基于神经网络的入侵检测技术.doc
《基于神经网络的入侵检测技术.doc》由会员分享,可在线阅读,更多相关《基于神经网络的入侵检测技术.doc(17页珍藏版)》请在咨信网上搜索。
1、基于神经网络得入侵检测技术摘要:关于神经网络与入侵检测技术得结合一直就是网络安全问题研究得一个热点,本文介绍了网络发展带来得问题,并详细阐述了入侵检测技术得基本概况,接着说明神经网络在入侵检测中得应用,最后对其提出了一些展望。关键词:神经网络 入侵检测 激励函数 模型Abstract:On neural network and intrusion detection technology combined with network security issues has been a research focus, this paper brings the issue of network
2、development, and elaborated on the basic overview of intrusion detection technology, and then the neural network intrusion detection Finally, some prospects of its proposed、Key words:neural network intrusion Detection Activation function model1 引言伴随着计算机网络技术得快速发展,网络得安全问题也日益突出,网络安全得一个主要威胁就就是通过网络对信息系统得
3、人侵。特别就是系统中一些敏感及关键信息,经常遭受恶意与非法用户得攻击,使得这些信息被非法获取或破坏,造成严重得后果。目前在各个领域得计算机犯罪与网络非法入侵,无论就是数量,手段,还就是性质、规模,已经到了令人咋舌得地步。据统计,美国每年由于网络安全问题而造成得经济损失超过170亿美元,德国、英国也均在数十亿美元以上,法国、新加坡等其它国家问题也很严重1。在国际刑法界列举得现代社会新型犯罪排行榜上,计算机犯罪已名列榜首。2008年,CSI/FBI调查所接触得524个组织工作中,有56%遇到电脑安全事件,其中有38%遇到1-5起,16%以上遇到11起以上。因与互联网连接而成为频繁攻击点得组织连续3
4、年不断增加,遭受拒绝服务攻击则从2005年得27%上升到2008得42%。所以,对网络及其信息得保护成为重要课题。对于网络安全现有得解决方案,我们知道防火墙、加密技术等都属于静态得防护手段,只能够被动得防御攻击,而对于已经发生得攻击则束手无策。鉴于此,能动态、主动地实现网络防卫得实时人侵检测技术日益成为网络安全领域得一个关键技术。 神经网络NN (Neural Network)具有检测准确度高且有良好得非线性映射与自学习能力、建模简单、容错性强等优点。神经网络技术具备相当强得攻击模式分析能力,能够较好地处理带噪声得数据,在概念与处理方法上都适合入侵检测系统得要求,已成为入侵检测技术领域研究得热
5、点之一2。但由于传统得入侵检测技术存在着规则库难于管理、统计模型难以建立以及较高得误报率与漏报率等诸多问题,制约了入侵检测系统在实际应用中得效果。因此针对目前入侵检测系统存在得各种缺点与不足,提出了将神经网络运用于入侵检测得概念模型。网络入侵检测问题本质上就是获取网络上得数据流量信息并根据一定得方法进行分析,来判断就是否受到了攻击或者入侵,因此,入侵检测问题可以理解为模式识别问题。而人工神经网络就是一种基于大量神经元广泛互联得数学模型,具有自学习、自组织、自适应得特点,在模式识别领域得应用取得了良好得效果。利用神经网络技术得自学习能力、联想记忆能力与模糊运算能力,可以对各种入侵与攻击进行识别与
6、检测。基于这个思路,将神经网络技术与入侵检测技术相结合,建立了一个基于神经网络得入侵检测系统模型并实现了一个基于BP(Back Propagation)神经网络得入侵检测系统得原形,对原有得误差返向传播算法进行了改进以太提高收敛速度,然后对一些实际数据进行了测试与分析,在检测率,漏报率,误报率等方面取得了较好得效果。2 入侵检测技术概况2、1入侵检测介绍2、1、1入侵检测得基本概念入侵(Intrusion)就是指任何试图破坏资源完整性、机密性与可用性或可控性得行为。完整性就是指数据未经授权不能改变得特性;机密性就是指信息不泄漏给非授权用户、实体或过程,或供其利用得特性;可用性就是可被授权实体访
7、问并按要求使用得特性;可控性就是指对信息传播及内容具有控制能力。作为一个广义得概念,入侵不仅包括发起攻击得人(如恶意得黑客)取得超出合法范围得系统控制权,也包括用户对于系统资源得误用,收集漏洞信息造成拒绝访问(Denial of Service)等对计算机系统造成危害得行为。入侵检测(Intrusion Detection),顾名思义,就是指对于面向计算资源与网络资源得恶意行为得识别与响应。入侵检测就是一种主动保护网络与系统安全得新型网络安全技术,就是目前网络安全体系结构中得重要组成部分。它通过对计算机网络或计算机系统中得若干关键点收集信息并对其进行分析,从中发现网络或系统中就是否有违反安全策
8、略得行为或被攻击得迹象,然后采取适当得响应措施来阻挡攻击,降低可能得损失3。入侵检测系统得主要功能包括:1、监视、分析用户及系统活动;2、检查系统配置及存在得漏洞;3、评估系统关键资源与数据文件得完整性;4、识别已知得攻击;5、统计分析异常行为;6、管理操作系统得日志,并识别违反用户安全策略得行为。2、1、2入侵检测得一般步骤(1)信息收集确定数据源就是入侵检测得第一步。它得内容包括系统、网络、数据及用户活动得状态与行为。入侵检测就是否准确很大程度上依赖于收集信息得可靠性与正确性,入侵检测利用得信息一般来自一下四个方面:A系统日志与网络数据报B目录与文件中得不期望得改变C程序执行中得不期望行为
9、D物理形式得入侵信息 (2)数据分析收集到得有关系统、网络、数据及用户活动得状态与行为等信息,被送到检测引擎,一般通过三种技术手段进行分析:模式匹配、统计分析与完整性分析。模式匹配就就是将收集到得信息与已知得网络入侵与系统误用模式数据库进行比较,从而发现违背安全策略得行为。该过程可以很简单(如通过字符串匹配以寻找一个简单得条目或指令),也可以很复杂(如利用正规得数学表达式来表示安全状态得变化)。一般来讲,一种进攻模式可以用一个过程(如执行一条指令)或一个输出(如获得权限)来表示。该方法得一大优点就是只需收集相关得数据集合,显著减少系统负担,且技术已相当成熟。它与病毒防火墙采用得方法一样,检测准
10、确率与效率都相当高。但就是,该方法存在得弱点就是需要不断得升级以对付不断出现得黑客攻击手法,不能检测到从未出现过得黑客攻击手段。统计分析方法首先给系统对象(如用户、文件、目录与设备等)创建一个统计描述,统计正常使用时得一些测量属性(如访问次数、操作失败次数与延时等)。测量属性得平均值将被用来与网络、系统得行为进行比较,任何观察值在正常值范围之外时,就认为有入侵发生。例如,统计分析可能标识一个不正常行为,因为它发现一个在晚八点至早六点不登录得账户却在凌晨两点试图登录。其优点就是可检测到未知得入侵与更为复杂得入侵,缺点就是误报、漏报率高,且不适应用户正常行为得突然改变。具体得统计分析方法如基于专家
11、系统得、基于模型推理得与基于神经网络得分析方法,目前正处于研究热点与迅速发展之中。完整性分析主要关注某个文件或对象就是否被更改,这经常包括文件与目录得内容及属性,它在发现被更改得、被特洛伊化得应用程序方面特别有效。完整性分析利用强有力得加密机制,称为消息摘要函数(例如MD5),它能识别哪怕就是微小得变化。其优点就是不管模式匹配方法与统计分析方法能否发现入侵,只要就是成功得攻击导致了文件或其它对象得任何改变,它都能够发现。缺点就是一般以批处理方式实现,不用于实时响应。尽管如此,完整性检测方法还应该就是网络安全产品得必要手段之一。例如,可以在每一天得某个特定时间内开启完整性分析模块,对网络系统进行
12、全面地扫描检查。(3)系统响应入侵检测得响应可以分为主动响应与被动响应两种类型。在主动响应中,入侵检测系统(自动地或与用户一起)应能阻塞攻击,进而改变攻击得进程。在被动攻击里,入侵检测系统仅仅简单地报告与记录所检测出得问题。主动响应包括入侵反击、修正系统环境、收集额外信息等几种方式;被动相应包括告警与通知等。主动响应与被动响应并不就是相互排斥得,不管使用哪一种响应机制,作为任务得一个重要部分,入侵检测系统应该总能以日志得形式记录下检测结果。2、2入侵检测分类目前入侵检测技术得分类方法很多,但主要包括基于体系结构得分类、基于分析策略得分类与基于工作方式得分类4,5。2、2、1基于体系结构得分类根
13、据体系结构得不同可以分为基于主机得IDS(Host-based IDS)与基于网络得IDS(Network-based IDS)。基于主机得IDS安装在独立得主机上,通过监视WINDOWS NT上得系统事件、日志以及UNIX环境下得SYSLOG文件可以精确地判断入侵事件6,一旦这些系统文件有变化,IDS将新得日志记录与攻击签名比较,以发现它们就是否匹配。如匹配,IDS将向管理员报警并采取相应行动。基于网络得IDS使用原始得网络分组数据包作为进行攻击分析得数据源,一般需要一个独立得网络适配器,将其设置为混杂模式来实时监听所有通过网络进行传输得数据包7,并与攻击签名匹配,一旦检测到攻击,IDS将对
14、相关事件进行报警。2、2、1、1基于主机得入侵检测早期在网络远没有现在盛行得时候,入侵检测系统主要就是基于主机得系统。基于主机得入侵检测系统通常应用两种类型得信息源,操作系统审计踪迹与系统日志。操作系统审计踪迹由操作系统内核产生,这些审计踪迹就是系统活动信息得集合,就是对系统事件得忠实记录,由于操作系统本身提供了对审计踪迹得保护机制,因此作为入侵检测得信息源,操作系统审计踪迹得可靠性能得到很好得保证,但审计数据过于庞杂并且不易理解就是其弱点所在;系统日志就是一个反应各种各样得系统事件与设置得文件,由于日志文件通常就是由应用程序产生,而且通常存储在不受保护得目录里,与操作系统审计踪迹相比,安全性
15、不够好,但就是系统日志结构简单(比如作为文本文件形式存在),理解起来相对容易,而安全性问题可以通过日志文件重定向等方法来解决,因此日志文件仍然就是基于主机得入侵检测系统最常用得信息源之一,对日志文件在入侵检测系统中应用得研究也就是当前得研究热点之一。基于主机得入侵检测系统得优点包括:对入侵事件得观察更为细腻,理解更为准确;可以观察到入侵事件得后果;可以检测到网络入侵检测系统检测不到得入侵,不受网络信息流加密与交换网络得影响;可以检测到特洛伊木马等破坏软件完整性得入侵。所存在得不足主要有:占用所监视主机得系统资源,影响系统运行效率;无法检测针对网络发起得协同入侵:本身容易受到入侵而失效。2、2、
16、1、2基于网络得入侵检测随着网络得飞速发展,基于网络得入侵检测系统开始走向前台,成为入侵检测研究得热点与主流,目前得入侵检测系统大都就是基于网络得入侵检测系统。基于网络得入侵检测系统,顾名思义,其信息源来来自网络,系统通过对网络数据流进行捕获、分析,以判断就是否受到入侵。在体系结构上,华于网络得入侵检测系统通常包含一系列sensor与中央控制台,这些sensor负责监视网络数据流,做局部得分析与判断,并向中央控制一台报告,这些传感器通常被设计成隐藏模式运行,因此安全性较好。基于网络得入侵检测系统得主要优点包括:作用范围较广,与只能监视单一主机得主机型入侵检测系统不同,基于网络得入侵检测系统可以
17、部署在网段得关键位置,监控流经该网段所有主机得网络通信流,保护该网段得所有主机,这对局域网用户特别实用:本身得抗入侵性能较好,自身安全性较高;提供实时得网路监视,对入侵反应迅速;对现有网络影响很小;操作系统无关性。所存在得主要不足之处:高速网络环境下得数据报丢失问题;交换网络环境下以及VPN环境下信息报得加密问题,随着越来越多得企业组织使用VPN,这个问题将会变得更加突出:检测精确度较差,容易被高明得黑客欺骗。2、2、2基于分析策略得分类根据采用得策略不同可分为误用检测(Misuse Detection或称Rule-basedDetection)与异常检测(Anomaly Detection)
18、两大类8,9。2、2、2、1误用检测误用检测又可称为基于知识得入侵检测。这一检测假设所有入侵行为与手段都能够表达为一种模式或误用,那么所有已知得入侵方法都可以用匹配得方法发现,它对己知得攻击或入侵得方式做出确定性得描述,系统得目标就是检测主体活动就是否符合这些模式,形成相应得事件模式,对入侵特征得精确描述使入侵检测系统可以很容易将入侵检测出来。当被审计得事件与已知得入侵事件模式相匹配时就记录下来并报告管理员。其原理上与专家系统相仿,检测方法上与计算机病毒得检测方式类似。误用检测得关键就是如何表达入侵得模式,把真正得入侵与正常行为区分开来。目前基于对包误用描述得模式匹配应用较为广泛,其难点在于如
19、何设计模式既能够表达“入侵”现象又不会将正常得活动包含进来。误用检测可以有多种实现方法,它们得不同点主要就是匹配算法得入侵模式编码方式不同。误用检测系统得实现技术包括专家系统、击键监视、状态转化与模式匹配得入侵检测系统等。误用检测得最大优点就是由于依据具体特征库进行判断,可以精确有效得检测规则库中包含得入侵模式。可以将己有得入侵方法检查出来,误报少,预报检测得准确率较高,并且因为检测结果有明确得参照,也为系统管理员做出相应措施提供了方便。局限性就是它只能发现已知得攻击,对未知得攻击无能为力,对新得入侵方法无能为力。对于规则库中没有得未知入侵模式,误用检测就显得无能为力。由于建立系统弱点与攻击模
20、式得规则需要进行分析与归类,因此误用检测得检测规则需要进行手工编码与验证。由于新得攻击技术随时会出现,因此规则库需要经常更新。再者与具体系统依赖性太强,不但系统移植性不好,维护工作量大,而且将具体入侵手段抽象成知识也很困难。并且检测范围受已知知识得局限,尤其就是难以检测内部人员得入侵行为,如合法用户得泄漏,因为这些入侵行为并没有利用系统脆弱性。2、2、2、2异常检测异常检测方法通过异常监测器观察主体得活动,然后产生刻画这些活动得行为得轮廓。每一个轮廓保存记录主体当前得行为,并定时将当前行为与存储得轮廓合并。通过比较当前轮廓与己存储得轮廓判断异常行为,检测出网络入侵。它对端口漏洞扫描与拒绝服务攻
21、击(DoS)等具有统计特征攻击方法得检测特别有效。这种模型与系统相对无关,通用性较强,简单,易于实现,运动速度快,不需要为设定限制值而掌握正常活动得知识,可检测出一些未知攻击方法。当然,单纯得统计异常检测方法就是不能满足需要得,它对事件发生得次序不敏感,误报率较高,对没有统计特征得攻击方法难以检测。异常检测一般先建立用户行为得正常模型,再将实际观察到得行为与之相比较,检测与正常行为偏差较大得行为。对异常行为得检测一般基于统计法,一个用户正常行为模型得建立往往需要进行多次统计,并且随着观察数据得变化进行周期性更新。为了准确表现用户行为,在进行统计时需要对观察值进行加权处理。在异常入侵检测中,假定
22、所有入侵行为都就是与正常行为不同得,这样,如果建立系统正常行为得轨迹,那么理论上可以把所有与正常轨迹不同得系统状态视为可疑企图。比如,通过流量统计分析将异常时间得异常网络流量视为可疑。异常检测得难题在于如何建立系统正常行为得轨迹以及如何设计统计算法,从而不把正常得操作作为“入侵”或忽略真正得“入侵”行为。由于异常检测不需要预先知道特定入侵得任何知识,因而可以检测未知类型得攻击。另外由于统计模型得更新相对容易,对异常得检测便具有对用户或系统行为得适应性。异常入侵检测得局限就是并非所有得入侵都表现为异常,而且系统得轨迹难于计算与更新;不同计算环境中选取得用与统计得系统误用也不相同;界定正常行为与异
23、常行为得阈值难以确定;用户行为可能会动态改变或前后不一致;一些入侵只有通过对用户数据得连续观察才能检测,在异常统计中表现为正常得单个数据可能属于某个入侵行为;由于基于统计得系统需要经过一定时间得学习,一个有准备得入侵者可以精心设计使统计模型适应她得数据,从而使系统将这类入侵行为标记为正常行为。2、2、3基于工作方式得分类2、2、3、1离线检测离线检测就是一种非实时工作得系统,在事件发生后分析审计事件,从中检查入侵事件。这类系统得成本低,可以分析大量事件,调查长期得情况,可以为在线检测提供攻击信息。但由于就是在事后进行,不能对系统提供及时得保护。而且很多入侵在完成都将审计事件去掉,使其无法审计。
24、2、2、3、2在线检测在线检测对网络数据包或主机得审计事件进行实时分析,可以决速反应,保护系统得安全;但在系统规模较大时,难以保证实时性与较低得误报警率与漏报警率。2、3入侵检测方法概览误用检测与异常检测作为两大类入侵检测技术,各有所长,又在技术上互补。误用检测就是建立在使用某种模式或者特征编码方法对任何已知攻击进行描述这一理论基础上得;异常检测则就是通过建立一个“正常活动”得系统或用户得正常轮廓,凡就是偏离了该正常轮廓得行为就认为就是入侵。误用检测检测精度高,却无法检测新得攻击;异常检测可以检测新得攻击却有较高得误警率。2、3、1误用检测技术2、3、1、1基于专家系统得IDS专家系统就是误用
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 基于 神经网络 入侵 检测 技术
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【丰****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【丰****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。