案例推理在网络入侵检测识别过程中的应用分析.docVIP

案例推理在网络入侵检测识别过程中的应用分析 　　摘要：伴随着网络的应用普及，网络安全问题也不断表现出来。在防火墙、认证技术等传统安防技术日趋成熟的同时，作为主动防御技术之一的入侵检测技术为网络安全提供了新的有力的支持。在如前检测识别过程中引入基于知识的、有自学习能力的案例推理机制，能够为网络管理者提供可靠的、有针对性的入侵响应处理方法。 　　关键词：网络安全；入侵检测；案例推理；案例库 　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2014）25-5861-02 　　互联网的普及给人们带来了便利的同时，因为其安全性给人们带来的烦恼也随之增加，甚至对网络信息安全造成巨大的威胁。所以，网络安全问题成为提高网络服务要求之一，同时也引领了网络技术的一个方向――网络安全。现在广泛使用的防火墙技术、加密技术和认证技术虽然成熟，但由于其静态、被动的特点，在日趋复杂的网络应用环境中显得力不从心。所以，需要有更为有效的防御技术来对现在的网络安全进行防护，融入智能化的更为综合的主动防御技术成为人们关注的焦点。入侵检测技术的应用作为网络安全防范的重要手段之一，在网络安全中的地位越来越重要。 　　1 入侵检测的概念 　　入侵检测是网络安全重要的组成部分，是根据一定的安全策略，对网络和系统的运行进行监视，对网络数据包进行综合分析并进行的异常检测，对系统资源的非授权使用做出及时判断和报警，并能够识别入侵者和入侵行为、检测和监视已经成功的入侵，并进行入侵响应。目前已经成为计算机安全策略的核心技术之一。 　　入侵检测融合数据挖掘的归纳总结能力，以数据为中心，对系统日志和审计数据进行分析，从中抽取规则和知识，自动的构建检测模型，大大的减轻了对系统日志和审计数据进行人工分析的负担。 　　根据入侵检测系统的应用技术和特点，可将其归纳为以下几类： 　　1） 基于目标系统的入侵检测系统：包括基于主机和基于网络的入侵检测系统两大类； 　　2） 基于数据来源的入侵检测系统； 　　3） 基于入侵检测方法的入侵检测系统：包括异常和误用两大系统； 　　4） 基于模块运行分布方式的入侵检测系统：包括集中式和分布式两大系统； 　　5） 基于不同入侵响应处理方式的入侵检测系统：包括主动的入侵检测系统和被动的入侵检测系统。 　　2 案例推理理论的概念 　　案例推理（Case Based Reasoning，简称CBR），又称作实例推理。推理机制源自人类在现实生活中解决问题的一般过程。即生活中遇到问题时先在记忆中遍历搜索已经历过的、类似的问题处理过程，从而得到解决办法，若没有找到解决办法，就记录下该问题，生成一个新的条目，并分析判断产生新的解决办法，待问题成功解决后进行记录并生成新的记录。案例推理过程就是采用上述类比的过程，把当前所遇到问题通过以往已经解决的相同或相似案例来作为指导，并将新的问题保存下来作为以后求解指导的案例，从而充实案例库、知识库。但案例库、知识库的不断扩充直接导致检索时间的无限延长，推理效率下降。 　　3 案例推理过程及其优点 　　3.1 案例推理的一般过程 　　案例推理的一般过程包含四个步骤：案例的检索（CASE RETRIEVE）、案例的复用（CASE REUSE）、案例的修正（CASE REVISE）、案例的保存（CASE RETAIN） 　　案例推理的一般处理过程： 　　1） 新问题的分析，在遇到问题后首先进行问题的分析，即找出问题的关键特征，以这些特征在已有的案例库中进行检索、匹配，根据检索和匹配的条件得到的匹配结果往往不是唯一的。所以，检索的结果数量应该尽可能的少，并尽量缩短检索、匹配所用的时间。 　　2） 应用检索、匹配的结果进新问题求解的过程。在上一步检索、匹配到结果后，将新问题与库中原有的案例进行比较，针对二者的异同，直接或间接作用于新问题之上。 　　3） 案例修正，在问题处理完成后，将处理结果进行指标评价，对上一步检索、匹配并用于新问题求解的案例在用于新问题求解过程中无法得到正确结果，则要根据产生的偏差对所存储的案例进行修正，修正过程要依据实际运行结果的反馈进行。 　　4） 问题解决后，将该问题生成案例，并将其保存，以充实案例库。 　　3.2 案例推理机制的优点 　　1） 案例推理机制依据的是过去以存储的案例，不需要准确的规则和模型； 　　2） 案例推理机制对方法知识获取过程简单，简单易懂，求解效率高； 　　3） 案例推理机制有很好的自学习能力，它通过执行案例的修正和案例的保存来扩充案例库，从而实现案例库的有机灵活性。 　　4 案例推理在网络入侵识别中的应用 　　将案例推理应用到入侵识别过程的基本思想是将检测到的网络入侵作为新的案例问题进行保存，并开始在案