入侵檢測技術論文

入侵檢測技術論文

　　入侵檢測系統(tǒng)是一個能夠?qū)W(wǎng)絡或計算機系統(tǒng)的活動進行實時監(jiān)測的系統(tǒng)，下面是學習啦小編為大家整理的入侵檢測技術論文，希望你們喜歡。

　　入侵檢測技術論文篇一

　　入侵檢測技術研究綜述

　　提要 本文介紹入侵及入侵檢測的概念,分析各種入侵檢測技術與特點。

　　關鍵詞:入侵;異常數(shù)據(jù);入侵檢測

　　中圖分類號:F49 文獻標識碼:A

　　近年來,計算機網(wǎng)絡的高速發(fā)展和應用,使網(wǎng)絡安全的重要性也日益增加。如何識別和發(fā)現(xiàn)入侵行為或意圖,并及時給予通知,以采取有效的防護措施,保證系統(tǒng)或網(wǎng)絡安全,這是入侵檢測系統(tǒng)的主要任務。

　　一、入侵及入侵檢測

　　入侵是指任何企圖危及計算機系統(tǒng)資源的完整性、機密性和可用性或試圖越過計算機或網(wǎng)絡安全機制的行為。入侵不僅包括發(fā)起攻擊的人取得超出合法范圍的系統(tǒng)控制權,也包括收集漏洞信息,造成拒絕服務等對計算機系統(tǒng)造成危害的行為。入侵檢測顧名思義,是對入侵行為的發(fā)覺,它是為保證計算機系統(tǒng)的安全而設計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權或異常現(xiàn)象的技術,是一種用于檢測計算機網(wǎng)絡中違反安全策略行為的技術。

　　二、入侵檢測系統(tǒng)的分類

　　入侵檢測系統(tǒng)的任務是在所提取到的大量檢測數(shù)據(jù)中找到入侵的痕跡。入侵分析過程需要將提取到的事件與入侵檢測規(guī)則進行比較,以判斷是否發(fā)生入侵行為。一方面IDS需要盡可能多地提取數(shù)據(jù)以獲得足夠的入侵證據(jù);另一方面由于入侵行為的多變性和復雜性而導致判定入侵的規(guī)則越來越復雜。

　　對于入侵檢測系統(tǒng),可以根據(jù)所采用的審計數(shù)據(jù)源、檢測策略、檢測的實時性、對抗措施、體系結(jié)構等方面進行不同的分類。(1)依據(jù)審計數(shù)據(jù)源的不同可將IDS分為基于網(wǎng)絡的IDS與基于主機的IDS;(2)從入侵檢測的策略來看,可以分為濫用檢測與異常檢測;(3)按IDS處理數(shù)據(jù)的實時性,可以分為實時檢測與事后檢測;(4)從入侵檢測系統(tǒng)的對抗措施來看,可以分為主動系統(tǒng)與被動系統(tǒng);(5)從入侵檢測系統(tǒng)的體系結(jié)構來看,可以分為集中式系統(tǒng)與分布式系統(tǒng)。

　　三、入侵檢測主要研究技術

　　目前,在IDS研究領域的主要研究方向包括IDS的性能評價、IDS集成中通用的通訊格式、面向大規(guī)模分布式網(wǎng)絡的IDS框架以及采用一些最新的智能技術來識別新型未知攻擊。IDS檢測技術主要包括:專家系統(tǒng)技術、統(tǒng)計分析、狀態(tài)轉(zhuǎn)換分析、神經(jīng)網(wǎng)絡、生物免疫學、智能代理檢測技術、模糊技術、數(shù)據(jù)挖掘、模式匹配技術等。

　　1、專家系統(tǒng)技術。它是最早的濫用檢測方法之一,主要針對濫用檢測,也有用于異常入侵檢測的。基于專家系統(tǒng)技術的入侵檢測系統(tǒng),其優(yōu)點是將系統(tǒng)的推理過程和知識庫分離,用戶只需要解決對問題的描述,不需理解系統(tǒng)的求解過程而達到求解的目的;但也存在著缺點,如系統(tǒng)自適應能力差、對未知攻擊無能為力、執(zhí)行效率低等。

　　2、統(tǒng)計分析。它是在異常檢測中使用最早和最普遍的技術。它的優(yōu)點是可以“學習”用戶或系統(tǒng)的使用習慣,具有較高的檢測率和可用性,它不需維護攻擊模式庫,只需挑選特定的統(tǒng)計量建立模型。缺點是檢測的實時性不好,不能反映事件在時間順序上的前后相關性,統(tǒng)計量和閾值選擇上也存在一定困難。

　　3、狀態(tài)轉(zhuǎn)換方法。狀態(tài)轉(zhuǎn)換方法是使用系統(tǒng)狀態(tài)和狀態(tài)轉(zhuǎn)換表達式來描述和檢測已知入侵。實現(xiàn)狀態(tài)轉(zhuǎn)換有很多方法,其中最主要的是狀態(tài)轉(zhuǎn)換分析和著色Petri網(wǎng)。

　　4、生物免疫法?；谏锩庖叩姆椒?與其他入侵檢測方法比,可以滿足完善的基于網(wǎng)絡的IDS必須具備的三個系統(tǒng)特性,即分布性、自組織性和低消耗性。在不需要攻擊先驗知識情況下,使用“自我”特征來檢測系統(tǒng)的異常,檢測效率高,能夠檢測未知類型的攻擊,但對于不涉及到系統(tǒng)特權進程使用的攻擊行為往往無能為力。

　　5、神經(jīng)網(wǎng)絡技術。神經(jīng)網(wǎng)絡作為人工智能的分支,在入侵檢測領域得到了較好的應用。神經(jīng)網(wǎng)絡應用于入侵檢測主要是利用神經(jīng)網(wǎng)絡對正常的系統(tǒng)或用戶行為進行訓練,利用其自適應學習特性提取系統(tǒng)或用戶行為特征,以此創(chuàng)建系統(tǒng)或用戶的行為特征輪廓,并作為異常的判定標準。神經(jīng)網(wǎng)絡具有非參量統(tǒng)計分析的優(yōu)點,較好的抗干擾能力,具有較高的學習和自適應能力,能識別出新的入侵行為特征和已知入侵行為的變種。但是,神經(jīng)網(wǎng)絡的訓練時間過長,收斂速度慢,缺乏對判定結(jié)果的直觀解釋等。

　　6、數(shù)據(jù)挖掘技術。數(shù)據(jù)挖掘技術在入侵檢測系統(tǒng)中的應用,主要是通過挖掘?qū)徲嫈?shù)據(jù)以獲得行為模式,分別并分離出入侵行為,有效地實現(xiàn)入侵檢測規(guī)則。審計數(shù)據(jù)是由經(jīng)過預處理的、帶有時間戳的審計記錄組成,每條審計記錄都包含一些屬性(也稱為特征)。例如,一個典型的審計日志文件包括源IP地址、目的IP地址、服務類型、連接狀態(tài)等屬性。挖掘?qū)徲嫈?shù)據(jù)是一項十分重要的任務,它直接影響到入侵檢測的精確性和可用性。目前,用于入侵檢測的數(shù)據(jù)挖掘技術包括:關聯(lián)分析、序列分析、分類、聚類分析、孤立點分析以及基于粗糙集的挖掘等。

　　7、進化計算技術。進化計算技術本質(zhì)上屬于一種模仿某些自然規(guī)劃的全局優(yōu)化算法,引入達爾文在進化論中提出的自然選擇概念對系統(tǒng)進行優(yōu)化。進化的主要算法包括:遺傳算法、進化規(guī)劃、進化策略、分類器系統(tǒng)和遺傳規(guī)劃。理論上講,以上幾種算法都可以應用在入侵檢測中,目前主要是對遺傳算法和遺傳規(guī)劃的應用進行了研究。進化算法的優(yōu)點是對于多為系統(tǒng)的優(yōu)化非常有效,同時可以提高對不同攻擊類型的分辨力,降低系統(tǒng)的誤報率。進化計算在入侵檢測中的應用還不成熟,還存在著不少缺陷。

　　四、結(jié)束語

　　隨著網(wǎng)絡技術和網(wǎng)絡規(guī)模的不斷發(fā)展,入侵檢測系統(tǒng)在計算機網(wǎng)絡安全體系中發(fā)揮著日趨重要的作用。然而,面對層出不窮、變化多端的攻擊,仍然需要我們不斷完善現(xiàn)有的技術和進行新技術的研究和探討。

點擊下頁還有更多>>>入侵檢測技術論文