网络安全入侵检测技术分析

网络安全入侵检测技术分析

ID:21385865

大小:55.00 KB

页数:7页

时间:2018-10-21

网络安全入侵检测技术分析_第1页
网络安全入侵检测技术分析_第2页
网络安全入侵检测技术分析_第3页
网络安全入侵检测技术分析_第4页
网络安全入侵检测技术分析_第5页
资源描述:

《网络安全入侵检测技术分析》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、网络安全入侵检测技术分析:本文结合笔者多年工作经验,对目前国内常用的3种X络安全入侵检测技术作了深入地比较与分析,谨供大家作参考之用。  关键词:X络安全入侵检测对比分析    一、概述  入侵检测通过系统审计数据,包括收集操作系统、系统程序、应用程序、X络包等信息,发现系统中违背安全策略或危及系统安全的行为,对企图入侵、正在进行入侵或己发生的入侵进行识别,并采取相应保护措施的一种技术。具有入侵检测功能的系统称为入侵检测系统。  入侵检测技术是入侵检测系统的核心,它直接关系到攻击的检测效果、效率、误报率等性能。入侵检测技术主要分为异常检测技术、误用检测技术

2、和完整性检测技术三大类。  二、异常检侧  基于异常的入侵检测技术主要这样的思想:任何人的正常行为都是有一定的规律的,并且可以通过分析这些行为产生的日志信息总结出这些规律,而入侵和误用行为则通常和正常的行为存在一定的差异,通过当前活动与系统历史正常活动之间的差异就可以检测出入侵。  异常检测又称为基于行为的检测,它根据使用者的行为或资源使用状况是否偏离正常的情况来判断入侵是否发生。在异常检测中,观察到的不是已知的入侵行为,而是通信过程中的异常现象。这种不正常行为可以分为外部闯入、内部渗透和不恰当使用资源。  异常检测基于已掌握了的被保护对象的正常工作模式,

3、并假定正常工作模式相对稳定。一般方法是建立一个对应“正常活动”的系统或用户的正常轮廓,检测入侵活动时,异常检测程序产生当前的活动轮廓并同正常轮廓比较,当活动轮廓与正常轮廓发生显著偏离时即认为是入侵。异常检测与系统相对无关,通用性较强。它最大的优点是有可能检测出以前从未出现过的攻击方法。但由于不可能对整个系统内的所有用户行为进行全面的描述,而且每个用户的行为是经常改变的,所以它的主要缺陷在于误检率很高,而且配置和管理起来比较复杂,尤其在用户多,或工作方式经常改变的环境中。另外,由于行为模式的统计数据不断更新,入侵者如果知道某系统处在检测器的监视之下,他们可以

4、通过恶意训练的方式,促使检测系统缓慢地更改统计数据,以至于最初认为是异常的行为,经一段时间训练后也被认为是正常的,这是目前异常检测所面临的一大困难。  异常检测的关键问题在于正常使用模式的建立以及如何利用该模式对当前的系统/用户行为进行比较,从而判断出与正常模式的偏离程度。基于异常的检测与系统相对无关,通用性较强,不受已知知识的限制,因而它甚至有可能检测出未知的攻击行为。然而,异常检测技术存在以下几个主要问题:  ⑴如何有效地表示用户的正常行为模式?即选择哪些数据才能有效地反映用户的行为,并且这些数据容易获取和处理。由于系统、用户的行为是不断改变的,因而正

5、常模式具有时效性,需要不断修正和更新。当用户行为突然发生改变时,容易引起误报。  ⑵阐值的确定比较困难。当阐值设定较高时,容易引起漏报,而闽值设定较低时,容易引起误报。由于不可能对系统内的所有用户行为进行全面的描述,在用户数目众多、用户行为经常动态改变时,系统误报率较高。  ⑶异常检测方法大多训练时间较长,在训练期,系统不能正常工作;如果入侵者知道系统处于训练期,可以采用逐步更新用户模型的方式,使得系统将入侵行为也当作正常行为来建立正常模式。由于异常检测缺乏精确的判定标准,误检率高,使得基于异常的入侵检测系统大多仍停留于研究领域。  下面介绍一种常用的异常

6、检测方法:基于概率统计模型的异常检测方法概率统计方法是最早也是使用得最多的一种异常检测方法,这种入侵检测方法是基于对用户历史行为建模以及在早期的证据或模型的基础上,审计系统实时地检测用户对系统的使用情况。系统根据每个用户以前的历史行为,生成每个用户的历史行为记录集,当用户改变他们的行为习惯时,这种异常就会被检测出来。  IDES、NIDES、Haystaek、EMERLD等系统都采用了基于统计的异常检测手段,该种方法维护方便,不需对规则库不断地更新和维护;但是,该种检测方法存在以下缺陷:  ①由于大多数统计分析系统是以批处理方式对审计记录进行分析,因而不能

7、提供对入侵行为的实时检测和自动响应功能,这是因为数据处理过程和模式库的维护都需要大量的存储资源和计算资源,因此检测系统总是滞后于审计记录的产生;  ②概率统计的另一个问题在于所能表达的事件范围,统计分析的特性导致了它不能反映事件在时间顺序上的前后相关性,因此事件发生的顺序通常不作为分析引擎所考察的系统属性,然而许多入侵行为的系统异常都依赖于事件的发生顺序;门限值若选择不当,将会导致系统出现大量的误报。  三、误用检侧  误用检测首先对标识特定入侵的行为模式进行编码,建立入侵模式库,然后对检测过程中得到的审计事件数据进行过滤,检查是否包含入侵模式来检测攻击。

8、误用检测又称为基于知识的检测或特征检测。它通过分析入侵过程的特征、

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。