IDS9入侵检测的发展趋势.pptVIP

第9章入侵检测的发展趋势 入侵检测的发展趋势 入侵检测技术现状分析 基于神经网络的入侵检测技术 基于数据挖掘的入侵检测技术 基于数据融合的入侵检测技术 基于计算机免疫学的入侵检测技术 分布式入侵检测技术 IPS技术 入侵检测的前景 入侵检测技术现状分析 入侵检测技术已经成为了网络安全技术的核心技术之一 ，目前的入侵检测产品大多存在如下一些问题。 （1）误报和漏报的矛盾。 （2）隐私和安全的矛盾。 （3）被动分析与主动发现的矛盾。 （4）海量信息与分析代价的矛盾。 （5）功能性和可管理性的矛盾。 （6）单一的产品与复杂的网络应用的矛盾。 入侵检测技术现状分析 除了异常入侵检测方法、误用入侵检测方法这些传统意义上的方法之外，20世纪90年代以来，不少研究人员提出了不少新的检测算法，这些检测算法在不同的方面试图解决入侵检测面临的问题，例如，误报、缺乏对未知攻击的检测能力、缺乏对变形攻击的检测能力、自适应性差等。这些新的检测技术统称为“入侵检测的先进技术”。 这些入侵检测的先进技术与传统的入侵检测技术相比，既有联系又有区别。 基于神经网络的入侵检测技术 神经网络在概念和处理方法上都很适合入侵检测系统的要求，主要表现在 （1）神经网络可以通过利用大量实例进行训练的方法学会知识，获得预测能力。 （2）可以向神经网络展示新发现的入侵攻击实例，通过再训练使神经网络能够对新的攻击模式产生反应，从而使入侵检测系统具有自适应的能力。 （3）当神经网络学会了系统正常工作模式后，能够对偏离系统正常工作的事件做出反应，进而可以发现一些新的攻击模式。 （4）经过训练后的神经网络将对模式的匹配和判断转换为数值的计算，从而提高了系统的处理速度，适合于实时处理。 基于神经网络的入侵检测技术 基于神经网络的入侵检测方法 （1）基于BP神经网络的入侵检测方法 （2）基于粗糙集的入侵检测方法 （3）基于优化自组织聚类的入侵检测方法 （4）基于遗传算法的入侵检测模型 （5）基于进化的入侵检测方法 基于数据挖掘的入侵检测技术 在入侵检测系统中，数据挖掘通常是指从大量的数据中自动提取出模型的过程。数据挖掘技术在从大量数据中提取特征与规则方面具有很大的优势，将数据挖掘技术应用于入侵检测中，利用数据挖掘技术的归纳能力，利用机器学习和数据挖掘算法，对审计数据进行分析，可以自动地从大量数据中发现新的模式，消除入侵检测系统开发过程中的手工编码入侵模式和正常行为轮廓，建立合理的检测模型，从而克服目前系统存在的缺陷，建立一个准确性高的（低误报率和低漏报率）、易于扩展的、适应性好、伸缩性好、智能的入侵检测系统。 基于数据挖掘的入侵检测技术 数据挖掘在入侵检测过程中的作用： 分析网络数据和审计数据，从中提取可以区分正常活动和入侵活动的特征。 找出能揭示真正攻击的反常的行为。 从已知攻击和正常活动中归纳出检测模型，以便可以检测出新的、或未知的攻击。 识别出长时间的、正在进行的攻击活动。 及时更新规则库，以反映用户正常行为的变化和新出现的攻击类型。 将正常的活动从报警数据中移出，寻找掩盖了真正攻击的异常活动，以便分析人员集中处理真正的攻击。 基于数据挖掘的入侵检测技术 数据挖掘在入侵检测过程中的优点 检测效率高 检测的准确性高 适应性强 扩展性好 智能性好，自动化程度高 基于数据融合的入侵检测技术 在以数据为中心的基础上，我们把IDS看成是一个数据、信息的分析过程，并引入数据融合和数据挖掘技术，使其可以自动处理来自多数据源的数据信息，并根据预定的数据挖掘和融合模型来自动生成入侵检测规则和模型。 数据融合主要是解决入侵检测系统前端多数据源数据的融合问题，提高IDS的入侵识别效能和准确性。 数据融合技术综合了人工智能、统计学和数字信号处理等多方面的技术，其主要功能是对多数据源采集到的事件、行为、状态进行推演，整合并精细化数据源的数据，用于与预先定义的规则进行匹配分析。 基于计算机免疫学的入侵检测技术 从信息处理的角度来看，免疫系统是一个自适应、自学习、自组织、并行处理和分布协调的复杂系统。借鉴免疫系统中蕴涵丰富且有效的信息处理机制，针对计算机系统和网络抵抗入侵的安全问题，可以建立相应的人工免疫模型和算法，具有十分广阔的应用前景。 基于计算机免疫学的入侵检测技术 入侵检测系统与免疫系统具有本质的相似性： 免疫系统负责识别生物体“自身”和“非自身”的细胞，清除异常细胞，入侵检测系统则辨别正常和异常行为模式； 生物免疫系统对抗原的初次应答类似于入侵检测系统异常检测，可检测出未知的抗原； 生物免疫系统第二次应答即利用对抗原的“记忆”引发的再次应答与误用检测相类似。 分布