时间:2023-03-01 16:23:35
导语:在入侵检测论文的撰写旅程中,学习并吸收他人佳作的精髓是一条宝贵的路径,好期刊汇集了九篇优秀范文,愿这些内容能够启发您的创作灵感,引领您探索更多的创作可能。
1引言
入侵检测技术是继“防火墙”、“数据加密”等传统安全保护措施后新一代的安全保障技术,它对计算机和
网络资源上的恶意使用行为进行识别和响应,不仅检测来自外部的入侵行为,同时也监督内部用户的未授权活动。但是随着网络入侵技术的发展和变化以及网络运用的不断深入,现有入侵检测系统暴露出了诸多的问题。特别是由于网络流量增加、新安全漏洞未更新规则库和特殊隧道及后门等原因造成的漏报问题和IDS攻击以及网络数据特征匹配的不合理特性等原因造成的误报问题,导致IDS对攻击行为反应迟缓,增加安全管理人员的工作负担,严重影响了IDS发挥实际的作用。
本文针对现有入侵监测系统误报率和漏报率较高的问题,对几种降低IDS误报率和漏报率的方法进行研究。通过将这几种方法相互结合,能有效提高入侵检测系统的运行效率并能大大简化安全管理员的工作,从而保证网络
安全的运行。
2入侵检测系统
入侵是对信息系统的非授权访问及(或)未经许可在信息系统中进行操作,威胁计算机或网络的安全机制(包括机密性、完整性、可用性)的行为。入侵可能是来自外界对攻击者对系统的非法访问,也可能是系统的授权用户对未授权的内容进行非法访问,入侵检测就是对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程。入侵检测系统IDS(IntrusionDetectionSystem)是从多种计算机系统机及网络中收集信息,再通过这些信息分析入侵特征的网络安全系统。
现在的IDS产品使用的检测方法主要是误用检测和异常检测。误用检测是对不正常的行为进行建模,这些行为就是以前记录下来的确认了的误用或攻击。目前误用检测的方法主要是模式匹配,即将每一个已知的攻击事件定义为一个独立的特征,这样对入侵行为的检测就成为对特征的匹配搜索,如果和已知的入侵特征匹配,就认为是攻击。异常检测是对正常的行为建模,所有不符合这个模型的事件就被怀疑为攻击。现在异常检测的主要方法是统计模型,它通过设置极限阈值等方法,将检测数据与已有的正常行为比较,如果超出极限阈值,就认为是入侵行为。
入侵检测性能的关键参数包括:(1)误报:实际无害的事件却被IDS检测为攻击事件。(2)漏报:攻击事件未被IDS检测到或被分析人员认为是无害的。
3降低IDS误报率方法研究
3.1智能关联
智能关联是将企业相关系统的信息(如主机特征信息)与网络IDS检测结构相融合,从而减少误报。如系统的脆弱性信息需要包括特定的操作系统(OS)以及主机上运行的服务。当IDS使用智能关联时,它可以参考目标主机上存在的、与脆弱性相关的所有告警信息。如果目标主机不存在某个攻击可以利用的漏洞,IDS将抑制告警的产生。
智能关联包括主动和被动关联。主动关联是通过扫描确定主机漏洞;被动关联是借助操作系统的指纹识别技术,即通过分析IP、TCP报头信息识别主机上的操作系统。
3.1.1被动指纹识别技术的工作原理
被动指纹识别技术的实质是匹配分析法。匹配双方一个是来自源主机数据流中的TCP、IP报头信息,另一个是特征数据库中的目标主机信息,通过将两者做匹配来识别源主机发送的数据流中是否含有恶意信息。通常比较的报头信息包括窗口(WINDOWSIZE)、数据报存活期(TTL)、DF(dontfragment)标志以及数据报长(Totallength)。
窗口大小(wsize)指输入数据缓冲区大小,它在TCP会话的初始阶段由OS设定。数据报存活期指数据报在被丢弃前经过的跳数(hop);不同的TTL值可以代表不同的操作系统(OS),TTL=64,OS=UNIX;TTL=12,OS=Windows。DF字段通常设为默认值,而OpenBSD不对它进行设置。数据报长是IP报头和负载(Payload)长度之和。在SYN和SYNACK数据报中,不同的数据报长代表不同的操作系统,60代表Linux、44代表Solaris、48代表Windows2000。
IDS将上述参数合理组合作为主机特征库中的特征(称为指纹)来识别不同的操作系统。如TTL=64,初步判断OS=Linux/OpenBSD;如果再给定wsize的值就可以区分是Linux还是OpenBSD。因此,(TTL,wsize)就可以作为特征库中的一个特征信息。3.1.2被动指纹识别技术工作流程
具有指纹识别技术的IDS系统通过收集目标主机信息,判断主机是否易受到针对某种漏洞的攻击,从而降低误报率。
因此当IDS检测到攻击数据包时,首先查看主机信息表,判断目标主机是否存在该攻击可利用的漏洞;如果不存在该漏洞,IDS将抑制告警的产生,但要记录关于该漏洞的告警信息作为追究法律责任的依据。这种做法能够使安全管理员专心处理由于系统漏洞产生的告警。
3.2告警泛滥抑制
IDS产品使用告警泛滥抑制技术可以降低误报率。在利用漏洞的攻击势头逐渐变强之时,IDS短时间内会产生大量的告警信息;而IDS传感器却要对同一攻击重复记录,尤其是蠕虫在网络中自我繁殖的过程中,这种现象最为重要。
所谓“告警泛滥”是指短时间内产生的关于同一攻击的告警。IDS可根据用户需求减少或抑制短时间内同一传感器针对某个流量产生的重复告警。这样。网管人员可以专注于公司网络的安全状况,不至于为泛滥的告警信息大伤脑筋。告警泛滥抑制技术是将一些规则或参数(包括警告类型、源IP、目的IP以及时间窗大小)融入到IDS传感器中,使传感器能够识别告警饱和现象并实施抵制操作。有了这种技术,传感器可以在告警前对警报进行预处理,抑制重复告警。例如,可以对传感器进行适当配置,使它忽略在30秒内产生的针对同一主机的告警信息;IDS在抑制告警的同时可以记录这些重复警告用于事后的统计分析。
3.3告警融合
该技术是将不同传感器产生的、具有相关性的低级别告警融合成更高级别的警告信息,这有助于解决误报和漏报问题。当与低级别警告有关的条件或规则满足时,安全管理员在IDS上定义的元告警相关性规则就会促使高级别警告产生。如扫描主机事件,如果单独考虑每次扫描,可能认为每次扫描都是独立的事件,而且对系统的影响可以忽略不计;但是,如果把在短时间内产生的一系列事件整合考虑,会有不同的结论。IDS在10min内检测到来自于同一IP的扫描事件,而且扫描强度在不断升级,安全管理人员可以认为是攻击前的渗透操作,应该作为高级别告警对待。例子告诉我们告警融合技术可以发出早期攻击警告,如果没有这种技术,需要安全管理员来判断一系列低级别告警是否是随后更高级别攻击的先兆;而通过设置元警告相关性规则,安全管理员可以把精力都集中在高级别警告的处理上。元警告相关性规则中定义参数包括时间窗、事件数量、事件类型IP地址、端口号、事件顺序。
4降低IDS漏报率方法研究
4.1特征模式匹配方法分析
模式匹配是入侵检测系统中常用的分析方法,许多入侵检测系统如大家熟知的snort等都采用了模式匹配方法。
单一的模式匹配方法使得IDS检测慢、不准确、消耗系统资源,并存在以下严重问题:
(1)计算的负载过大,持续该运算法则所需的计算量极其巨大。
(2)模式匹配特征搜索技术使用固定的特征模式来探测攻击,只能探测明确的、唯一的攻击特征,即便是基于最轻微变换的攻击串都会被忽略。
(3)一个基于模式匹配的IDS系统不能智能地判断看似不同字符串/命令串的真实含义和最终效果。在模式匹配系统中,每一个这样的变化都要求攻击特征数据库增加一个特征记录。这种技术攻击运算规则的内在缺陷使得所谓的庞大特征库实际上是徒劳的,最后的结果往往是付出更高的计算负载,而导致更多的丢包率,也就产生遗漏更多攻击的可能,特别是在高速网络下,导致大量丢包,漏报率明显增大。
可见传统的模式匹配方法已不能适应新的要求。在网络通信中,网络协议定义了标准的、层次化、格式化的网络数据包。在攻击检测中,利用这种层次性对网络协议逐层分析,可以提高检测效率。因此,在数据分析时将协议分析方法和模式匹配方法结合使用,可以大幅度减少匹配算法的计算量,提高分析效率,得到更准确的检测结果。超级秘书网
4.2协议分析方法分析
在以网络为主的入侵检测系统中,由于把通过网络获得的数据包作为侦测的资料来源,所以数据包在网络传输中必须遵循固定的协议才能在电脑之间相互沟通,因此能够按照协议类别对规则集进行分类。协议分析的原理就是根据现有的协议模式,到固定的位置取值(而不式逐一的去比较),然后根据取得的值判断其协议连同实施下一步分析动作。其作用是非类似于邮局的邮件自动分捡设备,有效的提高了分析效率,同时还能够避免单纯模式匹配带来的误报。
根据以上特点,能够将协议分析算法用一棵协议分类树来表示,如图2所示。这样,当IDS进行模式匹配时,利用协议分析过滤许多规则,能够节省大量的时间。在任何规则中关于TCP的规则最多,大约占了50%以上,因此在初步分类后,能够按照端口进行第二次分类。在两次分类完成后,能够快速比较特征库中的规则,减少大量不必要的时间消耗。如有必要,还可进行多次分类,尽量在规则树上分叉,尽可能的缩减模式匹配的范围。
每个分析机的数据结构中包含以下信息:协议名称、协议代号以及该协议对应的攻击检测函数。协议名称是该协议的唯一标志,协议代号是为了提高分析速度用的编号。为了提高检测的精确度,可以在树中加入自定义的协议结点,以此来细化分析数据,例如在HTTP协议中可以把请求URL列入该树中作为一个结点,再将URL中不同的方法作为子节点。
分析机的功能是分析某一特定协议的数据,得出是否具有攻击的可能性存在。一般情况下,分析机尽可能的放到树结构的叶子结点上或尽可能的靠近叶子结点,因为越靠近树根部分的分析机,调用的次数越多。过多的分析机聚集在根部附近会严重影响系统的性能。同时叶子结点上的协议类型划分越细,分析机的效率越高。
因此,协议分析技术有检测快、准确、资源消耗少的特点,它利用网络协议的高度规则性快速探测攻击的存在。
5结束语
本文对几种降低IDS误报率和漏报率的方法进行分析研究,通过将这几种方法相互结合,能有效提高入侵检测系统的运行效率并能大大简化安全管理员的工作,从而保证网络安全的运行。由于方法论的问题,目前IDS的误报和漏报是不可能彻底解决的。因此,IDS需要走强化安全管理功能的道路,需要强化对多种安全信息的收集功能,需要提高IDS的智能化分析和报告能力,并需要与多种安全产品形成配合。只有这样,IDS才能成为网络安全的重要基础设施。
参考文献:
[1]张杰,戴英侠.入侵检测系统技术现状及其发展趋势[J].计算机与通信,2002(6):28-32.
[2]唐洪英,付国瑜.入侵检测的原理与方法[J].重庆工学院学报,2002(4):71-73.
[3]戴连英,连一峰,王航.系统安全与入侵检测技术[M].北京:清华大学出版社,2002(3).
[4]郑成兴.网络入侵防范的理论与实践[M].北京:机械工业出版社,2006:48-56.
关键词:计算机网络,入侵,检测技术,方向
随着网络的技术的不断发展,互联网的开放性也得到了长足的发展,这为网络信息的共享和交互使用提供了很大方便,但同时也对信息的安全性提出了严峻的挑战。近年来,随着网络的普及与应用领域的逐渐扩展,网络安全与信息安全问题日渐突出。在网络安全的实践中,建立一个完全安全的系统是不现实的。因此,保证计算机系统、网络系统以及整个信息基础设施的安全已经成为刻不容缓的重要课题。
入侵检测技术(IDS)是近年来出现的新型网络安全技术,它是通过从计算机网络系统中的若干关键点收集信息并对其进行分析,从中发现违反安全策略的行为和遭到攻击的迹象,并做出自动的响应。入侵检测通过迅速地检测入侵,在可能造成系统损坏或数据丢失之前,识别并驱除入侵者,使系统迅速恢复正常工作,并且阻止入侵者进一步的行动,它的应用扩展了系统管理员的安全管理能力,帮助计算机系统抵御攻击。因而,研究入侵检测方法和技术,根据这些方法和技术建立相应的入侵检测系统对保证网络安全是非常必要的。
一、入侵检测系统的分类
1.按照检测类型划分
(1)异常检测类型:检测与可接受行为之间的偏差,如果可以定义每项可接受的行为就应该是入侵。首先总结正常操作应该具备的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵。这种检测模型漏报率低,误报率高。因为不需要对每种入侵行为进行定义,所以能有效检测未知的入侵。
(2)误用检测类型:检测与已知的不可接受行为之间的匹配程度,如果可以定义所有的不可接受行为,那么每种能够与之匹配的行为都会引起警告。收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。这种检测模型误报率、漏报率高。对于已知的攻击,它可以详细、准确地报告出攻击类型,但是对未知攻击却效果有限,而且特征库必须不断更新。
2.按照检测对象划分
(1)基于主机:系统分析的数据是计算机操作系统的时间日志、应用程序的时间日志、系统调用、端口调用和安全审计记录。主机入侵检测系统保护的一般是所在的主机系统。是来实现的,是运行在目标主机上的小的可执行程序,它们与命令控制台通信。
(2)基于网络:系统分析的数据是网络上的数据包。网络型入侵检测系统担负着保护整个网段的任务,基于网络的入侵检测系统由遍及网络的传感器组成,传感器是一台将以太网置于混杂模式的计算机,用于嗅探网络上的数据包。科技论文。
(3)混合型:基于网络和基于主机的入侵检测系统都有不足之处,会造成防御体系的不全面,综合了基于网络和基于主机的混合型入侵检测系统,既可以发现网络中的攻击信息,也可以从系统日志中发现异常情况。
3.按照工作方式分类
(1)离线检测:这是一种非实时工作的系统,在时间发生后分析审计时间,从中检查入侵事件。这类系统的成本低,可以分析大量事件,调查长期的情况,有利于其它方法提供及时的保护。而且,很多侵入在完成之后都将审计事件删除,使其无法审计。
(2)在线检测:对网络数据包或主机的审计事件进行实时分析,可以快速反映,保护系统的安全;但在系统规模比较大时,难以保证实时性。
二、入侵检测系统存在的主要问题
1.误报
误报是指被入侵检测系统测出但其实是正常及合法使用受保护网络和计算机的警报。假警报不但令人讨厌,并且降低入侵检测系统的效率。攻击者可以而且往往是利用包结构伪造无威胁的,“正常”假警报,以诱使收受人把入侵检测系统关掉。
没有一个入侵检测无敌于误报,应用系统总会发生错误,原因是:缺乏共享信息的标准机制和集中协调的机制,不同的网络及主机有小同的安全问题,不同的入侵检测系统有各自的功能;缺乏揣摩数据在一段时间内行为的能力;缺乏有效跟踪分析等。
2.精巧及有组织的攻击
攻击可以来自四面八方,特别是一群人组织策划且攻击者技术高超的攻击,攻击者花费很多时间准备,并发动全球性攻击,要找出这样复杂的攻击是一件难事。
3.入侵检测系统的互动性能不高
在大型网络中,网络的不同部分可能使用了多种入侵检测系统,甚至还有防火墙、漏洞扫描等其他类别的安全设备,这些入侵检测系统之间以及IDS和其他安全组件之间如何交换信息,共同协作来发现攻击、做出相应并阻止攻击是关系整个系统安全性的重要因素。
三、入侵检测系统发展的主要趋势
目前除了完善常规的、传统的技术(模式识别和完整性检测)外,入侵检测系统应重点加强与统计分析相关技术的研究。许多学者在研究新的检测办法,如采用自动的主动防御办法,将免疫学原理应用到入侵检测的方法等。其主要发展方向可以概括为以下几个方面:
1.入侵检测系统的标准化
就目前而言,入侵检测系统还缺乏相应的标准,不同的入侵检测系统之间的数据交换和信息通信几乎不可能。目前,DARPA和IETF的入侵检测工作组试图对入侵检测系统进行标准化工作,分别制定了CIDF和IDMEF标准,从体系结构、通信机制、消息格式等各方面对入侵检测系统规范化,但进展非常缓慢,尚没有被广泛接受的标准出台。因而,具有标准化接口的入侵检测系统将是下一代入侵检测系统的特征。
2.分布式入侵检测
分布式入侵检测的第一层含义是针对分布式网络攻击的检测方法;第二层含义即使用分布式的方法来实现分布式的攻击,其中的关键技术为信息的协同处理与入侵攻击的全局信息的提取。
3.应用层入侵检测
许多入侵的语义只有在应用层才能理解,而目前的入侵检测系统仅能检测Web之类的通用协议,不能处理如Lotus Notes数据库系统等其他的应用系统。许多基于客户/服务器结构、中间件技术及对象技术的大型应用,需要应用层的入侵检测保护。科技论文。
4.智能入侵检测
目前,入侵方法越来越多样化与综合化,尽管已经有智能体系、神经网络与遗传算法应用在入侵检测领域,但这些只是一些尝试性的研究工作,需要对智能化的入侵检测系统进一步研究,以解决其自学习与自适应能力。
5.建立入侵检测系统评价体系
设计通用的入侵检测测试、评估办法和平台,实现对多种入侵检测系统的检测,已成为当前入侵检测系统的另一重要研究与发展领域。评价入侵检测系统可从检测范围、系统资源占用、自身的可靠性等方面进行,评价指标有:能否保证自身的安全、运行与维护系统的开销、报警准确率、负载能力以及可支持的网络类型、支持的入侵特征数、是否支持IP碎片重组、是否支持TCP流重组等。
6.综合性检测系统
单一的技术很难构筑一道强有力的安全防线,这就需要和其他安全技术共同组成更完备的安全的保障系统,如结合防火墙、PKIX、安全电子交易SET等新的网络安全与电子商务技术,提供完整的网络安全保障体系。科技论文。
四、结语
入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。但是目前,入侵检测技术主要停留在异常检测和误用检测上,这两种方法都还不完善,存在着这样那样的缺陷。网络入侵技术不断发展,入侵行为表现出不确定性、复杂性、多样性等特点;网络应用的发展带来了新的问题,如高速网络其流量大,基于网络的检测系统如何适应这种情况?基于主机审计数据这怎样做到既减小数据量,又能有效地检测到入侵行为?入侵检测技术己经成为当前网络技术领域内的一个研究热点,在未来的发展过程中,将越来越多地与其他科学和技术进行交融汇合,如数据融合、人工智能以及网络管理等等。随着网络信息技术的发展,入侵检测技术也在不断地发展,已经出现了很多新的方向,如宽带高速网络的实时入侵检测技术、大规模分布式入侵检测技术等。
参考文献:
[1]戴英侠,连一峰,王航.系统安全与入侵检测[M].北京:清华大学出版社.2002.
[2]孙知信,徐红霞.模糊技术在入侵检测系统中的应用研究综述[J].南京邮电大学学报.2006,(2).
[3]裴庆祺.模糊入侵检测技术研究[M].西安:西安电子科技大学.2004.
[4]唐正军.入侵检测技术导轮[M].北京:机械工业出版社,2004.
论文摘要: “计算机网络技术”正在给高校网络环境带来一场深刻的变革,入侵检测方案将成为主流监控手段。探讨高校网络环境下的入侵检测方案已经成为网络安全的防御工作的必然选择。提出基于高校网络环境的入侵检测方案的构思,分析入侵检测方案环境的发展,包括发展方向和关键技术;给出基于入侵检测方案的高校网络环境实现的流程。虽然还有待于实验和检测,但基于高校网络环境的入侵检测方案的理念,相信能够成为新的监控技术发展的亮点。
1 高校网络环境的入侵检测方案的问题
1.1 入侵检测方案
随着“计算机网络技术”的高速发展,网络终端、测试平台、监控系统等方面已经出现相对完善的发展。这些显著的发展和技术,为高校网络环境提供了获取信息的便利性,但不可否认的是,网络安全已经成为不能不考虑的问题。入侵检测方案正是利用利用网络平台,通过网络与远程服务器交换,将终端数据库分布实现入侵检测监控的办法。
1.2 高校网络环境现状
当前,高校网络环境是虚拟网络平台。在网络开放环境下,虚拟网络平台的入侵检测方案既要允许高校主机数据库对专用用户的可用性,又要保证对非法用户的筛选和防御。其实,当前大多数高校网络环境的入侵方案是专用用户才能评价发现检测的模式。在数据库环境下,高校网络环境的设计理念应尽量符合人的感知和认知过程,实现“用户的高校网络环境系统”。很多高校的网络环境都是基于WEB的数据库的转换和数据交换监控,数据库相对简单,断接相当频繁,入侵检测的方式单一,安全可靠性低。面对平台和数据容量的增加,客观上要求基于自动检测,能够对数据库进行分析、聚类、纠错、响应及时的遗传算法的高效网络,才能处理访问数据库的繁杂,实现专用用户交互、完成网络平台多样化数据的可扩展性。因此,高校网络环境情况影响着数据库交换,更影响着入侵检测方案实施和制定,必须按照网络平台需求,构建适应高校网络平台的入侵检测方案。
1.3 高校网络环境的入侵检测方案的关键点
高校网络环境的入侵检测方案的关键点就是要充分利用高校网络资源平台,整合数据库、角色管理的安全模型、校园无缝隙监控、多方位反馈与应对系统等资源,预测或实时处理高校网络入侵时间的发生。
2 高校网络环境的入侵检测方案思考
2.1 建立适合高校网络环境的检测系统平台
在当前高校网络环境下的入侵检测,必须运用比较成熟“云计算技术”,实现检测方案系统。
云计算技术利用高速互联网的传输能力,将计算、存储、软件、服务等资源从分散的个人计算机或服务器移植到互联网中集中管理的大规模高性能计算机、个人计算机、虚拟计算机中,从而使用户像使用电力一样使用这些资源。云计算表述了一种新的计算模式:应用、数据和IT资源以服务的方式通过网络提供给用户使用。
从网络平台系统看,云计算也是一种基础架构管理的方法论,大量的计算资源组成IT资源池,用于动态创建高度虚拟化的资源提供用户使用。网络平台可将各种资源汇聚为“一个可动态分配的计算机系统资源池”,软件、硬件、数据、信息服务等都可以在“云计算”这一平台上租赁使用。用户无需了解底层系统的支撑架构,不需要维护和购买相应的软硬件,通过专用密钥进入云计算平台即可享用各种低成本的信息化服务。云计算能改变了原有的互联网资源提供商需要独立、分散建造机房、运营系统、维护安全的困境,极大低降低了高校整体能源消耗,为高校提供了绿色、低碳、高效的IT基础设施实施及检测管理方案。 转贴于
2.2 入侵检测机制
高校网络环境的入侵检测体系结构在高校网络环境的技术条件下,必须依据网络NIDS模块,组建检测管理平台:主要有如下模块组成:应用任务模块(负责系统管理功能);入侵检测与分析模块;数据库交换模块(负责数据包嗅探、预处理过滤和固定字段模式匹配)。入侵检测主要功能就是实现网络环境下实时流量分析以及入侵检测功能。针对硬件逻辑和核心态软件逻辑采用的高效检测策略,利用入侵检测模块中,入侵检测模型包括三个主要的流程:
第一步骤:高校网络环境的入侵检测体系的调度平台,从用户请求队列中取出优先级最高的用户请求R。R首先读取元数据库,根据用户请求的硬件资源判断是否能被当前空闲的物理机资源满足,如CPU频率、核心数、带宽、存储、硬盘空间等。如果能满足,则直接转向步骤2;如果不能满足,判断是否可以通过平台虚拟机迁移,释放相关资源;如果可以则在执行迁移步骤,转步骤2;如果即使迁移也无法完成,则退出,并报告用户资源无法完成请求。
第二步骤:如果资源请求可以满足,调度服务器从存储结点中选择与用户请求对应的虚拟机模板T(对于新建立的虚拟机)或虚拟机镜像I。
第三步骤:调度服务器将I迁入对应的物理机,并创建对应的虚拟机实例V。
如果平台需要调整现有物理机上的虚拟机分布,如何以最小的调整代价,实现资源的重新分配。对于部分平台,由于迁移可能造成虚拟平台的不稳定;迁移的条件要求较高,以确保最少的虚拟机受到影响为准。
3 结论
高校网络环境的入侵检测方案的思考,是适应高校检测环境的发展要求,必须把握其发展方向和关键技术;实现高校网络环境入侵检测方案。在现代技术条件下高校网络环境虽然技术存在的一些缺陷,但入侵检测方案成为主流监控手段的发展方向已经不可改变。我们相信,基于高校网络环境的入侵检测方案的理念,相信能够成为新的监控技术发展的亮点。
参考文献
[1]申建刚、夏国平、邱巩强,基于云计算技术虚拟现实的施工设备布置系统,计算机集成制造系统,2009.10.
[2]刘秀玲、杜欢平、杨国杰,分布式多交互虚拟场景渲染的协同控制,计算机工程与应用,2009.29.
[3]李增国,高校电子网络虚拟实验室系统之构建,教育技术导刊,2008.10.
关键词:计算机;数据库;入侵检测;网络安全
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2013)05-0959-02
计算机的发展给人们的生活、工作和学习提供了极大的便利,然而计算机网络系统中存在的安全问题却给人们带来了一定的困扰,因此改善计算机数据库的安全机制、加强对信息基本设备的安全保护相当重要。现在很普遍的“防火墙”虽然具备一定的防护能力,然而还是扛不住各种各样的干扰因素。因此,想要强化计算机数据库的安全性,还需从检测技术和安全机制等方面入手。使用户能够一边使用计算机一边抵抗安全入侵,这不仅能确保系统的安全,还能使数据的完整性不受损害。
1 计算机数据库安全的重要性
计算机数据库的安全分为两种,一种是设备安全,另一种是信息安全,其中信息安全主要是保护用户的隐私,以及保证其网络信息的可用性,因此无论那种安全遭到破坏都将会对计算机数据库造成巨大的威胁。当计算机遭到安全入侵时,首当其冲就是数据库,病毒和黑客是保证数据库安全的两大主要威胁,就近年来的数据显示,全球每天会有两万多网页遭到病毒和黑客的入侵,这不仅给社会的经济带来了巨大的损失,同时还给人们的生活、工作与学习带来了很多损害,因此,保证计算机数据库的安全性至关重要。
2 计算机数据库入侵检测技术的界定
所谓的计算机数据库入侵检测技术就是通过对计算机访问者进行身份、信息、资料等多方面的验证来判断访问者是否合法,一旦有非法分子强行进入或者出现异常状况,入侵检测技术就会做出相关回应,以保护计算机数据库的安全。我们所知的网络陷阱其实就是计算机数据库入侵检测技术所设置的一种关卡,其工作原理就是通过网络运行环境来检测遭受非法入侵时所收集到的有关数据,进行深入分析后判定其行为是否合法,最后做出相关防御措施。
3 常用的计算机数据库入侵检测技术
3.1误用检测技术
感知节点功能单一化,利用电池提供能量,携带能量不足使这些感知节点的自我安保能力大大降低。感知网络多种多样,从道路导航到自动控制,从温度测量到水文监控,不同类型的感知网络传输的数据类型也不尽相同,标准也无法统一,因此,要建立统一的安全保护体系并不容易。传统的认证是区分不同层次的,网络层与业务层都只负责各自的身份鉴别,两者是相对独立的。物联网中的很多设备都是区分用途和工作顺序的,需要业务层与网络层捆绑在一起,因此,可以根据业务的提供方和业务的安全敏感程度来设计业务层与网络层的安全联系。误用检测技术的主要检测对象是已知病毒、入侵活动和攻击模式等等,工作原理是把一切网络入侵活动或者异常行为假设成一种特征模式,在已经把已知入侵活动建立好特征模式的基础上,将今后所发生的异常自行进行相应的匹配,即二者会自动找出相似的特点,如果二者的特征相匹配,系统则会将之视为异常入侵行为,并采取相应的措施。这种技术的检测准确性相当高(主要在已知入侵特征方面),然而对未知入侵活动的检测却起不了作用,尤其是对新的病毒以及攻击体,因此,系统中的数据需要时时更新。
3.2异常检测技术
一般情况下,核心网络的自我保护能力是相对可靠的,但是由于物联网中很多节点是以集群的方式存在,在信息输送时常常会因数据发送量巨大而出现网络拥堵现象,导致拒绝服务攻击。此外,现有通信网络的安全架构大多是按照人的通信角度设计的,并不能很好地适用于机械通信,那么这种网络通信的安全机制可能会割裂物联网中各设备之间的逻辑关系。异常检测技术比误用检测技术的检测准确性高,而且检测范围更广,异常检测技术是以用户平常的习惯行为为模型,并建立到数据库中,然后再将此与计算机用户的操作行为进行对比,在详细分析用户的操作活动后,计算出用户活动的异常状态的数目,若偏差较大则说明计算机遭到了非法入侵。异常检测技术不需要经验,只要有大量的信息并且掌握它们之间的规律就能进行检测。除此之外,异常检测技术还能检测到未知类型的对象,不管是已识别的还是未识别的非法操作,都能将其实行监控。相比于误用检测技术,它不仅检测效率高,操作起来也更加简便。
4 计算机数据库入侵检测技术所存在的问题
4.1 计算机入侵检测结果的准确率低,误报漏报率高
数据库信息分为企业信息和个人信息,信息的安全是否有保证是信息所有者最为关心的,因此计算机入侵检测技术的研发人员在研发过程中对某些关键点设置是非常苛刻的,生怕造成一丝错误。然而这样的情况下往往会吸引大量外部病毒,使得检测结果的准确率大大降低,同时,为了提高准确率而采取的某些措施又会对数据库产生一定的负面作用。
4.2 计算机入侵检测的效率不高
不管是数据入侵还是反入侵,想要有效运行就一定要进行大量的二进制数据运算,庞大的计算量不仅浪费时间,还会加大检测的成本,再加上异常检测技术也会增加计算代价,因此造成入侵检测的效率一直偏低,这显然已经不适应当今网络高速发展的社会环境。
4.3 计算机入侵检测技术没有足够的自我预防能力
计算机入侵检测技术自身存在一些缺陷,再加上设计人员的专业知识有限,造成计算机入侵检测技术的自我防御能力低下。当入侵检测技术受到某些病毒或者非法行为攻击时,它无法将它们进行有效的检测。时间久了,数据库的安全就会遭到威胁。
4.4 计算机入侵检测技术的可扩展性差
这是入侵检测技术中是该重视的问题,因为检测技术没有自动更新的特点,无法判别新的病毒与异常行为,导致病毒蔓延,数据库的安全防线被破坏。
5 加强计算机入侵检测技术
加强计算机入侵检测技术的方法有很多,如减少入侵检测的计算量、建立数据库知识标准、创建新型的系统模型等等。这里简单讲述一下可以减少入侵检测计算量的优化Apriori算法,优化Apriori算法是一种在Apriori算法进行进一步改进的一种算法,这种算法中的剪枝候选集功能是减少计算量主要工具,并且以基于两阶段频集思想的递推算法为核心,它在各个领域都有较广泛的使用。
总而言之,该文主要提出了关于计算机数据库入侵检测技术的几点思考,首先简单介绍了保护数据库安全的重要性以及什么是计算机数据库入侵检测技术,然后提出了两种常用的检测技术,并重点探讨了现如今入侵检测技术存在的几点问题,最后介绍了几种加强计算机入侵检测技术的方法。计算机数据库入侵检测技术在保护计算机信息安全方面有着举足轻重的作用,因此提高该技术是创建一个安全可靠的网络环境的关键。
参考文献:
[1] 兰世龙,谭艳,罗绯,童玲,孟刚.“军卫一号”数据库的网络安全监控研究[J].医疗卫生装备,2009(2).
[2] 石燕京,刘瑞荣,吴春珍,安德海.数据库在网络安全管理中的应用[A].第11届全国计算机在现代科学技术领域应用学术会议论文集,2003.
【关键词】入侵检测 数据挖掘 异常检测 误用检测 分类算法
用于加强网络安全的手段目前有很多,如加密,vpn ,防火墙等,但这些技术都是静态的,不能够很好的实施有效的防护。而入侵检测(intrusion detection)技术是一种动态的防护策略,它能够对网络安全实施监控、攻击与反攻击等动态保护,在一定程度上弥补了传统静态策略的不足。
一、入侵检测中数据挖掘技术的引入
(一)入侵检测技术介绍
入侵检测技术是对(网络)系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结果,以保证系统资源的机密性、完整性与可用性。
根据数据分析方法(也就是检测方法)的不同,我们可以将入侵检测系统分为两类:
1.误用检测(misuse detection)。又称为基于特征的检测,它是根据已知的攻击行为建立一个特征库,然后去匹配已发生的动作,如果一致则表明它是一个入侵行为。
2.异常检测(anomaly detection)。又称为基于行为的检测,它是建立一个正常的特征库,根据使用者的行为或资源使用状况来判断是否入侵。
将这两种分析方法结合起来,可以获得更好的性能。异常检测可以使系统检测新的、未知的攻击或其他情况;误用检测通过防止耐心的攻击者逐步改变行为模式使得异常检测器将攻击行为认为是合法的,从而保护异常检测的完整性。
(二)数据挖掘技术
数据挖掘通过预测未来趋势及行为,做出预测性的、基于知识的决策。数据挖掘的目标是从数据库中发现隐含的、有意义的知识,按其功能可分为以下几类:
1.关联分析。关联分析能寻找数据库中大量数据的相关联系,常用的2种技术为关联规则和序列模式。关联规则是发现一个事物与其他事物间的相互关联性或相互依赖性。
2.聚类。输入的数据并无任何类型标记,聚类就是按一定的规则将数据划分为合理的集合,即将对象分组为多个类或簇,使得在同一个簇中的对象之间具有较高的相似度,而在不同簇中的对象差别很大。
3.自动预测趋势和行为。数据挖掘自动在大型数据库中进行分类和预测,寻找预测性信息,自动地提出描述重要数据类的模型或预测未来的数据趋势。
4.概念描述。对于数据库中庞杂的数据,人们期望以简洁的描述形式来描述汇集的数据集。概念描述就是对某类对象的内涵进行描述并概括出这类对象的有关特征。
5.偏差检测。偏差包括很多潜在的知识,如分类中的反常实例、不满足规则的特例、观测结果与模型预测值的偏差、量值随时间的变化等。
二、算法在入侵检测中的具体使用
(一)基于误用的检测模型
·id3、c4.5算法:id3算法是一种基本的决策树生成算法,该算法不包括规则剪除部分。c4.5算法作为id3算法的后继版本,就加入了规则剪除部分,使用训练样本来估计每个规则的准确率。也是分类模型的主要运用算法。
对于已知的攻击类型的检测,分类模型具有较高的检准率,但是对于未知的、新的攻击,分类模型效果就不是很理想。这个是由误用检测本身的特点所决定的,误用检测误报率低,但是它在对已知攻击模式特征属性构建和选取上往往要花费大量的精力,这也是分类检测的难点所在。所以这种检测模型只能有限的检测已知的攻击,而要更好的检测未知的攻击,就要使用到异常检测技术,但是,异常检测却比误用检测负责的多,因为对于系统正常使用模式的构建本身就是一件非常复杂的事情。
(二)基于异常的入侵模型
异常检测的主要工作就是通过构造正常活动集合,然后利用得到的一组观察数值的偏离程度来判断用户行为的变化,以此来觉得是否属于入侵的一种检测技术。异常检测的优点在于它具有检测未知攻击模式的能力,不论攻击者采用什么样的攻击策略,异常检测模型依然可以通过检测它与已知模式集合之间的差异来判断用户的行为是否异常。
在异常检测中主要用到的两个算法就是模式比较和聚类算法:
1.模式比较。在模式比较算法
首先通过关联规则和序列规则建立正常的行为模式,然后通过模式比较算法来区别正常行为和入侵行为。
(1)关联规则。它主要经过两步过程:首先识别所有支持度不低于用户规定的最小支持度域值的项目集,即频繁项目集;然后从得到的频繁项目集中构造出可信度不低于用户规定的最小可信度域值的规则。现在已有多种关联规则算法如apriori算法等用于入侵检测。
(2)序列分析。序列模式挖掘有几个重要的参数,如时间序列的持续时间,事件重叠窗口和被发现的模式中时间之间的时间间隔。还可以在要挖掘的序列模式上指定约束,方法是提供“模式模板“,其形式可以是系列片段(serial episode),并行片段(parallel episode),或正则表达式。序列分析使用于发现分布式攻击和插入噪声的攻击。由于各种攻击方法的规模的扩大和时间持久,序列分析变得越来越重要。
2.聚类算法。基于聚类的入侵检测是一种无监督的异常检测算法,通过对未标识数据进行训练来检测入侵。该方法不需要手工或其他的分类,也不需要进行训练。因此呢功能发现新型的和未知的入侵类型。
三、结论
入侵检测中数据挖掘技术方面的研究已经有很多,发表的论文也已经有好多,但是应用难点在于如何根据具体应用的要求,从用于安全的先验知识出发,提取出可以有效反映系统特性的属性,并应用合适的算法进行数据挖掘。另一技术难点在于如何将数据挖掘结果自动应用到实际ids中。
入侵检测采用的技术有多种类型,其中基于数据挖掘技术的入侵检测技术成为当前入侵检测技术发展的一个热点,但数据挖掘还处于发展时期,因此有必要对它进行更深入的研究。
参考文献:
[1]张银奎,廖丽,宋俊等.数据挖掘原理[m].北京:机械工业出版社,2003 : 93-105
关键词:数据挖掘 分类规则 算法
中图分类号:TP393 文献标识码:A
一、数据挖掘在市场营销的应用
数据挖掘技术在企业市场营销中得到了比较普遍的应用,它是以市场营销学的市场细分原理为基础,其基本假定是“消费者过去的行为是其今后消费倾向的最好说明”。
通过收集、加工和处理涉及消费者消费行为的大量信息,确定特定消费群体或个体的兴趣、消费习惯、消费倾向和消费需求,进而推断出相应消费群体或个体下一步的消费行为,然后以此为基础,对所识别出来的消费群体进行特定内容的定向营销,这与传统的不区分消费者对象特征的大规模营销手段相比,大大节省了营销成本,提高了营销效果,从而为企业带来更多的利润。
就目前而言,关联规则挖掘技术已经被广泛应用在西方金融行业企业中,它可以成功预测银行客户需求。各银行在自己的ATM机上就捆绑了顾客可能感兴趣的本行产品信息,供使用本行ATM机的用户了解。如果数据库中显示,某个高信用限额的客户更换了地址,这个客户很有可能新近购买了一栋更大的住宅,因此会有可能需要更高信用限额,更高端的新信用卡,或者需要一个住房改善贷款,这些产品都可以通过信用卡账单邮寄给客户。当客户打电话咨询的时候,数据库可以有力地帮助电话销售代表。销售代表的电脑屏幕上可以显示出客户的特点,同时也可以显示出顾客会对什么产品感兴趣。如考虑属性之间的类别层次关系,时态关系,多表挖掘等。近年来围绕关联规则的研究主要集中于两个方面,即扩展经典关联规则能够解决问题的范围,改善经典关联规则挖掘算法效率和规则兴趣性。
二、入侵检测中数据挖掘技术的引入
入侵检测技术是对(网络)系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结果,以保证系统资源的机密性、完整性与可用性。
根据数据分析方法(也就是检测方法)的不同,我们可以将入侵检测系统分为两类:(1)误用检测(Misuse? Detection)。又称为基于特征的检测,它是根据已知的攻击行为建立一个特征库,然后去匹配已发生的动作,如果一致则表明它是一个入侵行为。(2)异常检测(Anomaly Detection)。又称为基于行为的检测,它是建立一个正常的特征库,根据使用者的行为或资源使用状况来判断是否入侵。
将这两种分析方法结合起来,可以获得更好的性能。异常检测可以使系统检测新的、未知的攻击或其他情况;误用检测通过防止耐心的攻击者逐步改变行为模式使得异常检测器将攻击行为认为是合法的,从而保护异常检测的完整性。
三、算法在入侵检测中的具体使用
(一)基于误用的检测型。
首先从网络或是主机上获取原始二进制的数据文件,再把这些数据进行处理,转换成ASCII码表示的数据分组形式。再经过预处理模块将这些网络数据表示成连接记录的形式,每个连接记录都是由选定的特征属性表示的。再进行完上面的工作后,对上述的由特征属性组成的模式记录进行处理,总结出其中的统计特征,包括在一时间段内与目标主机相同的连接记录的次数、发生SYN错误的连接百分比、目标端口相同的连接所占的百分比等等一系列的统计特征。最后,就可以进行下面的检测分析工作,利用分类算法,比如RIPPER 、C4.5等建立分类模型。只有这样才能建立一个实用性较强、效果更好的分类模型。
(二)基于异常的入侵模型。
异常检测的主要工作就是通过构造正常活动集合,然后利用得到的一组观察数值的偏离程度来判断用户行为的变化,以此来觉得是否属于入侵的一种检测技术。异常检测的优点在于它具有检测未知攻击模式的能力,不论攻击者采用什么样的攻击策略,异常检测模型依然可以通过检测它与已知模式集合之间的差异来判断用户的行为是否异常。
在异常检测中主要用到的两个算法就是模式比较和聚类算法:(1)模式比较。在模式比较算法中首先通过关联规则和序列规则建立正常的行为模式,然后通过模式比较算法来区别正常行为和入侵行为。(2)聚类算法。聚类分析的基本思想主要源于入侵与正常模式上的不同及正常行为数目应远大于入侵行为数目的条件,因此能够将数据集划分为不同的类别,由此分辨出正常和异常行为来检测入侵。数据挖掘中常用的聚类算法有K-means、模糊聚类、遗传聚类等。基于聚类的入侵检测是一种无监督的异常检测算法,通过对未标识数据进行训练来检测入侵。该方法不需要手工或其他的分类,也不需要进行训练。因此呢功能发现新型的和未知的入侵类型。
四、结论
入侵检测中数据挖掘技术方面的研究已经有很多,发表的论文也已经有好多,但是应用难点在于如何根据具体应用的要求,从用于安全的先验知识出发,提取出可以有效反映系统特性的属性,并应用合适的算法进行数据挖掘。另一技术难点在于如何将数据挖掘结果自动应用到实际IDS中。
入侵检测采用的技术有多种类型,其中基于数据挖掘技术的入侵检测技术成为当前入侵检测技术发展的一个热点,但数据挖掘还处于发展时期,因此有必要对它进行更深入的研究。
(作者单位:湖北工业大学 计算机学院)
参考文献:
[1]. 范明,孟小峰.数据挖掘――概念与技术.机械工业出版社,2001。
【 关键词 】 Two Step Clustering;K-means;入侵检测
【 中图分类号 】 TP3 【 文献标识码 】 A
1 引言
K-means算法简单、快速,当类与类之间区别明显时,该算法聚类效果较好。但是K-means算法只有在类的平均值被定义的前提下才能使用,算法随机选择初始聚类中心数目,而且对初始聚类中心敏感,对于不同的初始值可能会导致不同的聚类结果,因此算法就容易陷入到局部最优解,不容易获得最优的聚类划分。
在实际应用中,网络入侵发生的随机性较强,偶发事件也时有发生,所以事先难以定义K-means算法中类的平均值和类的数目。因此,传统K-means算法在实际入侵检测应用中具有一定的局限性,本文提出基于TSC的K-means改进算法TSC-based K-means。
2 TSC-based K-means 算法
2.1 Two Step Clustering简介
两步聚类算法是Chiu等人于2001年在BIRCH(Balanced Iterative Reducing and Clustering using Hierarchies)算法基础上提出的一种改进算法,该算法适合大型数据集的聚类研究,能够根据一定准则确定聚类数目,能够诊断样本中的离群点和噪声数据,通过两步事先聚类。
TSC 算法在寻优的过程中,能够避免在局部最优解的震荡迂回搜索。TSC算法对初值、参数选择具有较好的健壮性,具有良好地克服局部最优解获得全局最优解的能力,但是TSC算法后期收敛速度较慢。不过,TSC却适合用于为K-means寻找聚类数,而K-means在获得距离数后,确定初始聚类中心,经过较少的迭代次数就能获得最优的聚类划分。TSC-based K-means 算法结合了TSC算法和K-means算法的优点,既能克服K-means算法对初始聚类中心选择敏感的问题,又能解决TSC后期收敛速度较慢的问题,因而能够在相对较短的时间内获得最优的聚类划分。
2.2 TSC-based K-means算法
TSC-based K-means算法描述如下,算法流程图如图1所示。
Step1:使用TSC获取聚类数K
首先,预聚类。开始阶段视所有数据为一个大类。读入一个样本数据后,根据“亲疏程度”决定该样本应该派生出一个新类,还是应该合并到已有的某个子类中。这个过程将反复进行,最终形成K’个类。可见,预聚类过程是聚类数目不断增加的过程。然后,聚类,即在预聚类的基础上,再根据“亲疏程度”决定哪些子类可以合并,最终形成K类。
Step2:确定K个初始类中心
类中心是各类特征的典型代表。确定聚类数目K后,使用K-means算法指定K个类的初始类中心点。
Step3:根据最近原则进行聚类
依次计算每个数据点到K个类中心点的欧式距离,并按照距K个类中心点距离最近的原则,将所有样本分派到最近的类中,形成K个类。
Step4:重新确定K个类中心
重新计算K个类的中心点。中心点的确定原则:依次计算各类中所有数据点变量的均值,并以均值点作为K个类的中心点。
Step5:判读是否已经满足终止聚类的条件,如果没有满足则返回到第三步,不断反复上述过程,直到满足迭代终止条件。
3 TSC-based K-means在入侵检测中的应用
3.1 入侵检测模型
本文的入侵检测模型由“数据预处理模块”、“聚类挖掘模块”和“系统响应模块”三部分组成。通过局部聚类和基于TSC-based K-means的全局聚类,对经过标准化处理后的数据进行聚类挖掘,再将聚类结果输入入侵检测规格库中,分析未知数据流检测是否有入侵发生,如有入侵则产生报警信息,入侵检测模型如图2所示。
图2中,数据预处理模块负责对采集到的原始数据流进行处理,提取能适合数据挖掘的数据。聚类挖掘模块基于TSC-based K-means的流聚类算法通过TSC快速寻找聚类数,K-means在获得较好的初始聚类中心后,经过较少迭代次数获得最优的聚类划分。产生聚类规则输入入侵检测模块,实时更新入侵检测规则库,所以本系统能够不断接收数据流对象实现实时的增量聚类。
3.2 仿真实验及结果分析
3.2.1数据源获取
本文中的所有数据都是从实验室中获取的,实验室的网络是一个小型局域网,此局域网是采用集线器星型以太网结构,如图3所示。网络监听程序通常在工作站1上运行。
实验数据经过数据清洗与协议解析之后共有9702条记录。攻击类型有两类,分别是Assault和SYN Flooder,其中正常特征数据包807条(classflag是Normal),抓获Assault攻击软件所发的2742网络特征数据包(classflag是Assault),抓获SYN Flooder攻击软件所发的6153网络特征数据包(classflag是SYN_Flooder)。每条数据有8个特征属性:rotocol、 resource、 destination、time、flag、Iplen、TTL和classflag(类标记)。它们代表的含义分别为:协议、数据包的来源(包括源IP地址和源端口号)、数据包的目的地(包括目的IP地址和目的端口号)、截获数据包的时间、TCP的状态、数据包长度和数据包的生存周期。
3.2.2实验及结果分析
根据文中算法实现步骤,在图3环境下进行仿真实验,仿真实验的结果如表1和表2所示。实验证明,利用本文提出的算法用于入侵检测系统中能取得较好的效果,针对Assault和SYN Flooder两种攻击类型进行三种算法比较,检测率都有不同程度的提高,而误警率也有不同程度的下降。
4 结束语
网络入侵检测技术是维护网络安全的一种积极主动的防御手段。本文对TSC算法和K-means算法进行了具体分析,结合它们的优点提出了TSC-based K-means聚类算法,该算法既能克服K-means算法对初始聚类中心选择敏感的问题,又能解决TSC后期收敛速度较慢的问题,能够在相对较短的时间内获得最优的聚类划分。理论分析和仿真结果表明,该算法提高了对攻击的识别率和系统的整体性能。
参考文献
[1] 傅涛,孙亚民.基于PSO的k-means算法及其在网络入侵检测中的应用[J].计算机科学,2011,38(5):54-73.
[2] 杨照峰,樊爱宛,樊爱京.改进的SOM和K-Means结合的入侵检测方法[J].制作业自动化,2010,33(12):4-6.
[3] 薛薇,陈欢歌.基于Clementine的数据挖掘[M].北京:中国人民大学出版社,2012:407-412.
[4] 李云,刘学诚,朱峰.数据挖掘技术在入侵检测中的应用[J].计算机应用与软件,2011,28(5):117 - 119.
[5] 赵晖.基于聚类集成的网络入侵检测算法[J].科学技术与工程,2012,12(23):5797-5799.
[6] 杨云,宓佳,党宏社.嵌入式入侵检测系统的设计与实现[J].计算机工程与设计,2011,31(1):21-27.
[7] 梁飞,闫宏印.基于聚类分析的动态自适应入侵检测模式研究[J].计算机工程与设计,2013,34(3):814-820.
[8] 李巍,吴聪.基于聚类优化的无监督入侵检测在高校网络中的应用[J].科技通报,2013,29(6):95-97.
基金项目:
吉林省教育厅项目(2015343),吉林省吉林省高等教育学会项目(JGJX2015D118)。
论文摘要:随着当代信息技术的发展,互联网的共享性、开放性以及互联程度也在不断扩大。internet的广泛普及,商业数字货币、网络银行等一部分网络新业务的迅速兴起,使得计算机网络的安全问题越来越显得重要,通过归纳总结,提出网络信息中的一些安全防护策略。
1.引言
网络环境的复杂性、多变性以及信息系统的脆弱性,决定了网络安全威胁的客观存在。当前,随着计算机技术的飞速发展,利用因特网高科技手段进行经济商业犯罪的现象已经屡见不鲜了,因此,如何采用更加安全的数据保护及加密技术,成为当前计算机工作者的研究热点与重点。网络安全技术,尤其是网络信息的安全,关系到网民、企业甚至是国家的信息安全。因此,发展更加安全的网络安全技术,是关系到社会经济稳定繁荣发展的关键,成为当前计算机安全工作的重点。
2.网络信息安全的风险来源
影响计算机网络安全的因索很多,既有自然因素,也有人为因素,其中人为因素危害较大,归结起来丰要以下几个方面:
(1)病毒感染
从“蠕虫”病毒开始到cih、爱虫病毒,病毒一直是计算机系统安全最直接的威胁。病毒依靠网络迅速传播,它很容易地通过服务器以软件下载、邮件接收等方式进入网络,窃取网络信息,造成很人的损失。
(2)来自网络外部的攻击
这是指来自局域网外部的恶意攻击,例如:有选择地破坏网络信息的有效性和完整性;伪装为合法用户进入网络并占用大量资源;修改网络数据、窃取、破译机密信息、破坏软件执行;在中间站点拦截和读取绝密信息等。
(3)来自网络内部的攻击
在局域网内部,一些非法用户冒用合法用户的口令以合法身份登陆网站后。窃取机密信息,破坏信息内容,造成应用系统无法运行。
(4)系统的漏洞及“后门”
操作系统及网络软件不可能是百分之百的无缺陷、无漏洞的。编程人员有时会在软件中留有漏洞。一旦这个疏漏被不法分子所知,就会借这个薄弱环节对整个网络系统进行攻击,大部分的黑客入侵网络事件就是由系统的“漏洞” 和“后门”所造成的。
3.网络信息安全的防护策略
现在网络信息安全的防护措施必不可少。从技术上来说,计算机网络安全主要由防病毒、入侵检测等多个安全组件组成,就此对我们常用的几项防护技术分别进行分析。
3.1防火墙技术
防火墙(ifrewal1)是指设置在不同网络或网络安全域之间的系列部件的组合,它越来越多地应用于专用网络与公用网络的互联环境之中,尤其以接入internet网络为甚。不同网络或网络安拿域之间信息都会经过它的过滤,防火墙就会根据自身的安全政策控制(允许、拒绝、监测)出入网络的信息流,而且它本身也具有较强的抗攻击能力,不会被病毒控制。防火墙可以阻j网络中的黑客来访问你的机器,防止他们篡改、拷贝、毁坏你的重要信息。它为网络信息的安全提供了很好的服务,为我们更安全地使用网络提供了很好的保障。
“防火墙”技术是指假设被保护网络具有明确定义的边界和服务而采取的一种安全保障技术,它通过监测、限制和更改通过“防火墙”的数据流,一方面尽可能地对外部网络屏蔽被保护网络的信息、结构,实现对内部网络的保护,以防“人放火”;另一方面对内屏蔽外部某些危险站点,防止“引火烧身”。因而,比较适合于相对独立、与外部网络互联单一、明确并且网络服务种类相对集中的统一互联网络系统。防火墙可对网络存取和访问进行监控审计,如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。
通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。除了安全作用,有的防火墙还支持具有internet服务特性的企业内部网络技术体系vpn。vpn,可以将分部在世界各地的lan或专用电子网有机地联成一个整体。这样一方面省去了专用通信线路,也达到了信息共享的目的。
3.2数据加密技术
数据加密技术是网络中最荩木的安伞技术,主要是通过对网络传输的信息进行数据加密来保障其安全性。加密是对网络上传输数据的访问权加强限制的一种技术。原始数据(也称为明文,plaintext)被加密设备(硬件或软件)和密钥加密而产生的经过编码的数据称为密文(ciphertext)。解密是加密的反向处理,是将密文还原为原始明文,但解秘者必须利用相同类型的加密设备和密钥,才能对密文进行解密。
3.3入侵检测技术
入侵检测系统(intrusiondetectionsystem,ids)是从多种计算机系统及网络系统中收集信息,再通过这些信息分析,对计算机和网络资源的恶意使用行为进行识别的网络信息安全系统。入侵检测系统具有多方面的功能:威慑、检测、响应、损失情况评估、攻击预测和起诉支持等。入侵检测技术是为保证计算机信息系统安全而设计与配置的一种能够及时发现并报告系统中朱授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。
3.4病毒防护
可采用如下的方法或措施:
(1)合理设置杀毒软什,如果安装的杀毒软什具备扫描电邮件的功能,尽量将这些功能伞部打开;
(2)定期检查敏感文件;
(3)采取必要的病毒检测和监控措施;
(4)对新购的硬盘、软盘、软件等资源,使用前应先用病毒测试软件检查已知病毒,硬盘可以使用低级格式化(dos中的format格式化可以去抻软盘中的病毒,但不能清除硬盘引导的病毒);
(5)慎重对待邮件附件,如果收到邮件中有可执行文件(如.exe、.com等)或者带有“宏”的文杀一遍,确认没有病毒后再打开;
(6)及时升级邮件程序和操作系统,以修补所有已知的安全漏洞。
3.5身份认证技术
身份认证(authentication)是系统核查用户身份证明的过程,其实质是查明用户是否具仃它所请求资源的存储使用权。身份识别(identificaiion)是指用户向系统出示自己的身份证明的过程。这两项上作通常被称为身份认证。
身份认证至少应包括验证协议和授权协议。网络中的各种应用和计算机系统都需要通过身份认证来确认合法性,然后确定它的个人数据和特定权限。对于身份认证系统来说,合法用户的身份是否易于被别人冒充足它最重要的技术指标。用户身份被冒充不仪可能损害用户自身的利益,也可能损害其他用户的利益或整个系统。因此,身份认证是授权控制的基础。只有有效的身份认证,才能保证访问控制、安全审计、入侵防范等安全机制的有效实施。
安装必要的安全软件,杀毒软件和防火墙这些都是必备的,而且还要安装并使用必要的防黑软件。我们一定要把这些安全防护措施及时应在电脑中,在上网时一定要打开它们。最后要及时给系统打补丁,建议人家下载自己的操作系统对应的补丁程序,这是我们网络安全的恭础。
关键词:入侵检测器;量子遗传算法;协同进化
中图分类号:TP274文献标识码:A文章编号:1009-3044(2012)13-3199-03
Research on Generating Method of Detector in IDS
LI Lu-lu
(College of Computer Science and Engineering Institute, Yulin Normal College, Yulin 537000, China)
Abstract: The generation of intrusion detection device is the core o f the intrusion detection system, In place of com plex problem of optimizaion, quantum genetic algorithm has strong searching capabilities and the most optimal performance. In this paper a quantum genetic algorithm coevolution detector generation method is proposed. The population needing to evolve is divided to some child population by simulating nature cooperative coevolution mechanism, and each population using quantum genetic algorithm to optimize, making whole intrusion detection system has good adaptability and diversity.
Key words: intrusion detection device; quantum genetic algorithm; cooperative coevolution
1概述
随着网络和计算机技术的不断发展,网络安全性问题日益突出起来,入侵检测系统是一种重要的安全防范技术,已成为网络安全的重要保障之一[1-2]。目前各种不同的攻击方式不断出现,因此入侵检测中的有关智能性研究逐渐成为入侵检测系统研究领域中的一个重要方向。而入侵检测系统的主要部件是检测器,检测器生成算法是生成有效检测器的关键,是检测异常变化的核心所在[3-4]。检测器的设计对入侵检测系统的性能有着重要的影响,其从产生到成熟再到被丢弃,有自身固有的过程和生命周期,可以利用遗传算法来生成一个成熟检测器集,采用交叉、变异等遗传操作对其进行进化,使成熟检测器群体向“非我”进化。但随着问题规模的不断扩大和搜索空间的更加复杂,遗传算法在实际应用中有一定的局限性,不能表现出算法的优越性,出现迭代次数多、收敛速度慢、易陷入局部最优值和过早收敛等问题。
量子遗传算法结合了量子计算和遗传算法的优点,它将量子所具有的独特计算能力和遗传算法的全局寻优能力结合起来,提升了算法的优化性能,比传统遗传算法具有更高的搜索效率[5]。该文在现在有研究的基础上提出一种检测器生成方法,该算法通过对自然界中的协同进化机制进行模拟,首先将要进化的种群划分为多个子种群,然后各个种群再分别利用量子遗传算法进行优化,使整个入侵检测系统具有良好的自适应性和多样性。
2相关知识
量子遗传算法本质上是种概率优化方法,其基本思想是基于量子计算原理,用量子比特编码来表示染色体,充分利用量子态的叠加性和相干性,以当前最优个体的信息为指导,通过量子门来完成种群的更新操作,以此来促进算法的收敛,从而来实现目标的最后优化求解。
2.1量子比特
通常在计算机中用二进制0和1来表示信息单元,而在量子计算机中是用一个双态量子系统即量子比特来表示信息单元。量子比特作为信息单位,形式上表示为两种基态|0>和|1>,一般用|0>表示0,用|1>表示1。与经典比特不同,量子比特不仅可以处于两种基态|0>和|1>,而且还可以处在中间态,也就是|0>和|1>的不同叠加态。因此,量子比特的状态可用下式表示:
2.2量子染色体[6]
量子遗传算法是采用量子比特的编码方式,用一个复数对(α,β)表示一个量子比特。若一个量子染色体包含m个量子比特,则由m个复数对组成。这个染色体编码形式如下:
2.3量子旋转门
在量子遗传算法中量子染色体一般是纠缠或叠加的,所以可以用量子门来表示染色体的各个纠缠态或叠加态;父代群体不能决定子代个体的产生,个体的产生是通过父代的最优个体以及它们状态的概率幅决定的。用构造的量子门表示量子叠加态或纠缠态的基态,它们彼此干涉使相位发生改变,以此达到改变各个基态的概率幅的目的。因此,如何构造合适的量子门是量子遗传操作和量子遗传算法亟待解决的关键问题,量子门构造的是否合适会影响到遗传算法的性能。目前在量子遗传算法中通常采用量子旋转门U,U可表示为
,θ为旋转角。
2.4量子变异[7]
通常情况下在遗传算法中,算法的局部搜索能力以及阻止未成熟染色体收敛这些操作都是通过变异作用实现的,量子变异必须达到量子遗传算法对变异操作的要求,这里我们这样定义量子比特的变异操作:
(1)从种群中以给定的概率pi随机地选择若干个体;
(2)确定变异位,以确定的概率对从(1)中选择的个体随机地确定变异位;(3)对换操作,对换选中位量子比特的概率幅。
2.5协同进化算法[8]
进化算法的本质是优化,是为了使物种在激烈的竞争中能够具备生存的本领以致在竞争中能够生存下来。在一般的遗传算法中要么只涉及到个别群或个体的进化,要么只是涉及种群之间的竞争,几乎没有顾及到个体与个体,种群与种群之间互惠寄生的协同关系。基于以上原因,提出了协同进化算法。协同进化是生态系统中众多进化方式中的一种,进化中种群要生存下来不仅要受自身因素的影响,同时也受周围同类或异类的相互影响,在这些因素的影响下能够生存下来。在进化的过程中种群的个体之间及其与其它种群之间都要进行相互作用相互影响。
3基于量子遗传算法的协同进化检测器生成算法设计思路
算法的基本思想:首先对随机生成的种群进行种群分割,将种群分成若干个子种群。利用空间形态学的原理,根据种群中各个自体间的距离来判断它们是否属于一个分割,各个子群之间互相协作,以确保整个系统的适应度不断提高;用量子遗传算法对单个子群进行进化。量子遗传算法优化检测器的入侵检测模型如图1所示。图1量子遗传算法优化检测器的入侵检测模型
(1)种群的初始化策略
在量子遗传算法中种群初使化操作通常是这样进行的,各个体的量子位概率幅() 2,也就是说各个体的全部状态出现的概率相同。协同进化需要多个种群,因此必须增加种群的多样性,所以在初始化时我们将量子位概率空间平均分为N个,即体表N个子群,0、1极限概率为δ,用公式(1)来初始化第k个子种群,也就是将同子种群内的每个个体初始化为量子染色体,每个量子染色体的概率相同,不同子种群个体的状态以不同概率出现,以此来达到增加初始化个体多样性的目的。(2)量子门更新策略
采用进化方程的方式来调整量子门的旋转角大小和方向。这样做有两个好处:一是减少了参数的个数,同时算法的结构也得到了简化;另一个是利用进化方程的记忆的,可以利用个体自身的局部最优信息,邻域种群的最优信息,以及整个种群最优状态的信息,从而使旋转角θ能够得到更加合理的调整,还能够更好地跳出局部极值。进化方程可定义为:U=?
p -xi,其中k1,k2,k3,k4为影响因子,pi,pj是左右邻域种群极值,pm为个体所在种群极值,p为全局极值。
(3)具体实现步骤
Step1:将量子位概率空间平均分为N个,即体表N个子群,0、1极限概率为δ,用公式子种群,也就是将同子种群内的每个个体初始化为量子染色体,每个量子染色体的概率相同,不同子种群个体的状态以不同概率出现,以此增加初始化个体的多样性。
Step2:初始化步骤1中的每一个子群Qi( )
Step4:依次对Pi( ) t进行适应度评估;
Step6:保留步骤5中得到的N个最佳个体,如果此时得到了满意解,则算法终止,否则转入Step7;
Step7:采用(2)中定义的量子门U( )
Step8:以确定的概率进行量子变异;
Step9:对于每个新的子代Qi() t+1,算法转至Step4继续进行。
4结论
检测器集的好坏决定了入侵检测系统的性能,因而检测器集的生成算法是入侵检测系统开发中最核心的部分。该文引入量子遗传算法来实现检测器的优化过程,设计了基于遗传算法的检测器生成算法。该算法通过模拟自然界协同进化机制,把需要进化的种群划分为多个子种群,各个种群采用量子遗传算法进行优化,使整个入侵检测系统具有良好的自适应性和多样性。在接下来的研究中,将重点研究侵检测器中各参数的影响程度的问题,以提高入侵检测系统的自适应性和有效性,进一步提高入侵检测的准确率。
参考文献
[1]卿斯汉,蒋建春,马恒太,等.入侵检测技术研究综述[J].通信学报,2004(7):19-29.
[2]林果园,黄皓,张永平.入侵检测系统研究进展[J].计算机科学,2008,35(2):69-74.
[3]葛丽娜,钟诚.基于人工免疫入侵检测检测器生成算法[J].计算机工程与应用,2005(23):150-152.
[4]杨东勇,陈晋因.基于多种群遗传算法的检测器生成算法研究[J].自动化学报,2009,35(4):425-432.
[5]罗文坚,曹先彬,王煦法.检测器自适应生成算法研究[J].自动化学报,2005,35(6):907-916.
[6]赵丽,李智勇.求解入侵检测问题的量子免疫算法[J].计算机工程与应用,2011,47(11).