導(dǎo)語：神經(jīng)系統(tǒng)網(wǎng)絡(luò)在入侵檢測的運用透視論文一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要:隨著計算機(jī)技術(shù)的發(fā)展,傳統(tǒng)的技術(shù)手段已經(jīng)不能滿足日益變化的網(wǎng)絡(luò)安全需要了。而另一項技術(shù)—入侵檢測技術(shù)則有效的彌補(bǔ)了這些不足。因此,本文對此進(jìn)行相關(guān)探討。

關(guān)鍵詞:神經(jīng)網(wǎng)絡(luò)系統(tǒng)入侵檢測系統(tǒng)網(wǎng)絡(luò)安全

入侵檢測作為一種主動防御技術(shù),彌補(bǔ)了傳統(tǒng)安全技術(shù)的不足。其主要通過監(jiān)控網(wǎng)絡(luò)與系統(tǒng)的狀態(tài)、用戶行為以及系統(tǒng)的使用情況,來檢測系統(tǒng)用戶的越權(quán)使用以及入侵者利用安全缺陷對系統(tǒng)進(jìn)行入侵的企圖,并對入侵采取相應(yīng)的措施。

一、入侵檢測系統(tǒng)概述

入侵檢測系統(tǒng)(IntrusionDetectionSystem,簡稱IDS)可以認(rèn)為是進(jìn)行入侵檢測過程時所需要配置的各種軟件和硬件的組合。對一個成功的入侵檢測系統(tǒng)來講,它不但可使系統(tǒng)管理員時刻了解計算機(jī)網(wǎng)絡(luò)系統(tǒng)(包括程序、文件和硬件設(shè)備等)的任何變更,還能給網(wǎng)絡(luò)安全策略的制訂提供指南。更為重要的一點是,對它的管理和配置應(yīng)該更簡單,從而使非專業(yè)人員能非常容易地進(jìn)行操作。而且,入侵檢測的規(guī)模還應(yīng)根據(jù)網(wǎng)絡(luò)威脅、系統(tǒng)構(gòu)造和安全需求的改變而改變。入侵檢測系統(tǒng)在發(fā)現(xiàn)入侵后,會及時做出響應(yīng),包括切斷網(wǎng)絡(luò)連接、記錄事件和報警等。

二、入侵檢測系統(tǒng)的功能

1.檢測入侵。檢測入侵行為是入侵檢測系統(tǒng)的核心功能,主要包括兩個方面:一方面是對進(jìn)出主機(jī)或者網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行監(jiān)控,檢查是否存在對系統(tǒng)的異常行為;另一方面是檢查系統(tǒng)關(guān)鍵數(shù)據(jù)和文件的完整性,看系統(tǒng)是否己經(jīng)遭到入侵行為。前者的作用是在入侵行為發(fā)生時及時發(fā)現(xiàn),使系統(tǒng)免受攻擊;后者一般是在系統(tǒng)遭到入侵時沒能及時發(fā)現(xiàn)和阻止,攻擊的行為已經(jīng)發(fā)生,但可以通過攻擊行為留下的痕跡了解攻擊行為的一些情況,從而避免再次遭受攻擊。對系統(tǒng)資源完整性的檢查也有利于我們對攻擊者進(jìn)行追蹤,對攻擊行為進(jìn)行取證。

2.抗欺騙。入侵檢測系統(tǒng)要識別入侵者,入侵者就會想方設(shè)法逃避檢測。逃避檢測的方法很多,總結(jié)起來可分為誤報和漏報兩大類。一種使入侵檢測系統(tǒng)誤報的實現(xiàn)形式,是快速告普信息的產(chǎn)生讓系統(tǒng)無法反應(yīng)以致死機(jī),這其實是通用的網(wǎng)絡(luò)攻擊方式一拒絕服務(wù)攻擊在入侵檢測系統(tǒng)上的體現(xiàn)。與誤報相比,漏報更具危險性,即躲過系統(tǒng)的檢測,使系統(tǒng)對某些攻擊方式失效。入侵檢測系統(tǒng)無法統(tǒng)一漏報和誤報的矛盾,目前的入侵檢測產(chǎn)品一般會在兩者間進(jìn)行折衷,并且進(jìn)行調(diào)整以適應(yīng)不同的應(yīng)用環(huán)境。

3.記錄、報警和響應(yīng)。入侵檢測系統(tǒng)在檢測到攻擊后,應(yīng)該采取相應(yīng)的措施來阻止攻擊或者響應(yīng)攻擊。作為一種主動防御策略,它必然應(yīng)該具備此功能。入侵檢測系統(tǒng)首先應(yīng)該記錄攻擊的基本情況,其次應(yīng)該能夠及時發(fā)出報警。好的入侵檢測系統(tǒng),不僅應(yīng)該把相關(guān)數(shù)據(jù)記錄在文件或數(shù)據(jù)庫中,還應(yīng)該提供好的報表打印功能。必要時,系統(tǒng)還應(yīng)該采取必要的響應(yīng)行為,如拒絕接受所有來自某臺計算機(jī)的數(shù)據(jù)、追蹤入侵行為等。

三、神經(jīng)系統(tǒng)網(wǎng)絡(luò)在入侵檢測系統(tǒng)中的應(yīng)用

目前計算機(jī)入侵的現(xiàn)狀是入侵的數(shù)量日益增長、入侵個體的入侵手段和目標(biāo)系統(tǒng)多種多樣,因此要確切的描述入侵特征非常困難,入侵規(guī)則庫和模式庫的更新要求難以得到滿足,這就要求入侵檢測應(yīng)該具有相當(dāng)大的智能性和靈活性,這是多項人工智能技術(shù)被相繼應(yīng)用到入侵檢測中的原因。

1.傳統(tǒng)入侵檢測中存在的問題。我們先來分析一下傳統(tǒng)IDS存在的問題。傳統(tǒng)IDS產(chǎn)品大多都是基于規(guī)則的,而這一傳統(tǒng)的檢測技術(shù)有一些難以逾越的障礙:

(1)在基于規(guī)則的入侵檢測系統(tǒng)中,所有的規(guī)則可理解為“IF一THEN”形式,也就是說,這一規(guī)則表述的是一種嚴(yán)格的線性關(guān)系,缺乏靈活性和適應(yīng)性,當(dāng)網(wǎng)絡(luò)數(shù)據(jù)出現(xiàn)信息不完整、變形失真或攻擊方法變化時,這種檢測方法將失效,因此引起較高的誤警率和漏報率。

(2)隨著攻擊類型的多樣化,必然導(dǎo)致規(guī)則庫中的規(guī)則不斷增多,當(dāng)這些規(guī)則增加到一定程度,會引起系統(tǒng)檢測效率的顯著降低,在流量較高時,可造成丟包等現(xiàn)象。此外,攻擊方法的不斷發(fā)展,使得傳統(tǒng)的入侵檢測系統(tǒng)無法有效地預(yù)測和識別新的攻擊方法,使系統(tǒng)的適應(yīng)性受到限制。公務(wù)員之家

(3)傳統(tǒng)的用來描述用戶行為特征的度量一般是憑感覺和經(jīng)驗的,這些度量是否能有效地描述用戶行為很難估計。有些度量當(dāng)考慮所有用戶可能是無效的,但當(dāng)考慮某些特別的用戶時,可能又非常有用。

2.神經(jīng)網(wǎng)絡(luò)在入侵檢測中的應(yīng)用

作為人工智能(AD)的一個重要分支,神經(jīng)網(wǎng)絡(luò)在入侵檢測領(lǐng)域得到了很好的應(yīng)用。神經(jīng)網(wǎng)絡(luò)技術(shù)在入侵檢測系統(tǒng)中用來構(gòu)造分類器,主要用于資料特征的分析,以發(fā)現(xiàn)是否為一種入侵行為。如果是一種入侵行為,系統(tǒng)將與已知入侵行為的特征進(jìn)行比較,判斷是否為一種新的攻擊行為,從而決定是進(jìn)行丟棄還是進(jìn)行存盤、報警、發(fā)送資料特征等工作。神經(jīng)網(wǎng)絡(luò)在入侵檢測中的具體實現(xiàn)方法一般有兩種:

(1)系統(tǒng)或模式匹配系統(tǒng)合并在一起

這種方法不是像以前一樣在異常檢測中用神經(jīng)網(wǎng)絡(luò)代替現(xiàn)有的統(tǒng)計分析部分,而是用神經(jīng)網(wǎng)絡(luò)來過濾出數(shù)據(jù)當(dāng)中的可疑事件,并把這些事件轉(zhuǎn)交給專家系統(tǒng)處理。這種結(jié)構(gòu)可以通過減少專家系統(tǒng)的誤報來提高檢測系統(tǒng)的效用。因為神經(jīng)網(wǎng)絡(luò)將確定某一特別事件具有攻擊跡象的概率,我們就可以確定一個閩值來決定事件是否轉(zhuǎn)交給專家系統(tǒng)作進(jìn)一步分析,這樣一來,由于專家系統(tǒng)只接收可疑事件的數(shù)據(jù),它的靈敏度就會大大增加(通常,專家系統(tǒng)以犧牲靈敏度來減少誤報率)。這種結(jié)構(gòu)對那些投資專家系統(tǒng)技術(shù)的機(jī)構(gòu)大有好處,因為它提高了系統(tǒng)的效用,同時還保護(hù)了在現(xiàn)有IDS上的投資。

(2)網(wǎng)絡(luò)作為一個獨立的特征檢測系統(tǒng)

在這個結(jié)構(gòu)中,神經(jīng)網(wǎng)絡(luò)從網(wǎng)絡(luò)流中接受數(shù)據(jù),并對數(shù)據(jù)進(jìn)行分析。任何被識別為帶有攻擊跡象的事件都將被轉(zhuǎn)交給安全管理員或自動入侵應(yīng)答系統(tǒng)來處理。這種方法在速度方面超過了以前的方法,因為它只有一個單獨的分析層。另外,隨著神經(jīng)網(wǎng)絡(luò)對攻擊特征的學(xué)習(xí),這種結(jié)構(gòu)的效用也會不斷提高,它不同于第一種方法,不會受專家系統(tǒng)分析能力的限制,而最終將超越專家系統(tǒng)基于規(guī)則的種種限制。

參考文獻(xiàn):

[1]韓東海、王超、李群,入侵檢測系統(tǒng)及實例剖析.北京:清華大學(xué)出版社,2008.

[2]韓力群,人工神經(jīng)網(wǎng)絡(luò)理論、設(shè)計及應(yīng)用—人工神經(jīng)細(xì)胞、人工神經(jīng)網(wǎng)絡(luò)和人工神經(jīng)系統(tǒng).北京:化學(xué)工業(yè)出版社,2007.