智能化入侵检测系统的研究.pdfVIP

智能化入侵检测系统的研究 济南大学 张衍斌 随着互联网的飞速发展，广泛获得信 ^侵模式都被植入系统中，所以，—旦出现任 息资源，高效共享信息的同时，也给网络安 何未知形式的入侵，都无法检测出来。但该 全提出了更高的挑战。传统的保障网络信息 方法的检测效率较高。 安全的方法是采用严格的访问控制策略和各 异常检测(AnomalyDebE ∞)是通过检 种数据加密技术来进行防护。采用的方式多 查当前用户行为是否与已建立的正常行为轮 是防火墙的策略，它可以防止利用协议漏洞、 廓相背离来鉴别是否有非法入侵或越权操 源路由、地址仿冒等多种攻击手段，并提供 作。该方法的优点是无需了解系统缺陷，适 安全的数据通道，但是它对于应用层的后门， 应性较强。但发生误报的可能性较高。 内部用户的越权操作等导致的攻击或窃取， 二、入侵检测系统的结构 破坏信息却无能为力。在这种情况下，智能 ^侵检测是检测计算机网络和系统，以 ． ^侵检测系统便异军突起，它提供了一种动 发现违反安全策略事件的全过程。作为入侵 态的网络安全策略，能够有效的弥补防火墙 检测的系统至少应该包括3个功能模块：提 的不足，发现和扼制合法用户的特权滥用行 供事件记录流的信息源、发现入侵迹象的分 为和各种外部入侵行为。 析引擎和基于分析引擎的响应部件。 一 、 入侵检测的基本概念 CIDF(公共^侵检测框架)阐述了—个 入侵检测是指 通“过对行为、安全 日志 入侵检测系统的通用模型，即入侵检测系统 或审计数据或其他网络 匕可以获得的信 自进 可分为4个组件：事件产生器、事件分析器、 行操作，检测到对系统的闯入或闯入的企 响应单元和事件数据库。CIDF将需要分析 图”。入侵检测是检验和响应计算机误用的 的数据统称为事件，它可以是网络中的数据 学科，是通过计算机网络或计算机系统中的 包，也可以是从系统 日志等其他途径得到的 若干关键点收集信息并对其进行分析，从中 信息。 发现网络或系统中是否有违反安全策略的行 三、智能入侵检测技术 为和遭到攻击的迹象，同时做出相应。 入侵检测系统在结构上的发展是与信 入侵检测技术是为保证计算机系统的 息系统的结构变化密切相关的，但入侵检测 安全而设计与配置的一种能够及时发现并报 的方式没有多少变化。无论是异常检测还是 告系统中未授权或异常现象的技术，是一种 误用检测，都要使用到诸如专家系统、神经 用于检测计算机网络中违反安全策略行为的 网络、决策树、遗传算法、免疫原理、数据 技术。入侵检测技术可以分为两类： 挖掘等智能化方法，这些方法常用于对 ^．侵 误用检测(ⅣⅡ DEBCti0n)是利用已知 的特征进行辨识。 的入侵方法和系统的薄弱环节识别非法入 (1)基于专家系统的入侵检测。基于专 侵。该方法的主要缺点为：由于所有已知的 家系统的入 科学发展 知识表示成if-then规则形成专家知识库， 的更适应环境的个体。适应度低(因而性能 然后运用推理算法检测入侵。用专家系统对 不佳)的染色体将被淘汰，从而得到新的群 入侵进行检测，经常是针对有特征的入侵行 体。因为新群体是上一代优秀者，具有上一 为。所谓的规则，即是知识，专家系统的建 代的优 良陛态，所以明显优于上一代。GA反 立依赖于知识库的完备性，知识库的完备性 复迭代，向着更优解的方向进化，直至满足某 又取决于审计记录的完备性与实时性。 种预定的优化指标。 (2)基于神经网络的人侵检测。神经网 (5)基于免疫原理的入侵检测。从信息 络是一种非参量化的分析技术，使用 自适应 处理的观点来看，免疫系统具有健壮陛、记 学习技术来提取异常行为的特征，通过对训