入侵檢測(cè)技術(shù)論文
入侵檢測(cè)技術(shù)論文
入侵檢測(cè)系統(tǒng)是一個(gè)能夠?qū)W(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)的活動(dòng)進(jìn)行實(shí)時(shí)監(jiān)測(cè)的系統(tǒng),下面是學(xué)習(xí)啦小編為大家整理的入侵檢測(cè)技術(shù)論文,希望你們喜歡。
入侵檢測(cè)技術(shù)論文篇一
入侵檢測(cè)技術(shù)研究綜述
提要 本文介紹入侵及入侵檢測(cè)的概念,分析各種入侵檢測(cè)技術(shù)與特點(diǎn)。
關(guān)鍵詞:入侵;異常數(shù)據(jù);入侵檢測(cè)
中圖分類號(hào):F49 文獻(xiàn)標(biāo)識(shí)碼:A
近年來,計(jì)算機(jī)網(wǎng)絡(luò)的高速發(fā)展和應(yīng)用,使網(wǎng)絡(luò)安全的重要性也日益增加。如何識(shí)別和發(fā)現(xiàn)入侵行為或意圖,并及時(shí)給予通知,以采取有效的防護(hù)措施,保證系統(tǒng)或網(wǎng)絡(luò)安全,這是入侵檢測(cè)系統(tǒng)的主要任務(wù)。
一、入侵及入侵檢測(cè)
入侵是指任何企圖危及計(jì)算機(jī)系統(tǒng)資源的完整性、機(jī)密性和可用性或試圖越過計(jì)算機(jī)或網(wǎng)絡(luò)安全機(jī)制的行為。入侵不僅包括發(fā)起攻擊的人取得超出合法范圍的系統(tǒng)控制權(quán),也包括收集漏洞信息,造成拒絕服務(wù)等對(duì)計(jì)算機(jī)系統(tǒng)造成危害的行為。入侵檢測(cè)顧名思義,是對(duì)入侵行為的發(fā)覺,它是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異?,F(xiàn)象的技術(shù),是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。
二、入侵檢測(cè)系統(tǒng)的分類
入侵檢測(cè)系統(tǒng)的任務(wù)是在所提取到的大量檢測(cè)數(shù)據(jù)中找到入侵的痕跡。入侵分析過程需要將提取到的事件與入侵檢測(cè)規(guī)則進(jìn)行比較,以判斷是否發(fā)生入侵行為。一方面IDS需要盡可能多地提取數(shù)據(jù)以獲得足夠的入侵證據(jù);另一方面由于入侵行為的多變性和復(fù)雜性而導(dǎo)致判定入侵的規(guī)則越來越復(fù)雜。
對(duì)于入侵檢測(cè)系統(tǒng),可以根據(jù)所采用的審計(jì)數(shù)據(jù)源、檢測(cè)策略、檢測(cè)的實(shí)時(shí)性、對(duì)抗措施、體系結(jié)構(gòu)等方面進(jìn)行不同的分類。(1)依據(jù)審計(jì)數(shù)據(jù)源的不同可將IDS分為基于網(wǎng)絡(luò)的IDS與基于主機(jī)的IDS;(2)從入侵檢測(cè)的策略來看,可以分為濫用檢測(cè)與異常檢測(cè);(3)按IDS處理數(shù)據(jù)的實(shí)時(shí)性,可以分為實(shí)時(shí)檢測(cè)與事后檢測(cè);(4)從入侵檢測(cè)系統(tǒng)的對(duì)抗措施來看,可以分為主動(dòng)系統(tǒng)與被動(dòng)系統(tǒng);(5)從入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu)來看,可以分為集中式系統(tǒng)與分布式系統(tǒng)。
三、入侵檢測(cè)主要研究技術(shù)
目前,在IDS研究領(lǐng)域的主要研究方向包括IDS的性能評(píng)價(jià)、IDS集成中通用的通訊格式、面向大規(guī)模分布式網(wǎng)絡(luò)的IDS框架以及采用一些最新的智能技術(shù)來識(shí)別新型未知攻擊。IDS檢測(cè)技術(shù)主要包括:專家系統(tǒng)技術(shù)、統(tǒng)計(jì)分析、狀態(tài)轉(zhuǎn)換分析、神經(jīng)網(wǎng)絡(luò)、生物免疫學(xué)、智能代理檢測(cè)技術(shù)、模糊技術(shù)、數(shù)據(jù)挖掘、模式匹配技術(shù)等。
1、專家系統(tǒng)技術(shù)。它是最早的濫用檢測(cè)方法之一,主要針對(duì)濫用檢測(cè),也有用于異常入侵檢測(cè)的?;趯<蚁到y(tǒng)技術(shù)的入侵檢測(cè)系統(tǒng),其優(yōu)點(diǎn)是將系統(tǒng)的推理過程和知識(shí)庫分離,用戶只需要解決對(duì)問題的描述,不需理解系統(tǒng)的求解過程而達(dá)到求解的目的;但也存在著缺點(diǎn),如系統(tǒng)自適應(yīng)能力差、對(duì)未知攻擊無能為力、執(zhí)行效率低等。
2、統(tǒng)計(jì)分析。它是在異常檢測(cè)中使用最早和最普遍的技術(shù)。它的優(yōu)點(diǎn)是可以“學(xué)習(xí)”用戶或系統(tǒng)的使用習(xí)慣,具有較高的檢測(cè)率和可用性,它不需維護(hù)攻擊模式庫,只需挑選特定的統(tǒng)計(jì)量建立模型。缺點(diǎn)是檢測(cè)的實(shí)時(shí)性不好,不能反映事件在時(shí)間順序上的前后相關(guān)性,統(tǒng)計(jì)量和閾值選擇上也存在一定困難。
3、狀態(tài)轉(zhuǎn)換方法。狀態(tài)轉(zhuǎn)換方法是使用系統(tǒng)狀態(tài)和狀態(tài)轉(zhuǎn)換表達(dá)式來描述和檢測(cè)已知入侵。實(shí)現(xiàn)狀態(tài)轉(zhuǎn)換有很多方法,其中最主要的是狀態(tài)轉(zhuǎn)換分析和著色Petri網(wǎng)。
4、生物免疫法。基于生物免疫的方法,與其他入侵檢測(cè)方法比,可以滿足完善的基于網(wǎng)絡(luò)的IDS必須具備的三個(gè)系統(tǒng)特性,即分布性、自組織性和低消耗性。在不需要攻擊先驗(yàn)知識(shí)情況下,使用“自我”特征來檢測(cè)系統(tǒng)的異常,檢測(cè)效率高,能夠檢測(cè)未知類型的攻擊,但對(duì)于不涉及到系統(tǒng)特權(quán)進(jìn)程使用的攻擊行為往往無能為力。
5、神經(jīng)網(wǎng)絡(luò)技術(shù)。神經(jīng)網(wǎng)絡(luò)作為人工智能的分支,在入侵檢測(cè)領(lǐng)域得到了較好的應(yīng)用。神經(jīng)網(wǎng)絡(luò)應(yīng)用于入侵檢測(cè)主要是利用神經(jīng)網(wǎng)絡(luò)對(duì)正常的系統(tǒng)或用戶行為進(jìn)行訓(xùn)練,利用其自適應(yīng)學(xué)習(xí)特性提取系統(tǒng)或用戶行為特征,以此創(chuàng)建系統(tǒng)或用戶的行為特征輪廓,并作為異常的判定標(biāo)準(zhǔn)。神經(jīng)網(wǎng)絡(luò)具有非參量統(tǒng)計(jì)分析的優(yōu)點(diǎn),較好的抗干擾能力,具有較高的學(xué)習(xí)和自適應(yīng)能力,能識(shí)別出新的入侵行為特征和已知入侵行為的變種。但是,神經(jīng)網(wǎng)絡(luò)的訓(xùn)練時(shí)間過長(zhǎng),收斂速度慢,缺乏對(duì)判定結(jié)果的直觀解釋等。
6、數(shù)據(jù)挖掘技術(shù)。數(shù)據(jù)挖掘技術(shù)在入侵檢測(cè)系統(tǒng)中的應(yīng)用,主要是通過挖掘?qū)徲?jì)數(shù)據(jù)以獲得行為模式,分別并分離出入侵行為,有效地實(shí)現(xiàn)入侵檢測(cè)規(guī)則。審計(jì)數(shù)據(jù)是由經(jīng)過預(yù)處理的、帶有時(shí)間戳的審計(jì)記錄組成,每條審計(jì)記錄都包含一些屬性(也稱為特征)。例如,一個(gè)典型的審計(jì)日志文件包括源IP地址、目的IP地址、服務(wù)類型、連接狀態(tài)等屬性。挖掘?qū)徲?jì)數(shù)據(jù)是一項(xiàng)十分重要的任務(wù),它直接影響到入侵檢測(cè)的精確性和可用性。目前,用于入侵檢測(cè)的數(shù)據(jù)挖掘技術(shù)包括:關(guān)聯(lián)分析、序列分析、分類、聚類分析、孤立點(diǎn)分析以及基于粗糙集的挖掘等。
7、進(jìn)化計(jì)算技術(shù)。進(jìn)化計(jì)算技術(shù)本質(zhì)上屬于一種模仿某些自然規(guī)劃的全局優(yōu)化算法,引入達(dá)爾文在進(jìn)化論中提出的自然選擇概念對(duì)系統(tǒng)進(jìn)行優(yōu)化。進(jìn)化的主要算法包括:遺傳算法、進(jìn)化規(guī)劃、進(jìn)化策略、分類器系統(tǒng)和遺傳規(guī)劃。理論上講,以上幾種算法都可以應(yīng)用在入侵檢測(cè)中,目前主要是對(duì)遺傳算法和遺傳規(guī)劃的應(yīng)用進(jìn)行了研究。進(jìn)化算法的優(yōu)點(diǎn)是對(duì)于多為系統(tǒng)的優(yōu)化非常有效,同時(shí)可以提高對(duì)不同攻擊類型的分辨力,降低系統(tǒng)的誤報(bào)率。進(jìn)化計(jì)算在入侵檢測(cè)中的應(yīng)用還不成熟,還存在著不少缺陷。
四、結(jié)束語
隨著網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)規(guī)模的不斷發(fā)展,入侵檢測(cè)系統(tǒng)在計(jì)算機(jī)網(wǎng)絡(luò)安全體系中發(fā)揮著日趨重要的作用。然而,面對(duì)層出不窮、變化多端的攻擊,仍然需要我們不斷完善現(xiàn)有的技術(shù)和進(jìn)行新技術(shù)的研究和探討。
點(diǎn)擊下頁還有更多>>>入侵檢測(cè)技術(shù)論文