网站原创近年来,入侵检测技术以其强有力的安全保护功能进入了人们的视野,也在研究领域形成了热点.入侵检测技术是为保证计算机系统的安全而设计并配置的一种能够及时发现并报告系统中未授权现象或异常现象的技术,是一种用于检测计算机网络和系统中违反安全策略行为的技术.
目前通常说的入侵就是指对系统资源的非授权操作,可造成系统数据的丢失和破坏、甚至会造成系统拒绝对合法用户怎么写作等问题.Smaha从分类的角度将入侵描述成尝试性闯入、伪装攻击、安全控制系统渗透、泄露、拒绝怎么写作、恶意使用等六类.入侵者通常可分为外部入侵者,例如等系统的非法用户,和内部入侵者,即越权使用系统资源的用户.
下面给出几种主要的异常检测方法:
一、基于概率统计的异常检测方法
概率统计方法是基于行为的入侵检测技术中应用最早也是最多的一种方法.其工作过程如下:检测器根据用户对象的动作为每个用户分别建立一个用户特征表,通过比较当前特征与已存储的典型特征来判断是否为异常行为.用户特征表根据审计记录情况不断更新.这种方法的优越性在于能应用成熟的概率统计理论.但也有一些不足之处,如统计检测对事件发生的次序不敏感,也就是说,完全依靠统计理论可能漏检那些利用彼此关联事件的入侵行为,其次,判断是否入侵的阈值很难确定,阈值太低则误检率提高,阈值太高则漏检率提高.
二、基于特征选择的异常检测方法
基于特征选择的异常检测方法是通过从一组度量指标中挑选能检测出入侵的度量指标构成子集预测或分类已检测到的行为模式.异常入侵检测的一个基本问题是异常活动和入侵活动有时很难区分.判断符合实际的度量指标比较复杂,因为不同的入侵其度量指标子集往往不同,很难找到一个度量集对所有的入侵类型都能合适.用预先确定的特定度量指标来检测入侵行为可能会错过个别入侵行为模式.
| 有关论文范文主题研究: | 关于概率统计的论文范文集 | 大学生适用: | 本科论文、专科毕业论文 |
|---|---|---|---|
| 相关参考文献下载数量: | 76 | 写作解决问题: | 写作资料 |
| 毕业论文开题报告: | 标准论文格式、论文总结 | 职称论文适用: | 刊物发表、中级职称 |
| 所属大学生专业类别: | 写作资料 | 论文题目推荐度: | 优质选题 |
三、基于贝叶斯推理的异常检测方法
基于贝叶斯推理的异常检测方法是通过在任意给定的时刻,用度量指标A1,A2,A3,等,An来推断系统是否有入侵事件发生.其中每Ai变量表示系统的某个特征(如磁盘I/O的活动数量,或者系统中页面出错的数量).
四、基于贝叶斯网络的异常检测
贝叶斯网络是实现贝叶斯定理揭示的学习功能,发现大量变量之间的关系,进行预测、分类等的有力工具.采用贝叶斯网络能以阁行方式表示变量之间上网因果关系,并通过一个仅与邻居节点相关的概率集计算出随即变量之间的联合概率分布.这个概率集包括所有根节点的先验概率和所有非根节点在其父节点的所有组合概率下的条件概率.
五、基于模式预测的异常检测方法
基于模式预测的异常检测方法的检测设条件是事件序列不是随机的而是遵循可识别的模式,这种检测方法的特点是考虑了事件的序列及相互联系.一种实现方法采用了基于时间的推理,利用时间规律来识别用户行为正常模式的特征.通过归纳学习产生这些规则集,并能动态地修改系统中的这些规则,使之具有较高的预测性、准确性和可信度.如果规则大部分时间使正确的,并能够成功的预测所观察到的数据,那么规则就具有高可信度.
六、基于神经网络的入侵检测
与统计理论相比,神经网络更好地表达了变量间的非线性关系,并且能自动学习与更新.利用神经网络检测入侵的基本思想是用以系列用户的合法行为训练神经网络确定网络结构和神经元,由此在给定一组输入后,就可能预测输出.
上面讨论了入侵检测方法中的异常检测技术.基于异常的检测技术虽然无法准确判别出攻击的手法,但可以(至少在理论上可以)判别更广泛、甚至未察觉的攻击.在实际应用中可将误用检测方法和异常检测方法结合进行检测.
基于概率统计的异常检测方法示例:
本文中采用的检测技术期望得到3个特征值的概率分布.而这3个特征值是应用数据挖掘技术中的聚类分析得到的.聚类是把数据按照相似性归纳成若干类别,同一类中的数据彼此相似,不同类中的数据相异.聚类分析可以建立宏观的概念,发现数据的分布模式,以及可能的数据属性之间的相互关系.
一个时间序列的熵是一个用于揭示该信号变化程度的量.最大熵方法的基本思想是:在一个封闭的系统中,熵总是达到一个稳定值.最大熵分布就是指一个孤立的或稳定状态系统在长时间后达到的状态.一般情况下,如果造成一个变量的变化原因十分复杂,就有理由认为其符合一定限定条件下的最大熵分布.这种方法已经成功的应用于语言文字和信号处理等方面.
首先将系统特征表示为时间的变化函数,希望通过计算信号来分析这一系统特征的行为.若将这一信号的变化范围离散化为个预先定义的单元:
Q[i] 其中,Q[i+1]-Q[i],i等于1,2,等v对应于不同的单元.则信号位于单元中的概为Pi(T)等于[θ(f(t)-Q(i))-θ(f(t)-Q[i+1])] 其中,函数θ(t)定义为 θ(t-t)等于1t-t>00.5t等于t0t-t<0 图2-3正常行为出现概率分布 以特征为例,在实验中将定为100,其位于各个区间的概率如图2-3中实际曲线所示. 首先这种分布必须满足限定条件Pi等于1下最大化熵.另外,还要添加额外的限定条件(通常由专家知识给出)PiEi等于ε,然后采用拉格朗日乘子法得到在这些限定条件下的最大熵分布.即L等于Pilnpi-A(Pi-1)β(PiEi-ε) 并最大化得 Pi等于e-A-1e-βEi等于 上式即为限定条件下的最大熵分布.根据先验知识,对于S1这一特征,将其离散化为S1[i],长时间看其平均值应该是一定值.因此,可以得到如下限定条件: PiS[i]等于109.3(1) 其分布为 Pi等于6.82×10-2×(93.18×10-2) i等于0,1,等,v 如图2-3中理论1曲线所示.由图2-3可见,理论与实际的分布是比较吻合的.另外注意到由25%的时段S1的值都为0,这也符合另一个先验知识:网络在某些时段是没有流量的. 因此,又添加了另一个限定条件: P0等于0.25(2) 使用两个限定条件式(1)、(2),得到的最大熵分布为 P0等于0.25 Pi等于5.05×10-2×(93.62×10-2)i 如图2-3中理论2曲线所示.在样本数目(为4010)不是很多的条件下,这样的概率分布拟合是很好的. 在概率论中有一个基本的结论,即发生小概率事件是不正常的.这样,只需设定一个判断异常的界限即可.对于的理论分布,设定异常事件发生的条件(或规则)为:S1>1500,由图2-3中理论2分布曲线计算得到这一事件发生的概率为Pi等于3×10-3 该值对应理论上的误报率(也就是正常行为被错误分类为异常的概率). 广义地讲,上述异常检测方法可称为基于数据挖掘(DataMining)的检测方法.由于计算机联网而导致大量审计记录,从这些海量审计数据中提取出程序和用户行为的知识,并表示为概念、规则、规律、模式等形式,进而用这些知识去检测异常入侵,即是一个典型的数据挖掘及其应用的过程.数据挖掘技术是一项通用的知识发现技术,其目的是要从海量数据中提取对用户有用的数据.将该技术用于入侵检测领域,利用数据挖掘中的关联分析、聚类分析(如贝叶斯聚类法)、分类、预测、时序模式和偏差法分析等算法提取相关的用户行为特征,并根据这些特征生成安全事件的分类模型,应用于安全事件的自动鉴别. (作者单位:甘肃省白银市职业中等专业学校)