网络安全中入侵检测技术研究.docVIP

网络安全中入侵检测技术研究 　　摘 要：本文首先对在网络安全防护中使用入侵检测技术的必要性进行了分析，然后对入侵检测技术的分类状况做了简要描述，进而对不同分类下的入侵检测技术进行了研究和讨论。 　　关键词：网络安全；入侵检测 　　中图分类号：TP393.08 　　互联网技术的发展极大的改变了人们的生活和工作通信方式，但是随着互联网应用范围的拓展和网络传输信息重要性的不断提升，针对网络计算机的非法入侵行为也迅猛增多，这种入侵行为不仅可能会对用户计算机传输和存储的数据造成破坏，还可能会带来重大的经济损失，因而对计算机网络的行为进行入侵检测，采取必要的网络安全防护措施保障网络计算机的安全已经成为网络安全领域所面临的重要问题之一。 　　1 入侵检测技术应用的必要性分析 　　互联网具有高度的开放性和自由性，而接入网络的计算机系统或软件不可能绝对安全，为保障计算机用户数据和系统的完整性、可用性以及保密性，就必须采用必要的安全防护措施。目前常用的安全防护措施有对系统进行完善、对数据进行加密、执行访问控制等。但是就目前技术发展来看，第一种措施在技术层面很难实现；第二种措施短期内可对数据进行保护，但是加密技术本身实现过程中存在一些问题，被破解的可能性相对较高；第三种措施会在一定程度上降低网络用户的使用效率。 　　综合来看，可以应用较为容易实现的安全系统配合使用基于某些安全策略建立起来的安全辅助系统来提升网络用户的安全性能。基于入侵检测技术构建的入侵检测系统即为这样一类系统，系统模型如图1所示。其可以主动对用户网络中存在的行为进行实时检测，从中识别入侵行为和入侵对象，进而采用适当的安全防护措施保障网络用户的网络安全。因此，使用入侵检测技术对网络用户进行安全防护是非常有必要的。 　　2 入侵检测技术分类 　　目前常用的入侵检测技术可分为两种类型：异常入侵检测相关技术和无用入侵检测相关技术。前者会对用户所在网络的异常行为和用户所使用的计算机的资源利用情况进行实时监测，并按照一定的描述方式将所检测到的行为进行分类，区分出正常网络行为和入侵网络行为，进而根据分析结果确认是否执行安全防护相关策略；后者则是根据已知的系统和应用软件的弱点攻击模式对网络行为进行入侵检测，进而筛选出对用户不理的行为，并执行相应的安全防护策略保护网络用户的安全。 　　3 入侵检测技术 　　3.1 异常入侵检测技术 　　异常入侵检测技术的核心思想在于构建异常模型，然后以该模型作为判断依据，查找和发现网络中存在的入侵性活动子集。 　　（1）基于特征选择的入侵检测技术。该技术首先会在异常活动度量中选出一组能够检测出入侵行为的度量，将其构成入侵行为特征集，然后根据该特征集对潜在的入侵威胁进行预测或对已知的入侵行为进行分类。理想的入侵行为特征集应该具有实时特性，并能够正确的区分异常活动和入侵活动。 　　若与入侵行为有关的度量有n个，则它们所能够构成的子集数可达2n个，这个子集数量是非常庞大的，因而最佳特征集是无法通过穷举法得到的，为解决该问题，可以使用遗传算法来简化特征集的寻找过程。 　　（2）基于贝叶斯推理的入侵检测技术。该技术利用行为的贝叶斯概率值是否超出正常范围阈值来对网络入侵行为进行检测。若在某一时刻时入侵检测的测量集由A1到An总共n个相互独立的测量量组成，每个变量均用1来表示异常，用0来表示正常，若使用I来表示网络用户系统受到入侵攻击，则可以依照贝叶斯定理得出不同侧测量量下的入侵攻击发生概率，即I的可信度： 　　根据上述公式可以推导得到下述用于检测入侵行为的判断公式： 　　从上式中可以看到，只要获得入侵先验概率、异常测量值以及入侵发生时刻各测量到的异常概率即可对入侵行为进行判断，确定网络入侵威胁。 　　（3）基于贝叶斯聚类的入侵检测技术。该技术将具有不同属性的数据进行聚类分析后对异常用户或异常行为等进行区分和判定，确认是否存在入侵行为。应用贝叶斯聚类算法可以对给定的数据进行搜索和分类，从而得到最理想的分类数、用户组群以及用户特征集等子类信息，若能够配合在线检测相关技术可以很好的实现入侵行为的检测。但是需要注意的是，分类实现所使用的方法为自动分类法，该分类法在异常阈值选取方面存在较大的难度。 　　（4）基于数据挖掘的入侵检测技术。随着数字信息规模的逐渐增大，数据挖掘技术被广泛应用于数据分析中进行关联性分析。应用数据挖掘技术对入侵行为进行检测可以从已知的、可记录的数据流中进行内容提取，查找不同数据内容之间存在的潜在关系，并用提取结果对异常入侵和已知入侵等行为进行检测。可用分析数据库越大，则入侵检测效果越好。 　　3.2 误用入侵检测技术 　　误用入侵检测以已知的或已观察到的入侵行为和入侵情况作为参照模式对入侵行为进行模式对比，若入侵行为与参照模式相匹配则可以认为该网络中存在误用入侵