導(dǎo)語:在入侵檢測論文的撰寫旅程中�����,學(xué)習(xí)并吸收他人佳作的精髓是一條寶貴的路徑�����,好期刊匯集了九篇優(yōu)秀范文��,愿這些內(nèi)容能夠啟發(fā)您的創(chuàng)作靈感�����,引領(lǐng)您探索更多的創(chuàng)作可能��。
第1篇
關(guān)鍵字:入侵檢測;協(xié)議分析;模式匹配;智能關(guān)聯(lián)a
1引言
入侵檢測技術(shù)是繼“防火墻”����、“數(shù)據(jù)加密”等傳統(tǒng)安全保護(hù)措施后新一代的安全保障技術(shù),它對計(jì)算機(jī)和
網(wǎng)絡(luò)資源上的惡意使用行為進(jìn)行識(shí)別和響應(yīng),不僅檢測來自外部的入侵行為,同時(shí)也監(jiān)督內(nèi)部用戶的未授權(quán)活動(dòng)。但是隨著網(wǎng)絡(luò)入侵技術(shù)的發(fā)展和變化以及網(wǎng)絡(luò)運(yùn)用的不斷深入,現(xiàn)有入侵檢測系統(tǒng)暴露出了諸多的問題�����。特別是由于網(wǎng)絡(luò)流量增加��、新安全漏洞未更新規(guī)則庫和特殊隧道及后門等原因造成的漏報(bào)問題和IDS攻擊以及網(wǎng)絡(luò)數(shù)據(jù)特征匹配的不合理特性等原因造成的誤報(bào)問題,導(dǎo)致IDS對攻擊行為反應(yīng)遲緩,增加安全管理人員的工作負(fù)擔(dān),嚴(yán)重影響了IDS發(fā)揮實(shí)際的作用����。
本文針對現(xiàn)有入侵監(jiān)測系統(tǒng)誤報(bào)率和漏報(bào)率較高的問題,對幾種降低IDS誤報(bào)率和漏報(bào)率的方法進(jìn)行研究。通過將這幾種方法相互結(jié)合,能有效提高入侵檢測系統(tǒng)的運(yùn)行效率并能大大簡化安全管理員的工作,從而保證網(wǎng)絡(luò)
安全的運(yùn)行����。
2入侵檢測系統(tǒng)
入侵是對信息系統(tǒng)的非授權(quán)訪問及(或)未經(jīng)許可在信息系統(tǒng)中進(jìn)行操作,威脅計(jì)算機(jī)或網(wǎng)絡(luò)的安全機(jī)制(包括機(jī)密性、完整性��、可用性)的行為��。入侵可能是來自外界對攻擊者對系統(tǒng)的非法訪問,也可能是系統(tǒng)的授權(quán)用戶對未授權(quán)的內(nèi)容進(jìn)行非法訪問,入侵檢測就是對企圖入侵�����、正在進(jìn)行的入侵或已經(jīng)發(fā)生的入侵進(jìn)行識(shí)別的過程。入侵檢測系統(tǒng)IDS(IntrusionDetectionSystem)是從多種計(jì)算機(jī)系統(tǒng)機(jī)及網(wǎng)絡(luò)中收集信息,再通過這些信息分析入侵特征的網(wǎng)絡(luò)安全系統(tǒng)����。
現(xiàn)在的IDS產(chǎn)品使用的檢測方法主要是誤用檢測和異常檢測。誤用檢測是對不正常的行為進(jìn)行建模,這些行為就是以前記錄下來的確認(rèn)了的誤用或攻擊�����。目前誤用檢測的方法主要是模式匹配,即將每一個(gè)已知的攻擊事件定義為一個(gè)獨(dú)立的特征,這樣對入侵行為的檢測就成為對特征的匹配搜索,如果和已知的入侵特征匹配,就認(rèn)為是攻擊��。異常檢測是對正常的行為建模,所有不符合這個(gè)模型的事件就被懷疑為攻擊?���,F(xiàn)在異常檢測的主要方法是統(tǒng)計(jì)模型,它通過設(shè)置極限閾值等方法,將檢測數(shù)據(jù)與已有的正常行為比較,如果超出極限閾值,就認(rèn)為是入侵行為。
入侵檢測性能的關(guān)鍵參數(shù)包括:(1)誤報(bào):實(shí)際無害的事件卻被IDS檢測為攻擊事件����。(2)漏報(bào):攻擊事件未被IDS檢測到或被分析人員認(rèn)為是無害的。
3降低IDS誤報(bào)率方法研究
3.1智能關(guān)聯(lián)
智能關(guān)聯(lián)是將企業(yè)相關(guān)系統(tǒng)的信息(如主機(jī)特征信息)與網(wǎng)絡(luò)IDS檢測結(jié)構(gòu)相融合,從而減少誤報(bào)�����。如系統(tǒng)的脆弱性信息需要包括特定的操作系統(tǒng)(OS)以及主機(jī)上運(yùn)行的服務(wù)����。當(dāng)IDS使用智能關(guān)聯(lián)時(shí),它可以參考目標(biāo)主機(jī)上存在的��、與脆弱性相關(guān)的所有告警信息�����。如果目標(biāo)主機(jī)不存在某個(gè)攻擊可以利用的漏洞,IDS將抑制告警的產(chǎn)生。
智能關(guān)聯(lián)包括主動(dòng)和被動(dòng)關(guān)聯(lián)����。主動(dòng)關(guān)聯(lián)是通過掃描確定主機(jī)漏洞;被動(dòng)關(guān)聯(lián)是借助操作系統(tǒng)的指紋識(shí)別技術(shù),即通過分析IP、TCP報(bào)頭信息識(shí)別主機(jī)上的操作系統(tǒng)��。
3.1.1被動(dòng)指紋識(shí)別技術(shù)的工作原理
被動(dòng)指紋識(shí)別技術(shù)的實(shí)質(zhì)是匹配分析法����。匹配雙方一個(gè)是來自源主機(jī)數(shù)據(jù)流中的TCP、IP報(bào)頭信息,另一個(gè)是特征數(shù)據(jù)庫中的目標(biāo)主機(jī)信息,通過將兩者做匹配來識(shí)別源主機(jī)發(fā)送的數(shù)據(jù)流中是否含有惡意信息��。通常比較的報(bào)頭信息包括窗口(WINDOWSIZE)�����、數(shù)據(jù)報(bào)存活期(TTL)�����、DF(dontfragment)標(biāo)志以及數(shù)據(jù)報(bào)長(Totallength)。
窗口大小(wsize)指輸入數(shù)據(jù)緩沖區(qū)大小,它在TCP會(huì)話的初始階段由OS設(shè)定��。數(shù)據(jù)報(bào)存活期指數(shù)據(jù)報(bào)在被丟棄前經(jīng)過的跳數(shù)(hop);不同的TTL值可以代表不同的操作系統(tǒng)(OS),TTL=64,OS=UNIX;TTL=12,OS=Windows��。DF字段通常設(shè)為默認(rèn)值,而OpenBSD不對它進(jìn)行設(shè)置��。數(shù)據(jù)報(bào)長是IP報(bào)頭和負(fù)載(Payload)長度之和����。在SYN和SYNACK數(shù)據(jù)報(bào)中,不同的數(shù)據(jù)報(bào)長代表不同的操作系統(tǒng),60代表Linux、44代表Solaris����、48代表Windows2000。
IDS將上述參數(shù)合理組合作為主機(jī)特征庫中的特征(稱為指紋)來識(shí)別不同的操作系統(tǒng)����。如TTL=64,初步判斷OS=Linux/OpenBSD;如果再給定wsize的值就可以區(qū)分是Linux還是OpenBSD。因此,(TTL,wsize)就可以作為特征庫中的一個(gè)特征信息����。3.1.2被動(dòng)指紋識(shí)別技術(shù)工作流程
具有指紋識(shí)別技術(shù)的IDS系統(tǒng)通過收集目標(biāo)主機(jī)信息,判斷主機(jī)是否易受到針對某種漏洞的攻擊,從而降低誤報(bào)率。
因此當(dāng)IDS檢測到攻擊數(shù)據(jù)包時(shí),首先查看主機(jī)信息表,判斷目標(biāo)主機(jī)是否存在該攻擊可利用的漏洞;如果不存在該漏洞,IDS將抑制告警的產(chǎn)生,但要記錄關(guān)于該漏洞的告警信息作為追究法律責(zé)任的依據(jù)�����。這種做法能夠使安全管理員專心處理由于系統(tǒng)漏洞產(chǎn)生的告警。
3.2告警泛濫抑制
IDS產(chǎn)品使用告警泛濫抑制技術(shù)可以降低誤報(bào)率����。在利用漏洞的攻擊勢頭逐漸變強(qiáng)之時(shí),IDS短時(shí)間內(nèi)會(huì)產(chǎn)生大量的告警信息;而IDS傳感器卻要對同一攻擊重復(fù)記錄,尤其是蠕蟲在網(wǎng)絡(luò)中自我繁殖的過程中,這種現(xiàn)象最為重要。
所謂“告警泛濫”是指短時(shí)間內(nèi)產(chǎn)生的關(guān)于同一攻擊的告警����。IDS可根據(jù)用戶需求減少或抑制短時(shí)間內(nèi)同一傳感器針對某個(gè)流量產(chǎn)生的重復(fù)告警��。這樣��。網(wǎng)管人員可以專注于公司網(wǎng)絡(luò)的安全狀況,不至于為泛濫的告警信息大傷腦筋����。告警泛濫抑制技術(shù)是將一些規(guī)則或參數(shù)(包括警告類型、源IP����、目的IP以及時(shí)間窗大小)融入到IDS傳感器中,使傳感器能夠識(shí)別告警飽和現(xiàn)象并實(shí)施抵制操作。有了這種技術(shù),傳感器可以在告警前對警報(bào)進(jìn)行預(yù)處理,抑制重復(fù)告警��。例如,可以對傳感器進(jìn)行適當(dāng)配置,使它忽略在30秒內(nèi)產(chǎn)生的針對同一主機(jī)的告警信息;IDS在抑制告警的同時(shí)可以記錄這些重復(fù)警告用于事后的統(tǒng)計(jì)分析��。
3.3告警融合
該技術(shù)是將不同傳感器產(chǎn)生的、具有相關(guān)性的低級(jí)別告警融合成更高級(jí)別的警告信息,這有助于解決誤報(bào)和漏報(bào)問題��。當(dāng)與低級(jí)別警告有關(guān)的條件或規(guī)則滿足時(shí),安全管理員在IDS上定義的元告警相關(guān)性規(guī)則就會(huì)促使高級(jí)別警告產(chǎn)生����。如掃描主機(jī)事件,如果單獨(dú)考慮每次掃描,可能認(rèn)為每次掃描都是獨(dú)立的事件,而且對系統(tǒng)的影響可以忽略不計(jì);但是,如果把在短時(shí)間內(nèi)產(chǎn)生的一系列事件整合考慮,會(huì)有不同的結(jié)論。IDS在10min內(nèi)檢測到來自于同一IP的掃描事件,而且掃描強(qiáng)度在不斷升級(jí),安全管理人員可以認(rèn)為是攻擊前的滲透操作,應(yīng)該作為高級(jí)別告警對待�����。例子告訴我們告警融合技術(shù)可以發(fā)出早期攻擊警告,如果沒有這種技術(shù),需要安全管理員來判斷一系列低級(jí)別告警是否是隨后更高級(jí)別攻擊的先兆;而通過設(shè)置元警告相關(guān)性規(guī)則,安全管理員可以把精力都集中在高級(jí)別警告的處理上�����。元警告相關(guān)性規(guī)則中定義參數(shù)包括時(shí)間窗��、事件數(shù)量����、事件類型IP地址、端口號(hào)����、事件順序。
4降低IDS漏報(bào)率方法研究
4.1特征模式匹配方法分析
模式匹配是入侵檢測系統(tǒng)中常用的分析方法,許多入侵檢測系統(tǒng)如大家熟知的snort等都采用了模式匹配方法��。
單一的模式匹配方法使得IDS檢測慢、不準(zhǔn)確����、消耗系統(tǒng)資源,并存在以下嚴(yán)重問題:
(1)計(jì)算的負(fù)載過大,持續(xù)該運(yùn)算法則所需的計(jì)算量極其巨大。
(2)模式匹配特征搜索技術(shù)使用固定的特征模式來探測攻擊,只能探測明確的����、唯一的攻擊特征,即便是基于最輕微變換的攻擊串都會(huì)被忽略。
(3)一個(gè)基于模式匹配的IDS系統(tǒng)不能智能地判斷看似不同字符串/命令串的真實(shí)含義和最終效果��。在模式匹配系統(tǒng)中,每一個(gè)這樣的變化都要求攻擊特征數(shù)據(jù)庫增加一個(gè)特征記錄�����。這種技術(shù)攻擊運(yùn)算規(guī)則的內(nèi)在缺陷使得所謂的龐大特征庫實(shí)際上是徒勞的,最后的結(jié)果往往是付出更高的計(jì)算負(fù)載,而導(dǎo)致更多的丟包率,也就產(chǎn)生遺漏更多攻擊的可能,特別是在高速網(wǎng)絡(luò)下,導(dǎo)致大量丟包,漏報(bào)率明顯增大�����。
可見傳統(tǒng)的模式匹配方法已不能適應(yīng)新的要求�����。在網(wǎng)絡(luò)通信中,網(wǎng)絡(luò)協(xié)議定義了標(biāo)準(zhǔn)的��、層次化����、格式化的網(wǎng)絡(luò)數(shù)據(jù)包。在攻擊檢測中,利用這種層次性對網(wǎng)絡(luò)協(xié)議逐層分析,可以提高檢測效率����。因此,在數(shù)據(jù)分析時(shí)將協(xié)議分析方法和模式匹配方法結(jié)合使用,可以大幅度減少匹配算法的計(jì)算量,提高分析效率,得到更準(zhǔn)確的檢測結(jié)果。超級(jí)秘書網(wǎng)
4.2協(xié)議分析方法分析
在以網(wǎng)絡(luò)為主的入侵檢測系統(tǒng)中,由于把通過網(wǎng)絡(luò)獲得的數(shù)據(jù)包作為偵測的資料來源,所以數(shù)據(jù)包在網(wǎng)絡(luò)傳輸中必須遵循固定的協(xié)議才能在電腦之間相互溝通,因此能夠按照協(xié)議類別對規(guī)則集進(jìn)行分類��。協(xié)議分析的原理就是根據(jù)現(xiàn)有的協(xié)議模式,到固定的位置取值(而不式逐一的去比較),然后根據(jù)取得的值判斷其協(xié)議連同實(shí)施下一步分析動(dòng)作����。其作用是非類似于郵局的郵件自動(dòng)分撿設(shè)備,有效的提高了分析效率,同時(shí)還能夠避免單純模式匹配帶來的誤報(bào)。
根據(jù)以上特點(diǎn),能夠?qū)f(xié)議分析算法用一棵協(xié)議分類樹來表示,如圖2所示��。這樣,當(dāng)IDS進(jìn)行模式匹配時(shí),利用協(xié)議分析過濾許多規(guī)則,能夠節(jié)省大量的時(shí)間�����。在任何規(guī)則中關(guān)于TCP的規(guī)則最多,大約占了50%以上,因此在初步分類后,能夠按照端口進(jìn)行第二次分類�����。在兩次分類完成后,能夠快速比較特征庫中的規(guī)則,減少大量不必要的時(shí)間消耗����。如有必要,還可進(jìn)行多次分類,盡量在規(guī)則樹上分叉,盡可能的縮減模式匹配的范圍�����。
每個(gè)分析機(jī)的數(shù)據(jù)結(jié)構(gòu)中包含以下信息:協(xié)議名稱����、協(xié)議代號(hào)以及該協(xié)議對應(yīng)的攻擊檢測函數(shù)����。協(xié)議名稱是該協(xié)議的唯一標(biāo)志,協(xié)議代號(hào)是為了提高分析速度用的編號(hào)。為了提高檢測的精確度,可以在樹中加入自定義的協(xié)議結(jié)點(diǎn),以此來細(xì)化分析數(shù)據(jù),例如在HTTP協(xié)議中可以把請求URL列入該樹中作為一個(gè)結(jié)點(diǎn),再將URL中不同的方法作為子節(jié)點(diǎn)��。
分析機(jī)的功能是分析某一特定協(xié)議的數(shù)據(jù),得出是否具有攻擊的可能性存在����。一般情況下,分析機(jī)盡可能的放到樹結(jié)構(gòu)的葉子結(jié)點(diǎn)上或盡可能的靠近葉子結(jié)點(diǎn),因?yàn)樵娇拷鼧涓糠值姆治鰴C(jī),調(diào)用的次數(shù)越多。過多的分析機(jī)聚集在根部附近會(huì)嚴(yán)重影響系統(tǒng)的性能����。同時(shí)葉子結(jié)點(diǎn)上的協(xié)議類型劃分越細(xì),分析機(jī)的效率越高��。
因此,協(xié)議分析技術(shù)有檢測快�����、準(zhǔn)確、資源消耗少的特點(diǎn),它利用網(wǎng)絡(luò)協(xié)議的高度規(guī)則性快速探測攻擊的存在��。
5結(jié)束語
本文對幾種降低IDS誤報(bào)率和漏報(bào)率的方法進(jìn)行分析研究,通過將這幾種方法相互結(jié)合,能有效提高入侵檢測系統(tǒng)的運(yùn)行效率并能大大簡化安全管理員的工作,從而保證網(wǎng)絡(luò)安全的運(yùn)行��。由于方法論的問題,目前IDS的誤報(bào)和漏報(bào)是不可能徹底解決的��。因此,IDS需要走強(qiáng)化安全管理功能的道路,需要強(qiáng)化對多種安全信息的收集功能,需要提高IDS的智能化分析和報(bào)告能力,并需要與多種安全產(chǎn)品形成配合�����。只有這樣,IDS才能成為網(wǎng)絡(luò)安全的重要基礎(chǔ)設(shè)施��。
參考文獻(xiàn):
[1]張杰,戴英俠.入侵檢測系統(tǒng)技術(shù)現(xiàn)狀及其發(fā)展趨勢[J].計(jì)算機(jī)與通信,2002(6):28-32.
[2]唐洪英,付國瑜.入侵檢測的原理與方法[J].重慶工學(xué)院學(xué)報(bào),2002(4):71-73.
[3]戴連英,連一峰,王航.系統(tǒng)安全與入侵檢測技術(shù)[M].北京:清華大學(xué)出版社,2002(3).
[4]鄭成興.網(wǎng)絡(luò)入侵防范的理論與實(shí)踐[M].北京:機(jī)械工業(yè)出版社,2006:48-56.
第2篇
關(guān)鍵詞:計(jì)算機(jī)網(wǎng)絡(luò)�����,入侵��,檢測技術(shù)��,方向
隨著網(wǎng)絡(luò)的技術(shù)的不斷發(fā)展��,互聯(lián)網(wǎng)的開放性也得到了長足的發(fā)展��,這為網(wǎng)絡(luò)信息的共享和交互使用提供了很大方便,但同時(shí)也對信息的安全性提出了嚴(yán)峻的挑戰(zhàn)����。近年來,隨著網(wǎng)絡(luò)的普及與應(yīng)用領(lǐng)域的逐漸擴(kuò)展�����,網(wǎng)絡(luò)安全與信息安全問題日漸突出��。在網(wǎng)絡(luò)安全的實(shí)踐中��,建立一個(gè)完全安全的系統(tǒng)是不現(xiàn)實(shí)的�����。因此�����,保證計(jì)算機(jī)系統(tǒng)����、網(wǎng)絡(luò)系統(tǒng)以及整個(gè)信息基礎(chǔ)設(shè)施的安全已經(jīng)成為刻不容緩的重要課題����。
入侵檢測技術(shù)(IDS)是近年來出現(xiàn)的新型網(wǎng)絡(luò)安全技術(shù)����,它是通過從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對其進(jìn)行分析�����,從中發(fā)現(xiàn)違反安全策略的行為和遭到攻擊的跡象��,并做出自動(dòng)的響應(yīng)�����。入侵檢測通過迅速地檢測入侵��,在可能造成系統(tǒng)損壞或數(shù)據(jù)丟失之前��,識(shí)別并驅(qū)除入侵者�����,使系統(tǒng)迅速恢復(fù)正常工作����,并且阻止入侵者進(jìn)一步的行動(dòng)��,它的應(yīng)用擴(kuò)展了系統(tǒng)管理員的安全管理能力����,幫助計(jì)算機(jī)系統(tǒng)抵御攻擊����。因而,研究入侵檢測方法和技術(shù)����,根據(jù)這些方法和技術(shù)建立相應(yīng)的入侵檢測系統(tǒng)對保證網(wǎng)絡(luò)安全是非常必要的。
一����、入侵檢測系統(tǒng)的分類
1.按照檢測類型劃分
(1)異常檢測類型:檢測與可接受行為之間的偏差,如果可以定義每項(xiàng)可接受的行為就應(yīng)該是入侵��。首先總結(jié)正常操作應(yīng)該具備的特征(用戶輪廓)�����,當(dāng)用戶活動(dòng)與正常行為有重大偏離時(shí)即被認(rèn)為是入侵�����。這種檢測模型漏報(bào)率低,誤報(bào)率高����。因?yàn)椴恍枰獙γ糠N入侵行為進(jìn)行定義����,所以能有效檢測未知的入侵。
(2)誤用檢測類型:檢測與已知的不可接受行為之間的匹配程度�����,如果可以定義所有的不可接受行為�����,那么每種能夠與之匹配的行為都會(huì)引起警告��。收集非正常操作的行為特征����,建立相關(guān)的特征庫,當(dāng)監(jiān)測的用戶或系統(tǒng)行為與庫中的記錄相匹配時(shí)��,系統(tǒng)就認(rèn)為這種行為是入侵�����。這種檢測模型誤報(bào)率、漏報(bào)率高��。對于已知的攻擊�����,它可以詳細(xì)、準(zhǔn)確地報(bào)告出攻擊類型,但是對未知攻擊卻效果有限�����,而且特征庫必須不斷更新����。
2.按照檢測對象劃分
(1)基于主機(jī):系統(tǒng)分析的數(shù)據(jù)是計(jì)算機(jī)操作系統(tǒng)的時(shí)間日志�����、應(yīng)用程序的時(shí)間日志����、系統(tǒng)調(diào)用、端口調(diào)用和安全審計(jì)記錄��。主機(jī)入侵檢測系統(tǒng)保護(hù)的一般是所在的主機(jī)系統(tǒng)。是來實(shí)現(xiàn)的��,是運(yùn)行在目標(biāo)主機(jī)上的小的可執(zhí)行程序��,它們與命令控制臺(tái)通信�����。
(2)基于網(wǎng)絡(luò):系統(tǒng)分析的數(shù)據(jù)是網(wǎng)絡(luò)上的數(shù)據(jù)包����。網(wǎng)絡(luò)型入侵檢測系統(tǒng)擔(dān)負(fù)著保護(hù)整個(gè)網(wǎng)段的任務(wù)����,基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)由遍及網(wǎng)絡(luò)的傳感器組成,傳感器是一臺(tái)將以太網(wǎng)置于混雜模式的計(jì)算機(jī)��,用于嗅探網(wǎng)絡(luò)上的數(shù)據(jù)包�����?�?萍颊撐?���。
(3)混合型:基于網(wǎng)絡(luò)和基于主機(jī)的入侵檢測系統(tǒng)都有不足之處�����,會(huì)造成防御體系的不全面��,綜合了基于網(wǎng)絡(luò)和基于主機(jī)的混合型入侵檢測系統(tǒng)��,既可以發(fā)現(xiàn)網(wǎng)絡(luò)中的攻擊信息����,也可以從系統(tǒng)日志中發(fā)現(xiàn)異常情況�����。
3.按照工作方式分類
(1)離線檢測:這是一種非實(shí)時(shí)工作的系統(tǒng)��,在時(shí)間發(fā)生后分析審計(jì)時(shí)間�����,從中檢查入侵事件�����。這類系統(tǒng)的成本低,可以分析大量事件�����,調(diào)查長期的情況��,有利于其它方法提供及時(shí)的保護(hù)�����。而且��,很多侵入在完成之后都將審計(jì)事件刪除�����,使其無法審計(jì)����。
(2)在線檢測:對網(wǎng)絡(luò)數(shù)據(jù)包或主機(jī)的審計(jì)事件進(jìn)行實(shí)時(shí)分析����,可以快速反映,保護(hù)系統(tǒng)的安全;但在系統(tǒng)規(guī)模比較大時(shí)�����,難以保證實(shí)時(shí)性�����。
二��、入侵檢測系統(tǒng)存在的主要問題
1.誤報(bào)
誤報(bào)是指被入侵檢測系統(tǒng)測出但其實(shí)是正常及合法使用受保護(hù)網(wǎng)絡(luò)和計(jì)算機(jī)的警報(bào)��。假警報(bào)不但令人討厭��,并且降低入侵檢測系統(tǒng)的效率�����。攻擊者可以而且往往是利用包結(jié)構(gòu)偽造無威脅的�����,“正常”假警報(bào)��,以誘使收受人把入侵檢測系統(tǒng)關(guān)掉����。
沒有一個(gè)入侵檢測無敵于誤報(bào)�����,應(yīng)用系統(tǒng)總會(huì)發(fā)生錯(cuò)誤����,原因是:缺乏共享信息的標(biāo)準(zhǔn)機(jī)制和集中協(xié)調(diào)的機(jī)制��,不同的網(wǎng)絡(luò)及主機(jī)有小同的安全問題��,不同的入侵檢測系統(tǒng)有各自的功能��;缺乏揣摩數(shù)據(jù)在一段時(shí)間內(nèi)行為的能力����;缺乏有效跟蹤分析等�����。
2.精巧及有組織的攻擊
攻擊可以來自四面八方��,特別是一群人組織策劃且攻擊者技術(shù)高超的攻擊��,攻擊者花費(fèi)很多時(shí)間準(zhǔn)備,并發(fā)動(dòng)全球性攻擊��,要找出這樣復(fù)雜的攻擊是一件難事�����。
3.入侵檢測系統(tǒng)的互動(dòng)性能不高
在大型網(wǎng)絡(luò)中����,網(wǎng)絡(luò)的不同部分可能使用了多種入侵檢測系統(tǒng),甚至還有防火墻��、漏洞掃描等其他類別的安全設(shè)備�����,這些入侵檢測系統(tǒng)之間以及IDS和其他安全組件之間如何交換信息��,共同協(xié)作來發(fā)現(xiàn)攻擊����、做出相應(yīng)并阻止攻擊是關(guān)系整個(gè)系統(tǒng)安全性的重要因素。
三��、入侵檢測系統(tǒng)發(fā)展的主要趨勢
目前除了完善常規(guī)的��、傳統(tǒng)的技術(shù)(模式識(shí)別和完整性檢測)外,入侵檢測系統(tǒng)應(yīng)重點(diǎn)加強(qiáng)與統(tǒng)計(jì)分析相關(guān)技術(shù)的研究�����。許多學(xué)者在研究新的檢測辦法�����,如采用自動(dòng)的主動(dòng)防御辦法��,將免疫學(xué)原理應(yīng)用到入侵檢測的方法等��。其主要發(fā)展方向可以概括為以下幾個(gè)方面:
1.入侵檢測系統(tǒng)的標(biāo)準(zhǔn)化
就目前而言����,入侵檢測系統(tǒng)還缺乏相應(yīng)的標(biāo)準(zhǔn),不同的入侵檢測系統(tǒng)之間的數(shù)據(jù)交換和信息通信幾乎不可能��。目前�����,DARPA和IETF的入侵檢測工作組試圖對入侵檢測系統(tǒng)進(jìn)行標(biāo)準(zhǔn)化工作�����,分別制定了CIDF和IDMEF標(biāo)準(zhǔn)�����,從體系結(jié)構(gòu)����、通信機(jī)制、消息格式等各方面對入侵檢測系統(tǒng)規(guī)范化����,但進(jìn)展非常緩慢,尚沒有被廣泛接受的標(biāo)準(zhǔn)出臺(tái)����。因而,具有標(biāo)準(zhǔn)化接口的入侵檢測系統(tǒng)將是下一代入侵檢測系統(tǒng)的特征�����。
2.分布式入侵檢測
分布式入侵檢測的第一層含義是針對分布式網(wǎng)絡(luò)攻擊的檢測方法��;第二層含義即使用分布式的方法來實(shí)現(xiàn)分布式的攻擊����,其中的關(guān)鍵技術(shù)為信息的協(xié)同處理與入侵攻擊的全局信息的提取��。
3.應(yīng)用層入侵檢測
許多入侵的語義只有在應(yīng)用層才能理解��,而目前的入侵檢測系統(tǒng)僅能檢測Web之類的通用協(xié)議��,不能處理如Lotus Notes數(shù)據(jù)庫系統(tǒng)等其他的應(yīng)用系統(tǒng)��。許多基于客戶/服務(wù)器結(jié)構(gòu)�����、中間件技術(shù)及對象技術(shù)的大型應(yīng)用�����,需要應(yīng)用層的入侵檢測保護(hù)�����?�?萍颊撐?���。
4.智能入侵檢測
目前��,入侵方法越來越多樣化與綜合化��,盡管已經(jīng)有智能體系����、神經(jīng)網(wǎng)絡(luò)與遺傳算法應(yīng)用在入侵檢測領(lǐng)域,但這些只是一些嘗試性的研究工作�����,需要對智能化的入侵檢測系統(tǒng)進(jìn)一步研究�����,以解決其自學(xué)習(xí)與自適應(yīng)能力��。
5.建立入侵檢測系統(tǒng)評(píng)價(jià)體系
設(shè)計(jì)通用的入侵檢測測試�����、評(píng)估辦法和平臺(tái)����,實(shí)現(xiàn)對多種入侵檢測系統(tǒng)的檢測,已成為當(dāng)前入侵檢測系統(tǒng)的另一重要研究與發(fā)展領(lǐng)域��。評(píng)價(jià)入侵檢測系統(tǒng)可從檢測范圍、系統(tǒng)資源占用��、自身的可靠性等方面進(jìn)行��,評(píng)價(jià)指標(biāo)有:能否保證自身的安全����、運(yùn)行與維護(hù)系統(tǒng)的開銷、報(bào)警準(zhǔn)確率��、負(fù)載能力以及可支持的網(wǎng)絡(luò)類型�����、支持的入侵特征數(shù)��、是否支持IP碎片重組�����、是否支持TCP流重組等�����。
6.綜合性檢測系統(tǒng)
單一的技術(shù)很難構(gòu)筑一道強(qiáng)有力的安全防線,這就需要和其他安全技術(shù)共同組成更完備的安全的保障系統(tǒng)�����,如結(jié)合防火墻����、PKIX��、安全電子交易SET等新的網(wǎng)絡(luò)安全與電子商務(wù)技術(shù)��,提供完整的網(wǎng)絡(luò)安全保障體系��?����?萍颊撐?����。
四��、結(jié)語
入侵檢測作為一種積極主動(dòng)地安全防護(hù)技術(shù)��,提供了對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)��,在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵����。但是目前,入侵檢測技術(shù)主要停留在異常檢測和誤用檢測上��,這兩種方法都還不完善�����,存在著這樣那樣的缺陷�����。網(wǎng)絡(luò)入侵技術(shù)不斷發(fā)展����,入侵行為表現(xiàn)出不確定性、復(fù)雜性�����、多樣性等特點(diǎn)����;網(wǎng)絡(luò)應(yīng)用的發(fā)展帶來了新的問題��,如高速網(wǎng)絡(luò)其流量大�����,基于網(wǎng)絡(luò)的檢測系統(tǒng)如何適應(yīng)這種情況?基于主機(jī)審計(jì)數(shù)據(jù)這怎樣做到既減小數(shù)據(jù)量�����,又能有效地檢測到入侵行為��?入侵檢測技術(shù)己經(jīng)成為當(dāng)前網(wǎng)絡(luò)技術(shù)領(lǐng)域內(nèi)的一個(gè)研究熱點(diǎn)����,在未來的發(fā)展過程中,將越來越多地與其他科學(xué)和技術(shù)進(jìn)行交融匯合����,如數(shù)據(jù)融合、人工智能以及網(wǎng)絡(luò)管理等等����。隨著網(wǎng)絡(luò)信息技術(shù)的發(fā)展����,入侵檢測技術(shù)也在不斷地發(fā)展��,已經(jīng)出現(xiàn)了很多新的方向�����,如寬帶高速網(wǎng)絡(luò)的實(shí)時(shí)入侵檢測技術(shù)����、大規(guī)模分布式入侵檢測技術(shù)等。
參考文獻(xiàn):
[1]戴英俠,連一峰,王航.系統(tǒng)安全與入侵檢測[M].北京:清華大學(xué)出版社.2002.
[2]孫知信,徐紅霞.模糊技術(shù)在入侵檢測系統(tǒng)中的應(yīng)用研究綜述[J].南京郵電大學(xué)學(xué)報(bào).2006,(2).
[3]裴慶祺.模糊入侵檢測技術(shù)研究[M].西安:西安電子科技大學(xué).2004.
[4]唐正軍.入侵檢測技術(shù)導(dǎo)輪[M].北京:機(jī)械工業(yè)出版社,2004.
第3篇
論文摘要: “計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)”正在給高校網(wǎng)絡(luò)環(huán)境帶來一場深刻的變革�����,入侵檢測方案將成為主流監(jiān)控手段����。探討高校網(wǎng)絡(luò)環(huán)境下的入侵檢測方案已經(jīng)成為網(wǎng)絡(luò)安全的防御工作的必然選擇。提出基于高校網(wǎng)絡(luò)環(huán)境的入侵檢測方案的構(gòu)思��,分析入侵檢測方案環(huán)境的發(fā)展�����,包括發(fā)展方向和關(guān)鍵技術(shù);給出基于入侵檢測方案的高校網(wǎng)絡(luò)環(huán)境實(shí)現(xiàn)的流程�����。雖然還有待于實(shí)驗(yàn)和檢測����,但基于高校網(wǎng)絡(luò)環(huán)境的入侵檢測方案的理念,相信能夠成為新的監(jiān)控技術(shù)發(fā)展的亮點(diǎn)�����。
1 高校網(wǎng)絡(luò)環(huán)境的入侵檢測方案的問題
1.1 入侵檢測方案
隨著“計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)”的高速發(fā)展��,網(wǎng)絡(luò)終端��、測試平臺(tái)�����、監(jiān)控系統(tǒng)等方面已經(jīng)出現(xiàn)相對完善的發(fā)展����。這些顯著的發(fā)展和技術(shù)�����,為高校網(wǎng)絡(luò)環(huán)境提供了獲取信息的便利性,但不可否認(rèn)的是�����,網(wǎng)絡(luò)安全已經(jīng)成為不能不考慮的問題�����。入侵檢測方案正是利用利用網(wǎng)絡(luò)平臺(tái)��,通過網(wǎng)絡(luò)與遠(yuǎn)程服務(wù)器交換��,將終端數(shù)據(jù)庫分布實(shí)現(xiàn)入侵檢測監(jiān)控的辦法����。
1.2 高校網(wǎng)絡(luò)環(huán)境現(xiàn)狀
當(dāng)前,高校網(wǎng)絡(luò)環(huán)境是虛擬網(wǎng)絡(luò)平臺(tái)��。在網(wǎng)絡(luò)開放環(huán)境下��,虛擬網(wǎng)絡(luò)平臺(tái)的入侵檢測方案既要允許高校主機(jī)數(shù)據(jù)庫對專用用戶的可用性��,又要保證對非法用戶的篩選和防御�����。其實(shí),當(dāng)前大多數(shù)高校網(wǎng)絡(luò)環(huán)境的入侵方案是專用用戶才能評(píng)價(jià)發(fā)現(xiàn)檢測的模式�����。在數(shù)據(jù)庫環(huán)境下��,高校網(wǎng)絡(luò)環(huán)境的設(shè)計(jì)理念應(yīng)盡量符合人的感知和認(rèn)知過程�����,實(shí)現(xiàn)“用戶的高校網(wǎng)絡(luò)環(huán)境系統(tǒng)”�����。很多高校的網(wǎng)絡(luò)環(huán)境都是基于WEB的數(shù)據(jù)庫的轉(zhuǎn)換和數(shù)據(jù)交換監(jiān)控�����,數(shù)據(jù)庫相對簡單��,斷接相當(dāng)頻繁�����,入侵檢測的方式單一��,安全可靠性低����。面對平臺(tái)和數(shù)據(jù)容量的增加,客觀上要求基于自動(dòng)檢測����,能夠?qū)?shù)據(jù)庫進(jìn)行分析、聚類�����、糾錯(cuò)�����、響應(yīng)及時(shí)的遺傳算法的高效網(wǎng)絡(luò)����,才能處理訪問數(shù)據(jù)庫的繁雜,實(shí)現(xiàn)專用用戶交互����、完成網(wǎng)絡(luò)平臺(tái)多樣化數(shù)據(jù)的可擴(kuò)展性����。因此����,高校網(wǎng)絡(luò)環(huán)境情況影響著數(shù)據(jù)庫交換,更影響著入侵檢測方案實(shí)施和制定����,必須按照網(wǎng)絡(luò)平臺(tái)需求,構(gòu)建適應(yīng)高校網(wǎng)絡(luò)平臺(tái)的入侵檢測方案��。
1.3 高校網(wǎng)絡(luò)環(huán)境的入侵檢測方案的關(guān)鍵點(diǎn)
高校網(wǎng)絡(luò)環(huán)境的入侵檢測方案的關(guān)鍵點(diǎn)就是要充分利用高校網(wǎng)絡(luò)資源平臺(tái)����,整合數(shù)據(jù)庫、角色管理的安全模型�����、校園無縫隙監(jiān)控����、多方位反饋與應(yīng)對系統(tǒng)等資源��,預(yù)測或?qū)崟r(shí)處理高校網(wǎng)絡(luò)入侵時(shí)間的發(fā)生。
2 高校網(wǎng)絡(luò)環(huán)境的入侵檢測方案思考
2.1 建立適合高校網(wǎng)絡(luò)環(huán)境的檢測系統(tǒng)平臺(tái)
在當(dāng)前高校網(wǎng)絡(luò)環(huán)境下的入侵檢測�����,必須運(yùn)用比較成熟“云計(jì)算技術(shù)”�����,實(shí)現(xiàn)檢測方案系統(tǒng)��。
云計(jì)算技術(shù)利用高速互聯(lián)網(wǎng)的傳輸能力����,將計(jì)算、存儲(chǔ)�����、軟件�����、服務(wù)等資源從分散的個(gè)人計(jì)算機(jī)或服務(wù)器移植到互聯(lián)網(wǎng)中集中管理的大規(guī)模高性能計(jì)算機(jī)����、個(gè)人計(jì)算機(jī)�����、虛擬計(jì)算機(jī)中����,從而使用戶像使用電力一樣使用這些資源��。云計(jì)算表述了一種新的計(jì)算模式:應(yīng)用�����、數(shù)據(jù)和IT資源以服務(wù)的方式通過網(wǎng)絡(luò)提供給用戶使用����。
從網(wǎng)絡(luò)平臺(tái)系統(tǒng)看,云計(jì)算也是一種基礎(chǔ)架構(gòu)管理的方法論����,大量的計(jì)算資源組成IT資源池,用于動(dòng)態(tài)創(chuàng)建高度虛擬化的資源提供用戶使用�����。網(wǎng)絡(luò)平臺(tái)可將各種資源匯聚為“一個(gè)可動(dòng)態(tài)分配的計(jì)算機(jī)系統(tǒng)資源池”��,軟件��、硬件����、數(shù)據(jù)、信息服務(wù)等都可以在“云計(jì)算”這一平臺(tái)上租賃使用�����。用戶無需了解底層系統(tǒng)的支撐架構(gòu)��,不需要維護(hù)和購買相應(yīng)的軟硬件�����,通過專用密鑰進(jìn)入云計(jì)算平臺(tái)即可享用各種低成本的信息化服務(wù)�����。云計(jì)算能改變了原有的互聯(lián)網(wǎng)資源提供商需要獨(dú)立��、分散建造機(jī)房����、運(yùn)營系統(tǒng)����、維護(hù)安全的困境��,極大低降低了高校整體能源消耗�����,為高校提供了綠色�����、低碳��、高效的IT基礎(chǔ)設(shè)施實(shí)施及檢測管理方案�����。 轉(zhuǎn)貼于
2.2 入侵檢測機(jī)制
高校網(wǎng)絡(luò)環(huán)境的入侵檢測體系結(jié)構(gòu)在高校網(wǎng)絡(luò)環(huán)境的技術(shù)條件下����,必須依據(jù)網(wǎng)絡(luò)NIDS模塊,組建檢測管理平臺(tái):主要有如下模塊組成:應(yīng)用任務(wù)模塊(負(fù)責(zé)系統(tǒng)管理功能)��;入侵檢測與分析模塊;數(shù)據(jù)庫交換模塊(負(fù)責(zé)數(shù)據(jù)包嗅探�����、預(yù)處理過濾和固定字段模式匹配)��。入侵檢測主要功能就是實(shí)現(xiàn)網(wǎng)絡(luò)環(huán)境下實(shí)時(shí)流量分析以及入侵檢測功能�����。針對硬件邏輯和核心態(tài)軟件邏輯采用的高效檢測策略�����,利用入侵檢測模塊中��,入侵檢測模型包括三個(gè)主要的流程:
第一步驟:高校網(wǎng)絡(luò)環(huán)境的入侵檢測體系的調(diào)度平臺(tái)��,從用戶請求隊(duì)列中取出優(yōu)先級(jí)最高的用戶請求R�����。R首先讀取元數(shù)據(jù)庫��,根據(jù)用戶請求的硬件資源判斷是否能被當(dāng)前空閑的物理機(jī)資源滿足�����,如CPU頻率��、核心數(shù)����、帶寬、存儲(chǔ)�����、硬盤空間等��。如果能滿足����,則直接轉(zhuǎn)向步驟2;如果不能滿足�����,判斷是否可以通過平臺(tái)虛擬機(jī)遷移��,釋放相關(guān)資源�����;如果可以則在執(zhí)行遷移步驟,轉(zhuǎn)步驟2��;如果即使遷移也無法完成����,則退出��,并報(bào)告用戶資源無法完成請求�����。
第二步驟:如果資源請求可以滿足�����,調(diào)度服務(wù)器從存儲(chǔ)結(jié)點(diǎn)中選擇與用戶請求對應(yīng)的虛擬機(jī)模板T(對于新建立的虛擬機(jī))或虛擬機(jī)鏡像I�����。
第三步驟:調(diào)度服務(wù)器將I遷入對應(yīng)的物理機(jī)����,并創(chuàng)建對應(yīng)的虛擬機(jī)實(shí)例V�����。
如果平臺(tái)需要調(diào)整現(xiàn)有物理機(jī)上的虛擬機(jī)分布�����,如何以最小的調(diào)整代價(jià)��,實(shí)現(xiàn)資源的重新分配����。對于部分平臺(tái)����,由于遷移可能造成虛擬平臺(tái)的不穩(wěn)定;遷移的條件要求較高�����,以確保最少的虛擬機(jī)受到影響為準(zhǔn)��。
3 結(jié)論
高校網(wǎng)絡(luò)環(huán)境的入侵檢測方案的思考����,是適應(yīng)高校檢測環(huán)境的發(fā)展要求��,必須把握其發(fā)展方向和關(guān)鍵技術(shù)����;實(shí)現(xiàn)高校網(wǎng)絡(luò)環(huán)境入侵檢測方案��。在現(xiàn)代技術(shù)條件下高校網(wǎng)絡(luò)環(huán)境雖然技術(shù)存在的一些缺陷����,但入侵檢測方案成為主流監(jiān)控手段的發(fā)展方向已經(jīng)不可改變。我們相信�����,基于高校網(wǎng)絡(luò)環(huán)境的入侵檢測方案的理念��,相信能夠成為新的監(jiān)控技術(shù)發(fā)展的亮點(diǎn)��。
參考文獻(xiàn)
[1]申建剛��、夏國平��、邱鞏強(qiáng)��,基于云計(jì)算技術(shù)虛擬現(xiàn)實(shí)的施工設(shè)備布置系統(tǒng)����,計(jì)算機(jī)集成制造系統(tǒng),2009.10.
[2]劉秀玲��、杜歡平�����、楊國杰����,分布式多交互虛擬場景渲染的協(xié)同控制,計(jì)算機(jī)工程與應(yīng)用����,2009.29.
[3]李增國,高校電子網(wǎng)絡(luò)虛擬實(shí)驗(yàn)室系統(tǒng)之構(gòu)建��,教育技術(shù)導(dǎo)刊����,2008.10.
第4篇
關(guān)鍵詞:計(jì)算機(jī);數(shù)據(jù)庫����;入侵檢測��;網(wǎng)絡(luò)安全
中圖分類號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(2013)05-0959-02
計(jì)算機(jī)的發(fā)展給人們的生活�����、工作和學(xué)習(xí)提供了極大的便利����,然而計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中存在的安全問題卻給人們帶來了一定的困擾��,因此改善計(jì)算機(jī)數(shù)據(jù)庫的安全機(jī)制����、加強(qiáng)對信息基本設(shè)備的安全保護(hù)相當(dāng)重要。現(xiàn)在很普遍的“防火墻”雖然具備一定的防護(hù)能力��,然而還是扛不住各種各樣的干擾因素��。因此����,想要強(qiáng)化計(jì)算機(jī)數(shù)據(jù)庫的安全性�����,還需從檢測技術(shù)和安全機(jī)制等方面入手。使用戶能夠一邊使用計(jì)算機(jī)一邊抵抗安全入侵�����,這不僅能確保系統(tǒng)的安全����,還能使數(shù)據(jù)的完整性不受損害。
1 計(jì)算機(jī)數(shù)據(jù)庫安全的重要性
計(jì)算機(jī)數(shù)據(jù)庫的安全分為兩種����,一種是設(shè)備安全,另一種是信息安全��,其中信息安全主要是保護(hù)用戶的隱私�����,以及保證其網(wǎng)絡(luò)信息的可用性����,因此無論那種安全遭到破壞都將會(huì)對計(jì)算機(jī)數(shù)據(jù)庫造成巨大的威脅。當(dāng)計(jì)算機(jī)遭到安全入侵時(shí)����,首當(dāng)其沖就是數(shù)據(jù)庫�����,病毒和黑客是保證數(shù)據(jù)庫安全的兩大主要威脅�����,就近年來的數(shù)據(jù)顯示�����,全球每天會(huì)有兩萬多網(wǎng)頁遭到病毒和黑客的入侵��,這不僅給社會(huì)的經(jīng)濟(jì)帶來了巨大的損失����,同時(shí)還給人們的生活�����、工作與學(xué)習(xí)帶來了很多損害��,因此�����,保證計(jì)算機(jī)數(shù)據(jù)庫的安全性至關(guān)重要��。
2 計(jì)算機(jī)數(shù)據(jù)庫入侵檢測技術(shù)的界定
所謂的計(jì)算機(jī)數(shù)據(jù)庫入侵檢測技術(shù)就是通過對計(jì)算機(jī)訪問者進(jìn)行身份����、信息、資料等多方面的驗(yàn)證來判斷訪問者是否合法��,一旦有非法分子強(qiáng)行進(jìn)入或者出現(xiàn)異常狀況�����,入侵檢測技術(shù)就會(huì)做出相關(guān)回應(yīng)����,以保護(hù)計(jì)算機(jī)數(shù)據(jù)庫的安全。我們所知的網(wǎng)絡(luò)陷阱其實(shí)就是計(jì)算機(jī)數(shù)據(jù)庫入侵檢測技術(shù)所設(shè)置的一種關(guān)卡����,其工作原理就是通過網(wǎng)絡(luò)運(yùn)行環(huán)境來檢測遭受非法入侵時(shí)所收集到的有關(guān)數(shù)據(jù),進(jìn)行深入分析后判定其行為是否合法�����,最后做出相關(guān)防御措施。
3 常用的計(jì)算機(jī)數(shù)據(jù)庫入侵檢測技術(shù)
3.1誤用檢測技術(shù)
感知節(jié)點(diǎn)功能單一化��,利用電池提供能量��,攜帶能量不足使這些感知節(jié)點(diǎn)的自我安保能力大大降低����。感知網(wǎng)絡(luò)多種多樣,從道路導(dǎo)航到自動(dòng)控制��,從溫度測量到水文監(jiān)控��,不同類型的感知網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)類型也不盡相同�����,標(biāo)準(zhǔn)也無法統(tǒng)一��,因此�����,要建立統(tǒng)一的安全保護(hù)體系并不容易��。傳統(tǒng)的認(rèn)證是區(qū)分不同層次的��,網(wǎng)絡(luò)層與業(yè)務(wù)層都只負(fù)責(zé)各自的身份鑒別��,兩者是相對獨(dú)立的��。物聯(lián)網(wǎng)中的很多設(shè)備都是區(qū)分用途和工作順序的�����,需要業(yè)務(wù)層與網(wǎng)絡(luò)層捆綁在一起��,因此��,可以根據(jù)業(yè)務(wù)的提供方和業(yè)務(wù)的安全敏感程度來設(shè)計(jì)業(yè)務(wù)層與網(wǎng)絡(luò)層的安全聯(lián)系�����。誤用檢測技術(shù)的主要檢測對象是已知病毒����、入侵活動(dòng)和攻擊模式等等,工作原理是把一切網(wǎng)絡(luò)入侵活動(dòng)或者異常行為假設(shè)成一種特征模式�����,在已經(jīng)把已知入侵活動(dòng)建立好特征模式的基礎(chǔ)上�����,將今后所發(fā)生的異常自行進(jìn)行相應(yīng)的匹配,即二者會(huì)自動(dòng)找出相似的特點(diǎn)����,如果二者的特征相匹配,系統(tǒng)則會(huì)將之視為異常入侵行為�����,并采取相應(yīng)的措施��。這種技術(shù)的檢測準(zhǔn)確性相當(dāng)高(主要在已知入侵特征方面)��,然而對未知入侵活動(dòng)的檢測卻起不了作用��,尤其是對新的病毒以及攻擊體�����,因此����,系統(tǒng)中的數(shù)據(jù)需要時(shí)時(shí)更新。
3.2異常檢測技術(shù)
一般情況下,核心網(wǎng)絡(luò)的自我保護(hù)能力是相對可靠的��,但是由于物聯(lián)網(wǎng)中很多節(jié)點(diǎn)是以集群的方式存在�����,在信息輸送時(shí)常常會(huì)因數(shù)據(jù)發(fā)送量巨大而出現(xiàn)網(wǎng)絡(luò)擁堵現(xiàn)象����,導(dǎo)致拒絕服務(wù)攻擊�����。此外����,現(xiàn)有通信網(wǎng)絡(luò)的安全架構(gòu)大多是按照人的通信角度設(shè)計(jì)的,并不能很好地適用于機(jī)械通信����,那么這種網(wǎng)絡(luò)通信的安全機(jī)制可能會(huì)割裂物聯(lián)網(wǎng)中各設(shè)備之間的邏輯關(guān)系。異常檢測技術(shù)比誤用檢測技術(shù)的檢測準(zhǔn)確性高��,而且檢測范圍更廣�����,異常檢測技術(shù)是以用戶平常的習(xí)慣行為為模型,并建立到數(shù)據(jù)庫中�����,然后再將此與計(jì)算機(jī)用戶的操作行為進(jìn)行對比��,在詳細(xì)分析用戶的操作活動(dòng)后����,計(jì)算出用戶活動(dòng)的異常狀態(tài)的數(shù)目,若偏差較大則說明計(jì)算機(jī)遭到了非法入侵�����。異常檢測技術(shù)不需要經(jīng)驗(yàn)�����,只要有大量的信息并且掌握它們之間的規(guī)律就能進(jìn)行檢測�����。除此之外��,異常檢測技術(shù)還能檢測到未知類型的對象,不管是已識(shí)別的還是未識(shí)別的非法操作����,都能將其實(shí)行監(jiān)控。相比于誤用檢測技術(shù)�����,它不僅檢測效率高��,操作起來也更加簡便��。
4 計(jì)算機(jī)數(shù)據(jù)庫入侵檢測技術(shù)所存在的問題
4.1 計(jì)算機(jī)入侵檢測結(jié)果的準(zhǔn)確率低��,誤報(bào)漏報(bào)率高
數(shù)據(jù)庫信息分為企業(yè)信息和個(gè)人信息�����,信息的安全是否有保證是信息所有者最為關(guān)心的����,因此計(jì)算機(jī)入侵檢測技術(shù)的研發(fā)人員在研發(fā)過程中對某些關(guān)鍵點(diǎn)設(shè)置是非?����?量痰模略斐梢唤z錯(cuò)誤��。然而這樣的情況下往往會(huì)吸引大量外部病毒����,使得檢測結(jié)果的準(zhǔn)確率大大降低,同時(shí)����,為了提高準(zhǔn)確率而采取的某些措施又會(huì)對數(shù)據(jù)庫產(chǎn)生一定的負(fù)面作用。
4.2 計(jì)算機(jī)入侵檢測的效率不高
不管是數(shù)據(jù)入侵還是反入侵�����,想要有效運(yùn)行就一定要進(jìn)行大量的二進(jìn)制數(shù)據(jù)運(yùn)算����,龐大的計(jì)算量不僅浪費(fèi)時(shí)間,還會(huì)加大檢測的成本�����,再加上異常檢測技術(shù)也會(huì)增加計(jì)算代價(jià)��,因此造成入侵檢測的效率一直偏低��,這顯然已經(jīng)不適應(yīng)當(dāng)今網(wǎng)絡(luò)高速發(fā)展的社會(huì)環(huán)境。
4.3 計(jì)算機(jī)入侵檢測技術(shù)沒有足夠的自我預(yù)防能力
計(jì)算機(jī)入侵檢測技術(shù)自身存在一些缺陷�����,再加上設(shè)計(jì)人員的專業(yè)知識(shí)有限�����,造成計(jì)算機(jī)入侵檢測技術(shù)的自我防御能力低下����。當(dāng)入侵檢測技術(shù)受到某些病毒或者非法行為攻擊時(shí),它無法將它們進(jìn)行有效的檢測��。時(shí)間久了����,數(shù)據(jù)庫的安全就會(huì)遭到威脅�����。
4.4 計(jì)算機(jī)入侵檢測技術(shù)的可擴(kuò)展性差
這是入侵檢測技術(shù)中是該重視的問題����,因?yàn)闄z測技術(shù)沒有自動(dòng)更新的特點(diǎn)����,無法判別新的病毒與異常行為�����,導(dǎo)致病毒蔓延�����,數(shù)據(jù)庫的安全防線被破壞����。
5 加強(qiáng)計(jì)算機(jī)入侵檢測技術(shù)
加強(qiáng)計(jì)算機(jī)入侵檢測技術(shù)的方法有很多,如減少入侵檢測的計(jì)算量��、建立數(shù)據(jù)庫知識(shí)標(biāo)準(zhǔn)����、創(chuàng)建新型的系統(tǒng)模型等等。這里簡單講述一下可以減少入侵檢測計(jì)算量的優(yōu)化Apriori算法����,優(yōu)化Apriori算法是一種在Apriori算法進(jìn)行進(jìn)一步改進(jìn)的一種算法,這種算法中的剪枝候選集功能是減少計(jì)算量主要工具�����,并且以基于兩階段頻集思想的遞推算法為核心,它在各個(gè)領(lǐng)域都有較廣泛的使用�����。
總而言之�����,該文主要提出了關(guān)于計(jì)算機(jī)數(shù)據(jù)庫入侵檢測技術(shù)的幾點(diǎn)思考��,首先簡單介紹了保護(hù)數(shù)據(jù)庫安全的重要性以及什么是計(jì)算機(jī)數(shù)據(jù)庫入侵檢測技術(shù)�����,然后提出了兩種常用的檢測技術(shù)�����,并重點(diǎn)探討了現(xiàn)如今入侵檢測技術(shù)存在的幾點(diǎn)問題����,最后介紹了幾種加強(qiáng)計(jì)算機(jī)入侵檢測技術(shù)的方法����。計(jì)算機(jī)數(shù)據(jù)庫入侵檢測技術(shù)在保護(hù)計(jì)算機(jī)信息安全方面有著舉足輕重的作用�����,因此提高該技術(shù)是創(chuàng)建一個(gè)安全可靠的網(wǎng)絡(luò)環(huán)境的關(guān)鍵��。
參考文獻(xiàn):
[1] 蘭世龍����,譚艷����,羅緋,童玲����,孟剛.“軍衛(wèi)一號(hào)”數(shù)據(jù)庫的網(wǎng)絡(luò)安全監(jiān)控研究[J].醫(yī)療衛(wèi)生裝備,2009(2).
[2] 石燕京�����,劉瑞榮��,吳春珍,安德海.數(shù)據(jù)庫在網(wǎng)絡(luò)安全管理中的應(yīng)用[A].第11屆全國計(jì)算機(jī)在現(xiàn)代科學(xué)技術(shù)領(lǐng)域應(yīng)用學(xué)術(shù)會(huì)議論文集�����,2003.
第5篇
【關(guān)鍵詞】入侵檢測 數(shù)據(jù)挖掘 異常檢測 誤用檢測 分類算法
用于加強(qiáng)網(wǎng)絡(luò)安全的手段目前有很多�����,如加密�����,vpn �����,防火墻等��,但這些技術(shù)都是靜態(tài)的��,不能夠很好的實(shí)施有效的防護(hù)�����。而入侵檢測(intrusion detection)技術(shù)是一種動(dòng)態(tài)的防護(hù)策略����,它能夠?qū)W(wǎng)絡(luò)安全實(shí)施監(jiān)控、攻擊與反攻擊等動(dòng)態(tài)保護(hù)�����,在一定程度上彌補(bǔ)了傳統(tǒng)靜態(tài)策略的不足����。
一、入侵檢測中數(shù)據(jù)挖掘技術(shù)的引入
(一)入侵檢測技術(shù)介紹
入侵檢測技術(shù)是對(網(wǎng)絡(luò))系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)視�����,發(fā)現(xiàn)各種攻擊企圖�����、攻擊行為或者攻擊結(jié)果�����,以保證系統(tǒng)資源的機(jī)密性��、完整性與可用性����。
根據(jù)數(shù)據(jù)分析方法(也就是檢測方法)的不同�����,我們可以將入侵檢測系統(tǒng)分為兩類:
1.誤用檢測(misuse detection)�����。又稱為基于特征的檢測����,它是根據(jù)已知的攻擊行為建立一個(gè)特征庫��,然后去匹配已發(fā)生的動(dòng)作��,如果一致則表明它是一個(gè)入侵行為�����。
2.異常檢測(anomaly detection)��。又稱為基于行為的檢測����,它是建立一個(gè)正常的特征庫��,根據(jù)使用者的行為或資源使用狀況來判斷是否入侵�����。
將這兩種分析方法結(jié)合起來,可以獲得更好的性能�����。異常檢測可以使系統(tǒng)檢測新的��、未知的攻擊或其他情況����;誤用檢測通過防止耐心的攻擊者逐步改變行為模式使得異常檢測器將攻擊行為認(rèn)為是合法的,從而保護(hù)異常檢測的完整性����。
(二)數(shù)據(jù)挖掘技術(shù)
數(shù)據(jù)挖掘通過預(yù)測未來趨勢及行為,做出預(yù)測性的��、基于知識(shí)的決策����。數(shù)據(jù)挖掘的目標(biāo)是從數(shù)據(jù)庫中發(fā)現(xiàn)隱含的��、有意義的知識(shí)��,按其功能可分為以下幾類:
1.關(guān)聯(lián)分析��。關(guān)聯(lián)分析能尋找數(shù)據(jù)庫中大量數(shù)據(jù)的相關(guān)聯(lián)系�����,常用的2種技術(shù)為關(guān)聯(lián)規(guī)則和序列模式����。關(guān)聯(lián)規(guī)則是發(fā)現(xiàn)一個(gè)事物與其他事物間的相互關(guān)聯(lián)性或相互依賴性�����。
2.聚類��。輸入的數(shù)據(jù)并無任何類型標(biāo)記����,聚類就是按一定的規(guī)則將數(shù)據(jù)劃分為合理的集合,即將對象分組為多個(gè)類或簇�����,使得在同一個(gè)簇中的對象之間具有較高的相似度,而在不同簇中的對象差別很大�����。
3.自動(dòng)預(yù)測趨勢和行為�����。數(shù)據(jù)挖掘自動(dòng)在大型數(shù)據(jù)庫中進(jìn)行分類和預(yù)測����,尋找預(yù)測性信息����,自動(dòng)地提出描述重要數(shù)據(jù)類的模型或預(yù)測未來的數(shù)據(jù)趨勢。
4.概念描述����。對于數(shù)據(jù)庫中龐雜的數(shù)據(jù),人們期望以簡潔的描述形式來描述匯集的數(shù)據(jù)集�����。概念描述就是對某類對象的內(nèi)涵進(jìn)行描述并概括出這類對象的有關(guān)特征����。
5.偏差檢測�����。偏差包括很多潛在的知識(shí)�����,如分類中的反常實(shí)例�����、不滿足規(guī)則的特例��、觀測結(jié)果與模型預(yù)測值的偏差��、量值隨時(shí)間的變化等����。
二����、算法在入侵檢測中的具體使用
(一)基于誤用的檢測模型
·id3、c4.5算法:id3算法是一種基本的決策樹生成算法��,該算法不包括規(guī)則剪除部分。c4.5算法作為id3算法的后繼版本��,就加入了規(guī)則剪除部分����,使用訓(xùn)練樣本來估計(jì)每個(gè)規(guī)則的準(zhǔn)確率。也是分類模型的主要運(yùn)用算法����。
對于已知的攻擊類型的檢測,分類模型具有較高的檢準(zhǔn)率����,但是對于未知的����、新的攻擊,分類模型效果就不是很理想�����。這個(gè)是由誤用檢測本身的特點(diǎn)所決定的�����,誤用檢測誤報(bào)率低,但是它在對已知攻擊模式特征屬性構(gòu)建和選取上往往要花費(fèi)大量的精力�����,這也是分類檢測的難點(diǎn)所在����。所以這種檢測模型只能有限的檢測已知的攻擊,而要更好的檢測未知的攻擊��,就要使用到異常檢測技術(shù)�����,但是�����,異常檢測卻比誤用檢測負(fù)責(zé)的多�����,因?yàn)閷τ谙到y(tǒng)正常使用模式的構(gòu)建本身就是一件非常復(fù)雜的事情��。
(二)基于異常的入侵模型
異常檢測的主要工作就是通過構(gòu)造正常活動(dòng)集合����,然后利用得到的一組觀察數(shù)值的偏離程度來判斷用戶行為的變化,以此來覺得是否屬于入侵的一種檢測技術(shù)��。異常檢測的優(yōu)點(diǎn)在于它具有檢測未知攻擊模式的能力��,不論攻擊者采用什么樣的攻擊策略�����,異常檢測模型依然可以通過檢測它與已知模式集合之間的差異來判斷用戶的行為是否異常�����。
在異常檢測中主要用到的兩個(gè)算法就是模式比較和聚類算法:
1.模式比較�����。在模式比較算法
首先通過關(guān)聯(lián)規(guī)則和序列規(guī)則建立正常的行為模式��,然后通過模式比較算法來區(qū)別正常行為和入侵行為����。
(1)關(guān)聯(lián)規(guī)則。它主要經(jīng)過兩步過程:首先識(shí)別所有支持度不低于用戶規(guī)定的最小支持度域值的項(xiàng)目集����,即頻繁項(xiàng)目集;然后從得到的頻繁項(xiàng)目集中構(gòu)造出可信度不低于用戶規(guī)定的最小可信度域值的規(guī)則?�,F(xiàn)在已有多種關(guān)聯(lián)規(guī)則算法如apriori算法等用于入侵檢測����。
(2)序列分析。序列模式挖掘有幾個(gè)重要的參數(shù)����,如時(shí)間序列的持續(xù)時(shí)間,事件重疊窗口和被發(fā)現(xiàn)的模式中時(shí)間之間的時(shí)間間隔����。還可以在要挖掘的序列模式上指定約束,方法是提供“模式模板“��,其形式可以是系列片段(serial episode)��,并行片段(parallel episode)����,或正則表達(dá)式。序列分析使用于發(fā)現(xiàn)分布式攻擊和插入噪聲的攻擊。由于各種攻擊方法的規(guī)模的擴(kuò)大和時(shí)間持久����,序列分析變得越來越重要。
2.聚類算法����。基于聚類的入侵檢測是一種無監(jiān)督的異常檢測算法����,通過對未標(biāo)識(shí)數(shù)據(jù)進(jìn)行訓(xùn)練來檢測入侵。該方法不需要手工或其他的分類����,也不需要進(jìn)行訓(xùn)練。因此呢功能發(fā)現(xiàn)新型的和未知的入侵類型����。
三、結(jié)論
入侵檢測中數(shù)據(jù)挖掘技術(shù)方面的研究已經(jīng)有很多�����,發(fā)表的論文也已經(jīng)有好多�����,但是應(yīng)用難點(diǎn)在于如何根據(jù)具體應(yīng)用的要求��,從用于安全的先驗(yàn)知識(shí)出發(fā)����,提取出可以有效反映系統(tǒng)特性的屬性,并應(yīng)用合適的算法進(jìn)行數(shù)據(jù)挖掘�����。另一技術(shù)難點(diǎn)在于如何將數(shù)據(jù)挖掘結(jié)果自動(dòng)應(yīng)用到實(shí)際ids中����。
入侵檢測采用的技術(shù)有多種類型,其中基于數(shù)據(jù)挖掘技術(shù)的入侵檢測技術(shù)成為當(dāng)前入侵檢測技術(shù)發(fā)展的一個(gè)熱點(diǎn)�����,但數(shù)據(jù)挖掘還處于發(fā)展時(shí)期�����,因此有必要對它進(jìn)行更深入的研究����。
參考文獻(xiàn):
[1]張銀奎�����,廖麗�����,宋俊等.數(shù)據(jù)挖掘原理[m].北京:機(jī)械工業(yè)出版社�����,2003 : 93-105
第6篇
關(guān)鍵詞:數(shù)據(jù)挖掘 分類規(guī)則 算法
中圖分類號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A
一����、數(shù)據(jù)挖掘在市場營銷的應(yīng)用
數(shù)據(jù)挖掘技術(shù)在企業(yè)市場營銷中得到了比較普遍的應(yīng)用����,它是以市場營銷學(xué)的市場細(xì)分原理為基礎(chǔ),其基本假定是“消費(fèi)者過去的行為是其今后消費(fèi)傾向的最好說明”����。
通過收集、加工和處理涉及消費(fèi)者消費(fèi)行為的大量信息����,確定特定消費(fèi)群體或個(gè)體的興趣��、消費(fèi)習(xí)慣����、消費(fèi)傾向和消費(fèi)需求��,進(jìn)而推斷出相應(yīng)消費(fèi)群體或個(gè)體下一步的消費(fèi)行為�����,然后以此為基礎(chǔ)����,對所識(shí)別出來的消費(fèi)群體進(jìn)行特定內(nèi)容的定向營銷����,這與傳統(tǒng)的不區(qū)分消費(fèi)者對象特征的大規(guī)模營銷手段相比,大大節(jié)省了營銷成本����,提高了營銷效果,從而為企業(yè)帶來更多的利潤����。
就目前而言����,關(guān)聯(lián)規(guī)則挖掘技術(shù)已經(jīng)被廣泛應(yīng)用在西方金融行業(yè)企業(yè)中��,它可以成功預(yù)測銀行客戶需求����。各銀行在自己的ATM機(jī)上就捆綁了顧客可能感興趣的本行產(chǎn)品信息,供使用本行ATM機(jī)的用戶了解�����。如果數(shù)據(jù)庫中顯示����,某個(gè)高信用限額的客戶更換了地址,這個(gè)客戶很有可能新近購買了一棟更大的住宅��,因此會(huì)有可能需要更高信用限額����,更高端的新信用卡,或者需要一個(gè)住房改善貸款��,這些產(chǎn)品都可以通過信用卡賬單郵寄給客戶。當(dāng)客戶打電話咨詢的時(shí)候�����,數(shù)據(jù)庫可以有力地幫助電話銷售代表��。銷售代表的電腦屏幕上可以顯示出客戶的特點(diǎn)��,同時(shí)也可以顯示出顧客會(huì)對什么產(chǎn)品感興趣��。如考慮屬性之間的類別層次關(guān)系�����,時(shí)態(tài)關(guān)系��,多表挖掘等�����。近年來圍繞關(guān)聯(lián)規(guī)則的研究主要集中于兩個(gè)方面��,即擴(kuò)展經(jīng)典關(guān)聯(lián)規(guī)則能夠解決問題的范圍�����,改善經(jīng)典關(guān)聯(lián)規(guī)則挖掘算法效率和規(guī)則興趣性��。
二�����、入侵檢測中數(shù)據(jù)挖掘技術(shù)的引入
入侵檢測技術(shù)是對(網(wǎng)絡(luò))系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)視����,發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果�����,以保證系統(tǒng)資源的機(jī)密性�����、完整性與可用性����。
根據(jù)數(shù)據(jù)分析方法(也就是檢測方法)的不同,我們可以將入侵檢測系統(tǒng)分為兩類:(1)誤用檢測(Misuse? Detection)����。又稱為基于特征的檢測�����,它是根據(jù)已知的攻擊行為建立一個(gè)特征庫,然后去匹配已發(fā)生的動(dòng)作�����,如果一致則表明它是一個(gè)入侵行為����。(2)異常檢測(Anomaly Detection)����。又稱為基于行為的檢測�����,它是建立一個(gè)正常的特征庫����,根據(jù)使用者的行為或資源使用狀況來判斷是否入侵。
將這兩種分析方法結(jié)合起來��,可以獲得更好的性能。異常檢測可以使系統(tǒng)檢測新的��、未知的攻擊或其他情況�����;誤用檢測通過防止耐心的攻擊者逐步改變行為模式使得異常檢測器將攻擊行為認(rèn)為是合法的��,從而保護(hù)異常檢測的完整性����。
三、算法在入侵檢測中的具體使用
(一)基于誤用的檢測型��。
首先從網(wǎng)絡(luò)或是主機(jī)上獲取原始二進(jìn)制的數(shù)據(jù)文件��,再把這些數(shù)據(jù)進(jìn)行處理��,轉(zhuǎn)換成ASCII碼表示的數(shù)據(jù)分組形式��。再經(jīng)過預(yù)處理模塊將這些網(wǎng)絡(luò)數(shù)據(jù)表示成連接記錄的形式����,每個(gè)連接記錄都是由選定的特征屬性表示的。再進(jìn)行完上面的工作后����,對上述的由特征屬性組成的模式記錄進(jìn)行處理�����,總結(jié)出其中的統(tǒng)計(jì)特征����,包括在一時(shí)間段內(nèi)與目標(biāo)主機(jī)相同的連接記錄的次數(shù)����、發(fā)生SYN錯(cuò)誤的連接百分比、目標(biāo)端口相同的連接所占的百分比等等一系列的統(tǒng)計(jì)特征����。最后����,就可以進(jìn)行下面的檢測分析工作,利用分類算法��,比如RIPPER ��、C4.5等建立分類模型��。只有這樣才能建立一個(gè)實(shí)用性較強(qiáng)、效果更好的分類模型�����。
(二)基于異常的入侵模型�����。
異常檢測的主要工作就是通過構(gòu)造正?�;顒?dòng)集合��,然后利用得到的一組觀察數(shù)值的偏離程度來判斷用戶行為的變化����,以此來覺得是否屬于入侵的一種檢測技術(shù)。異常檢測的優(yōu)點(diǎn)在于它具有檢測未知攻擊模式的能力��,不論攻擊者采用什么樣的攻擊策略����,異常檢測模型依然可以通過檢測它與已知模式集合之間的差異來判斷用戶的行為是否異常。
在異常檢測中主要用到的兩個(gè)算法就是模式比較和聚類算法:(1)模式比較����。在模式比較算法中首先通過關(guān)聯(lián)規(guī)則和序列規(guī)則建立正常的行為模式��,然后通過模式比較算法來區(qū)別正常行為和入侵行為��。(2)聚類算法�����。聚類分析的基本思想主要源于入侵與正常模式上的不同及正常行為數(shù)目應(yīng)遠(yuǎn)大于入侵行為數(shù)目的條件�����,因此能夠?qū)?shù)據(jù)集劃分為不同的類別�����,由此分辨出正常和異常行為來檢測入侵����。數(shù)據(jù)挖掘中常用的聚類算法有K-means�����、模糊聚類��、遺傳聚類等�����?�;诰垲惖娜肭謾z測是一種無監(jiān)督的異常檢測算法�����,通過對未標(biāo)識(shí)數(shù)據(jù)進(jìn)行訓(xùn)練來檢測入侵��。該方法不需要手工或其他的分類����,也不需要進(jìn)行訓(xùn)練。因此呢功能發(fā)現(xiàn)新型的和未知的入侵類型��。
四��、結(jié)論
入侵檢測中數(shù)據(jù)挖掘技術(shù)方面的研究已經(jīng)有很多����,發(fā)表的論文也已經(jīng)有好多,但是應(yīng)用難點(diǎn)在于如何根據(jù)具體應(yīng)用的要求�����,從用于安全的先驗(yàn)知識(shí)出發(fā),提取出可以有效反映系統(tǒng)特性的屬性����,并應(yīng)用合適的算法進(jìn)行數(shù)據(jù)挖掘。另一技術(shù)難點(diǎn)在于如何將數(shù)據(jù)挖掘結(jié)果自動(dòng)應(yīng)用到實(shí)際IDS中�����。
入侵檢測采用的技術(shù)有多種類型����,其中基于數(shù)據(jù)挖掘技術(shù)的入侵檢測技術(shù)成為當(dāng)前入侵檢測技術(shù)發(fā)展的一個(gè)熱點(diǎn),但數(shù)據(jù)挖掘還處于發(fā)展時(shí)期����,因此有必要對它進(jìn)行更深入的研究。
(作者單位:湖北工業(yè)大學(xué) 計(jì)算機(jī)學(xué)院)
參考文獻(xiàn):
[1]. 范明�����,孟小峰.?dāng)?shù)據(jù)挖掘――概念與技術(shù).機(jī)械工業(yè)出版社����,2001��。
第7篇
【 關(guān)鍵詞 】 Two Step Clustering;K-means�����;入侵檢測
【 中圖分類號(hào) 】 TP3 【 文獻(xiàn)標(biāo)識(shí)碼 】 A
1 引言
K-means算法簡單����、快速,當(dāng)類與類之間區(qū)別明顯時(shí)�����,該算法聚類效果較好����。但是K-means算法只有在類的平均值被定義的前提下才能使用,算法隨機(jī)選擇初始聚類中心數(shù)目��,而且對初始聚類中心敏感�����,對于不同的初始值可能會(huì)導(dǎo)致不同的聚類結(jié)果��,因此算法就容易陷入到局部最優(yōu)解����,不容易獲得最優(yōu)的聚類劃分����。
在實(shí)際應(yīng)用中����,網(wǎng)絡(luò)入侵發(fā)生的隨機(jī)性較強(qiáng),偶發(fā)事件也時(shí)有發(fā)生����,所以事先難以定義K-means算法中類的平均值和類的數(shù)目。因此��,傳統(tǒng)K-means算法在實(shí)際入侵檢測應(yīng)用中具有一定的局限性�����,本文提出基于TSC的K-means改進(jìn)算法TSC-based K-means��。
2 TSC-based K-means 算法
2.1 Two Step Clustering簡介
兩步聚類算法是Chiu等人于2001年在BIRCH(Balanced Iterative Reducing and Clustering using Hierarchies)算法基礎(chǔ)上提出的一種改進(jìn)算法��,該算法適合大型數(shù)據(jù)集的聚類研究�����,能夠根據(jù)一定準(zhǔn)則確定聚類數(shù)目�����,能夠診斷樣本中的離群點(diǎn)和噪聲數(shù)據(jù)����,通過兩步事先聚類。
TSC 算法在尋優(yōu)的過程中�����,能夠避免在局部最優(yōu)解的震蕩迂回搜索�����。TSC算法對初值�����、參數(shù)選擇具有較好的健壯性����,具有良好地克服局部最優(yōu)解獲得全局最優(yōu)解的能力,但是TSC算法后期收斂速度較慢。不過�����,TSC卻適合用于為K-means尋找聚類數(shù)�����,而K-means在獲得距離數(shù)后�����,確定初始聚類中心����,經(jīng)過較少的迭代次數(shù)就能獲得最優(yōu)的聚類劃分。TSC-based K-means 算法結(jié)合了TSC算法和K-means算法的優(yōu)點(diǎn)����,既能克服K-means算法對初始聚類中心選擇敏感的問題,又能解決TSC后期收斂速度較慢的問題��,因而能夠在相對較短的時(shí)間內(nèi)獲得最優(yōu)的聚類劃分��。
2.2 TSC-based K-means算法
TSC-based K-means算法描述如下����,算法流程圖如圖1所示�����。
Step1:使用TSC獲取聚類數(shù)K
首先����,預(yù)聚類�����。開始階段視所有數(shù)據(jù)為一個(gè)大類�����。讀入一個(gè)樣本數(shù)據(jù)后�����,根據(jù)“親疏程度”決定該樣本應(yīng)該派生出一個(gè)新類�����,還是應(yīng)該合并到已有的某個(gè)子類中��。這個(gè)過程將反復(fù)進(jìn)行�����,最終形成K’個(gè)類��?����?梢?���,預(yù)聚類過程是聚類數(shù)目不斷增加的過程。然后�����,聚類����,即在預(yù)聚類的基礎(chǔ)上,再根據(jù)“親疏程度”決定哪些子類可以合并��,最終形成K類��。
Step2:確定K個(gè)初始類中心
類中心是各類特征的典型代表。確定聚類數(shù)目K后�����,使用K-means算法指定K個(gè)類的初始類中心點(diǎn)�����。
Step3:根據(jù)最近原則進(jìn)行聚類
依次計(jì)算每個(gè)數(shù)據(jù)點(diǎn)到K個(gè)類中心點(diǎn)的歐式距離��,并按照距K個(gè)類中心點(diǎn)距離最近的原則��,將所有樣本分派到最近的類中�����,形成K個(gè)類�����。
Step4:重新確定K個(gè)類中心
重新計(jì)算K個(gè)類的中心點(diǎn)�����。中心點(diǎn)的確定原則:依次計(jì)算各類中所有數(shù)據(jù)點(diǎn)變量的均值�����,并以均值點(diǎn)作為K個(gè)類的中心點(diǎn)�����。
Step5:判讀是否已經(jīng)滿足終止聚類的條件����,如果沒有滿足則返回到第三步,不斷反復(fù)上述過程�����,直到滿足迭代終止條件����。
3 TSC-based K-means在入侵檢測中的應(yīng)用
3.1 入侵檢測模型
本文的入侵檢測模型由“數(shù)據(jù)預(yù)處理模塊”、“聚類挖掘模塊”和“系統(tǒng)響應(yīng)模塊”三部分組成�����。通過局部聚類和基于TSC-based K-means的全局聚類�����,對經(jīng)過標(biāo)準(zhǔn)化處理后的數(shù)據(jù)進(jìn)行聚類挖掘,再將聚類結(jié)果輸入入侵檢測規(guī)格庫中����,分析未知數(shù)據(jù)流檢測是否有入侵發(fā)生,如有入侵則產(chǎn)生報(bào)警信息��,入侵檢測模型如圖2所示����。
圖2中,數(shù)據(jù)預(yù)處理模塊負(fù)責(zé)對采集到的原始數(shù)據(jù)流進(jìn)行處理��,提取能適合數(shù)據(jù)挖掘的數(shù)據(jù)�����。聚類挖掘模塊基于TSC-based K-means的流聚類算法通過TSC快速尋找聚類數(shù)�����,K-means在獲得較好的初始聚類中心后��,經(jīng)過較少迭代次數(shù)獲得最優(yōu)的聚類劃分��。產(chǎn)生聚類規(guī)則輸入入侵檢測模塊����,實(shí)時(shí)更新入侵檢測規(guī)則庫,所以本系統(tǒng)能夠不斷接收數(shù)據(jù)流對象實(shí)現(xiàn)實(shí)時(shí)的增量聚類��。
3.2 仿真實(shí)驗(yàn)及結(jié)果分析
3.2.1數(shù)據(jù)源獲取
本文中的所有數(shù)據(jù)都是從實(shí)驗(yàn)室中獲取的��,實(shí)驗(yàn)室的網(wǎng)絡(luò)是一個(gè)小型局域網(wǎng)��,此局域網(wǎng)是采用集線器星型以太網(wǎng)結(jié)構(gòu)����,如圖3所示。網(wǎng)絡(luò)監(jiān)聽程序通常在工作站1上運(yùn)行��。
實(shí)驗(yàn)數(shù)據(jù)經(jīng)過數(shù)據(jù)清洗與協(xié)議解析之后共有9702條記錄����。攻擊類型有兩類,分別是Assault和SYN Flooder��,其中正常特征數(shù)據(jù)包807條(classflag是Normal)��,抓獲Assault攻擊軟件所發(fā)的2742網(wǎng)絡(luò)特征數(shù)據(jù)包(classflag是Assault)��,抓獲SYN Flooder攻擊軟件所發(fā)的6153網(wǎng)絡(luò)特征數(shù)據(jù)包(classflag是SYN_Flooder)。每條數(shù)據(jù)有8個(gè)特征屬性:rotocol����、 resource、 destination�����、time��、flag�����、Iplen�����、TTL和classflag(類標(biāo)記)��。它們代表的含義分別為:協(xié)議����、數(shù)據(jù)包的來源(包括源IP地址和源端口號(hào))����、數(shù)據(jù)包的目的地(包括目的IP地址和目的端口號(hào))��、截獲數(shù)據(jù)包的時(shí)間����、TCP的狀態(tài)�����、數(shù)據(jù)包長度和數(shù)據(jù)包的生存周期��。
3.2.2實(shí)驗(yàn)及結(jié)果分析
根據(jù)文中算法實(shí)現(xiàn)步驟��,在圖3環(huán)境下進(jìn)行仿真實(shí)驗(yàn)��,仿真實(shí)驗(yàn)的結(jié)果如表1和表2所示��。實(shí)驗(yàn)證明����,利用本文提出的算法用于入侵檢測系統(tǒng)中能取得較好的效果,針對Assault和SYN Flooder兩種攻擊類型進(jìn)行三種算法比較�����,檢測率都有不同程度的提高,而誤警率也有不同程度的下降����。
4 結(jié)束語
網(wǎng)絡(luò)入侵檢測技術(shù)是維護(hù)網(wǎng)絡(luò)安全的一種積極主動(dòng)的防御手段。本文對TSC算法和K-means算法進(jìn)行了具體分析�����,結(jié)合它們的優(yōu)點(diǎn)提出了TSC-based K-means聚類算法�����,該算法既能克服K-means算法對初始聚類中心選擇敏感的問題�����,又能解決TSC后期收斂速度較慢的問題����,能夠在相對較短的時(shí)間內(nèi)獲得最優(yōu)的聚類劃分。理論分析和仿真結(jié)果表明����,該算法提高了對攻擊的識(shí)別率和系統(tǒng)的整體性能。
參考文獻(xiàn)
[1] 傅濤��,孫亞民.基于PSO的k-means算法及其在網(wǎng)絡(luò)入侵檢測中的應(yīng)用[J].計(jì)算機(jī)科學(xué)�����,2011�����,38(5):54-73.
[2] 楊照峰��,樊愛宛�����,樊愛京.改進(jìn)的SOM和K-Means結(jié)合的入侵檢測方法[J].制作業(yè)自動(dòng)化��,2010��,33(12):4-6.
[3] 薛薇�����,陳歡歌.基于Clementine的數(shù)據(jù)挖掘[M].北京:中國人民大學(xué)出版社��,2012:407-412.
[4] 李云����,劉學(xué)誠����,朱峰.數(shù)據(jù)挖掘技術(shù)在入侵檢測中的應(yīng)用[J].計(jì)算機(jī)應(yīng)用與軟件��,2011�����,28(5):117 - 119.
[5] 趙暉.基于聚類集成的網(wǎng)絡(luò)入侵檢測算法[J].科學(xué)技術(shù)與工程�����,2012��,12(23):5797-5799.
[6] 楊云����,宓佳,黨宏社.嵌入式入侵檢測系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)工程與設(shè)計(jì)��,2011�����,31(1):21-27.
[7] 梁飛,閆宏印.基于聚類分析的動(dòng)態(tài)自適應(yīng)入侵檢測模式研究[J].計(jì)算機(jī)工程與設(shè)計(jì)�����,2013����,34(3):814-820.
[8] 李巍����,吳聰.基于聚類優(yōu)化的無監(jiān)督入侵檢測在高校網(wǎng)絡(luò)中的應(yīng)用[J].科技通報(bào),2013�����,29(6):95-97.
基金項(xiàng)目:
吉林省教育廳項(xiàng)目(2015343)�����,吉林省吉林省高等教育學(xué)會(huì)項(xiàng)目(JGJX2015D118)����。
第8篇
論文摘要:隨著當(dāng)代信息技術(shù)的發(fā)展,互聯(lián)網(wǎng)的共享性��、開放性以及互聯(lián)程度也在不斷擴(kuò)大。internet的廣泛普及��,商業(yè)數(shù)字貨幣��、網(wǎng)絡(luò)銀行等一部分網(wǎng)絡(luò)新業(yè)務(wù)的迅速興起��,使得計(jì)算機(jī)網(wǎng)絡(luò)的安全問題越來越顯得重要�����,通過歸納總結(jié)��,提出網(wǎng)絡(luò)信息中的一些安全防護(hù)策略��。
1.引言
網(wǎng)絡(luò)環(huán)境的復(fù)雜性��、多變性以及信息系統(tǒng)的脆弱性����,決定了網(wǎng)絡(luò)安全威脅的客觀存在。當(dāng)前�����,隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展����,利用因特網(wǎng)高科技手段進(jìn)行經(jīng)濟(jì)商業(yè)犯罪的現(xiàn)象已經(jīng)屢見不鮮了��,因此��,如何采用更加安全的數(shù)據(jù)保護(hù)及加密技術(shù)��,成為當(dāng)前計(jì)算機(jī)工作者的研究熱點(diǎn)與重點(diǎn)。網(wǎng)絡(luò)安全技術(shù)��,尤其是網(wǎng)絡(luò)信息的安全��,關(guān)系到網(wǎng)民����、企業(yè)甚至是國家的信息安全。因此����,發(fā)展更加安全的網(wǎng)絡(luò)安全技術(shù),是關(guān)系到社會(huì)經(jīng)濟(jì)穩(wěn)定繁榮發(fā)展的關(guān)鍵����,成為當(dāng)前計(jì)算機(jī)安全工作的重點(diǎn)。
2.網(wǎng)絡(luò)信息安全的風(fēng)險(xiǎn)來源
影響計(jì)算機(jī)網(wǎng)絡(luò)安全的因索很多�����,既有自然因素,也有人為因素����,其中人為因素危害較大,歸結(jié)起來豐要以下幾個(gè)方面:
(1)病毒感染
從“蠕蟲”病毒開始到cih��、愛蟲病毒�����,病毒一直是計(jì)算機(jī)系統(tǒng)安全最直接的威脅����。病毒依靠網(wǎng)絡(luò)迅速傳播,它很容易地通過服務(wù)器以軟件下載����、郵件接收等方式進(jìn)入網(wǎng)絡(luò),竊取網(wǎng)絡(luò)信息����,造成很人的損失。
(2)來自網(wǎng)絡(luò)外部的攻擊
這是指來自局域網(wǎng)外部的惡意攻擊,例如:有選擇地破壞網(wǎng)絡(luò)信息的有效性和完整性����;偽裝為合法用戶進(jìn)入網(wǎng)絡(luò)并占用大量資源;修改網(wǎng)絡(luò)數(shù)據(jù)�����、竊取��、破譯機(jī)密信息��、破壞軟件執(zhí)行�����;在中間站點(diǎn)攔截和讀取絕密信息等��。
(3)來自網(wǎng)絡(luò)內(nèi)部的攻擊
在局域網(wǎng)內(nèi)部��,一些非法用戶冒用合法用戶的口令以合法身份登陸網(wǎng)站后��。竊取機(jī)密信息����,破壞信息內(nèi)容,造成應(yīng)用系統(tǒng)無法運(yùn)行����。
(4)系統(tǒng)的漏洞及“后門”
操作系統(tǒng)及網(wǎng)絡(luò)軟件不可能是百分之百的無缺陷、無漏洞的�����。編程人員有時(shí)會(huì)在軟件中留有漏洞����。一旦這個(gè)疏漏被不法分子所知,就會(huì)借這個(gè)薄弱環(huán)節(jié)對整個(gè)網(wǎng)絡(luò)系統(tǒng)進(jìn)行攻擊�����,大部分的黑客入侵網(wǎng)絡(luò)事件就是由系統(tǒng)的“漏洞” 和“后門”所造成的��。
3.網(wǎng)絡(luò)信息安全的防護(hù)策略
現(xiàn)在網(wǎng)絡(luò)信息安全的防護(hù)措施必不可少�����。從技術(shù)上來說�����,計(jì)算機(jī)網(wǎng)絡(luò)安全主要由防病毒、入侵檢測等多個(gè)安全組件組成��,就此對我們常用的幾項(xiàng)防護(hù)技術(shù)分別進(jìn)行分析��。
3.1防火墻技術(shù)
防火墻(ifrewal1)是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的系列部件的組合�����,它越來越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境之中����,尤其以接入internet網(wǎng)絡(luò)為甚。不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安拿域之間信息都會(huì)經(jīng)過它的過濾�����,防火墻就會(huì)根據(jù)自身的安全政策控制(允許�����、拒絕�����、監(jiān)測)出入網(wǎng)絡(luò)的信息流�����,而且它本身也具有較強(qiáng)的抗攻擊能力����,不會(huì)被病毒控制。防火墻可以阻j網(wǎng)絡(luò)中的黑客來訪問你的機(jī)器����,防止他們篡改、拷貝��、毀壞你的重要信息�����。它為網(wǎng)絡(luò)信息的安全提供了很好的服務(wù)�����,為我們更安全地使用網(wǎng)絡(luò)提供了很好的保障����。
“防火墻”技術(shù)是指假設(shè)被保護(hù)網(wǎng)絡(luò)具有明確定義的邊界和服務(wù)而采取的一種安全保障技術(shù),它通過監(jiān)測����、限制和更改通過“防火墻”的數(shù)據(jù)流����,一方面盡可能地對外部網(wǎng)絡(luò)屏蔽被保護(hù)網(wǎng)絡(luò)的信息����、結(jié)構(gòu),實(shí)現(xiàn)對內(nèi)部網(wǎng)絡(luò)的保護(hù)�����,以防“人放火”����;另一方面對內(nèi)屏蔽外部某些危險(xiǎn)站點(diǎn),防止“引火燒身”�����。因而��,比較適合于相對獨(dú)立�����、與外部網(wǎng)絡(luò)互聯(lián)單一����、明確并且網(wǎng)絡(luò)服務(wù)種類相對集中的統(tǒng)一互聯(lián)網(wǎng)絡(luò)系統(tǒng)。防火墻可對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)����,如果所有的訪問都經(jīng)過防火墻,那么����,防火墻就能記錄下這些訪問并做出日志記錄,同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)����。
通過利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分,可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離����,從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。除了安全作用��,有的防火墻還支持具有internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系vpn�����。vpn,可以將分部在世界各地的lan或?qū)S秒娮泳W(wǎng)有機(jī)地聯(lián)成一個(gè)整體�����。這樣一方面省去了專用通信線路����,也達(dá)到了信息共享的目的。
3.2數(shù)據(jù)加密技術(shù)
數(shù)據(jù)加密技術(shù)是網(wǎng)絡(luò)中最藎木的安傘技術(shù)��,主要是通過對網(wǎng)絡(luò)傳輸?shù)男畔⑦M(jìn)行數(shù)據(jù)加密來保障其安全性��。加密是對網(wǎng)絡(luò)上傳輸數(shù)據(jù)的訪問權(quán)加強(qiáng)限制的一種技術(shù)��。原始數(shù)據(jù)(也稱為明文�����,plaintext)被加密設(shè)備(硬件或軟件)和密鑰加密而產(chǎn)生的經(jīng)過編碼的數(shù)據(jù)稱為密文(ciphertext)�����。解密是加密的反向處理����,是將密文還原為原始明文,但解秘者必須利用相同類型的加密設(shè)備和密鑰��,才能對密文進(jìn)行解密��。
3.3入侵檢測技術(shù)
入侵檢測系統(tǒng)(intrusiondetectionsystem����,ids)是從多種計(jì)算機(jī)系統(tǒng)及網(wǎng)絡(luò)系統(tǒng)中收集信息,再通過這些信息分析�����,對計(jì)算機(jī)和網(wǎng)絡(luò)資源的惡意使用行為進(jìn)行識(shí)別的網(wǎng)絡(luò)信息安全系統(tǒng)�����。入侵檢測系統(tǒng)具有多方面的功能:威懾����、檢測、響應(yīng)��、損失情況評(píng)估��、攻擊預(yù)測和起訴支持等����。入侵檢測技術(shù)是為保證計(jì)算機(jī)信息系統(tǒng)安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中朱授權(quán)或異?����,F(xiàn)象的技術(shù)��,是一種用于檢測計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)�����。
3.4病毒防護(hù)
可采用如下的方法或措施:
(1)合理設(shè)置殺毒軟什����,如果安裝的殺毒軟什具備掃描電郵件的功能����,盡量將這些功能傘部打開;
(2)定期檢查敏感文件�����;
(3)采取必要的病毒檢測和監(jiān)控措施��;
(4)對新購的硬盤、軟盤�����、軟件等資源����,使用前應(yīng)先用病毒測試軟件檢查已知病毒����,硬盤可以使用低級(jí)格式化(dos中的format格式化可以去抻軟盤中的病毒,但不能清除硬盤引導(dǎo)的病毒)����;
(5)慎重對待郵件附件,如果收到郵件中有可執(zhí)行文件(如.exe�����、.com等)或者帶有“宏”的文殺一遍����,確認(rèn)沒有病毒后再打開;
(6)及時(shí)升級(jí)郵件程序和操作系統(tǒng)����,以修補(bǔ)所有已知的安全漏洞�����。
3.5身份認(rèn)證技術(shù)
身份認(rèn)證(authentication)是系統(tǒng)核查用戶身份證明的過程����,其實(shí)質(zhì)是查明用戶是否具仃它所請求資源的存儲(chǔ)使用權(quán)�����。身份識(shí)別(identificaiion)是指用戶向系統(tǒng)出示自己的身份證明的過程����。這兩項(xiàng)上作通常被稱為身份認(rèn)證。
身份認(rèn)證至少應(yīng)包括驗(yàn)證協(xié)議和授權(quán)協(xié)議�����。網(wǎng)絡(luò)中的各種應(yīng)用和計(jì)算機(jī)系統(tǒng)都需要通過身份認(rèn)證來確認(rèn)合法性��,然后確定它的個(gè)人數(shù)據(jù)和特定權(quán)限����。對于身份認(rèn)證系統(tǒng)來說��,合法用戶的身份是否易于被別人冒充足它最重要的技術(shù)指標(biāo)����。用戶身份被冒充不儀可能損害用戶自身的利益��,也可能損害其他用戶的利益或整個(gè)系統(tǒng)�����。因此�����,身份認(rèn)證是授權(quán)控制的基礎(chǔ)��。只有有效的身份認(rèn)證�����,才能保證訪問控制�����、安全審計(jì)�����、入侵防范等安全機(jī)制的有效實(shí)施��。
安裝必要的安全軟件�����,殺毒軟件和防火墻這些都是必備的�����,而且還要安裝并使用必要的防黑軟件�����。我們一定要把這些安全防護(hù)措施及時(shí)應(yīng)在電腦中�����,在上網(wǎng)時(shí)一定要打開它們����。最后要及時(shí)給系統(tǒng)打補(bǔ)丁,建議人家下載自己的操作系統(tǒng)對應(yīng)的補(bǔ)丁程序��,這是我們網(wǎng)絡(luò)安全的恭礎(chǔ)。
第9篇
關(guān)鍵詞:入侵檢測器��;量子遺傳算法��;協(xié)同進(jìn)化
中圖分類號(hào):TP274文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1009-3044(2012)13-3199-03
Research on Generating Method of Detector in IDS
LI Lu-lu
(College of Computer Science and Engineering Institute, Yulin Normal College, Yulin 537000, China)
Abstract: The generation of intrusion detection device is the core o f the intrusion detection system, In place of com plex problem of optimizaion, quantum genetic algorithm has strong searching capabilities and the most optimal performance. In this paper a quantum genetic algorithm coevolution detector generation method is proposed. The population needing to evolve is divided to some child population by simulating nature cooperative coevolution mechanism, and each population using quantum genetic algorithm to optimize, making whole intrusion detection system has good adaptability and diversity.
Key words: intrusion detection device; quantum genetic algorithm; cooperative coevolution
1概述
隨著網(wǎng)絡(luò)和計(jì)算機(jī)技術(shù)的不斷發(fā)展����,網(wǎng)絡(luò)安全性問題日益突出起來,入侵檢測系統(tǒng)是一種重要的安全防范技術(shù)�����,已成為網(wǎng)絡(luò)安全的重要保障之一[1-2]��。目前各種不同的攻擊方式不斷出現(xiàn)��,因此入侵檢測中的有關(guān)智能性研究逐漸成為入侵檢測系統(tǒng)研究領(lǐng)域中的一個(gè)重要方向�����。而入侵檢測系統(tǒng)的主要部件是檢測器����,檢測器生成算法是生成有效檢測器的關(guān)鍵����,是檢測異常變化的核心所在[3-4]����。檢測器的設(shè)計(jì)對入侵檢測系統(tǒng)的性能有著重要的影響�����,其從產(chǎn)生到成熟再到被丟棄��,有自身固有的過程和生命周期��,可以利用遺傳算法來生成一個(gè)成熟檢測器集����,采用交叉、變異等遺傳操作對其進(jìn)行進(jìn)化��,使成熟檢測器群體向“非我”進(jìn)化�����。但隨著問題規(guī)模的不斷擴(kuò)大和搜索空間的更加復(fù)雜����,遺傳算法在實(shí)際應(yīng)用中有一定的局限性�����,不能表現(xiàn)出算法的優(yōu)越性��,出現(xiàn)迭代次數(shù)多��、收斂速度慢����、易陷入局部最優(yōu)值和過早收斂等問題�����。
量子遺傳算法結(jié)合了量子計(jì)算和遺傳算法的優(yōu)點(diǎn)��,它將量子所具有的獨(dú)特計(jì)算能力和遺傳算法的全局尋優(yōu)能力結(jié)合起來�����,提升了算法的優(yōu)化性能��,比傳統(tǒng)遺傳算法具有更高的搜索效率[5]�����。該文在現(xiàn)在有研究的基礎(chǔ)上提出一種檢測器生成方法��,該算法通過對自然界中的協(xié)同進(jìn)化機(jī)制進(jìn)行模擬��,首先將要進(jìn)化的種群劃分為多個(gè)子種群��,然后各個(gè)種群再分別利用量子遺傳算法進(jìn)行優(yōu)化�����,使整個(gè)入侵檢測系統(tǒng)具有良好的自適應(yīng)性和多樣性�����。
2相關(guān)知識(shí)
量子遺傳算法本質(zhì)上是種概率優(yōu)化方法�����,其基本思想是基于量子計(jì)算原理��,用量子比特編碼來表示染色體�����,充分利用量子態(tài)的疊加性和相干性,以當(dāng)前最優(yōu)個(gè)體的信息為指導(dǎo)�����,通過量子門來完成種群的更新操作�����,以此來促進(jìn)算法的收斂����,從而來實(shí)現(xiàn)目標(biāo)的最后優(yōu)化求解。
2.1量子比特
通常在計(jì)算機(jī)中用二進(jìn)制0和1來表示信息單元�����,而在量子計(jì)算機(jī)中是用一個(gè)雙態(tài)量子系統(tǒng)即量子比特來表示信息單元��。量子比特作為信息單位�����,形式上表示為兩種基態(tài)|0>和|1>��,一般用|0>表示0��,用|1>表示1����。與經(jīng)典比特不同,量子比特不僅可以處于兩種基態(tài)|0>和|1>�����,而且還可以處在中間態(tài)����,也就是|0>和|1>的不同疊加態(tài)。因此����,量子比特的狀態(tài)可用下式表示:
2.2量子染色體[6]
量子遺傳算法是采用量子比特的編碼方式,用一個(gè)復(fù)數(shù)對(α,β)表示一個(gè)量子比特����。若一個(gè)量子染色體包含m個(gè)量子比特,則由m個(gè)復(fù)數(shù)對組成����。這個(gè)染色體編碼形式如下:
2.3量子旋轉(zhuǎn)門
在量子遺傳算法中量子染色體一般是糾纏或疊加的,所以可以用量子門來表示染色體的各個(gè)糾纏態(tài)或疊加態(tài)��;父代群體不能決定子代個(gè)體的產(chǎn)生,個(gè)體的產(chǎn)生是通過父代的最優(yōu)個(gè)體以及它們狀態(tài)的概率幅決定的��。用構(gòu)造的量子門表示量子疊加態(tài)或糾纏態(tài)的基態(tài)�����,它們彼此干涉使相位發(fā)生改變����,以此達(dá)到改變各個(gè)基態(tài)的概率幅的目的。因此��,如何構(gòu)造合適的量子門是量子遺傳操作和量子遺傳算法亟待解決的關(guān)鍵問題��,量子門構(gòu)造的是否合適會(huì)影響到遺傳算法的性能��。目前在量子遺傳算法中通常采用量子旋轉(zhuǎn)門U����,U可表示為
,θ為旋轉(zhuǎn)角��。
2.4量子變異[7]
通常情況下在遺傳算法中�����,算法的局部搜索能力以及阻止未成熟染色體收斂這些操作都是通過變異作用實(shí)現(xiàn)的,量子變異必須達(dá)到量子遺傳算法對變異操作的要求����,這里我們這樣定義量子比特的變異操作:
(1)從種群中以給定的概率pi隨機(jī)地選擇若干個(gè)體�����;
(2)確定變異位�����,以確定的概率對從(1)中選擇的個(gè)體隨機(jī)地確定變異位�����;(3)對換操作�����,對換選中位量子比特的概率幅����。
2.5協(xié)同進(jìn)化算法[8]
進(jìn)化算法的本質(zhì)是優(yōu)化,是為了使物種在激烈的競爭中能夠具備生存的本領(lǐng)以致在競爭中能夠生存下來��。在一般的遺傳算法中要么只涉及到個(gè)別群或個(gè)體的進(jìn)化,要么只是涉及種群之間的競爭����,幾乎沒有顧及到個(gè)體與個(gè)體,種群與種群之間互惠寄生的協(xié)同關(guān)系��?�;谝陨显?���,提出了協(xié)同進(jìn)化算法。協(xié)同進(jìn)化是生態(tài)系統(tǒng)中眾多進(jìn)化方式中的一種�����,進(jìn)化中種群要生存下來不僅要受自身因素的影響��,同時(shí)也受周圍同類或異類的相互影響����,在這些因素的影響下能夠生存下來。在進(jìn)化的過程中種群的個(gè)體之間及其與其它種群之間都要進(jìn)行相互作用相互影響�����。
3基于量子遺傳算法的協(xié)同進(jìn)化檢測器生成算法設(shè)計(jì)思路
算法的基本思想:首先對隨機(jī)生成的種群進(jìn)行種群分割,將種群分成若干個(gè)子種群�����。利用空間形態(tài)學(xué)的原理��,根據(jù)種群中各個(gè)自體間的距離來判斷它們是否屬于一個(gè)分割��,各個(gè)子群之間互相協(xié)作��,以確保整個(gè)系統(tǒng)的適應(yīng)度不斷提高��;用量子遺傳算法對單個(gè)子群進(jìn)行進(jìn)化����。量子遺傳算法優(yōu)化檢測器的入侵檢測模型如圖1所示�����。圖1量子遺傳算法優(yōu)化檢測器的入侵檢測模型
(1)種群的初始化策略
在量子遺傳算法中種群初使化操作通常是這樣進(jìn)行的��,各個(gè)體的量子位概率幅() 2�����,也就是說各個(gè)體的全部狀態(tài)出現(xiàn)的概率相同。協(xié)同進(jìn)化需要多個(gè)種群��,因此必須增加種群的多樣性��,所以在初始化時(shí)我們將量子位概率空間平均分為N個(gè)����,即體表N個(gè)子群,0��、1極限概率為δ�����,用公式(1)來初始化第k個(gè)子種群��,也就是將同子種群內(nèi)的每個(gè)個(gè)體初始化為量子染色體��,每個(gè)量子染色體的概率相同��,不同子種群個(gè)體的狀態(tài)以不同概率出現(xiàn)��,以此來達(dá)到增加初始化個(gè)體多樣性的目的�����。(2)量子門更新策略
采用進(jìn)化方程的方式來調(diào)整量子門的旋轉(zhuǎn)角大小和方向。這樣做有兩個(gè)好處:一是減少了參數(shù)的個(gè)數(shù)����,同時(shí)算法的結(jié)構(gòu)也得到了簡化;另一個(gè)是利用進(jìn)化方程的記憶的��,可以利用個(gè)體自身的局部最優(yōu)信息�����,鄰域種群的最優(yōu)信息����,以及整個(gè)種群最優(yōu)狀態(tài)的信息�����,從而使旋轉(zhuǎn)角θ能夠得到更加合理的調(diào)整��,還能夠更好地跳出局部極值��。進(jìn)化方程可定義為:U=?
p -xi����,其中k1��,k2��,k3�����,k4為影響因子�����,pi����,pj是左右鄰域種群極值��,pm為個(gè)體所在種群極值��,p為全局極值����。
(3)具體實(shí)現(xiàn)步驟
Step1:將量子位概率空間平均分為N個(gè),即體表N個(gè)子群��,0、1極限概率為δ�����,用公式子種群�����,也就是將同子種群內(nèi)的每個(gè)個(gè)體初始化為量子染色體��,每個(gè)量子染色體的概率相同��,不同子種群個(gè)體的狀態(tài)以不同概率出現(xiàn)�����,以此增加初始化個(gè)體的多樣性����。
Step2:初始化步驟1中的每一個(gè)子群Qi( )
Step4:依次對Pi( ) t進(jìn)行適應(yīng)度評(píng)估����;
Step6:保留步驟5中得到的N個(gè)最佳個(gè)體,如果此時(shí)得到了滿意解����,則算法終止��,否則轉(zhuǎn)入Step7����;
Step7:采用(2)中定義的量子門U( )
Step8:以確定的概率進(jìn)行量子變異��;
Step9:對于每個(gè)新的子代Qi() t+1����,算法轉(zhuǎn)至Step4繼續(xù)進(jìn)行。
4結(jié)論
檢測器集的好壞決定了入侵檢測系統(tǒng)的性能,因而檢測器集的生成算法是入侵檢測系統(tǒng)開發(fā)中最核心的部分��。該文引入量子遺傳算法來實(shí)現(xiàn)檢測器的優(yōu)化過程,設(shè)計(jì)了基于遺傳算法的檢測器生成算法��。該算法通過模擬自然界協(xié)同進(jìn)化機(jī)制����,把需要進(jìn)化的種群劃分為多個(gè)子種群,各個(gè)種群采用量子遺傳算法進(jìn)行優(yōu)化��,使整個(gè)入侵檢測系統(tǒng)具有良好的自適應(yīng)性和多樣性�����。在接下來的研究中,將重點(diǎn)研究侵檢測器中各參數(shù)的影響程度的問題,以提高入侵檢測系統(tǒng)的自適應(yīng)性和有效性��,進(jìn)一步提高入侵檢測的準(zhǔn)確率��。
參考文獻(xiàn)
[1]卿斯?jié)h,蔣建春,馬恒太,等.入侵檢測技術(shù)研究綜述[J].通信學(xué)報(bào),2004(7):19-29.
[2]林果園,黃皓,張永平.入侵檢測系統(tǒng)研究進(jìn)展[J].計(jì)算機(jī)科學(xué),2008,35(2):69-74.
[3]葛麗娜,鐘誠.基于人工免疫入侵檢測檢測器生成算法[J].計(jì)算機(jī)工程與應(yīng)用,2005(23):150-152.
[4]楊東勇,陳晉因.基于多種群遺傳算法的檢測器生成算法研究[J].自動(dòng)化學(xué)報(bào),2009,35(4):425-432.
[5]羅文堅(jiān),曹先彬,王煦法.檢測器自適應(yīng)生成算法研究[J].自動(dòng)化學(xué)報(bào),2005,35(6):907-916.
[6]趙麗,李智勇.求解入侵檢測問題的量子免疫算法[J].計(jì)算機(jī)工程與應(yīng)用,2011,47(11).
