计算机入侵检测技术应用研究
计算机网络入侵检测技术研究进展
2 入 侵 检 测 分 类及 技 术 分析
根据检测的方法可将入侵检测分为两大类型 : 误用入侵检测和异常入侵检测。误用入侵检测又称为
特征检测或滥用检测 , 其是根据已知攻击的知识建立攻击特征库 , 通过用户或系统行为与特征库中各种攻
击模式的比较确定是否有入侵发生。该检测系统的优点是误报少 , 准确率高 ; 局限是它对未知的攻击无能
点, 并通过循环反馈及时做出有效的响应 。近年来 , 入侵检测逐渐成为工业界和学术界 的研究热点 , 出现
了许多入侵检测相关的新技术 , 本文旨在对各种技术的进展做以详细的介绍和进行必要的探讨 。
1 入 侵检 测 的基 本 概 念 及 模 型
在 18 年 A dr n 90 ne o 首次给出了入侵的定义: s 入侵是指在非授权 的情况下 , 图存取信息 、 试 处理信息或 破坏系统以使系统不可靠、 不可用的故意行为。入侵检测是指“ 通过对行为 、 安全 日 审计数据等其它网 志、 络上可以获得的信息进行操作 , 检测到对系统的闯入 或闯入的企图” 。入侵检测作 为一项重要的安全监控 技术 , 目的是识别系统中入侵者 的非授权使用及系 其 统合法用户的滥用行为。 目 前得到了广 泛认 同的通用模型是公共 入侵检
中图分 类号 :P9 .8 T 3 30 文献标识码 : A 文章编号 :6 1 69 (O7O 一O 4 0 17 — 5O2 O)6 O0— 4
目前 国际 上较 实 际并 可 指导 信 息系统 安 全建 设 和 安全 运 营 的是 动态 安全 模 型 PD (oc retn 2 R PlyPo co i t i
基金项 目: 广东省 自然科学基金项 目(5195 ; OO 1 ) 广东省 科技计划项 目( 0 B 2009 O 2 61 1 ) 0 4 0 作者简介 : 付玉珍 (9 1趼一 )女 , , 山西吕梁人 , 在读硕士生 , 研究领域为智能优 化算法 、 网络安全。
基于深度学习的网络入侵检测与防护方法研究
基于深度学习的网络入侵检测与防护方法研究随着互联网和网络技术的不断发展,网络安全问题变得日益重要。
网络入侵成为威胁企业和个人信息安全的常见手段。
在这种情况下, 研究网络入侵检测与防护方法变得至关重要。
深度学习作为一种强大的人工智能技术, 在网络安全领域也展现出了巨大的潜力。
本文将探讨基于深度学习的网络入侵检测与防护方法的研究现状和发展趋势。
首先,我们需要了解什么是网络入侵。
网络入侵是指未经授权或非法方式访问计算机系统、网络或数据的活动。
黑客可以利用各种手段,如恶意软件、网络钓鱼、DDoS攻击等来入侵目标系统,造成数据泄露、服务中断甚至财产损失。
传统的网络入侵检测系统主要基于规则和特征匹配,存在着无法适应复杂变化的网络环境、高误报率和漏报率等问题。
基于深度学习的网络入侵检测与防护方法通过学习网络流量的复杂非线性特征,能够更好地识别网络中的异常行为,并及时做出响应。
深度学习技术中的深度神经网络模型能够从大量的数据中学习到复杂的特征表示,有望解决传统方法中的一些问题。
研究人员正在将深度学习技术应用于网络入侵检测领域,取得了许多重要的成果。
在构建基于深度学习的网络入侵检测系统时,需要考虑以下几个关键问题。
首先是数据集的准备和标记。
大规模、高质量的标记数据是训练深度学习模型的关键。
其次是选择适合网络入侵检测的深度学习模型。
常用的模型包括卷积神经网络(CNN)、循环神经网络(RNN)、长短时记忆网络(LSTM)等。
此外,还需要考虑如何处理不平衡的数据分布、选择合适的损失函数和优化算法等技术细节。
除了网络入侵检测,深度学习技术还可以应用于网络安全防护领域。
基于深度学习的入侵防护系统能够主动识别并阻断恶意流量,提高系统的安全性和稳定性。
研究人员可以通过构建对抗网络、强化学习等方法来提高入侵防护系统的智能化水平,使其能够适应不断变化的网络环境。
未来,基于深度学习的网络入侵检测与防护方法还面临着许多挑战。
例如,如何处理大规模数据、提高模型的泛化能力、减少误报率等问题。
基于机器学习方法的入侵检测技术的研究_邓安远
On Intrusion Detection Technology Based on Machine Learnign Method
D EN G An2 Yuan
( Facult y of Information Science and Technology , Jiujiang Universit y , Jiujiang 332005)
Detection System ,NDIS) [5 ] ,分别以主机和网络作为数据源 。
从基于主机的入侵检测系统中又可以细分出一类 — — — 基于应 用的入侵检测系统 ,其数据源是系统上运行的应用 。这一分 类是基于它们各自的数据采集单元 , 即事件产生器 。基于不 同数据源的各种入侵检测系统有各自的优缺点 , 适用于不同 的场合 。 根据数据来源的不同 ,各种入侵检测系统有其固有的优 缺点 。其中 ,基于网络的入侵检测系统由于其安装部署容易 且对现有网络影响小的优点 ,在应用中较为广泛 。但是基于 网络的入侵检测系统需要对网络中所有的通讯量进行监听和 分析 ,为达到一定的性能目标 , 必须有较高的处理能力 , 这是 亟需解决的问题 。基于主机的入侵检测系统只对目标设备的 数据日志进行分析 ,因此对性能的要求不高 ,同时能检测出基 于网络的入侵检测系统漏过的攻击 , 并判断攻击是否成功 。 但其运行在被保护的主机上 ,本身易受攻击 ,并影响主机的性 能 。基于应用的入侵检测系统针对性更强 ,可仍然继承了基 于主机的入侵检测系统的优缺点 。 因此 ,比较有效的入侵检测系统大多采用多种数据源 ,把 三种入侵检测系统有层次地结合在一起 , 通过对多种数据源 的综合分析来得到更好的检测结果 , 达到互补的效果 。当这 三种数据来源结合在一起的时候 , 通常采用应用2主机2网络
基于深度学习的网络流量入侵检测技术研究
基于深度学习的网络流量入侵检测技术研究随着计算机网络技术的不断发展,网络安全问题也变得日益严重。
其中,网络攻击形式不断变化,几乎无孔不入。
入侵检测作为网络安全的重要保障,其技术研究也愈加迫切。
目前,基于深度学习的网络流量入侵检测技术正成为网络安全领域的热点研究课题。
本文将就基于深度学习的网络流量入侵检测技术进行一番探讨。
一、机器学习及深度学习简介机器学习是一种人工智能的研究领域,旨在设计和开发能够自动学习的算法,并让计算机通过学习数据,从数据中自主提取规律,进而完成对目标的分类、预测等任务。
深度学习是机器学习的一个分支,其核心理念是采用大规模的神经网络,实现对复杂数据的自动特征提取。
二、传统的网络入侵检测技术传统的网络入侵检测技术主要包括基于特征的入侵检测技术和基于行为的入侵检测技术。
基于特征的入侵检测技术是指对网络流量中的某些特定特征进行分析和比对,以侦测异常流量和标识入侵。
这种技术的优点是检测效率高,且清晰明了,容易理解和调整。
缺点在于其检测的局限性较大,很难识别新的未知攻击类型。
基于行为的入侵检测技术是指通过对网络用户的行为进行分析,判断是否存在入侵行为。
这种技术的优点是不依赖于特定的攻击特征,可以检测出许多未知的攻击类型。
缺点在于误判率较高,缺乏有效性能评估方法。
三、基于深度学习的网络入侵检测技术基于深度学习的网络入侵检测技术是利用深度神经网络等技术分析网络流量,对网络入侵行为进行分类和识别的技术。
其关键思路是将网络流量数据传递给深度神经网络,让模型自己学习网络流量的特征,以实现对恶意流量的高精度识别。
与传统入侵检测技术相比,其具有多层抽象特征学习、更精准更准确的检测效果和更快的速度等优点。
此外,深度学习技术在处理稀疏数据、大规模数据上有很强的适应性,可以应对大量的入侵检测数据。
深度学习模型在网络入侵检测领域中有多种应用。
例如,利用卷积神经网络(CNN)来分析入侵检测的网络数据,利用递归神经网络(RNN)来分析网络数据包中的序列数据,以及利用深度置信网络(DBN)和自动编码器(Autoencoder)等模型来实现网络流量特征学习和预测。
数据挖掘技术在计算机网络入侵检测中的应用
数据挖掘技术在计算机网络入侵检测中的应用摘要:数据挖掘充分利用了这些学科的结果,但是研究目标和重点又不同于这些单一研究领域。
数据挖掘方法能从巨大的真实数据库中提取感兴趣的和以前不知道的知识,从而成为一个在理论和应用中重要而实用的研究领域。
网络安全技术从应用方面来看,主要分为面向终端系统的网络安全技术和面向网络基础架构的安全技术。
本文主要探讨数据挖掘技术在计算机网络入侵检测中的应用。
关键词:数据挖掘;计算机网络;入侵检测中图分类号:tp393.08 文献标识码:a 文章编号:1007-9599 (2013) 02-0000-021 引言计算机网络物理介质的不安全因素主要有电磁泄漏及干扰,网络介质在接口、某些特定线缆都有可能出现因屏蔽不严而导致的信号泄漏。
目前大多数计算机网络系统的屏蔽措施都不是很健全,这对网络安全构成了一定威胁。
操作系统和应用程序在功能上变得越来越丰富,在用户使用网络更加方便的同时,也存在很多容易受到攻击的地方。
人员安全问题主要是由于工作人员的保密观念不强导致。
其中操作失误导致的信息泄漏或损毁也是导致安全问题的一个重要因素。
工作人员利用自己对系统的熟悉了解,为达非法目的对系统数据进行篡改、破坏也会对网络系统造成严重后果。
环境安全问题主要是由于地震、火灾、雷电等自然灾害或掉电、温度湿度、空气洁净度等环境因素所导致的安全问题。
2 计算机网络入侵的原理良好的网络规划与设计,以及适合具体网络结构的网络管理,能大大降低网络运行成本和网络管理员的劳动强度。
好的网络管理系统能提供给网络管理员一个非常清晰的网络拓扑结构,把大量网络运行的状态数据转化为非常简单的图形提示,及时反馈网络中出现的问题。
这种高度的协同性不仅表现为企业内部各种信息系统的相互协同,而且表现为企业内部信息系统与外部信息系统的有效协同。
计算机病毒、黑客、信息垃圾、存储设备故障等方面的问题给分布式网络管理结构带来许多的安全隐患,对分布式网络管理结构的安全防范机制的建设提出了更高的标准,要求企业在信息资源集成过程中采取必要的安全保障措施来保证信息资源的安全。
论数据挖掘在计算机入侵检测中的应用_张淳
981 引言在信息时代高速前进的今天,网络安全问题也伴随着信息高速发展变得层出不穷。
有许多人学习各种攻击的手法通过丰富的网络资源去攻击别人,通过一个简单的操作去试试自己的破坏行为,所以目前最紧要的就是能够找到有效的检测方法去阻止这些攻击行为,这也是目前计算机行业的一个发展趋势。
对于网络安全的保护手段随着攻击的不断变化而变化,这些手段我们大都耳熟能详,像VPN 、防火墙等。
但是这仅限于静态方法,并不能真正意义上的有效保护。
而入侵检测(Intrusion Detection)技术才是时下最有用的对(网络)系统的运行状态进行监视的系统,它的主要作用就是发现层出不穷的攻击企图、攻击行为与攻击结果,通过技术手段去保证系统资源的机密性、完整性与可用性不外泄,最终形成一种动态的有效地防护保护策略,它的优秀就在于能够对网络安全实施全程监控、攻击与反攻击等动态保护,可以说是填补了静态防护策略的空白。
滥用检测和异常检测是传统的入侵检测技术。
滥用检测的主要作用在于分析不同的网络攻击,通过寻找网络攻击的相同点,及时有效的防范已知攻击,减少防范误差,但是这种方法的弊端在与智能检测到现有的攻击,不能时时起到检测作用;但是对于异常检测通来说,它的工作原理是通过检测,发现当下活动是否与历史正常活动有区别来检测是否有入侵攻击,它的优点在于能够检测到未知攻击,但是它的缺点也能够显而易见发现就是会产生误报以及漏报危险。
所以在进行网络入侵检测系统监察时,就必须把查漏工作做得位,需要运用数据挖掘技术直接进行网络入侵的检测,对于这个系统来说,基础的模型是以Snort 入侵检测系统为主的,使网络入侵检测系统凌驾于数据挖掘之上。
2 网络入侵检测系统中针对数据挖掘的应用在网络入侵检测系统(IDS)中,通过数据挖掘技术的应用,起到时时方法的作用。
它的工作原理在于把挖掘审计数据作为防范的依据,在数据中找到入侵行为,简单而有效的这么一种检测规则。
需要审计的数据主要是通过预先处理和有时间的审计记录进行监控。
入侵检测技术在高速网络环境中的应用
入侵检测技术在高速网络环境中的应用摘要:由于tcp/ip 协议的开放性,入侵检测网络安全技术备受业界人士的关注。
为了研究在未来高速ipv6 互联网中的入侵检测技术,通过分析传统入侵检测系统的局限性,论证了在ipv6环境下采用基于协议分析技术的入侵检测系统的必要性和可行性。
关键词:入侵检测技术协议分析网络安全1 引言入侵检测系统作为一种积极主动、实时动态的网络安全防范技术,越来越受到人们的关注。
它通过收集、分析计算机网络或系统中若干关键点数据以判断是否有违反安全策略的行为和被攻击的迹象,并帮助系统对付网络攻击,扩展系统管理员的安全管理能力,提高信息安全基础结构的完整性,从而提供对内外攻击和误操作的实时保护。
下一代internet将主要采用ipv6 协议。
与ipv4 协议相比,ipv6 协议具有许多新的特点,如简化的ip包头格式、主机地址自动配置、认证和加密以及较强的移动支持能力等。
2 入侵检测概况2.1 入侵检测的分类入侵检测系统根据检测手段可分为误用检测和异常检测两种类型。
基于误用检测技术的系统都有对未知入侵方式无能为力的缺陷,这种系统只能利用具备的知识库,通过对当前的系统行为方式进行分析、对比以判断入侵行为发生与否;异常检测技术包含统计算法。
异常检测的难题在于如何建立“特征轮廓”及设计统计算法,以避免将正常的操作误作为“入侵”或忽略真正的“入侵”行为。
根据在网络中所处位置及检测内容的不同,入侵检测系统主要分为两种:一种是基于网络的入侵检测系统;一种是基于主机的入侵检测系统。
基于网络的入侵检测系统易部署,资源占用少,隐蔽性好,检测速度快。
实际应用中二者常结合在一起,形成所谓的混合型ids。
2.2 传统的入侵检测技术当前,绝大多数应用ids 的检测机制还停留在以基本的数据包捕获加以非智能模式匹配和特征搜索技术来探测攻击。
基于特征模式匹配技术的ids 在实际网络环境下遇到的最大挑战,亦即当前大多数ids 在应用中的瓶颈问题是:准确性和性能。
入侵检测技术在图书馆网络安全中的应用研究
取 得 不 错 的成 效 ,日渐 成 为 日常 使 用的 检 测 方法。 ( 1 ) 模 式 匹 配 法 ,将 所 有合 法 数 据 及 信
机 发送数据 包, 或 者运用虚假I P 欺 骗 目标 2 . 1 系 统框 架 设 计 图 书 馆 网 络 系 统 不 同 于 其 他 系 统 ,此 主 机 和 其他 主 机 的信 任 关 系。 系统 内信 息 量 巨大 , 用 户的 不 确 定 性较 强,
字图书馆强大的信息含量 以及较 为宽松 的网络环境 给非法入侵提供 了 可来之机 。 如何保 障图书馆的网络安全是 图书馆界需要研 究和解决的重
要课题之一。
关键词 : 入侵检测 图书馆
网络 安全 应 用研究
中图分类号: T P 3 9 3
文献标 识码 : A
文章编号: 1 6 7 4 — 0 9 8 X ( 2 0 1 3 ) 1 2 ( a ) 一 0 1 8 9 — 0 2
Q: 坠
图 书 馆 论 坛
Sci en ce a n d Tech no l ogy ቤተ መጻሕፍቲ ባይዱ I nn ova t i on Her a l d
入侵 检 测 技术 在 图 书馆 网络 安全 中的应 用研 究
( 皖西学院图书馆
台风 安徽六安
2 3 7 0 0 0 )
摘 要: 随着互联 网的快速 发展 , 信息安 全问题越 来越 引起 社会 的高度关注。当前,图书馆里的信息安全问题 主要表现形式就是非法入侵。 数
网络入侵检测技术研究
制 . 用基 于入侵 检测 技 术 的入 侵 检测 系统对 计 算 机 使 网络 及基 于网络 的系统 进 行 监视 , 依据 监 视结 果 针 对 不 同的入侵 行为采 用不 同 的安 全策 略 , 以期最 大程 度 地 降低入侵 带来 的危 害 . 它不 仅 能 帮 助被 保 护 系统 检 测 和防范外 部 网络 攻击 , 能检 测 网 络 内部用 户 的不 还 安 全操作 , 为系统 提供完 整性 、 可信性 和可用 性 的动态
作者简介:夏
炎(9 0一)男 , 18 , 沈阳人 , 讲师 , 硕士研究生
第4 期
夏
炎, : 等 网络入侵 检 测技 术研 究
・6 - 33
多个 进程 组成 的 , 一个 进 程 的执 行 行 为 由它 运行 时执
作, 但是 可 以在每 一 天 的某 个 特 定 时 间 内 开启 完 整性 分析 模块 , 网络 系统进 行 全面地 扫 描检查 . 整性检 对 完 测方 法是 网络 安全 产 品的 必要方 法 和手段 之一 .
于信息收集所获得信息 的准确性 、 及时性和可靠性 , 这
就需要确保 用来 检测 网络 系统 的 软件 的完 整性 , 时 同
入侵检测系统软件本身应具有相当强的坚固性 , 避免 收集到错误 的信息. 入侵检测利用的信 息一般包括 4
收 稿 日期 :20 —0 0 8 3—2 0
执行一般包括操作系统 、 网络服务 、 用户启动的程序和 完成特定 目的的应用程序 . 应用程序一般是由 1 个或
或 系统 中是 否有违 反安 全策略 的行 为和迹象 的一种 机
个方面 , 即系统 和 网络 E志 、 t 目录 和文件 中 的不期 望改 变 、 序执行 中 的不 期望行 为 和网络 日志 . ) 日志 文 件用 来 保存 当前 系统 和 网络 活动 的具体 内容和 细 节 , 中包 含 发生 在 系统 其 和 网络 上 的各 种不 正 常和 不 期望 活 动 的证 据 , 如对 例
入侵检测技术探讨
21 第 i 0 2年 期 C m u e DS fw r n p l c t o s op trC o ta ea dA p ia in 工 程 技 术
入侵检测技术探讨
顾 晓 宁
( 集宁师范学院计算机 系,内蒙古乌兰察布 0 20 100)
摘 要 :随着计算机网络应用的增 多,网络安全 问题也 日益严峻。本文介绍了入侵检测 系统的概念,并对入侵检测技 术进行 了简要 的分 析 ,探 讨 了一 些现阶段 主要 的入 侵检 测技 术 ,最后展 望 了入侵 检 测技 术的发展 趋 势及 主要研 究 方向 。
Gu Xio ig a nn Nhomakorabea(in e c es olg o ue c n eD p r n, lnh b 0 0 ,hn ) Jn gT a h r C l eC mp tr i c e at t i e Se me Wua c a u 10 0C i 2 a
Absr c : ih t p iai n oft o utrn two k ic e sn ,t e p o lm b u e— r e u iy i r n r t a tW t he a plc to he c mp e e- r n r a ig h r b e a o tn two sc rt smo ea d mo e k
关键词 : 网络 安全 ;入侵 检 测 ;入 侵检 测技 术 ;入侵 检测 系统
中图分类号 :T 33 8 P9 . 0
文献标识码 :A 文章蝙号 :10 — 59( 02 O 一 0 7 0 07 99 21 ) l 04 - 2
I tu in Dee t n Te h o o y S u y n r so t ci c n l g t d o
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
邮局订阅号:82-946360元/年技术创新
信息安全
《PLC技术应用200例》您的论文得到两院院士关注
中国自控网计算机入侵检测技术应用研究ResearchofApplicationsonComputerIntrusionDetectionTechnology(1.西安交通大学;2.云南民族大学)凌永发1,2王杰2陈跃斌2
Ling,YongfaWang,JieChen,Yuebin
摘要:介绍了计算机入侵检测技术的基本原理和过程,分析了基于数据挖掘、神经网络、支持向量机等最新技术应用于入侵检测的情况,提出了未来工作方向。
关键词:入侵检测;网络安全;应用
中图分类号:TP393.08文献标识码:A
Abstract:Thepaperpresentsthebasicprincipleandprocessofcomputerintrusiondetectiontechnology,andanalysestheapplica-tionsaboutintrusiondetectionbasedstatisticalmodel,model,system,neuralnetworkandsupportvectormachinetechnologiesetc,andpointoutfurtherresearchesaboutit.Keywords:IntrusionDetection;NetworkSecurity;Application
文章编号:1008-0570(2006)03-3-0053-03
引言近年来,随着网络的普及与应用领域的逐渐扩展,网络安全与信息安全问题日渐突出。在网络安全的实践中,建立一个完全安全的系统是不现实的。更为实用、可行的方案是建立一个比较容易实现的安全系统,同时按照一定的安全策略来建立相应的安全辅
助系统。
入侵检测技术是近年来出现的新型网络安全技术,目的是提供实时的入侵检测及采取相应的防护手
段,如记录日志、断开网络连接等。扩展了系统管理员
的安全管理能力(包括安全日志、监控、攻击识别及响应),帮助计算机系统抵御攻击。它以探测与控制技术为本质,起着主动防御的作用,是网络安全中极其重要的部分。
1入侵检测技术概述
入侵检测技术的研究已经走过了20多年的发展历史:1980年4月,James第一次详细阐述了入侵检测的概念。他将入侵尝试或威胁定义为:潜在的、有预谋的、未经授权的访问信息、操作信息,致使系统不可靠
或无法使用的企图,并提出用审计追踪来监视入侵威胁;1987年,乔治敦大学的Denning和SRI/CSL的Pe-
ter提出了一个经典的入侵检测模型,首次将入侵检测的概念作为一种计算机系统的安全防御措施提出;
1990年,加州大学戴维斯分校的Heberlein等提出新
概念:基于网络的入侵检测NSM(NetworkSecurity
Monitor),
入侵检测被分为基于主机的和基于网络的
两个基本类型,同时该系统第一次直接将网络流作为数据来源。从此之后,入侵检测系统发展史翻开了新
的一页。
入侵检测是一种动态的安全防护技术,它从计算
机系统和网络的不同关键点采集信息,然后分析这些信息以寻找入侵的迹象,针对外部攻击、内部攻击和
误操作给系统提供安全保护。
入侵检测系统IDS(IntrusionDetectionSystem)是实现入侵检测功能的系统。它在被保护系统的安全性受到侵害时发出报警并采取适当的行动来阻止入侵行为,从而起到保护系统安全的作用。IDS一般包括3
个部分:信息的收集和预处理、入侵分析引擎及响应和恢复系统。入侵检测首先要进行信息收集,检测成
功与否依赖于信息的可靠性、正确性和实时性;入侵分析引擎是IDS中的核心部分,传统的入侵检测方式为异常检测和误用检测两种,目前的IDS系统大多是两者的结合;事件响应和恢复很重要,但往往被忽略
。
图1给出了入侵检测模型,它是Denning和Peter
凌永发:博士后,副教授基金资助:国家自然科学基金(10371097),云南省计算机应用技术重点实验室开放基金资助项目
53--技术创新
中文核心期刊《微计算机信息》(管控一体化)2006年第22卷第3-3期
360元/年邮局订阅号:82-946《现场总线技术应用200例
》
信息安全于1987年提出的一个抽象的入侵检测模型。该模型主要由6部分构成:主体、对象、审计记录、活动简档、异常记录和活动规则。但是由于缺乏相应的通用标准,不同系统之间缺乏互操作性和互用性,大大阻碍了入侵检测系统的发展。为了解决不同IDS之间的互操作和共存问题,1999年5月,加州大学Davis分校的安全实验室完成了通用入侵检测框架CIDF(CommonIntrusionDetec-tionFramework)标准的制定,试图提供一个允许入侵检测、分析和响应系统和部件共享分布式协作攻击信息的基础结构;Internet工程任务组IETF(InternetEn-gineeringTaskForce)成立了入侵检测任务组IDWG(IntrusionDetectionWorkingGroup),主要负责建立入侵检测数据交换格式IDEF(IntrusionDetectionSystemExchangeFormat)标准,并提供支持该标准的工具,以便更高效率地开发IDS系统。该框架的目的主要是:(1)IDS构件共享,即一个IDS的构件可以被另一个IDS构件所使用;(2)数据共享,即通过提供标准的数据格式,使得IDS中的各类数据可以在不同系统之间传递并共享;(3)完善互用性标准并建立一套开发接口和支持工具,以提供独立开发部分构件的能力。2入侵检测技术的应用目前,在入侵检测系统中常用的检测方法有:基于用户行为概率统计模型、基于模型推理、基于状态转移分析、基于模式匹配、基于专家系统、基于数据挖掘、基于神经网络以及基于支持向量机技术等等。从发展趋势来看,入侵检测技术常采用智能化检测的相关技术,包括数据挖掘、神经网络、支持向量机等。目前对这些技术的研究是学术界的热点,但实际应用的产品几乎没有。这并不是说这些研究没有价值,从长远来看,智能化是大势所趋,现在需要基础性研究,只是目前还缺乏关键性突破。2.1数据挖掘技术的应用由于海量数据的存在及网络环境和网络攻击的复杂性,传统的基于手工编码建立模型的方式缺乏精确性、实时性,所以数据挖掘应运而生。数据挖掘方法是提供一个通用的检测模型,与特定的攻击种类无关,所以其各种攻击的阈值是动态调整的,要根据所采用的训练数据而定,也就是说训练数据至关重要。诸如分类、关联、序列、聚类等分析方法已得到验证,能够有效地提高了入侵检测的精确性,特别是在选择统计特征时尤其有用。该方向已成为研究的一个热点,属于网络安全和人工智能的交叉学科。数据挖掘技术是一种决策支持过程,它主要基于人工智能技术,能高度自动化地分析原有数据,做出归纳性的推理,从中挖掘出潜在的模式,预测出客户的行为。现有的入侵检测系统在提取用户行为特征以及建立正常或异常模式库方面有时并不能很好地反映实际情况,所建立的模式库也不够完善,容易造成误警或漏警,给网络系统造成损失。而数据挖掘技术非常适用于从历史行为的大量数据中进行特征提取,
同时也可用于对当前用户行为数据进行特征提取。数据挖掘在从数据中提取特征与规则方面的这种强大优势使它融入入侵检测系统成为一个趋势。在入侵检测系统中运用数据挖掘技术可以有效地从各种数据中提取出有用的信息。
数据挖掘利用了人工智能的一些已经成熟的算法和技术,如神经网络、遗传算法、决策树、邻近搜索算法、规则推理、模糊逻辑等,采用哪几种技术主要取决于问题类型以及数据的类型和规模。无论采用何种技术,从功能上都可将数据挖掘的分析方法分为以下
4种:关联分析、序列模式分析、分类分析和聚类分析。
引入数据挖掘技术的入侵检测系统工作过程如下:(1)收集用户历史行为数据和系统中各种审计数据或网络数据;(2)将采集到的数据进行集成与预处理;(3)从系统有关数据中提取有关行为特征和规则;
(4)建立系统所需的异常模式或正常模式的知识库;(5)从当前用户的行为数据中提取当前用户行为特征;(6)根据一定的算法,从知识库中提取相关规则数
据,检测当前用户行为特征,根据检测结果采取相应措施。
2.2神经网络技术的应用神经网络模型力图模仿生物神经系统,通过接受外部输入的刺激,不断获得并积累知识,进而具有一
定的判断预测能力。尽管神经网络模型的种类很多,
得基本模式都是由大量简单的计算单元(又称为节点或神经元)广泛相互连接而构成的一种并行分布处理网络。基于神经信息传输的原理,各个节点通过可变的权值彼此相连接,每个节点对N个加权的输入求
和,当求和值超过某个阀值时,节点呈“兴奋”状态,表示有信号输出。节点的特征由其阀值和非线性函数的
54--