基于模式匹配和神经网络的分布式入侵防御系统的研讨.pdfVIP

·58· 第二十次全国计算机安全学术交流会论文 基于模式匹配和神经网络的分布式入侵防御系统的研究 亳华斗 健 荡 电子科技大学计算机科学与工程学院 摘 要：本文提出一种基于模式区配和神经网络技术的分布式入侵防御系统模型，设计一个 基于该模型的入侵防御系统(称为Adidp)。并详细讨论该系统的体系结构、特点和 实现技术等。该模型能够对大型高速分布异构网络进行有效的入侵检测和防御。 关键词：网络信息安全入侵检测 入侵防御模式匹配神经网络 但是，入侵检测系统只能采取被动监听的方式发 1、引言 现网络问题，无法主动发现网络中的安全隐患和故障 等。目前的入侵检测系统还不能适应大规模高速异构 随着计算机网络的广泛使用和网络之间传输信 网络环境、缺乏协同响应的能力。 息量的急剧增长，一些重要机构和部门在得益于网 此外，网络攻击技术不断发展变化，并呈现出一 络加快业务运作的同时，其上网数据也受到了不同 些新的特点，而原有的安全解决方案不能迅速地适应 程度的破坏，或被复制或被删除篡改，导致机密信息 这些新特点，导致网络的安全保障技术相对落后于网 泄露或重要数据丢失。数据的安全性、保密性、完整 络攻击技术，从而出现防不胜防的尴尬局面。所以有必 性等受到了严重的威胁。网络安全问题日益引起人 要引入新的技术和思想，来改进原有的安全解决方案。 们的重视。 借助于防火墙，把网络隔离为内网和外网，可以 2、分布式入侵防御系统 把来自外部的安全威胁减少到一个安全得多的程 度。但是，单一防火墙技术并不能保障网络系统的安 入侵是指试图破坏一个资源的完整性、机密性和 全。首先，防火墙基本上是属于防外部人侵的安全措 可获得性的活动集合。入侵检测技术可被分为误用入 施，要想防止内部的威胁，只能是分割子网，或在内 侵检测和异常入侵检测两种，前者通过检测固有的攻 部再分出一个“内部”来。而按IDC的技术统计，30％击模式发现入侵，后者通过检测系统或用户行为是否 的网络攻击和70％以上的致命攻击来自于网络内 偏离正常模式发现入侵；按照数据来源可分为主机和 部，如对企业不满的员工等等，对这种威胁，防火墙 网络入侵检测，主机入侵检测主要收集其运行主机的 是无能为力的。其次，如果内部电脑感染了特洛伊木 信息；按照入侵响应可分为主动响应和被动响应两 马类病毒，外部主机就可以使用反向遂道绕过防火 种，如果检测出入侵后，能够自动重新配置防火墙、关 墙直接控制主机。此时，在防火墙看来，所有的请求 闭适当的服务或反击入侵者，那么就被称为主动响 都是由内部主机对外部网络的合法请求，而实际上， 应，若检测到入侵后仅给出警报或记录日志，那就是 此时，内部主机已经被外部黑客完全控制了。 被动响应。 ——由于单一的防火墙技术并不能防范来自内部的或 Detectionand 入侵检测和防御系统(Intrusion 智能化的人侵攻击，不能保障网络系统的安全。我们发 Prevention 现采用入侵检测技术是一种很好的安全防范手段。 防御系统，指不但能检测入侵的发生，并且能指挥防 大会论文 ·59· 火墙和其他响应方式(如conKil