网络入侵检测系统中的二维总体模型研究.pdfVIP

2008年9月 全国抗恶劣环境计算机第十八届学术年会论文集 中国．西安 网络入侵检测系统中的二维总体模型研究 邓尧文，何晓静，丁宇 (中船重工集团第707研究所加固微机事业部，天津300131) IntrusionDetection 摘要：提出了应用于网络入侵检测系统(Network System，简称NIDS)的二维总体模型。该模型从时 间和空间二维轴上同时对入侵行为进行分析，将监测预警、反应控制、审计追踪、容错容灾四个模块进行有机合成，从总 体上保证系统的安全性。采用二维总体模型有助于分析入侵过程中控制流、数据流的走向和规律，揭示入侵检测的本 质。 ． 关键词：入侵检测；二维总体模型；网络安全 引言 庞大。 异常检测的优点是： 入侵检测所采用的数学模型是入侵检测策略选取 1)它无需了解系统缺陷，从而具有较强的适应性； 和应用的根据与基础。在入侵检测技术的研究过程中 2)可以检测到未知的攻击。 DetectionEx- 提出了很多模型，如IDES模型(Intrusion 除了误用检测和异常检测，在入侵检测领域新出 Detection pertSystem)、IDM模型(IntrusionModel)、 现的方法包括：免疫系统方法、遗传算法、基于代理检 Net Protocol—In． SNMP．IDSM模型(SimpleManagement trusionDetection 测及数据挖掘等技术。目前的IDS产品中总是几种手 SystemModel)、告知模型、告知一询问 段同时使用。本文提出的入侵检测二维总体模型，也 模型等都是发展中的入侵检测系统模型，各有各的优 是同时利用了以上几种手段。 缺点。随着入侵检测系统标准化工作的开展，形成一 一个基本的入侵检测系统模型需要解决2个问 个被广泛接受的入侵检测标准模型是必然趋势。 题：一是如何充分并可靠地提取包含关键行为特征的 目前入侵检测模型主要有2种类型：误用检测和 数据；二是如何高效并准确地判定入侵行为。在此基 异常检测。 础之上可以进一步实现网络对抗、动态策略、入侵学习 误用检测包括基于规则的产品／专家系统、状态转 等功能，现在已有的入侵检测系统并没有提供完善的 化方法及用于批模式分析的信息检索方法，主要用于 解决方案。本文提出基于流的入侵检测模型的主要目 检测利用已知系统缺陷的入侵。其主要缺点是： 的就是致力于解决上述问题。 1)维护系统正常工作需要周期性更新