入侵检测技术原理研究论文 第3页
顿宁的模型假设:入侵行为明显的区别于正常的活动,入侵者使用系统的模式不同于正常用户的使用模式,通过监控系统的跟踪记录,可以识别入侵者异常使用系统的模式,从而检测技术出入侵者违反系统安全性的情况。论文中的一些提法看起来很吸引人,但却并没有多少有力的证据,有些想当然。
顿宁的模型中有6个主要构件:主体、对象、审计数据、轮廓特征(或可称为“范型”profiles)、异常记录和行为规则。范型(profiles)表示主体的行为特色,也是模型检测技术方面的关键。行为规则描述系统验证一定条件后抽取的行为,他们能“……更新范型,检测技术异常行为,能把异常和可能的入侵关联起来并提出报告”。审计纪录由一个行为触发,而且记录主体尝试的行为、行为本身、行动对准的目标、任何可能导致例外的情况以及行为消耗的资源和独特的时间戳标记。审计记录会和范型进行比较(使用适当的规则),那些符合异常条件的事件将被识别出来。这个模型独立于特定的系统平台、应用环境、系统弱点以及入侵的类型,也不需要额外的关于安全机制、系统脆弱性或漏洞攻击方面的知识,他为构建入侵监测系统提供了一个通用的框架。
1.2.2中期:统计学理论和专家系统相结合
80年代末,一些其他值得注意的系统开发出来,大部分走的是将统计学理论和专家系统结合在一起的路子。有几个系统,特别是在Haystack和NADIR中,分析引擎把几个商业数据库管理系统(比如Oracle,Sybase)聚合在一起,发挥他们各自的优势。
MIDAS由美国国家安全局下属的计算机安全中心开发,用来监控他的Multics系统——Dock master。他使用混合的专家系统和统计学分析方法,以及来自Multics应答系统(Answering System)的已检查的审计日志信息,应答系统控制用户的注册(注册信息由其他数据源扩充)。MIDAS是最早基于连接互联网的系统开发的产品之一。
Wisdom和Sense,分别由Los Alamos和OakRidge开发,是另一个专家系统和统计学分析方法的混合。他使用非参量的统计技术从历史审计数据中产生规则。就像很多其他机器学习方法一样,他也遇到了很多问题,包括获取训练数据的困难、高的误报率和规则库对存储能力的过高需求。
直到那时,IDS系统仍旧依靠受保护主机收集的审计数据,但加州大学戴文斯分校开发的网络系统监控器——NSM(The Network System Monitor)改变了这个状况。NSM在入侵检测技术技术发展史上是继IDES之后的又一个里程碑,他监控以太网段上的网络流量,并把他作为分析的主要数据源。从当时的检测技术报告上可以看到,NSM检测技术了超过100 000的网络连接,并从中识别出超过300个入侵。今天,大部分商业IDS系统直接使用从网络探测的数据作为他们主要,甚至是惟一的数据源。
1.2.3基于网络的NIDS是目前的主流技术
1994年,Mark Crosbie和Gene Spafford建议使用自治代理(Autonomous Agents)以便提高IDS的可伸缩性、可文护性、效率和容错性,这个思想跟上了计算机科学中其他领域的研究的潮流,比如说软件代理。另一个解决当时多数入侵检测技术系统伸缩性不足的研究成果是1996年提出的GRIDS(Graph-based Intrusion Detection System)系统,该系统对大规模自动或协同攻击的检测技术很有效,这种跨越多个管理区域的自动协同攻击显然是入侵行为发展的方向。
1997年,CISCO要求WheelGroup公司将入侵检测技术与他的路由器结合。同年,ISS成功开发了RealSecure,他是在Windows NT下运行的分布式网络入侵检测技术系统,被人们广泛使用。1996年的第一次开发是传统的基于探测器的NIDS(网络入侵检测技术系统,监视整个网络段),在Windows和Solaris 2.6上运行。1998年后期,RealSecure发展成为一个混合式的入侵检测技术系统。他对入侵行为具有广泛的反应能力包括断开连接、发送SNMP信息、Email提醒、运行客户程序记录会话内容等,并能根据检测技术自动产生审计策略。
NIDS系统由安全控制中心和多个探测器组成。安全控制中心完成整个分布式安全监测预警系统的管理与配置。探测器负责监测其所在网段上的数据流,进行实时自动攻击识别和响应。
近年来的技术创新还有:Forrest将免疫原理运用到分布式入侵检测技术中;1998年Ross Anderson和AbidaKhattk将信息检索技术引入这个领域。
1.3 本课题研究的途径与意义
聚类是模式识别研究中非常有用的一类技术。用聚类算法的异常检测技术就是一种无监督的异常检测技术技术,这种方法可以在未标记的数据上进行,它将相似的数据划分到同一个聚类中,而将不相似的数据划分到不同的聚类,并为这些聚类加以标记表明它们是正常还是异常,然后将网络数据划分到各个聚类中,根据聚类的标记来判断网络数据是否异常。
本课题是网络入侵检测技术的研究,主要介绍模式识别技术中两种聚类算法,K-means算法和迭代最优化算法,并阐述此算法在入侵检测技术技术中的应用原理,接着分析这两种算法具体应用时带来的利弊,最后针对算法的优缺点提出自己改进的算法,并对此算法进行分析,可以说这种算法是有监督和无监督方法的结合,是K-means算法和迭代最优化算法的折中,是一种较理想的算法。
通过研究本课题,可以了解入侵检测技术技术的发展历程,及国内外研究水平的差距,熟悉各种入侵检测技术原理方法的异同,以便今后对某种检测技术方法作进一步的改进时能够迅速切入要点;在对入侵检测技术技术研究的同时,认真学习了模式识别这门课程,这是一门交叉学科,模式识别已经在卫星航空图片解释、工业产品检测技术、字符识别、语音识别、指纹识别、医学图像分析等许多方面得到了成功的应用,但所有这些应用都是和问题的性质密不可分的,学习过程中接触了许多新理论和新方法,其中包括数据挖掘,统计学理论和支持向量
上一页 [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] ... 下一页 >>
入侵检测技术原理研究论文 第3页下载如图片无法显示或论文不完整,请联系qq752018766