入侵檢測技術論文

  入侵檢測系統是一個能夠對網路或計算機系統的活動進行實時監測的系統,下面是小編為大家整理的,希望你們喜歡。

  篇一

  入侵檢測技術研究綜述

  提要 本文介紹入侵及入侵檢測的概念,分析各種入侵檢測技術與特點。

  關鍵詞:入侵;異常資料;入侵檢測

  中圖分類號:F49 文獻標識碼:A

  近年來,計算機網路的高速發展和應用,使網路安全的重要性也日益增加。如何識別和發現入侵行為或意圖,並及時給予通知,以採取有效的防護措施,保證系統或網路安全,這是入侵檢測系統的主要任務。

  一、入侵及入侵檢測

  入侵是指任何企圖危及計算機系統資源的完整性、機密性和可用性或試圖越過計算機或網路安全機制的行為。入侵不僅包括髮起攻擊的人取得超出合法範圍的系統控制權,也包括收集漏洞資訊,造成拒絕服務等對計算機系統造成危害的行為。入侵檢測顧名思義,是對入侵行為的發覺,它是為保證計算機系統的安全而設計與配置的一種能夠及時發現並報告系統中未授權或異常現象的技術,是一種用於檢測計算機網路中違反安全策略行為的技術。

  二、入侵檢測系統的分類

  入侵檢測系統的任務是在所提取到的大量檢測資料中找到入侵的痕跡。入侵分析過程需要將提取到的事件與入侵檢測規則進行比較,以判斷是否發生入侵行為。一方面IDS需要儘可能多地提取資料以獲得足夠的入侵證據;另一方面由於入侵行為的多變性和複雜性而導致判定入侵的規則越來越複雜。

  對於入侵檢測系統,可以根據所採用的審計資料來源、檢測策略、檢測的實時性、對抗措施、體系結構等方面進行不同的分類。***1***依據審計資料來源的不同可將IDS分為基於網路的IDS與基於主機的IDS;***2***從入侵檢測的策略來看,可以分為濫用檢測與異常檢測;***3***按IDS處理資料的實時性,可以分為實時檢測與事後檢測;***4***從入侵檢測系統的對抗措施來看,可以分為主動系統與被動系統;***5***從入侵檢測系統的體系結構來看,可以分為集中式系統與分散式系統。

  三、入侵檢測主要研究技術

  目前,在IDS研究領域的主要研究方向包括IDS的效能評價、IDS整合中通用的通訊格式、面向大規模分散式網路的IDS框架以及採用一些最新的智慧技術來識別新型未知攻擊。IDS檢測技術主要包括:專家系統技術、統計分析、狀態轉換分析、神經網路、生物免疫學、智慧代理檢測技術、模糊技術、資料探勘、模式匹配技術等。

  1、專家系統技術。它是最早的濫用檢測方法之一,主要針對濫用檢測,也有用於異常入侵檢測的。基於專家系統技術的入侵檢測系統,其優點是將系統的推理過程和知識庫分離,使用者只需要解決對問題的描述,不需理解系統的求解過程而達到求解的目的;但也存在著缺點,如系統自適應能力差、對未知攻擊無能為力、執行效率低等。

  2、統計分析。它是在異常檢測中使用最早和最普遍的技術。它的優點是可以“學習”使用者或系統的使用習慣,具有較高的檢測率和可用性,它不需維護攻擊模式庫,只需挑選特定的統計量建立模型。缺點是檢測的實時性不好,不能反映事件在時間順序上的前後相關性,統計量和閾值選擇上也存在一定困難。

  3、狀態轉換方法。狀態轉換方法是使用系統狀態和狀態轉換表示式來描述和檢測已知入侵。實現狀態轉換有很多方法,其中最主要的是狀態轉換分析和著色Petri網。

  4、生物免疫法。基於生物免疫的方法,與其他入侵檢測方法比,可以滿足完善的基於網路的IDS必須具備的三個系統特性,即分佈性、自組織性和低消耗性。在不需要攻擊先驗知識情況下,使用“自我”特徵來檢測系統的異常,檢測效率高,能夠檢測未知型別的攻擊,但對於不涉及到系統特權程序使用的攻擊行為往往無能為力。

  5、神經網路技術。神經網路作為人工智慧的分支,在入侵檢測領域得到了較好的應用。神經網路應用於入侵檢測主要是利用神經網路對正常的系統或使用者行為進行訓練,利用其自適應學習特性提取系統或使用者行為特徵,以此建立系統或使用者的行為特徵輪廓,並作為異常的判定標準。神經網路具有非參量統計分析的優點,較好的抗干擾能力,具有較高的學習和自適應能力,能識別出新的入侵行為特徵和已知入侵行為的變種。但是,神經網路的訓練時間過長,收斂速度慢,缺乏對判定結果的直觀解釋等。

  6、資料探勘技術。資料探勘技術在入侵檢測系統中的應用,主要是通過挖掘審計資料以獲得行為模式,分別並分離出入侵行為,有效地實現入侵檢測規則。審計資料是由經過預處理的、帶有時間戳的審計記錄組成,每條審計記錄都包含一些屬性***也稱為特徵***。例如,一個典型的審計日誌檔案包括源IP地址、目的IP地址、服務型別、連線狀態等屬性。挖掘審計資料是一項十分重要的任務,它直接影響到入侵檢測的精確性和可用性。目前,用於入侵檢測的資料探勘技術包括:關聯分析、序列分析、分類、聚類分析、孤立點分析以及基於粗糙集的挖掘等。

  7、進化計算技術。進化計算技術本質上屬於一種模仿某些自然規劃的全域性優化演算法,引入達爾文在進化論中提出的自然選擇概念對系統進行優化。進化的主要演算法包括:遺傳演算法、進化規劃、進化策略、分類器系統和遺傳規劃。理論上講,以上幾種演算法都可以應用在入侵檢測中,目前主要是對遺傳演算法和遺傳規劃的應用進行了研究。進化演算法的優點是對於多為系統的優化非常有效,同時可以提高對不同攻擊型別的分辨力,降低系統的誤報率。進化計算在入侵檢測中的應用還不成熟,還存在著不少缺陷。

  四、結束語

  隨著網路技術和網路規模的不斷髮展,入侵檢測系統在計算機網路安全體系中發揮著日趨重要的作用。然而,面對層出不窮、變化多端的攻擊,仍然需要我們不斷完善現有的技術和進行新技術的研究和探討。

點選下頁還有更多>>>