基于混合检测模式的入侵检测模型研究.docVIP

基于混合检测模式的入侵检测模型研究 　　摘要：本文分析了目前常用的入侵检测技术，并对其性能参数进行了详细的分析，提出了基于混合检测模式的入侵检测模型，该检测模型综合使用异常检测模式和误用检测模式，两种模式的综合使用，弥补各检测模式所存在的不足，基于混合检测模式的使用能够极大的提高入侵检测系统的网络攻击检测率，同时大大的降低了网络攻击检测的误报率，具有较强的实用性。 　　关键词：入侵检测系统；异常检测模式；误用检测模式；混合检测模式 　　中图分类号：TP393.08文献标识码：A文章编号：1007-9599 (2011) 04-0000-02 　　Intrusion Detection Model Research Based on Mixed Detection Mode 　　Zhong Rui 　　(Modern Education Technology Center,Gannan Normal University,Ganzhou341000,China) 　　Abstract:This paper analyses the frequently-used intrusion detection technology function in details.The author has proposed intrusion detection model based on mixed mode,which combines the abnormal detection mode with misuse detection mode.The integrated use of these two modes makes up for disadvantages of both modes.The intrusion detection model based on mixed mode could extremely improve network attack detection rate of intrusion detection system,in the meanwhile it reduces the network attack false positive rate and has strong practicability. 　　Keywords:Intrusion Detection System;Abnormal detection mode;Misuse detection mode;Mixed detection mode 　　一、引言 　　随着互联网技术的飞速发展，各种互联网的应用层出不穷，给人们的生活带来了极大的便利，由于互联网的开放性和互联性，在给人们带来便利的同时也留下了诸多不安全的隐患，各种病毒和木马在互联网上肆意传播，网络安全问题成为互联网上最为棘手的技术难题。依据CNCERT抽样监测结果和国家信息安全漏洞共享平台（CNVD）发布的数据，境内被木马控制的主机IP地址数目约为51万个；境内被僵尸网络控制的主机IP地址数目约为1.3万个，环比增长9%；境内被篡改政府网站数量为73个，环比增长7%；新增信息安全漏洞94个，环比增长236%，其中高危漏洞12个。由此可见目前网络安全态势不容乐观，因此入侵检测技术已成为当前解决网络安全问题的重要技术手段，具有重要的研究意义。 　　二、入侵检测技术分类 　　目前入侵检测技术的方法有按照检测模式分类，能够分为两类：基于误用的入侵检测系统与基于异常的入侵检测系统，这两种类别的入侵检测系统在攻击检测率、实时性、误报率等方面都具有不同的优势。 　　（一）基于误用的入侵检测技术 　　使用数学建模方法对目前现有网络攻击所具有的特征进行抽象，建立网络攻击的特征模型，在进行入侵检测时将当前网络数据包特征与网络攻击特征库中的各种网络攻击进行对比，若与网络攻击特征库中的某一网络攻击特征匹配，则进行报警过滤处理。基于误用的入侵检测技术是对异常网络行为特征进行建模，具有误报率低的特点。由于网络攻击的多样性导致网络攻击特征库不完全，无法检测出未知网络攻击。为了提高基于误用的入侵检测系统的检测率需要不断对其特征库进行更新，以应对网络中不断出现的各种网络攻击。 　　（二）基于异常的入侵检测技术 　　当网络处于正常时分析网络数据包所具有的特征，构建正常网络行为特征的数学模型，进行入侵检测时将当前网络数据包特征与正常特征库进行对比检测，若与正常行为特征库的偏离度超出所设定阈值时，则认定当前网络状态存在异常。基于异常的入侵检测技术是对正常的网络行为特征进行建模，因此特征库的体积很小且不用进行更新。基于异常的入侵检测技术具有很高的检测率，同时其误报率也很高