欢迎来到天天文库
浏览记录
ID:38231987
大小:159.79 KB
页数:5页
时间:2019-05-25
《基于专家系统的入侵检测系统的实现》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、http://www.elecfans.com电子发烧友http://bbs.elecfans.com电子技术论坛基于专家系统的入侵检测系统的实现11211林庆王飞吴旻廖定安王敏1(江苏大学计算机科学与通信工程学院,江苏镇江212013;2江苏大学人事处,江苏镇江212013)ImplementationofIntrusionDetectionSystemBasedOnExpertSystem11211QingLinFeiWangMinWuMinWangDinganLiao1(SchoolOfComputerScienceand
2、Tele-communicationEngineering,JiangSu2University,ZhenJiang,JiangSu212013China;PersonnelDivision,JiangSuUniversity,ZhenJiang,JiangSu212013China)摘要:该文讨论了普通型入侵检测系统的弱点,对人工智能的重要领域专家系统作了简要介绍,提出了一个基于专家系统的实时入侵检测系统的详细设计方案和实现方法,同时举例说明如何定义知识规则库中的规则集。关键词:人工智能;专家系统;入侵检测;误用入侵检测Abs
3、tract:InthispagethedisadvantagesofcommonIntrusionDetectionSystemarepresented.Andthedetailsofdesignsofaexpert-systembasedreal-timeIntrusionDetectionSystemwithbriefintroductionofexpertsysteminArtificialIntelligencearealsoexhibitedinthispaper.Meanwhileanexampleofdefinit
4、ionofrule-setinknowledge-ruledatabaseisincludedintheintroductionmentionedabove.Keyword:ArtificialIntelligence;ExpertSystem;IntrusionDetection;MisuseIntrusionDetection中图分类号:TP393.08文献标识码:A1引言随着全球互联网的迅速发展,安全问题正越来越受到重视,各种安全机制、策略和工具正被研究和应用,其中入侵检测系统已成为安全防范工具中的重要代表。入侵检测的方法
5、主要可以分为两类:异常检测(AbnormallyDetection)和误用入侵检测(MisuseDetection)。异常检测指的是根据非正常行为(系统或用户)和使用计算机资源非正常情况检测出入侵行为。误用入侵检测是指根据已知的入侵模式来检测入侵。虽然基于这两种方法的普通入侵检测系统已经取得了很好的效果,但现代的网络攻击手段越来越高明,普通入侵检测系统的检测能力正面临着越来越大的挑战。所以提高入侵检测的效率已成为入侵检测系统发展的最大问题。其中引进人工智能中专家系统的技术提升入侵检测的效率已经成为了很重要的一种方法。2普通入侵检
6、测系统的缺点普通入侵检测系统的基本原理就是设置一个安全管理数据库,其中存放的是检测规则,例如按一定的格式存放下列数据,供分析器直接按照这些安全规则进行分析检测:·Direction传输方向·Sic源IP地址·Dest目的IP地址·SPort源端口号·DPort目的端口号·Protype传输协议类型(TCP,UDP等)·Decision控制操作(允许或拒绝)安全管理员通过学习或根据经验配置安全管理数据库的内容,建立相应的数据包的检测规则,即监视哪些协议的哪些消息;监视哪些IP地址,哪些端口,哪些交互数据包的特征等。它的优点是配置起
7、来相对容易,对已知的且作了防范的问题检测能力较强。它是由管理者定期手工更改固定的数据包检测规则,来检测入侵信息。但这样做有几个缺点:一是对于检测复杂的黑客入侵,安全数据库量很大,不易于手工控制,经常存在很多漏洞;二是响应效率不高,处理方式太机械,只能处理一些相对比较固定简单的入侵信息,不能处理上下文相关的多个数据包的分析。3基于专家系统的入侵检测系统http://www.elecfans.com电子发烧友http://bbs.elecfans.com电子技术论坛[1]专家系统是人工智能的一个分支,在入侵检测中应用专家系统有助于提
8、高检测的自动化和智能化程度。本文的这个基于专家系统的入侵检测系统就是建立在前面所说过的入侵检测的第二种方法(误用入侵检测技术(MisuseDetection))上实现的。新的这个入侵检测系统使得入侵检测不再仅仅是单一的特征匹配,而是采用规则集和规则关联分析数据包
此文档下载收益归作者所有