入侵检测技术算法的改进与应用研究.docVIP

入侵检测技术算法的改进与应用研究 　　摘要：入侵检测技术是一种对入侵行为主动发掘的技术，其工作原理是通过从计算机的关键节点或计算机网络中收集数据链路层的数据包进行分析，根据既定的规则，从中检测是否存在违反安全策略的访问和攻击网络或系统的行为。目前的入侵检测技术尽管起到了很大的作用但也存在很多的不足，基于此，笔者提出了一种为了弥补不足，增加检测能力，提高了检测的速度为宗旨的改进的Web入侵检测模型，该入侵检测模型通过数据流与日志分析相融合的方式，极大地提高了入侵检测系统的有效性和实用性。 　　关键词：入侵检测技术；算法；模型 　　中图分类号：TP311 文献标识码：A 文章编号：1009-3044（2016）09-0072-02 　　随着Internet不断发展的同时，网站上出现入侵攻击的现象也愈发常见。跟据统计显示，大约每20秒就有一次入侵事件发生，网站犯罪每年以20%-30%速度增加，全球每年因网站非法入侵等情况而遭受的各种损失已至百亿级别。 　　在中国绝大多数的网站都有安全缺陷，不少网站都遭受到过入侵攻击，这一情况对我国网站信息安全产生极坏的影响。与此同时，随着网站安全防范技术的增强，网站入侵攻击的手段方法也愈发多变、隐蔽、难以发觉。非法入侵者使用的入侵手段已不只是木马、感染、网页脚本和黑客后门等，比方说超级蠕虫、隐蔽攻击等更高级攻击技术也开始出现。因此，研究入侵检测技术算法的改进与应用已经成为必要的问题。 　　1 入侵检测技术 　　入侵检测系统（Intrusion Detection System， IDS）是一种主动保护自己免受伤害的网络安全设备，主要负责采集系统中关键节点的数据，通过对数据的分析处理，发现危害系统的行为，同时对该种行为做出相应的防御，网络管理者可以通过它实时地了解网络的实际情况。 　　目前，入侵检测技术多种多样，涵盖了各个领域，每种技术都有各自的优势与长处，也有各自的特点，人们采用不同的划分标准区别各种各样的入侵检测技术，其中比较被大多数人认可的五种划分方式是反应机制、检测所采取的技术、数据的来源、体系结构以及反应快慢，在这五种方式中，每种都含有不同的检测技术 　　1）基于主机的入侵检测 　　入侵检测技术的初期阶段，入侵检测技术的应用是不尽如人意的，也因此出现了非常严重的入侵问题，例如，根据计算机密码配置文件的入侵程序，间接或直接的非法访问，使用SUID等入侵程序获取访问权限等。通常，当主机遭到入侵之后，入侵者的操作会留在系统的日志中。这样，利用日志分析技术可以来检测入侵主机之后到底发生了什么。基于日志分析的检测技术十分依赖于主机日志记录的准确性和严谨性。如果日志遭到破坏或篡改，将没有本法很好的分析入侵行为。 　　2）基于网络的入侵检测 　　基于网络的入侵检测和以往的入侵检测技术存在的区别，主要就是不再是被动地检测主机系统日志，主动在网络分组数据流进行实时监控网络，以检测可疑的活动。使用旁路时，侦听器的工作机制，以相应的收集数据，对可疑行为分析检验。基于网络的入侵检测技术，在利用实时监控的同时可以不改变系统配置进行入侵检测，丝毫不用影响正常的网络服务。 　　2 规则匹配算法 　　基于规则匹配算法的入侵检测系统是在1995年由外国学者Sandeep Kumar提出的，其主要思想是将规则规则与网络中捕获并解码分析的数据包进行匹配，通过检测引擎模块检测网络中是否含有非法入侵行为。 　　Sandeep Kumar首次引出入侵信号的层次性概念，将入侵信号区分为不同的抽象层次，具体来说，主要有四个层次，分别是存在、序列、规则表示及其他。 　　1）存在（Existence） 　　存在规则又称匹配规则，在对系统进行定期检查的过程中，发现含有入侵信号的审计事件，表明有入侵企图。 　　2）序列（Sequence） 　　序列规则可以理解为入侵行为是按照一定次序发生的，在系统的审计事件中用连续峰值体现出来。 　　3）规则表示（Regular Expressions） 　　该规则用规则表示式构成，一般情况下，都是一些没有顺序关系的活动，用逻辑表达式将这些活动事件连接起来。 　　4）其他（Others Pattern） 　　这种规则的入侵信号用以上三种规则都不能表示，内部否定是其中一种比较重要的表现形式。 　　入侵检测系统可以检测出的入侵信号用存在规则表示，系统内部的规则文件在检测过程中发挥了重要作用，规则匹配系统事件来源独立，只考虑事件中的数据，描述和匹配过程分离，只定义匹配的内容，不考虑匹配过程，根据不同入侵信号的特点动态形成相应的规则，多个事件可以在同一时间进行匹配，在实际应用中，要提取高质量的规则，根据入侵手段的变化，动态改变匹配规则，设立不同优先级，及时处理优先级