導語：神經(jīng)系統(tǒng)網(wǎng)絡在入侵檢測的運用透視論文一文來源于網(wǎng)友上傳，不代表本站觀點，若需要原創(chuàng)文章可咨詢客服老師，歡迎參考。

摘要:隨著計算機技術的發(fā)展,傳統(tǒng)的技術手段已經(jīng)不能滿足日益變化的網(wǎng)絡安全需要了。而另一項技術—入侵檢測技術則有效的彌補了這些不足。因此,本文對此進行相關探討。

關鍵詞:神經(jīng)網(wǎng)絡系統(tǒng)入侵檢測系統(tǒng)網(wǎng)絡安全

入侵檢測作為一種主動防御技術,彌補了傳統(tǒng)安全技術的不足。其主要通過監(jiān)控網(wǎng)絡與系統(tǒng)的狀態(tài)、用戶行為以及系統(tǒng)的使用情況,來檢測系統(tǒng)用戶的越權使用以及入侵者利用安全缺陷對系統(tǒng)進行入侵的企圖,并對入侵采取相應的措施。

一、入侵檢測系統(tǒng)概述

入侵檢測系統(tǒng)(IntrusionDetectionSystem,簡稱IDS)可以認為是進行入侵檢測過程時所需要配置的各種軟件和硬件的組合。對一個成功的入侵檢測系統(tǒng)來講,它不但可使系統(tǒng)管理員時刻了解計算機網(wǎng)絡系統(tǒng)(包括程序、文件和硬件設備等)的任何變更,還能給網(wǎng)絡安全策略的制訂提供指南。更為重要的一點是,對它的管理和配置應該更簡單,從而使非專業(yè)人員能非常容易地進行操作。而且,入侵檢測的規(guī)模還應根據(jù)網(wǎng)絡威脅、系統(tǒng)構造和安全需求的改變而改變。入侵檢測系統(tǒng)在發(fā)現(xiàn)入侵后,會及時做出響應,包括切斷網(wǎng)絡連接、記錄事件和報警等。

二、入侵檢測系統(tǒng)的功能

1.檢測入侵。檢測入侵行為是入侵檢測系統(tǒng)的核心功能,主要包括兩個方面:一方面是對進出主機或者網(wǎng)絡的數(shù)據(jù)進行監(jiān)控,檢查是否存在對系統(tǒng)的異常行為;另一方面是檢查系統(tǒng)關鍵數(shù)據(jù)和文件的完整性,看系統(tǒng)是否己經(jīng)遭到入侵行為。前者的作用是在入侵行為發(fā)生時及時發(fā)現(xiàn),使系統(tǒng)免受攻擊;后者一般是在系統(tǒng)遭到入侵時沒能及時發(fā)現(xiàn)和阻止,攻擊的行為已經(jīng)發(fā)生,但可以通過攻擊行為留下的痕跡了解攻擊行為的一些情況,從而避免再次遭受攻擊。對系統(tǒng)資源完整性的檢查也有利于我們對攻擊者進行追蹤,對攻擊行為進行取證。

2.抗欺騙。入侵檢測系統(tǒng)要識別入侵者,入侵者就會想方設法逃避檢測。逃避檢測的方法很多,總結起來可分為誤報和漏報兩大類。一種使入侵檢測系統(tǒng)誤報的實現(xiàn)形式,是快速告普信息的產(chǎn)生讓系統(tǒng)無法反應以致死機,這其實是通用的網(wǎng)絡攻擊方式一拒絕服務攻擊在入侵檢測系統(tǒng)上的體現(xiàn)。與誤報相比,漏報更具危險性,即躲過系統(tǒng)的檢測,使系統(tǒng)對某些攻擊方式失效。入侵檢測系統(tǒng)無法統(tǒng)一漏報和誤報的矛盾,目前的入侵檢測產(chǎn)品一般會在兩者間進行折衷,并且進行調(diào)整以適應不同的應用環(huán)境。

3.記錄、報警和響應。入侵檢測系統(tǒng)在檢測到攻擊后,應該采取相應的措施來阻止攻擊或者響應攻擊。作為一種主動防御策略,它必然應該具備此功能。入侵檢測系統(tǒng)首先應該記錄攻擊的基本情況,其次應該能夠及時發(fā)出報警。好的入侵檢測系統(tǒng),不僅應該把相關數(shù)據(jù)記錄在文件或數(shù)據(jù)庫中,還應該提供好的報表打印功能。必要時,系統(tǒng)還應該采取必要的響應行為,如拒絕接受所有來自某臺計算機的數(shù)據(jù)、追蹤入侵行為等。

三、神經(jīng)系統(tǒng)網(wǎng)絡在入侵檢測系統(tǒng)中的應用

目前計算機入侵的現(xiàn)狀是入侵的數(shù)量日益增長、入侵個體的入侵手段和目標系統(tǒng)多種多樣,因此要確切的描述入侵特征非常困難,入侵規(guī)則庫和模式庫的更新要求難以得到滿足,這就要求入侵檢測應該具有相當大的智能性和靈活性,這是多項人工智能技術被相繼應用到入侵檢測中的原因。

1.傳統(tǒng)入侵檢測中存在的問題。我們先來分析一下傳統(tǒng)IDS存在的問題。傳統(tǒng)IDS產(chǎn)品大多都是基于規(guī)則的,而這一傳統(tǒng)的檢測技術有一些難以逾越的障礙:

(1)在基于規(guī)則的入侵檢測系統(tǒng)中,所有的規(guī)則可理解為“IF一THEN”形式,也就是說,這一規(guī)則表述的是一種嚴格的線性關系,缺乏靈活性和適應性,當網(wǎng)絡數(shù)據(jù)出現(xiàn)信息不完整、變形失真或攻擊方法變化時,這種檢測方法將失效,因此引起較高的誤警率和漏報率。

(2)隨著攻擊類型的多樣化,必然導致規(guī)則庫中的規(guī)則不斷增多,當這些規(guī)則增加到一定程度,會引起系統(tǒng)檢測效率的顯著降低,在流量較高時,可造成丟包等現(xiàn)象。此外,攻擊方法的不斷發(fā)展,使得傳統(tǒng)的入侵檢測系統(tǒng)無法有效地預測和識別新的攻擊方法,使系統(tǒng)的適應性受到限制。公務員之家

(3)傳統(tǒng)的用來描述用戶行為特征的度量一般是憑感覺和經(jīng)驗的,這些度量是否能有效地描述用戶行為很難估計。有些度量當考慮所有用戶可能是無效的,但當考慮某些特別的用戶時,可能又非常有用。

2.神經(jīng)網(wǎng)絡在入侵檢測中的應用

作為人工智能(AD)的一個重要分支,神經(jīng)網(wǎng)絡在入侵檢測領域得到了很好的應用。神經(jīng)網(wǎng)絡技術在入侵檢測系統(tǒng)中用來構造分類器,主要用于資料特征的分析,以發(fā)現(xiàn)是否為一種入侵行為。如果是一種入侵行為,系統(tǒng)將與已知入侵行為的特征進行比較,判斷是否為一種新的攻擊行為,從而決定是進行丟棄還是進行存盤、報警、發(fā)送資料特征等工作。神經(jīng)網(wǎng)絡在入侵檢測中的具體實現(xiàn)方法一般有兩種:

(1)系統(tǒng)或模式匹配系統(tǒng)合并在一起

這種方法不是像以前一樣在異常檢測中用神經(jīng)網(wǎng)絡代替現(xiàn)有的統(tǒng)計分析部分,而是用神經(jīng)網(wǎng)絡來過濾出數(shù)據(jù)當中的可疑事件,并把這些事件轉交給專家系統(tǒng)處理。這種結構可以通過減少專家系統(tǒng)的誤報來提高檢測系統(tǒng)的效用。因為神經(jīng)網(wǎng)絡將確定某一特別事件具有攻擊跡象的概率,我們就可以確定一個閩值來決定事件是否轉交給專家系統(tǒng)作進一步分析,這樣一來,由于專家系統(tǒng)只接收可疑事件的數(shù)據(jù),它的靈敏度就會大大增加(通常,專家系統(tǒng)以犧牲靈敏度來減少誤報率)。這種結構對那些投資專家系統(tǒng)技術的機構大有好處,因為它提高了系統(tǒng)的效用,同時還保護了在現(xiàn)有IDS上的投資。

(2)網(wǎng)絡作為一個獨立的特征檢測系統(tǒng)

在這個結構中,神經(jīng)網(wǎng)絡從網(wǎng)絡流中接受數(shù)據(jù),并對數(shù)據(jù)進行分析。任何被識別為帶有攻擊跡象的事件都將被轉交給安全管理員或自動入侵應答系統(tǒng)來處理。這種方法在速度方面超過了以前的方法,因為它只有一個單獨的分析層。另外,隨著神經(jīng)網(wǎng)絡對攻擊特征的學習,這種結構的效用也會不斷提高,它不同于第一種方法,不會受專家系統(tǒng)分析能力的限制,而最終將超越專家系統(tǒng)基于規(guī)則的種種限制。

參考文獻:

[1]韓東海、王超、李群,入侵檢測系統(tǒng)及實例剖析.北京:清華大學出版社,2008.

[2]韓力群,人工神經(jīng)網(wǎng)絡理論、設計及應用—人工神經(jīng)細胞、人工神經(jīng)網(wǎng)絡和人工神經(jīng)系統(tǒng).北京:化學工業(yè)出版社,2007.