基于网络的入侵检测模型和方法研究
基于深度学习的入侵检测技术研究
基于深度学习的入侵检测技术研究随着互联网的普及和应用,网络安全问题越来越受到人们的关注,如何保护网络安全成为现代社会面临的重要问题之一。
其中,入侵检测技术作为网络安全的重要组成部分,得到了广泛关注。
而基于深度学习的入侵检测技术,其应用前景更加广阔。
一、深度学习的概念深度学习是一种模仿人脑神经网络进行机器学习的算法,其核心是神经网络模型。
传统的机器学习算法需要人工对数据进行特征工程,提取数据的关键特征,然后输入到模型中进行学习,但是深度学习不需要进行特征工程,它可以自动从原始数据中提取特征,并对数据进行分类、识别等任务。
尤其是在图像、语音、自然语言处理等领域,深度学习已经取得了很大的进展。
二、入侵检测的概念入侵检测是指通过对网络数据流的分析,识别出是否存在入侵行为的过程。
其目的是及时发现并阻止网络攻击,对网络安全起到重要作用。
入侵检测可以分为主机入侵检测和网络入侵检测两类。
主机入侵检测是指在主机上对异常行为进行检测,如病毒、木马、恶意软件等攻击方式。
而网络入侵检测则是指对网络中传输的数据进行分析,识别网络攻击行为。
三、深度学习在入侵检测中的应用传统的入侵检测技术主要是基于规则的方法和基于统计的方法,都需要先进行特征工程或手工设计特征,然后再将特征输入到模型中进行分类。
但是传统方法往往存在特征选择不完备、计算效率低等问题,因此在处理大规模数据时的表现不佳。
而基于深度学习的入侵检测技术可以解决传统方法中的问题。
首先,深度学习可以自动提取从原始数据中学习到的特征,可以更好地处理大规模数据;其次,深度学习可以对非线性的数据进行建模,能够更好地识别复杂的入侵攻击。
因此,基于深度学习的入侵检测技术被认为是未来入侵检测的趋势。
四、基于深度学习的入侵检测技术研究现状目前,基于深度学习的入侵检测技术已经被广泛研究。
现有的主要方法可以分为三类:卷积神经网络、循环神经网络和卷积-循环神经网络。
卷积神经网络主要用于处理图像数据,在入侵检测中主要用于提取数据的时序特征。
基于深度学习的网络入侵检测系统研究
基于深度学习的网络入侵检测系统研究摘要:网络入侵日益成为网络安全领域的重要问题,传统的入侵检测系统往往无法有效应对复杂多变的网络攻击。
本文通过引入深度学习技术,研究了一种基于深度学习的网络入侵检测系统。
该系统利用深度神经网络对网络流量数据进行分析和判断,能够实现实时、准确地检测网络入侵行为。
实验结果表明,该系统在检测精度和处理速度上显著优于传统的入侵检测系统。
1. 引言网络入侵行为对网络安全造成了严重威胁,传统的入侵检测系统往往采用基于规则的方法,但这种方法存在规则维护困难、无法应对未知攻击等问题。
深度学习作为一种基于数据驱动的方法,可以自动从大量数据中学习特征,并能够适应各种复杂多变的攻击手段。
因此,基于深度学习的网络入侵检测系统成为了当前研究的热点之一。
2. 深度学习在网络入侵检测中的应用深度学习通过构建深层次的神经网络模型,不仅可以自动学习到网络流量中的复杂非线性特征,还可以通过端到端的方式对输入数据进行分类和判断。
在网络入侵检测中,我们可以借助深度学习对网络流量中的异常行为进行建模和识别。
2.1 数据预处理在进行深度学习之前,我们需要对原始的网络流量数据进行预处理。
首先,我们需要对数据进行清洗和去噪,去除无用的特征和异常数据。
其次,我们需要对数据进行归一化处理,将数据映射到合适的范围内,以加快网络模型的训练速度和提高模型的鲁棒性。
2.2 深度神经网络模型设计在网络入侵检测中,我们可以构建各种不同的深度神经网络模型。
常用的模型包括卷积神经网络(CNN)、循环神经网络(RNN)和长短期记忆网络(LSTM)。
这些模型可以自动从数据中提取特征,并将特征映射到合适的维度上,以便进行后续的分类和判断。
2.3 深度学习模型的训练与优化深度学习模型的训练需要大量的标注数据和计算资源。
在网络入侵检测中,我们可以利用已知的入侵样本进行有监督的训练,同时也可以利用未知的正常样本进行无监督的训练。
为了提高模型的泛化能力和鲁棒性,我们可以采取一系列的优化策略,如正则化、批量归一化、随机失活等。
基于Transformer的网络入侵检测系统
基于Transformer的网络入侵检测系统近年来,随着互联网的迅猛发展,网络入侵事件频繁发生,给个人和企业的信息安全带来了巨大的威胁。
为了应对这一挑战,研究人员提出并不断改进了各种网络入侵检测系统。
其中,基于Transformer的网络入侵检测系统成为了学术界和工业界的热点研究方向。
一、概述基于Transformer的网络入侵检测系统是一种新型的机器学习方法,旨在通过对网络流量数据进行实时监测和分析,识别并阻止恶意网络活动。
它借鉴自然语言处理领域中Transformer模型的思想,将网络入侵检测问题转化为一个序列分类任务。
二、Transformer模型介绍Transformer模型是由Google提出的一种全新的神经网络架构,广泛用于机器翻译、语言生成等自然语言处理任务中。
它的核心是自注意力机制(Self-Attention),通过计算输入序列中不同位置之间的相对权重,实现了对上下文信息的全局建模。
三、网络流量数据表示在基于Transformer的网络入侵检测系统中,网络流量被表示为一系列的数据包,每个数据包包含了源IP地址、目标IP地址、源端口、目标端口等信息。
这些信息经过编码,被输入到Transformer模型中进行处理。
四、特征提取为了更好地捕捉网络流量中的关键特征,研究人员提出了各种特征提取方法。
常用的方法包括基于统计的方法、基于流量分析的方法以及深度学习方法。
这些方法通过提取网络流量中的统计特征、时序特征和频谱特征等,将网络流量数据转化为可供Transformer模型处理的向量表示。
五、网络入侵检测基于Transformer的网络入侵检测系统通过将网络流量数据输入到Transformer模型中,利用其强大的上下文建模能力,对网络流量进行分类。
系统会学习到正常网络流量的模式,并能够在遭遇异常流量时及时发出警报。
这种方法相比传统的入侵检测方法能够更好地应对网络流量中的时序相关性和长距离依赖关系。
基于人工智能的网络入侵检测与防御研究
基于人工智能的网络入侵检测与防御研究简介随着互联网的不断发展和普及,网络安全问题也日益凸显,网络入侵成为现代社会中常见的威胁之一。
传统的网络安全防御手段已经无法满足对于不断进化和变化的网络攻击的需求。
因此,基于人工智能的网络入侵检测与防御技术应运而生。
本文旨在探讨并研究基于人工智能的网络入侵检测与防御技术的原理、方法以及其在网络安全领域中的应用。
一、网络入侵检测与防御技术概述网络入侵检测与防御技术是指通过对网络流量和系统行为进行实时监测与分析,识别潜在的网络入侵行为并及时采取相应的防御措施。
传统的网络入侵检测与防御技术主要基于规则匹配和特征库的方式,但由于网络攻击手段的日益复杂和多样化,传统方法已经不足以应对这些威胁。
基于人工智能的网络入侵检测与防御技术通过机器学习、深度学习和自然语言处理等技术手段,具备更强大的智能化和自适应性,能够实现对网络攻击的实时检测和防御。
二、基于人工智能的网络入侵检测技术1. 机器学习方法基于机器学习的网络入侵检测技术通过构建合适的特征向量和选择适当的算法模型,实现对网络数据流量的分类和识别。
其中,监督学习和无监督学习是常用的机器学习方法。
监督学习根据已标记的样本数据训练模型,再对未知样本进行分类,而无监督学习则通过分析样本数据的相似性和异常性,实现对网络入侵的检测。
2. 深度学习方法深度学习技术是人工智能领域的热点研究方向,也被广泛应用于网络入侵检测。
深度学习通过构建深层神经网络结构,实现对网络数据的高层次抽象和特征学习。
卷积神经网络(CNN)和递归神经网络(RNN)是常用的深度学习模型,在网络入侵检测领域取得了一定的成果。
三、基于人工智能的网络入侵防御技术1. 强化学习方法强化学习是一种通过试错和奖励机制来训练智能体的机器学习方法。
在网络入侵防御中,强化学习可以用于构建网络入侵防御策略和动态调整系统参数。
智能体通过与环境的交互和学习,逐渐提高对网络攻击的应对能力,并实现自适应的网络入侵防御。
计算机网络专业中基于深度学习的网络入侵检测系统研究
计算机网络专业中基于深度学习的网络入侵检测系统研究网络入侵是一种对计算机系统进行非法访问、损害和破坏的行为。
为了保护网络系统的安全,网络入侵检测系统(Intrusion Detection System, IDS)被广泛应用于计算机网络中。
而其中基于深度学习的网络入侵检测系统正逐渐成为研究的焦点,它具有高准确率、良好的泛化能力和抗攻击性等优势。
本文将从深度学习的基本原理、网络入侵检测的需求、深度学习在网络入侵检测上的应用等方面展开研究。
首先,深度学习是一种机器学习方法,其灵感来源于人脑神经网络的结构和学习机制。
深度学习通过构建多层次的神经网络,实现了从大量数据中自主学习特征表示的能力。
相比于传统机器学习方法,深度学习可以更好地处理复杂的非线性关系,从而提高模型的性能和泛化能力。
在计算机网络领域,网络入侵检测是确保网络安全的关键任务之一。
传统的入侵检测系统主要基于规则或特征的匹配来识别潜在的攻击行为。
然而,随着网络攻击手段的不断演化和变化,传统的入侵检测系统往往无法应对新型的攻击。
而基于深度学习的网络入侵检测系统则可以通过学习网络流量中的高层次表示来捕捉和识别攻击行为。
深度学习在网络入侵检测中的应用主要有以下几个方面:1. 特征提取和表示学习:传统的入侵检测系统通常使用人工设计的特征来描述网络流量。
而深度学习可以通过自动学习网络数据的特征表示,减轻了手动设计特征的负担。
例如,可以使用卷积神经网络(Convolutional Neural Network, CNN)对网络流量进行卷积操作,提取局部空间特征。
另外,循环神经网络(Recurrent Neural Network, RNN)和长短时记忆网络(Long Short-Term Memory, LSTM)等网络结构也可以用于学习时间序列数据的特征表示。
2. 异常检测和分类:深度学习可以通过学习正常网络行为的模型,进而检测出异常行为。
例如,可以使用自编码器(Autoencoder)对正常网络流量进行编码和解码,当输入的网络流量与重构的流量存在差异时,即可认定为异常行为。
网络安全中基于深度学习的入侵检测研究
网络安全中基于深度学习的入侵检测研究随着互联网的普及和技术的发展,网络安全已经成为一个备受关注的话题。
特别是在大数据时代,海量的数据对于网络安全的保障至关重要。
由于恶意攻击者的攻击手段和攻击技术日益复杂和隐蔽,传统的网络安全技术已经不能有效地抵御各种网络攻击,因此采用新的技术手段对网络进行安全检测已经成为迫切需要解决的问题。
随着深度学习技术的发展,其在图像、语音等领域取得了显著成果。
深度学习技术不仅可以用于机器学习和数据挖掘,还可以用于网络安全。
在网络安全领域,深度学习技术被广泛应用于入侵检测。
所谓入侵检测,就是通过对网络流和数据流中的网络活动进行监控和分析,来识别和定位潜在的网络入侵。
传统的入侵检测方法主要是基于规则的,即通过预先设计的规则和规则库来识别和检测网络入侵。
然而,传统的入侵检测方法受限于规则库的匹配能力和规则的准确性,往往无法检测到新颖的入侵攻击。
相比之下,基于深度学习的入侵检测方法可以通过学习大量的网络流和数据流来寻找网络入侵的规律和模式。
深度学习算法具有自适应性和优秀的泛化能力,可以适应复杂的网络环境和攻击手段,从而对新颖的入侵攻击有更好的检测效果。
深度学习算法可以探测并发现新型攻击模式,减少误报率和漏报率,从而提高入侵检测的准确性和可靠性。
不过,深度学习算法在入侵检测中的应用还存在一些问题,例如:深度学习算法需要大量的数据集进行训练,而网络安全数据具有高度的敏感性,数据难以收集;深度学习算法的识别能力受到数据的质量和噪声干扰的影响,需要改进算法的鲁棒性;深度学习算法识别出的特征过于抽象,需要更多的研究解释深度学习模型如何识别网络入侵。
为了克服这些问题,研究者们提出了一系列的方法和技术。
例如,通过增加数据集的多样性和数据的随机性,提高深度学习算法的鲁棒性和准确性;通过构建识别网络入侵的特征和模式库,对深度学习算法的特征提取和网络入侵的识别进行优化;通过探测网络入侵的实时性,减少网络入侵对网络安全的威胁。
基于深度学习的网络流量入侵检测技术研究
基于深度学习的网络流量入侵检测技术研究随着计算机网络技术的不断发展,网络安全问题也变得日益严重。
其中,网络攻击形式不断变化,几乎无孔不入。
入侵检测作为网络安全的重要保障,其技术研究也愈加迫切。
目前,基于深度学习的网络流量入侵检测技术正成为网络安全领域的热点研究课题。
本文将就基于深度学习的网络流量入侵检测技术进行一番探讨。
一、机器学习及深度学习简介机器学习是一种人工智能的研究领域,旨在设计和开发能够自动学习的算法,并让计算机通过学习数据,从数据中自主提取规律,进而完成对目标的分类、预测等任务。
深度学习是机器学习的一个分支,其核心理念是采用大规模的神经网络,实现对复杂数据的自动特征提取。
二、传统的网络入侵检测技术传统的网络入侵检测技术主要包括基于特征的入侵检测技术和基于行为的入侵检测技术。
基于特征的入侵检测技术是指对网络流量中的某些特定特征进行分析和比对,以侦测异常流量和标识入侵。
这种技术的优点是检测效率高,且清晰明了,容易理解和调整。
缺点在于其检测的局限性较大,很难识别新的未知攻击类型。
基于行为的入侵检测技术是指通过对网络用户的行为进行分析,判断是否存在入侵行为。
这种技术的优点是不依赖于特定的攻击特征,可以检测出许多未知的攻击类型。
缺点在于误判率较高,缺乏有效性能评估方法。
三、基于深度学习的网络入侵检测技术基于深度学习的网络入侵检测技术是利用深度神经网络等技术分析网络流量,对网络入侵行为进行分类和识别的技术。
其关键思路是将网络流量数据传递给深度神经网络,让模型自己学习网络流量的特征,以实现对恶意流量的高精度识别。
与传统入侵检测技术相比,其具有多层抽象特征学习、更精准更准确的检测效果和更快的速度等优点。
此外,深度学习技术在处理稀疏数据、大规模数据上有很强的适应性,可以应对大量的入侵检测数据。
深度学习模型在网络入侵检测领域中有多种应用。
例如,利用卷积神经网络(CNN)来分析入侵检测的网络数据,利用递归神经网络(RNN)来分析网络数据包中的序列数据,以及利用深度置信网络(DBN)和自动编码器(Autoencoder)等模型来实现网络流量特征学习和预测。
基于网络的智能入侵检测技术的研究的开题报告
基于网络的智能入侵检测技术的研究的开题报告一、选题背景随着互联网的普及,网络安全问题已经成为人们关注的重点。
其中,网络入侵是一种比较常见的网络安全问题,它指的是未经授权地侵入计算机系统的行为。
网络入侵可能会导致系统崩溃、数据损失和重要信息被窃取等严重后果。
因此,对于网络安全人员来说,开发一种高效的入侵检测系统非常重要。
传统的基于规则的入侵检测系统已经无法满足当今复杂多变的网络攻击形式。
而基于机器学习和深度学习的入侵检测技术则被广泛认为是下一代入侵检测系统的重要发展方向。
二、选题意义本课题旨在研究基于网络的智能入侵检测技术,并开发一个高效的入侵检测系统。
该系统可以帮助网络安全人员更好地保护网络系统的安全。
本课题具有以下意义:1. 提高入侵检测的准确性和效率。
2. 增强网络系统的安全性能,有效防范网络攻击和数据泄露。
3. 推动机器学习和深度学习在网络安全领域的应用发展。
三、研究目标本课题主要研究以下两个方面的内容:1. 基于机器学习和深度学习算法,研究如何从网络流量数据中提取有效的特征,建立入侵检测模型。
2. 开发一个高效的入侵检测系统,实现实时监测和响应网络攻击。
四、研究内容本课题的具体研究内容如下:1. 研究网络入侵检测的基本原理和现状,了解各种入侵检测技术的优缺点。
2. 分析网络流量数据的特征和规律,找到适合用于入侵检测的特征和算法。
3. 建立入侵检测模型,采用机器学习和深度学习算法对网络流量数据进行分析和预测。
4. 设计并实现一个高效的入侵检测系统,能够实时监测和响应网络攻击。
五、研究方法本课题采用以下研究方法:1. 文献综述法:通过查阅文献,学习入侵检测的基本原理和现状,了解各种入侵检测技术的优缺点。
2. 数据分析法:对网络流量数据进行分析,找到有用的特征和规律。
3. 机器学习和深度学习算法:采用机器学习和深度学习算法对网络流量数据进行建模和预测。
4. 实验和测试法:通过实验和测试来评估入侵检测系统的性能和准确性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
l 匐 似 基于网络的入侵检测模型和方法研究 Network based intrusion detection modeI and method research 胡莉萍 HU Li-ping (浙江横店影视职业学院,东阳322118) 摘要:入侵检测问题是计算机网络安全中的核心问题,相对于传统的操作系统加密、防火墙等静态 的安全防御技术而言,入侵检测作为一种动态的的防御技术,能有效弥补静态防御工具的不 足。本文将会入侵检测的通用模型、入侵检测的层次化模型、OIDF通用入侵检测框架以及入 侵检测方法等内容进行相关研究,以此构建以入侵检测为核心的动态的网络安全方案。 关键词:入侵检测;模型;方法;框架 中图分类号:TP393.08 文献标识码:A 文章编号:1 009—01 34(201 2)07(上)一0055—03 Doi:1 0.3969l/J.issn.1 009-0 q 34.201 2.7(I-).1 7
0引言 信息网络如今已成为全世界范围内的一个信 息交换和资源共享的平台,它有着开发和共享这个 特性,但是这个特性也成了信息网络的先天安全缺 陷。另一方面,网络上的黑客站点很多,黑客们的 攻击手段也很高明。而我们国家在这个方面的法律 法规却相对比较滞后。因此很多大公司都曾被黑客 入侵。信息安全问题已不容我们忽视。本论文将对 网络安全中的入侵检测问题进行研究,提出以入侵 检测为核心的动态的网络安全解决方案。
1入侵检测通用模型 入侵检测技术是从计算机网络或系统若干关 键点中收集分析相关信息,通过分析来得出系统 或网络是否已经被攻击或已存在安全隐患,同时 要作出响应的一种动态安全防御技术。它有实时 性、动态检测性和主动防御性,可以弥补静态防 御工具的缺点,如可将防火墙和入侵检测系统结 合起来使用来共同抵挡网络内外的攻击。 1987年Dorothy E.Denning提出了名为IDES 的入侵检测模型。该模型由六个部分组成:主体 (指在目标系统上活动的实体)、对象即客体、审 计记录(主体对客体实施操作时系统产生的数据)、 活动档案(主体相对于客体的正常行为用度量和 统计模型来表示)、异常记录和活动规则(条件和 动作)。 Denning模型定义了事件计数器、资源测量 器、间隔定时器这3种度量。并提出了可操作 模型、多变量模型、时间序列模型、均值和标
准差模型和马尔可夫过程模型这5种统计模型。 Denning模型会对系统审计数据进行统计分析从而 得出单个用户或一组用户的正常的行为特征,模 型通过将这些正常的行为特征与系统中的审计数 据进行比较,如果不相同的内容超过了规定的范 围就可得出是有入侵了。这个模型成了其后的许 多异常检测方法的基础。该模型如图1所示。
图1 Denning入侵检测模型 2层次化入侵检测模型 现今比较常见和成熟的是来源于误用检测和 异常检测的层次化入侵检测模型。误用检测往往 是针对非安全行为,而异常检测则针对安全行为, 层次化入侵检测模型则既可以通过对攻击行为的 分析检测出已知入侵,同时又可以通过对安全策 略库和疑似入侵的行为进行模式匹配来检测出未 知入侵种类。 误用检测和异常检测相结合就构成了层次化 的模型,这种模型通过对入侵行为的逐步分析和 处理,可以将大多数的攻击行为检测出来,层次 化入侵检测模型分为入侵行为检测和入侵结果检
收稿日期:2012-02—23 作者简介:胡莉萍(1976一),女,浙江永康人,讲师,硕士,研究方向为软件工程和项目管理。
第34卷第7期2012—7(上) 【55】 l 訇 似 测两部分,整个过程主要分成入侵特征提取和入 侵行为分析。层次化入侵检测模型如图2所示, 攻击特征的提取和行为分析都结合在层次化入侵 检测模型的整个体系结构中,其中入侵特征提取 代表了基于知识的入侵检测思想和入侵行为分析 则代表基于行为的检测思想,入侵特征提取用于 检测未知入侵和入侵行为分析则用于监控已知的 入侵。层次化入侵检测模型如图2所示。 图2层次化入侵检测体系结构 检测出 已知入侵 检棚l出 已知入侵 3 CIDF通用入侵检测框架 CIDF由美国加州大学戴维斯分校计算机安 全实验室于1997年初提出。CIDF将入侵检测系 统分为4个基本组件:事件产生器、事件分析器、 响应单元、事件数据库,以上这4个组件中的事 件指系统需要分析的数据如网络中的数据包或从 系统日志中得到的信息。这些组件之间采用统一 入侵检测对象GIDO这个标准格式进行数据交换, 因此这些组件在其他环境中只需要将典型的环境 特征转换为GIDO格式就可以使用。虽然CIDF标 准并没有正式确立,但各IDS厂商都在按照CIDF 进行信息交换的标准化工作。 1)事件产生器 事件产生器负责从整个计算环境中收集数据 也就是相关事件(Event),并将这些数据转换成 GIDO格式传送给其他组件。 2)事件分析器 事件分析器的任务是分析从其他组件收到的 CIDF的GIDO,并将得到的分析结果传送给其他 组件。 3)事件数据库 事件数据库负责存储系统需要的时候使用的 1561 第34卷第7期2012—7(上) 各种中间和最终事件的数据。 4)响应单元 响应单元是对分析结果做出诸如威胁报警、 杀死相关进程等反应的功能单元。 CIDF的体系结构如图3所示。
图3 C1DF的体系结构 4入侵检测方法 1)误用检测(Misuse Detection)。 误用检测将所有观测到的和目标对象有关的 用户行为同通过分析各种已知的攻击方法、手段 和漏洞组建起来的入侵模式库进行比较,如果发 现其行为与入侵模式库的某种入侵模式匹配,就 可判定是入侵行为。这种方法准确度较高,因此 目前几种商用的IDS如Snort、Bro基本都使用它。 当然它也存在一定的缺陷,那就是对入侵特征模 式库太过依赖,如果模式库本身并不完整或不能 得到及时更新,那么就很容易发生漏报事件,另 外随着入侵行为的添加,模式库的容量也会不继 扩大,这也必然会加重系统的负担和降低发现入 侵行的效率。.目前常用的误用检测技术有专家系统 (Expe ̄Systems)、模式匹配(Pa ̄em Matching)和 基于Petri网分析的滥用入侵检测方法等。一种比 较典型的误用入侵检测系统模型如图4所示。
添加新规则 图4一种比较典型的误用入侵检测系统模型
2)异常检测(Anomaly Detection) 异常检测技术首先将不符合对象正常、合法 的所有活动判定为入侵行为,为了判定这种不正 常现象,异常检测技术得对正常状态下的系统行 、I 匐 为建立起行为模型,但建立模型的过程是复杂且 动态变化的,在已建立起行为模型的基础上,将 从系统中观测到的与目标对象相关的活动与之 进行比较就可得出哪些是可疑的入侵行为。异 常检测技术存在着许多不确定性和误警率也较 高,这种技术目前还主要停留在研究阶段,但这 一思想的本质对我们研究和设计NIDS有着十分 重要的作用。比较成熟的异常检测技术有统计分 析(Statistioal Measures)和神经网络技术(Neural Networks)。当然还有其它的一些异常检测方法, 如基于数据挖掘(DataMining)的、基于计算机免 疫学的异常检测方法等。一种比较典型的异常入 侵检测系统模型如图5所示。 图5一种比较典型的异常入侵检测系统模型 一一一一一一一一一一一一 基于Agent的入侵检测模型 3)智能入侵检测模型 误用检测的智能性要求较低,它主要用于对 已知行为进行检测,而异常检测对智能的要求则 较高,它主要针对未知入侵。入侵检测系统通过 单个主机和监视模块收集数据,收集后再由一个 中心处理器来完成检测。智能化入侵检测模型一 般是使用神经网络、遗传算法等智能化手段来进 行入侵特征的辨识与泛化。基于Agent的入侵检 测模型如图6所示。 5结束语 入侵检测是对网络静态防御技术的一种有效 弥补工具,它能提供对网络内外部攻击的实时保 护。设计和实现有效的入侵检测模型是建立IDS 的关键。入侵检测技术也正与其它学科如数据挖 掘、人工智能等交融汇合形成了新的入侵检测技 术,并对网络安全起着新的更强的保护作用。入 侵检测模型的发展必将会逐步走向丰富化、智能 化和多元化。
参考文献: [1]张鹏,赵辉.关于入侵检测模型的研究与分析[J】.网络安 全技术与应用.2009,03. [2]王丽蔷.基于黑客行为特征的入侵检测研究[D].解放军 信息工程大学.2009,10. [3]罗腾.基于协议分析的入侵检测系统研究与设计[J].中 国新技术新产品.2010,07. [4]武明.Agent技术在入侵检测中的应用研究[D].电子科技 大学.2004,02. [5]张家超,王全善.网络入侵检测技术的研究[J].连云港职 业技术学院学报(综合版).2004,03. [6]马星亮.基于CORBA的分布式入侵检测系统的研究与 实现[D】.武汉科技大学.2008,04. [7]满红芳,宿超,马春清.基于Agent的分布式入侵检测系 统模型的研究与设计[J】.山东电大学报.2006,02. [8】李勇,李建,曾银.数据挖掘技术在入侵检测系统中的应 用[J].山西电子技术.2006,12. [9】刘秀丽.基于网络的智能化入侵检测系统模型研究[D】. 南京航空航天大学.2007,12. [10]郝文江.黑客入侵检测模型研究[J].吉林公安高等专科 学校学报.2009,12.
第34卷第7期2012-7(上) [571