返回
入侵检测技术现状和未来

入侵检测技术现状和未来

ID:5601561

大小:28.50 KB

页数:7页

时间:2017-12-19

入侵检测技术现状和未来_第1页
入侵检测技术现状和未来_第2页
入侵检测技术现状和未来_第3页
入侵检测技术现状和未来_第4页
入侵检测技术现状和未来_第5页
资源描述:

《入侵检测技术现状和未来》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、入侵检测技术现状和未来  【摘要】入侵检测能有效弥补传统防御技术的缺陷,近年来入侵检测系统已经成为网络安全的系统中的重要组成部分。本文在对当前主流入侵检测技术及系统进行详细研究分析的基础上,指出了入侵检测系统面临的问题和挑战。最后对入侵检测系统的未来发展方向进行了讨论,展望了应用人工智能技术的入侵检测系统、基于Android平台的入侵检测系统、基于云模型和支持向量机的特征选择方法等新方向。【关键词】网络安全;入侵检测;异常检测;智能技术0.引言目前,在网络安全日趋严峻的情况下,解决网络安全问题所采用的

2、防火墙、身份认证、数据加密、虚拟子网等一般被动防御方法已经不能完全抵御入侵。此时,研究开发能够及时准确对入侵进行检测并能做出响应的网络安全防范技术,即入侵检测技术(ID,IntrusionDetection),成为一个有效的解决途径。入侵检测作为一种积极主动地安全防护技术,已经成为网络安全领域中最主要的研究方向。1.入侵检测概述1.1入侵检测的基本概念入侵检测(Intrusion7Detection),即是对入侵行为的检测。入侵是指潜在的、有预谋的、未被授权的用户试图“接入信息、操纵信息、致使系统不可

3、靠或不可用”的企图或可能性。它通过从计算机网络或计算机系统的关键点收集信息,并对收集到的信息进行分析,从而发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。而入侵检测系统则是入侵检测的软件与硬件的组合。1.2入侵检测系统的通用模型1987年DorothyEDenning[1]提出了入侵检测的模型,首次将入侵检测作为一种计算机安全防御措施提出。该模型包括6个主要的部分:主体(Subjects)、对象(Objects)、审计记录(AuditRecord)、活动档案(ActiveProfile)、异常

4、记录(AnomalyRecord)、活动规则(ActivityRules)。2.入侵检测系统采用的检测技术从技术上看,入侵可以分为两类:一种是有特征的攻击,它是对已知系统的系统弱点进行常规性的攻击;另一种是异常攻击。与此对应,入侵检测也分为两类:基于特征的(Signature-based即基于滥用的)和基于异常的(Anomaly-based,也称基于行为的)。2.1基于特征的检测7特征检测,它是假定所有入侵者的活动都能够表达为一种特征或模式,分析已知的入侵行为并建立特征模型,这样对入侵行为的检测就转化

5、为对特征或模式的匹配搜索,如果和已知的入侵特征匹配,就认为是攻击。它的难点在于如何设计模式,使其既能表达入侵又不会将正常的模式包括进来。2.2基于异常的检测2.2.1基于概率统计模型的异常检测方法概率统计方法是最早也是使用得最多的一种异常检测方法,这种入侵检测方法是基于对用户历史行为建模以及在早期的证据或模型的基础上,审计系统实时地检测用户对系统的使用情况。系统根据每个用户以前的历史行为,生成每个用户的历史行为记录集,当用户改变他们的行为习惯时,这种异常就会被检测出来。2.2.2基于模型推理的入侵检测

6、技术基于模型推理的入侵检测的实质是在审计记录中搜索可能出现的攻击子集。攻击者在攻击一个系统时往往在系统日志中留下他们的踪迹。所以通过分析日志文件和审计信息,能够发现成功的入侵或入侵企图。入侵者所产生的种种行为组合在一起就构成了行为序列,而这个行为序列是具有一定特征的模型。所以根据这种模型所代表的攻击意图的行为特征,可以实时地检测出恶意的攻击企图。2.2.3数据挖掘7数据挖掘强大的分析方法可以用于入侵检测的建模,使用其中有关算法对审计数据进行关联分析和序列分析,可以挖掘出关联规则和序列规则。2.3入侵检

7、测的新技术2.3.1基于生物免疫的入侵检测基于生物免疫的入侵检测方法是通过模仿生物有机体的免疫系统工作机制,使得受保护的系统能够将非自我的非法行为与自我的合法行为区分开来。2.3.2基于伪装的检测方法基于伪装的检测方法,是指将一些虚假的信息提供给入侵者,如果入侵者应用这些信息攻击系统,就可以推断系统正在遭受入侵;并且还可以诱惑入侵者,进一步跟踪入侵的来源。2.3.3基于Agent的入侵检测无控制中心的多Agent结构,每个检测部件都是独立的检测单元,尽量降低了各检测部件间的相关性,不仅实现了数据收集的

8、分布化,而且将入侵检测和实时响应分布化,真正实现了分布式检测的思想。3.入侵检测系统目前存在的问题入侵检测系统近年来取得了较快的发展,但在理论研究和实际应用中仍存在许多问题:(1)大量的误报和漏报。由于现在的特征库组织简单,造成漏报率和误报率较高。7(2)系统的自适应能力差,自我更新能力不强,系统缺乏灵活性。(3)入侵检测系统是失效开放(Fail_open)的机制,也就是一旦系统停止作用,它所在的整个网络是开放的。因此,当IDS遭受拒绝服务攻击时,这种失

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。