入侵检测系统在计算机网络安全运用.docVIP

入侵检测系统在计算机网络安全运用 　　摘 要： 随着计算机网络技术的不断发展，人们对网络安全也越来越重视。将对入侵检测系统在计算机网络安全的运用展开探讨，并对其概念、运用过程及作用等方面进行分析，其实际情况如下。 　　关键词： 网络安全；入侵检测系统；计算机技术；异常检测；误用检测 　　1 概述 　　入侵检测系统主要是指，通过对计算机的网络系统进行监测，并运用其主要的关键点对信息进行收集、分析，然后发现某些与安全策略相违背的行为，或发现某些被攻击的迹象，并及时的自动的做出相关的反应。通常情况下其功能为：对系统和用户的行为进行监测和分析；对系统的配置及漏洞及时的做出审计检查；对数据文件和系统的完整性做出评估；对已知的某些攻击行为或模式进行识别和统计分析；操作系统做出相关的跟踪审计管理，对某些与安全策略相违背的用户行为进行识别等。入侵检测系统在计算机网络安全的作用主要有：对异常进行检测、对误用进行检测。 　　2 对异常进行检测 　　2.1 统计异常的检测 　　在统计异常检测中，可以通过异常检测器对主体活动进行观察，然后将这些活动的关键性行为轮廓进行刻画。统计分析异常检测方法： 　　1）操作模型：该模型假设异常可通过测量结果与一些固定指标相比较得到，固定指标可以根据经验值或一段时间内的统计平均得到。举例来说，在短时间内的多次失败的登录很有可能是口令尝试攻击。 　　2）方差：计算参数的方差，设定其置信区间，当测量值超过置信区间的范围时表明有可能是异常行为。 　　3）多元模型：操作模型的扩展，通过同时分析多个参数实现检测。 　　4）时间序列分析：将资源耗用根据时间与事件计数排成序列，如果某一时间段发生低概率事件，则可以初步判定为可能入侵。 　　5）马尔柯夫过程模型：首行将系统状态定义为每种类型的事件，然后状态的变化用状态转移矩阵表示，状态矩阵该转移的概率较小或者所定义类型事件发生时，则可能是异常事件。 　　2.2 神经网络的异常检测 　　神经网络的异常检测主要是将神经网络中的某些连续性的信息单元进行训练，在其输入层中有用户现有的输入命令及已操作完成后的命令，用户已操作完成的命令可以被神经网络加以运用，然后对用户的下一个输入命令进行预测[3]。神经网络训练主要有三个阶段：1）网络构造及训练：在训练阶段，根据神经网络的实际输出模式与期望输出模式的误差调整网络的权值；2）网络修剪：删除多余的隐藏层节点和多余的节点之间的联结。3）规则提取：即从修剪后的网络中提取出分类规则。 　　2.3 特征选择的异常检测 　　特征选择的异常检测主要从某一组的度量中对某些入侵行为的主要度量的构成子集进行挑选，然后对已有效检测出的入侵行为进行分类或预测。该法的关键性问题就是对入侵活动和异常活动作出有效的判断，但要使判断与实际的度量相符是比较困难的，由于对度量子集进行适当的选择主要依照的是已有效检测到的全部入侵类型，而某一个度量集是很难对所有的入侵类型进行检测，事先已确定的某些度量也很难检测出特殊环境下的某些入侵行为。特征子集构造如下：特征子集的构造方法为：假设与入侵潜在相关的度量有n个，则这n个度量构成子集数是2n个。由于度量数与搜索空间为指数关系，所以想方设法找到量子集的最佳程度是无效的。可通过Maccabe提出遗传方法来搜索整个量子空间，找到正确的量子集。方法是使用学习分类程序产生基因突变算子和交叉算子，除去较低的预测入侵量子集，同时利用遗传算子产生的强度量子集。使用此方法与具有较高的预测量子集相结合，在所充许搜索空间，比其他启发式搜索技术更有效。 　　2.4 模式预测的异常检测 　　模式预测的异常检测需要有一定的假设条件，即事件的序列必须是有规律的可辨别模式而不是随机的。该法主要考虑的是事件的相互关系及序列。通过对用户行为进行观察，归纳总结出一个规则集，然后构建为用户的主要轮廓框架。若观察到的某些事件序列与后续的事件相背离，则表明用户的操作存在异常。 　　3 对误用进行检测 　　3.1 专家系统的误用检测 　　专家系统主要是根据专家的某些经验和知识而建立起来的，并以推理机和知识库为中心而构成的软件智能系统。其应用程序：首先使用规则类似的if-then格式输入现有的知识（攻击模式），然后输入入侵检测数据（审核事件日志），系统根据知识库中的内容来评估测试数据，判断是否有入侵模式。专家系统的优点回答了系统的控制过程和问题的最后阶段分离的推理，即支持不需要了解或在该专家系统的推理过程，但只有到了自制的黑盒子专家系统。当然，要实现这一目标，形成黑盒子是一个艰难而耗时的工作，重点在于嵌入式系统中的编码引擎和检验规则。 　　3.2 模型的误用检测 　　模型的误用检测系统，是通过三个模块实现的：先知模块，规划模块，解释模块。模型推理系统测试过程中，根据越来越多的收集特殊