唐知毅.pptVIP

基于防火墙日志分析的入侵检测方法研究 目录 研究背景及意义 国内外研究现状 研究的主要内容 计划安排 研究背景 计算机网络和信息技术的快速发展,使得人们从网上获得各种所需要的信息变得越来越方便,Intrnet是全球信息共享的最重要的基础设施之一, 由于它是开放的,并且面向所有用户, 除了要保证用户使用的方便与快捷,还要保证数据的安全性,可靠性,完整性及可用性。根据美国计算机紧急事件响应小组协调中心(CERT/CC)的统计, 1998年发生的网络安全事件为3734次, 而2003年这一数字增加为127529次,五年增加了约3倍。根据国家互联网应急中心的必威体育精装版统计,近一年来平均每周新增信息安全漏洞约10多个。网络入侵的直接危害就是破坏了系统的完整性 , 机密性和可用性。据安全软件制造商赛门铁克 公布的一项调查结果称, 2010年网络攻击导致企业商业秘密及用户信息被盗,造成每家企业平均损失达20万美元。所以信息的安全与必威体育官网网址成为信息社会一个至关重要的研究课题。 理论上,所有的网络入侵行为都能被检测到,因 为入侵行为与正常行为导致的网络流量不同。然而由于网络流量的数据过于庞大且不停的在变化, 很难及时有效的发现攻击行为。国内外学术界在这方面进行了大量研究,包括加密技术,缺 陷代码检测,访问控制等。也有很多的网络安全相 关产品,比如防火墙, V PN ,以及各种防病毒软件 。随着网络技术的发展,网络上存在的漏洞也呈爆炸式增长,必须建立一种能动态 的探测和发现漏洞,并能主动检测入侵行为及采取相应措施 的安全机制。这方面的研究包括缺 陷代码检测, 漏洞检测和评估,异常检测,入侵防御,报警与响应 等领域。 研究背景 入侵检测被认为是防火墙之后的第二道安全 闸门,在不影响网络性能的前提下对网络进行监视 , 及时发现各种来自内部和外部攻击,从而保护数据的安全和完整。然而,目前大多数的安全系统所采用的方式是利用已经获得的专家知识和经验 来检测入侵行为,但是这些知识和经验己经无法适应迅猛发展的网络态势,面对新的攻击,往往显得无所适从,准确性欠缺,实时性不符合要求,根本无法应对庞大且更新快速的数据流量下的攻击行为。如何改变这一尴尬境况,能够做到快速, 准确,及时的从海量数据中分析出攻击行为, 己经成为安全领域急需解决的难题。 针对这一难题,数据挖掘逐步走进人们视线,它逐 步替代原有安全系统工具和技术,正被日益广泛运用到网络安全中。数据挖掘能够从海量的网 络数据中筛选出可供人们使用的有效信息资源。再将这些资源做数据处理, 转化成相应的规律、 规则和模式，为技术人员做分析提供数据来源。它通常运用关联分析、聚类分析、频繁模式挖掘等算法分析出用户的行为特征, 形成入侵检测系统检测引擎,识别并警报用户的入侵行为。目前 , 数据挖掘技术在入侵检测中的应用总体上还只停留在理论研究阶段,离商业化运行还有一段距离。 研究背景 防火墙作为网络安全的重要手段已经是一种成熟的技术，但是对于防火墙系统记录的日志文件的分析大多还集中在流量统计阶段。实际上，防火墙的日志文件中记录了大量的有用信息。特别是包过滤型防火墙系统，由于记录了流过的IP包的基本信息，是审计分析的依据。通过日志文件的分析，可以检测出其中隐藏的入侵行为。因此可以将安全审计的技术运用到防火墙日志信息分析中。 入侵检测国内外研究现状 入侵检测（Intrusion Detection）是用于检测任何损害或企图损害系统的必威体育官网网址性、完整性或可用性行为的一种网络完全技术。它以对网络系统的实时监测和快速响应的特性，逐渐发展成为保障网络系统安全的关键部件。它通过监视受保护系统的状态和活动，采用误用检测或者异常检测的方式，发现非授权的或恶意的系统及网络行为，为防范入侵行为提供有效的手段。 基于数据挖掘入侵检测国内外研究现状 入侵检测技术传统上分为两大类型：异常入侵检测和误用入侵检测。 异常入侵检测指建立系统的正常模式轮廓，若实时获得的系统或用户的轮廓值与正常值得差异超出指定的阈值，就进行入侵报警。异常入侵检测方法的优点是不依赖于攻击特征，立足于受检测的目标发现入侵行为。但是，如何对检测建立异常指标，如何定义正常模式轮廓，降低误报率，都是难以解决的课题。 误用入侵检测指根据已知的攻击特征检测入侵，可以直接检测出入侵行为。误用检测方法的有点是误报率低，可以发现已知的攻击行为。但是，这种方法检测的效果取决于检测知识库的完备性。为此，特征库必须及时更新。此外，这种方法无法发现未知的入侵行为。 异常检测 异常检测的前提是异常行为包括入侵行为。理想情况下，异常行为集合等同于入侵行为集合，此时，如果 IDS 能够检测所有的异常行为，就表明能够检测所有的入侵行为。但是在现实中，入侵行为集合通常不等同于异常行为集合。事实上，行为有以下 4