新型网络入侵检测系统的研究
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
库, 并将异常模式与正常模式进行对 比 分析 . 以分析出入侵模式 . 并将 在上式里 , 表示 加权因子 ,它的主要作用是 调整数 值特征以及 其添加进人侵模式库 这样 . 入侵检测引擎就 以入侵模式库 为依据对 字符 特征记 录对象 中的非相似度 所 发生 的事件 进行 比对 , 然后 检测 出系统中所发 生 的入 侵动作 在 2 - 3 聚类 中心算法 整 个系统 中从 各项行 为库的构建 到实 现入侵 检测 的整个过 程中 . 我 系统所应用 的方法是基于对象分离 的计算方法 , 在 对聚类中心进 们不难看 出. 入侵模式挖掘模块以及行为归类模块是 I D S中较为核心 行计算时 .把远离数据数据较密集 区域 的记 录对象单 独分离出来 , 然 的部分。 后对剩余对象求取聚类 中心 . 具体 的操作方法是 : 先设整个事 件记录 2 彳 亍 为 库 划分 模 块 分 析 的集合为 c 。 , 再求 出 i n ( 聚类 ) 中的聚类 中心 ( I n 。 ) , 把c 。 里和聚类 中心 2 . 1 利用 F H C A M算法实现对行为库的划分 非相似度较大的对象单独分离 出来 , 再将剩下 的对象进行聚类 中心 m . F H C A M 算法也 叫快速启发式聚类算法 .其是利用对字符特征属 求值。 性 以及数值特征属性通 过相异性 匹配 以及 几何距离 的分析方式来解 2 . 4 F H C A M 的算 法描述 决在处理混合型数据 中的相异性计算 问题 . 其通过启发式聚类算法有 F H C A M 的算法 属于一项 自适应启 发式的算法 , 以记 录集 E为输 效解决了传统 聚类算法所聚类 的数 目必须固定 的问题 , 而且其利 用对 入. 并输 出对对象 的划分结果 , 如果聚类记 录的数 目要 比聚类的总数 象分离以及样本搜索据 类中心 的选取方法 能够满足较 多数据流量迅 小很多 . 那 么就属 于异常行为 , 算法不需要预设 聚类 数 目 k , 而 只需 利 速聚类划分的需求 用启发式聚类在这一过程中就可 自动确定, 然后 再对事件记 录对象 和 2 . 2字符特征属性 以及数值特征属性 的处理 所有的聚类中心的非相似度进行检测 . 如果检测时出现所有 的非相 似 对于字符特征属性 和数值特征属性 的传统算法 , 其处理能够 都相 度最小值 比所有 的聚类 中间最小的非相似度要大的情况 , 可 以认 为在 对不强 . 而新型算法是把 字符特征属性 通过相异性 匹配 . 数字特征 属 聚类 中没有和它对应的聚类 .那么便 可以将 该对象作为聚类 中心 , 并 性通过几何距离方 法来度量 . 区别开来处理 。为 了对这一 问题进 行详 将其定 义为新 聚类 C , 将其 列入到 聚类 的集 合 C里 , 不 然就将 此对 细阐述 . 特使用 了如 下定义 : 象 聚合进 和它类 似的聚类 里 , 并对此 聚类中心进行调 整 , 然后对下 个
网络与信息的安全 , 因此, 保证信 息安全 , 增强相应的防范机制刻不容缓 , 而网络入侵检测 系统就是该机制 中较为重要 的一个部分。
【 关键词】 网络安全 ; 入侵检测 ; 研究
随着当前信息化技术 的不 断发展 . 影响系统及信息安全 的风险因 非相似度S ’ e 。 , e j )可 以表示 字符特征属性 ,我们可设 e 。 、 e 素也越来越多 . 再单单靠传统 的防火墙进行安全 防护显然 已经不能满 ( i ≠j ) 是E ( 记录集 ) 里 的任 意 2 个 事件记 录对象 , 其共 由 m个特 征属 足安全的要求 . 因此 , 人们不断追求和研发更新 型、 更完 善的安全防范 性构 成 , 与/ / ' h 表示 是 和 h _ k 、 h j k 相 对应 的数 量 ,那 么 e l  ̄ e j 间 的 技术 , 而 网络入侵检测 系统便 是在这样的形势下所 出现 的一种较 为有 效 的防范手段 ; ’ 可用 下式 表示:
2 0 1 3 年 第1 2 期
科技 酱向导
◇信息技 术◇
新型 网络入侵检测 系统的研究
史 海 荣
( 山东省农村信用社联合社
【Байду номын сангаас摘
山东
济南 2 5 0 0 0 0 )
要】 随着计算机技 术的发展与普及 , 它一定程度上促进 了我国各 项技术及 经济的发展 . 同时, 信息化发展所带来的风险也严重威胁 着
1 . I D S的整体结构
I D S 可 以分为行 为库划分模块 、 入侵模 式以及入侵规则挖 掘库构 建模块 、 联动管理 S e n l l l n l 和联动 A g e n t 模块 , I D S 的工作 原理是传感 器通过一定策略对 网络数据包进行截 获 .对 系统审计 日志进行调查 . 并将 结果提交给 I D S系统 . 从而完成初级数 据审查工作 . 然后 I DS的
酗 一 客 去 k n ) '
( | } l ) 一 、 上? ‘ ?
, 一 亨 ^
( 3 )
其 中 行 为库归类 模块 . 将所获取 到的初步检测结果 以及事件记 录 . 进行划 2 . 2 . 4定 义 四 分归类 . 从而构建成系统的异常行 为库以及正常行 为库 . 然后 . 模式挖 我们 可设 e i 、 e j ( i ≠j ) 是 E( 记录集 ) 里的任 意 2个事件 记 录对 象 , 掘模块再挖掘正常行为库中的序列模 式以及 关联模 式 . 并通过模式编 它们 的非相 似度 ( e i , e j ) , 可以表示为 : 码将 其添加 进正常模式库 , 与此 同时 , 异常行 为库 中也生 成异常模式
2 . 2 . 1定 义一
e.
S ( . , )一 . ‘ I S t 。 . )+ S ’ ( , , )