采用多元数据分析技术的JUMP网络入侵检测系统.pdfVIP

维普资讯 市 场 ．综 述 采用多元数据分析技术的 JUMP网络入侵检测系统 吴 毅 入侵检测系统中最为核心的问题，即采用的数据分析技 式可以利用一个过程或一个输出来表示。这种检测方法只需 术，包括对原始数据的同步、整理、组织、分类以及各种类 收集相关的数据集合就能进行判断 ，能减少系统 占用，并且 型的细致分析 ．提取其中所包含的系统活动特征或模式．用 技术已相当成熟．但检测准确率和效率需要提高 ．同时，该 于对正常和异常行为的判断。采用何种数据分析技术，将直 技术需要不断进行升级以对付不断出现的攻击手法．并且不 接决定系统的检测能力和效果。本文将向读者介绍由西安交 大捷普网络科技有限公司 自主研发的JUMP网络入侵检测系 统所采用的数据分析技术。 一 ， 数据分析技术概览 数据分析技术主要可以分为两大类，误用检测 (msuse detection)和异常检测(anomalydetection)。误用检测有哪些信誉好的足球投注网站审 计事件数据 ，查看其中是否存在预先定义的误用模式：异常 检测则提取正常模式审计数据的数学特征．检查事件数据中 是否存在与之相违背的异常模式。下面我们详细介绍这两类 数据分析技术。 1、误用检测 能检测未知攻击手段。 误用检测对系统事件的检查基于下面的一个问题：系统 协议分析技术是在传统模式匹配技术基础之上发展起来 的一种新的入侵检测技术 它充分利用了网络协议的高度有 行为是否代表着特定的攻击模式7首先对标识特定的入侵行为 序性．并结合了高速数据包捕捉、协议分析和命令解析，来 模式进行编码 ，建立误用模式库 ．然后对实际检测过程中得 到的事件数据进行过滤 ．检查是否包含入侵行为的标识。 快速检测某个攻击特征是否存在．这种技术正逐渐进入成熟 该类检测的缺陷在于只能检测已知的攻击模式．当出现 应用阶段。协议分析大大减少了计算量．即使在高负载的高 速网络上．也能逐个分析所有的数据包。采用协议分析技术 针对新漏洞的攻击手段或针对旧漏洞的新攻击方式时．需要 由人工或者其他机器学习系统得出新攻击的特征模式，添加 的IDS能够理解不同协议的原理．由此分析这些协议的流量， 到误用模式库中 才能使系统具备检测新的攻击手段能力。 来寻找可疑的或不正常行为。对每一种协议．分析不仅仅基 该类检测技术的典型代表是特征模式匹配技术、协议分 于协议标准．还基于协议的具体实现．因为很多协议的实现 析技术、状态协议分析技术等 偏离了协议标准。协议分析技术观察并验证所有的流量．当 特征模式匹配技术就是将收集到的信息与已知的网络入 流量不是期望值时．IDS就发出告警。协议分析具有寻找任何 侵和系统误用模式数据库进行比较 来发现违背安全策略的 偏离标准或期望值行为的能力．因此能够检测到已知和未知 攻击方法。 入侵行为。该过程可以很简单 也可以很复杂 一种进攻模 36 计算机安全 2004．11 维普资讯 综 述．市 场 状态协议分析技术就是在常规协议分析技术的基础上 突然用ADMINI账号登录。这样做的优点是可检测到未知的入 加入状态特性分析 即不仅仅检测单一的连接请求或响应． 侵和更为复杂的入侵．缺点是误报、漏报率高，且不适应用 而是将一个会话的所有流量作为一个整体来考虑。有些网络 户正常行为的突然改变。具体的统计分析方法如基于专家系 攻击行为仅靠检测