⊕ 网站首页 ⊕注册会员 ⊕ 本站免费电影 ⊕ 留言板 ⊕ 繁體中文
酷盘网络U盘新年大升级网络应用最炫手机推荐4G网络安致新宠 HTC EV0网络购物请提防十大“黑网络引领生活减法 80后选网络速度变慢的常见23种机遇与洗牌 网络视频行业网络传情新玩法Lava-lav试用网络相册拍拍乐的全网络通话平台—群英会20
传统入侵检测的不足 随着Internet的不断发展,网络安全已经逐渐成为人们越来越关心的问题,而入侵检测系统是继防火墙之后逐渐兴起的防护手段之一,也越来越受广大学者和工程人员的重视。 传统的入侵检测方法分为两种:基于误用检测(misused-based)方法和基于异常检测(anomaly-based)方法。前者需要攻击样本,通过描述每一种攻击的特殊模式来检测。该方法的查准率很高,并且可提供详细的攻击类型和说明,是目前入侵检测商业产品中使用的主要方法。然而经过长时间的研究和应用,该方法也暴露出一定的弱点,由于基于特征的入侵检测系统是依靠人为的预先设定报警规则来实现,所以在面对不断变化的网络攻击时有其本身固有的缺陷,比如,利用这种方法时需要维护一个昂贵的攻击模式库、只能检测已知的攻击等。另一方面,攻击者可以通过修改自己的攻击特征模式来隐藏自己的行为,而且有些攻击方法根本没有特定的攻击模式。异常检测方法主要针对解决误用检测方法所面临的问题。因而本文主要探讨的是基于网络流量异常的入侵检测方法。 基于流量异常的检测方法有很多,较常用的有基于域值的检测方法,基于统计的检测方法,基于小波的检测方法,基于马尔可夫等随机过程模型的方法和一些基于机器学习、数据挖掘和神经网络等检测方法,但是这些方法主要存在以下问题。 (1)报警意义不明确:由于上述入侵检测方法只检测了网络流量中的一种或几种特征向量,而且选取的特征向量没有特定的攻击含义,因而检测系统报警时只知网络中某些特征向量出现了异常,但是不能判断出现了什么样的攻击。 (2)由于Internet是没有集中管理的多个管理域的互联网络,但是入侵检测要求各个检测系统之间是协同运行的,因而作为协同运行的主要内容的共享数据的提供就显得非常重要。 (3)可扩展性较差:由于现有的异常检测系统大多采用一种或几种单一的网络特征向量作为学习和判断的依据,对网络流量的异常描述较为单薄;其次在入侵检测系统协同运行中网络特征向量选取得较少就可能会影响检测系统的可扩展性。 基于会话的保存状态信息的异常检测方法由于现有网络流量的不断变大将逐步受到限制。因而在DARPA1998年总结出的判断每一个正常与异常TCP/IP连接的41个特征向量的实时使用就变得越来越难以实现。 针对以上问题本文提出了一种较为通用的基于网络流量模型的异常检测方法。该方法采用无状态保留的方式,采用基本特征向量来描述网络流量实时的运行状态,并且利用基于攻击特点的流量特征组合使报警的意义更加明确。同时鉴于流量基本特征数据的大小以及安全性等特点,也为各个管理域之间的异常检测信息的交流提供了一个较为通用的平台。该基于网络流量的异常检测方法已经实际运用在清华大学校园网出口监测点上,取得了比较显著的检测结果。
【责任编辑 王凡】
| 设为首页 | 加入收藏 | 联系站长 | 友情链接 | 版权申明 | 网站公告 | 管理登录 |
Copyright © 2007 - 2009 chenpeng123.com All Rights Reserved 本站所有文章,软件等均来自网络收集,不代表本站观点,仅供学习和研究使用。如有侵犯您的版权,请联系我们,本站将立即删除。 鲁ICP备07014697号 你是本站第 位访客