返回
入侵检测技术探究现状研究

入侵检测技术探究现状研究

ID:5933352

大小:27.00 KB

页数:6页

时间:2017-12-29

入侵检测技术探究现状研究_第1页
入侵检测技术探究现状研究_第2页
入侵检测技术探究现状研究_第3页
入侵检测技术探究现状研究_第4页
入侵检测技术探究现状研究_第5页
资源描述:

《入侵检测技术探究现状研究》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、入侵检测技术探究现状研究  入侵检测技术作为网络安全防护技术的重要组成部分,已经成为网络安全领域研究的热点,对入侵检测系统的定义、分类进行了介绍,并重点对入侵检测技术的现状进行了分析和总结。入侵检测网络安全技术1引言随着信息时代的到来,电子商务、电子政务,网络改变人们的生活,人类已经进入信息化社会。计算机系统与网络的广泛应用,使网络安全问题成为日益瞩目的焦点。单纯的安全保护措施并不能保障系统的绝对安全,入侵检测技术作为网络安全防护技术的重要组成部分,已经成为网络安全领域研究的热点。2入侵检测的概念入侵检

2、测(IntrusionDetection),顾名思义,是指对入侵行为的发现。入侵检测技术是通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。6入侵检测系统(IDS)则是指一套监控和识别计算机系统或网络系统中发生的事件,根据规则进行入侵检测和响应的软件系统或软件与硬件组合的系统。3入侵检测技术分析3.1入侵检测的分类关于入侵检测系统的分类大体可分为四类:(1)根据入侵检测的数据来源的不同,入侵检测系统可以分为基于主

3、机的入侵检测系统、基于网络的入侵检测系统、混合式入侵检测系统等。基于主机的入侵检测系统往往以系统日志、应用程序日志等作为数据源,保护所在的系统。基于网络的入侵检测系统通过在共享网段上对通信数据进行侦听采集数据,分析可疑现象,能够实现对整个网段的监控、保护。混合式入侵检测系统采用上述两种数据来源,能够同时分析来自主机系统的审计日志和网络数据流。(2)根据入侵检测体系结构的不同,将入侵检测系统分为集中式入侵检测系统和分布式入侵检测系统。集中式IDS由一个集中的入侵检测服务器和运行于各个主机上的简单的审计程序

4、组成,审计数据由分散的主机审计程序收集后传送到检测服务器,由服务器对这些数据进行分析,适用于小型网络中的入侵检测。分布式IDS的各个组件分布在网络中不同的计算机上,一般来说分布性主要体现在数据收集和数据分析模块上。6(3)根据入侵检测系统所采用的技术不同分为异常检测、误用检测和混合型检测。误用检测是利用已知的攻击特点或系统漏洞,直接对入侵行为进行特征化描述,建立某种或某类己经发生过的入侵的特征行为模式库,如果发现当前行为与某个入侵模式一致,就表示发生了这种入侵。异常检测是建立计算机系统中正常行为的模式库

5、,然后根据采集的数据,如果数据特征与正常行为的特征相比,出现明显的偏差,则认为是异常。(4)根据响应方式可分为:主动响应和被动响应两种。3.2入侵检测主要技术(1)概率统计方法概率统计首要做的就是建立一个统计特征轮廓,它通常由对主体特征属性变量进行统计概率分布以及偏差等来描述的。譬如:CPU的使用,I/O的使用,使用地点及时间,邮件使用,编辑器使用,编译器使用,所创建、删除、访问或改变的目录及文件,网络上活动等。这种方法的优点在于能够检测出未知的入侵行为,同时缺点也很明显:误报、漏报率高。(2)神经网络

6、6基本思想是用一系列信息单元(命令)训练神经单元,这样在给定一组输入后,就可能预测出输出。当前命令和刚过去的w个命令组成了网络的输入,其中w是神经网络预测下一个命令时所包含的过去命令集的大小。根据用户的代表性命令序列训练网络后,该网络就形成了相应用户的特征表,于是网络对下一事件的预测错误率在一定程度上反映了用户行为的异常程度。该技术目前还不很成熟。(3)专家系统早期的IDS大多是采用这种技术,将有关入侵的知识转化成if-then结构的规则,即将构成入侵所要求的条件转化为if部分,将发现入侵后采取的相应措

7、施转化成then部分。当其中某个或某部分条件满足时,系统就判断为入侵行为发生。其中的if-then结构构成了描述具体攻击的规则库,状态行为及其语义环境可根据审计事件得到,推理机根据规则和行为完成判断工作。系统规则库的完备与否决定了专家系统的检测率和误检率。(4)模型推理模型推理是指结合攻击脚本推理出入侵行为是否出现。其中有关攻击者行为的知识被描述为:攻击者目的,攻击者达到此目的的可能行为步骤,以及对系统的特殊使用等。根据这些知识建立攻击脚本库,每一脚本都由一系列攻击行为组成。(5)基于遗传算法的入侵检测

8、6遗传算法是基于自然选择和进化的思想,把适者生存和随机的信息交换组合起来形成的一种搜索方法,其目的在于为问题提供最优的解决方案。入侵检测的过程可以抽象为:为审计事件记录定义一种向量表示形式,这种向量或者对应于攻击行为,或者代表正常行为。通过对所定义的向量进行测试,提出改进的向量表示形式,不断重复这个过程直到得到令人满意的结果。在这种方法中,遗传算法的任务是使用“适者生存”的原理,得出最佳的向量表示形式。(6)基于数据挖掘的入侵检测数据挖掘是

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。