基于网络状态的入侵检测模型-信息工程大学学报.pdfVIP

基于网络状态的入侵检测模型 单 征，刘铁铭，楚蓓蓓 （信息工程大学 信息工程学院，河南 郑州 ’(! ） 摘要：本文提出了一种基于网络状态的入侵检测模型。该模型结合网络入侵的目标和特点，利 用有穷自动机理论，基于网络协议来实现进程和操作系统的状态建立，从而可以发现未知的入 侵。本文论证了应用该模型的可行性，并利用通用入侵检测框架)*+, 对应用该模型的入侵检 测系统进行了描述，最后与其它入侵检测模型进行了比较。 关键词：入侵检测；有穷自动机；网络状态；通用入侵检测框架 中图分类号： 文献标识码： 文章编号： （ ） -./%/ 01 2 #3# $ 3/ !! / $ % $ 3 用户的正常活动模型，来监测系统和用户的实际活 # 引言 动是否符合正常模型，从而判断系统是否遭受到攻 击。其缺点是： 入侵者可逐步训练基于统计的入 ! 随着*4567465 日益普及，接入互联网的计算机数 侵检测系统，使之将异常活动判为正常活动； 难以 量迅速增加， 已经成为数据交换和事务处理 确定评判指标正常和异常的阈值，容易出现漏报或 *4567465 的主要媒介，同时它也成为了攻击主机或系统的主 误报； 每个指标需随着系统的运行而更新造成计 # 要途径，安全领域关注的重点随之转移到互联网络 算量庞大。异常检测的优点是： 它不需要了解系 ! 上来。如何建立一个安全而又稳健的系统，保证重 统缺陷，从而具有较强的适应性； 可以检测到未知 要信息的安全，对于未来*4567465 的可持续发展具有 的攻击。 战略意义。入侵检测系统为我们提供了一种有效手 目前的 产品中总是几种手段同时使用。如 *+D ［］ 段，可以尽量减轻或避免损失，是网络安全系统中重 )2 公司的D6@A4E=::;/ # 等都采用了多种入侵检测 要的组成部分。目前，以提高系统和网络的安全度， 模型。本文提出的基于网络状态的入侵检测模型， 对黑客试图入侵的系统和网络提供检测服务为目标 也是同时利用了滥用检测和异常检测 种手段。 ! 的研究领域极具活力。入侵检测系统的核心问题是 一个基本的入侵检测系统需要解决 个问题： ! 如何建立入侵检测模型，即怎样识别来自黑客的网 一是如何充分并可靠地提取包含关键行为特征的数 络入侵。