入侵检测系统中两种异常检测方法分析我的论文精.docx
《入侵检测系统中两种异常检测方法分析我的论文精.docx》由会员分享,可在线阅读,更多相关《入侵检测系统中两种异常检测方法分析我的论文精.docx(8页珍藏版)》请在冰豆网上搜索。
入侵检测系统中两种异常检测方法分析我的论文精
网络入侵检测系统的研究
摘要:
随着互联网络的广泛应用,网络信息量迅速增长,网络安全问题日趋突出。
入侵检测作为网络安全的重要组成部分,已成为目前研究的热点,本文介绍了入侵检测系统的概念、功能、模式及分类,指出了当前入侵检测系统存在的问题并提出了改进措施,特别是针对异常入侵检测方法的研究,着重分析了基于神经网络的和层次聚类的异常检测方法,并从理论和试验层次队两种检测技术进行分析比较,客观分析了两种算法的优缺点。
同时预测了入侵检测系统的发展趋势。
关键词:
入侵检测;入侵检测系统;BP神经网络;层次聚类;网络安全。
在基于网络的计算机应用给人们生活带来方便的同时,网上黑客的攻击活动正以每年10倍的速度增长,因此,保证计算机系统、网络以及整个信息基础设施的安全已经成为刻不容缓的重要课题。
防火墙作为一种边界安全的手段,在网络安全保护中起着重要作用,其主要功能石控制对网络的非法访问,通过监视、限制、更改通过网络的数据流,一方面尽可能屏蔽内部网的拓扑结构,另一方面对内屏蔽外部危险站点,以防范外对内的非法访问。
然而,由于性能的限制,防火墙通常不能提供实时的入侵检测能力,为了弥补防火墙存在缺陷,引入了入侵检测IDS(IntrusionDetectionSystem技术。
入侵检测是防火墙之后的第二道安全闸门,是对防火墙的合理补充,在不影响网络性能的情况下,通过对网络的检测,帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提供对内部攻击、外部攻击和误操作的实时保护。
一、入侵检测系统的概念
入侵检测定义为识别为被授权使用的计算机系统和有合法权利使用系统但却滥用特权的过程。
即通过对计算机网络或系统中的若干关键点收集信息并对其进行分析,从而发现是否有违反安全策略的行为和被入侵的迹象。
进行入侵检测的软件与硬件的组合便是入侵检测系统(IDS)。
一个入侵检测产品通常由两部分组成,即传感器与控制台。
传感器负责采集数据、分析数据并生成安全时间;控制台主要起到中央管理作用。
商品化的产品通常提供图形界面的控制台,这些控制台基本上都支持WindowsNT平台。
入侵检测系统的主要功能有:
1、监视、分析用户及系统活动;2、核查系统配置和漏洞;3、识别已知进攻并向相关人员报警;4、统计分析异常行为;5、评估重要系统和数据的完整性;6、操作系统日志管理,并识别违反安全策略的用户活动。
二、入侵检测系统模型
美国斯坦福国际研究所(SRI)的D.E.Denning于1986年首次提出一种入侵检测模型。
该模型的检测方法就是建立用户正常行为的描述模型,并以此同当前用户活动的审计记录进行比较。
如果有较大偏差,则表示有异常活动发生:
这是一种基于统计的检测方法。
随着技术的发展,后来人们又提出了基于规则的检测方法。
通用入侵检测架构(CIDF)组织,试图将现有的入侵检测系统标准化,阐述了一个入侵检测系统分为以下4个组件:
事件产生器、事件分析器、相应单元和事件数据库,同时将需要分析的数据统称为事件。
事件可以是基于网络的数据包,也可以是基于主机的系统日志中的信息。
事件产生器的目的是从整个计算机环境中获得事件,并向系统其他部分提供此事件;事件分析器分析得到的事件并产生分析结果;响应单元则是队分析结果做出反应的功能单元,它可以做出切断连接、修改文件属性等强烈反应;事件数据库是存放各种中间和最终数据地方的通称,它可以是复杂的数据库也可以是简单的文本文件。
三、入侵检测系统的分类
对入侵检测系统主要从数据源、检测方法、分布形式、响应方式等方面分类,其中前两种为主要的分类方式。
(一)按照数据来源分类
1、网络型
网络型入侵检测系统部署在网络设备节点上,优点是能够检测基于协议的攻击,攻击者不易转移证据;检测实时性强,无需改动网络拓扑,对外透明,能降低本身守攻击的可能性;可在几个关键点上配置并观察多个系统。
主要缺点是对于加密信道和某些基于加密信道的应用层协议无法实现数据解密,不能起到监视作用;无法得到主机系统的实时状态信息,检测复杂攻击的准确率低;在实时检测中,需对每个数据包都进行协议解析和模式匹配,系统开销大。
2、主机型
主机型入侵检测系统部署在主机上,监视分析主机审计记录以检测入侵,效率高,能准确定位入侵并进一步分析。
有点是不需要额外的硬件,可用于加密以及交换环境,对网络流量不敏感,检测粒度细,目标明确集中,可监测敏感文件、程序或端口。
缺点是占用主机资源,依赖于系统可靠性,可移植性差,只能检测针对本机的攻击,不适合检测基于网络协议的攻击,数据源主要包括系统审计信息、系统日志信息、内核信息、应用审计信息、系统目标信息。
3、混合型
混合型入侵检测结合了网络入侵检测和主机入侵检测二者的优点,在关键主机上采用主机入侵检测,在网络关键节点上采用网络入侵检测。
(二)按照检测方法分类
1、异常检测(AnomalyDetection)
异常检测志根据用户行为或者资源状况正常程度,将当前情况和轮廓(Profile)比较以发现入侵,不依赖具体行为,可发现未知攻击。
异常检测认为入侵是异常的子集,有统计分析、非参量统计分析、专家系统、量化分析和基于规则的检测,但关键在正常模式(NormalProfile)的建立及利用该模式与当前状况比较。
异常检测的主要优点:
与系统相对无关,通用性较强;不需要过多系统缺陷的知识,适应性强,能检测位置入侵;不同的描述模式可使用不同的概率统计模型。
异常检测的主要缺点:
由于不可能对系统所有用户行为全面描述,且用户的行为常改变,所以误报率高;入侵者通过恶意训练,使检测系统习惯攻击而无法识别。
2、滥用检测(MisuseDetection)
滥用检测方法定义入侵模式,通过模式是否出现来判断,也称基于知识的检测(KnowledgeBasedDetection)。
它依据具体攻击特征细微变化就会使之无能为力,漏报率较高,对系统依赖性高,一致性较差,检测范围守已知知识局限,难以检测内部入侵,而且将具体入侵手段抽象成知识也很困难,该方法主要有简单模式匹配、专家系统、状态转移法、条件概率、击键监控、信息反馈批处理分析等。
3、特征检测(Specification-BasedDetection)
特征检测定义系统轮廓,将系统行为与轮廓比较,不属于正常行为的事件定义为入侵,该方法常采用某种特征语言定义系统的安全策略,当系统特征不能准确囊括所有的状态时就会漏报或误报。
上述检测方法各有优缺点,因此实际入侵检测系统可采用多种检测方法的结合。
入侵检测系统的结果方式有单一式、完全分布式、部分分布式。
单一结构的数据分析处理在单机上完成,早期多采用这种结构(如IDES等),它等于管理和协调,当单点失效后果严重。
完全分布式结构无中心,分布性和容错性好,但管理和信息综合较困难。
四、目前,异常检测已经成为当前入侵检测系统研究的热点之一,本文将着重介绍聚类分析与神经网络两种异常检测技术,并进行分析比较。
(一)、两种异常入侵检测技术
1、BP神经网络的入侵检测技术
BP神经网络是一种多层前馈网络,也是目前应用最广泛的一种网络,采用梯度最速下降搜索技术,按代数函数(网络实际输出的均方误差)最小的准则递归求解网络的权值和各节点的阀值。
它包含输入层、隐含层、和输出层,同层单元之间不相连。
由于具有学习能力,因此IDS可用其来学习用户的行为,并根据最新变化进行调整。
将BP神经网络用于如陪你检测的具体过程包括两个阶段:
第一阶段是采用代表用户行为的历史数据进行训练;构造入侵检测分析模型,由于已标识个数据的类型,因此可通过此模型区分个行为的类型。
第二阶段是入侵分析的实际执行阶段;给定某一阀值对网络中采集的数据进行分析,以判断属于正常或异常类型。
2、聚类分析的入侵检测技术
聚类分析又称群分析,是研究(样品或指标)分类问题的一种多元统计方法,所谓类是指相似元素的集合。
而聚类就是按照一定的要求和规律进行区分和分类的过程,在这一过程中没有任何关于类分的先验知识,没有教师指导,仅靠事物间的相似性作为类属划分的准则,即同一聚类之间最小化,而不同聚类之间数据最大化。
本文着重介绍一种聚类算法,即层次聚类算法。
该算法队给定的数据集进行层次分解,指导某种条件满足为止。
将层次聚类算法用于异常入侵检测的过程主要有三部分:
一是数据预处理部分。
主要包括数据离散化、归一化处理,当涉及到求解各种数据记录间距离时,由于连接记录中存在不同的数据类型,必须采用合适的异构数据间的距离度量方法来完成。
二是进行无监督的聚类分析过程。
即利用聚类模型对新的检测样本进行分类。
(二)、理论分析
1、BP神经网络应用于入侵检测
(1)、优点
第一,BP神经网络具有非线性处理和概括抽象的能力。
对于处理网路环境中常常出现信息丢失不完整或者变形失真的情况,具有一定的容错处理能力。
第二,BP神经网络具备高度的学习和自适应能力。
通过对输入正常样本和异常样本的不断训练,神经网络不仅能够以很高的准确率识别出新的入侵行为特征,而且能够以一定的概率识别出新的入侵行为特征和已知入侵行为的变种形式。
从而可克服基于专家系统检测技术的局限性。
第三,BP神经网络的内在并行计算和存储特性。
在传统的计算技术中,计算和存储是完全独立的两个部分,即计算机部件必须从存储部件中取出指令和待处理数据,然后进行计算,最后将计算结果返回存储器。
因此,存储器和计算器间的传输带宽成为制约计算机性能的瓶颈。
而在神经网络模型中,信息的存储和计算是合二为一的,各个神经元的工作方式是完全并行的,从输入到输出的计算过程实际上就是权值的传递过程,而在权值传递的过程中,就同时完成了信息的存储过程。
此种并行计算模式所具有的潜在高速计算能力对于入侵检测来说,可在很短时间内,处理更多的检测规则或特征值,即在更短时间内发现入侵行为,减少可能的系统损失。
(2)、不足
第一、不同的神经网络类型和拓扑结构,都存在学习能力的限制容量。
面对现实环境中数以千计的不同攻击特征,要做到完整识别,还需要进一步的研究。
第二、神经网络具备很强的学习能力,能给出判定的类别信息,但是对于具体发生的事件类型,则缺乏明确的解释能力。
对于入侵检测,仅判定当前事件是否异常往往不够,通常还需要得到关于该异常事件具体类型的明确信息。
此外,神经网络的训练和学习能力,往往是通过内部的权值连接和拓扑结构来实现和存储的,对于最终判定结果的产生,通常难以具体解释详细的判定过程以及确定性的判定步骤。
第三、构造入侵检测网络模型是根据个特征属性之间的相关性建立的,是横向的结合,同时在建立模型前必须有相当数量已知的训练样本,需经过样本数据的训练使得网络模型适用于具体的应用领域,属于有监督的入侵检测分析方法。
第四、理论上讲神经网络具备并行经计算机的强大能力,但在当前计算机的存储-计算架构下来完全实现神经网络的并行计算潜力有一定的难度。
2、层次聚类分析应用于入侵检测
(1)、优点
第一、由于入侵检测的层次聚类分析法是无监督的检测方法。
不需要人工或其他的方法来对样本数据进行训练分类,可直接进行异常分类得出分类模型。
同时具有高度的自学习和自适应能力,能够根据模型检测出已有的攻击以及一定数量的未知攻击类型,克服误用检测的局限性。
第二、由于聚类方法是从数据角度进行分析,其最终结果是一个面向对象的概念化知识,该知识反应了数据的内在特性,是对数据所包含的信息的更高层次的抽象。
将其应用于入侵检测,以入侵检测样本数据集作为分析粒度,采用层次聚类法,可使分类过程易于理解与实现,所得结果可以树状图的形式表示,体现可视化的特点。
第三、针对描述系统和网络活动的情况特征集既有数值特征又有符号特征,在利用层次聚类进行入侵检测分析时,选用混合型数据样本间距离计算方法,增强了算法与实际应用的关联性。
同时层次聚类算法具有用户无需设置参数,算法简单易懂,结果确定性的特点。
(2)、不足
第一
升级会员 