首页 文学文摘 时政新闻 科技科普 经济法律 健康生活 管理财经 教育教学 文化艺术 社科历史
电子技术与软件工程

首页>科技科普>电子技术与软件工程> 2015年第12期

浅谈入侵检测方法

作者:李文锋 来源:电子技术与软件工程

摘 要

随着网络的发展,计算机网络安全问题不容忽视。信息的开放性、共享性以及互连性是计算机网络的重要特点。随之而来的网络安全问题,也日益突显出来,有效防止系统被入侵,是网络安全问题的重中之重,本文对入侵检测方法进行了简单的介绍。

【关键词】入侵检测 误用检测 异常检测

从上世纪六十年代计算机网络诞生至今,经过短短五十年的蓬勃发展,计算机网络已经广泛应用于各行各业,涉及到人们日常工作、学习、生活的方方面面,随之而来的网络安全问题,也日益突显出来,得到人们的广泛关注。本文主要阐述了各种入侵检测方法,并进行了简单的分析。

1 入侵检测介绍

所谓入侵,指的就是未经允许对信息执行非授权的访问或者操作等破坏活动。所谓入侵检测指的就是能够识别出打算入侵、已经入侵或者正在入侵行为的相关行为过程。所有能够执行入侵检测任务和功能的系统,都可称为入侵检测系统,其中包括软件系统以及软硬件结合的系统。

2 入侵检测分类

根据对入侵检测的检测方法的不同,对其进行分类,主要能够分成两大类,即异常检测以及误用检测:误用入侵检测主要是基于对各类攻击的攻击手段进行分析,同时将可能存在的“攻击特征”集合找出来。在这些特征集合的基础之上,误用检测处理目前的各类数据来源,之后进行规则匹配或者特征匹配,如若有匹配满足条件,那么就会显示一次攻击行为发生;异常检测通常先创建一个可以连续更新的、有关系统正常活动的状态模型,之后把用户目前正在执行的活动与正常模型相比,假如偏离程度被发现超过了一定阈值,就看作发生了一次攻击。

误用检测可以比较准确的检测出已发生的攻击行为,但是存在未知的攻击却检测不出的情况。异常检测,具有系统无关性,能够在一定程度上检测未知攻击,这种检测要建立在正常行为模型上,有很强的通用性,但有较高误报率的缺点,实际应用中,常采用信息融合与机器学习来解决这个问题。

3 入侵检测方法

从本质上来说,能够将入侵检测当作一种分类的问题,对全部网络行为进行归类,能够归为异常行为以及正常行为两大种类,基于此,就能够将入侵检测问题与模式识别问题进行转化。

3.1 误用检测方法

(1)基于状态转移分析的误用入侵检测方法:该方法将攻击者的攻击行为当作某种操作序列,将其表示为系统的状态转移,而这是可以被监测的,可以看出系统的从初始状态转移到对系统安全有危害的状态。

(2)基于条件概率的误用入侵检测方法:该方法首先创建一个事件序列,然后将不同的入侵方式与不同事件之间建立起对应关系,最后不断对事件的发生情况进行仔细观察,根据事件的发生情况来判定入侵的出现。

(3)其他误用入侵检测方法有:Petri网状态转换、模式匹配、专家系统、键盘监控以及攻击签名分析等。

3.2 异常检测方法

3.2.1 量化分析技术

该方法是将主体的行为属性通过数字来表示出来,是异常检测当中使用最为广泛以及最基本、最简单的一种方法。其具体的方法有:目标完整性检测和门限检测。

3.2.2 基于传统统计方法的异常检测技术

系统的进程以及用户等主体的具体行为会有一定的规律性,特别是在某些特定的时间范围内。比如,程序员会经常使用exec、vi、gcc等命令或者是函数。虽然人工智能是一项很有前景的技术,但是目前该技术还不够成熟,所以当前主流的异常检测技术仍然是传统的统计方法。对主体的长期活动或者是短期活动进行监测,将预设值与实际系统变量的平均偏差进行比对,若有较大的偏差,则可以认定系统已经出现了异常状态。

IDES/NIDES这种异常检测模型便是基于统计分析的。该模型对入侵行为的判断的方法是将主体短期的行为和它的历史行为做出对比,判断两者之间的偏差,如果累积的偏差值到达一定的数值超过了预定范围,则认定有系统异常。

3.2.3 基于(隐)马尔科夫过程的异常检测技术

该方法本质上是一种基于随机过程的方法,是一个二维马尔科夫模型,扩展了基本的马尔科夫模型,其中核心内容有:一个能够输出观测值的随机过程以及一个拥有状态转移概率的马尔科夫链。

3.2.4 基于神经网络的异常检测模型

神经网络已经能够有效的应用在概率密度估计、模式识别、分类以及函数逼近等研究领域,能够有效的对非线性系统进行处理。目前,已有很多研究人员建议可以在入侵检测系统中使用神经网络技术,因为入侵检测系统的异常检测技术在根本上可以认为是一种分类问题或者是模式识别的问题。

3.2.5 基于免疫学的入侵检测

利用人体免疫系统的识别“非自我/自我”的能力,Forrest首次提出可以利用人体免疫学的特点来是实现入侵检测。该研究小组进行了大量研究工作,指出对于任意一个指定的程序或者是进程,都会有相对比较稳定的系统调用序列,于是可以将主机的“自我”特征表示成该系统调用序列,任何系统调用若是和这种特定的系统调用序列不同,那么就可以认定该系统是异常的。

3.2.6 基于遗传算法的异常检测技术

遗传算法,能够利用自然选择规律,在选择、变异以及遗传的作用之下,推动事务从低级到高级的进化,从而实现系统的优化过程,它是一种进化算法。

能够使用到异常检测当中的遗传算法主要有两种:遗传算法只是一种辅助的处理方法,协同进行信息处理;将遗传算法作为一种直接手段来处理信息。

3.2.7 其他异常检测技术

基于支持向量机的异常检测技术、基于贝叶斯聚类的检测方法、基于时态知识模型的方法、基于粗糙集的方法、基于贝叶斯网络的异常检测方法以及对shell命令进行研究的检测方法等。

4 结论

随着网络的发展,信息的开放性、共享性以及互连性是计算机网络的重要特点。网络安全问题也日益突显出来,本文主要从入侵方法分类以及入侵方法等方面进行了简单的介绍。

参考文献

[1]胡昌振.网络入侵检测原理与技术[M].北京:北京理工大学出版社,2010.

[2]尹清波,张汝波,李雪耀等.基于线性预测与马尔可夫模型的入侵检测技术研究[J].计算机学报,2005,28(5):900-907.

[3]王翔,胡学钢.基于快速属性选择的贝叶斯分类在入侵检测中的应用[J].计算机科学,2008,35(4):151-153.

作者单位

海南软件职业技术学院 海南省琼海市 571400

热门推荐
电子杂志 更多 +