返回
人工智能在入侵检测技术中的应用

人工智能在入侵检测技术中的应用

ID:9888104

大小:448.50 KB

页数:9页

时间:2018-05-13

人工智能在入侵检测技术中的应用_第1页
人工智能在入侵检测技术中的应用_第2页
人工智能在入侵检测技术中的应用_第3页
人工智能在入侵检测技术中的应用_第4页
人工智能在入侵检测技术中的应用_第5页
资源描述:

《人工智能在入侵检测技术中的应用》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、特约稿人工智能在入侵检测技术中的应用耿国华,康华(西北大学计算机科学系,陕西西安710069)摘要:针对由于网络服务不断扩大造成的入侵行为日益复杂多样的情况,对人工智能技术在入侵检测中的运用进行了研究,主要讨论了专家系统和神经网络技术在入侵监测的规则管理和入侵行为分类方面的应用,同时给出了入侵检测实践。结果证明,人工智能技术确实能够提高入侵监测系统发现入侵的实时性和检测入侵的正确性。关键词:入侵检测;人工智能;专家系统;神经网;误用检测;异常检测中图分类号:TP391.4文献标识码:A文章编号:1000-2

2、74X(2003)0010-091入侵检测及其通用模型入侵检测技术以探测入侵为中心,目的是为系统提供实时发现入侵行为并及时采取相应防护手段。它具体包括数据收集、行为分类、报告错误和响应反击等方面,其中用到的数据可以由专门的网络管理系统(NMS)或网络和系统的日志文件中得到,而数据推导和数据分类是其中的核心。数据分类是定义攻击和识别攻击的过程,具体实现这个过程的技术多种多样,如模式匹配、统计分析、完整性分析等方法,其本质大多是比较正常状态和考察状态之间的差异,以此来判断系统是否受到了入侵。首先给出入侵检测通用

3、模型[1]。这个通用模型广泛应用于IDS(入侵检测系统):它有3个基本的协作组件——事件产生器(eventgenerator)、活动记录(activityprofile)和规则集(ruleset)。其工作关系见图1。事件产生器是用来产生有关系统活动的信息,利用这些信息来检测入侵行为。这些信息事件可以由网络监控服务来发出,比如可以从防火墙、NMS、日志文件,或由系统执行记录(audit9trails)中得到信息。规则集其实就是一个探测引擎(detectionengine),它利用各种规则来检查由事件产生器送来

4、数据的合法性,判断是否有入侵行为发生。具体可用概率统计模型、匹配规则等方法。活动记录是保存那些与被检测系统或网络密切相关的状态信息,其中的信息变量是由事件产生器送来的信息事件或是由规则集发出的动作来执行维护和更新的,规则集的有些动作还可以填加新的观察变量。事件产生器、规则集和活动记录是在整个系统中的有机结合,活动记录中变量的定义、规则集的判断方法以及事件产生器的及时信息送发一并决定了系统的探测能力。在此,我们关心的主要问题集中在规则集部分,也就是探测引擎中如何应用人工智能来判断入侵。2人工智能在入侵检测系统

5、中解决的问题人工智能是一种模拟人类思维来解决复杂问题的技术,它使得机器具有可进行类似于人类“思考”的行为。人工智能的优势就是可用来处理那些烦琐而复杂的工作,利用它的学习和推导方法可以提高解决问题的效率。这是个很大的技术领域,其一端是神经网络——将计算机系统设计成模拟人类神经系统的底层机构和功能,另一端是专家系统——将计算机模拟成类似于智囊团的高层认知结构。在入侵检测系统中有效地发现入侵行为是相当烦琐复杂的,专家系统在管理检测规则方面要比传统的判断语句更有效,利用神经网络来分类入侵行为方便准确,利用人工智能中

6、的神经网络技术、专家系统技术检测入侵行为具有应用特色。2.1专家系统的应用首先,给出基于规则的专家系统(rule-basedexpertsystem)在误用检测(misusedetection)中的应用分析。按探测技术可将ID(intrusiondetection)分成误用探测和异常探测两大类;误用探测通过把那些已知的攻击行为抽象成为模式或签名(patterns;signatures),如果发现符合这些模式的行为,就认为它是攻击,这类似于病毒防范软件——只能去发现已知的病毒;异常探测则利用,攻击行为往往和合

7、法行为在过程上有明显区别,如果先抽象归纳出合法行为的基本特征,就可以认为那些与合法行为抽象特征有其他的行为是攻击行为[2]。误用检测见图2。由于误用检测是基于对已有规则的检测,因此9适合使用专家系统,专家系统将攻击行为定义成相应的规则集合,如果发现用户行为符合某种攻击规则集合,则被看成这种规则集合对应的是入侵行为。2.1.1专家系统的优点采用专家系统时,由于新规则的加入是完全独立的,不需要改变已存在的规则,同时与规则对应的推理行为也是集中定义的,非常有利于规则和推理行为的管理,最大化地方便了对系统的进化。通

8、常使用的从证据到结论的专家系统属于前推型(forward-chaining)系统,这种形式很适合于事件流为主的系统,是由数据驱动的。一旦事实(facts)满足,就会产生一个新的事实(facts)或是新的结论,这种链条式的推导,模拟了人的思维推理,使分析过程清晰完整,可以观测推导链中每个“节点”,得到它的来龙去脉。因此,前推形式往往用于数据监控、控制领域,IDS便是它的典型应用。2.1.2专家系统的建立和描述[3]

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。