检测准确率和效率都相当高。
但是,该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法,不能检测到从未出现过的黑客攻击手段。
统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。
测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。
例如,统计分析可能标识一个不正常行为,因为它发现一个在晚八点至早六点不登录的账户却在凌晨两点试图登录。
其优点是可检测到未知的入侵和更为复杂的入侵,缺点是误报、漏报率高,且不适应用户正常行为的突然改变。
具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法,目前正处于研究热点和迅速发展之中。
完整性分析主要关注某个文件或对象是否被更改,这经常包括文件和目录的内容及属性,它在发现被更改的、被特洛伊化的应用程序方面特别有效。
完整性分析利用强有力的加密机制,称为消息摘要函数(例如MD5),它能识别哪怕是微小的变化。
其优点是不管模式匹配方法和统计分析方法能否发现入侵,只要是成功的攻击导致了文件或其它对象的任何改变,它都能够发现。
缺点是一般以批处理方式实现,不用于实时响应。
尽管如此,完整性检测方法还应该是网络安全产品的必要手段之一。
例如,可以在每一天的某个特定时间内开启完整性分析模块,对网络系统进行全面地扫描检查。
(3)系统响应入侵检测的响应可以分为主动响应和被动响应两种类型。
在主动响应中,入侵检测系统(自动地或与用户一起)应能阻塞攻击,进而改变攻击的进程。
在被动攻击里,入侵检测系统仅仅简单地报告和记录所检测出的问题。
主动响应包括入侵反击、修正系统环境、收集额外信息等几种方式;被动相应包括告警和通知等。
主动响应和被动响应并不是相互排斥的,不管使用哪一种响应机制,作为任务的一个重要部分,入侵检测系统应该总能以日志的形式记录下检测结果。
2.2入侵检测分类目前入侵检测技术的分类方法很多,但主要包括基于体系结构的分类、基于分析策略的分类和基于工作方式的分类[4,5]。
2.2.1基于体系结构的分类根据体系结构的不同可以分为基于主机的IDS(Host-based IDS)和基于网络的IDS(Network-based IDS)。
基于主机的IDS安装在独立的主机上,通过监视WINDOWS NT上的系统事件、日志以及UNIX环境下的SYSLOG文件可以精确地判断入侵事件[6],一旦这些系统文件有变化,IDS将新的日志记录与攻击签名比较,以发现它们是否匹配。
如匹配,IDS将向管理员报警并采取相应行动。
基于网络的IDS使用原始的网络分组数据包作为进行攻击分析的数据源,一般需要一个独立的网络适配器,将其设置为混杂模式来实时监听所有通过网络进行传输的数据包[7],并与攻击签名匹配,一旦检测到攻击,IDS将对相关事件进行报警。
2.2.1.1基于主机的入侵检测早期在网络远没有现在盛行的时候,入侵检测系统主要是基于主机的系统。
基于主机的入侵检测系统通常应用两种类型的信息源,操作系统审计踪迹和系统日志。
操作系统审计踪迹由操作系统内核产生,这些审计踪迹是系统活动信息的集合,是对系统事件的忠实记录,由于操作系统本身提供了对审计踪迹的保护机制,因此作为入侵检测的信息源,操作系统审计踪迹的可靠性能得到很好的保证,但审计数据过于庞杂并且不易理解是其弱点所在;系统日志是一个反应各种各样的系统事件和设置的文件,由于日志文件通常是由应用程序产生,而且通常存储在不受保护的目录里,与操作系统审计踪迹相比,安全性不够好,但是系统日志结构简单(比如作为文本文件形式存在),理解起来相对容易,而安全性问题可以通过日志文件重定向等方法来解决,因此日志文件仍然是基于主机的入侵检测系统最常用的信息源之一,对日志文件在入侵检测系统中应用的研究也是当前的研究热点之一。
基于主机的入侵检测系统的优点包括:对入侵事件的观察更为细腻,理解更为准确;可以观察到入侵事件的后果;可以检测到网络入侵检测系统检测不到的入侵,不受网络信息流加密和交换网络的影响;可以检测到特洛伊木马等破坏软件完整性的入侵。