入侵检测技术原理研究论文 第3页
顿宁的模型假设：入侵行为明显的区别于正常的活动，入侵者使用系统的模式不同于正常用户的使用模式，通过监控系统的跟踪记录，可以识别入侵者异常使用系统的模式，从而检测技术出入侵者违反系统安全性的情况。论文中的一些提法看起来很吸引人，但却并没有多少有力的证据，有些想当然。
　　 顿宁的模型中有6个主要构件：主体、对象、审计数据、轮廓特征（或可称为“范型”profiles）、异常记录和行为规则。范型（profiles）表示主体的行为特色，也是模型检测技术方面的关键。行为规则描述系统验证一定条件后抽取的行为，他们能“……更新范型，检测技术异常行为，能把异常和可能的入侵关联起来并提出报告”。审计纪录由一个行为触发，而且记录主体尝试的行为、行为本身、行动对准的目标、任何可能导致例外的情况以及行为消耗的资源和独特的时间戳标记。审计记录会和范型进行比较（使用适当的规则），那些符合异常条件的事件将被识别出来。这个模型独立于特定的系统平台、应用环境、系统弱点以及入侵的类型，也不需要额外的关于安全机制、系统脆弱性或漏洞攻击方面的知识，他为构建入侵监测系统提供了一个通用的框架。
1.2.2中期：统计学理论和专家系统相结合
　　80年代末，一些其他值得注意的系统开发出来，大部分走的是将统计学理论和专家系统结合在一起的路子。有几个系统，特别是在Haystack和NADIR中，分析引擎把几个商业数据库管理系统（比如Oracle，Sybase）聚合在一起，发挥他们各自的优势。
　　MIDAS由美国国家安全局下属的计算机安全中心开发，用来监控他的Multics系统——Dock master。他使用混合的专家系统和统计学分析方法，以及来自Multics应答系统（Answering System）的已检查的审计日志信息，应答系统控制用户的注册（注册信息由其他数据源扩充）。MIDAS是最早基于连接互联网的系统开发的产品之一。
　　Wisdom和Sense，分别由Los Alamos和OakRidge开发，是另一个专家系统和统计学分析方法的混合。他使用非参量的统计技术从历史审计数据中产生规则。就像很多其他机器学习方法一样，他也遇到了很多问题，包括获取训练数据的困难、高的误报率和规则库对存储能力的过高需求。
　　直到那时，IDS系统仍旧依靠受保护主机收集的审计数据，但加州大学戴维斯分校开发的网络系统监控器——NSM（The Network System Monitor）改变了这个状况。NSM在入侵检测技术技术发展史上是继IDES之后的又一个里程碑，他监控以太网段上的网络流量，并把他作为分析的主要数据源。从当时的检测技术报告上可以看到，NSM检测技术了超过100 000的网络连接，并从中识别出超过300个入侵。今天，大部分商业IDS系统直接使用从网络探测的数据作为他们主要，甚至是惟一的数据源。
1.2.3基于网络的NIDS是目前的主流技术
1994年，Mark Crosbie和Gene Spafford建议使用自治代理（Autonomous Agents）以便提高IDS的可伸缩性、可维护性、效率和容错性，这个思想跟上了计算机科学中其他领域的研究的潮流，比如说软件代理。另一个解决当时多数入侵检测技术系统伸缩性不足的研究成果是1996年提出的GRIDS(Graph-based Intrusion Detection System）系统，该系统对大规模自动或协同攻击的检测技术很有效，这种跨越多个管理区域的自动协同攻击显然是入侵行为发展的方向。
　　1997年，CISCO要求WheelGroup公司将入侵检测技术与他的路由器结合。同年，ISS成功开发了RealSecure，他是在Windows NT下运行的分布式网络入侵检测技术系统，被人们广泛使用。1996年的第一次开发是传统的基于探测器的NIDS（网络入侵检测技术系统，监视整个网络段），在Windows和Solaris 2．6上运行。1998年后期，RealSecure发展成为一个混合式的入侵检测技术系统。他对入侵行为具有广泛的反应能力包括断开连接、发送SNMP信息、Email提醒、运行客户程序记录会话内容等，并能根据检测技术自动产生审计策略。
　　NIDS系统由安全控制中心和多个探测器组成。安全控制中心完成整个分布式安全监测预警系统的管理与配置。探测器负责监测其所在网段上的数据流，进行实时自动攻击识别和响应。
　　近年来的技术创新还有：Forrest将免疫原理运用到分布式入侵检测技术中；1998年Ross Anderson和AbidaKhattk将信息检索技术引入这个领域。
1.3 本课题研究的途径与意义
聚类是模式识别研究中非常有用的一类技术。用聚类算法的异常检测技术就是一种无监督的异常检测技术技术，这种方法可以在未标记的数据上进行，它将相似的数据划分到同一个聚类中，而将不相似的数据划分到不同的聚类，并为这些聚类加以标记表明它们是正常还是异常，然后将网络数据划分到各个聚类中，根据聚类的标记来判断网络数据是否异常。
本课题是网络入侵检测技术的研究，主要介绍模式识别技术中两种聚类算法，K-means算法和迭代最优化算法，并阐述此算法在入侵检测技术技术中的应用原理，接着分析这两种算法具体应用时带来的利弊，最后针对算法的优缺点提出自己改进的算法，并对此算法进行分析，可以说这种算法是有监督和无监督方法的结合，是K-means算法和迭代最优化算法的折中，是一种较理想的算法。
通过研究本课题，可以了解入侵检测技术技术的发展历程，及国内外研究水平的差距，熟悉各种入侵检测技术原理方法的异同，以便今后对某种检测技术方法作进一步的改进时能够迅速切入要点；在对入侵检测技术技术研究的同时，认真学习了模式识别这门课程，这是一门交叉学科，模式识别已经在卫星航空图片解释、工业产品检测技术、字符识别、语音识别、指纹识别、医学图像分析等许多方面得到了成功的应用，但所有这些应用都是和问题的性质密不可分的，学习过程中接触了许多新理论和新方法，其中包括数据挖掘，统计学理论和支持向量

上一页  [1] [2] [3] [4] [5] [6] [7] [8] [9] [10]  ... 下一页  >>