决策树技术及其在攻击检测中的应用

决策树技术及其在攻击检测中的应用

ID:32596970

大小:2.29 MB

页数:40页

时间:2019-02-13

决策树技术及其在攻击检测中的应用_第1页
决策树技术及其在攻击检测中的应用_第2页
决策树技术及其在攻击检测中的应用_第3页
决策树技术及其在攻击检测中的应用_第4页
决策树技术及其在攻击检测中的应用_第5页
资源描述:

《决策树技术及其在攻击检测中的应用》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、1绪论硕士学位论文为了适应新的P2DR动态安全理论,攻击检测就应运而生了。攻击检测是对防火墙的一种补充。虽然防火墙及其强大的身份验证功能能够保护系统不受未经授权访问的侵扰,但是它们对专业黑客或者恶意的经授权用户却无能为力。同时,防火墙无法阻止内部人员所做的攻击,对信息流的控制缺乏灵活性;防火墙不能提供实时的攻击检测能力。攻击检测能够使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警和防护系统驱逐入侵攻击。在入侵攻击过程中,能减少入侵攻击所造成的损失。在被入侵攻击后,记录入侵的信息,作为知识添加到知识库中,可以更新和加强攻击检测系统的检测能力。攻击检测是

2、防火墙之后的第二道安全闸门,在不影响网络性能的情况下能够对网络进行监听,从而提供对外部、外部和误操作的实时检测,提高了网络的安全性。因此,攻击检钡lJ(AttackDetection)是对企图入侵、正在进行入侵和已经入侵的行为进行识别的过程。它从计算机系统或者网络中搜集信息,分析信息,检测任何企图破坏计算机资源的完整性,机密性和可用性的行为,查看是否有违反安全策略的行为和遭到攻击的迹象,并做出反应。攻击检测系统(AttackDetectionSystem)是一种通过从计算机网络或计算机系统中的若干关键点搜集信息并对其进行分析,从中发现网络或系统中是否有违反安

3、全策略的行为和遭到攻击迹象的安全技术。一个成功的攻击检测系统,不仅可使系统管理员时刻了解网络系统的任何变化,还能给网络安全策略的制定提供依据,而且它应该管理配置简单,使非专业人员也可以容易完成配置管理。攻击检测的模型还应根据网络模型。系统构造和安全需求的改变而改变。攻击检测系统在发现入侵行为后,应及时做出响应,包括切断网络连接,记录事件和报警等,保证网络完全稳定得运行。1.2攻击检测分类1.2.1根据检测类型划分(1)异常检澳lJ(AnomalyDetection);异常检测假设入侵者活动异常于正常的活动。IDS建立正常活动的“规范集’’,当主体的活动和正常

4、活动有差异时,人为可能是入侵行为。该方法可以很好地发现未知地攻击行为和变种攻击。但是异常检测地建立是很难的。由于不可能对整个系统内的所有用户行为进行全面描述,而且每个用户的行为是经常变化的,检测系统要有能力快速地自动适应变化。处理上是有很大困难地,所以异常检测地主要缺陷是误报率很高。另外由于行为模式的统计数据不断更新,促使检测系统缓慢地更改统计数据,以至于最初人为异常地行为,经过一段事件训练后也被认为是正常地。这是目前异常检测所面临地一个困难。(2)误用检澳lJ(MisuseDetection):根据己定义好的入侵模式,通过判断在计算机或网络系统中是否出现这

5、些入侵模式来完成攻击检测功能。大部分入侵行为都是利用2硕士学位论文决策树技术及其在攻击检测中的应用己知的系统存在的安全漏洞来发动攻击,因此通过分析入侵过程的特征、条件、顺序以及事件间的关系,可以具体描述入侵行为的迹象。误用检测有时也被称为特征分析(signatureAnalysis)或基于知识的检钡Y(knowledge—baseddetection)。这种方法依据明确的入侵模式与审计对象进行匹配比较来判断入侵行为,所以检测的准确度很高,并且因为检测结果与具体入侵行为有明确的一一对应关系,也为系统管理员做出相应措施提供了方便。误用检测的主要缺陷在于检测能力和

6、检测对象范围受已有知识的局限,无法检测未知的和新型的攻击类型。而且将具体的入侵手段抽象成模式也比较困难,其难点在于如何设计模式既要能够表达“入侵’’现象又不会将正常的活动包含进来。对于某些内部人员的入侵行为,如合法用户的泄漏,由于这些入侵行为并没有利用系统本身的安全漏洞,而是以合法的身份利用系统提供的功能来谋取非法的目的,因此误用检测也显得无能为力。常用的检测技术为:(1)专家系统:采用一系列的检测规则分析入侵的特征行为。规则即知识,是专家系统赖以判定入侵存在与否的依据。除了知识库的完备性外,专家系统还依靠条件库的完备性,这一点又取决于审计记录的完备性、实时

7、性和易用性。此外,匹配算法的快慢,也对专家系统的工作效率有很大的影响。(2)基于模型的攻击检测方法:入侵者在攻击一个系统时往往采用一定的行为序列,如猜测口令的行为序列。这种行为序列构成了具有一定行为特征的模型,根据这种模型所代表的攻击意图的行为特征,可以实时地检测出恶意的攻击企图。与专家系统通常放弃处理那些不确定的中间结论的缺点相比,这一方法的优点在于它基于完善的不确定性推理数学理论。基于模型的攻击检测方法可以仅监测一些主要的审计事件。当这些事件发生后:再开始记录详细的审计,从而减少审计事件处理负荷。这种检测方法的另外一个特点是可以检测组合攻击(coordi

8、nateattack)和多层攻击(multi.sta

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。