智能入侵检测技术在MIS系统中的研究与应用

智能入侵检测技术在MIS系统中的研究与应用

ID:19459133

大小:16.34 KB

页数:6页

时间:2018-10-02

智能入侵检测技术在MIS系统中的研究与应用_第1页
智能入侵检测技术在MIS系统中的研究与应用_第2页
智能入侵检测技术在MIS系统中的研究与应用_第3页
智能入侵检测技术在MIS系统中的研究与应用_第4页
智能入侵检测技术在MIS系统中的研究与应用_第5页
资源描述:

《智能入侵检测技术在MIS系统中的研究与应用》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、智能入侵检测技术在MIS系统中的研究与应用摘要本文阐述了智能入侵检测技术在管理信息系统中的重要性,提出了具体的入侵检测模型,描述了数据采集和处理、神经网络训练和检测。系统防止了内部人员的误操作和有意破坏,是智能入侵检测技术在MIS系统中的有效应用。关键词智能入侵检测;数据采集;神经网络0引言入侵检测(IntrusionDetection,ID)是指通过对行为、安全日志或审计数据或其它可以获得的信息进行操作,检测到对系统的闯入或闯入的企图。它通过对计算机系统或网络计算机系统中的若干关键点收集信息并对其进行分

2、析,从中发现系统或网络中是否有违反安全策略的行为和被攻击的迹象。  信息管理系统(MIS)在一个企业的正常运转中具有十分重要的作用,很多情况下,内部人员由于本身具有的特定权限,其相应的误操作和有意破坏,将会直接影响到服务器数据的完整性和安全性,给安全生产带来隐患。  现有的入侵检测系统多数采用概率统计、专家系统、神经网络等智能化方法来实现系统的检测机制。其中,神经网络方法可以利用大量实例通过训练的方法构造正常行为模型,能够有效预测未知的攻击,并且它有自适应、自学习、自组织、并行性等优点,在攻击类型上,则对

3、非授权获得超级用户权限和远程到本地的非授权访问的检测效果显著。  本文将着力使用改进的BP神经网络,通过有效的数据选取和学习,来着重解决MIS中的安全隐患问题。1入侵检测的分类  入侵检测就其数据源分类而言可以分为基于主机的入侵检测和基于网络的入侵检测。HIDS通过分析特定主机上的行为来检测入侵,其数据来源通常是系统和应用程序的审计日志或系统的行为数据。NIDS一般通过分析网络流量,网络数据包和协议来分析检测入侵,从大量的网络数据包中提取模式/特征,然后进行相应的分析。  就入侵检测技术而言则主要分为异常

4、检测和误用检测。异常检测技术根据异常检测器观察主体的活动,然后模拟出这些活动正常行为的轮廓,通过比较当前的轮廓和模拟正常轮廓来判断异常行为,可以检测出未知的入侵。误用检测技术通过已知的入侵建立误用模型,将用户当前的行为与这些入侵模型进行匹配,可以实现快速的检测。  基于主机的入侵检测可以从所监测的主机收集信息,从而以很细的粒度分析主机行为,能够精确的确定对操作系统执行恶意行为的进程和用户。该入侵检测技术一般用于保护关键应用服务器,考虑到大多数MIS系统采用的C/S结构和实际需要,本文主要研究基于主机的用户

5、数据库调用,同时结合异常和误用两种技术检测入侵。入侵检测模型介绍  任何一个入侵检测系统都必须基于合理的入侵检测模型。其中CIDF(CommonIntrusionDetectionFramework)模型(如图1)正逐渐成为IDS的公共标准。图1:CIDF通用入侵检测模型  本文在CIDF通用模型基础之上,提出一种企业入侵检测模型(如图2)。系统基于Windows平台,数据库采用SQLServer。IDS直接运行在服务器端,实时监测各个客户端的数据库调用。图2:企业应用系统入侵检测模型.1主要功能模块介绍

6、  模型主要由四个主要模块组成:  数据采集:主要由SQLServer跟踪日志给出,相当于事件产生器;  检测单元:主要由神经网络训练出一个相对稳定的正常模型,用于检测异常调用,相当于事件分析器;  特征数据库:主要利用误用检测的特点,实现快速检测各种已知的异常调用,并直接反馈倒报警单元,相当于事件数据库,其中特征数据库与被监控数据库分离存储;  报警单元:主要是杀掉异常调用的客户端进程,反馈给系统管理员并记录到自定义日志文件,相当于响应单元。.流程介绍  系统主要流程是:首先通过采集的样本数据经过训练后

7、形成检测单元,建立相应特征数据库并完成日志文件初始化工作;然后实时监测客户端调用,将数据直接和特征数据库进行匹配,如有匹配则送入报警单元,反之则送入检测单元;检测单元将数据作为输入向量与正常模型比较,如果泛化输出值大于期望值,则列为异常,直接送入误用数据库存储,并通知报警单元,反之继续监测各调用。  下面从数据采集和神经网络学习两方面来讨论系统具体实现的关键技术。关键技术实现.1数据采集入侵检测的关键是用户行为特征的提取。本文主要研究客户端对主机数据库的安全调用,所以考虑SQLServer跟踪各客户端的数

8、据库调用作为数据源,主要利用SQLServer的事件探察器,建立新的跟踪文件,针对TSQL、存储过程、安全审核、会话等事件,选取ObjectId,LoginName,CPU,Read,WriteClientProcessId,SPID七个数据列作为输入向量。分别表示客户端对数据库表、存储过程和视图的调用;客户数据库登陆名;CPU占用时间;对数据库的读写操作;客户端进程号和系统分配进程号。这七种数据在对数据库的调用过程中相对稳定

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。