论文部分内容阅读
摘 要: 随着计算机网络技术的不断发展,人们对网络安全也越来越重视。将对入侵检测系统在计算机网络安全的运用展开探讨,并对其概念、运用过程及作用等方面进行分析,其实际情况如下。
关键词: 网络安全;入侵检测系统;计算机技术;异常检测;误用检测
1 概述
入侵检测系统主要是指,通过对计算机的网络系统进行监测,并运用其主要的关键点对信息进行收集、分析,然后发现某些与安全策略相违背的行为,或发现某些被攻击的迹象,并及时的自动的做出相关的反应。通常情况下其功能为:对系统和用户的行为进行监测和分析;对系统的配置及漏洞及时的做出审计检查;对数据文件和系统的完整性做出评估;对已知的某些攻击行为或模式进行识别和统计分析;操作系统做出相关的跟踪审计管理,对某些与安全策略相违背的用户行为进行识别等。入侵检测系统在计算机网络安全的作用主要有:对异常进行检测、对误用进行检测。
2 对异常进行检测
2.1 统计异常的检测
在统计异常检测中,可以通过异常检测器对主体活动进行观察,然后将这些活动的关键性行为轮廓进行刻画。统计分析异常检测方法:
1)操作模型:该模型假设异常可通过测量结果与一些固定指标相比较得到,固定指标可以根据经验值或一段时间内的统计平均得到。举例来说,在短时间内的多次失败的登录很有可能是口令尝试攻击。
2)方差:计算参数的方差,设定其置信区间,当测量值超过置信区间的范围时表明有可能是异常行为。
3)多元模型:操作模型的扩展,通过同时分析多个参数实现检测。
4)时间序列分析:将资源耗用根据时间与事件计数排成序列,如果某一时间段发生低概率事件,则可以初步判定为可能入侵。
5)马尔柯夫过程模型:首行将系统状态定义为每种类型的事件,然后状态的变化用状态转移矩阵表示,状态矩阵该转移的概率较小或者所定义类型事件发生时,则可能是异常事件。
2.2 神经网络的异常检测
神经网络的异常检测主要是将神经网络中的某些连续性的信息单元进行训练,在其输入层中有用户现有的输入命令及已操作完成后的命令,用户已操作完成的命令可以被神经网络加以运用,然后对用户的下一个输入命令进行预测[3]。神经网络训练主要有三个阶段:1)网络构造及训练:在训练阶段,根据神经网络的实际输出模式与期望输出模式的误差调整网络的权值;2)网络修剪:删除多余的隐藏层节点和多余的节点之间的联结。3)规则提取:即从修剪后的网络中提取出分类规则。
2.3 特征选择的异常检测
特征选择的异常检测主要从某一组的度量中对某些入侵行为的主要度量的构成子集进行挑选,然后对已有效检测出的入侵行为进行分类或预测。该法的关键性问题就是对入侵活动和异常活动作出有效的判断,但要使判断与实际的度量相符是比较困难的,由于对度量子集进行适当的选择主要依照的是已有效检测到的全部入侵类型,而某一个度量集是很难对所有的入侵类型进行检测,事先已确定的某些度量也很难检测出特殊环境下的某些入侵行为。特征子集构造如下:特征子集的构造方法为:假设与入侵潜在相关的度量有n个,则这n个度量构成子集数是2n个。由于度量数与搜索空间为指数关系,所以想方设法找到量子集的最佳程度是无效的。可通过Maccabe提出遗传方法来搜索整个量子空间,找到正确的量子集。方法是使用学习分类程序产生基因突变算子和交叉算子,除去较低的预测入侵量子集,同时利用遗传算子产生的强度量子集。使用此方法与具有较高的预测量子集相结合,在所充许搜索空间,比其他启发式搜索技术更有效。
2.4 模式预测的异常检测
模式预测的异常检测需要有一定的假设条件,即事件的序列必须是有规律的可辨别模式而不是随机的。该法主要考虑的是事件的相互关系及序列。通过对用户行为进行观察,归纳总结出一个规则集,然后构建为用户的主要轮廓框架。若观察到的某些事件序列与后续的事件相背离,则表明用户的操作存在异常。
3 对误用进行检测
3.1 专家系统的误用检测
专家系统主要是根据专家的某些经验和知识而建立起来的,并以推理机和知识库为中心而构成的软件智能系统。其应用程序:首先使用规则类似的if-then格式输入现有的知识(攻击模式),然后输入入侵检测数据(审核事件日志),系统根据知识库中的内容来评估测试数据,判断是否有入侵模式。专家系统的优点回答了系统的控制过程和问题的最后阶段分离的推理,即支持不需要了解或在该专家系统的推理过程,但只有到了自制的黑盒子专家系统。当然,要实现这一目标,形成黑盒子是一个艰难而耗时的工作,重点在于嵌入式系统中的编码引擎和检验规则。
3.2 模型的误用检测
模型的误用检测系统,是通过三个模块实现的:先知模块,规划模块,解释模块。模型推理系统测试过程中,根据越来越多的收集特殊情况数据,通过三个模块的过程中不断循环前进的过程。常用概率论和微积分的数学方法来处理积累的数据。当数据积累达到一定限度时,检测到攻击或试图攻击。每次攻击脚本代表的侵略行为,在任何时刻的序列,可将攻击脚
本的加以利用,从而通过对一个子集系统的判断,推断出系统是否遭到恶意入侵。而预警器在依照此时的活动模型,做出进一步的智能行为,并对其进行记录,然后作为审计跟踪的主要验证。规划者主要对假设行为进行判断,并在审计跟踪的数据上做出反应,并将假设行为转化为与系统有关的审计跟踪行为。该系统具有嵌入数据的分析推理能力,对剧本出现活动进行更新,并依照攻击剧本的概率检测推断出入侵行为。
3.3 状态迁移分析的误用检测
攻击者所操作执行的入侵行为,可以让系统的正常操作状态发生迁移,让其状态转化为一个相对危及的系统状态。此时的状态主要指系统在某一特定时刻的基本特征,可表现为此时全部系统数据、进程、用户的函数。初始状态与入侵前的网络系统状态相对应,危及系统的安全状态与入侵后的系统状态相对应。在两个不同状态之间,可能会有某些中间状态发生迁移,状态迁移的分析通常考虑的是在每一步入侵行为对系统状态所会造成的迁移影响,然后检测出对攻击系统的某些行为。同时,由于每一次状态的迁移,都要利用入侵的最小特征子集,因此可以对某些不相关的动作入侵行为进行检测。状态转换法是通过述已知的攻击模式:系统状态和状态转换表达式来实现的,优化模式匹配技术来处理误用检测的问题,具有系统灵活,处理速度更快等特点。因此,状态转换法已成为最有竞争力的入侵检测方法之一。它可以使用以下三种方法:状态转换分析的方法,基于语言/应用程序接口的方法、有色Petri网。
4 结束语
当前入侵检测系统的发展还面临着很多挑战,可以将异常检测的各种方法综合起来考虑,同时要与误用检测有效的结合起来、相辅相成,建立一个准确、高效的入侵检测系统。通过研究可以看出基于数据挖掘、神经网络、免疫系统等的智能化入侵检测是未来入侵检测技术发展的主要方向,只是目前还缺乏关键性的突破。
参考文献:
[1]徐国芹,基于AGLET的分布式入侵检测系统的研究[J].赤峰学院学报(自然科学版),2009(05):28-30.
[2]高立丽、张娅、刘海梅,网络入侵检测发展现状及应用研究[J].科技信息,2011(01):92-93.
关键词: 网络安全;入侵检测系统;计算机技术;异常检测;误用检测
1 概述
入侵检测系统主要是指,通过对计算机的网络系统进行监测,并运用其主要的关键点对信息进行收集、分析,然后发现某些与安全策略相违背的行为,或发现某些被攻击的迹象,并及时的自动的做出相关的反应。通常情况下其功能为:对系统和用户的行为进行监测和分析;对系统的配置及漏洞及时的做出审计检查;对数据文件和系统的完整性做出评估;对已知的某些攻击行为或模式进行识别和统计分析;操作系统做出相关的跟踪审计管理,对某些与安全策略相违背的用户行为进行识别等。入侵检测系统在计算机网络安全的作用主要有:对异常进行检测、对误用进行检测。
2 对异常进行检测
2.1 统计异常的检测
在统计异常检测中,可以通过异常检测器对主体活动进行观察,然后将这些活动的关键性行为轮廓进行刻画。统计分析异常检测方法:
1)操作模型:该模型假设异常可通过测量结果与一些固定指标相比较得到,固定指标可以根据经验值或一段时间内的统计平均得到。举例来说,在短时间内的多次失败的登录很有可能是口令尝试攻击。
2)方差:计算参数的方差,设定其置信区间,当测量值超过置信区间的范围时表明有可能是异常行为。
3)多元模型:操作模型的扩展,通过同时分析多个参数实现检测。
4)时间序列分析:将资源耗用根据时间与事件计数排成序列,如果某一时间段发生低概率事件,则可以初步判定为可能入侵。
5)马尔柯夫过程模型:首行将系统状态定义为每种类型的事件,然后状态的变化用状态转移矩阵表示,状态矩阵该转移的概率较小或者所定义类型事件发生时,则可能是异常事件。
2.2 神经网络的异常检测
神经网络的异常检测主要是将神经网络中的某些连续性的信息单元进行训练,在其输入层中有用户现有的输入命令及已操作完成后的命令,用户已操作完成的命令可以被神经网络加以运用,然后对用户的下一个输入命令进行预测[3]。神经网络训练主要有三个阶段:1)网络构造及训练:在训练阶段,根据神经网络的实际输出模式与期望输出模式的误差调整网络的权值;2)网络修剪:删除多余的隐藏层节点和多余的节点之间的联结。3)规则提取:即从修剪后的网络中提取出分类规则。
2.3 特征选择的异常检测
特征选择的异常检测主要从某一组的度量中对某些入侵行为的主要度量的构成子集进行挑选,然后对已有效检测出的入侵行为进行分类或预测。该法的关键性问题就是对入侵活动和异常活动作出有效的判断,但要使判断与实际的度量相符是比较困难的,由于对度量子集进行适当的选择主要依照的是已有效检测到的全部入侵类型,而某一个度量集是很难对所有的入侵类型进行检测,事先已确定的某些度量也很难检测出特殊环境下的某些入侵行为。特征子集构造如下:特征子集的构造方法为:假设与入侵潜在相关的度量有n个,则这n个度量构成子集数是2n个。由于度量数与搜索空间为指数关系,所以想方设法找到量子集的最佳程度是无效的。可通过Maccabe提出遗传方法来搜索整个量子空间,找到正确的量子集。方法是使用学习分类程序产生基因突变算子和交叉算子,除去较低的预测入侵量子集,同时利用遗传算子产生的强度量子集。使用此方法与具有较高的预测量子集相结合,在所充许搜索空间,比其他启发式搜索技术更有效。
2.4 模式预测的异常检测
模式预测的异常检测需要有一定的假设条件,即事件的序列必须是有规律的可辨别模式而不是随机的。该法主要考虑的是事件的相互关系及序列。通过对用户行为进行观察,归纳总结出一个规则集,然后构建为用户的主要轮廓框架。若观察到的某些事件序列与后续的事件相背离,则表明用户的操作存在异常。
3 对误用进行检测
3.1 专家系统的误用检测
专家系统主要是根据专家的某些经验和知识而建立起来的,并以推理机和知识库为中心而构成的软件智能系统。其应用程序:首先使用规则类似的if-then格式输入现有的知识(攻击模式),然后输入入侵检测数据(审核事件日志),系统根据知识库中的内容来评估测试数据,判断是否有入侵模式。专家系统的优点回答了系统的控制过程和问题的最后阶段分离的推理,即支持不需要了解或在该专家系统的推理过程,但只有到了自制的黑盒子专家系统。当然,要实现这一目标,形成黑盒子是一个艰难而耗时的工作,重点在于嵌入式系统中的编码引擎和检验规则。
3.2 模型的误用检测
模型的误用检测系统,是通过三个模块实现的:先知模块,规划模块,解释模块。模型推理系统测试过程中,根据越来越多的收集特殊情况数据,通过三个模块的过程中不断循环前进的过程。常用概率论和微积分的数学方法来处理积累的数据。当数据积累达到一定限度时,检测到攻击或试图攻击。每次攻击脚本代表的侵略行为,在任何时刻的序列,可将攻击脚
本的加以利用,从而通过对一个子集系统的判断,推断出系统是否遭到恶意入侵。而预警器在依照此时的活动模型,做出进一步的智能行为,并对其进行记录,然后作为审计跟踪的主要验证。规划者主要对假设行为进行判断,并在审计跟踪的数据上做出反应,并将假设行为转化为与系统有关的审计跟踪行为。该系统具有嵌入数据的分析推理能力,对剧本出现活动进行更新,并依照攻击剧本的概率检测推断出入侵行为。
3.3 状态迁移分析的误用检测
攻击者所操作执行的入侵行为,可以让系统的正常操作状态发生迁移,让其状态转化为一个相对危及的系统状态。此时的状态主要指系统在某一特定时刻的基本特征,可表现为此时全部系统数据、进程、用户的函数。初始状态与入侵前的网络系统状态相对应,危及系统的安全状态与入侵后的系统状态相对应。在两个不同状态之间,可能会有某些中间状态发生迁移,状态迁移的分析通常考虑的是在每一步入侵行为对系统状态所会造成的迁移影响,然后检测出对攻击系统的某些行为。同时,由于每一次状态的迁移,都要利用入侵的最小特征子集,因此可以对某些不相关的动作入侵行为进行检测。状态转换法是通过述已知的攻击模式:系统状态和状态转换表达式来实现的,优化模式匹配技术来处理误用检测的问题,具有系统灵活,处理速度更快等特点。因此,状态转换法已成为最有竞争力的入侵检测方法之一。它可以使用以下三种方法:状态转换分析的方法,基于语言/应用程序接口的方法、有色Petri网。
4 结束语
当前入侵检测系统的发展还面临着很多挑战,可以将异常检测的各种方法综合起来考虑,同时要与误用检测有效的结合起来、相辅相成,建立一个准确、高效的入侵检测系统。通过研究可以看出基于数据挖掘、神经网络、免疫系统等的智能化入侵检测是未来入侵检测技术发展的主要方向,只是目前还缺乏关键性的突破。
参考文献:
[1]徐国芹,基于AGLET的分布式入侵检测系统的研究[J].赤峰学院学报(自然科学版),2009(05):28-30.
[2]高立丽、张娅、刘海梅,网络入侵检测发展现状及应用研究[J].科技信息,2011(01):92-93.