网络入侵检测技术综述(1)
网络入侵检测技术综述
分析 、 响应处 理 3部 分 。数据 提取是 入侵 检测 系统 的数据 采集
初期 , n esn将 入侵定 义为 : 经授权 蓄 意尝试 访 问信息 、 A dro 未 篡 改信 息 、 使系 统不可 靠或 不能使 用 。美 国 国际计算 机安 全协会 对入 侵检测 的定义 是 : 人侵 检测是 通过从 计算 机 网络或计 算 机
使用 V N,可 以在 电子 政 务系 统所 连 接不 同 的政府 部 门 P 之 间建 虚拟 隧道 . 得两个 政务 网之 间的相互 访 问就像 在一个 使 专用 网络 中一样 。使用 V N, P 可以使 政务 网用户 在外 网就象 在 内网一 样地 访 问政 务专 用 网的资源 。使 用 V N, P 也可 以实现政
或 系 统 中是否 有 违反 安全 策 略 的行 为和 遭 到袭 击迹 象 的一 种
安 全技术 。 从 系统 构成 上看 . 侵 检 测 系统 至 少包 括数 据 提取 、 侵 人 人
合 法范 围 的系 统控制 权 , 包 括 收集漏 洞 信 息 , 成拒绝 服 务 也 造
访 问 ( o ) 对 计算 机造 成 危 害的行 为 。早 在上 世 纪 8 DS等 O年 代
文 章 编 号 :6 2 7 0 (0 0 0 — 10 0 17 — 8 0 2 1 ) 6 0 6 - 3
系统 中的若 干关键 点收集 信 息并 对其进 行分 析 , 中发现 网络 从
1 入 侵 检 测 的概 念 、原 理 和 模 型
“ 侵 ” 个 广 义 的 概 念 , 仅 包 括 发 起 攻 击 的 人 取 得 超 出 入 是 不
34 其 他 信 息 安 全 技 术 的 使 用 。
止 管理 主机被 攻击 者攻破后 用来 作为发 起攻 击 的“ 板 ” 对所 跳 ;
网络安全中的入侵检测技术综述
网络安全中的入侵检测技术综述网络安全是当前社会发展的重要方向之一,而网络入侵成为了网络安全的一个重要问题。
随着互联网的普及和发展,网络入侵手段也日益复杂多样化。
为了保护网络的安全,提高网络系统的防御能力,入侵检测技术应运而生。
本文将对网络安全中的入侵检测技术进行综述。
一、入侵检测技术的发展历程网络入侵检测技术起源于20世纪80年代,那时主要是基于对网络流量的分析进行入侵检测。
随着技术的进步,入侵检测技术从最初的基于规则的检测方法逐渐发展到了基于特征、行为和机器学习等方法。
目前,入侵检测技术已经成为了网络安全体系中不可缺少的一部分。
二、入侵检测技术的分类根据入侵检测技术的不同方式和目标,可以将其分为两大类,即基于签名的入侵检测和基于行为的入侵检测。
基于签名的入侵检测主要通过事先确定的规则和模式来识别已知的入侵行为,而基于行为的入侵检测则通过监测系统的行为特征来发现异常和潜在的入侵行为。
三、基于签名的入侵检测技术基于签名的入侵检测技术是一种传统的检测方法,其核心思想是通过与已知的入侵特征进行比对,寻找与之匹配的特征。
这种方法具有检测准确率高的优点,但对于未知的入侵行为无法进行有效的检测。
常用的基于签名的入侵检测系统有Snort、Suricata等。
四、基于行为的入侵检测技术基于行为的入侵检测技术研究的是系统和用户的行为特征,通过建立正常行为模型和异常行为模型来检测入侵行为。
这种方法适用于未知入侵和变异性入侵的检测,但在实际应用中存在误报率高的问题。
常用的基于行为的入侵检测系统有Bro、Snort、Suricata等。
五、机器学习在入侵检测中的应用机器学习在入侵检测中发挥了重要作用,通过训练算法和模型,能够对网络流量数据进行分析和预测。
在现实场景中,机器学习的应用能够提高入侵检测的准确率和实时性。
常用的机器学习算法包括决策树、支持向量机和神经网络等。
六、入侵检测技术的挑战与未来发展网络环境的复杂性和入侵手段的多样化给入侵检测技术带来了许多挑战。
网络入侵检测技术综述
网络入侵检测技术综述网络入侵检测技术综述随着信息技术的迅猛发展和互联网的广泛应用,网络安全问题成为了人们关注的焦点。
其中,网络入侵是指未经授权侵入他人计算机系统的行为,给网络系统带来了极大的威胁。
为了保障网络安全,人们提出了网络入侵检测技术。
本文将综述网络入侵检测技术的发展和应用。
网络入侵检测技术是在计算机网络系统中载入入侵检测系统,并通过对网络流量、日志记录、包头、外部事件等数据进行分析、监控和实时判断的方法,来检测和识别网络中的入侵行为。
根据检测方法的不同,可以将入侵检测技术分为基于特征的检测、基于异常的检测和基于机器学习的检测。
基于特征的检测技术主要是通过对网络流量、网络数据包等进行特征提取和匹配,从而判断是否存在入侵行为。
这种方法依赖于已知的入侵特征库,通过比对特征库中的特征和实时获取的数据特征,来判定网络是否存在入侵。
该方法的优点是准确性高,能够对已知的入侵行为进行有效检测和防御。
但是,缺点也非常明显,即无法对未知的入侵行为进行检测和应对。
基于异常的检测技术是通过建立和学习网络正常行为的模型,来检测网络中的异常行为。
异常行为是指与正常行为有明显差异的网络流量、数据包等。
这种方法的优点是能够对未知的入侵行为进行检测和防御,具有较高的自适应性。
但是,缺点是在建立正常行为模型时需要耗费大量的时间和计算资源,且对于复杂的网络环境和大规模网络系统的应用效果不佳。
基于机器学习的检测技术是近年来发展起来的一种新型检测方法。
通过对大量的网络数据进行学习和训练,建立起网络行为的模型。
然后,通过模型对实时获取的网络数据进行分类和判断,从而检测和识别网络入侵行为。
优点是能够实现对未知入侵行为的检测和自动化的防御措施。
然而,缺点是对于网络数据的学习和训练时间较长,且对于大规模网络系统的应用还面临着一定的挑战。
除了上述的入侵检测技术之外,还有一些新兴的技术正在逐渐应用到网络入侵检测中。
比如说,深度学习技术、云计算、大数据分析等。
网络入侵检测技术综述
网络入侵检测技术综述[摘要]入侵检测就是对计算机网络和计算机系统的关键结点的信息进行收集分析,检测其中是否有违反安全策略的事件发生或攻击迹象,并通知系统安全管理员。
一般把用于入侵检测的软件,硬件合称为入侵检测系统(Intrusion Detection System)。
入侵检测是计算机安全领域的一个重要技术,也是当前计算机安全理论研究的一个热点。
[关键词]入侵入侵检测IDS 神经网络一、入侵检测技术简介James Aderson在1980年首先提出了入侵检测的,将入侵尝试或威胁定义为:潜在的有预谋未经授权访问信息、操作信息、致使系统不可靠或无法使用的企图。
入侵(Intrusion)指的就是试图破坏计算机保密性,完整性,可用性或可控性的一系列活动。
入侵活动包括非授权用户试图存取数据,处理数据,或者妨碍计算机的正常运行。
入侵检测(Intrusion Detection),顾名思义,是指对入侵行为的发觉。
它通过在计算机网络或计算机系统中的若干关键点收集信息并对收集到的信息进行分析,从而判断网络或系统中是否有违反安全策略的行为和被攻击的迹象。
完成入侵检测功能的软件、硬件组合便是入侵检测系统(Intrusion Detection System,简称IDS)。
入侵检测系统包括三个功能部件:提供事件记录流的信息源;发现入侵迹象的分析引擎;基于分析引擎的结果产生反应的响应部件。
二、入侵检测的功能及原理一个入侵检测系统,至少应该能够完成以下五个功能:监控、分析用户和系统的活动;检查系统配置和漏洞;评估系统关键资源和数据文件的完整性;发现入侵企图或异常现象;记录、报警和主动响应。
因此,入侵检测技术就是一种主动保护自己免受黑客攻击的一种网络安全技术。
入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、入侵识别和响应),提高了信息安全基础结构的完整性。
它能够从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。
网络安全中的入侵检测技术综述
网络安全中的入侵检测技术综述网络安全是当今社会中的一个重要议题,随着互联网的普及和信息技术的迅速发展,网络攻击和入侵事件屡见不鲜。
为了保护网络系统和用户的安全,研究人员和安全专家们积极探索各种入侵检测技术。
本文将综述几种常见的入侵检测技术,并分析它们的特点和应用。
一、入侵检测技术的概念入侵检测技术(Intrusion Detection Technology)是指通过对网络通信流量、系统日志、主机状态等进行监控和分析,及时发现和识别已发生或即将发生的入侵行为。
其目的是快速准确地发现并阻止潜在的安全威胁,保护网络系统和用户的数据安全。
二、基于签名的入侵检测技术基于签名的入侵检测技术(signature-based intrusion detection)是一种传统而有效的检测方法。
它通过预定义的规则集合,检测网络流量中是否存在已知的攻击模式。
这种技术的优点在于准确率高,适用于已知攻击的检测。
然而,缺点也显而易见,就是无法检测未知攻击和变异攻击。
三、基于异常行为的入侵检测技术基于异常行为的入侵检测技术(anomaly-based intrusion detection)通过建立正常行为模型,检测网络流量中的异常行为。
相比于基于签名的方法,这种技术更具有普遍性,能够发现未知攻击。
然而,误报率较高是其主要问题之一,因为正常行为的变化也会被误判为异常。
四、混合型入侵检测技术为了克服单一方法的局限性,许多研究者提出了混合型入侵检测技术。
这些方法综合了基于签名和基于异常行为的特点,在检测效果上有所提高。
其中,流量分析、机器学习、数据挖掘等技术的应用,使得混合型入侵检测技术更加精准和智能化。
五、网络入侵检测系统的架构网络入侵检测系统(Intrusion Detection System,简称IDS)是实现入侵检测的关键组件。
其整体架构包括数据采集、数据处理、检测分析、警报响应等模块。
数据采集模块负责收集网络流量、日志信息等数据;数据处理模块负责对采集到的数据进行预处理和分析;检测分析模块负责使用各种入侵检测技术进行实时监测和分析;警报响应模块负责生成报警信息并采取相应的应对措施。
基于机器学习的网络入侵检测技术综述
基于机器学习的网络入侵检测技术综述1. 总论网络安全已成为现代社会的一个重要问题。
随着网络技术的发展,网络入侵问题日益复杂。
作为一种被动的网络防御技术,网络入侵检测技术在网络安全中既起到保护网络资源和信息的作用,也是网络安全的重要组成部分。
而机器学习作为智能化的技术手段,提供了智能化的网络入侵检测方案。
本文将对基于机器学习的网络入侵检测技术进行综述,并进行归类分析和比较。
2. 基础知识2.1 网络入侵检测技术网络入侵检测技术是通过模拟网络攻击行为,对网络流量进行特征提取和分析,从而识别恶意流量和网络攻击行为的一种技术手段。
可分为基于特征匹配、基于自动规则生成和基于机器学习的三种类型。
基于学习的网络入侵检测系统是通过机器学习技术训练出网络入侵检测模型,然后对流量进行分类,从而更好地检测网络攻击。
2.2 机器学习机器学习是一种通过对专门设计的算法,使计算机能够自主学习的技术。
它的主要任务是从已知数据(历史数据)中学习特征,使其能够更准确地对未知数据(未知流量)进行分类预测。
主要分为有监督学习、无监督学习和半监督学习三种类型。
3. 基于机器学习的网络入侵检测技术3.1 基于分类算法3.1.1 支持向量机支持向量机(SVM)是一类二分类模型,它的基本思想是找到一个好的超平面对数据进行划分,使得分类误差最小。
与其他分类算法不同,支持向量机将数据空间转换为高维空间来发现更有效的超平面,以达到更好的分类效果。
在网络入侵检测中,SVM主要应用于对已知流量进行分类,进而识别未知流量是否是恶意流量。
同时,SVM还可以通过简化流量特征提取的复杂性,优化特征集。
3.1.2 决策树决策树是一种机器学习算法,可以进行分类和回归预测。
决策树使用树形结构来表示决策过程,树的每个节点代表一个特征或属性,每个分支代表一个该特征的取值或一个属性取值的集合。
在网络入侵检测中,决策树算法可识别不同类型的网络攻击,并为网络安全工程师提供必要的信息和分析结果,以支持决策制定。
基于机器学习的网络入侵检测技术综述
基于机器学习的网络入侵检测技术综述随着互联网的迅速发展和普及,网络安全问题也日益突出。
网络入侵成为一个严重的威胁,给个人、企业乃至国家带来了巨大的损失。
为了提高网络安全水平,研究人员提出了各种网络入侵检测技术。
其中,基于机器学习的方法因其高效且准确的特点而备受关注。
本文将对基于机器学习的网络入侵检测技术进行综述。
首先,我们需要了解什么是网络入侵。
网络入侵指的是未经授权的个人或组织通过网络对目标系统进行非法活动,例如窃取数据、破坏系统等。
传统的网络入侵检测方法主要是通过特征匹配,即事先定义好的规则匹配入侵行为所具有的特征。
但是,这种方法往往难以适应日益复杂多变的入侵手段。
基于机器学习的网络入侵检测技术通过训练算法从大量的网络数据中学习入侵模式,进而对新的网络流量进行分类。
其中,最常用的机器学习算法包括支持向量机(SVM)、决策树、朴素贝叶斯等。
支持向量机是一种常用的分类算法,它通过找到一个超平面将不同类别的数据分开。
在网络入侵检测中,支持向量机可以学习到入侵和正常流量的不同特征,从而能够对新的数据进行准确分类。
然而,支持向量机的训练过程比较耗时,且对于大规模数据的处理存在困难。
决策树是一种以树形结构表示的分类模型,它能够根据特征的重要性依次进行划分。
在网络入侵检测中,决策树可以根据网络流量的各种特征进行分类。
与支持向量机相比,决策树的训练速度更快,但在处理高维数据和特征选择上存在一定的困难。
朴素贝叶斯是一种基于贝叶斯定理的分类算法,它假设各个特征之间是相互独立的。
在网络入侵检测中,朴素贝叶斯可以学习到入侵和正常流量之间的概率分布,从而能够对新的数据进行分类。
然而,朴素贝叶斯算法对于特征之间的依赖关系的处理存在一定的局限性。
除了上述几种常用的机器学习算法,还有一些其他的技术被应用于网络入侵检测中。
例如,深度学习算法,如卷积神经网络(CNN)和循环神经网络(RNN),能够提取更复杂的特征,从而提高网络入侵检测的准确性。
网络入侵检测技术
网络入侵检测技术网络入侵检测技术(Intrusion Detection System,简称IDS)是一种保护网络安全的重要手段。
随着网络的迅速发展和应用,网络安全问题日益突出,各种网络攻击活动不断涌现,给个人和企业带来严重风险。
因此,网络入侵检测技术的研究和应用变得尤为重要。
一、网络入侵检测技术的基本原理网络入侵检测技术主要通过监控网络流量和系统日志,识别并响应计算机网络中的恶意活动。
其基本原理分为两类:基于签名的入侵检测(Signature-based IDS)和基于行为的入侵检测(Behavior-based IDS)。
1. 基于签名的入侵检测基于签名的入侵检测采用特定的模式序列(即签名)来识别已知的攻击活动。
该技术通过与预先存储的签名数据库进行匹配,从而检测网络中的入侵行为。
它能够有效识别常见的攻击类型,但对于新型攻击缺乏有效识别能力。
2. 基于行为的入侵检测基于行为的入侵检测则通过分析和建模网络中的正常行为模式,并根据不正常的行为模式来识别入侵行为。
这种方法不依赖于已知的攻击特征,对未知攻击具有较好的应对能力。
然而,由于需要建立和维护复杂的行为模型,基于行为的入侵检测技术相对较为复杂和耗时。
二、网络入侵检测技术的分类根据部署位置和监测对象的不同,网络入侵检测技术可以分为网络入侵检测系统(Network IDS,NIDS)和主机入侵检测系统(Host IDS,HIDS)。
1. 网络入侵检测系统网络入侵检测系统是部署在网络边界或内部的设备,用于监测网络中的恶意流量和攻击行为。
它可以实时分析网络流量数据,发现可疑活动并及时采取措施。
网络入侵检测系统通常使用深度包检测(Deep Packet Inspection,DPI)技术,能够检测到传输层以上的攻击。
2. 主机入侵检测系统主机入侵检测系统是运行在主机上的软件程序,主要监测主机系统的安全状态和异常行为。
它通过监测主机上的日志、文件和系统调用等信息,检测入侵行为并及时发出警报。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
在政务网的基础上建立 VPN,第二种方案比较合适 ,即政 府部门自身建设,对 Байду номын сангаасSP 透明。 因为政务网是地理范围在政务 网内的计算机网络 ,它 有 运 行 于 Internet 的 公网 IP 地 址 ,有 自 己的路由设备,有自己的网络管理和维护机构,对政务网络有 很强的自主管理权和技术支持。 所以, 在政务网基础上建立 VPN,完全可以不依赖于 ISP,政府部门自身进行建设。 这样可 以有更大的自主性,也可以节省经费。
侵 检 测 技 术的 发 展 历 史 及 其 通 用 模型 ,对 入 侵 检 测 系 统 的 分 类 和 入 侵 检 测 的 方 法 进 行 了 分 析 ,讨 论 了 该 领 域 尚 存 在
的问题。
关键词:网络攻击;入侵检测;网络安全
中 图 分 类 号 :TP393.08
文 献 标 识 码 :A
文 章 编 号 :1672-7800 (2010 )06-0160-03
根据使用者的行为或资源使用状况的正常程度来判断是 否入侵,而不依赖于具体行为是否出现来检测。 异常检测的优 点在于通用性较强,但由于不可能对整个系统内的所有用户行 为进行全面的描述,而且每个用户的行为是经常改变的,所以 它的缺陷是误报率高。 3.2.2 误用检测
根据已定义好的入侵模式,通过判断在实际的安全审计数 据中是否出现这些入侵模式来完成检测功能,这种方法由于基 于特征库的判断所以检测准确度很高,缺点在于检测范围受已 有知识的局限,无法检测未知的入侵行为,此外对系统依赖性 大,通用性不强。
系统中的若干关键点收集信息并对其进行分析,从中发现网络 或系统中是否有违反安全策略的行为和遭到袭击迹象的一种 安全技术。
从系统构成上看,人侵检测系统至少包括数据提取、人侵 分析、响应处理 3 部分。 数据提取是入侵检测系统的数据采集 器 ,负 责 提取 反 映 受 保 护 系 统运 行 状 态 的 运 行 数 据 ,并 完 成 数 据的过滤和预处理。 人侵分析是核心模块,负责对原始数据进 行同步、整理、组织、分类、特征提取以及各种细致分析。
基于应用的监控技术主要特征是使用监控传感器在应用 层 收 集 信 息 ,如 Web 服 务 程 序 、FTP 服 务 程 序 ,由 于 这 种 技 术 可以更准确地监控用户某一应用的行为,所以,这种技术在日 益流行的电子商务中越来越受到注意,其缺点在于有可能降低 技术本身的安全。 3.2 基于检测方法的分类 3.2.1 异常检测
图 2 CIDF 模型
2 入侵检测的重要性
面对日益加剧的网络安全威胁,传统的静态安全技术如认 证机制、加密和防火墙等已经难以胜任。 入侵检测作为一种重 要的动态安全技术, 能够提供对计算机系统和网络的外部攻 击、内部攻击及误操作的全面检测,其主要功能是监视并分析 用户和系统的行为、审计系统构造和弱点、评估重要系统和数 据文件的完整性、识别已知攻击的行为模式、异常行为模式的 统计分析、操作系统的审计跟踪管理和识别用户违反安全策略 的行为。 作为防火墙之后的第 2 道安全防线,入侵检测已成为 网络安全领域重要而迫切的课题。
3 入侵检测系统分类
入侵检测系统可以从不同的角度进行分类,主要有以下几 种分类方法: 3.1 基于数据源的分类
此种分类方法可以将入侵检测系统分为基于主机的入侵 检测系统、基于网络的入侵检测系统、分布式入侵检测系统和 基于应用的入侵检测系统。 3.1.1 基于主机的入侵检测系统
基 于 主 机 的 IDS(H IDS):通 过 监 视 和 分 析 主 机 的 审 计 记 录检测入侵。优点是可精确判断入侵事件,并及时进行反应。缺 点是会占用宝贵的主机资源。 另外,能否及时采集到审计也是 这种系统的弱点之一,因为入侵者会将主机审计子系统作为攻 击目标以避开 IDS。 典 型的 系 统 主 要 有 :ComputerW atch,Discovery,Haystack,IDES,ISOA,M IDAS 以 及 Los A lamos 国 家 实 验室开发的异常检测系统 W&S。
4.4 其它新技术 这几年随着网络及其安全技术的飞速发展,一些新的入侵
检测技术相继出现,主要包括:软计算方法、移动代理、计算机 免疫学、数据挖掘、协议分析加命令解析技术等。
上述攻击检测方法和技术单独使用并不能保证准确地检 测出变化无穷的入侵行为。 在网络安全防护中应该充分权衡各 种方法的利弊,综合运用这些方法,才能更为有效地检测出入 侵者的非法行为。
作 者 简 介 :姚 丽 娟 (1983-),女 ,湖 北 武 汉 人 ,长 江 水 利 委 员 会 网 络 与 信 息 中 心 助 理 工 程 师 ,研 究 方 向 为 网 络 通 讯 。
第6期
姚丽娟:网络入侵检测技术综述
·161·
据主机系统审计记录数据,生成有关系统的若干轮廓,并监测 轮廓的变化差异发现系统的入侵行为,如图 1 所示。
第9卷%第6期 2010年 6 月
软件导刊 Software Guide
Vol.9 No.6 Jun. 2010
网络入侵检测技术综述
姚丽娟
(长江水利委员会 网络与信息中心,湖北 武汉 430010)
摘 要:随着网络技术飞速发展和网络规模的不断扩大,网络安全已经成为全球性的重要问题之一。 概述了网络入
息 和 通 信 安 全 学 术 会 议 论 文 集 [C].北 京 :科 学 出 版 社 ,2005. [3] 唐正军.网络入侵 检 测系 统 的设 计与 实 现 [M].北 京 :电子 工 业出
3.1.2 基于网络的入侵检测系统 基 于 网 络 的 IDS(N IDS):通 过 在 共 享 网 段 上 对 通 信 数 据
进行侦听,分析可疑现象。这类系统不需要主机通过严格审计, 主机资源消耗少,可提供对网络通用的保护而无需顾及异构主 机的不同架构。 但它只能监视经过本网段的活动,且精确度较 差,在交换网络环境下难于配置,防欺骗能力也较差。典型的系 统有: 为 LosA lamos 国家实验室的集成计算机网络设计 的 网 络异常检测和入侵检测报告 NAD IR (是一个自动专家系统); 加利福尼亚大学的 NSM 系统(它通过广播 LAN 上的信息流量 来检测入侵行为);分布式入侵检测系统 D IDS 等。 3.1.3 基于内核入侵检测系统
5 结束语
入侵检测作为一种积极主动的安全防护技术,提供了对内 部攻击、外部攻击和误操作的实时保护,在网络系统受到危害 之前拦截和响应入侵。 入侵检测技术的发展将对网络应用具有 重要意义并产生深远影响,研究和开发自主知识产权的 IDS 系 统将成为我国信息安全领域的重要课题。
参考文献:
[1] 戴英侠.系统安全与人侵检测[M].北京:清华大学出版社,2002. [2] 刘美兰,姚京松.入侵检测预警系统及其性能设计.第一届中国信
两种检测技术的方法及所得出的结论有非常大的差异,基 于特征的检测技术的核心是维护一个知识库, 对于已知的攻 击,它可以详细、准确地报告出攻击类型。 但是,对未知攻击却 效果有限,而且知识库必须不断更新,基于异常的检测技术则
·162·
软件导刊
2010 年
无法准确判别出攻击的手法,但它可以判别更广泛、甚至未发 觉的攻击,如果条件允许,两者结合的检测会达到更好的效果。
4 入侵检测方法和技术
目前,在入侵检测系统中有多种检测入侵的方法,常见的 主要有以下几种: 4.1 统计方法
统计方法是产品化的入侵检测系统中常用的方法,它通常 用于异常检测。 基于特征选择的异常检测方法,系指从一组度 量中选择能够检测出入侵的度量、构成子集,从而预测或分类 入侵行为。 统计方法是一种较成熟的入侵检测方法,它使得入 侵检测系统能够学习主体的日常行为,将那些与正常活动之间 存在较大统计偏差的活动标识为异常活动。 4.2 专家系统
1 入侵检测的概念、 原理和模型
“入侵”是个广义的概念,不仅包括发起攻击的人取得超出 合法范围的系统控制权,也包括收集漏洞信息,造成拒绝服务 访问(DoS)等对计算机造成危害的行为 。 早在上世纪 80 年代 初期,Anderson 将入侵定义为:未经授权蓄意尝试访问信息、篡 改信息、使系统不可靠或不能使用。 美国国际计算机安全协会 对入侵检测的定义是:入侵检测是通过从计算机网络或计算机
图 1 通用入侵检测模型
为了解决 IDS 内部、IDS 之间以及与其它安全系统间的互 操作性,UC Davis 制定的 CIDF (common intrusiondetection fra- mework)模型将 IDS 分为 4 个组 件 :事 件 产生 器 、事 件 分 析 器 、 响应单元和事件数据库,如图 2 所示。 CIDF 模型具有很强的扩 展性,目前已经得到广泛认同。
用专家系统对入侵进行检测, 经常是针对有特征的入侵 行为。 所谓的规则,即是知识,专家系统的建立依赖于知识库 的完备性, 知识库的完备性又取决于审计记录的完备性与实 时性。 4.3 基于模型的入侵检测方法
入侵者在攻击一个系统时往往采用一定的行为序列,如猜 测口令的行为序列,这种行为序列构成了具有一定行为特征的 模型 ,根 据 这 种 模 型 所代 表 的 攻 击 意 图的 行 为 特 征 ,可 以 实 时 地检测出恶意的攻击企图。 与专家系统通常放弃处理那些不确 定的中间结论的缺点相比,这一方法的优点在于它基于完善的 不确定性推理数学理论。 基于模型的入侵检测方法可以仅监测 一些主要的审计事件,当这些事件发生后,再开始记录详细的 审计,从而减少审计事件处理负荷。