入侵检测器范文(精选12篇)
入侵检测器 第1篇
随着网络和计算机技术的不断发展,网络安全性问题日益突出起来,入侵检测系统是一种重要的安全防范技术,已成为网络安全的重要保障之一[1,2]。目前各种不同的攻击方式不断出现,因此入侵检测中的有关智能性研究逐渐成为入侵检测系统研究领域中的一个重要方向。而入侵检测系统的主要部件是检测器,检测器生成算法是生成有效检测器的关键,是检测异常变化的核心所在[3,4]。检测器的设计对入侵检测系统的性能有着重要的影响,其从产生到成熟再到被丢弃,有自身固有的过程和生命周期,可以利用遗传算法来生成一个成熟检测器集,采用交叉、变异等遗传操作对其进行进化,使成熟检测器群体向“非我”进化。但随着问题规模的不断扩大和搜索空间的更加复杂,遗传算法在实际应用中有一定的局限性,不能表现出算法的优越性,出现迭代次数多、收敛速度慢、易陷入局部最优值和过早收敛等问题。
量子遗传算法结合了量子计算和遗传算法的优点,它将量子所具有的独特计算能力和遗传算法的全局寻优能力结合起来,提升了算法的优化性能,比传统遗传算法具有更高的搜索效率[5]。该文在现在有研究的基础上提出一种检测器生成方法,该算法通过对自然界中的协同进化机制进行模拟,首先将要进化的种群划分为多个子种群,然后各个种群再分别利用量子遗传算法进行优化,使整个入侵检测系统具有良好的自适应性和多样性。
2 相关知识
量子遗传算法本质上是种概率优化方法,其基本思想是基于量子计算原理,用量子比特编码来表示染色体,充分利用量子态的叠加性和相干性,以当前最优个体的信息为指导,通过量子门来完成种群的更新操作,以此来促进算法的收敛,从而来实现目标的最后优化求解。
2.1 量子比特
通常在计算机中用二进制0和1来表示信息单元,而在量子计算机中是用一个双态量子系统即量子比特来表示信息单元。量子比特作为信息单位,形式上表示为两种基态|0>和|1>,一般用|0>表示0,用|1>表示1。与经典比特不同,量子比特不仅可以处于两种基态|0>和|1>,而且还可以处在中间态,也就是|0>和|1>的不同叠加态。因此,量子比特的状态可用下式表示:
2.2 量子染色体[6]
量子遗传算法是采用量子比特的编码方式,用一个复数对(α,β)表示一个量子比特。若一个量子染色体包含m个量子比特,则由m个复数对组成。这个染色体编码形式如下:
2.3 量子旋转门
在量子遗传算法中量子染色体一般是纠缠或叠加的,所以可以用量子门来表示染色体的各个纠缠态或叠加态;父代群体不能决定子代个体的产生,个体的产生是通过父代的最优个体以及它们状态的概率幅决定的。用构造的量子门表示量子叠加态或纠缠态的基态,它们彼此干涉使相位发生改变,以此达到改变各个基态的概率幅的目的。因此,如何构造合适的量子门是量子遗传操作和量子遗传算法亟待解决的关键问题,量子门构造的是否合适会影响到遗传算法的性能。目前在量子遗传算法中通常采用量子旋转门U,U可表示为
2.4 量子变异[7]
通常情况下在遗传算法中,算法的局部搜索能力以及阻止未成熟染色体收敛这些操作都是通过变异作用实现的,量子变异必须达到量子遗传算法对变异操作的要求,这里我们这样定义量子比特的变异操作:
(1)从种群中以给定的概率pi随机地选择若干个体;
(2)确定变异位,以确定的概率对从(1)中选择的个体随机地确定变异位;
(3)对换操作,对换选中位量子比特的概率幅。
2.5 协同进化算法[8]
进化算法的本质是优化,是为了使物种在激烈的竞争中能够具备生存的本领以致在竞争中能够生存下来。在一般的遗传算法中要么只涉及到个别群或个体的进化,要么只是涉及种群之间的竞争,几乎没有顾及到个体与个体,种群与种群之间互惠寄生的协同关系。基于以上原因,提出了协同进化算法。协同进化是生态系统中众多进化方式中的一种,进化中种群要生存下来不仅要受自身因素的影响,同时也受周围同类或异类的相互影响,在这些因素的影响下能够生存下来。在进化的过程中种群的个体之间及其与其它种群之间都要进行相互作用相互影响。
3 基于量子遗传算法的协同进化检测器生成算法设计思路
算法的基本思想:首先对随机生成的种群进行种群分割,将种群分成若干个子种群。利用空间形态学的原理,根据种群中各个自体间的距离来判断它们是否属于一个分割,各个子群之间互相协作,以确保整个系统的适应度不断提高;用量子遗传算法对单个子群进行进化。量子遗传算法优化检测器的入侵检测模型如图1所示。
(1)种群的初始化策略
在量子遗传算法中种群初使化操作通常是这样进行的,各个体的量子位概率幅(αi,βi)的初始值设为,也就是说各个体的全部状态出现的概率相同。协同进化需要多个种群,因此必须增加种群的多样性,所以在初始化时我们将量子位概率空间平均分为N个,即体表N个子群,0、1极限概率为δ,用公式(1)来初始化第k个子种群,也就是将同子种群内的每个个体初始化为量子染色体,每个量子染色体的概率相同,不同子种群个体的状态以不同概率出现,以此来达到增加初始化个体多样性的目的。
(2)量子门更新策略
采用进化方程的方式来调整量子门的旋转角大小和方向。这样做有两个好处:一是减少了参数的个数,同时算法的结构也得到了简化;另一个是利用进化方程的记忆的,可以利用个体自身的局部最优信息,邻域种群的最优信息,以及整个种群最优状态的信息,从而使旋转角θ能够得到更加合理的调整,还能够更好地跳出局部极值。进化方程可定义为:,其中θ=k1(pm-xi)+k2(pi-xi)+k3(pj-xi)+k4(p-xi),其中k1,k2,k3,k4为影响因子,pi,pj是左右邻域种群极值,pm为个体所在种群极值,p为全局极值。
(3)具体实现步骤
Step1:将量子位概率空间平均分为N个,即体表N个子群,0、1极限概率为δ,用公式来初始化第k个子种群,也就是将同子种群内的每个个体初始化为量子染色体,每个量子染色体的概率相ë同βi,û不同ë子1种-群k/个N体+的δû状态以不同概率出现,以此增加初始化个体的多样性。
Step2:初始化步骤1中的每一个子群Qi(t),(i=1,2,...,N)t=0;
Step3:依次测量初始子群Qi(t)中各个体,得到一组状态Pi(t),(i=1,2,...,N);
Step4:依次对Pi(t)进行适应度评估;
Step5:记录下每个初始子群Qi(t)中的最佳个体状态及其适应度值;
Step6:保留步骤5中得到的N个最佳个体,如果此时得到了满意解,则算法终止,否则转入Step7;
Step7:采用(2)中定义的量子门U(t)更新每一个初始子群Qi(t),得到N个新的子代Qi(t+1);
Step8:以确定的概率进行量子变异;
Step9:对于每个新的子代Qi(t+1),算法转至Step4继续进行。
4 结论
检测器集的好坏决定了入侵检测系统的性能,因而检测器集的生成算法是入侵检测系统开发中最核心的部分。该文引入量子遗传算法来实现检测器的优化过程,设计了基于遗传算法的检测器生成算法。该算法通过模拟自然界协同进化机制,把需要进化的种群划分为多个子种群,各个种群采用量子遗传算法进行优化,使整个入侵检测系统具有良好的自适应性和多样性。在接下来的研究中,将重点研究侵检测器中各参数的影响程度的问题,以提高入侵检测系统的自适应性和有效性,进一步提高入侵检测的准确率。
参考文献
[1]卿斯汉,蒋建春,马恒太,等.入侵检测技术研究综述[J].通信学报,2004(7):19-29.
[2]林果园,黄皓,张永平.入侵检测系统研究进展[J].计算机科学,2008,35(2):69-74.
[3]葛丽娜,钟诚.基于人工免疫入侵检测检测器生成算法[J].计算机工程与应用,2005(23):150-152.
[4]杨东勇,陈晋因.基于多种群遗传算法的检测器生成算法研究[J].自动化学报,2009,35(4):425-432.
[5]罗文坚,曹先彬,王煦法.检测器自适应生成算法研究[J].自动化学报,2005,35(6):907-916.
[6]赵丽,李智勇.求解入侵检测问题的量子免疫算法[J].计算机工程与应用,2011,47(11).
[7]曹建国.基于量子力学遗传算法的入侵检测器生成[J].重庆文理学院院报:自然科学版,2010.29(2).
入侵检测器 第2篇
IDS是英文“Intrusion Detection Systems”的缩写,中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。
我们做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼,或内部人员有越界行为,只有实时监视系统才能发现情况并发出警告。
在本质上,入侵检测系统是一个典型的“窥探设备”。它不跨接多个物理网段(通常只有一个监听端口),无须转发任何流量,而只需要在网络上被动的、无声息的收集它所关心的报文即可。对收集来的报文,入侵检测系统提取相应的流量统计特征值,并利用内置的入侵知识库,与这些流量特征进行智能分析比较匹配。根据预设的阀值,匹配耦合度较高的报文流量将被认为是进攻,入侵检测系统将根据相应的配置进行报警或进行有限度的反击。入侵检测系统的原理模型如图所示。
入侵检测系统通过监听获得网络连路上流量的拷贝
入侵检测系统的工作流程大致分为以下几个步骤:
(1)信息收集入侵检测的第一步是信息收集,内容包括网络流量的内容、用户连接活动的状态和行为。
(2)信号分析对上述收集到的信息,一般通过三种技术手段进行分析:模式匹配,统计分析和完整性分析。其中前两种方法用于实时的入侵检测,而完整性分析则用于事后分析。
具体的技术形式如下所述:
模式匹配
模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。该过程可以很简单(如通过字符串匹配以寻找一个简单的条目或指令),也可以很复杂(如利用正规的数学表达式来表示安全状态的变化)。一般来讲,一种进攻模式可以用一个过程(如执行一条指令)或一个输出(如获得权限)来表示。该方法的一大优点是只需收集相关的数据集合,显著减少系统负担,且技术已相当成熟。它与病毒防火墙采用的方法一样,检测准确率和效率都相当高。但是,该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法,不能检测到从未出现过的黑客攻击手段。
统计分析
分析方法首先给信息对象(如用户、连接、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性(如访问次数、操作失败次数和延时等)。测量属性的平均值将被用来与网络、系统的行为进行比较,任何观察值在正常偏差之外时,就认为有入侵发生。例如,统计分析可能标识一个不正常行为,因为它发现一个在晚八点至早六点不登录的帐户却在凌晨两点试图登录。其优点是可检测到未知的入侵和更为复杂的入侵,缺点是误报、漏报率高,且不适应用户正常行为的`突然改变。具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法,目前正处于研究热点和迅速发展之中。
完整性分析
完整性分析主要关注某个文件或对象是否被更改,包括文件和目录的内容及属性,它在发现被更改的、被特络伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制,称为消息摘要函数(例如MD5),能识别及其微小的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵,只要是成功的攻击导致了文件或其它对象的任何改变,它都能够发现。缺点是一般以批处理方式实现,不用于实时响应。这种方式主要应用于基于主机的入侵检测系统(HIDS)。
(3)实时记录、报警或有限度反击
IDS根本的任务是要对入侵行为做出适当的反应,这些反应包括详细日志记录、实时报警和有限度的反击攻击源。
入侵检测系统研究 第3篇
关键词:入侵检测;异常检测;多尺度
中图分类号:TP393.08 文献标识码:A 文章编号:1674-7712 (2014) 06-0000-01
一、网络安全现状
2012年,CNNIC调查发现,有84.8%的网民遇到过信息安全事件,总人数为4.56亿,平均每人遇到2.4类信息安全事件。垃圾短信和手机骚扰电话发生比例最高,分别有68.3%和56.5%的网民遇到过,其它事件比例分别为:欺诈诱骗信息(38.2%)、中病毒或木马(23.1%)、假冒网站(17.6%)、账号或密码被盗(13.8%)、手机恶意软件(10.6%)、个人信息泄露(7.1%)。网络信息安全和信任问题已经成为电子商务深层次发展的最大制约因素,互联网向商务交易型应用的发展,急需建立更加可信、可靠的网络环境。
分析网络流量行为,发现隐藏的入侵异常或可疑事件具有现实意义。研究人员也针对此提出了大量入侵检测方法。本文对近年来各类检测方法做了总结,旨在为入侵检测领域研究人员提供技术路线。
二、入侵检测方法概述
入侵检测过程通常分为两个阶段:训练阶段和测试阶段。前者是通过训练建立正常流量轮廓;后者将学习到的轮廓应用到测试数据中。对网络入侵检测深入研究,研究人员提出了很多的方法,将其分为时域检测方法(temporal analysis)和空域关联方法(spatial correlation);本文按照它们所采用的技术不同考虑分为基于统计分析的方法、基于机器学习的方法和基于数据挖掘的方法。
为了消除入侵检测系统检测过程中的人工干预,研究人员逐渐借助于数据挖掘技术。Grossman将数据挖掘定义为“致力于发现数据中的模式,关联,变化,异常,统计意义下的显著结构和事件。”数据挖掘是将数据作为输入,从中发现隐藏的模式或者偏离现象。通过建立正常网络行为的界限,数据挖掘能够从网络的流量中识别攻击行为。
(一)基于分类的入侵检测系统
基于一组规则,模式或者其它一些方法将审计数据分为正常和异常的系统称为基于分类的入侵检测系统。典型的分类过程有以下步骤:(1)标出类属性,将训练数据分类;(2)从训练数据中学习一个模式;(3)用学习到的模式标识未知数据抽样序列。
分类方法有很多,主要包括模糊逻辑,遗传算法和神经网络。
模糊逻辑(Fuzzy Logic)技术早在上世纪九十年代就已用于计算机和网络安全领域。模糊逻辑用于入侵检测主要有两个重要原因。首先,入侵检测系统中使用的一些量化参数,例如,CPU使用率,通联间隔等都是一些模糊变量。其次,正如Bridges等所述,安全的概念本身就是一个模糊问题。Dickerson等开发出了模糊入侵识别引擎(Fuzzy Intrusion Recognition Engine, FIRE) 使用模糊集和模糊规则。
遗传算法(Genetic Algorithm, GA),作为搜索技术,被广泛应用于寻找优化和搜索问题的估计方法,已经扩展到入侵检测领域。使用遗传算法选择合适的特征或确定相关函数的优化参数,再使用不同的数据挖掘技术获得规则。Crosbie等在1995年最早将遗传算法应用于入侵检测中,采用分布在网络中的多个探针收集数据。该方法的优点是采用分布式探针监控各种网络参数,但是对内在探针通信机制和冗长的训练过程等问题没有解决。
神经网络也是入侵检测领域经常采用的技术。Ramadas等采用自组织映射(Self Organizing Maps)模型开发出了ANDSOM检测网络流量异常。ANDSOM是基于网络的入侵检测系统INBOUNDS的入侵检测模块,由俄亥俄州立大学开发。ANDSOM模块对每一被监控网络的服务产生二维SOM,并采用DNS和HTTP服务进行了性能测试。神经元在训练阶段由正常网络流量训练得到特征模式。当实时网络数据输入到训练后的神经元时,如果输入流量与模式的距离超过预设的门限触发异常告警。
入侵检测方案也采用了其它诸如支持向量机(Support Vector Machine, SVM)等其它模型的数据挖掘技术。提出了一种有监督局部决策分层支持向量机的异常检测方法以及使用SVM技术实现的分类入侵检测系统。
(二)基于聚类的偏离点检测
聚类(Cluster)是发现多维数据中的未签名模式。聚类方法是入侵检测领域的研究人员感兴趣的方向之一,其主要优点是提供了一种在无监督的情况下,从审计数据中学习并检测异常类型的能力,不需要管理人员输入主观数据。因此,训练入侵检测系统的数据也减少了。聚类和偏离点检测是密切相关的。从聚类算法的角度看,偏离点检测是数据集中没有被聚类的对象点。统计学领域对偏离点的概念研究是相当成熟的。在这些研究中,数据点被建模成随机分布,并根据其与模型的关系判决是不是偏离点。然而,随着维数的增加,精确估计数据点的多维分布越来越困难。部分偏离点检测算法都是基于点之间距离和局部相邻点的密度而展开的。
MINDS(Minnesota Intrusion Detection System)入侵检测模块将异常度分配给每个点,称为局部偏离点(Local Outlier Factor,LOF)。LOF根据当前观察点的临近区域的点密度识别偏离点。偏离点是那些有较大LOF值的点。LOF算法的优点是能够检测任何形式的异常,包括那些不能被基于距离的算法检测到的异常。
参考文献:
[1]伍海波,陶滔.入侵检测系统研究综述[J].网络安全技术与应用,2008(02).
入侵检测系统概述 第4篇
关键词:入侵,检测,系统
1 入侵检测系统的体系结构
CIDF是一套规范, 它定义了IDS表达检测信息的标准语言以及IDS组件之间的通信协议, 符合CIDF规范的IDS可以共享检测信息, 相互通信, 协同工作, 还可以与其它系统配合实施统一的配置响应和恢复策略。CIDF早期由美国国防部高级研究计划局赞助研究, 现在由CIDF工作组负责, 这是一个开放组织。实际上CIDF已经成为一个开放的共享的资源。
CIDF的标准化工作的重点在于集成各种IDS使之协同工作, 实现各IDS之间的组件重用, 所以CIDF也是构建分布式IDS的基础。
CIDF将一个入侵检测系统分为一些彼此独立又相互协作的组件:事件产生器 (Event generators) ;事件分析器 (Event analyzers) ;响应单元 (Response units) ;事件数据库 (Event databases) 。图1给出了CIDF的系统体系结构。CIDF将入侵检测系统需要分析的数据统称为事件 (event) , 它可以是网络中的数据包, 也可以是从系统日志等其它途径得到的信息。事件产生器是IDS的检测部件, 它的目的是从整个计算环境中获得事件, 并向系统的其它部分提供此事件。事件分析器是IDS的决策部件, 负责对原始检测数据进行分析, 以判断是否有以及有何种入侵行为发生。响应单元也称为反应器, 是IDS的执行部件, 负责对已经检测出的入侵作出相应的动作, 它可以发出切断网络连接、改变文件属性等强烈反应, 甚至发动对攻击者的反击, 也可以只是简单的报警。事件数据库是IDS的存储部件, 是对存放各种中间和最终数据的地方的统称, 它可以是复杂的数据库, 也可以是简单的文本文件。
在现有的入侵检测系统中的数据采集部分、分析部分和响应部分分别对应于CIDF的事件产生器、事件分析器和响应单元, 入侵检测系统日志 (log) 则对应于事件数据库。目前CIDF标准还没有正式确立, 也没有一个入侵检测商业产品采用该标准, 但因为入侵检测系统的特殊性, 各种入侵检测系统的模型实际上都有很大的相似性。各种入侵检测系统各自为阵, 系统之间的互操作性很差, 因此各厂商都在按照CIDF进行信息交换的标准化工作。
2 入侵检测系统分类
目前的入侵检测系统主要有4种分类方法, 分述如下:
2.1 根据检测时采用的技术分类
根据检测时采用的技术分类, 分为两种:
1) 基于异常检测的检测系统
基于异常检测的检测系统根据使用者的行为或资源使用状况来判断是否入侵, 而不依赖于具体行为是否出现来检测, 能发现一些未知的入侵行为。其优点是对具体系统的依赖性相对较小。缺点在于误检率很高, 尤其在用户数目众多或工作行为经常改变的环境中。
2) 基于误用检测的检测系统
基于误用检测的检测系统大多是通过对一些具体的行为判断和推理, 从而检测出入侵。通常是标识一些已知的入侵行为。其优点是由于依据具体特征库进行判断, 准确度较高。缺点在于对具体的系统依赖性太强, 移植性不好。
2.2 根据系统检测的对象分类
根据系统检测的对象进行分类, 分为如下三种:
1) 基于主机的入侵检测系统 (HIDS)
早期基于主机的入侵检测是通过监视与分析主机的审计记录来检测入侵。这些系统的实现也不全在目标主机上, 例如使用网络将主机的信息传送到中央分析单元。基于主机的入侵检测系统在发展过程中也融入了其它技术, 如通过定期检查关键系统文件和可执行文件以便发现意外的变化。基于主机的入侵检测系统具有如下的优点:可监视特定的系统活动;适用于加密的及交换的环境;对网络流量不敏感;不要求额外的硬件设备。
2) 基于网络的入侵检测系统 (NIDS)
基于网络的入侵检测系统在共享网段上对通过网络的所有通信业务数据进行侦听, 采集原始网络包作为数据源并分析可疑现象。由于这类系统并不需要主机提供严格的审计, 因而对主机资源消耗少, 并且由于网络协议是标准的, 它可以提供对网络通用的保护而无需顾及异构主机不同架构。基于网络的入侵检测系统具有如下的优点:可检测低层协议的攻击;攻击者不易转移证据;实时检测和响应;可靠性好;操作系统无关性;不占用被检测系统的资源。但是, 基于网络的入侵检测系统也有如下一些明显的弱点容易受到拒绝服务攻击;不适合于交换式网络;不适合于加密环境。
3) 混合入侵检测 (Hybrid IDS)
基于主机和基于网络的IDS系统都能发现对方无法检测到的一些入侵行为, 它们有各自的优点, 并且互为补充。所以一种真正有效的入侵检测系统应该是将二者结合起来, 以提供更加有效的入侵检测和保护措施。混合入侵检测系统就是综合了HIDS和NIDS两种结构特点的入侵检测系统, 既可发现网络中的攻击信息, 也可从系统日志中发现异常情况。它最终可能是IDS市场的主角。
2.3 根据工作方式分类
根据工作方式来分, 分为如下两种:
1) 实时入侵检测 (在线式)
对网络数据包或主机的审计数据等进行实时分析, 可以快速反应, 保护系统的安全。但在系统规模较大时, 难以保证实时性。
2) 事后入侵检测 (离线式)
通过事后分析审计事件和文件等, 从中检测入侵事件。这可以分析大量事件, 调查长期的情况, 有利于其它方法建立模型。但由于是在事后进行, 不能对系统提供及时的保护。而且很多入侵在完成后都将审计事件去掉, 无法进行分析。
2.4 根据控制方式分类
根据控制方式可分为二种:
1) 集中式入侵检测系统
集中式入侵检测系统中, 无论监视的网络有多少主机, 数据分析都在一个固定的位置进行。这类系统有IDES, IDIOT, NADIR, NSM等。
2) 分布式入侵检测系统
分布式入侵检测系统中, 可根据网络中主机的分布, 将数据分析均匀的分布到许多不同位置进行, 这类系统有DIDS, GrIDS, E-MERALD, AAFID等。根据分布的程度, 又可在分为部分分布式和完全分布式结构 (或称层次性分布式和完全性分布式) 。
3 主要入侵检测技术的对比分析
应用于入侵检测系统中的技术有很多, 不同类型的入侵检测系统采用的技术是不一样的, 但这些技术也不是独立的, 它们存在着交叉的关系, 在入侵检测中经常是结合使用的。从大策略上而言, 主要分为异常检测技术和误用检测技术, 在这两种策略中, 又分为多种具体的技术, 主要有以下这些技术。
3.1 模式匹配
模式匹配就是将收集到的信息与己知的网络入侵和系统误用模式规则库进行比较, 从而发现违反安全策略的行为的技术。它常用于误用检测, 该过程可以很简单 (如通过字符串匹配以寻找一个简单的条目或指令) , 也可以很复杂 (如利用正规的数学表达式来表示安全状态的变化) 。
模式匹配技术的优点在于:只需收集相关的数据集合, 且技术已相当成熟;与病毒防火墙采用的方法一样, 检测准确率和效率都相当高。但它也存在缺陷, 必须对攻击模式本身进行描述, 以提取攻击手段的特征, 把已知的攻击方法翻译成可以为检测模型所使用的模式并非一件容易的工作;并且它只能检测已知模式的攻击, 不能检测到从未出现的黑客攻击手段, 因此需要不断的升级以对付不断出现的黑客攻击手法。
3.2 协议分析和命令解析
协议分析与命令解析也可以说是模式匹配技术的某种扩展, 它的提出主要是区别早期以字符串内容匹配为主的模式匹配技术, 它结合高速数据包捕捉、协议分析和命令解析来进行入侵检测, 给入侵检测带来了许多优势:提高性能和准确性, 并且系统资源消耗小。
命令解析技术中, 入侵检测引擎包括了多种不同的命令语法解析器, 能对不同的高层协议, 如Telnet, FTP, HTTP, SNMP, SMTP, DNS等的用户命令进行详细地分析, 以查出可能的入侵行为;而使用协议分析技术, 则在检测时会按照协议将数据包解码, 还会进行诸如重组之类的工作, 这可带来检测效率和准确性上的提高。
3.3 模型推理
攻击者攻击系统时往往采用一定的行为程序, 如猜测口令的程序, 这种行为程序构成了某种具有一定行为特征的模型, 根据这种模型所代表的攻击意图的行为特征, 可以实时的检测出恶意的攻击企图。采用基于模型的推理方法能够为某些行为建立特定的模型, 编写对应的攻击脚本, 以能够监视具有特定行为特征的某些活动, 从而检测出非法的用户行为, 常用于误用检测系统。为准确判断, 一般要为不同的攻击者和不同的系统建立特定的攻击脚本。当有证据表明某种特定的攻击模型发生时, 系统应当收集其它证据来确认它是否为真正的攻击, 既不能漏报攻击, 使信息系统受到损害, 又要尽可能的避免错报。
这种方法要求建立一个不同攻击者的各种攻击行为序列的数据库, 这是其主要缺点。因为这在大型系统中是不可能的, 优点在于可以仅仅审计一些主要事件, 减少了系统的工作量。
3.4 状态转换
这种方法根据入侵者在进行入侵时所执行的某些行为序列的特征, 为入侵行为建立模型, 将入侵行为表示为目标系统的状态转移, 常用于误用检测系统。在分析审计事件时, 若系统按照己知入侵特征建立的布尔表达式, 从安全状态转移到不安全状态, 则可认为是入侵事件。
这种方法的优点在于:可以减少审计事件的分析范围;可以检测协同攻击;可以检测分布在多个对话中的攻击;在一定程度上可以预测下一步的攻击方向。同时也存在缺点:能够检测的入侵检测形式简单;事件分析的复杂度高;对不能由审计事件表达的入侵无法检测。
3.5 知识库/专家库
所谓专家系统是基于一套根据专家经验事先定义的规则的推理系统, 专家库的建立依赖于知识库的完备性, 而后者又取决于审计记录的完备性和实时性。基于专家系统的攻击检测技术是根据安全专家对可疑行为进行分析检验所形成的一套推理规则, 并构成相应的专家系统, 进而对有关行为进行检测分析, 这种技术常用于误用检测系统, 但有些专家库也提供了正常行为模型, 可以用于异常检测系统。
总的来说, 专家系统对历史数据的依赖性比基于统计技术的审计系统少。因此系统的适应性比较强, 可以较灵活地适应广泛的安全策略和检测需要。但迄今为止, 解决推理系统和谓词演算的可计算的技术还不成熟, 而且专家系统往往是不可移植的, 其知识库也是不完备的, 因而不宜单独用于入侵检测。
3.6 统计分析
基于统计分析的攻击检测技术依赖于对历史行为的建模以及早期的证据或模型, 这种技术常用于异常检测系统中。使用统计分析方法, 需要首先给系统对象 (如用户、文件、目录和设备等) 创建一个统计描述, 统计正常使用时的一些测量属性 (如访问次数、操作失败次数和延时等) , 生成主体的行为特征原型文件, 运行时检测系统检测当前的状态, 将测量属性的平均值与网络、系统的行为进行比较, 当观察值在正常值范围之外时, 就认为有入侵发生。
统计手段的主要特点是它可以自适应学习用户行为或网络状态, 完善特征文件, 从而具有较高检出率和可用性, 能够检测到未知的入侵和较为复杂的入侵。但是, 统计方法具有一些明显的缺点。例如需要分析大量的审计数据, 使用的阈值难以确定;可能被入侵者训练;系统的正常行为模型建立困难等。
3.7 神经网络
在入侵检测方面, 目前软计算方法也是一个趋势, 包括神经网络、遗传算法和模糊技术。其中神经网络技术研究比另两个成熟些, 该技术通常用于异常检测系统。
这种技术使用神经网络对系统审计数据进行处理, 从中归纳总结出用户的行为模式, 并据此区分用户的行为正常与否, 也可用网络中的正常数据包和已知的攻击数据包对神经网络进行训练, 然后再识别攻击。总之, 它是以用户的正常行为特征信息的量度值作为神经网络的输入来构造基于神经网络的入侵检测系统, 能对实时检测得到的信息进行有效的处理, 并做出攻击可能性的判断。
神经网络具有自适应、自组织和自学习的能力, 可用于解决传统的统计分析技术所面临的问题, 比如难于建立确切的统计分布、难于实现方法的普适性、算法实现比较昂贵、系统臃肿且难于剪裁等, 从而能够处理一些环境信息十分复杂、背景知识不清楚的问题, 并且这种技术允许样本有较大的缺损和畸变。
3.8 预测模式生成
预测模式生成技术用于异常检测系统, 它是以如下假设为前提的:审计事件的序列不是随机的而是符合可识别的模式。预测模式生成技术试图基于己经发生的事件来预测未来事件, 如果一个与预测统计概率偏差较大的事件发生, 则被标志为攻击。
与普通的统计方法的区别在于它增加了对事件顺序和相互关系的分析, 从而扩大了检测范围。具体方法是先根据已有的事件集合按时间顺序统计出规律, 并随时间的变化和新事件的加入不断改变规律, 当发生事件的时间规律发生异常时, 即认为是入侵。
这种方法的主要优点在于能够在一定程度上防止入侵者对系统的训练;其缺点在于难以建立准确的系统事件随时间的变化的发生规律, 而且未被这些规律描述的入侵脚本将不会被标志为入侵。
3.9 完整性分析
完整性分析技术主要关注某个文件或对象是否被更改, 这经常包括文件和目录的内容及属性。它在发现被更改的、被特络伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制, 称为消息摘要函数 (例如MD5算法) , 它能识别哪怕是微小的变化。
这种技术的优点是不管何种入侵, 只要是成功的攻击导致了文件或其它对象的任何改变, 它都能够发现, 缺点是一般以批处理方式实现, 不用于实时响应, 通常用于事后分析。尽管如此, 完整性检测方法还应该是网络安全产品的必要手段之一。
4 小结
该文是对入侵检测系统的一个概述, 首先介绍了入侵检测的概念、体系结构和分类, 然后介绍了在入侵检测中使用的一些主要技术。
参考文献
[1]王嘉昀.基于移动Agent技术的IDS研究[D].四川:电子科技大学, 2005.
[2]王晓桦.基于移动Agent的分布式入侵检测系统技术与研究[D].青岛:青岛大学, 2005.
入侵检测器 第5篇
一、识别方式的设计漏洞
1.对比已知攻击手法与入侵检测系统监视到的在网上出现的字符串,是大部分网络入侵检测系统都会采取的一种方式。例如,在早期Apache Web服务器版本上的phf CGI程序,就是过去常被 用来读取服务器系统上的密码文件(/etc/password),或让服务器为其执行任意指令的工具之一。当 利用这种工具时,在其URL request请求中多数就会出现类似“GET /cgi-bin/phf?.....”的字符串。因此许多入侵检测系统就会直接对比所有的URL request 中是否出现/cgi-bin/phf 的字符串,以此判断是否出现phf 的攻击行为。
2.这样的检查方式,虽然适用于各种不同的入侵检测系统,但那些不同的入侵检测系统,因设计思想不同,采用的对比方式也会有所不同。有的入侵检测系统仅能进行单纯的字符串对比,有的则能进行详细的TCP Session重建及检查工作。这两种设计方式,一个考虑了效能,一个则考虑了识别能力。攻击者在进行攻击时,为避免被入侵检测系统发现其行为,可能会采取一些规避手法,以隐藏其意图。例如:攻击者会将URL中的字符编码成%XX 的警惕6进值,此时“cgi-bin”就会变成“%63%67%69%2d%62%69%6e”,单纯的字符串对比就会忽略掉这串编码值,
内部代表的意义。攻击者也可以通过目录结构的特性,隐藏其真正的意图,例如:在目录结构中,“./”代表本目录,“../”代表上层目录,Web服务器 可能会将“/cgi-bin/././phf”、“//cgi-bin//phf”、“/cgi-bin/blah/../phf?”这些URL request均解析成“/cgi-bin/phf”,但单纯的入侵检测系统可能只会判断这些request是否包含“/cgi-bin/phf”的字符串,而没有发现其背后所代表的意义。
3.将整个request在同一个TCP Session中切割成多个仅内含几个字符的小Packet,网络入侵检测若没将整个TCP session重建,则入侵检测系统仅能看到类似“GET”、“/cg”、“i”、“-bin”、“/phf”的个别Packet,而不能发现重组回来的结果,因为它仅单纯地检查个别Packet是否出现类似攻击的字符串。类似的规避方式还有IP Fragmentation Overlap、TCP Overlap 等各种较复杂的欺瞒手法。
二、“猎杀”及重调安全政策的漏洞
计算机网络入侵检测探讨 第6篇
关键词:计算机;网络;入侵检测
中图分类号:TP311 文献标识码:A 文章编号:1009-2374(2013)18-0047-01
1 入侵检测技术内涵
入侵检测技术主体汇总计算机网络关键节点信息,通过全面研究,发觉其中存在的违规行为、攻击影响潜在迹象,进而快速地进行智能响应。该技术功能在于进行用户以及系统各类实践行为的全面研究,实施系统配设以及存在漏洞的校验审核,并评估较为重要的信息数据文件,分析判断攻击模式特点、异常行为类别,探查不遵循安全策略的相关违规行为等。
2 计算机网络入侵检测技术应用要点问题
计算机网络入侵检测技术主体涵盖异常检测与误用检测等类别。前者判定入侵行为的异常性,通过创建正常轮廓,进行比较分析,判定偏离正常状态,进而明确入侵影响。该类方式呈现出了检测入侵的间接性。实践应用阶段中,应关注如何科学地选择特征量。应精确展现计算机网络系统以及用户实践行为的具体特征,同时应确保模型最优,也就是说应用最低标准的特征量准确映射各类实践行为特征。基于异常检测将常态特征轮廓视为对比研究的衡量标准,为此选择参考阈值尤为重要。倘若阈值较大,则会令漏警率显著提升。相反,则会导致虚警率的居高不下。因此,只有把握好平衡度,进行精准的计算分析,提升计算机网络系统综合处理能效,方能优化计算机网络入侵检测综合效果。该手段应用核心环节在于精准的明确攻击签名,应用特定语言进行描述,并注重不将非入侵行为囊括其中。基于较多入侵行为借助计算机网络系统后门、漏洞以及各类操作程序的不足缺陷进行攻击。为此,可对该类攻击过程呈现的特点、具体的排列、综合状况、事件关系进行研究,进而呈现出入侵行为发展变更的迹象,体现良好的安全预警效果。该类方式需进行丰富信息数据的综合搜集,可降低不必要的操作负担,因此呈现出良好的检测效果。
3 计算机网络入侵检测发展趋势
伴随信息技术手段的快速更新、广泛应用,加之网络入侵影响方式、工具的日渐多样复杂,信息战成为世界各国均需全面关注的重要问题。为此,明确计算机网络入侵检测发展趋势尤为关键。传统的入侵检测系统位于较为单一的架构以及系统之中,呈现出异构与大范围计算机网络系统管控监督有限的局面。加之各个入侵检测体系无法良好地配合协调,因此,需应用分布技术以及通用架构系统,推进入侵检测的良好发展。当前计算机网络入侵检测仅能感应Web类别通用协议,无法有效应对数据库等他类操作系统。因此,较多中间件、服务器体系、对象技术应借助应用层实现良好的入侵防护。未来,入侵检测技术将向着更为丰富多样的趋势发展,人们开始尝试研究智能化系统技术,借助遗传算法拓宽实践应用范畴,进而提升入侵检测的自适应性以及智能化水平。评估方式则会向着更加多元化、系统化、通用性的方向发展,开创一体化检测评估系统,真正完成高效、智能、丰富的入侵检测防御。
4 结语
总之,计算机网络入侵检测手段技术是一类提升网络系统安全可靠性,预防非法影响攻击的重要手段。因此,我们只有明晰技术内涵,关注实践应用阶段中的要点问题,合理探究其未来应用发展方向,方能激发入侵检测技术核心优势,丰富实践应用功能,创建优质的计算机网络服务运行环境,实现综合效益目标。
参考文献
[1] 赵敏生,李晓红.免疫原理的层次入侵检测模型研究[J].计算机工程,2010,(4).
[2] 邹小花.基于人工免疫原理的入侵检测模型研究[J].电脑知识与技术,2008,4(28):78-80.
入侵检测研究综述 第7篇
随着“互联网+”概念的提出,社会信息化程度逐步加深,越来越多的传统行业开始与互联网应用相结合,推出了许多更便捷、经济、全面的优质服务。同时,消费者的消费行为也发生着质的改变,由实体货币支付开始向虚拟货币、移动支付等电子货币支付的方向转移。电子商务,电子银行和电子支付的兴起在提升消费者购物体验的同时,其安全性也受到了严峻的挑战和深度的关切。
近年来有关网络空间安全的事件屡见不鲜。2013年的“棱镜”事件开始让众多互联网用户感受到了来自网络空间的安全威胁。自2007年起,美国国家安全局(National Security Agen-cy,NSA)和联邦调查局(Federal Bureau of Investigation,FBI)启动了一项代号“棱镜”(PRISM)的电子监控项目,在长达6年的时间内,悄无声息地对全球大量的企业、学校、政府等机构的网络服务器进行入侵,包括可以直接进入美国互联网中心服务器进行数据的窃取与收集,入侵其他国家的网络服务器,甚至是终端设备,以进行情报的搜集[1]。2014年1月,国内顶级域名服务器遭到入侵,服务出现异常,导致大面积的DNS解析故障。 由此而引发的网页无法打开或是浏览网页异常卡顿现象持续了数小时,对广大互联网用户造成了巨大的不便与损失。2014年3月,携程公司被爆出存在安全支付日志漏洞事件。安全人员发现入侵者可以通过下载携程公司的支付日志,从而获取用户的敏感信息,包括用户姓名、银行卡账号等。2014年4月, Heartbleed漏洞被曝光。目前,大多数网银,移动支付等在线支付活动都是采用SSL(Secure Sockets Layer安全套接层)技术进行加密,以保证数据安全。而这一技术则是依靠Open SSL开发套件得以实现的。因此,Open SSL上存在的Heartbleed漏洞能够使得网络入侵者窃取用户内存中的敏感数据,包括用户账号、密码等[2]。
为了解决网络入侵行为所导致的数据泄密、服务终止等问题,入侵检测技术与配套系统开始应用在互联网之中。随着网络攻防技术向复杂化、持续化、高威胁化等方向的转变,入侵检测技术也处于不断的发展与创新之中。
2起源及分类
1980年,Anderson[3]等人首先提出了“计算机安全威胁监控与监视”的概念。作为“入侵检测”概念的前身,Anderson将“安全威胁”定位为“未经授权的用户蓄意地访问、操纵信息,使得系统不可靠或不可用”;将用户分为:合法用户、假冒用户和秘密用户。在其提出的入侵检测框架中,检测对象包括:用户、审计记录、会话记录、应用程序和文件。其目的是提升用户计算机系统的安全审计与监控能力。1985年,Denning[4]等人提出了首个入 侵检测专 家系统(Intrusion Detection Expert System, IDES)的模型和算法,采用基于朴素贝叶斯和决策树的方法对主机上的日志文件和访问信息进行审计和分析,发现其中的异常行,从而进行入侵者识别与防御。文献[3-4]提出的概念及其模型都是基于主机的入侵检测系统,即入侵检测系统部署在主机上,通常是针对系统的运行日志、文件系统和访问者进行审计和监控。随着互联网技术的发展,针对网络流量分析的入侵检测系统的研究开始受到关注。1990年,Heberlein[5]首次提出了一个基于网络的入侵检测系统。基于网络的入侵检测系统可以利用硬件或软件对网络数据包进行采集、监听、分析和监控,发现潜在入侵者。这类系统大多部署在服务器上或是与防火墙一起协同工作。在入侵检测效果方面,基于主机和网络的入侵检测系统拥有各自的技术优、缺点,如表1所示。
为了充分利用这上述两种类型的入侵检测系统的优势,分布式入侵检测系统随后也被许多研究者提出[6,7]。采用分布式结构的入侵检测系统可以同时收集来自本地主机和网络中的日志记录、访问记录等数据,并将这些数据进行统一的存储、分析和处理。该结构具有平台独立性、可扩展性和灵活性等特点,对于被保护的系统能够提供更全面的保护。因此,这种类型的入侵检测系统得到了广泛的应用。
3入侵检测模型
文献[8]提出了一个基于主机的通用型入侵检测系统模型。该系统由用户、资源、审计记录、行为特征、异常记录、行为规则这六部分组成。该模型的系统框架如图1所示。
文献[5]针对网络流量分析提出了一个基于网络的入侵检测系统,弥补了基于主机的入侵检测系统在分析网络访问者行为方面的不足。其模型架构如图2所示。
为了充分发挥上述两种入侵检测系统的优势,本文提出了一种混合型入侵检测系统模型。该模型能够分别对主机和网络中的数据进行分析,扩大了传统入侵检测系统的覆盖范围, 提升了系统的可扩展性与部署的灵活性。该系统的模型架构如下图3所示。
该系统模型由三部分组成,分别为网络部分、本地目标主机部分和入侵检测分析引擎部分。在网络部分,通过传感器采集网络数据包,并将采集到的数据上传到入侵检测分析引擎部分。在本地目标主机部分,利用本地代理Agent作为采集数据的传感器将本地主机的行为与系统数据上传到入侵检测分析引擎部分。在分析引擎模块,将来自网络和本地主机的数据统一格式化后存储在审计记录库中,将这些数据特征化之后提取其中的行为模式存入到行为模式库中,再从行为模式库中提起这些行为向量与入侵模式库中的入侵行为进行匹配;如果匹配结果为异常行为,则记录该异常,并更新入侵模式库;如果匹配结果为合法行为,则记录该行为,更新行为模式库。
4今后方向与展望
综合上述的分析,本文试对入侵检测系统的发展方向进行如下展望:
1)在大数据时代背景下,入侵检测技术与系统需要具备能够实时采集、处理、分析和展示来自终端设备与网络的海量、多种类型的异构数据。为了提升入侵检测系统实时处理大数据的能力,基于云计算的分布式入侵检测系统的研发显得尤为必要。此外,为了直观、高效的展示当前的安全态势,数据可视化技术也应该被应用于入侵检测系统中,进一步扩展安全情报的理解、交流与分享能力,及时地向大众预警新型的安全威胁案例。
2)入侵检测技术与系统的部署平台还存在局限性。在移动互联网时代,诸如智能手机、智能手表、平板电脑等智能移动终端得到了普及,尤其是电子商务的兴起增加了大众对于基于移动终端的入侵检测与防御系统的迫切需求。但是,当前大多数的入侵检测系统都是部署在PC机或是网络服务器之上,而且其运行时需要占用大量的系统资源。如何能够提高入侵检测算法的效率,小型化入侵检测系统,使之能够适合部署于移动智能终端是今后入侵检测技术和系统发展的方向之一。
3)随着社交网络的蓬勃发展,来自社交媒体的网络入侵威胁正在加剧。由于这种入侵行为利用合法用户的好友身份作为掩护,具有极强的隐蔽性与欺骗性,导致传统的基于异常检测与误用检测的入侵检测算法与模型显得无能为力。因此,设计并实现适用于社交网络的入侵检测技术与系统也是未来的发展方向之一。
5结束语
入侵检测技术浅析 第8篇
随着计算机的普及和网络应用的日趋广泛, 计算机网络己经进入政治、经济、军事、文化、教育等各个社会领域, 给整个人类社会的发展影响深远。但是随之而来的网络安全问题变得日益复杂和突出。由于网络本身的开放性和网络系统内潜在的漏洞, 使其受到威胁和攻击的可能性大大增加。因此, 增强网络安全意识, 防范不明身份的入侵者, 保证网络信息安全, 显得尤为重要。
计算机网络安全是指利用网络管理控制和技术措施, 保证在一个网络环境里数据的保密性、完整性及可使用性受到保护。计算机网络安全包括两个方面, 即物理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护, 免于破坏、丢失等。逻辑安全包括信息的完整性、保密性和可用性。
计算机网络安全技术简称网络安全技术, 指致力于解决诸如如何有效进行介入控制, 以及如何保证数据传输的安全性的技术手段, 主要包括物理安全分析技术、网络结构安全分析技术、系统安全分析技术、管理安全分析技术及其它的安全服务和安全机制策略[1]。主要技术分类有:虚拟网技术;防火墙技术;病毒防护技术;入侵检测技术;安全扫描技术;认证和数字签名技术;VPN技术等等, 其中入侵检测技术是近年出现的新型网络安全技术, 目的是提供实时的入侵检测及采取相应的防护手段, 如记录证据用于跟踪和恢复、断开网络连接等。实时入侵检测能力之所以重要首先它能够对付来自内部网络的攻击, 其次它能够缩短hacker入侵的时间。
1 入侵检测原理
入侵检测系统 (intrusion detection system, 简称“IDS”) 是一种对网络传输进行即时监视, 在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。入侵 (Intrusion) 是企图进入或滥用计算机系统的行为。入侵检测 (Intrusion Detection) 是对系统的运行状态进行监视, 发现各种攻击企图、攻击行为或者攻击结果, 以保证系统资源的机密性、完整性和可用性。入侵检测系统 (Intrusion Detection System) 是进行入侵检测的软件与硬件的组合。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术, 是一种用于检测计算机网络中违反安全策略行为的技术[3]。
最早的入侵检测模型是由Denning[6]给出的, 该模型主要根据主机系统审计记录数据, 生成有关系统的若干轮廓, 并监测轮廓的变化差异发现系统的入侵行为, 如图1所示。
2 入侵检测系统分类
入侵检测系统可分为以下两类:基于主机和基于网络的入侵检测系统
2.1 基于主机的入侵检测系统
一般主要使用操作系统的审计、跟踪日志作为数据源, 某些也会主动与主机系统进行交互以获得不存在于系统日志中的信息以检测入侵。这种类型的检测系统不需要额外的硬件, 对网络流量不敏感, 效率高, 能准确定位入侵并及时进行反应, 但是占用主机资源, 依赖于主机的可靠住, 所能检测的攻击类型受限。不能检测网络攻击。
2.2 基于网络的入侵检测系统
通过被动地监听网络上传输的原始流量, 对获取的网络数据进行处理, 从中提取有用的信息, 再通过与已知攻击特征相匹配或与正常网络行为原型相比较来识别攻击事件。此类检测系统不依赖操作系统作为检测资源, 可应用于不同的操作系统平台;配置简单, 不需要任何特殊的审计和登录机制;可检测协议攻击、特定环境的攻击等多种攻击。但它只能监视经过本网段的活动, 无法得到主机系统的实时状态, 精确度较差。大部分入侵检测工具都是基于网络的入侵检测系统.
3 入侵检测方法
目前常见的入侵检测方法可分为三类:异常检测、误用检测、混合检测。
3.1 异常检测
异常检测也被称为基于行为的检测。这是对一些假定对象的违规操纵出现系统使用异常的入侵检测系统, 通过对用户行为的比较, 和正常的行为之间的不同差别来对客户做出正确的判断, 对用户出现的细微行为的变化, 对用户的动态的简介内容进行适当的调查, 如果用户的行为发生了极大的变化, 整个入侵检测系统就会出现报警之类的反应, 这就是对固定用户异常行为入侵的检测。
1) 专家系统:用专家系统对入侵进行检测, 经常是针对有特征的入侵行为。所谓的规则, 即是知识, 专家系统的建立依赖于知识库的完备性, 知识库的完备性又取决于审计记录的完备性与实时性.
2) 基于模型:Garvey和Lunt[7]提出基于模型的入侵检测方法, 通过建立入侵行为序列的响应模型, 并采用证据推理和入侵模型相结合的方法检测入侵行为。该方法基于完善的不确定性推理数学理论, 故不会出现专家系统那种放弃不确定的中间结论的问题。此外, 它可以通过监测一些主要的审计事件, 并在其发生后开始详细记录, 从而减少审计事件处理的负荷。因此, 早期采用基于规则的专家系统, 后来都转而采用基于模型的方法。但该方法采用人工建模的方式, 仅适用于入侵方式较简单的情况。此外, 它要求入侵行为和正常行为是明显区分的, 无法处理两者发生联系的情况。
3) 模式匹配:基于模式匹配的入侵检测方法将已知的入侵特征编码成与审计记录相符合的模式。当新的审计事件产生时, 这一方法将寻找与它相匹配的已知入侵模式。
4) 状态转换法:使用系统状态转换图和状态转换表达式检测和描述已知入侵, 使用最优模式匹配来结构化误用检测问题。其最大优点是能检测出一些缓慢的协同攻击, 处理一些已知攻击类型的变种行为, 因效率较低而常与其他检测方法协同使用。
3.2 混合检测
单一的方法进行入侵检测受到一定的局限, 不能检测未知入侵或检测率不高。因此, 使用多种方法来检测入侵受到研究人员的关注, 目前已提出多种混合检测方法。混合检测方法综合了滥用检测和异常检测的优点。由于滥用检测方法和异常检测方法存在互补性, 两者的结合可以取长补短, 能够有效提高整体检测性能。这种方法包括遗传算法、神经网络、生物免疫及数据挖掘等, 其性能分析如表1所示。
4 入侵检测技术未来发展方向
今后的入侵检测技术大致可朝下述三个方向发展
1) 分布式入侵检测:第一层含义, 即针对分布式网络攻击的检测方法;第二层含义即使用分布式的方法来检测分布式的攻击, 其中的关键技术为检测信息的协同处理与入侵攻击的全局信息的提取。
2) 智能化入侵检测:即使用智能化的方法与手段来进行入侵检测。所谓的智能化方法, 现阶段常用的有神经网络、遗传算法、模糊技术、免疫原理等方法, 这些方法常用于入侵特征的辨识与泛化。利用专家系统的思想来构建入侵检测系统也是常用的方法之一。特别是具有自学习能力的专家系统, 实现了知识库的不断更新与扩展, 使设计的入侵检测系统的防范能力不断增强, 应具有更广泛的应用前景。应用智能体的概念来进行入侵检测的尝试也已有报道。较为一致的解决方案应为高效常规意义下的入侵检测系统与具有智能检测功能的检测软件或模块的结合使用。
3) 全面的安全防御方案:即使用安全工程风险管理的思想与方法来处理网络安全问题, 将网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、防火墙、病毒防护、入侵检测多方位全面对所关注的网络作全面的评估, 然后提出可行的全面解决方案。自从IPS面市之日起, 围绕IPS和IDS之间关系的讨论就不断升温, 成为安全业界的一大热点。从实际应用来说, IPS既非IDS的替代品, 更非IDS的延伸者, 而是术业有专攻, 侧重不同的方面, 是为了满足企业风险管理需求的两种不同解决方案。由于各行业客户不同的应用环境和实际需求, IDS和IPS在国内都呈现出繁荣发展的景象, 因此二者之间的关系并非简单的升级和替代, 长期来看, IDS和IPS将出现共同发展、和平共存的局面。
5 结束语
目前, 我国信息网络安全研究历经了通信保密、数据保护两个阶段, 正在进入网络信息安全研究阶段, 现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等网络安全产品。但是我国的信息网络安全技术的研究和产品开发仍处于起步阶段, 想要在黑客猖獗、病毒肆虐的信息高速公路上保证数据的安全、有效、可用、保密、完整, 就只有不断探究、完善、创新网络安全防范技术。
入侵检测随着信息安全问题的日益突出越来越多地受到人们的关注, 尽管在技术上仍有许多未克服的问题, 但正如攻击技术不断发展一样, 入侵检测技术也会不断更新, 成熟。可以展望, 入侵检测技术的发展将对信息的安全保护产生深远的影响。
参考文献
[1]张超, 霍红卫, 钱秀槟等.入侵检测系统概述.计算机工程与应用, 2008, 3:116~119.
[2]蒋建春, 冯登国.网络入侵检测原理与技术[M].北京:国防工业出版社, 2010.
[3]胡昌振.完善IDS自防护体系, http://tech.ccidnet.com/pub/article/c231-a74458-p2.html, 2003, 12.
[4]刘宏伟.IMS统一IDS.中国计算机报, 2004, (27) [8]唐正军.网络入侵检测系统的设计与实现[M].北京:电子工业出版社, 2012.
[5]高永强, 郭世泽.网络安全技术与应用大典[M].北京:人民邮电出版社, 2009.
[6]DOROTHY E.Denning, an intrusion-detection model[J].IEEE Transactions on Software Engineering, 1987, 13 (2) :222-232.
入侵检测器 第9篇
关键词:数据挖掘,网络,入侵检测
1 问题的提出
随着互联网技术的飞速发展,基于网络的新产品、新的服务、新技术层出不穷,不断改变着人们的生活。计算机网络在不断推陈出新,改变人们的生活方式的同时,也为人们带来了有别于传统安全问题的新的安全问题,即网络安全问题。由于互联网具有开放性、互连性、共享性等特点,使其极易受到网络入侵的威胁,在互联网技术不断发展的同时,破坏性的手段也正在不断推陈出新。互联网带动全球经济飞速发展的同时,网络安全问题也逐渐成为国际化的问题。相关数据统计表明,每年因网络安全问题造成的经济损失是十分巨大的。每年全球的各种计算机网络系统都会遭受网络攻击,导致其中很多系统受到不同程度的破坏,损失严重,网络安全问题正变得越来越突出。保证信息网络的安全,减少因遭受网络攻击而造成的损失,已成为网络安全领域最重要的课题。
那么,如何解决网络安全问题呢?现阶段,人们普遍采用的有两种解决方案,一是基于身份认证及加密的安全保护。所谓基于身份认证及加密的安全保护就是由权限分级授予、身份认证、数据加密以及访问控制等相关机制组成的,增强计算机网络安全性的措施,其核心是利用身份认证来控制对数据的访问及操作。但是,这一方案,只能保证内部人员对数据操作的安全性,避免“堡垒由内部攻破”,对有些经过身份认证已获得授权的人员对授权的滥用或恶意破坏系统的行为,这一方案是无能为力的。而对于黑客的非法入侵行为及非法提权行为,虽然能起到一些抵御作用,但其安全性就很难保障了。特别是对破坏性的攻击行为,如DDOS攻击等,起不到任何作用。
另一个方案,是基于入侵行为的入侵检测。入侵检测是通过收集、分析系统日志、网络操作行为、数据审计等信息以及计算机信息系统中重要关键点的信息,以检查网络或系统可能存在的违反安全策略的行为或者被攻击时攻击者留下的蛛丝马迹。但是,由于需要记录、跟踪、检测的行为的数量是十分庞大的,其中需要被检出的攻击行为往往被不重要的或者正常的操作行为所掩盖。为了解决这一难题,人们开始研究一种新的技术,用来在海量数据中寻找攻击者留下的蛛丝马迹、及时发现系统中的异常情况,这种新的技术就是将数据挖掘技术与入侵检测技术相结合的基于数据挖掘技术的入侵检测系统。
2 解决方法
当前人们普遍使用的入侵检测系统一般可以分为两类,一类是以计算机网络为基础,在采集相关日志、数据、行为操作时,通过计算机网络开展,可以极大减少主机资源的消耗,而且因为网络协议都是统一的,各个计算机产品生产都使用相同的标准,这就保障了产品之间的兼容性,所以,采用这种方式的检测系统不会因主机的不同而使保护措施的效果产生差异。
另一类以主机为基础,在进行监视系统入侵行为,收集、分析系统日志、网络操作行为、数据审计等检测行为时,主要依靠主机来开展工作。以主机为基础开展入侵检测工作,可以依据不同的操作系统而差异化定制功能和侧重点,而使用这种方式开展入侵检测,其最大的缺点就是有极大的依赖性,并不具备很好的灵活性和适应性。
这两种入侵检测的方法,各有优点和缺点,都有其固有的局限性,单纯应用其中的一种方法,难以应对日趋严峻的网络安全形势,无法保证被保护的计算机系统的系统安全。
那有没有一套入侵检测系统,能够兼顾上述两种方法的优点,改进缺点的同时具备灵活性、准确性、全局性、适应性呢?经过不断研究,人们发现,只要是由人设计的系统,由于设计人员知识的局限性,必然使系统产生局限性,对新出现的攻击方式无法准确检测,这就使系统产生了安全漏洞。如何突破设计人员知识的局限性,对新出现的攻击方式进行准确检测呢?
基于此,有关专家开始研究将智能化的数据挖掘技术和入侵检测技术相结合,以期能够开发出智能化的入侵检测系统(DMIDS)。这种系统要求最大程度地检测出入侵行为,对新出现的攻击方式能够很好地识别;能够根据基础规则,将新规则自动增加到自身的检测规则库,增加其适应性和准确性;对系统环境没有依赖性,即使检测环境改变,也无需进行很多改动,具有良好的适应性。
现阶段研究的智能化入侵检测系统,主要采用分布式结构,主要分为8个模块,其中主要的模块是活动监测模块、数据挖掘引擎、决策引擎、检测引擎以及规则库。
智能化的入侵检测系统的工作流程可以分成四步进行:(1)由事件序列生成器,收集系统中的数据,并对系统事件进行排序,收集数据包括系统日志、网络数据等,然后数据挖掘引擎开始对数据进行分析、整理,发掘出新规则并将其增加到规则库中;(2)分析好数据后,还要利用活动监测模块对数据进行清洗,监视系统中的调用序列,对日志中的活动数据进行分析;(3)经过初步整理的数据将被传输到相关的序列生成器,进行简单的处理传送给发掘引擎;(4)发掘引擎在数据中进行数据分析,以发现入侵行为的证据,发现的证据将被传送到检测引擎进行进一步处理,评估该证据与当前规则库中规则的相似性,并对规则库进行维护,同时决策引擎依据规则作出相应的决定,决定的结果将传递到其他相关模块。
在智能化入侵检测系统中,移动模块和活动监测模块一起完成数据采集工作。活动监测模块将智能化入侵检测系统中的日志数据、系统调用数据及网络数据提取出来,在进行清洗和选择后将数据进行编码,并根据移动模块所下达的指令保护计算机系统。而移动模块的工作是在系统中进行巡视,监视所有活动监测模块,将编码后的数据传送给序列生成器。与此同时,决策引擎作出的决定,也由移动模块转达给执行的相关模块。
3 系统优缺点
基于数据挖掘的智能化入侵检测系统,其核心是对入侵行为进行全面、准确的检测,该系统充分利用智能化的数据挖掘技术,从大量数据、操作行为中发现入侵行为的痕迹,分析规律,总结出规则,并进行相应的处理。因此,其规则库将会随着攻击行为的增加不断进行自我更新,不断完善自身,而不是局限于系统设计人员制定好的程序、规则。利用其自身生成的新规则,不仅可以检测到已知的攻击,对于未知攻击也具备一定检测能力。因此,利用数据挖掘技术的智能入侵检测系统,可以有效发现用户在操作过程中的不当行为,有效检测出各种入侵,识别攻击行为和正常行为。
而其不足之处在于,第一,随着互联网技术的发展,网络速度越来越快,而且物联网、云计算、无线网络出现了爆炸式的发展,网络上传输的数据十分庞大,并且还在飞速增长,因此,如何实时、准确、高效地对网络传输数据进行检测,是智能化入侵检测系统将要面临的一大挑战。第二,由于新的攻击方式也在不断推陈出新,而且总是领先于防御技术,所以,数据挖掘技术也需要不断更新、改进,才能够适应严峻的网络安全形势,及时发现新的网络威胁。第三,智能化入侵检测系统的建设成本相对来说较高,这也是影响其发展的一大障碍。
4 结语
计算机网络已深入到人们生活的方方面面,对计算机网络的安全防护就变得日益重要,而随着计算机技术的不断进步,各种黑客技术飞速发展,人为设计的、规则库固化的入侵检测系统,受先天的制约,难以跟上黑客技术的发展步伐,无法完善、全面地保护计算机系统。而基于数据挖掘的智能化入侵检测系统,由于其能够自主完善自身,可以智能化地添加、修改规则库,必将成为互联网安全防护技术发展的重要方向。
参考文献
[1]仇荣成.数据挖掘技术在入侵检测系统中的应用[D].南京:南京邮电大学,2011.
[2]杨红岩,陈永泰.基于入侵检测技术的研究[J].城市建设理论研究,2011.
[3]黄金土.数据挖掘在入侵检测领域的应用研究[J].机电技术,2011.
[4]余玉涵.基于数据挖掘和复杂事件处理的分布式入侵检测系统的研究[D].合肥:安徽大学,2011.
网络入侵检测技术研究 第10篇
木马, 全名叫特洛伊木马源于希腊的神话, 指的是利用网络客户/服务的程序进行系统权限非法获取的远程控制的一种技术, 是黑客技术的一种。它有操作简单、破坏强的特点, 是在网络入侵中常用的方法之一。如:网络神偷、冰河等。
口令入侵和解密, 是指利用软件来解开已经获得的ID密码和加密的文件。这是一种比较难防的, 也是最为常见的一种方法, 分为特殊字符、暴力破解以及加密算法等破解的方法。理论上来讲, 暂时还没有有效的方法来预防这种攻击行为。
网络监听, 指的是一种具有很大威胁性的被动式攻击的方法。它可以监视网络状态、数据的流动情况和网络上的信息, 以此来截获网络上有用的信息。如:用户的口令、网络的结构。这是一种隐蔽性很高的入侵方法, 一般使用Sniffer类软件。
E-mail技术, 是指通过对E-mail和服务器上的漏洞进行分析从而获得用户的ID和密码, 进一步获取有价值的信息。一般会与其他的入侵方式结合使用。
拒绝服务攻击, 这是最为常见且危险性最高的攻击方法之一。它在网络入侵的过程中通过其他网络服务的协议来消耗网络的带宽资源, 以此耗尽系统的资源, 进而迫使系统最终崩溃或是重启。
病毒技术, 计算机的病毒指的是编辑或者在计算机的程序中插入一段能破坏电脑功能例如毁坏计算机数据或者影响计算机的使用, 并且能进行自我复制和变异的计算机的指令、程序的代码。
网络入侵检测技术的种类、方法
异常检测:异常检测是指假设入侵者活动异常于正常主体的活动。根据这个理念建立主体正常活动的“活动轮廓”, 将当前主体的活动状况与“活动轮廓”相比较, 当违反其统计规律时, 认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动轮廓”以及如何设计统计算法, 从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。
异常入侵检测方法有, 特征选择异常, 统计异常, 贝叶斯推理异常, 模式预测异常, 机器学习的异常, 数据采掘的异常, 异常神经网络入侵, 等等, 多种异常检测。
特征检测主要是指:用一种模式来表示入侵者活动, 其目的是这些模式是否符合所检测的主体活动, 但是特征检测只可以检测旧的入侵方法, 这种检测的特殊点在于设计模式不会将正常的活动带进去, 还可以表达“入侵”现象。
特征检测的方法有, 基于状态迁移分析、键盘监控、基于条件概率等多种滥用入侵检测。
如果按照系统监测的对象不同来分类的, 可以分为三种检测, 即;基于主机入侵, 网络入侵, 网关入侵三种系统检测。
1基于主机的入侵检测系统:主机的入侵检测系统是指分析或是分析监控主机上审计记录的检测入侵, 这种检测系统的操作不一定都得在主机上完成可以运用外围处理机, NIDES的使用是将主机的信息传递到中央的分析单元, 可是
否能及时的收集到审计成为系统的弱点, 因为它们的工作是根据目标的系统审计记录而检测的。所以聪明的入侵者可以轻松的避开入侵系统的检测, 其操作就是将主机的审计子系统作为攻击的目标。
2基于网络的入侵检测系统:基于网络的入侵检测系统是采集共享网段上对通信数据, 进行对数据的监控和分析, 从而发现可疑现象。这种检测系统和主机的入侵检测系统相比, 入侵者本身并不知道有网络入侵检测系统存在, 是透明的, 这种对主机资源的消耗比较少, 而且还具有标准的网络协议, 还可以对异构主机进行网络通用的保护。
3基于网关的入侵检测系统;基于网关的入侵系统检测是指经过提取网关中的信息, 进行分析, 对整个网络信息基础设施进行保护。现在大部分的网络都是有路由器连接的, 但是这种internet路由器基础的设施非常薄弱, 如果对这些信息的基础设施攻击, 尤其是拒绝服务遭受到攻击则, 局部严重的话整个信息基础设施都将无法正常使用。
不同检测技术的优、缺点分析
异常入侵检测技术是对计算机使用过程中的反常行为进行检测的技术。即是在计算机数据库中储存用户平时的习惯行为特征, 对比计算机数据库特征与用户的行为特征, 若比较结果产生的差异巨大, 则说明产生了异常。此种入侵检测技术利于在信息量较大的数据中快速了解并掌握相关的检测知识与规则, 其优点是可以发现新型的入侵行为, 缺点是容易产生误报。
误用入侵检测技术的优势在于可保持较高的检测准确率, 但该技术只能检测已知的入侵与攻击行为, 而对于未知攻击类型只有通过异常检测实现。这是在数据包里检查某个攻击特征存在性的一种技术。它主要具有如下两个技术缺陷:
(1) 这种办法虽然可以把系统构建为部分覆盖的功能, 但是这样的系统有严重的性能问题, 并容易被黑客规避。
(2) 其次是检测的准确率低, 根本的弱点是使用固定的特征模式来检测入侵只能检测明确的、唯一的攻击特征, 这将会错过通过对原始攻击串作对攻击效果无影响的微小变形而衍生所得的攻击。
网络入侵检测技术在网络安全中的地位
网络入侵检测作为一项网络安全的重要技术, 在防御网络威胁方面有举足轻重的作用。入侵检测技术在计算机与网络中的广泛应用, 对于确保计算机数据库安全性与稳定性, 维护网络稳定运行等方面发挥着重要的作用。从国家层面上讲, 我们要时刻加强自己国家网络的安全意识, 这就要求从我国实际情况出发, 结合国外的先进技术与经验, 优化我国入侵检测系统, 增强入侵检测技术的功能, 促进计算机网络的模式化与规范化发展。
入侵检测在实际生活中的应用的案例
(1) 网络引擎的应用:所谓的网络引擎是指对网络经行监控, 在发生危险对象时经行网络安全保护;当其正常的运行时, 可以监控主机上的各大网络信息, 可以发现不良的信息;检查本地网络, 查询每段数据包中蓄意隐藏的攻击性的入侵者, 当发现入侵时做出相应回应。如果发现攻击时, 网络引擎马上向控制台发出警告、并同时向管理员发出E-mail并记录当时的事件日志或者是整个的会话, 还能够采取安全的响程序, 例如, 如防火墙等。
(2) 服务器代理的应用:早我们日常用的计算机中, 当系统日志、或者是主机核心级的事件遭受入侵检测时, 其具有阻塞通信、拦截、还有智能报警等一系列的功能。这能够在入侵者进入应用之前可以阻止其进一步入侵, 此外还可以自动打开防火墙等操作阻止非法者的下一步侵入。
结论
浅析入侵检测系统的产生和发展 第11篇
【关键词】网络安全;入侵检测;信息安全引言
在传统的网络安全模型中,防火墙主要作为计算机网络安全的一种防护手段,但随着网络攻击技术的发展,这种单一的防护手段已经不能确保网络的安全。防火墙对于防范黑客产生了明显的局限性,主要表现为:防火墙无法阻止内部人员所做的攻击;对信息流的控制缺乏灵活性;在攻击发生后,利用防火墙保存的信息难以调查和取证,对于那些利用某些合法端口,合法地址的恶意攻击和访问,不能及时发现和制止。为了确保计算机网络安全,不断有新的安全技术提出,入侵检测技术就是这样产生和发展起来的。
1 入侵检测的基本概念
入侵检测:顾名思义,是对入侵行为的发觉。它通过对计算机网络或计算机系统中得若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统(Intrusion Detection System,简称IDS)。入侵检测在不影响网络性能的情况下对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。
2 入侵检测系统分类
既然入侵检测系统能够检测网络中发生的未授权和异常的访问,那我们不禁要问它是通过怎样的方法来完成这些复杂的检测工作的。
2.1按照检测类型划分
2.1.1异常检测模型(Anomaly Detection):检测与可接受行为之间的偏差。如果可以定义每项可接受的行为,那么每项不可接受的行为就应该是入侵。首先总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵。这种检测模型漏报率低,误报率高。因为不需要对每种入侵行为进行定义,所以能有效检测未知的入侵。
2.1.2误用检测模型(Misuse Detection):检测与已知的不可接受行为之间的匹配程度。如果可以定义所有的不可接受行为,那么每种能够与之匹配的行为都会引起告警。收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。这种检测模型误报率低、漏报率高。对于已知的攻击,它可以详细、准确地报告出攻击类型,但是对未知攻击却效果有限,而且特征库必须不断更新。
2.2按照检测对象划分
2.2.1基于主机:系统分析的数据是计算机操作系统的事件日志、应用程序的事件日志、系统调用、端口调用和安全审计记录。主机型入侵检测系统保护的一般是所在的主机系统。
2.2.2基于网络:系统分析的数据是网络上的数据包。网络型入侵检测系统担负着保护整个网段的任务,基于网络的入侵检测系统由遍及网络的传感器(sensor)组成,传感器是一台将以太网卡置于混杂模式的计算机,用于嗅探网络上的数据包。
2.2.3混合型:基于网络和基于主机的入侵检测系统都有不足之处,会造成防御体系的不全面,综合了基于网络和基于主机的混合型入侵检测系统既可以发现网络中的攻击信息,也可以从系统日志中发现异常情况。
3 入侵检测过程分析
入侵检测过程分为三部分:信息收集、信息分析和结果处理。
3.1信息收集:入侵检测的第一步是信息收集,收集内容包括系统、网络、数据及用户活动的状态和行为。由放置在不同网段的传感器或不同主机的代理来收集信息,包括系统和网络日志文件、网络流量、非正常的目录和文件改变、非正常的程序执行。
3.2信息分析:收集到的有关系统、网络、数据及用户活动的状态和行为等信息,被送到检测引擎,检测引擎驻留在传感器中,一般通过三种技术手段进行分析:模式匹配、统计分析和完整性分析。当检测到某种误用模式时,产生一个告警并发送给控制台。
3.3结果处理:控制台按照告警产生预先定义的响应采取相应措施,可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性,也可以只是简单的告警。
4 入侵检测技术的发展方向
无论是规模还是方法,入侵技术近年来都发生了变化。入侵的手段与技术也有了“进步与发展”。入侵技术的发展与演化主要反映在下列几个方面:
入侵或攻击的综合化与复杂化。
入侵主体对象的间接化,即实施入侵与攻击的主体的隐蔽化。
入侵或攻击的规模扩大。
入侵或攻击技术的分布化。
攻击对象的转移。
以往入侵与攻击常以网络为侵犯的主体。现已有专门针对IDS作攻击的报道。攻击者详细地分析了IDS的审计方式、特征描述、通信模式找出IDS的弱点,然后加以攻击。
今后的入侵检测技术大致可朝下述三个方向发展。
4.1 分布式入侵检测。第一层含义,即针对分布式网络攻击的检测方法;第二层含义即使用分布式的方法来检测分布式的攻击,其中的关键技术为检测信息的协同处理与入侵攻击的全局信息的提取。
4.2 智能化入侵检测。即使用智能化的方法与手段来进行入侵检测。所谓的智能化方法,现阶段常用的有神经网络、遗传算法、模糊技术、免疫原理等方法,这些方法常用于入侵特征的辨识与泛化。但是这只是一些尝试性的研究工作,需要对智能化的IDS加以进一步的研究以解决其自学习与自适应能力。
4.3 全面的安全防御方案。即使用安全工程风险管理的思想与方法来处理网络安全问题,将网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、防火墙、病毒防护、入侵检测多方位全面对所关注的网络作全面的评估,然后提出可行的全面解决方案。
5 结束语
入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。从网络信息安全立体纵深、多层次防御的角度出发,入侵检测应当受到人们的高度重视,也必须将入侵检测产品的研究与开发列入信息安全领域的重要课题之内。
参考文献
[1]罗宁,喻莉. 入侵检测技术研究发展.湖北:计算机与数字工程.2005.
[2]吴海民.入侵检测系统的发展与变革.上海:信息网络安全.2005.
入侵检测系统技术综述 第12篇
随着计算机网络的不断发展, 保护网络中的信息免受各种攻击为根本目的的网络安全变得越来越重要。但由于计算机网络所具有联结形式多样性、终端分布不均匀性和网络开放性、系统互联性等特征, 致使计算机网络易受黑客、恶意软件和其他不轨行为的攻击, 网络安全日益成为制约网络发展的关键因素。
从网络安全立体、纵深、多层次防御的角度出发, 入侵检测系统 (Intrusion Detection System, IDS) 和技术得到了高度的重视, 但由于入侵检测技术还不够成熟, 还处于发展阶段。因此, 入侵检测成为一个研究的重点。
2 入侵检测系统产生及其发展
1980年, James Anderson首先提出了入侵检测的概念, 将入侵分为外部闯入、内部授权用户的越权使用和滥用三种类型。1986年, 为检测用户对数据库的异常访问, Cobol开发出的Discovery系统是最早的基于主机的的入侵检测雏形之一。1987年, Denning提出了一个经典的入侵检测模型, 首次将入侵检测的的概念作为一种计算机系统的安全防御措施提出。1988年, Teresa Lunt等人改进了Denning提出的的入侵检测模型, 并提出了IDES, 提出了与平台无关的实时检测的思想。
近年来随着技术进步, 不断有新的思想应用到入侵检测系统当中, 如人工智能、神经网络、模糊理论、证据理论、分布式技术, 云计算等。
3 入侵检测系统的概论
3.1 入侵检测系统的概念
入侵检测系统[2]是指对于面向计算机资源和网络资源的恶意行为的识别和响应系统。一个完善的入侵检测系统可以对计算机网络进行自主地、实时地攻击检测和响应, 实时监控分析可疑的数据而不会影响数据在网络上的传输, 它对安全威胁的自动响应为用户提供了最大限度的安全保障。
3.2 入侵检测系统的分类
入侵检测系统[3]的分类根据不同的标准可以分为多种, 常用的分类标准有根据其检测数据来源和入侵检测使用的方法等。本文着重介绍基于主机的入侵检测系统和基于网络的入侵检测系统。
基于主机的入侵检测系统是从单个主机上提出数据作为入侵分析的数据源, 而基于网络的入侵检测系统是从网络上提出数据作为入侵分析的数据源。通常来说基于主机的入侵检测系统只能检测单个主机系统, 而基于网络的入侵检测系统可以对本网段的多个主机系统进行检测, 多个分布与不同网段上的基于网络的入侵检测系统可以协同工作, 以提供更强的入侵检测能力。
3.3 入侵检测技术的发展
3.3.1 分布式入侵检测技术。
随着网络入侵方法和网络计算环境的复杂化, 入侵检测的研究和应用也越来越多的转向分布式入侵检测系统。在分布式入侵检测系统当中, 各组件之间需要哦进行大量的信息交互, 需要研究一种通用的信息交互格式和加密通信机制, 防止攻击者破译交互信息而攻击整个入侵检测系统。3.3.2基于移动代理的入侵检测技术。该方法在分析现有的入侵检测技术的基础上, 通过对基于移动代理的分布式入侵检测系统的模型的分析, 对该入侵检测模型中基于用户行为的IDS进行了详细的设计。在用户行为分析模块中使用了系统提供的日志记录对数据源进行分析, 根据用户设置的目标原则, 实现基于代理的入侵检测。3.3.3基于免疫原理的入侵检测技术。将免疫原理应用入侵检测系统, 建立了一种新的入侵检测系统体系结构。该体系开创性地提出了免疫智能体的概念, 具有分布式、并发性、智能化、进化性的特点。该系统不但能自动适应复杂多变的网络环境, 还可以通过自我学习、自我进化提高系统的入侵检测能力。3.3.4基于数据挖掘的入侵检测技术。将数据挖掘技术应用与入侵检测系统当中, 采用数控挖掘中的关联规则分析和频繁序列模式分析技术, 改进了相应的算法, 从收集到的主机系统和网络行为记录中挖掘出潜在的安全信息, 用关联分析挖掘主机系统和网络行为记录内部模式, 用频繁模式分析挖掘系统和网络行为记录数据之间的模式。使用这些模式自动构建入侵检测系统的正常行为模式库和入侵行为模式库, 并随环境的变化自动更新正常行为模式库, 达到对入侵行为的防御。
4 入侵检测系统性能指标
对于一个投入使用的入侵检测系统, 需要评价其性能的好坏, 评价指标主要如下:
4.1 检测的准确度
准备地识别入侵行为是对入侵检测系统的基本要求。入侵检测系统的检测准确度可以通过误检率FTR (False Positive Rate) 和检测率TPR (True Positive Rate) 两个指标来反映。误检率是指正常行为被误判为入侵行为的概论, 检测率则是指入侵行为被正确判为入侵行为的概率。
4.2 复杂度
包括时间复杂度和空间复杂度两部分。时间复杂度决定了检测速度, 空间复杂度决定了对系统资源的占用情况。在实际应用中, 一般都希望入侵检测系统都能够在入侵行为发生之前尽快地检测出来以便进行及时的响应, 减小入侵带来的损失。入侵检测系统会占用网络或主机的一部分资源, 从而对网络或主机的性能造成影响。网络型入侵检测系统会在数据获取时占用网络设备的资源, 而主机型入侵检测系统一般安装在它所监控的主机上, 占用的主机资源往往比较多。因此, 减少资源占用, 提高检测效率也就显得尤其重要。
4.3 自学习能力
自学习能力是指入侵检测系统在实际应用中自动获取新知识的能力。具有自学习能力的入侵检测系统能够在一定程度上适应网络或主机行为的变化, 从而保持较高的检测准确度。
评价入侵检测系统性能的指标还有很多, 如系统的可扩展性、互动性、通信的健壮性等。我们需要针对具体的需求进行评价。
5 入侵检测系统存在的问题及发展趋势
5.1 存在的问题
但由于技术的发展以及研究的滞后, 现在的IDS仍存在着很多问题[4], 主要体现在以下几个方面:缺少有效性;误报和漏报的矛盾;IDS自身可靠性差、鲁棒性差;被动分析和主动发现的矛盾等等。
5.2 发展趋势
近年来对入侵检测技术的发展趋势只要体现在以下几方面:
5.2.1 分布式入侵检测与通用入侵检测架构。
传统的IDS一般局限于单一主机或网络构架, 对异构系统及大规模网络的检测明显不足。同时不同的IDS系统之间不能协同工作, 为解决这一问题, 需要分布式检测技术和通用入侵检测构架。5.2.2应用层入侵检测。许多入侵的语义只有在应用层很难理解, 而目前的IDS仅能检测WEB之类的通用协议, 而不能处理Lotus Notes、数据库系统等其他的应用系统。许多基于客户、服务器结构与中间件技术及面向对象技术的大型应用, 需要应用层的入侵检测保护。5.2.3智能的入侵检测。入侵方法越来越多样化与综合化, 尽管已经有智能代理、神经网络与遗传算法在入侵检测领域的应用与研究, 但这只是一个基础性的研究工作, 需要对智能化的IDS加以进一步的研究以解决其自学习与自适应的能力。5.2.4与网络安全技术相结合。结合防火墙、VPN、PKIX和安全电子交易SET等新的网络安全与电子商务技术, 入侵检测系统能提供完整的网络安全保障。
入侵检测系统虽然还存在着许多技术上的缺陷, 但我们应该看到其在网络安全技术上巨大的优势。因此, 入侵检测系统必将得到更好的发展和大规模的应用。
摘要:网络互联技术发展迅猛, 网络安全问题以成为网络技术中最重要的课题。入侵检测技术作为一种主动的信息安全保护措施, 有效地弥补了传统安全防护技术的缺陷。通过构建动态的安全方案, 可以最高限度的提高系统的安全保障能力, 减少安全威胁以及对系统造成的危害。研究了入侵检测系统的相关技术及其发展趋势。
关键词:入侵检测,网络安全,网络入侵
参考文献
[1]林龙涛.高速网络环境下入侵检测系统研究[D].青岛大学硕士学位论文, 2007.[1]林龙涛.高速网络环境下入侵检测系统研究[D].青岛大学硕士学位论文, 2007.
[2]尹清波.基于机器学习的入侵检测方法研究[D].哈尔滨工程大学博士学位论文, 2007.[2]尹清波.基于机器学习的入侵检测方法研究[D].哈尔滨工程大学博士学位论文, 2007.
[3]王小军.基于数据挖掘技术的入侵检测系统的研究[D].哈尔滨工程大学硕士学位论文, 2007.[3]王小军.基于数据挖掘技术的入侵检测系统的研究[D].哈尔滨工程大学硕士学位论文, 2007.
【入侵检测器】相关文章:
入侵检测算法07-14
入侵检测方法07-18
入侵系统检测技术05-25
网络入侵检测系统06-23
应用入侵检测技术08-19
入侵检测系统综述09-16
基于网络入侵检测研究06-23
入侵检测防火墙08-14
网络入侵检测算法研究08-20
系统入侵检测技术论文07-06