入侵检测15075

《入侵检测15075》由会员上传分享，免费在线阅读，更多相关内容在学术论文-天天文库。

1、何为入侵检测系统?入侵检测（IntrusionDetection）是对入侵行为的检测。它通过收集和分析网络行为、安全日志、审计数据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测的分类（1）•按照数据来源：–基于主机：系统获取数据的依据是系统运行所在的主机，保护的目标也是系统运行所在的主机。–基于网络：系统获取的数据是网络传输的数据包，保护的是网络的运行。–混合型入侵检测的分类（2）按照分析方法（检测方法）–异常检测模型（Anoma

2、lyDetection):首先总结正常操作应该具有的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵。–误用检测模型（MisuseDetection)：收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。异常检测模型如果系统错误地将异常活动定义为入侵，称为误报(falsepositive)；如果系统未能检测出真正的入侵行为则称为漏报(falsenegative)。特点：异常检测系统的效率取决于用户轮廓的完备性和监控的频率。因为不需要

3、对每种入侵行为进行定义，因此能有效检测未知的入侵。同时系统能针对用户行为的改变进行自我调整和优化，但随着检测模型的逐步精确，异常检测会消耗更多的系统资源。误用检测模型基于误用检测方法:需要攻击样本，通过描述每一种攻击的特殊模式来检测。此方法的查准率很高，并且可提供详细的攻击类型和说明，是目前入侵检测商业产品中使用的主要方法。该方法也有一定的弱点，由于基于特征的入侵检测系统是依靠人为的预先设定报警规则来实现，所以在面对不断变化的网络攻击时有其本身固有的缺陷，比如，利用这种方法时需要维护一个庞大的攻击模式库、只能

4、检测已知的攻击等。另一方面，攻击者可以通过修改自己的攻击特征模式来隐藏自己的行为。基于流量异常的检测方法有很多，较常用的有基于域值的检测方法，基于统计的检测方法，基于小波的检测方法，基于马尔可夫等随机过程模型的方法和一些基于机器学习、数据挖掘和神经网络等检测方法，但是这些方法主要存在以下问题。(1)报警意义不明确(2)可扩展性较差异常检测基于网络流量模型的异常检测方法：本方法采用无状态保留的方式，采用基本特征向量来描述网络流量实时的运行状态，并且利用基于攻击特点的流量特征组合使报警的意义更加明确。同时鉴于流量

5、基本特征数据的大小以及安全性等特点，也为各个管理域之间的异常检测信息的交流提供了一个较为通用的平台。异常检测流量特征分为两个层次：基本特征集合和组合特征集合。其中基本特征集合是实时从网络流量中提取的一些网络流量的基本特征数据，比如流量的大小、包长的信息、协议的信息、端口流量的信息、TCP标志位的信息等。这些基本特征比较详细地描述了网络流量的运行状态。组合特征集合是可以根据实际需要实时改变设置的。针对某种特定的攻击行为，将涉及该攻击行为的基本特征的子集作为描述该种攻击行为的特征。比如对于SYNFLOOD攻击，组

6、合特征就可以选取pkts/s、平均包长、SYN包的个数等信息。异常检测基于网络流量的异常检测方法通过组合不同的基础特征能比较灵活地检测不同的网络攻击，同时每种组合特征又标示着某种攻击，所以能使网络流量异常的报警更具实际意义。基于网络流量的异常检测方法提供了一个压缩比较高且能比较全面反映实际网络流量的基础特征，这为将来的异常检测提供了一个较好的数据平台，具有比较好的可扩展性，同时该数据集还能为不同域之间异常检测信息的交互提供一种可能。