基于网络的入侵检测模型和方法研究
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
l
匐 似
基 于 网络 的 入 侵 检 测 模 型 和 方 法 研究
N et or bas nt us on det w k ed i r i ect on m odeI i and m et hod r ear es ch
wenku.baidu.com
胡莉萍
HU i ig L- n p
侵检测方法等内容进行相关研究 ,以此构建 以入侵检测为核心的动态的网络安全方案。
关键 词 : 入侵检测 ;模型 ;方法 ;框架 中图分类号 :T 3 3 0 P 9 .8 文献标 识码 :A 文章编号 :1 0 — 14 2 1 ) 7上 ) 0 5 — 3 9 0 ( 0 0 ( 一 0 5 0 0 3 2
( 江横店 影视职 业学院 ,东阳 3 2 1 ) 浙 2 18
摘
要 : 入侵检 测问题是 计算 机网络 安全中的核心 问题 ,相 对于传统的操作 系统加密 、防火墙等静态 的安全 防御技术 而言 ,入侵检测 作为 一种动态的的 防御 技术 ,能有 效弥补静态防御 工具的不
足 。本 文将 会入侵检 测的通用模型 、入侵检测 的层次化模型 、OIF D 通用入侵检测 框架以及入
Doi 3 6lJ is . 0 -0 4. 0 7 -) 1 :1 9 9 . n 1 9 0. / s 0 q 2 1 (I . 7 3 2.
0 引言
信 息 网络 如 今 已 成 为 全世 界 范 围 内的 一 个 信 息交 换和 资源 共享 的平 台 ,它有 着开发 和共 享这 个 特性 ,但 是这 个特 性也 成 了信 息 网络 的先天 安全 缺 陷 。另一 方面 ,网络上 的黑 客站 点很 多 ,黑 客们 的 攻击 手段 也很 高 明。而 我们 国家在 这个 方面 的法 律
訇 似
各 种 中间和 最终 事件 的数 据 。 4 )响应单 元 响 应 单 元 是 对 分 析 结 果 做 出诸 如 威 胁 报 警 、
检 测为 核心 的动 态的 网络安全 解决 方案 。
1 入侵检 测通 用模 型
入 侵 检 测技 术 是从 计 算机 网 络 或 系 统 若 干 关 键 点 中收 集分 析 相 关 信 息 ,通 过 分 析 来 得 出系 统
或 网络 是 否 已经 被 攻 击 或 已存 在 安全 隐 患 , 同时 要 作 出响 应 的一 种 动 态安 全 防御 技 术 。 它 有 实 时 性 、动 态 检 测 性 和 主 动 防 御 性 ,可 以 弥 补静 态 防
Denn n ig模 型 定 义 了 事 件 计 数 器 、 资 源 测 量 器 、 间 隔 定 时 器 这 3种 度 量 。 并 提 出 了 可 操 作 模 型 、 多 变 量 模 型 、 时 间 序 列 模 型 、 均 值 和 标
略 库 和 疑似 入 侵 的行 为 进 行 模 式 匹 配 来 检 测 出未
分 析 检 测 出已 知入 侵 , 同时 又 可 以通 过 对 安 全 策
( 在 目标 系统 上 活 动 的 实体 ) 指 、对 象 即 客 体 、 审 计 记录 ( 主体 对客 体实 施操 作 时系统 产 生 的数 据 ) 、
活 动 档 案 ( 体 相 对 于 客体 的 正 常 行 为 用 度 量 和 主 统 计 模 型来 表 示 ) 、异 常 记 录 和活 动 规 则 ( 条件 和 动 作 ) 。
知 入侵 种类 。
误 用 检 测和 异 常 检 测 相 结 合 就 构 成 了层 次 化
的模 型 ,这种 模 型通 过 对 入 侵 行 为 的逐 步 分 析 和 处 理 ,可 以将 大 多 数 的 攻 击 行 为 检 测 出 来 ,层 次 化 入 侵 检 测 模 型 分 为 入侵 行 为 检 测和 入 侵 结 果 检
收稿 日期:2 1 - 2 2 02 0— 3 作者简介:胡莉萍 (9 6 1 7 一),女 ,浙江永康人 ,讲 师,硕士 ,研究方 向为软件工程和项 目管理 。 第3 卷 4 第7 期 2 1 — ( ) 【 5 02 7上 5 】
l
测 两 部分 ,整 个 过 程 主 要 分 成 入侵 特 征提 取 和 入 侵 行 为 分 析 。 层 次 化 入 侵 检 测 模 型 如 图 2所 示 ,
2 层次化入侵检 测模 型
现 今 比较 常 见 和 成 熟 的 是 来 源 于误 用 检 测 和
异 常 检 测 的 层次 化 入 侵 检 测 模 型 。 误用 检 测 往 往 是针 对 非 安全 行 为 ,而异 常 检 测则 针对 安 全行 为 , 层 次 化 入侵 检 测模 型 则 既 可 以 通 过 对攻 击 行 为 的
据 进 行 比 较 ,如 果 不 相 同的 内 容 超过 了规 定 的范
围 就 可 得 出 是 有入 侵 了 。这 个模 型 成 了其 后 的许 多异 常检 测方 法的基 础 。该模 型 如图 1 示 。 所
入 侵 。信息 安全 问题 已不 容我 们忽视 。本 论文将 对
网络 安全 中的入 侵检 测 问题进 行研 究 ,提 出以入侵
法 规却 相对 比较滞 后。 因此很 多大 公司都 曾被 黑 客
准 差 模 型 和 马 尔 可 夫 过 程 模 型 这 5种 统 计 模 型 。
D n ig模型 会对 系统审 计数 据 进行统 计 分析 从 而 e nn
得 出单 个 用 户 或一 组 用户 的正 常 的 行 为 特 征 ,模 型 通过 将 这 些正 常 的行 为 特 征 与 系 统 中 的审 计 数
图 1 D n ig 侵 检 测 模 型 e nn 入
御 工 具 的缺 点 ,如 可 将 防 火墙 和 入 侵 检 测 系 统 结 合起 来使 用 来共 同抵 挡 网络 内外 的攻击 。
18 9 7年 Dooh . n ig提 出 了 名 为 I S rtyEDenn DE 的 入 侵 检 测 模 型 。 该 模 型 由六 个 部 分 组 成 :主体
匐 似
基 于 网络 的 入 侵 检 测 模 型 和 方 法 研究
N et or bas nt us on det w k ed i r i ect on m odeI i and m et hod r ear es ch
wenku.baidu.com
胡莉萍
HU i ig L- n p
侵检测方法等内容进行相关研究 ,以此构建 以入侵检测为核心的动态的网络安全方案。
关键 词 : 入侵检测 ;模型 ;方法 ;框架 中图分类号 :T 3 3 0 P 9 .8 文献标 识码 :A 文章编号 :1 0 — 14 2 1 ) 7上 ) 0 5 — 3 9 0 ( 0 0 ( 一 0 5 0 0 3 2
( 江横店 影视职 业学院 ,东阳 3 2 1 ) 浙 2 18
摘
要 : 入侵检 测问题是 计算 机网络 安全中的核心 问题 ,相 对于传统的操作 系统加密 、防火墙等静态 的安全 防御技术 而言 ,入侵检测 作为 一种动态的的 防御 技术 ,能有 效弥补静态防御 工具的不
足 。本 文将 会入侵检 测的通用模型 、入侵检测 的层次化模型 、OIF D 通用入侵检测 框架以及入
Doi 3 6lJ is . 0 -0 4. 0 7 -) 1 :1 9 9 . n 1 9 0. / s 0 q 2 1 (I . 7 3 2.
0 引言
信 息 网络 如 今 已 成 为 全世 界 范 围 内的 一 个 信 息交 换和 资源 共享 的平 台 ,它有 着开发 和共 享这 个 特性 ,但 是这 个特 性也 成 了信 息 网络 的先天 安全 缺 陷 。另一 方面 ,网络上 的黑 客站 点很 多 ,黑 客们 的 攻击 手段 也很 高 明。而 我们 国家在 这个 方面 的法 律
訇 似
各 种 中间和 最终 事件 的数 据 。 4 )响应单 元 响 应 单 元 是 对 分 析 结 果 做 出诸 如 威 胁 报 警 、
检 测为 核心 的动 态的 网络安全 解决 方案 。
1 入侵检 测通 用模 型
入 侵 检 测技 术 是从 计 算机 网 络 或 系 统 若 干 关 键 点 中收 集分 析 相 关 信 息 ,通 过 分 析 来 得 出系 统
或 网络 是 否 已经 被 攻 击 或 已存 在 安全 隐 患 , 同时 要 作 出响 应 的一 种 动 态安 全 防御 技 术 。 它 有 实 时 性 、动 态 检 测 性 和 主 动 防 御 性 ,可 以 弥 补静 态 防
Denn n ig模 型 定 义 了 事 件 计 数 器 、 资 源 测 量 器 、 间 隔 定 时 器 这 3种 度 量 。 并 提 出 了 可 操 作 模 型 、 多 变 量 模 型 、 时 间 序 列 模 型 、 均 值 和 标
略 库 和 疑似 入 侵 的行 为 进 行 模 式 匹 配 来 检 测 出未
分 析 检 测 出已 知入 侵 , 同时 又 可 以通 过 对 安 全 策
( 在 目标 系统 上 活 动 的 实体 ) 指 、对 象 即 客 体 、 审 计 记录 ( 主体 对客 体实 施操 作 时系统 产 生 的数 据 ) 、
活 动 档 案 ( 体 相 对 于 客体 的 正 常 行 为 用 度 量 和 主 统 计 模 型来 表 示 ) 、异 常 记 录 和活 动 规 则 ( 条件 和 动 作 ) 。
知 入侵 种类 。
误 用 检 测和 异 常 检 测 相 结 合 就 构 成 了层 次 化
的模 型 ,这种 模 型通 过 对 入 侵 行 为 的逐 步 分 析 和 处 理 ,可 以将 大 多 数 的 攻 击 行 为 检 测 出 来 ,层 次 化 入 侵 检 测 模 型 分 为 入侵 行 为 检 测和 入 侵 结 果 检
收稿 日期:2 1 - 2 2 02 0— 3 作者简介:胡莉萍 (9 6 1 7 一),女 ,浙江永康人 ,讲 师,硕士 ,研究方 向为软件工程和项 目管理 。 第3 卷 4 第7 期 2 1 — ( ) 【 5 02 7上 5 】
l
测 两 部分 ,整 个 过 程 主 要 分 成 入侵 特 征提 取 和 入 侵 行 为 分 析 。 层 次 化 入 侵 检 测 模 型 如 图 2所 示 ,
2 层次化入侵检 测模 型
现 今 比较 常 见 和 成 熟 的 是 来 源 于误 用 检 测 和
异 常 检 测 的 层次 化 入 侵 检 测 模 型 。 误用 检 测 往 往 是针 对 非 安全 行 为 ,而异 常 检 测则 针对 安 全行 为 , 层 次 化 入侵 检 测模 型 则 既 可 以 通 过 对攻 击 行 为 的
据 进 行 比 较 ,如 果 不 相 同的 内 容 超过 了规 定 的范
围 就 可 得 出 是 有入 侵 了 。这 个模 型 成 了其 后 的许 多异 常检 测方 法的基 础 。该模 型 如图 1 示 。 所
入 侵 。信息 安全 问题 已不 容我 们忽视 。本 论文将 对
网络 安全 中的入 侵检 测 问题进 行研 究 ,提 出以入侵
法 规却 相对 比较滞 后。 因此很 多大 公司都 曾被 黑 客
准 差 模 型 和 马 尔 可 夫 过 程 模 型 这 5种 统 计 模 型 。
D n ig模型 会对 系统审 计数 据 进行统 计 分析 从 而 e nn
得 出单 个 用 户 或一 组 用户 的正 常 的 行 为 特 征 ,模 型 通过 将 这 些正 常 的行 为 特 征 与 系 统 中 的审 计 数
图 1 D n ig 侵 检 测 模 型 e nn 入
御 工 具 的缺 点 ,如 可 将 防 火墙 和 入 侵 检 测 系 统 结 合起 来使 用 来共 同抵 挡 网络 内外 的攻击 。
18 9 7年 Dooh . n ig提 出 了 名 为 I S rtyEDenn DE 的 入 侵 检 测 模 型 。 该 模 型 由六 个 部 分 组 成 :主体