基于入侵检测技术研究.docVIP

基于入侵检测技术研究 　　摘要：入侵检测是一种重要的主动安全防御技术。神经网络、遗传算法、免疫原理、机器学习、专家系统、数据挖掘、Boosting模糊分类等智能化方法是解决IDS局限性的有效方法。本文介绍并着重分析了2种基于智能方法的IDS，阐述了对入侵检测系统的测试评估方面的必威体育精装版发展情况；最后，展望了入侵检测系统发展的方向。 　　关键词：入侵检测系统 Boosting算法智能算法 　　中图分类号： TN915 文献标识码：A 　　 　　随着互联网技术的飞速发展,网络的结构变得越来越复杂,网络安全也变得日益重要和复杂，一个健全的网络信息系统安全方案应该包括安全效用检验、安全审计、安全技术、安全机构与程序和安全规则等内容。目前经常使用的安全技术主要有防火墙、防病毒软件、用户认证、加密、入侵检测技术等。多年来，人们在维护信息系统安全时常用的安全技术往往是防火墙。然而,随着各种网络安全事件的发生,使得人们清楚地认识到仅仅依靠防火墙来维护系统安全是远远不够。 　　入侵检测是一种主动的网络安全防御措施,它不仅可以通过监测网络实现对内部攻击、外部攻击和误操作的实时保护,有效地弥补防火墙的不足,而且还能结合其它网络安全产品,对网络安全进行全方位的保护,具有主动性和实时性的特点,是防火墙重要的和有益的补充。 　　1入侵检测的基本概念与模型 　　早在20世纪80年代初期，Anderson将入侵定义为：未经授权蓄意尝试访问信息、篡改信息、使系统不可靠或不能使用。Heady认为入侵是指试图破坏资源的完整性、机密性及可用性的行为集合J。我们认为，入侵的定义应与受害目标相关联，判断与目标相关的操作是对目标的操作超出了目标的安全策略范围。入侵检测通过收集操作系统、系统程序、应用程序、网络包等信息，发现系统中违背安全策略或危及系统安全的行为。具有入侵检测功能系统称为入侵检测系统，简称IDS。 　　最早的入侵检测模型是由Denning给出的，该模型主要根据主机系统审计记录数据，生成有关系统的若干轮廓，并监测轮廓的变化差异发现系统的入侵行为，如图1所示。为此，Chen等提出一种通用的入侵检测框架模型，简称CIDFJ。该模型认为入侵检测系统由事件产生器(eventgenerators)、事件分析器(eventanalyzers)、响应单元(responseunits)和事件数据库(eventdatabases)组成，如图2所示。 　　 　　CIDF将入侵检测系统需要分析的数据统称为事件，它可以是网络中的数据包，也可以是从系统日志等其它途径得到的信息。事件产生器是从整个计算环境中获得事件，并向系统的其它部分提供事件。事件数据库存放各种中间和最终数据，数据存放的形式既可以是复杂的数据库，也可以是简单的文本文件。CIDF模型具有很强的扩展性，目前已经得到广泛认同。 　　2入侵检测系统的分类 　　基于信息来源的不同，网络入侵检测系统可分为网络基IDS、主机基IDS和混合基IDS 3类，其中混合基IDS是综合了网络基IDS和主机基IDS的入侵检测系统，它既可以发现网络中的入侵信息，又可以从系统日志中发现异常情况。 　　基于检测分析方法的不同，网络入侵检测可分为滥用检测IDS（基于知识）与异常检测IDS（基于行为）2类。后者的理论基础是假设入侵者活动异常于正常主体的活动中，通过对审计踪迹数据的分析建立起系统主体的正常行为特征轮廓，将当前主体的活动状况与已建立的特征轮廓进行比较。 　　3入侵检测的方法和技术 　　入侵检测系统在结构上的发展是与信息系统的结构变化密切相关，但入侵检测的方式没有多少变化，时至今日入侵检测还是异常检测、误用检测或是二者的结合。入侵检测系统发展趋势为同时采用多种检测技术的综合型智能入侵检测系统。 　　3.1基于神经网络的入侵检测系统 　　人工神经网络的优点是具有较强的容错性，能够识别带噪声或变形的输入模式，具有很强的自适应能力；而入侵检测系统的异常检测技术实质上是一种模式识别或分类问题，因此有很多学者将神经网络技术应用到了入侵检测系统中，发展成为今天的基于神经网络的入侵检测系统。 　　3.2基于贝叶斯推理的入侵检测方法 　　基于贝叶斯推理的入侵检测方法，系指在任意给定的时刻，测量Al，A2，…An变量值，推理判断系统是否发生入侵行为。其中，每个变量A表示系统某一方面的特征，例如磁盘I／0的活动数量、系统中页面出错的数目等。每个异常变量Ai的异常可靠性和敏感性分别用P(Ai=1|I，)和P(Ai=1|?I)表示。于是，在给定每个Ai值的条件下，由贝叶斯定理得出I的可信度为: 　　P(I|Al，A2，…An)= P(Al，A2，…An|I) (1) 　　其中，要求给出I和?I的联合概率分布。假定每个测量Ai仅