基于人工智能技术的网络入侵检测的若干方法.pdfVIP

第 24~第 5 期 2007 年 5 月 计算机应用研究 Application Research of Computers Vol. 24 ,No. 5 May 2007 基于人工智能技术的网络入侵检测的若干方法* 周荼1 ，王崇骏1 ，王瑞1 ，周新民2 ，陈世福1 (1.南京大学计算机科学与技术系，计算机软件新技术国家重点实验室，江苏南京 21∞93; 2. 江苏省公安斤， 江苏南京 210024) 摘 要:网络入侵检测巳成为计算机界研究的热点问题之一。介绍了芳子用于网络入侵检测的人工智能方法， 着重介绍了基于 Agent 的入侵检测技术，并客观分析了这些方法的优点和不足，同时列举了一些基于人工智能 方法的网络入侵检测系统。最后展望了目前的发展趋势。 关键询:入侵检测;机器学习;代理;网络安全 中回分类号: TP393.08 文献标志明:A 文章编号: 1001-3695(2007)05-0144-06 Several Approaches Used in Intrus?on Detection Based on Artif?cial Intelligence ZHOU Quan 1 , WANG Cl阳1ωon吨1嗨g纱珍珍.刷刷仙刷 (υ1. N，ωωn阳αal Key μb伪οr阳αωrηyJ卢òr N，οm也时elStφ#仙即圳αr附e r.ηech，ω时log盯y ， De，酬pμtι圃 ofG仇ompuωz阳er Sc臼酣e Tech阳必gy ， N，α叼硕rin咆g U，怕n附r川~itηy ， Na叫r句lji饥ng JI刀iαangsu 2川10∞093 ， Chioo; 2. Jiαngsu Provincial Public Security Bureαu ， NanJ?ng Jiangsu 210024 , Chioo) Ab自tract: The ability to detect intruders in computer systems increases in importance as computers were increasingly integra- ted into the systems that rely on for the correct functioning of society. A history of research in intrusion detection and several approaches based on AI technology in IDS especially some machine learning technology , and then agent翩based intrusion detec幡 tion systems were introduced. ln the end , some possible rei咽arch directions and challenge唱 was presented in this field. Key words: intrusion detection; machine learning; agent; network security 0 冒| 入侵检测是指在不影响网络性能的情况下对计算机问络 戒计算机系统中的若干关键点收集信息并进行分析，从中发现 网络成系统中是否有违反安全策略的行为和被政击的迹象;同 时收集入侵证据，为数据恢复和事故处期提供依据。 1980 年 J. Anderson [ 1 J 第 a次提出入侵检测的概念，并提出了一种对计 算机系统风险和威胁的分类方法。这一思想成为入侵检测系 统设计及开发的慕础。 1987 年 D. Denning[2 J 提出了第一个入 侵险测模型 IDES o 一般而苔，入侵检测系统启立包含三个必要功能的组件，即 信息米、源、分析号|黎和响应组件。因 l 是叫个简单的入侵检测 系统的结构模式圈。数据收集器将收集来的数据存入数据存 储器;处理器根据配置数据，参考数据来处理活跃数据，一旦发 1 入侵检测方法 1. 1 基于统计分析的方法 异常检测器首先观察目标的行为，然脂由此产生一个框 架。这个框架不需要用太多的空间来存储而且能够被高效地 有规律地更新。随着统计数据的不断更新，系统周期性地产生 一个数据来代表它的异常度。这个数值是由一些独立方法产 生的子异常度的函数，班些异常度又是由系统根据用户行为得 到的。例如鸟，鸟，鸟，… ， 5n 是由不同的方法 M[ ,M2 ,M3 ,…, Mn 得到的异常度数据。 _..个 S 的函数有可能是这样的: a)5[ + 向民十 a3 53 + … + an5no 其中 αiO