入侵检测技术原理研究论文 第9页
的那个计算机。这个伪造的源地址,实际上就是攻击的目标,它将被极大数量的响应信息量所淹没。对这个伪造信息包做出响应的计算机网络就成为攻击的不知情的同谋。预防这种攻击的方法是:为了防止黑客利用你的网络攻击他人,关闭外部路由器或防火墙的广播地址特性。为防止被攻击,在防火墙上设置规则,丢弃掉ICMP包。
buffer_overflow u2r缓冲区溢出攻击由于在很多的服务程序中大意的程序员使用象strcpy(),strcat()类似的不进行有效位检查的函数,最终可能导致恶意用户编写一小段利用程序来进一步打开安全豁口然后将该代码缀在缓冲区有效载荷末尾,这样当发生缓冲区溢出时,返回指针指向恶意代码,这样系统的控制权就会被夺取。预防这种攻击的方法是:利用SafeLib、tripwire这样的程序保护系统,或者浏览最新的安全公告不断更新操作系统。
portsweep probe端口扫描探测器攻击。通常使用一些软件,向大范围的主机连接一系列的TCP端口,扫描软件报告它成功的建立了连接的主机所开的端口。预防这种攻击的方法:许多防火墙能检测技术到是否被扫描,并自动阻断扫描企图。
ipsweep probe IP地址扫描探测器攻击。运用ping这样的程序探测目标地址,对此做出响应的表示其存在。预防这种攻击的方法:在防火墙上过滤掉ICMP应答消息。
nmap probe 端口扫描探测器。Nmap是在UNIX环境下推荐的端口扫描仪。Nmap不止是端口扫描仪,也是安全工具箱中必不可少的工具。预防这种攻击的方法:许多防火墙能检测技术到是否被扫描,并自动阻断扫描企图。
6.2.3其他主流的攻击类型
由于研究的数据集有限。研究时间的局限,我们所看到的攻击类型还是很有限的,还有几种主流的攻击类型,可以帮助我们即时预防,以增强入侵检测技术系统的性能。
1 Ping of Death
根据TCP/IP的规范,一个包的长度最大为65536字节。尽管一个包的长度不能超过65536字节,但是一个包分成的多个片段的叠加却能做到。当一个主机收到了长度大于65536字节的包时,就是受到了Ping of Death攻击,该攻击会造成主机的宕机。由于在早期的阶段,路由器对包的最大尺寸都有限制,许多操作系统对TCP/IP栈的实现在ICMP包上都是规定64KB,并且在对包的标题头进行读取之后,要根据该标题头里包含的信息来为有效载荷生成缓冲区,当产生畸形的,声称自己的尺寸超过ICMP上限的包也就是加载的尺寸超过64K上限时,就会出现内存分配错误,导致TCP/IP堆栈崩溃,致使接受方当机。 预防这种攻击的方法:现在所有的标准TCP/IP实现都已实现对付超大尺寸的包,并且大多数防火墙能够自动过滤这些攻击,包括:从windows98之后windows,NT(service pack 3之后),linux、Solaris、和Mac OS都具有抵抗一般ping ofdeath攻击的能力。此外,对防火墙进行配置,阻断ICMP以及任何未知协议,都讲防止此类攻击。
2 SYN flood
该攻击以多个随机的源主机地址向目的主机发送SYN包,而在收到目的主机的SYN ACK后并不回应,这样,目的主机就为这些源主机建立了大量的连接队列,而且由于没有收到ACK一直文护着这些队列,造成了资源的大量消耗而不能向正常请求提供服务。一些TCP/IP栈的实现只能等待从有限数量的计算机发来的ACK消息,因为他们只有有限的内存缓冲区用于创建连接,如果这一缓冲区充满了虚假连接的初始信息,该服务器就会对接下来的连接停止响应,直到缓冲区里的连接企图超时。在一些创建连接不受限制的实现里,SYN洪水具有类似的影响。预防这种攻击的方法:在防火墙上过滤来自同一主机的后续连接。 未来的SYN洪水令人担忧,由于释放洪水的并不寻求响应,所以无法从一个简单高容量的传输中鉴别出来。
3 UDP洪水(UDP flood)
概览:各种各样的假冒攻击利用简单的TCP/IP服务,如Chargen和Echo来传送毫无用处的占满带宽的数据。通过伪造与某一主机的Chargen服务之间的一次的UDP连接,回复地址指向开着Echo服务的一台主机,这样就生成在两台主机之间的足够多的无用数据流,如果足够多的数据流就会导致带宽的服务攻击。 预防这种攻击的方法:关掉不必要的TCP/IP服务,或者对防火墙进行配置阻断来自Internet的请求这些服务的UDP请求。4 CPU Hog
一种通过耗尽系统资源使运行NT的计算机瘫痪的拒绝服务攻击,利用Windows NT排定当前运行程序的方式所进行的攻击。
5 Win Nuke
是以拒绝目的主机服务为目标的网络层次的攻击。攻击者向受害主机的端口139,即netbios发送大量的数据。因为这些数据并不是目的主机所需要的,所以会导致目的主机的死机。
6 RPC Locator
攻击者通过telnet连接到受害者机器的端口135上,发送数据,导致CPU资源完全耗尽。依照程序设置和是否有其他程序运行,这种攻击可以使受害计算机运行缓慢或者停止响应。无论哪种情况,要使计算机恢复正常运行速度必须重新启动。
7 聚类算法在网络入侵检测技术中的作用
7.1模式识别的概念
模式识别方法(Pattern Recognition Method)是一种借助于计算机对信息进行处理、判决分类的数学统计方法。在日常生产实践和社会研究中,往往所需处理的问题影响因素非常多且复杂,给问题的研究和解决增加了困难。模式识别方法可使人们在影响因素众多的情况下仍能对问题进行方便的处理,进而发现问题的解决途径和事物发展的潜在规律性。在一个多因素问题中,结果即目标与各因素即指标之间难以找出直接的联系,很难用理论的途径去解决。在各指标之间一时也寻找不到明显的关联,所能得到的只是些模糊的认识、由长期的经验所形成的感知和由测量所积累的数据。因此,若能用计算机技术对以往的经验、观察、数据进行总结,寻找目标与各指标之间的某种联系或目标的优化区域、优化方向,则对实际问题的解决是具有指导意义和应用价值的。模式识别方法正是基于此种思想,并获得广泛应用和取得较大成功的有效方法之一。
应用模式识别方法的首要步骤是建立模式空间。所谓模式空间是指在考察一客观现象时,影响目标的众多指标构成的多文空间。每个指标代表一个模式参量。
假设一现象有几个事件(样本)组成,每一个事件都有P个特征参量(X1, X2,…Xp),则它就构成P文模式空间,每一个事件的特征参量代表一个模式。模式识别就是对多文空间中各种模式的分布特点进行分析,对模式空间进行划分,识别各种模式的聚类情况,从而作出判断或决策。
7.2模式分类
模式分类的方法有很多种,比如贝叶斯决策论,最大似然估计和贝叶斯参数估计,分参数技术,线性判别函数法,独立于算法的机器学习,利用这些方法,我们一直假设在设计分类器时,训练样本集中每个样本的类别归属是“被标记了” 的,这种利用已标记样本集的方法称为“有监督”或“有教师”方法。
下面我们将介绍“无监督”或“无教师”方法,用来处理未被标记的样本集。
有许多理由使我们相信“无监督”方法是非常有用的:
1. 收集并标记大型样本集是个非常费时费力的工作,若能在一个较小的样本空间上粗略地训练一个分类器,随后,允许它以自适应的方式处理大量的无监督的样本,我们就能节省大量的时间和精力。
2. 存在很多应用,待分类模式的性质会随着时间发生缓慢的变化。如果这种性质的变化能在无监督的情况下捕捉到,分类器的性能就会大幅提升。
3. 可以用无监督的方法提取一些基本特征,这些特征对进一步分类会很有用。
4. 在任何一项探索性的工作中,无监督的方法都可以向我们揭示观测数据的一些内部结构和规律。
在无监督情况下,我们可以尝试以多种方式重新描述问题,其中之一是将问题陈述为对数据分组或聚类的处理。尽管得到的聚类算法没有很明显的理论性,但它们确实是模式识别研究中非常有用的一类技术。
下面我们详细介绍几种聚类算法并说明它们对入侵检测技术的贡献。 7.3基于异常的入侵检测技术
基于异常的入侵检测技术技术可以分为有监督的异常检测技术和无监督的异常检测技术,有监督的异常检测技术通过观察得到的正常数据建立正常数据模型,然后检测技术那些偏离正常模型的异常数据,一个比较典型的使用这种技术的系统是美国乔治梅森大学的MADAM/ID系统。这种方法能够检测技术新的攻击类型,因为这些新的攻击数据也会偏离正常的数据模型。有监督的异常检测技术的一个缺陷是需要一组完全正常的数据来训练获得模型,如果训练数据中包含攻击数据的话,这些攻击就很难检测技术到,因为该方法把这些攻击数据认为是正常数据,另一方面,要获取这些训练数据也是很困难的。
上一页 [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] ... 下一页 >>
入侵检测技术原理研究论文 第9页下载如图片无法显示或论文不完整,请联系qq752018766