入侵检测技术原理研究论文 第7页

入侵检测技术原理研究论文 第7页
固定指标可以根据经验值或一段时间内的统计平均得到,举例来说,在短时间内的多次失败的登录很可能是口令尝试攻击。
　　(2) 方差:计算参数的方差,设定其置信区间,当测量值超过置信区间的范围时表明有可能是异常。
　　(3) 多元模型:操作模型的扩展,通过同时分析多个参数实现检测技术。
　　(4) 马尔柯夫过程模型:将每种类型的事件定义为系统状态,用状态转移矩阵来表示状态的变化,若对应于发生事件的状态矩阵中转移概率较小,则该事件可能是异常事件。
　　(5) 时间序列分析:将事件计数与资源耗用根据时间排成序列,如果一个新事件在该时间发生的概率较低,则该事件可能是入侵。
　　入侵检测技术的统计分析首先计算用户会话过程的统计参数,再进行与阈值比较处理与加权处理,最终通过计算其"可疑"概率分析其为入侵事件的可能性。统计方法的最大优点是它可以"学习"用户的使用习惯,从而具有较高检出率与可用性。但是它的"学习"能力也给入侵者以机会通过逐步"训练"使入侵事件符合正常操作的统计规律,从而透过入侵检测技术系统。
4.2.2 入侵检测技术的软计算方法
　　 入侵检测技术的方法可有多种,针对异常入侵行为检测技术的策略与方法往往也不是固定的,智能计算技术在入侵检测技术中的应用将大大提高检测技术的效率与准确性。所谓软计算的方法包含了神经网络、遗传算法与模糊技术。
4.3.3 基于专家系统的入侵检测技术方法
　 　基于专家系统的入侵检测技术方法与运用统计方法与神经网络对入侵进行检测技术的方法不同,用专家系统对入侵进行检测技术,经常是针对有特征的入侵行为。
　　 所谓的规则,即是知识。不同的系统与设置具有不同的规则,且规则之间往往无通用性。专家系统的建立依赖于知识库的完备性,知识库的完备性又取决于审计记录的完备性与实时性。特征入侵的特征抽取与表达,是入侵检测技术专家系统的关键。将有关入侵的知识转化为if-then结构(也可以是复合结构),if部分为入侵特征,then部分是系统防范措施。
　　 运用专家系统防范有特征入侵行为的有效性完全取决于专家系统知识库的完备性,建立一个完备的知识库对于一个大型网络系统往往是不可能的,且如何根据审计记录中的事件,提取状态行为与语言环境也是较困难的。例如,ISS公司为了建立比较完备的专家系统,一方面与地下组织建立良好关系,并成立由许多工作人员与专家组成的X-Force组织来进行这一工作。
　　 由于专家系统的不可移植性与规则的不完备性。现已不宜单独用于入侵检测技术,或单独形成商品软件。较适用的方法是将专家系统与采用软计算方法技术的入侵检测技术系统结合在一起,构成一个以已知的入侵规则为基础,可扩展的动态入侵事件检测技术系统,自适应地进行特征与异常检测技术,实现高效的入侵检测技术及其防御。
5 入侵检测技术技术发展方向
　可以看到,在入侵检测技术技术发展的同时,入侵技术也在更新,一些地下组织已经将如何绕过IDS或攻击IDS系统作为研究重点。高速网络,尤其是交换技术的发展以及通过加密信道的数据通信,使得通过共享网段侦听的网络数据采集方法显得不足,而大量的通信量对数据分析也提出了新的要求。随着信息系统对一个国家的社会生产与国民经济的影响越来越重要,信息战已逐步被各个国家重视,信息战中的主要攻击"武器"之一就是网络的入侵技术,信息战的防御主要包括"保护"、"检测技术"与"响应",入侵检测技术则是其中"检测技术"与"响应"环节不可缺少的部分。近年对入侵检测技术技术有几个主要发展方向:
5.1分布式入侵检测技术与通用入侵检测技术架构
　　传统的IDS一般局限于单一的主机或网络架构,对异构系统及大规模的网络的监测明显不足。同时不同的IDS系统之间不能协同工作能力,为解决这一问题,需要分布式入侵检测技术技术与通用入侵检测技术架构。CIDF以构建通用的IDS体系结构与通信系统为目标,GrIDS跟踪与分析分布系统入侵,EMER-ALD实现在大规模的网络与复杂环境中的入侵检测技术。
5.2应用层入侵检测技术
　　许多入侵的语义只有在应用层才能理解,而目前的IDS仅能检测技术如WEB之类的通用协议,而不能处理如LotusNotes、数据库系统等其他的应用系统。许多基于客户、服务器结构与中间件技术及对象技术的大型应用,需要应用层的入侵检测技术保护。Stillerman等人已经开始对CORBA的IDS研究。
5.3智能的入侵检测技术
　　入侵方法越来越多样化与综合化,尽管已经有智能体、神经网络与遗传算法在入侵检测技术领域应用研究,但是这只是一些尝试性的研究工作,需要对智能化的IDS加以进一步的研究以解决其自学习与自适应能力。
5.4入侵检测技术的评测方法
　　用户需对众多的IDS系统进行评价,评价指标包括IDS检测技术范围、系统资源占用、IDS系统自身的可靠性与鲁棒性。从而设计通用的入侵检测技术测试与评估方法与平台,实现对多种IDS系统的检测技术已成为当前IDS的另一重要研究与发展领域。
5.5网络安全技术相结合
　　结合防火墙、PKIX、安全电子交易SET等新的网络安全与电子商务技术,提供完整的网络安全保障。
6 建立数据分析模型          
在前面的文章介绍入侵检测技术系统时，我们了解到在进行入侵检测技术的研究中，信息收集是第一步要做的工作，入侵检测技术工作的顺利很大程度上依赖于收集信息的可靠性和正确性。在做本课题研究时，我们研究和测试都是使用的KDD CUP99数据包。它是非常流行和广泛使用的数据包，用于研究和测试不同的数据组合。此数据包已经经过预处理，使我们较容易进行分析。
6.1测试数据的结构
我们将从其测试数据集中抽出一条数据信息进行分析。
0，tcp，http，RSTR，54540，7300，0，0，0，1，0，1，0，0，0，0，0，0，0，0，0，0，4，5，0，0，0.25，0.4，1，0，0.4，170，170，1，0，0.01，0，0，0，0.06，0.06，back.
此条数据记录共有四十一个有效字段，下面我将逐一介绍。
  第1-9字段为独立TCP连接的基本特征
 feature name  description  type
1 duration 持续时间  length (number of seconds) of the connection 连接长度（秒数） Continuous 连续型
2 protocol_type 协议类型 type of the protocol, e.g. tcp, udp, etc.  discrete 离散型
3 service 提供服务 network service on the destination, e.g., http, telnet, etc. 目标的网络服务 discrete离散型
4 src_bytes 源字段 number of data bytes from source to destination 从数据源到目的地 continuous
5 dst_bytes 目的字段 number of data bytes from destination to source 从目的地到数据源 continuous
6 flag 标记 normal or error status of the connection  discrete
7 land 登陆 1 if connection is from/to the same host/port; 0 otherwise 连接是否同主机或同端口 discrete
8 wrong_fragment 出错帧 number of ``wrong'' fragments  continuous
9 urgent 紧急包 number of urgent packets  continuous
第10-22字段为连接中所包含的主要特征
 feature name  description  type
10 hot 热点 number of ``hot'' indicators指示器数量 Continuous连续型
11 num_failed_logins 登录失败 number of failed login attempts 尝试登录失败 continuous
12 logged_in 成功登录 1 if successfully logged in; 0 otherwise  discrete离散型
13 num_compromised警戒数  number of ``compromised'' conditions  continuous
14 root_shell 启动权 1 if root shell is obtained; 0 otherwise  discrete
15 su_attempted  1 if ``su root'' command attempted; 0 otherwise  discrete
16 num_root  number of ``root'' accesses 接受的root访问数 continuous
17 num_file_creations  Number of file creation operations 建立文件操作数 continuous
18 num_shells  Number of shell prompts “shell”提示数 continuous
19 num_access_files  number of operations on access control files 对访问控制文件的操作数 continuous
20 num_outbound_cmds number of outbound commands in an ftp session  在FTP会话中对外开放命令数 continuous
21 is_hot_login  1 if the login belongs to the ``hot'' list; 0 otherwise 是否热情连接注册 discrete
22 is_guest_login  1 if the login is a ``guest''login; 0 otherwise 是否访问者注册 discrete
第23-31字段为在两秒内计算传输向量
 feature name Description  type
23 count  number of connections to the same host as the current connection in the past two seconds 在过去的两秒时间与当前连接一样连接到同一主机的连接次数 Continuous连续型

上一页  [1] [2] [3] [4] [5] [6] [7] [8] [9] [10]  ... 下一页  >> 

入侵检测技术原理研究论文 第7页下载如图片无法显示或论文不完整，请联系qq752018766