您的位置:360文档中心› 网络入侵检测方法研究

网络入侵检测方法研究

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

图1 入侵检测系统的结构 数据提取模块的作用在于为系统提供数据,数据的来源可以是主机 上的日志和变动信息,也可以是网络上的数据信息,甚至是流量变化 等,这些都可以作为数据源。数据提取模块在获得数据之后,需要对数 据进行简单的处理,如简单的过滤、数据格式的标准化等,然后将经过 处理的数据提交给数据分析模块。 数据分析模块的作用在于对数据进行深入地分析,发现攻击并根据 分析的结果产生事件,传递给结果处理模块. 数据分析的方式多种多 样,可以简单到对某种行为的计数(如一定时间内某个特定用户登录失败 的次数,或者某种特定类型报文的出现次数) ,也可以是一个复杂的专家 系统。该模块是一个入侵检测系统的核心,在许多文献和研究报告中, 所说的入侵检测方法就是指的数据分析方法。数据分析方法也是本文研
应 用 科学
从 LLE Y
SIL IC O N
二 蒙 {
网络 入 侵检 测 方 法研 究
周 镶 (上海财经大学信息管理与工程学院 上海 200433 )
\
[摘 要〕 介绍网络入侵的过程与处理流程,入侵检测的分类,入侵检测目 标与评估参数,对于入侵检测的手段与方法作了回顾,总结入侵检测的评估参数。最 后提出了以后入侵检测技术的发展趋势
另外,ID 对检测到的入侵行为可采取不同的反应 式: 采取某种 s
入侵检测作为一种积极主动地安全防护技术, 提供了对内部攻 击、外部攻击和误操作的实时保护,在代其他安全系统如: 访问 控制、 加密、 防火墙、病毒的 检测与杀除等的功能, 但可以 将它与其他安全系 统等增强协作, 以增加其自身的动态灵活反应及免疫能力。尽管在技术 上仍有许多未克服的问题, 但正如攻击技术不断发展一样, 入侵检测 技术也会不断更新、成熟。
所决定的。
国、结束语
网 络的ID s主要目 用来保护某一网 所基于的 的是 段, 数据源是从网 络上采
集的数据包; 而基于主机的ID 一般用来监视主机信息,其数据源通常包 s 括操作系统审计记录、系统日 志、基于应用的审计信息、基于目 标的对 象信息等。图2从不同角度对入侵检测系统进行分类:
误用检测首先使用形式化方法来描述入 侵特征(sig a u e, nt r 或称为
行动(例如关闭服务) 的r s为积极响应; 若只是产生一些等报或者通知, o 则称之为消极响应。审计信息分析通常在两种模式下工作,不间断持续 运行的检测过程,称为实时的,术语 “ 实时”只是表明ID 对入侵的反应 s 足够快: 反之为事后处理. ID 在结构特征上的发展趋势和计算机系统发 S 展的趋势相一致: 传统的工 是集中式的,意味着它们或者作为一个单一 S D 的模块运行,或者是一系列交互的实体,而所有实体都继承了总的ID 的 S 功能; 而分布式ID 由不同实体组成,分布在系统中的每一个实体都执行 s 自己的任务,各实体之间通过消息或其他机制进行交互. 这里 “ 分布” 的概念指功能上的分布,而不是物理上的分布。
入侵模式,pa t m 并构建入侵特征库,通过模式匹配方式来检测已知 t e s ) 类型攻击及其变种行为。异常检测则是使用形式化方法来描述网络和用 户的正常行为模式,构建网络和用户正常活动简档(Pr f i l e,或档案, o 轮廓) ,检测过程中捕获那些与正常活动简档不相符的异常行为,并进一
步 异常 为 合中 分出 侵 在 行 集 区 入 行为
[关键词1入侵检测 检测流程 评估参数 中图分类号: TP3 文献标识码: B 文章编号; 1671一7597 (2008) 0420082一 01
一、入任检洲的流程与结构
计算机网络安全技术涉及到许多技术领域,主要包括密码技术、防 火墙技术、安全协议、身份认证技术、访问控制技术和安全监控技术等. 事实上,对于网 络安全来讲, 任何技术都不是独立存在的,而是相辅相 成,互为补充和利用的。我们从安全防范技术的 机理上分别加以 介绍。 在图1中给出了一个通用的入侵检测系统结构。
究的重点。
结果处理模块的作用在于告警与反应, 这实际上与PZD 模型的R R 有 所重叠。从非技术角度来说,结果处理模块的告苦是通知管理员,而R的 作用在于产生一个正式的告警,作为单位个体正式的安全事件进行处 理; 从技术角度来说,两者的功能很难划分,也可以将结果处理的反应
功能归结为R的一部分。
二、入怪植洲的分类 根据入侵检测系统监控对象及数据源的不同可分为: 基于网络 (N ork一based 的入侵检测系统和基于主 etw ) 机(H 一based源自文库 的入侵检测 ost 系统; 根据检测方法的不同可分为两大类: 误用检测和异常检测。基于

测 统 该 时有 高 正 检 率 较 的 报 。而 际 二 系应 同具 较 的确 出和 低 误 率 然 实 上
者是相矛盾的,A l sson详细说明了其原因所在。可以从检出率和误报 e x 率的角度分析误用和异常检测. 误用检测由于采用准确或模糊匹配方式 而具有较低的误报率,但其弱点是不能检测那些未包含在入侵特征模式 库中的未知入侵类型; 而异常检测的最大优势在于具有捕捉未知类型攻 击的能力,但其误报率很高,这是由正常活动简档的准确性及综合程度
图2 入侵检测分类 三、入. 检洲目 标与评估参盈 入侵检测的目标是确认那些由系统内部人员和外部入侵者未经授 权使用、滥用和误用计算机系统的行为。它所基于的基本思想是: 入侵 者的行为有别于正常使用者,并且可以检测得到针对系统的非授权行 为。评估入侵检测系统的两个重要参数是正确检出率和误报率。其中, 正确检出是指入侵检测系统捕获到的攻击行为,正确检出率等于正确捕 捉到的攻击数目和全部攻击数目 之比; 误报指入侵检测系统将正常行为 误认为攻击行为,误报率等于ID 的误报数目 S 所输出的全部警报数 S 与ID 目(真正攻击数目与被误认为攻击的正常活动之和) 之比. 理想的入侵检
相关文档
最新文档