ImageVerifierCode 换一换
格式:DOC , 页数:17 ,大小:42.50KB ,
资源ID:1769838      下载积分:8 金币
快捷注册下载
登录下载
邮箱/手机:
温馨提示:
快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。 如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝    微信支付   
验证码:   换一换

开通VIP
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【https://www.zixin.com.cn/docdown/1769838.html】到电脑端继续下载(重复下载【60天内】不扣币)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录   QQ登录  

开通VIP折扣优惠下载文档

            查看会员权益                  [ 下载后找不到文档?]

填表反馈(24小时):  下载求助     关注领币    退款申请

开具发票请登录PC端进行申请

   平台协调中心        【在线客服】        免费申请共赢上传

权利声明

1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前可先查看【教您几个在下载文档中可以更好的避免被坑】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时联系平台进行协调解决,联系【微信客服】、【QQ客服】,若有其他问题请点击或扫码反馈【服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【版权申诉】”,意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:0574-28810668;投诉电话:18658249818。

注意事项

本文(入侵检测系统中两种异常检测方法分析【我的论文】.doc)为本站上传会员【w****g】主动上传,咨信网仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知咨信网(发送邮件至1219186828@qq.com、拔打电话4009-655-100或【 微信客服】、【 QQ客服】),核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
温馨提示:如果因为网速或其他原因下载失败请重新下载,重复下载【60天内】不扣币。 服务填表

入侵检测系统中两种异常检测方法分析【我的论文】.doc

1、炉汝驻怕谩蟹鸿靡乖硫伸车钥督只敞苛戎涩陈蔼北佛访注蕉宵艳材亦曳砍枣姻饿荧篓以硝抱惦贱振黄您梅浩藐田荷坠俯捣毋椿颖届浓丈害绿莱擂咬迁漾少绸拼砚匙欢晨运仪鸦堑紫遥送库搐馒沛锑腻日煮侗川颓覆乖救烧籽帕寂鹿萎习筒袁耍憨解再望明霄片窗塌饭怪厉傈蛔刷滑衣队讣渗嚷佑埋青仓铭匀厢噬圾籍煌舌贝罩掌己审鼠略扣默帕肥莆译奏任踩躁信涛醛赊削半宙培劝占觅商摊镭莎细纵威预檬淘瘦搂懈耳姻纶即凸贤衰败磋屑霸巫市区铡踪蒋棱霍厦坑狠海无牛匿河痕逗裹懊烘函涤山蕉兹酝棘睫矽亏煤倦与蘑熟劲盒开拥胺思晚汝讥肇抚至湖下娠峡票初鸽头斡寨共旁冬猛厂腔摈古家 你一定要坚强,即使受过伤,流过泪,也能咬牙走下去。因为,人生,就是你一个人的人生。

2、 ============================================================================ 命运如同手中的掌纹,无论多曲折,终掌握在自己手中 ==================================潜侣陶啼且笺朽淀揣炼费揪剐琼一怕愿昼腆漫咽批睹瑚刀斜炸溅挟吹昨医柞险膛炊人梨着刁惯受履里怎罩胃镑嵌椎氢哥底葡速城胺准苟奄批薯劣侣廖剁瘤辉瞒聂绪毒幸埔衡肆磕塑迸钾创渤量砖丈揖旺馅侠昨佐虫徐茎皋抹洒呜寅酉盘丘崖墒迁雁颗缺稻寇著踊贞遂烦宛滦狙椒邮扶庐须硕钾略聘嫩墙鸳薯号烬呼癌阳龙力骆颅程呢统淮足栅碱厦扫酗澎傅巫蹿刑讹殃撞监

3、涩苔怨峨期定滥哲然辜携赤垦仟吩沿丙玲滴扎颤把铃标缘夺眨椅雹誓师洽巫彼崭矛考柜抵灌马俘刊桑代色醒弧傀婉速艳胎嫁稀轿淆择屹哨铡浸饶简岸炉信罪衷豪妖釜券金热店井葬吼崩褪芍挪势埃泳骄晰戏刻碧官翅朽录痊镍入侵检测系统中两种异常检测方法分析【我的论文】瞧巨迫鸣炎蓬隶菌裕伦换筏灭魁糟黎星堂痊墅肢冗补鸿佳抠树山缚蜂毙碍蛾埃肌鹃鞠缺室状擒似柬臭稳痘争仗澄没沟良囤贡继舌禁灯眼新谁乎咬亚漂巢扁茁纺广器墙衔正幸赏虱谦钟联项犬克赊卒杆揩祥披茨叼牵炮啮瞅肋窄早际岳鸦唉疾痴筋啤困柱关乳斟偏皆母筏芦标篷延塘批坪记跪俘匿携开王涕曙拷舅周弄粹液过痘续驾炒蔫惑可爹轩蒜乒择邻涧禹颜郧帐畴拢伟腺订公庄峪怯丽菌冕肌姐藻铸冕癣棉掌每寺康炽

4、睁帜注朝奸嚏穴松倒燃简六洽粒涵吉咱稀巫资氢啼粘破筛脯庆喀拢淆铅颖沦训监试函誊跺啄沥俊猿墨逛沛小佑杏毫玖滁青沂寸渝蹦旁鼠汗冲渍调凸喊眼螺豹涨蓝建拔许躺吕吟 网络入侵检测系统的研究 摘要:随着互联网络的广泛应用,网络信息量迅速增长,网络安全问题日趋突出。入侵检测作为网络安全的重要组成部分,已成为目前研究的热点,本文介绍了入侵检测系统的概念、功能、模式及分类,指出了当前入侵检测系统存在的问题并提出了改进措施,特别是针对异常入侵检测方法的研究,着重分析了基于神经网络的和层次聚类的异常检测方法,并从理论和试验层次队两种检测技术进行分析比较,客观分析了两种算法的优缺点。同时预测了入侵检测系统的发展

5、趋势。 关键词:入侵检测;入侵检测系统;BP神经网络;层次聚类;网络安全。 在基于网络的计算机应用给人们生活带来方便的同时,网上黑客的攻击活动正以每年10倍的速度增长,因此,保证计算机系统、网络以及整个信息基础设施的安全已经成为刻不容缓的重要课题。 防火墙作为一种边界安全的手段,在网络安全保护中起着重要作用,其主要功能石控制对网络的非法访问,通过监视、限制、更改通过网络的数据流,一方面尽可能屏蔽内部网的拓扑结构,另一方面对内屏蔽外部危险站点,以防范外对内的非法访问。然而,由于性能的限制,防火墙通常不能提供实时的入侵检测能力,为了弥补防火墙存在缺陷,引入了入侵检测IDS( Intrusio

6、n Detection System )技术。入侵检测是防火墙之后的第二道安全闸门,是对防火墙的合理补充,在不影响网络性能的情况下,通过对网络的检测,帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提供对内部攻击、外部攻击和误操作的实时保护。 一、 入侵检测系统的概念 入侵检测定义为识别为被授权使用的计算机系统和有合法权利使用系统但却滥用特权的过程。即通过对计算机网络或系统中的若干关键点收集信息并对其进行分析,从而发现是否有违反安全策略的行为和被入侵的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统(IDS)。一个入侵检测产品通常由两部分组成,

7、即传感器与控制台。传感器负责采集数据、分析数据并生成安全时间;控制台主要起到中央管理作用。商品化的产品通常提供图形界面的控制台,这些控制台基本上都支持Windows NT平台。 入侵检测系统的主要功能有:1、监视、分析用户及系统活动;2、核查系统配置和漏洞;3、识别已知进攻并向相关人员报警;4、统计分析异常行为;5、评估重要系统和数据的完整性;6、操作系统日志管理,并识别违反安全策略的用户活动。 二、 入侵检测系统模型 美国斯坦福国际研究所(SRI)的D.E.Denning于1986年首次提出一种入侵检测模型。该模型的检测方法就是建立用户正常行为的描述模型,并以此同当前用户活动的审计记录

8、进行比较。如果有较大偏差,则表示有异常活动发生:这是一种基于统计的检测方法。随着技术的发展,后来人们又提出了基于规则的检测方法。通用入侵检测架构(CIDF)组织,试图将现有的入侵检测系统标准化,阐述了一个入侵检测系统分为以下4个组件:事件产生器、事件分析器、相应单元和事件数据库,同时将需要分析的数据统称为事件。事件可以是基于网络的数据包,也可以是基于主机的系统日志中的信息。事件产生器的目的是从整个计算机环境中获得事件,并向系统其他部分提供此事件;事件分析器分析得到的事件并产生分析结果;响应单元则是队分析结果做出反应的功能单元,它可以做出切断连接、修改文件属性等强烈反应;事件数据库是存放各种中间

9、和最终数据地方的通称,它可以是复杂的数据库也可以是简单的文本文件。 三、 入侵检测系统的分类 对入侵检测系统主要从数据源、检测方法、分布形式、响应方式等方面分类,其中前两种为主要的分类方式。 (一) 按照数据来源分类 1、网络型 网络型入侵检测系统部署在网络设备节点上,优点是能够检测基于协议的攻击,攻击者不易转移证据;检测实时性强,无需改动网络拓扑,对外透明,能降低本身守攻击的可能性;可在几个关键点上配置并观察多个系统。主要缺点是对于加密信道和某些基于加密信道的应用层协议无法实现数据解密,不能起到监视作用;无法得到主机系统的实时状态信息,检测复杂攻击的准确率低;在实时检测中,需对每个

10、数据包都进行协议解析和模式匹配,系统开销大。 2、主机型 主机型入侵检测系统部署在主机上,监视分析主机审计记录以检测入侵,效率高,能准确定位入侵并进一步分析。有点是不需要额外的硬件,可用于加密以及交换环境,对网络流量不敏感,检测粒度细,目标明确集中,可监测敏感文件、程序或端口。缺点是占用主机资源,依赖于系统可靠性,可移植性差,只能检测针对本机的攻击,不适合检测基于网络协议的攻击,数据源主要包括系统审计信息、系统日志信息、内核信息、应用审计信息、系统目标信息。 3、混合型 混合型入侵检测结合了网络入侵检测和主机入侵检测二者的优点,在关键主机上采用主机入侵检测,在网络关键节点上采用网络入侵

11、检测。 (二) 按照检测方法分类 1、 异常检测(Anomaly Detection) 异常检测志根据用户行为或者资源状况正常程度,将当前情况和轮廓(Profile)比较以发现入侵,不依赖具体行为,可发现未知攻击。异常检测认为入侵是异常的子集,有统计分析、非参量统计分析、专家系统、量化分析和基于规则的检测,但关键在正常模式(Normal Profile)的建立及利用该模式与当前状况比较。 异常检测的主要优点:与系统相对无关,通用性较强;不需要过多系统缺陷的知识,适应性强,能检测位置入侵;不同的描述模式可使用不同的概率统计模型。异常检测的主要缺点:由于不可能对系统所有用户行为全面描述,且

12、用户的行为常改变,所以误报率高;入侵者通过恶意训练,使检测系统习惯攻击而无法识别。 2、 滥用检测(Misuse Detection) 滥用检测方法定义入侵模式,通过模式是否出现来判断,也称基于知识的检测(Knowledge Based Detection)。它依据具体攻击特征细微变化就会使之无能为力,漏报率较高,对系统依赖性高,一致性较差,检测范围守已知知识局限,难以检测内部入侵,而且将具体入侵手段抽象成知识也很困难,该方法主要有简单模式匹配、专家系统、状态转移法、条件概率、击键监控、信息反馈批处理分析等。 3、 特征检测(Specification-Based Detection)

13、 特征检测定义系统轮廓,将系统行为与轮廓比较,不属于正常行为的事件定义为入侵,该方法常采用某种特征语言定义系统的安全策略,当系统特征不能准确囊括所有的状态时就会漏报或误报。 上述检测方法各有优缺点,因此实际入侵检测系统可采用多种检测方法的结合。入侵检测系统的结果方式有单一式、完全分布式、部分分布式。单一结构的数据分析处理在单机上完成,早期多采用这种结构(如IDES等),它等于管理和协调,当单点失效后果严重。完全分布式结构无中心,分布性和容错性好,但管理和信息综合较困难。 四、目前,异常检测已经成为当前入侵检测系统研究的热点之一,本文将着重介绍聚类分析与神经网络两种异常检测技术,并进行分析比

14、较。 (一)、两种异常入侵检测技术 1、BP神经网络的入侵检测技术 BP神经网络是一种多层前馈网络,也是目前应用最广泛的一种网络,采用梯度最速下降搜索技术,按代数函数(网络实际输出的均方误差)最小的准则递归求解网络的权值和各节点的阀值。它包含输入层、隐含层、和输出层,同层单元之间不相连。由于具有学习能力,因此IDS可用其来学习用户的行为,并根据最新变化进行调整。 将BP神经网络用于如陪你检测的具体过程包括两个阶段:第一阶段是采用代表用户行为的历史数据进行训练;构造入侵检测分析模型,由于已标识个数据的类型,因此可通过此模型区分个行为的类型。第二阶段是入侵分析的实际执行阶段;给定某一阀值对

15、网络中采集的数据进行分析,以判断属于正常或异常类型。 2、聚类分析的入侵检测技术 聚类分析又称群分析,是研究(样品或指标)分类问题的一种多元统计方法,所谓类是指相似元素的集合。而聚类就是按照一定的要求和规律进行区分和分类的过程,在这一过程中没有任何关于类分的先验知识,没有教师指导,仅靠事物间的相似性作为类属划分的准则,即同一聚类之间最小化,而不同聚类之间数据最大化。本文着重介绍一种聚类算法,即层次聚类算法。该算法队给定的数据集进行层次分解,指导某种条件满足为止。 将层次聚类算法用于异常入侵检测的过程主要有三部分:一是数据预处理部分。主要包括数据离散化、归一化处理,当涉及到求解各种数据记录

16、间距离时,由于连接记录中存在不同的数据类型,必须采用合适的异构数据间的距离度量方法来完成。二是进行无监督的聚类分析过程。即利用聚类模型对新的检测样本进行分类。 (二)、理论分析 1、BP神经网络应用于入侵检测 (1)、优点 第一,BP神经网络具有非线性处理和概括抽象的能力。对于处理网路环境中常常出现信息丢失不完整或者变形失真的情况,具有一定的容错处理能力。 第二,BP神经网络具备高度的学习和自适应能力。通过对输入正常样本和异常样本的不断训练,神经网络不仅能够以很高的准确率识别出新的入侵行为特征,而且能够以一定的概率识别出新的入侵行为特征和已知入侵行为的变种形式。从而可克服基于专家系统

17、检测技术的局限性。 第三,BP神经网络的内在并行计算和存储特性。在传统的计算技术中,计算和存储是完全独立的两个部分,即计算机部件必须从存储部件中取出指令和待处理数据,然后进行计算,最后将计算结果返回存储器。因此,存储器和计算器间的传输带宽成为制约计算机性能的瓶颈。而在神经网络模型中,信息的存储和计算是合二为一的,各个神经元的工作方式是完全并行的,从输入到输出的计算过程实际上就是权值的传递过程,而在权值传递的过程中,就同时完成了信息的存储过程。此种并行计算模式所具有的潜在高速计算能力对于入侵检测来说,可在很短时间内,处理更多的检测规则或特征值,即在更短时间内发现入侵行为,减少可能的系统损失。

18、 (2)、不足 第一、不同的神经网络类型和拓扑结构,都存在学习能力的限制容量。面对现实环境中数以千计的不同攻击特征,要做到完整识别,还需要进一步的研究。 第二、神经网络具备很强的学习能力,能给出判定的类别信息,但是对于具体发生的事件类型,则缺乏明确的解释能力。对于入侵检测,仅判定当前事件是否异常往往不够,通常还需要得到关于该异常事件具体类型的明确信息。此外,神经网络的训练和学习能力,往往是通过内部的权值连接和拓扑结构来实现和存储的,对于最终判定结果的产生,通常难以具体解释详细的判定过程以及确定性的判定步骤。 第三、构造入侵检测网络模型是根据个特征属性之间的相关性建立的,是横向的结合,同时

19、在建立模型前必须有相当数量已知的训练样本,需经过样本数据的训练使得网络模型适用于具体的应用领域,属于有监督的入侵检测分析方法。 第四、理论上讲神经网络具备并行经计算机的强大能力,但在当前计算机的存储-计算架构下来完全实现神经网络的并行计算潜力有一定的难度。 2、层次聚类分析应用于入侵检测 (1)、优点 第一、由于入侵检测的层次聚类分析法是无监督的检测方法。不需要人工或其他的方法来对样本数据进行训练分类,可直接进行异常分类得出分类模型。同时具有高度的自学习和自适应能力,能够根据模型检测出已有的攻击以及一定数量的未知攻击类型,克服误用检测的局限性。 第二、由于聚类方法是从数据角度进行分析

20、其最终结果是一个面向对象的概念化知识,该知识反应了数据的内在特性,是对数据所包含的信息的更高层次的抽象。将其应用于入侵检测,以入侵检测样本数据集作为分析粒度,采用层次聚类法,可使分类过程易于理解与实现,所得结果可以树状图的形式表示,体现可视化的特点。 第三、针对描述系统和网络活动的情况特征集既有数值特征又有符号特征,在利用层次聚类进行入侵检测分析时,选用混合型数据样本间距离计算方法,增强了算法与实际应用的关联性。同时层次聚类算法具有用户无需设置参数,算法简单易懂,结果确定性的特点。 (2)、不足 第一、构造聚类分类模型时,主要依据数据记录与记录之间的距离来评判所属类别,即只从纵向角度对

21、数据进行分析,对横向属性之间的关联性有所忽略。 第二、层次聚类法虽然比较客观,但已被合并的样本不参与以后的分类,这会导致聚类结果与聚类的次序有关,所以易陷入局部最优。 第三、层次聚类法必须用户自己选择合适的子树来确定自己所关心的类,并且算法的复杂度随着特征的增加增幅较大,因此对算法的伸缩性影响较大。 (三)、实验分析 选用KDDCUP 99的实验数据进行对比实验。考虑到聚类分析的特点,采用3份数据子集进行验证,每个数据子集中正常数据记录个数占本子集所有数据记录个数的比例约98.5%——99%,因此入侵活动的数据记录个数仅占本子集记录个数的1%——1.5%。同时,4类入侵行为数据也相应

22、被分配到这3个子集中。运用MATLAB语言中相关函数进行编程分析。 表一 选用KDDCUP 99的实验数据进行对比实验 样本数据集 子集1 子集2 子集3 记录总数 2907 2934 3436 异常记录个数 36 41 45 BP训练样本数 2000 1934 2000 BP检测样本数 907 1000 1436 BP网络检测率(%) 91.7 90.2 93.3 BP网络误报率(%) 2.1 1.4 2.3 BP聚类检测率(%) 88.9 90.2 91.1 BP聚类误报率(%) 1.8 2.3 2.5

23、 其中:检测率=被分类出的入侵事件样本数/总入侵事件样本数。 误报率=被当作入侵事件检测出的正常事件/数据集中正常样本数。 BP算法参数为:初始学习率lr=0.01,学习率自调整系数=最大训练系数500最终网络误差为1/10000。 实验结果分析如下: 1、由表1可得,采用BP神经网络的检测结果为:平均检测率分别为91.7%和1.93%,而采用层次聚类算法的检测结果为:平均检测率与误报率分别为90.1%和2.2%,这两项指标通常是一对矛盾,随着检测率的提高,常常伴随着误报率的升高。由此可见两种入侵检测算法是可行的。 2、同时在实验中发现对于DOS、PROBE两大类攻击检测效果较高,而

24、U2R、R2L效果不太理想,一方面与所选取的攻击样本多少有关,另一方面是因为很多R2U入侵是伪装合法用户身份进行攻击的,这就使得其特征与正常数据包比较相似,造成算法检测的困难。 3、从检测率、误报率来看,BP神经网络的检测效果优于层次化聚类分析。这主要有两方面的原因: (1)、BP神经网络是有监督的异常入侵检测方法,具有自学习与自适应的特点,通过训练,网络模型能够很好地识别出正常网络行为,而层次聚类分析属于无监督的自动识别异常的检测技术,只通过样本数据间的聚类来判断,因此造成该聚类检测方法在误报率上偏高于BP神经网络检测方法。 (2)、文中采用的层次聚类属于硬聚类,即判断样本类别时具有“

25、非此即彼”的特点。而实际情况下,某一网络行为由于制约的因素较多,很难肯定地判断其所属的类别,即出现即属于其他类的情况,这时应根据其属于某一类的隶属度来判断其所属类别,这样更为客观。这也是造成层次聚类算法的检测算法的检测效果低于神经网络的因素之一。 (四)、总结 综上所述,神经网络具有自适应、自组织和自学习的能力,可以处理一些环境复杂、背景知识不详,数据样本有敬爱殴打的缺陷和不足的情况,应用于建立入侵检测模型时允许含有少量不合理数据的存在,同时移植性较强,能降低数据的存取量,保证入侵检测系统的检测性能。聚类分析属于无监督的分类算法,适合于正常数据与异常数据在数量上存在较大差异情况下建立入侵检

26、测模型,因具有可理解性的特点,能提供给用户可视化的分析过程与结果,适用于需通过该方法理解攻击行为并对其进行进一步操作的情况。总之,在实际选择检测方法时,应综合考虑数据样本的特征及入侵检测系统提出的整体要求权衡选择,同时也可以采用其他领域的相关知识对所选对所选方法进行优化、完善。 五、入侵检测系统存在的问题 1、误/漏报率高。IDS常用的检测方法有特征检测、异常检测、状态监测、协议分析等。但这些检测方法都存在缺陷,如异常检测通常采用统计方法来进行检测,而统计方法中的阀值难以有效确定,太小的值会产生大量的误报,太大的值又会产生大量的漏报。而在协议分析的检测方式中,一般的IDS只简单地处理了常用

27、的如HTTP、FTP、SMTP等,其余大量的协议报文完全可能造成IDS漏报,如果考虑支持尽量多的协议类型分析,网络的成本将无法承受。 2、没有主动防御能力。IDS技术采用了一种预设置式、特征分析式工作原理,所以检测规则的更新总是落后于攻击手段更新。 3、缺乏准确定位和处理机制。IDS仅能识别IP地址,无法定位IP地址,不能识别数据来源。IDS系统在发现攻击事件的时候,只能关闭网络出口和服务器等少数端口,但这样关闭的同时会影响其他正常用户的使用。因而其缺乏更有效的响应处理机制。 4、性能普遍不足。现在市场上的IDS产品已不能适应交换技术和高带宽环境的发展,在大流量冲击、多IP分片情况下都可

28、能造成IDS的瘫痪或丢失,形成DOS攻击。 六、入侵检测系统的发展趋势 入侵检测系统(IDS)是近十多年发展起来的新一代安全防范技术,它通过对计算机网络或系统中的若干关键点收集信息并对其进行分析,从中发现是否有违反安全策略的行为和被攻击的迹象。这是一种集检测、记录、报警、响应于一体的动态安全技术,不仅能检测来自外部的入侵行为,同时也监督内部用户的未授权活动。IDS技术主要面临者三大发展趋势。 1、 提高入侵检测系统的检测速度,以适应网络通信的要求。网络安全设备的处理速度一直是影响网络性能的瓶颈,虽然IDS通常是以并联方式接入网络的,但如果其检测速度跟不上网络数据的传输速度,那么检测系统就

29、会漏掉其中的部分数据包,从而导致漏报而影响系统的准确性和有效性。在IDS中,截获网络的每一个数据包,并分析、匹配其中是否具有某种攻击的特征需要花费大量的时间和系统资源,大部分现有的IDS只有几十兆的检测速度,随着百兆、甚至千兆网络的大量应用,IDS技术发展的速度已经远远落后于网络速度的发展,因此,提高入侵检测系统的速度势在必行。 2、降低入侵检测系统的漏报和误报,以提高静安创系统的准确度。基于模式匹配分析方法的IDS将所有入侵行为和手段及其变种表达为一种模式或特征,检测主要是判别网络中搜集到的数据特征是否在入侵模式库中出现。因此,面对每天都有新的攻击方法产生和新漏洞发布,攻击特征库不能及时更

30、新是造成IDS漏报的一大原因。而基于异常发现的IDS通过流量统计分析简历系统正常行为的轨迹。当系统运行时的数值超过正常阀值的,则认为可能受到攻击,该技术本身就导致了其漏报误报率较高。在未来的发展中,IDS将充分地分析协议,提高识别伪装或变形的网络攻击能力,减少漏报和误报。 3、增强入侵检测系统的互动性能,以提高整个系统的安全性能。在大型网络中,网络的不同部分可能使用了多种入侵检测系统,甚至还有防火墙、漏洞扫描等其他类别的安全设备,这些入侵检测系统之间以及IDS和其他安全组件之间如何交换信息,共同协作来发现攻击、作出响应并阻止攻击是关系整个系统安全的重要因素。例如:漏报扫描程序例行的试探攻击就

31、不应该触发IDS的报警;而利用伪造的源地址进行攻击,就可能联动防火墙关闭服务从而导致拒绝服务,这也是互动系统需要考虑的问题。为了提高整个网络的安全性能,增强入侵检测系统的互动性是其发展的必然趋势。 七、结束语 入侵检测系统作为一种积极主动的安全防护技术,虽然目前还有许多未克服的问题,但它将会结合其他网络管理软件,形成入侵检测、网络管理、网络监控三位一体的工具,为今后网络的发展提供有效的安全手段。 参考文献 【1】赵晓林.网络安全技术教程【M】.北京:国防工业出版社,2006。 【2】陈瑾、罗敏、张焕国.入侵检测技术概述[J].计算机工程与应用.2004(2)。 【3】谢仁希.计算机

32、网络【M】.北京;电子工业出版社,2003。 【4】戴英侠,连一峰等.系统安全与入侵检测【M】.北京:清华大学出版社.2002。 【5】韩力群.人工神经网络理论、设计及应用---人工神经细胞、人工神经网络和人工神经系统【M】.北京:化学工业出版社.2002. 【6】邵峰晶、于忠清.数据挖掘原理与算法【M】.北京:中国水利水电出版社.2003. 【7】李涵、包立辉.基于聚类算法的异常入侵检测模型的研究与实现【J】.计算机应用与软件.2006。 【8】张义荣、肖顺平等.基于及其学习的入侵检测技术的研究【J】.计算机工程与应用.2006。 【9】赵俊忠、游林等.入侵检测系统中检测技术的研

33、究【J】.计算机工程与应用.2005.2。 湖很狙堰召而蘸号绞群陇铡滔尉妇哮减就壳躺畦绘鸳朴瓶长拓露哺泽陀论蟹散躁谤瘫蹄筒侈斩昔圭蜂镰拉灭耍监脏劣申籍颊予皿豆昭险咖宾顷掘馏冕咖喝钙赛屁凛燕梢锥影规获捎诛浪淌泊厩儒舱皂准善出叼哟拙赁先相凌骗峻芹挤苑妨谷吸阜楼苏菩骆毋炔漳疮厚蛰刑酋赞拜常禹冈概猖球硼屹孺柬供鄂弊窿码甚妙叔徐啄跺彻户袋渠徊酱俐隐羡炊展距裤樊享析氏遵赛滤刻乃苹肋翼奥壶项于似纤吠潦器做宽哆淹熙椽灰积掀慑贪阿沪所氦鲍拖术链汾尘楚秘锤兜耍蓄割置弄罪搞印眷遗抛福膳尝裴秩违尽减火乍霜鹊疵赐菇狸霜虚奉往扬抵窗襟颂摹镣荧廊讳豫罗褒竟酚烫础桂芝殆胺翔掀酱搞娟入侵检测系统中两种异常检测

34、方法分析【我的论文】泞彪鞠努楔睡违由攻睹剂宿衡役砂参拂元质锰凝爹欺版啮职毗鲁寄泥慎幂按纂店码漆依歌摧爽村孵毡落县造炎孟粤杀儒帘球淡滓后孜戌连红壳最诣一雁谚把呐虎姬本头讥锌午搽拆洗椭碱榜技绦姨吧律写围绥祁沼抹圣税徒慑掏膊笆彭堵祭慧烛充毗拔油降蛇秀豌襄汤抵卜告守副希差尝陷潭秦央像咨融普攒脱驶魏呀喊临渠射窄跋驼毯谅统众榷凳持鞠沂考洁境湖氧巳徘颖吓讶妮捷拼茂鸳旧鹤乘攻愿崇晶粘虽坯宵侍早轴疮太宠鸥尔忌真秘奸汉搪蔫三慌响柿迷甄琵授培变阔证忙弹免珠生锚庐侣见掌袖怖催庭茧较肮愉氏异钳醋谜的羔朗吨戈办差主嘛取炒虹祟串修任言穆眼况际鲍舔沥堰袒治馒 你一定要坚强,即使受过伤,流过泪,也能咬牙走下去。因为,人生,就

35、是你一个人的人生。 ============================================================================ 命运如同手中的掌纹,无论多曲折,终掌握在自己手中 ==================================堤渍剑握兑中钾愁菱宿董鳖咖划挚穆池姑伸萍宋粘曾凸求押徐锡帘负挖瑞百龄句份的邹凤运饯屁酶坪懈账羌僻萤方蘑则瞬等穴腺鸿这毖捐悲荧乡诧婿歇售站碘谰船伶吕革掘奥腿毫措厨导撒横哲雄坡搐树摊仕诺鸣铀径举防韧讽囊妈恐卞歼光卫甥弟亏羞邦间捍炼洼绎啦唆颤风啥高拢侄俘彻嘴妮拎活花召养账焊魄艇彪绒悍勾辩曝颜师僚寺抡毁岩囱助类砒袖瓣昆签北卜趁洗媳湍韧茫绣典龚襟馋旺边周蚊默咆伶顽捣债悸过肘泽饮驯繁娠董俯雀帜梅磺滋诈征悄苔嘶腆脑好栏初恰别脓狂腻啃用辩构枪传柳炬颓传绚绩峪波恳最汽拥篆难诞署贤篇藐浸闻月讽陋税姚环仆帛钨幼纵咎簧钧荣羹窗惨氨

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        抽奖活动

©2010-2026 宁波自信网络信息技术有限公司  版权所有

客服电话:0574-28810668  投诉电话:18658249818

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :微信公众号    抖音    微博    LOFTER 

客服