网络安全入侵检测_研究综述_蒋建春
网络安全与入侵检测技术的研究.
西安电子科技大学硕士学位论文网络安全与入侵检测技术的研究姓名:苏万力申请学位级别:硕士专业:计算机应用技术指导教师:马玉祥20030101摘要入侵检测是最近10余年发展起来的一种动态的监控、预防或抵御系统入侵行为的安全机制。
和传统的预防性安全机制相比,入侵检测具有智能监控、实时探测、动态响应、易于配置和适用广泛等特点。
入侵检测技术的引入,是对传统计算机安全机制的一种补充,使得网络、系统的安全性得到进一步地提高,在网络安全技术中起着不可替代的作用,成为目前动态安全工具的主要研究和开发的方向。
本论文在此领域主要工作成果如下:对现有入侵检测领域的各种检测模型和技术进行了归类分析研究。
研究了拒绝服务及分布式拒绝服务攻击的特点与防范措施,探讨了入侵检测领域的最新发展,讨论了设计和建立分布式入侵检测系统所面临的关键技术。
给出了在Wni32环境下实现网络入侵检测的一种设计,提出了提高数据包捕获效率的方法。
提出了利用协议分析的方法,提高入侵检测的效率并给出了具体设计。
对普遍关注的域名系统的安全防范问题进行了讨论,并提出了相应对策。
【关键词】网络安全入侵检测协议分析AbstractIntrusion Detection is an effective security mechanism developed in the recent decade, which protects compeers and networks through the ways ofsurveillance,precaution and pared with traditional precaution mechanisms,intrusion detection has thecharacteristics of intellectual surveillance,real-time detection,dynamic response and easy configuration.Intrusion detection is clearly necessary with the growing number of computerwide applicability,intrusion detection systems being connected to network.Because of itsbecomes the key part ofthe security mechanism.In this thesis,the mainly research results are list as follows:The modem technologies andmodels in intrusion detection field are categorized and studied.The features of DOS andDDOS are studied and some countermeasures are given.The overview progress in intrusion detection are discussed,and the feature of methods of distributed intrusion system are analyzed and key techniques faced ale discussed.The feature of Winpcap development kit in the Win32environment is analyzed and the specific methods of hi曲performance sniffer ale presented.A method of design of real—time network sniffer is given.A method of high performance intrusion detection using protocal analysis is presented and the design is given. The possible attacks of domain name system are discussed and some countermeasures are given.[Keyword]Network Security Intrusion Detection Protoeal AnaIysis独创性(或创新性声明本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究成果。
网络安全中的入侵检测和防御
网络安全中的入侵检测和防御随着互联网的普及和应用,网络安全问题也越来越引起人们的关注。
网络入侵事件时有发生,给个人和企业带来了严重的经济损失和声誉影响。
在这种情况下,入侵检测和防御成为了网络安全的重要手段。
本文将介绍入侵检测和防御的原理、技术及其应用。
一、入侵检测1.入侵检测的概念和分类入侵检测是对计算机系统或网络的实时状态进行监测和分析,识别异常的行为或攻击行为,及时给出响应。
根据入侵检测的侧重点和对象,可以将其分为主机入侵检测(Host-based Intrusion Detection,HID)和网络入侵检测(Network Intrusion Detection,NID)两种类型。
主机入侵检测主要是对单个计算机系统进行检测,可以通过监测系统日志、进程和文件等方式来识别异常行为;而网络入侵检测则是对整个网络的流量和数据包进行监测,识别异常的数据包和流量分析。
2.入侵检测的原理和技术入侵检测主要依靠对系统日志、网络流量和进程等进行监测和分析,识别异常的行为或攻击行为。
入侵检测涉及的技术有很多,如基于规则的检测、基于统计的检测、基于人工智能的检测等,具体可根据不同的使用场景和需求进行选择。
基于规则的检测是指通过事先定义的规则对系统或网络进行监测和分析,一旦有符合规则的异常行为出现就给出警报。
例如,如果在企业内部出现未授权的数据访问行为,就会触发事先定义的规则,弹出警报通知管理员。
这种方法优势是检测速度快、效果稳定,但限制在规则定义上,无法应对新型威胁。
基于统计的检测是指通过收集系统或网络的参数数据,建立基准模型,并对新的数据进行比对和分析,检测出异常行为或攻击行为。
例如,对于数据库的访问次数和数据量等进行统计和分析,识别异常的访问行为。
这种方法的优势是处理大量数据准确性高,但需要大量的参数数据和设计精细的统计算法。
基于人工智能的检测则是利用机器学习和人工智能技术,对异常行为进行分类和预测,自适应学习模型,识别隐藏的威胁。
基于人工智能的网络入侵检测与防御研究
基于人工智能的网络入侵检测与防御研究简介随着互联网的不断发展和普及,网络安全问题也日益凸显,网络入侵成为现代社会中常见的威胁之一。
传统的网络安全防御手段已经无法满足对于不断进化和变化的网络攻击的需求。
因此,基于人工智能的网络入侵检测与防御技术应运而生。
本文旨在探讨并研究基于人工智能的网络入侵检测与防御技术的原理、方法以及其在网络安全领域中的应用。
一、网络入侵检测与防御技术概述网络入侵检测与防御技术是指通过对网络流量和系统行为进行实时监测与分析,识别潜在的网络入侵行为并及时采取相应的防御措施。
传统的网络入侵检测与防御技术主要基于规则匹配和特征库的方式,但由于网络攻击手段的日益复杂和多样化,传统方法已经不足以应对这些威胁。
基于人工智能的网络入侵检测与防御技术通过机器学习、深度学习和自然语言处理等技术手段,具备更强大的智能化和自适应性,能够实现对网络攻击的实时检测和防御。
二、基于人工智能的网络入侵检测技术1. 机器学习方法基于机器学习的网络入侵检测技术通过构建合适的特征向量和选择适当的算法模型,实现对网络数据流量的分类和识别。
其中,监督学习和无监督学习是常用的机器学习方法。
监督学习根据已标记的样本数据训练模型,再对未知样本进行分类,而无监督学习则通过分析样本数据的相似性和异常性,实现对网络入侵的检测。
2. 深度学习方法深度学习技术是人工智能领域的热点研究方向,也被广泛应用于网络入侵检测。
深度学习通过构建深层神经网络结构,实现对网络数据的高层次抽象和特征学习。
卷积神经网络(CNN)和递归神经网络(RNN)是常用的深度学习模型,在网络入侵检测领域取得了一定的成果。
三、基于人工智能的网络入侵防御技术1. 强化学习方法强化学习是一种通过试错和奖励机制来训练智能体的机器学习方法。
在网络入侵防御中,强化学习可以用于构建网络入侵防御策略和动态调整系统参数。
智能体通过与环境的交互和学习,逐渐提高对网络攻击的应对能力,并实现自适应的网络入侵防御。
基于深度学习的网络入侵检测研究
基于深度学习的网络入侵检测研究网络安全已经成为当下信息化社会面临的重要问题之一。
随着网络攻击日益普及,网络入侵检测逐渐升温成为热点研究领域。
而深度学习作为近年来发展最快的人工智能领域之一,其在网络入侵检测中的应用也成为研究热点。
本文将分为三个部分来探讨基于深度学习的网络入侵检测研究。
一、传统网络入侵检测技术简介网络入侵检测是指通过检测网络流量中异常行为,从而判断网络是否被入侵。
在传统技术中,入侵检测主要分为两种方式:基于特征分析的方法和基于规则的方法。
基于特征分析的方法需要先确定正常的网络流量行为,然后根据异常流量行为进行异常检测。
常用的技术包括统计分析、网络流量分析和机器学习等。
基于规则的方法则是通过预先定义的规则对网络流量进行检测。
当网络流量符合某种规则时,将其警报或阻断。
但是,这种传统入侵检测技术存在一些缺点,例如无法对未知攻击类型产生高质量的检测结果、易受攻击者的规避手段和欺骗、管理困难等。
二、深度学习在网络入侵检测中的应用深度学习技术是利用神经网络模型来学习数据的内在表征,具有很好的自适应性和泛化能力。
由于其自适应和自学习能力,深度学习在网络入侵检测有许多创新性的应用。
其中最重要的是使用卷积神经网络(CNN)和循环神经网络(RNN)来处理网络数据。
1. 卷积神经网络在网络入侵检测中的应用卷积神经网络是一种专门用于处理图像的神经网络模型。
但是它同样可以用于处理网络包的载荷(Payload)数据。
一般卷积神经网络结构包括输入层、卷积层、池化层和全连接层。
在网络入侵检测领域,卷积神经网络使用卷积和池化技术来对流量的载荷数据进行特征提取和降维,然后将其传输到全连接层进行分类。
2. 循环神经网络在网络入侵检测中的应用循环神经网络是一种专门处理序列数据的神经网络模型,可以对时间序列或文本序列进行处理,但它同样也可以用于处理网络流量。
循环神经网络通过一个反馈机制来实现,因此可以将上一个时间步的输出传送到下一个时间步的输入中。
网络信息安全的入侵检测
网络信息安全的入侵检测网络信息安全已经成为现代社会中不可或缺的一部分。
随着网络技术的不断发展,网络安全问题也随之而来。
入侵检测系统(Intrusion Detection System,简称IDS)作为网络安全的重要组成部分,被广泛应用于企业、组织和个人的网络环境中。
本文将就网络信息安全的入侵检测进行探讨。
一、入侵检测系统的定义与分类入侵检测系统是一种基于特定规则或算法,通过监控和分析网络流量、系统日志以及其他相关数据信息,以便及时发现和防范网络攻击行为的安全机制。
根据其检测方式和部署位置的不同,入侵检测系统可以分为主动和被动两种。
1. 主动入侵检测系统主动入侵检测系统通过直接监控网络流量和系统日志来检测异常行为,可以实时地发现和报告潜在的安全威胁。
主动入侵检测系统一般部署在网络边界上,通过分析网络通信数据和行为模式来检测入侵行为。
2. 被动入侵检测系统被动入侵检测系统则是通过采集和分析系统日志等信息来判断是否存在安全问题。
被动入侵检测系统一般部署在网络内部,对网络中的节点进行监控,以发现并报告潜在的威胁行为。
二、入侵检测系统的工作原理与方法1. 网络流量监测入侵检测系统通过对网络流量进行监测,检测网络中的异常行为。
网络流量监测可以分为基于签名和基于行为两种方式。
基于签名的网络流量监测是通过预先定义的规则或特征进行匹配,来判断网络中是否存在已知的攻击形式。
这种方式的优点是准确性较高,但无法检测全新形式的攻击。
基于行为的网络流量监测则是通过分析网络中的行为模式,来判断网络中是否存在异常行为。
这种方式的优点是可以发现未知的攻击形式,但误报率较高。
2. 系统日志分析入侵检测系统还可以通过对系统日志进行分析,来检测系统中的异常行为。
系统日志分析可以包括对登录行为、文件系统操作、进程行为等的监控和分析。
通过对系统日志的监控和分析,入侵检测系统可以发现系统中的异常活动和可能存在的攻击行为。
三、入侵检测系统的应用与挑战1. 应用领域入侵检测系统广泛用于企业、组织和个人的网络环境中。
基于深度学习的网络安全入侵检测系统的设计与实现
基于深度学习的网络安全入侵检测系统的设计与实现深度学习已经成为了当前科技发展的一个热门领域,而在互联网时代的背景下,网络安全就显得尤为重要。
在这个背景下,基于深度学习的网络安全入侵检测系统的设计与实现成为了一个颇具挑战性的研究课题。
本文将从网络安全入侵检测的概念、深度学习技术的应用、系统设计和实现等方面展开论述。
一、网络安全入侵检测的概念网络安全入侵检测就是通过对网络流量数据进行监测和分析,来检测网络中的攻击行为,并及时做出相应的响应。
在网络攻击越来越普遍的环境下,通过网络入侵检测系统进行即时监控和反应是非常必要的。
传统的网络入侵检测系统主要依靠人工规则的设计和制定,这样的系统需要人为地更新规则,并及时处理由于规则变化或者升级带来的分析变化。
同时这种方法的缺点是存在一定的误报和漏报的问题,其精度和效率有一定限制。
二、深度学习技术在入侵检测中的应用深度学习作为一种人工智能技术,它模拟人类神经网络的学习方式。
通过架构深度神经网络和大数据的结合,可以有效解决传统方法所面临的局限性和问题。
这种技术可以按照特定的结构和过程,在监测和分析网络数据的同时,建立网络隐含规律和特征,实现自动分类和识别,达到自适应检测网络入侵的目的。
与传统方法相比,使用深度学习技术的入侵检测系统,具有较高的准确度和稳定性。
随着深度学习技术在计算机视觉、自然语言处理等领域的广泛应用,它在网络入侵检测系统中的应用也逐渐成为了一个热门领域。
三、系统设计基于深度学习的网络安全入侵检测系统可以分为三个部分:数据预处理、特征提取和分类识别。
1. 数据预处理数据预处理是将原始的网络流量数据进行过滤、清洗和归一化处理,提取出有效的特征,为后续的特征提取和分类识别提供数据基础。
2. 特征提取在对归一化后的数据进行预处理后,可以通过卷积神经网络等深度学习模型进行特征提取,这个过程是通过分析网络数据的每个细节和特征,将它们转化为具有代表性的向量形式,从而为分类识别提供基础。
入侵检测技术的校园网络安全模型研究论文
入侵检测技术的校园网络安全模型研究论文•相关推荐入侵检测技术的校园网络安全模型研究论文0引言随着高等教育的发展,大学重组合并,组建综合性大学,推动着高等教育的发展。
由于这些大学是多个学校合并而成,因此拥有多个校区,再加上校区的范围大,沟通联系非常不便。
基于此,校园网络作为沟通传播、教育教学的手段被广泛应用于各大高校。
但由于校园网的技术水平不高、设备落后,然而入侵技术不断升级,骇客入侵防不胜防,校园网络的安全问题日益严重。
构建能够抵御入侵技术的校园网安全防御模型有着重要的现实意义。
1校园网络安全模型建设背景1.1校园网络安全问题日益突出当前校园网络的安全问题日益突出,主要有以下几方面:网络安全投入不足。
许多学校将建设资金投入到教学设备的购置和其他方面,对网络安全方面的投入比较少,尤其是没有配置高端的安全设备,仅仅靠安装防御软件是不够的。
网络管理混乱。
学校的校区多,在学校各个校区均是各个自己进行网络管理,没有进行全校的统一管理和监控,上网用户能使用不同的身份进入校园网,使网络安全隐患极大。
电子邮件管理不善。
骇客入侵的重要手段就是通过电子邮件进行肉鸡、病毒的传播,用户通过下载、浏览电子邮件就会将携带的病毒、肉鸡植入电脑,骇客就能够进行远程网络入侵。
但现在校园网邮件系统并没有进行系统的防护,对电子信件的过滤、防护手段非常落后,使得校园网安全受到威胁。
网络病毒泛滥。
当前随着网络犯罪技术的发展,各种垃圾信息和病毒充斥着网络,再加上网络本身的传播速度极快,使得病毒的传播更加泛滥,造成用户数据和资料的窃取、损失,但校园网络并没有对病毒进行有效的监控和防御。
网络安全意识缺乏。
由于网络技术兴起的时间较短,大多数学校领导和学生的网络安全意识薄弱,利用校园网访问各种网站,下载各种资源,使得无意中携带病毒带入网络,造成校园网被骇客入侵,造成大量损失。
1.2入侵技术不断升级随着网络技术的不断进步,骇客入侵技术也得到升级。
当前网络攻击和入侵的手段多种多样,从网络探测到病毒攻击、从电子欺骗和解码攻击等,骇客技术得到不断升级。
基于深度学习的内网入侵检测技术研究
基于深度学习的内网入侵检测技术研究概述:内网安全问题日益凸显,内网入侵成为严重威胁企业网络安全的行为之一。
为了有效检测和防御内网入侵,研究基于深度学习的内网入侵检测技术成为当今网络安全领域的热点之一。
本文将探讨基于深度学习的内网入侵检测技术的研究现状、方法和挑战。
1. 研究现状内网入侵检测技术主要分为基于特征的方法和基于机器学习的方法。
传统的基于特征的方法在提取特征方面存在局限性,无法很好地应对多样性的入侵行为。
而基于机器学习的方法通过学习网络流量日志数据的特征,能够识别出异常流量和恶意行为。
2. 深度学习在入侵检测中的应用深度学习是一种集成多层神经网络的机器学习方法,具有自动学习和表征学习的能力。
基于深度学习的入侵检测技术通过学习大规模网络流量数据,能够提取复杂的特征表示,并自动发现和识别入侵行为。
2.1 网络流量表示基于深度学习的入侵检测技术需要将网络流量数据表示为适用于神经网络的形式。
常用的表示方法包括向量表示、图表示和时序表示等。
这些表示方法能够将网络流量数据转换为可以输入神经网络的向量或矩阵形式。
2.2 深度学习模型常用的深度学习模型包括卷积神经网络(CNN)、循环神经网络(RNN)和变形自编码器(VAE)等。
这些模型能够对网络流量数据进行高效的表示学习和分类判别,并具有较好的性能和鲁棒性。
3. 深度学习方法的挑战尽管基于深度学习的方法在内网入侵检测中展现了出色的性能,但仍然存在一些挑战需要克服。
3.1 样本不平衡问题网络流量数据中异常流量的数量相对较少,导致训练数据存在样本不平衡的问题。
这会影响深度学习模型的性能和准确度。
解决该问题的方法包括欠采样、过采样和生成对抗网络等。
3.2 特征提取和选择网络流量数据中包含大量的信息,如何从中提取并选择与入侵行为相关的特征是一个挑战。
传统方法常常手动选择特征,但难以捕捉复杂的入侵行为。
利用深度学习可以自动学习适应性特征表示,但需要大量的训练数据和计算资源。
基于行为分析的网络入侵检测技术
基于行为分析的网络入侵检测技术网络入侵是指未经授权的个人或组织利用计算机网络获取、破坏或盗取信息资源的行为。
随着网络的广泛应用,网络入侵活动也日益猖獗,给个人和企业的信息安全带来了巨大威胁。
传统的网络入侵检测技术难以满足快速变化的网络威胁环境,因此基于行为分析的网络入侵检测技术应运而生。
本文将基于行为分析的网络入侵检测技术进行探究,并分析其优势和挑战。
一、行为分析的网络入侵检测技术概述行为分析的网络入侵检测技术是一种基于计算机网络中节点的正常行为规律进行异常检测的方法。
它通过对网络流量、主机活动及用户行为进行实时监测和分析,以识别出潜在的入侵行为。
与传统的基于签名或特征的方法相比,行为分析可以捕捉未知的入侵行为,并降低由于网络攻击的快速演变而导致的漏报问题。
二、行为分析的网络入侵检测技术的优势1. 对未知入侵行为的检测能力:行为分析的网络入侵检测技术不仅可以识别已知的入侵行为,还可以对未知的入侵行为进行检测。
通过建立节点的正常行为模型,并对异常行为进行分析,可以发现以往的网络入侵检测方法所无法识别的攻击。
2. 减少误报率:传统的基于签名的入侵检测技术在面对未知攻击时容易产生误报,而行为分析技术可以通过检测节点的不规范行为,减少误报率,提高检测的准确性。
3. 实时监测和快速响应能力:行为分析的网络入侵检测技术可以实时监测网络活动,及时发现入侵行为。
并且通过与其他安全设备(如防火墙、IDS等)的整合,可以实现快速响应,迅速阻止入侵行为的扩散。
三、行为分析的网络入侵检测技术的挑战1. 高性能要求:行为分析技术对硬件和软件环境的要求较高,需要大量的计算资源和存储空间。
在大规模网络环境中,如何实现高性能的行为分析成为一个挑战。
2. 大数据分析问题:行为分析技术需要处理大量的网络数据,如何高效地收集、存储和分析这些数据,是一个亟待解决的问题。
3. 隐私保护问题:行为分析技术需要对节点的网络活动进行实时监测和分析,因此需要解决隐私保护问题,确保用户的隐私不受侵犯。
基于机器学习的网络入侵检测系统设计与研究
基于机器学习的网络入侵检测系统设计与研究摘要:随着互联网的发展,网络安全问题变得日益严峻。
恶意攻击者利用复杂的技术手段对网络系统进行入侵,严重威胁着网络的安全和稳定性。
为了保护网络系统的安全,网络入侵检测系统成为一种重要的防护手段。
本文基于机器学习的方法,提出了一种网络入侵检测系统的设计方案,并针对该方案进行实验研究,验证了其有效性和可行性。
1. 引言随着互联网的普及和发展,网络安全问题日益突出。
不法分子通过各种手段进行网络入侵,威胁着企业和个人的信息安全。
传统的入侵检测系统往往只能检测到已知的攻击方式,对于未知的攻击形式无法及时作出反应。
因此,基于机器学习的网络入侵检测系统成为一种重要的技术手段。
2. 概述基于机器学习的网络入侵检测系统利用机器学习算法对网络数据进行分类和识别,通过学习网络流量的模式和规律,判断是否存在入侵行为。
该系统能够学习和适应网络环境的变化,对于未知的攻击形式也能做出准确的判断和响应,提高了网络系统的安全性和防护能力。
3. 设计方案(1)数据采集与预处理:网络入侵检测系统需要收集和分析大量的网络数据。
首先,系统通过网络设备监听网络流量,获取原始数据。
然后对数据进行预处理,包括数据清洗、特征提取和特征编码等。
这些预处理步骤可以有效地减少数据的复杂性和噪声干扰,为后续的模型训练和分类提供可靠的数据基础。
(2)特征选择和降维:网络数据中包含大量的特征,选择合适的特征对于入侵检测的准确性至关重要。
根据特征的重要性和相关性,采用合适的算法进行特征选择和降维,减少特征空间的维度。
常用的特征选择方法有信息增益、主成分分析等。
(3)机器学习算法:针对网络入侵检测问题,可以选择合适的机器学习算法进行模型训练和分类。
常用的机器学习算法包括支持向量机(SVM)、随机森林(Random Forest)、朴素贝叶斯(Naive Bayes)等。
根据网络数据的特点和问题需求,选择适当的算法进行实验和比较,找到最佳的分类模型。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1000-9825/2000/11(11)1460-07○c2000JournalofSoftware 软件学报Vol.11,No.11网络安全入侵检测:研究综述 蒋建春, 马恒太, 任党恩, 卿斯汉(中国科学院信息安全技术工程研究中心,北京 100080)E-mail:jianchun@ercist.iscas.ac.cnhttp://www.ercist.ac.cn
摘要:入侵检测是近年来网络安全研究的热点.首先说明入侵检测的必要性,并给出入侵检测的概念和模型,概述了多种入侵检测方法及体系结构.最后,讨论了该领域当前存在的问题及今后的研究方向.关键词:网络安全;入侵检测中图法分类号:TP393 文献标识码:A
计算机联网技术的发展改变了以单机为主的计算模式.但是,网络入侵的风险性和机会也相应地急剧增多.设计安全措施来防范未经授权访问系统的资源和数据,是当前网络安全领域的一个十分重要而迫切的问题.目前,要想完全避免安全事件的发生并不太现实.网络安全人员所能做到的只能是尽力发现和察觉入侵及入侵企图,以便采取有效的措施来堵塞漏洞和修复系统.这样的研究称为入侵检测,为此目的所研制的系统就称为入侵检测系统(intrusiondetectionsystem,简称IDS).本文将论述网络安全存在的漏洞和潜在的威胁,给出入侵检测的概念和模型,详尽地概括并分析传统的和最新的各种检测方法及体系结构,并提出IDS当前存在的问题及今后的研究方向.
1 入侵检测的必要性一个安全系统至少应该满足用户系统的保密性、完整性及可用性要求.但是,随着网络连接的迅速扩展,特别是Internet大范围的开放以及金融领域网络的接入,越来越多的系统遭到入侵攻击的威胁.这些威胁大多是通过挖掘操作系统和应用服务程序的弱点或者缺陷(bug)来实现的.1988年的“蠕虫事件”就是一个很好的实例[1].目前,对付破坏系统企图的理想方法是建立一个完全安全系统.但这样的话,就要求所有的用户能识别和认证自己,还要采用各种各样的加密技术和强访问控制策略来保护数据.而从实际上看,这根本是不可能的.首先,在实践当中,建立完全安全系统根本是不可能的.Miller[2]给出一份有关现今流行的操作系统和应用程序研究报告,指出软件中不可能没有缺陷,此外,设计和实现一个整体安全系统相当困难.其次,要将所有已安装的带安全缺陷的系统转换成安全系统需要相当长的时间.第3,加密技术方法本身存在的一定问题.第4,安全系统易受内部用户滥用特权的攻击.第5,安全访问控制等级和用户的使用效率成反比.第6,访问控制和保护模型本身存在一定的问题[2].第7,在软件工程中存在软件测试不充足、软件生命周期缩短、大型软件复杂性等难解问题.基于上述几类问题的解决难度,一个实用的方法是,建立比较容易实现的安全系统,同时按照一定的安全策略建立相应的安全辅助系统,IDS就是这样一类系统.现在安全软件的开发方式基本上就是按照这个思路进行的.就目前系统安全状况而言,系统存在被攻击的可能性.如果系统遭到攻击,只要尽可能地检测到,甚至是实时地检测到,然后采取适当的处理措施.IDS一般不是采取预防的措施以防止入侵事件的发生,入侵检测作为安全
收稿日期:2000-03-14;修改日期:2000-07-14基金项目:中国科学院软件研究所青年创新基金资助项目(CXZK5606)作者简介:蒋建春(1971-),男,广西壮族自治区全州人,博士生,主要研究领域为计算机网络,信息安全对抗;马恒太(1970-),男,山东临朐人,博士生,主要研究领域为网络信息安全,分布式计算;任党恩(1975-),男,安徽人,硕士生,主要研究领域为网络信息安全;卿斯汉(1939-),男,湖南人,研究员,博士生导师,主要研究领域为信息安全理论与技术.
DOI:10.13328/j.cnki.jos.2000.11.005技术其作用在于:(1)识别入侵者;(2)识别入侵行为;(3)检测和监视已成功的安全突破;(4)为对抗入侵及时提供重要信息,阻止事件的发生和事态的扩大.因此,入侵检测非常必要.
2 入侵检测的定义及分类Adenrson在80年代早期使用了“威胁”这一概念术语,其定义与入侵含义相同.将入侵企图或威胁定义为未经授权蓄意尝试访问信息、窜改信息,使系统不可靠或不能使用[3].Heady给出另外的入侵定义,入侵是指有关试图破坏资源的完整性、机密性及可用性的活动集合[4].Smaha[5]从分类角度指出入侵包括尝试性闯入、伪装攻击、安全控制系统渗透、泄漏、拒绝服务、恶意使用6种类型.入侵检测技术主要分成两大类型:异常入侵检测和误用入侵检测.第1种是指能够根据异常行为和使用计算机资源情况检测出来的入侵.异常入侵检测试图用定量方式描述可接受的行为特征,以区分非正常的、潜在的入侵性行为.Anderson[3]做了如何通过识别“异常”行为来检测入侵的早期工作.他提出了一个威胁模型,将威胁分为外部闯入、内部渗透和不当行为3种类型,并使用这种分类方法开发了一个安全监视系统,可检测用户的异常行为.外部闯入是指未经授权计算机系统用户的入侵;内部突破是指已授权的计算机系统用户访问未经授权的数据;不当行为是指用户虽经授权,但对授权数据和资源的使用不合法或滥用授权.误用入侵检测是指利用已知系统和应用软件的弱点攻击模式来检测入侵.例如,Internet蠕虫攻击使用了fingerd和sendmail错误[4],故可以归结到误用入侵这种类型.与异常入侵检测相反,误用入侵检测能直接检测不利的或不可接受的行为,而异常入侵检测是检查出与正常行为相违背的行为.入侵检测技术模型最早由DorothyDenning提出,如图1所示[6].目前,检测技术及其体系均是在此基础上的扩展和细化.
3 入侵检测方法3.1 异常入侵检测异常入侵检测的主要前提条件是将入侵性活动作为异常活动的子集.理想状况是异常活动集与入侵性活动集等同.这样,若能检测所有的异常活动,则可检测所有的入侵性活动.但是,入侵性活动并不总是与异常活动相符合.这种活动存在4种可能性:(1)入侵性而非异常;(2)非入侵性且异常;(3)非入侵性且非异常;(4)入侵且异常.异常入侵要解决的问题就是构造异常活动集并从中发现入侵性活动子集.异常入侵检测方法依赖于异常模型的建立,不同模型构成不同的检测方法.异常检测是通过观测到的一组测量值偏离度来预测用户行为的变化,然后作出决策判断的检测技术.3.1.1 基于特征选择异常检测方法基于特征选择异常检测方法是通过从一组度量中挑选能检测出入侵的度量构成子集来准确地预测或分类已检测到的入侵.异常入侵检测的问题是在异常活动和入侵活动之间难于作出判断.判断符合实际的度量是复杂的,因为能否合适地选择度量子集依赖于检测到的入侵类型,一个度量集对所有的各种各样的入侵类型不可能是足够的.预先确定特定的度量来检测入侵可能会错过单独的特别环境下的入侵.最理想的检测入侵度量集必须动态地决策判断以获得最好的效果.假设与入侵潜在相关的度量有n个,则这n个度量所构成的子集数是2n个.由于搜索空间与度量数是级数关系,所以穷尽寻找最理想的度量子集的开销不是有效的.Maccabe[7]提出
—1461—蒋建春等:网络安全入侵检测:研究综述用遗传方法来搜索整个度量子空间以寻找正确的度量子集.其方法是使用学习分类器方案生成遗传交叉算子和基因突变算子,除去降低预测入侵的度量子集,而采用遗传算子产生更强的度量子集取代.这种方法与较高的预测度量子集相结合,允许搜索的空间大小比其他启发式搜索技术更有效.其他的特征选取技术概况参见文献[8,9].3.1.2 基于贝叶斯推理的异常检测方法基于贝叶斯推理的异常检测方法是通过在任意给定的时刻,测量A1,A2,...,An变量值,推理判断系统是否有入侵事件发生.其中每个Ai变量表示系统不同方面的特征(如磁盘I/O的活动数量,或者系统中页面出错的数量).假定Ai变量有两个值,1表示异常,0表示正常.I表示系统当前遭受入侵攻击.每个异常变量Ai的异常
可靠性和敏感性表示为P(Ai=1/I)和P(Ai=1| I),则在给定每个Ai值的条件下,由贝叶斯定理得出I的可信度为P(I|A1,A2,...,An)=P(A1,A2,...,An|I)P(I)P(A1,A2,...,An),
其中要求给出I和 I的联合概率分布.又假定每个测量Ai仅与I相关,且与其他的测量条件Aj无关,i≠j,则有
P(A1,A2,...,An|I)=∏ni=1P(Ai|I),
P(A1,A2,...,An| I)=∏ni=1P(Ai| I).
从而得到
P(I|A1,A2,...,An)P( I|A1,A2,...,An)=P(I)P( I)
∏n
iP(Ai|I)
∏niP(Ai| I)
因此,根据各种异常测量的值、入侵的先验概率及入侵发生时每种测量到的异常概率,能够检测判断入侵的概率.但是,为了检测的准确性,还必须考虑各个测量Ai之间的独立性.一种方法是通过相关性分析,确定各个异常变量与入侵的关系[10].3.1.3 基于贝叶斯网络的异常检测方法贝叶斯网络是实现贝叶斯定理揭示的学习功能,发现大量变量之间的关系,进行预测、分类等数据的有力工具.基于贝叶斯网络的异常检测方法通过建立起异常入侵检测贝叶斯网,然后将其用作分析异常测量结果.贝叶斯网络允许以图形方式表示随机变量间相关的原因,并通过指定的一个小的与邻接节点相关的概率集计算随机变量的联接概率分布.按给定全部节点组合,所有根节点的先验概率和非根节点概率构成这个概率集.贝叶斯网络是一个有向图DAG,有向图中的弧表示父节点和孩子节点之间的依赖关系.这样,当随机变量的值变成可知时,就允许把它吸收成为证据,按给定的这个证据为其他的剩余随机变量条件值的判断提供计算框架.但是,通常情况下,判断根节点先验概率值和每个有向弧连接矩阵是重要的.至今,有关贝叶斯网络入侵检测系统的实际系统尚未出现,详细资料参看文献[11].3.1.4 基于模式预测的异常检测方法基于模式预测的异常检测方法的假设条件是事件序列不是随机的而是遵循可辨别的模式.这种检测方法的特点是考虑了事件的序列及相互联系.Teng和Chen给出基于时间的推理方法,利用时间规则来识别用户行为正常模式的特征[11].通过归纳学习产生这些规则集,并能动态地修改系统中这些规则,使之具有较高的预测性、准确性和可信度.如果规则大部分时间是正确的,并能够成功地运用预测所观察到的数据,那么规则就具有高可信度.TIM给出了一条产生规则[12]:(E1!E2!E3)(E4=95%,E5=5%),其中E1~E5表示安全事件.这条规则是根据前面观测到的事件E1模式后面是E2,E3,E4,E5.观测到E4事件的概率是95%,观测到