導語:在入侵檢測論文的撰寫旅程中���,學習并吸收他人佳作的精髓是一條寶貴的路徑���,好期刊匯集了九篇優秀范文���,愿這些內容能夠啟發您的創作靈感���,引領您探索更多的創作可能��。
第1篇
關鍵字:入侵檢測;協議分析;模式匹配;智能關聯a
1引言
入侵檢測技術是繼“防火墻”���、“數據加密”等傳統安全保護措施后新一代的安全保障技術,它對計算機和
網絡資源上的惡意使用行為進行識別和響應,不僅檢測來自外部的入侵行為,同時也監督內部用戶的未授權活動����。但是隨著網絡入侵技術的發展和變化以及網絡運用的不斷深入,現有入侵檢測系統暴露出了諸多的問題���。特別是由于網絡流量增加��、新安全漏洞未更新規則庫和特殊隧道及后門等原因造成的漏報問題和IDS攻擊以及網絡數據特征匹配的不合理特性等原因造成的誤報問題,導致IDS對攻擊行為反應遲緩,增加安全管理人員的工作負擔,嚴重影響了IDS發揮實際的作用���。
本文針對現有入侵監測系統誤報率和漏報率較高的問題,對幾種降低IDS誤報率和漏報率的方法進行研究���。通過將這幾種方法相互結合,能有效提高入侵檢測系統的運行效率并能大大簡化安全管理員的工作,從而保證網絡
安全的運行���。
2入侵檢測系統
入侵是對信息系統的非授權訪問及(或)未經許可在信息系統中進行操作,威脅計算機或網絡的安全機制(包括機密性���、完整性��、可用性)的行為。入侵可能是來自外界對攻擊者對系統的非法訪問,也可能是系統的授權用戶對未授權的內容進行非法訪問,入侵檢測就是對企圖入侵�、正在進行的入侵或已經發生的入侵進行識別的過程。入侵檢測系統IDS(IntrusionDetectionSystem)是從多種計算機系統機及網絡中收集信息,再通過這些信息分析入侵特征的網絡安全系統�。
現在的IDS產品使用的檢測方法主要是誤用檢測和異常檢測�����。誤用檢測是對不正常的行為進行建模,這些行為就是以前記錄下來的確認了的誤用或攻擊。目前誤用檢測的方法主要是模式匹配,即將每一個已知的攻擊事件定義為一個獨立的特征,這樣對入侵行為的檢測就成為對特征的匹配搜索,如果和已知的入侵特征匹配,就認為是攻擊�����。異常檢測是對正常的行為建模,所有不符合這個模型的事件就被懷疑為攻擊?���,F在異常檢測的主要方法是統計模型,它通過設置極限閾值等方法,將檢測數據與已有的正常行為比較,如果超出極限閾值,就認為是入侵行為。
入侵檢測性能的關鍵參數包括:(1)誤報:實際無害的事件卻被IDS檢測為攻擊事件��。(2)漏報:攻擊事件未被IDS檢測到或被分析人員認為是無害的�。
3降低IDS誤報率方法研究
3.1智能關聯
智能關聯是將企業相關系統的信息(如主機特征信息)與網絡IDS檢測結構相融合,從而減少誤報�。如系統的脆弱性信息需要包括特定的操作系統(OS)以及主機上運行的服務�����。當IDS使用智能關聯時,它可以參考目標主機上存在的�����、與脆弱性相關的所有告警信息���。如果目標主機不存在某個攻擊可以利用的漏洞,IDS將抑制告警的產生��。
智能關聯包括主動和被動關聯���。主動關聯是通過掃描確定主機漏洞;被動關聯是借助操作系統的指紋識別技術,即通過分析IP��、TCP報頭信息識別主機上的操作系統��。
3.1.1被動指紋識別技術的工作原理
被動指紋識別技術的實質是匹配分析法。匹配雙方一個是來自源主機數據流中的TCP、IP報頭信息,另一個是特征數據庫中的目標主機信息,通過將兩者做匹配來識別源主機發送的數據流中是否含有惡意信息���。通常比較的報頭信息包括窗口(WINDOWSIZE)、數據報存活期(TTL)、DF(dontfragment)標志以及數據報長(Totallength)�。
窗口大小(wsize)指輸入數據緩沖區大小,它在TCP會話的初始階段由OS設定��。數據報存活期指數據報在被丟棄前經過的跳數(hop);不同的TTL值可以代表不同的操作系統(OS),TTL=64,OS=UNIX;TTL=12,OS=Windows��。DF字段通常設為默認值,而OpenBSD不對它進行設置。數據報長是IP報頭和負載(Payload)長度之和����。在SYN和SYNACK數據報中,不同的數據報長代表不同的操作系統,60代表Linux���、44代表Solaris�、48代表Windows2000。
IDS將上述參數合理組合作為主機特征庫中的特征(稱為指紋)來識別不同的操作系統����。如TTL=64,初步判斷OS=Linux/OpenBSD;如果再給定wsize的值就可以區分是Linux還是OpenBSD����。因此,(TTL,wsize)就可以作為特征庫中的一個特征信息��。3.1.2被動指紋識別技術工作流程
具有指紋識別技術的IDS系統通過收集目標主機信息,判斷主機是否易受到針對某種漏洞的攻擊,從而降低誤報率��。
因此當IDS檢測到攻擊數據包時,首先查看主機信息表,判斷目標主機是否存在該攻擊可利用的漏洞;如果不存在該漏洞,IDS將抑制告警的產生,但要記錄關于該漏洞的告警信息作為追究法律責任的依據。這種做法能夠使安全管理員專心處理由于系統漏洞產生的告警。
3.2告警泛濫抑制
IDS產品使用告警泛濫抑制技術可以降低誤報率。在利用漏洞的攻擊勢頭逐漸變強之時,IDS短時間內會產生大量的告警信息;而IDS傳感器卻要對同一攻擊重復記錄,尤其是蠕蟲在網絡中自我繁殖的過程中,這種現象最為重要�。
所謂“告警泛濫”是指短時間內產生的關于同一攻擊的告警�����。IDS可根據用戶需求減少或抑制短時間內同一傳感器針對某個流量產生的重復告警。這樣����。網管人員可以專注于公司網絡的安全狀況,不至于為泛濫的告警信息大傷腦筋����。告警泛濫抑制技術是將一些規則或參數(包括警告類型�、源IP��、目的IP以及時間窗大小)融入到IDS傳感器中,使傳感器能夠識別告警飽和現象并實施抵制操作���。有了這種技術,傳感器可以在告警前對警報進行預處理,抑制重復告警����。例如,可以對傳感器進行適當配置,使它忽略在30秒內產生的針對同一主機的告警信息;IDS在抑制告警的同時可以記錄這些重復警告用于事后的統計分析����。
3.3告警融合
該技術是將不同傳感器產生的��、具有相關性的低級別告警融合成更高級別的警告信息,這有助于解決誤報和漏報問題��。當與低級別警告有關的條件或規則滿足時,安全管理員在IDS上定義的元告警相關性規則就會促使高級別警告產生���。如掃描主機事件,如果單獨考慮每次掃描,可能認為每次掃描都是獨立的事件,而且對系統的影響可以忽略不計;但是,如果把在短時間內產生的一系列事件整合考慮,會有不同的結論。IDS在10min內檢測到來自于同一IP的掃描事件,而且掃描強度在不斷升級,安全管理人員可以認為是攻擊前的滲透操作,應該作為高級別告警對待。例子告訴我們告警融合技術可以發出早期攻擊警告,如果沒有這種技術,需要安全管理員來判斷一系列低級別告警是否是隨后更高級別攻擊的先兆;而通過設置元警告相關性規則,安全管理員可以把精力都集中在高級別警告的處理上。元警告相關性規則中定義參數包括時間窗�、事件數量��、事件類型IP地址���、端口號����、事件順序。
4降低IDS漏報率方法研究
4.1特征模式匹配方法分析
模式匹配是入侵檢測系統中常用的分析方法,許多入侵檢測系統如大家熟知的snort等都采用了模式匹配方法�。
單一的模式匹配方法使得IDS檢測慢����、不準確�、消耗系統資源,并存在以下嚴重問題:
(1)計算的負載過大,持續該運算法則所需的計算量極其巨大�。
(2)模式匹配特征搜索技術使用固定的特征模式來探測攻擊,只能探測明確的、唯一的攻擊特征,即便是基于最輕微變換的攻擊串都會被忽略����。
(3)一個基于模式匹配的IDS系統不能智能地判斷看似不同字符串/命令串的真實含義和最終效果��。在模式匹配系統中,每一個這樣的變化都要求攻擊特征數據庫增加一個特征記錄���。這種技術攻擊運算規則的內在缺陷使得所謂的龐大特征庫實際上是徒勞的,最后的結果往往是付出更高的計算負載,而導致更多的丟包率,也就產生遺漏更多攻擊的可能,特別是在高速網絡下,導致大量丟包,漏報率明顯增大��。
可見傳統的模式匹配方法已不能適應新的要求��。在網絡通信中,網絡協議定義了標準的��、層次化�����、格式化的網絡數據包�。在攻擊檢測中,利用這種層次性對網絡協議逐層分析,可以提高檢測效率��。因此,在數據分析時將協議分析方法和模式匹配方法結合使用,可以大幅度減少匹配算法的計算量,提高分析效率,得到更準確的檢測結果����。超級秘書網
4.2協議分析方法分析
在以網絡為主的入侵檢測系統中,由于把通過網絡獲得的數據包作為偵測的資料來源,所以數據包在網絡傳輸中必須遵循固定的協議才能在電腦之間相互溝通,因此能夠按照協議類別對規則集進行分類。協議分析的原理就是根據現有的協議模式,到固定的位置取值(而不式逐一的去比較),然后根據取得的值判斷其協議連同實施下一步分析動作���。其作用是非類似于郵局的郵件自動分撿設備,有效的提高了分析效率,同時還能夠避免單純模式匹配帶來的誤報��。
根據以上特點,能夠將協議分析算法用一棵協議分類樹來表示,如圖2所示����。這樣,當IDS進行模式匹配時,利用協議分析過濾許多規則,能夠節省大量的時間。在任何規則中關于TCP的規則最多,大約占了50%以上,因此在初步分類后,能夠按照端口進行第二次分類�。在兩次分類完成后,能夠快速比較特征庫中的規則,減少大量不必要的時間消耗��。如有必要,還可進行多次分類,盡量在規則樹上分叉,盡可能的縮減模式匹配的范圍。
每個分析機的數據結構中包含以下信息:協議名稱�����、協議代號以及該協議對應的攻擊檢測函數���。協議名稱是該協議的唯一標志,協議代號是為了提高分析速度用的編號。為了提高檢測的精確度,可以在樹中加入自定義的協議結點,以此來細化分析數據,例如在HTTP協議中可以把請求URL列入該樹中作為一個結點,再將URL中不同的方法作為子節點�����。
分析機的功能是分析某一特定協議的數據,得出是否具有攻擊的可能性存在。一般情況下,分析機盡可能的放到樹結構的葉子結點上或盡可能的靠近葉子結點,因為越靠近樹根部分的分析機,調用的次數越多�����。過多的分析機聚集在根部附近會嚴重影響系統的性能����。同時葉子結點上的協議類型劃分越細,分析機的效率越高。
因此,協議分析技術有檢測快、準確�����、資源消耗少的特點,它利用網絡協議的高度規則性快速探測攻擊的存在�����。
5結束語
本文對幾種降低IDS誤報率和漏報率的方法進行分析研究,通過將這幾種方法相互結合,能有效提高入侵檢測系統的運行效率并能大大簡化安全管理員的工作,從而保證網絡安全的運行����。由于方法論的問題,目前IDS的誤報和漏報是不可能徹底解決的。因此,IDS需要走強化安全管理功能的道路,需要強化對多種安全信息的收集功能,需要提高IDS的智能化分析和報告能力,并需要與多種安全產品形成配合��。只有這樣,IDS才能成為網絡安全的重要基礎設施��。
參考文獻:
[1]張杰,戴英俠.入侵檢測系統技術現狀及其發展趨勢[J].計算機與通信,2002(6):28-32.
[2]唐洪英,付國瑜.入侵檢測的原理與方法[J].重慶工學院學報,2002(4):71-73.
[3]戴連英,連一峰,王航.系統安全與入侵檢測技術[M].北京:清華大學出版社,2002(3).
[4]鄭成興.網絡入侵防范的理論與實踐[M].北京:機械工業出版社,2006:48-56.
第2篇
關鍵詞:計算機網絡����,入侵,檢測技術���,方向
隨著網絡的技術的不斷發展�,互聯網的開放性也得到了長足的發展,這為網絡信息的共享和交互使用提供了很大方便,但同時也對信息的安全性提出了嚴峻的挑戰。近年來����,隨著網絡的普及與應用領域的逐漸擴展�,網絡安全與信息安全問題日漸突出。在網絡安全的實踐中,建立一個完全安全的系統是不現實的����。因此��,保證計算機系統�����、網絡系統以及整個信息基礎設施的安全已經成為刻不容緩的重要課題���。
入侵檢測技術(IDS)是近年來出現的新型網絡安全技術��,它是通過從計算機網絡系統中的若干關鍵點收集信息并對其進行分析,從中發現違反安全策略的行為和遭到攻擊的跡象����,并做出自動的響應。入侵檢測通過迅速地檢測入侵����,在可能造成系統損壞或數據丟失之前���,識別并驅除入侵者,使系統迅速恢復正常工作��,并且阻止入侵者進一步的行動���,它的應用擴展了系統管理員的安全管理能力,幫助計算機系統抵御攻擊�。因而��,研究入侵檢測方法和技術����,根據這些方法和技術建立相應的入侵檢測系統對保證網絡安全是非常必要的��。
一����、入侵檢測系統的分類
1.按照檢測類型劃分
(1)異常檢測類型:檢測與可接受行為之間的偏差�����,如果可以定義每項可接受的行為就應該是入侵���。首先總結正常操作應該具備的特征(用戶輪廓)�����,當用戶活動與正常行為有重大偏離時即被認為是入侵�����。這種檢測模型漏報率低,誤報率高�����。因為不需要對每種入侵行為進行定義�����,所以能有效檢測未知的入侵。
(2)誤用檢測類型:檢測與已知的不可接受行為之間的匹配程度�,如果可以定義所有的不可接受行為��,那么每種能夠與之匹配的行為都會引起警告�。收集非正常操作的行為特征,建立相關的特征庫,當監測的用戶或系統行為與庫中的記錄相匹配時�,系統就認為這種行為是入侵�。這種檢測模型誤報率����、漏報率高。對于已知的攻擊�����,它可以詳細�����、準確地報告出攻擊類型,但是對未知攻擊卻效果有限����,而且特征庫必須不斷更新�。
2.按照檢測對象劃分
(1)基于主機:系統分析的數據是計算機操作系統的時間日志����、應用程序的時間日志��、系統調用�����、端口調用和安全審計記錄。主機入侵檢測系統保護的一般是所在的主機系統��。是來實現的,是運行在目標主機上的小的可執行程序,它們與命令控制臺通信�����。
(2)基于網絡:系統分析的數據是網絡上的數據包。網絡型入侵檢測系統擔負著保護整個網段的任務��,基于網絡的入侵檢測系統由遍及網絡的傳感器組成,傳感器是一臺將以太網置于混雜模式的計算機,用于嗅探網絡上的數據包��。科技論文�。
(3)混合型:基于網絡和基于主機的入侵檢測系統都有不足之處���,會造成防御體系的不全面,綜合了基于網絡和基于主機的混合型入侵檢測系統����,既可以發現網絡中的攻擊信息,也可以從系統日志中發現異常情況����。
3.按照工作方式分類
(1)離線檢測:這是一種非實時工作的系統����,在時間發生后分析審計時間�����,從中檢查入侵事件。這類系統的成本低,可以分析大量事件,調查長期的情況����,有利于其它方法提供及時的保護�����。而且,很多侵入在完成之后都將審計事件刪除,使其無法審計�����。
(2)在線檢測:對網絡數據包或主機的審計事件進行實時分析���,可以快速反映,保護系統的安全����;但在系統規模比較大時,難以保證實時性���。
二�����、入侵檢測系統存在的主要問題
1.誤報
誤報是指被入侵檢測系統測出但其實是正常及合法使用受保護網絡和計算機的警報���。假警報不但令人討厭����,并且降低入侵檢測系統的效率。攻擊者可以而且往往是利用包結構偽造無威脅的�,“正常”假警報,以誘使收受人把入侵檢測系統關掉���。
沒有一個入侵檢測無敵于誤報�����,應用系統總會發生錯誤����,原因是:缺乏共享信息的標準機制和集中協調的機制��,不同的網絡及主機有小同的安全問題�����,不同的入侵檢測系統有各自的功能;缺乏揣摩數據在一段時間內行為的能力�����;缺乏有效跟蹤分析等�。
2.精巧及有組織的攻擊
攻擊可以來自四面八方����,特別是一群人組織策劃且攻擊者技術高超的攻擊,攻擊者花費很多時間準備,并發動全球性攻擊,要找出這樣復雜的攻擊是一件難事�。
3.入侵檢測系統的互動性能不高
在大型網絡中����,網絡的不同部分可能使用了多種入侵檢測系統����,甚至還有防火墻、漏洞掃描等其他類別的安全設備�����,這些入侵檢測系統之間以及IDS和其他安全組件之間如何交換信息�,共同協作來發現攻擊�����、做出相應并阻止攻擊是關系整個系統安全性的重要因素。
三��、入侵檢測系統發展的主要趨勢
目前除了完善常規的���、傳統的技術(模式識別和完整性檢測)外���,入侵檢測系統應重點加強與統計分析相關技術的研究�����。許多學者在研究新的檢測辦法,如采用自動的主動防御辦法��,將免疫學原理應用到入侵檢測的方法等��。其主要發展方向可以概括為以下幾個方面:
1.入侵檢測系統的標準化
就目前而言,入侵檢測系統還缺乏相應的標準�,不同的入侵檢測系統之間的數據交換和信息通信幾乎不可能����。目前,DARPA和IETF的入侵檢測工作組試圖對入侵檢測系統進行標準化工作����,分別制定了CIDF和IDMEF標準���,從體系結構、通信機制���、消息格式等各方面對入侵檢測系統規范化,但進展非常緩慢����,尚沒有被廣泛接受的標準出臺���。因而���,具有標準化接口的入侵檢測系統將是下一代入侵檢測系統的特征��。
2.分布式入侵檢測
分布式入侵檢測的第一層含義是針對分布式網絡攻擊的檢測方法���;第二層含義即使用分布式的方法來實現分布式的攻擊����,其中的關鍵技術為信息的協同處理與入侵攻擊的全局信息的提取。
3.應用層入侵檢測
許多入侵的語義只有在應用層才能理解,而目前的入侵檢測系統僅能檢測Web之類的通用協議�,不能處理如Lotus Notes數據庫系統等其他的應用系統��。許多基于客戶/服務器結構、中間件技術及對象技術的大型應用����,需要應用層的入侵檢測保護�����。科技論文��。
4.智能入侵檢測
目前���,入侵方法越來越多樣化與綜合化,盡管已經有智能體系����、神經網絡與遺傳算法應用在入侵檢測領域,但這些只是一些嘗試性的研究工作,需要對智能化的入侵檢測系統進一步研究�,以解決其自學習與自適應能力。
5.建立入侵檢測系統評價體系
設計通用的入侵檢測測試、評估辦法和平臺,實現對多種入侵檢測系統的檢測,已成為當前入侵檢測系統的另一重要研究與發展領域。評價入侵檢測系統可從檢測范圍、系統資源占用�����、自身的可靠性等方面進行��,評價指標有:能否保證自身的安全����、運行與維護系統的開銷����、報警準確率�、負載能力以及可支持的網絡類型�、支持的入侵特征數��、是否支持IP碎片重組、是否支持TCP流重組等���。
6.綜合性檢測系統
單一的技術很難構筑一道強有力的安全防線�����,這就需要和其他安全技術共同組成更完備的安全的保障系統,如結合防火墻、PKIX�����、安全電子交易SET等新的網絡安全與電子商務技術�����,提供完整的網絡安全保障體系�����?�?萍颊撐摹?/p>
四���、結語
入侵檢測作為一種積極主動地安全防護技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護,在網絡系統受到危害之前攔截和響應入侵。但是目前,入侵檢測技術主要停留在異常檢測和誤用檢測上�����,這兩種方法都還不完善,存在著這樣那樣的缺陷。網絡入侵技術不斷發展����,入侵行為表現出不確定性、復雜性、多樣性等特點�����;網絡應用的發展帶來了新的問題,如高速網絡其流量大���,基于網絡的檢測系統如何適應這種情況?基于主機審計數據這怎樣做到既減小數據量�,又能有效地檢測到入侵行為�����?入侵檢測技術己經成為當前網絡技術領域內的一個研究熱點,在未來的發展過程中�,將越來越多地與其他科學和技術進行交融匯合�����,如數據融合、人工智能以及網絡管理等等�����。隨著網絡信息技術的發展����,入侵檢測技術也在不斷地發展��,已經出現了很多新的方向�,如寬帶高速網絡的實時入侵檢測技術���、大規模分布式入侵檢測技術等����。
參考文獻:
[1]戴英俠,連一峰,王航.系統安全與入侵檢測[M].北京:清華大學出版社.2002.
[2]孫知信,徐紅霞.模糊技術在入侵檢測系統中的應用研究綜述[J].南京郵電大學學報.2006,(2).
[3]裴慶祺.模糊入侵檢測技術研究[M].西安:西安電子科技大學.2004.
[4]唐正軍.入侵檢測技術導輪[M].北京:機械工業出版社,2004.
第3篇
論文摘要: “計算機網絡技術”正在給高校網絡環境帶來一場深刻的變革�,入侵檢測方案將成為主流監控手段�。探討高校網絡環境下的入侵檢測方案已經成為網絡安全的防御工作的必然選擇����。提出基于高校網絡環境的入侵檢測方案的構思���,分析入侵檢測方案環境的發展,包括發展方向和關鍵技術����;給出基于入侵檢測方案的高校網絡環境實現的流程����。雖然還有待于實驗和檢測���,但基于高校網絡環境的入侵檢測方案的理念,相信能夠成為新的監控技術發展的亮點。
1 高校網絡環境的入侵檢測方案的問題
1.1 入侵檢測方案
隨著“計算機網絡技術”的高速發展����,網絡終端���、測試平臺���、監控系統等方面已經出現相對完善的發展。這些顯著的發展和技術,為高校網絡環境提供了獲取信息的便利性����,但不可否認的是,網絡安全已經成為不能不考慮的問題。入侵檢測方案正是利用利用網絡平臺���,通過網絡與遠程服務器交換�,將終端數據庫分布實現入侵檢測監控的辦法�����。
1.2 高校網絡環境現狀
當前���,高校網絡環境是虛擬網絡平臺����。在網絡開放環境下���,虛擬網絡平臺的入侵檢測方案既要允許高校主機數據庫對專用用戶的可用性,又要保證對非法用戶的篩選和防御�。其實�����,當前大多數高校網絡環境的入侵方案是專用用戶才能評價發現檢測的模式����。在數據庫環境下����,高校網絡環境的設計理念應盡量符合人的感知和認知過程�����,實現“用戶的高校網絡環境系統”�����。很多高校的網絡環境都是基于WEB的數據庫的轉換和數據交換監控�,數據庫相對簡單��,斷接相當頻繁�,入侵檢測的方式單一��,安全可靠性低。面對平臺和數據容量的增加,客觀上要求基于自動檢測�����,能夠對數據庫進行分析�、聚類、糾錯�、響應及時的遺傳算法的高效網絡���,才能處理訪問數據庫的繁雜,實現專用用戶交互��、完成網絡平臺多樣化數據的可擴展性。因此��,高校網絡環境情況影響著數據庫交換,更影響著入侵檢測方案實施和制定�,必須按照網絡平臺需求���,構建適應高校網絡平臺的入侵檢測方案。
1.3 高校網絡環境的入侵檢測方案的關鍵點
高校網絡環境的入侵檢測方案的關鍵點就是要充分利用高校網絡資源平臺�����,整合數據庫����、角色管理的安全模型、校園無縫隙監控、多方位反饋與應對系統等資源��,預測或實時處理高校網絡入侵時間的發生��。
2 高校網絡環境的入侵檢測方案思考
2.1 建立適合高校網絡環境的檢測系統平臺
在當前高校網絡環境下的入侵檢測,必須運用比較成熟“云計算技術”,實現檢測方案系統��。
云計算技術利用高速互聯網的傳輸能力���,將計算����、存儲、軟件��、服務等資源從分散的個人計算機或服務器移植到互聯網中集中管理的大規模高性能計算機、個人計算機、虛擬計算機中,從而使用戶像使用電力一樣使用這些資源��。云計算表述了一種新的計算模式:應用�����、數據和IT資源以服務的方式通過網絡提供給用戶使用。
從網絡平臺系統看,云計算也是一種基礎架構管理的方法論����,大量的計算資源組成IT資源池,用于動態創建高度虛擬化的資源提供用戶使用�。網絡平臺可將各種資源匯聚為“一個可動態分配的計算機系統資源池”��,軟件、硬件�����、數據�、信息服務等都可以在“云計算”這一平臺上租賃使用���。用戶無需了解底層系統的支撐架構���,不需要維護和購買相應的軟硬件,通過專用密鑰進入云計算平臺即可享用各種低成本的信息化服務。云計算能改變了原有的互聯網資源提供商需要獨立、分散建造機房����、運營系統、維護安全的困境,極大低降低了高校整體能源消耗,為高校提供了綠色、低碳、高效的IT基礎設施實施及檢測管理方案。 轉貼于
2.2 入侵檢測機制
高校網絡環境的入侵檢測體系結構在高校網絡環境的技術條件下�����,必須依據網絡NIDS模塊���,組建檢測管理平臺:主要有如下模塊組成:應用任務模塊(負責系統管理功能);入侵檢測與分析模塊�����;數據庫交換模塊(負責數據包嗅探、預處理過濾和固定字段模式匹配)�����。入侵檢測主要功能就是實現網絡環境下實時流量分析以及入侵檢測功能�。針對硬件邏輯和核心態軟件邏輯采用的高效檢測策略�����,利用入侵檢測模塊中,入侵檢測模型包括三個主要的流程:
第一步驟:高校網絡環境的入侵檢測體系的調度平臺����,從用戶請求隊列中取出優先級最高的用戶請求R�����。R首先讀取元數據庫,根據用戶請求的硬件資源判斷是否能被當前空閑的物理機資源滿足,如CPU頻率����、核心數、帶寬�、存儲、硬盤空間等���。如果能滿足�����,則直接轉向步驟2;如果不能滿足�,判斷是否可以通過平臺虛擬機遷移,釋放相關資源�;如果可以則在執行遷移步驟,轉步驟2�����;如果即使遷移也無法完成,則退出,并報告用戶資源無法完成請求。
第二步驟:如果資源請求可以滿足�,調度服務器從存儲結點中選擇與用戶請求對應的虛擬機模板T(對于新建立的虛擬機)或虛擬機鏡像I��。
第三步驟:調度服務器將I遷入對應的物理機���,并創建對應的虛擬機實例V。
如果平臺需要調整現有物理機上的虛擬機分布�,如何以最小的調整代價,實現資源的重新分配。對于部分平臺,由于遷移可能造成虛擬平臺的不穩定��;遷移的條件要求較高�,以確保最少的虛擬機受到影響為準����。
3 結論
高校網絡環境的入侵檢測方案的思考���,是適應高校檢測環境的發展要求�����,必須把握其發展方向和關鍵技術���;實現高校網絡環境入侵檢測方案��。在現代技術條件下高校網絡環境雖然技術存在的一些缺陷���,但入侵檢測方案成為主流監控手段的發展方向已經不可改變。我們相信���,基于高校網絡環境的入侵檢測方案的理念����,相信能夠成為新的監控技術發展的亮點���。
參考文獻
[1]申建剛��、夏國平��、邱鞏強���,基于云計算技術虛擬現實的施工設備布置系統�����,計算機集成制造系統���,2009.10.
[2]劉秀玲����、杜歡平�����、楊國杰����,分布式多交互虛擬場景渲染的協同控制,計算機工程與應用���,2009.29.
[3]李增國�,高校電子網絡虛擬實驗室系統之構建���,教育技術導刊�,2008.10.
第4篇
關鍵詞:計算機�����;數據庫�����;入侵檢測�;網絡安全
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-3044(2013)05-0959-02
計算機的發展給人們的生活、工作和學習提供了極大的便利,然而計算機網絡系統中存在的安全問題卻給人們帶來了一定的困擾�,因此改善計算機數據庫的安全機制�����、加強對信息基本設備的安全保護相當重要?���,F在很普遍的“防火墻”雖然具備一定的防護能力,然而還是扛不住各種各樣的干擾因素。因此��,想要強化計算機數據庫的安全性,還需從檢測技術和安全機制等方面入手��。使用戶能夠一邊使用計算機一邊抵抗安全入侵,這不僅能確保系統的安全�����,還能使數據的完整性不受損害�����。
1 計算機數據庫安全的重要性
計算機數據庫的安全分為兩種����,一種是設備安全,另一種是信息安全,其中信息安全主要是保護用戶的隱私����,以及保證其網絡信息的可用性,因此無論那種安全遭到破壞都將會對計算機數據庫造成巨大的威脅。當計算機遭到安全入侵時,首當其沖就是數據庫���,病毒和黑客是保證數據庫安全的兩大主要威脅,就近年來的數據顯示,全球每天會有兩萬多網頁遭到病毒和黑客的入侵����,這不僅給社會的經濟帶來了巨大的損失����,同時還給人們的生活�、工作與學習帶來了很多損害,因此��,保證計算機數據庫的安全性至關重要����。
2 計算機數據庫入侵檢測技術的界定
所謂的計算機數據庫入侵檢測技術就是通過對計算機訪問者進行身份�、信息����、資料等多方面的驗證來判斷訪問者是否合法��,一旦有非法分子強行進入或者出現異常狀況�����,入侵檢測技術就會做出相關回應,以保護計算機數據庫的安全��。我們所知的網絡陷阱其實就是計算機數據庫入侵檢測技術所設置的一種關卡�����,其工作原理就是通過網絡運行環境來檢測遭受非法入侵時所收集到的有關數據,進行深入分析后判定其行為是否合法�����,最后做出相關防御措施�����。
3 常用的計算機數據庫入侵檢測技術
3.1誤用檢測技術
感知節點功能單一化�,利用電池提供能量���,攜帶能量不足使這些感知節點的自我安保能力大大降低�。感知網絡多種多樣��,從道路導航到自動控制,從溫度測量到水文監控,不同類型的感知網絡傳輸的數據類型也不盡相同���,標準也無法統一�,因此���,要建立統一的安全保護體系并不容易���。傳統的認證是區分不同層次的,網絡層與業務層都只負責各自的身份鑒別,兩者是相對獨立的。物聯網中的很多設備都是區分用途和工作順序的��,需要業務層與網絡層捆綁在一起����,因此�,可以根據業務的提供方和業務的安全敏感程度來設計業務層與網絡層的安全聯系�����。誤用檢測技術的主要檢測對象是已知病毒、入侵活動和攻擊模式等等,工作原理是把一切網絡入侵活動或者異常行為假設成一種特征模式���,在已經把已知入侵活動建立好特征模式的基礎上���,將今后所發生的異常自行進行相應的匹配,即二者會自動找出相似的特點,如果二者的特征相匹配����,系統則會將之視為異常入侵行為,并采取相應的措施���。這種技術的檢測準確性相當高(主要在已知入侵特征方面)���,然而對未知入侵活動的檢測卻起不了作用����,尤其是對新的病毒以及攻擊體,因此�,系統中的數據需要時時更新�����。
3.2異常檢測技術
一般情況下,核心網絡的自我保護能力是相對可靠的����,但是由于物聯網中很多節點是以集群的方式存在�����,在信息輸送時常常會因數據發送量巨大而出現網絡擁堵現象�����,導致拒絕服務攻擊。此外����,現有通信網絡的安全架構大多是按照人的通信角度設計的�����,并不能很好地適用于機械通信���,那么這種網絡通信的安全機制可能會割裂物聯網中各設備之間的邏輯關系�����。異常檢測技術比誤用檢測技術的檢測準確性高��,而且檢測范圍更廣,異常檢測技術是以用戶平常的習慣行為為模型��,并建立到數據庫中�����,然后再將此與計算機用戶的操作行為進行對比����,在詳細分析用戶的操作活動后�,計算出用戶活動的異常狀態的數目�����,若偏差較大則說明計算機遭到了非法入侵�����。異常檢測技術不需要經驗�����,只要有大量的信息并且掌握它們之間的規律就能進行檢測��。除此之外,異常檢測技術還能檢測到未知類型的對象�����,不管是已識別的還是未識別的非法操作,都能將其實行監控�。相比于誤用檢測技術��,它不僅檢測效率高,操作起來也更加簡便�����。
4 計算機數據庫入侵檢測技術所存在的問題
4.1 計算機入侵檢測結果的準確率低��,誤報漏報率高
數據庫信息分為企業信息和個人信息���,信息的安全是否有保證是信息所有者最為關心的���,因此計算機入侵檢測技術的研發人員在研發過程中對某些關鍵點設置是非??量痰?�,生怕造成一絲錯誤��。然而這樣的情況下往往會吸引大量外部病毒,使得檢測結果的準確率大大降低�,同時���,為了提高準確率而采取的某些措施又會對數據庫產生一定的負面作用���。
4.2 計算機入侵檢測的效率不高
不管是數據入侵還是反入侵,想要有效運行就一定要進行大量的二進制數據運算����,龐大的計算量不僅浪費時間�����,還會加大檢測的成本��,再加上異常檢測技術也會增加計算代價,因此造成入侵檢測的效率一直偏低,這顯然已經不適應當今網絡高速發展的社會環境�。
4.3 計算機入侵檢測技術沒有足夠的自我預防能力
計算機入侵檢測技術自身存在一些缺陷��,再加上設計人員的專業知識有限�,造成計算機入侵檢測技術的自我防御能力低下����。當入侵檢測技術受到某些病毒或者非法行為攻擊時��,它無法將它們進行有效的檢測。時間久了,數據庫的安全就會遭到威脅����。
4.4 計算機入侵檢測技術的可擴展性差
這是入侵檢測技術中是該重視的問題,因為檢測技術沒有自動更新的特點,無法判別新的病毒與異常行為,導致病毒蔓延���,數據庫的安全防線被破壞。
5 加強計算機入侵檢測技術
加強計算機入侵檢測技術的方法有很多���,如減少入侵檢測的計算量����、建立數據庫知識標準��、創建新型的系統模型等等���。這里簡單講述一下可以減少入侵檢測計算量的優化Apriori算法,優化Apriori算法是一種在Apriori算法進行進一步改進的一種算法�,這種算法中的剪枝候選集功能是減少計算量主要工具�,并且以基于兩階段頻集思想的遞推算法為核心,它在各個領域都有較廣泛的使用�����。
總而言之,該文主要提出了關于計算機數據庫入侵檢測技術的幾點思考�����,首先簡單介紹了保護數據庫安全的重要性以及什么是計算機數據庫入侵檢測技術��,然后提出了兩種常用的檢測技術,并重點探討了現如今入侵檢測技術存在的幾點問題��,最后介紹了幾種加強計算機入侵檢測技術的方法����。計算機數據庫入侵檢測技術在保護計算機信息安全方面有著舉足輕重的作用,因此提高該技術是創建一個安全可靠的網絡環境的關鍵�����。
參考文獻:
[1] 蘭世龍,譚艷���,羅緋����,童玲����,孟剛.“軍衛一號”數據庫的網絡安全監控研究[J].醫療衛生裝備,2009(2).
[2] 石燕京����,劉瑞榮�,吳春珍���,安德海.數據庫在網絡安全管理中的應用[A].第11屆全國計算機在現代科學技術領域應用學術會議論文集��,2003.
第5篇
【關鍵詞】入侵檢測 數據挖掘 異常檢測 誤用檢測 分類算法
用于加強網絡安全的手段目前有很多����,如加密����,vpn ���,防火墻等�,但這些技術都是靜態的�����,不能夠很好的實施有效的防護�����。而入侵檢測(intrusion detection)技術是一種動態的防護策略�,它能夠對網絡安全實施監控�、攻擊與反攻擊等動態保護���,在一定程度上彌補了傳統靜態策略的不足����。
一��、入侵檢測中數據挖掘技術的引入
(一)入侵檢測技術介紹
入侵檢測技術是對(網絡)系統的運行狀態進行監視,發現各種攻擊企圖、攻擊行為或者攻擊結果�,以保證系統資源的機密性���、完整性與可用性���。
根據數據分析方法(也就是檢測方法)的不同,我們可以將入侵檢測系統分為兩類:
1.誤用檢測(misuse detection)��。又稱為基于特征的檢測,它是根據已知的攻擊行為建立一個特征庫���,然后去匹配已發生的動作�,如果一致則表明它是一個入侵行為�����。
2.異常檢測(anomaly detection)。又稱為基于行為的檢測���,它是建立一個正常的特征庫����,根據使用者的行為或資源使用狀況來判斷是否入侵。
將這兩種分析方法結合起來���,可以獲得更好的性能�。異常檢測可以使系統檢測新的�、未知的攻擊或其他情況;誤用檢測通過防止耐心的攻擊者逐步改變行為模式使得異常檢測器將攻擊行為認為是合法的���,從而保護異常檢測的完整性。
(二)數據挖掘技術
數據挖掘通過預測未來趨勢及行為���,做出預測性的�����、基于知識的決策�。數據挖掘的目標是從數據庫中發現隱含的、有意義的知識,按其功能可分為以下幾類:
1.關聯分析�。關聯分析能尋找數據庫中大量數據的相關聯系,常用的2種技術為關聯規則和序列模式。關聯規則是發現一個事物與其他事物間的相互關聯性或相互依賴性���。
2.聚類�����。輸入的數據并無任何類型標記,聚類就是按一定的規則將數據劃分為合理的集合,即將對象分組為多個類或簇�,使得在同一個簇中的對象之間具有較高的相似度�,而在不同簇中的對象差別很大�。
3.自動預測趨勢和行為����。數據挖掘自動在大型數據庫中進行分類和預測�,尋找預測性信息,自動地提出描述重要數據類的模型或預測未來的數據趨勢。
4.概念描述��。對于數據庫中龐雜的數據����,人們期望以簡潔的描述形式來描述匯集的數據集。概念描述就是對某類對象的內涵進行描述并概括出這類對象的有關特征���。
5.偏差檢測。偏差包括很多潛在的知識�,如分類中的反常實例、不滿足規則的特例���、觀測結果與模型預測值的偏差、量值隨時間的變化等����。
二���、算法在入侵檢測中的具體使用
(一)基于誤用的檢測模型
·id3����、c4.5算法:id3算法是一種基本的決策樹生成算法��,該算法不包括規則剪除部分�����。c4.5算法作為id3算法的后繼版本���,就加入了規則剪除部分��,使用訓練樣本來估計每個規則的準確率�。也是分類模型的主要運用算法�。
對于已知的攻擊類型的檢測,分類模型具有較高的檢準率��,但是對于未知的�、新的攻擊�����,分類模型效果就不是很理想�����。這個是由誤用檢測本身的特點所決定的,誤用檢測誤報率低,但是它在對已知攻擊模式特征屬性構建和選取上往往要花費大量的精力��,這也是分類檢測的難點所在���。所以這種檢測模型只能有限的檢測已知的攻擊�,而要更好的檢測未知的攻擊,就要使用到異常檢測技術��,但是�,異常檢測卻比誤用檢測負責的多,因為對于系統正常使用模式的構建本身就是一件非常復雜的事情。
(二)基于異常的入侵模型
異常檢測的主要工作就是通過構造正?���;顒蛹希缓罄玫玫降囊唤M觀察數值的偏離程度來判斷用戶行為的變化,以此來覺得是否屬于入侵的一種檢測技術�。異常檢測的優點在于它具有檢測未知攻擊模式的能力�����,不論攻擊者采用什么樣的攻擊策略,異常檢測模型依然可以通過檢測它與已知模式集合之間的差異來判斷用戶的行為是否異常。
在異常檢測中主要用到的兩個算法就是模式比較和聚類算法:
1.模式比較。在模式比較算法
首先通過關聯規則和序列規則建立正常的行為模式�����,然后通過模式比較算法來區別正常行為和入侵行為�����。
(1)關聯規則��。它主要經過兩步過程:首先識別所有支持度不低于用戶規定的最小支持度域值的項目集�,即頻繁項目集;然后從得到的頻繁項目集中構造出可信度不低于用戶規定的最小可信度域值的規則?,F在已有多種關聯規則算法如apriori算法等用于入侵檢測�。
(2)序列分析。序列模式挖掘有幾個重要的參數��,如時間序列的持續時間�����,事件重疊窗口和被發現的模式中時間之間的時間間隔。還可以在要挖掘的序列模式上指定約束�,方法是提供“模式模板“�����,其形式可以是系列片段(serial episode)����,并行片段(parallel episode)���,或正則表達式。序列分析使用于發現分布式攻擊和插入噪聲的攻擊����。由于各種攻擊方法的規模的擴大和時間持久�����,序列分析變得越來越重要���。
2.聚類算法?��;诰垲惖娜肭謾z測是一種無監督的異常檢測算法�����,通過對未標識數據進行訓練來檢測入侵���。該方法不需要手工或其他的分類���,也不需要進行訓練���。因此呢功能發現新型的和未知的入侵類型。
三、結論
入侵檢測中數據挖掘技術方面的研究已經有很多�����,發表的論文也已經有好多,但是應用難點在于如何根據具體應用的要求,從用于安全的先驗知識出發,提取出可以有效反映系統特性的屬性�,并應用合適的算法進行數據挖掘�。另一技術難點在于如何將數據挖掘結果自動應用到實際ids中���。
入侵檢測采用的技術有多種類型����,其中基于數據挖掘技術的入侵檢測技術成為當前入侵檢測技術發展的一個熱點,但數據挖掘還處于發展時期,因此有必要對它進行更深入的研究���。
參考文獻:
[1]張銀奎����,廖麗,宋俊等.數據挖掘原理[m].北京:機械工業出版社,2003 : 93-105
第6篇
關鍵詞:數據挖掘 分類規則 算法
中圖分類號:TP393 文獻標識碼:A
一����、數據挖掘在市場營銷的應用
數據挖掘技術在企業市場營銷中得到了比較普遍的應用,它是以市場營銷學的市場細分原理為基礎�,其基本假定是“消費者過去的行為是其今后消費傾向的最好說明”。
通過收集�、加工和處理涉及消費者消費行為的大量信息�����,確定特定消費群體或個體的興趣、消費習慣����、消費傾向和消費需求�,進而推斷出相應消費群體或個體下一步的消費行為,然后以此為基礎��,對所識別出來的消費群體進行特定內容的定向營銷,這與傳統的不區分消費者對象特征的大規模營銷手段相比�����,大大節省了營銷成本����,提高了營銷效果,從而為企業帶來更多的利潤。
就目前而言�����,關聯規則挖掘技術已經被廣泛應用在西方金融行業企業中�����,它可以成功預測銀行客戶需求。各銀行在自己的ATM機上就捆綁了顧客可能感興趣的本行產品信息�����,供使用本行ATM機的用戶了解。如果數據庫中顯示,某個高信用限額的客戶更換了地址����,這個客戶很有可能新近購買了一棟更大的住宅,因此會有可能需要更高信用限額,更高端的新信用卡��,或者需要一個住房改善貸款�����,這些產品都可以通過信用卡賬單郵寄給客戶���。當客戶打電話咨詢的時候,數據庫可以有力地幫助電話銷售代表。銷售代表的電腦屏幕上可以顯示出客戶的特點,同時也可以顯示出顧客會對什么產品感興趣���。如考慮屬性之間的類別層次關系,時態關系�,多表挖掘等。近年來圍繞關聯規則的研究主要集中于兩個方面,即擴展經典關聯規則能夠解決問題的范圍����,改善經典關聯規則挖掘算法效率和規則興趣性。
二�、入侵檢測中數據挖掘技術的引入
入侵檢測技術是對(網絡)系統的運行狀態進行監視,發現各種攻擊企圖���、攻擊行為或者攻擊結果����,以保證系統資源的機密性���、完整性與可用性����。
根據數據分析方法(也就是檢測方法)的不同,我們可以將入侵檢測系統分為兩類:(1)誤用檢測(Misuse? Detection)�。又稱為基于特征的檢測,它是根據已知的攻擊行為建立一個特征庫,然后去匹配已發生的動作�,如果一致則表明它是一個入侵行為。(2)異常檢測(Anomaly Detection)。又稱為基于行為的檢測,它是建立一個正常的特征庫�����,根據使用者的行為或資源使用狀況來判斷是否入侵�。
將這兩種分析方法結合起來,可以獲得更好的性能�。異常檢測可以使系統檢測新的、未知的攻擊或其他情況�����;誤用檢測通過防止耐心的攻擊者逐步改變行為模式使得異常檢測器將攻擊行為認為是合法的��,從而保護異常檢測的完整性����。
三�、算法在入侵檢測中的具體使用
(一)基于誤用的檢測型。
首先從網絡或是主機上獲取原始二進制的數據文件���,再把這些數據進行處理�����,轉換成ASCII碼表示的數據分組形式���。再經過預處理模塊將這些網絡數據表示成連接記錄的形式,每個連接記錄都是由選定的特征屬性表示的�。再進行完上面的工作后��,對上述的由特征屬性組成的模式記錄進行處理���,總結出其中的統計特征��,包括在一時間段內與目標主機相同的連接記錄的次數�����、發生SYN錯誤的連接百分比����、目標端口相同的連接所占的百分比等等一系列的統計特征�。最后,就可以進行下面的檢測分析工作,利用分類算法�,比如RIPPER �����、C4.5等建立分類模型���。只有這樣才能建立一個實用性較強����、效果更好的分類模型����。
(二)基于異常的入侵模型����。
異常檢測的主要工作就是通過構造正常活動集合�,然后利用得到的一組觀察數值的偏離程度來判斷用戶行為的變化,以此來覺得是否屬于入侵的一種檢測技術。異常檢測的優點在于它具有檢測未知攻擊模式的能力�����,不論攻擊者采用什么樣的攻擊策略����,異常檢測模型依然可以通過檢測它與已知模式集合之間的差異來判斷用戶的行為是否異常�����。
在異常檢測中主要用到的兩個算法就是模式比較和聚類算法:(1)模式比較����。在模式比較算法中首先通過關聯規則和序列規則建立正常的行為模式�,然后通過模式比較算法來區別正常行為和入侵行為���。(2)聚類算法�����。聚類分析的基本思想主要源于入侵與正常模式上的不同及正常行為數目應遠大于入侵行為數目的條件�,因此能夠將數據集劃分為不同的類別����,由此分辨出正常和異常行為來檢測入侵。數據挖掘中常用的聚類算法有K-means���、模糊聚類��、遺傳聚類等��?;诰垲惖娜肭謾z測是一種無監督的異常檢測算法,通過對未標識數據進行訓練來檢測入侵���。該方法不需要手工或其他的分類��,也不需要進行訓練���。因此呢功能發現新型的和未知的入侵類型。
四���、結論
入侵檢測中數據挖掘技術方面的研究已經有很多�����,發表的論文也已經有好多��,但是應用難點在于如何根據具體應用的要求�,從用于安全的先驗知識出發����,提取出可以有效反映系統特性的屬性�����,并應用合適的算法進行數據挖掘。另一技術難點在于如何將數據挖掘結果自動應用到實際IDS中。
入侵檢測采用的技術有多種類型,其中基于數據挖掘技術的入侵檢測技術成為當前入侵檢測技術發展的一個熱點,但數據挖掘還處于發展時期����,因此有必要對它進行更深入的研究。
(作者單位:湖北工業大學 計算機學院)
參考文獻:
[1]. 范明���,孟小峰.數據挖掘――概念與技術.機械工業出版社�����,2001��。
第7篇
【 關鍵詞 】 Two Step Clustering;K-means;入侵檢測
【 中圖分類號 】 TP3 【 文獻標識碼 】 A
1 引言
K-means算法簡單��、快速�,當類與類之間區別明顯時,該算法聚類效果較好。但是K-means算法只有在類的平均值被定義的前提下才能使用��,算法隨機選擇初始聚類中心數目��,而且對初始聚類中心敏感�����,對于不同的初始值可能會導致不同的聚類結果,因此算法就容易陷入到局部最優解,不容易獲得最優的聚類劃分�����。
在實際應用中����,網絡入侵發生的隨機性較強,偶發事件也時有發生,所以事先難以定義K-means算法中類的平均值和類的數目。因此�,傳統K-means算法在實際入侵檢測應用中具有一定的局限性�����,本文提出基于TSC的K-means改進算法TSC-based K-means。
2 TSC-based K-means 算法
2.1 Two Step Clustering簡介
兩步聚類算法是Chiu等人于2001年在BIRCH(Balanced Iterative Reducing and Clustering using Hierarchies)算法基礎上提出的一種改進算法,該算法適合大型數據集的聚類研究���,能夠根據一定準則確定聚類數目,能夠診斷樣本中的離群點和噪聲數據,通過兩步事先聚類����。
TSC 算法在尋優的過程中��,能夠避免在局部最優解的震蕩迂回搜索。TSC算法對初值、參數選擇具有較好的健壯性,具有良好地克服局部最優解獲得全局最優解的能力�,但是TSC算法后期收斂速度較慢�。不過���,TSC卻適合用于為K-means尋找聚類數����,而K-means在獲得距離數后,確定初始聚類中心����,經過較少的迭代次數就能獲得最優的聚類劃分��。TSC-based K-means 算法結合了TSC算法和K-means算法的優點,既能克服K-means算法對初始聚類中心選擇敏感的問題�,又能解決TSC后期收斂速度較慢的問題�,因而能夠在相對較短的時間內獲得最優的聚類劃分��。
2.2 TSC-based K-means算法
TSC-based K-means算法描述如下,算法流程圖如圖1所示�����。
Step1:使用TSC獲取聚類數K
首先���,預聚類�。開始階段視所有數據為一個大類。讀入一個樣本數據后�����,根據“親疏程度”決定該樣本應該派生出一個新類��,還是應該合并到已有的某個子類中���。這個過程將反復進行�,最終形成K’個類�����?�?梢姡A聚類過程是聚類數目不斷增加的過程�����。然后��,聚類�,即在預聚類的基礎上�����,再根據“親疏程度”決定哪些子類可以合并,最終形成K類����。
Step2:確定K個初始類中心
類中心是各類特征的典型代表�����。確定聚類數目K后�����,使用K-means算法指定K個類的初始類中心點����。
Step3:根據最近原則進行聚類
依次計算每個數據點到K個類中心點的歐式距離�����,并按照距K個類中心點距離最近的原則,將所有樣本分派到最近的類中�,形成K個類���。
Step4:重新確定K個類中心
重新計算K個類的中心點��。中心點的確定原則:依次計算各類中所有數據點變量的均值,并以均值點作為K個類的中心點。
Step5:判讀是否已經滿足終止聚類的條件,如果沒有滿足則返回到第三步,不斷反復上述過程,直到滿足迭代終止條件。
3 TSC-based K-means在入侵檢測中的應用
3.1 入侵檢測模型
本文的入侵檢測模型由“數據預處理模塊”�、“聚類挖掘模塊”和“系統響應模塊”三部分組成���。通過局部聚類和基于TSC-based K-means的全局聚類��,對經過標準化處理后的數據進行聚類挖掘��,再將聚類結果輸入入侵檢測規格庫中,分析未知數據流檢測是否有入侵發生�,如有入侵則產生報警信息���,入侵檢測模型如圖2所示。
圖2中���,數據預處理模塊負責對采集到的原始數據流進行處理�����,提取能適合數據挖掘的數據。聚類挖掘模塊基于TSC-based K-means的流聚類算法通過TSC快速尋找聚類數��,K-means在獲得較好的初始聚類中心后�����,經過較少迭代次數獲得最優的聚類劃分����。產生聚類規則輸入入侵檢測模塊�����,實時更新入侵檢測規則庫����,所以本系統能夠不斷接收數據流對象實現實時的增量聚類���。
3.2 仿真實驗及結果分析
3.2.1數據源獲取
本文中的所有數據都是從實驗室中獲取的�����,實驗室的網絡是一個小型局域網��,此局域網是采用集線器星型以太網結構�,如圖3所示��。網絡監聽程序通常在工作站1上運行��。
實驗數據經過數據清洗與協議解析之后共有9702條記錄�����。攻擊類型有兩類�,分別是Assault和SYN Flooder���,其中正常特征數據包807條(classflag是Normal)���,抓獲Assault攻擊軟件所發的2742網絡特征數據包(classflag是Assault)��,抓獲SYN Flooder攻擊軟件所發的6153網絡特征數據包(classflag是SYN_Flooder)��。每條數據有8個特征屬性:rotocol�、 resource�����、 destination�、time�����、flag����、Iplen�、TTL和classflag(類標記)����。它們代表的含義分別為:協議�����、數據包的來源(包括源IP地址和源端口號)�����、數據包的目的地(包括目的IP地址和目的端口號)��、截獲數據包的時間��、TCP的狀態、數據包長度和數據包的生存周期����。
3.2.2實驗及結果分析
根據文中算法實現步驟���,在圖3環境下進行仿真實驗���,仿真實驗的結果如表1和表2所示���。實驗證明�,利用本文提出的算法用于入侵檢測系統中能取得較好的效果,針對Assault和SYN Flooder兩種攻擊類型進行三種算法比較,檢測率都有不同程度的提高,而誤警率也有不同程度的下降�����。
4 結束語
網絡入侵檢測技術是維護網絡安全的一種積極主動的防御手段�。本文對TSC算法和K-means算法進行了具體分析��,結合它們的優點提出了TSC-based K-means聚類算法����,該算法既能克服K-means算法對初始聚類中心選擇敏感的問題�����,又能解決TSC后期收斂速度較慢的問題����,能夠在相對較短的時間內獲得最優的聚類劃分��。理論分析和仿真結果表明�����,該算法提高了對攻擊的識別率和系統的整體性能。
參考文獻
[1] 傅濤�����,孫亞民.基于PSO的k-means算法及其在網絡入侵檢測中的應用[J].計算機科學�,2011��,38(5):54-73.
[2] 楊照峰��,樊愛宛�,樊愛京.改進的SOM和K-Means結合的入侵檢測方法[J].制作業自動化����,2010��,33(12):4-6.
[3] 薛薇�,陳歡歌.基于Clementine的數據挖掘[M].北京:中國人民大學出版社,2012:407-412.
[4] 李云��,劉學誠,朱峰.數據挖掘技術在入侵檢測中的應用[J].計算機應用與軟件�,2011�,28(5):117 - 119.
[5] 趙暉.基于聚類集成的網絡入侵檢測算法[J].科學技術與工程,2012,12(23):5797-5799.
[6] 楊云����,宓佳,黨宏社.嵌入式入侵檢測系統的設計與實現[J].計算機工程與設計,2011���,31(1):21-27.
[7] 梁飛,閆宏印.基于聚類分析的動態自適應入侵檢測模式研究[J].計算機工程與設計,2013���,34(3):814-820.
[8] 李巍,吳聰.基于聚類優化的無監督入侵檢測在高校網絡中的應用[J].科技通報,2013�����,29(6):95-97.
基金項目:
吉林省教育廳項目(2015343)����,吉林省吉林省高等教育學會項目(JGJX2015D118)。
第8篇
論文摘要:隨著當代信息技術的發展�����,互聯網的共享性�����、開放性以及互聯程度也在不斷擴大。internet的廣泛普及,商業數字貨幣�、網絡銀行等一部分網絡新業務的迅速興起�,使得計算機網絡的安全問題越來越顯得重要,通過歸納總結,提出網絡信息中的一些安全防護策略��。
1.引言
網絡環境的復雜性�����、多變性以及信息系統的脆弱性,決定了網絡安全威脅的客觀存在��。當前���,隨著計算機技術的飛速發展��,利用因特網高科技手段進行經濟商業犯罪的現象已經屢見不鮮了�,因此,如何采用更加安全的數據保護及加密技術�����,成為當前計算機工作者的研究熱點與重點����。網絡安全技術�����,尤其是網絡信息的安全,關系到網民、企業甚至是國家的信息安全���。因此,發展更加安全的網絡安全技術,是關系到社會經濟穩定繁榮發展的關鍵,成為當前計算機安全工作的重點。
2.網絡信息安全的風險來源
影響計算機網絡安全的因索很多,既有自然因素,也有人為因素,其中人為因素危害較大�,歸結起來豐要以下幾個方面:
(1)病毒感染
從“蠕蟲”病毒開始到cih����、愛蟲病毒�����,病毒一直是計算機系統安全最直接的威脅�����。病毒依靠網絡迅速傳播,它很容易地通過服務器以軟件下載�����、郵件接收等方式進入網絡��,竊取網絡信息���,造成很人的損失�。
(2)來自網絡外部的攻擊
這是指來自局域網外部的惡意攻擊,例如:有選擇地破壞網絡信息的有效性和完整性�����;偽裝為合法用戶進入網絡并占用大量資源;修改網絡數據����、竊取��、破譯機密信息、破壞軟件執行��;在中間站點攔截和讀取絕密信息等����。
(3)來自網絡內部的攻擊
在局域網內部���,一些非法用戶冒用合法用戶的口令以合法身份登陸網站后�����。竊取機密信息�����,破壞信息內容,造成應用系統無法運行�。
(4)系統的漏洞及“后門”
操作系統及網絡軟件不可能是百分之百的無缺陷��、無漏洞的����。編程人員有時會在軟件中留有漏洞���。一旦這個疏漏被不法分子所知�,就會借這個薄弱環節對整個網絡系統進行攻擊���,大部分的黑客入侵網絡事件就是由系統的“漏洞” 和“后門”所造成的���。
3.網絡信息安全的防護策略
現在網絡信息安全的防護措施必不可少���。從技術上來說��,計算機網絡安全主要由防病毒、入侵檢測等多個安全組件組成,就此對我們常用的幾項防護技術分別進行分析����。
3.1防火墻技術
防火墻(ifrewal1)是指設置在不同網絡或網絡安全域之間的系列部件的組合�����,它越來越多地應用于專用網絡與公用網絡的互聯環境之中���,尤其以接入internet網絡為甚����。不同網絡或網絡安拿域之間信息都會經過它的過濾�����,防火墻就會根據自身的安全政策控制(允許���、拒絕�、監測)出入網絡的信息流,而且它本身也具有較強的抗攻擊能力,不會被病毒控制�����。防火墻可以阻j網絡中的黑客來訪問你的機器���,防止他們篡改�����、拷貝、毀壞你的重要信息�����。它為網絡信息的安全提供了很好的服務�����,為我們更安全地使用網絡提供了很好的保障�����。
“防火墻”技術是指假設被保護網絡具有明確定義的邊界和服務而采取的一種安全保障技術���,它通過監測���、限制和更改通過“防火墻”的數據流����,一方面盡可能地對外部網絡屏蔽被保護網絡的信息�����、結構����,實現對內部網絡的保護,以防“人放火”��;另一方面對內屏蔽外部某些危險站點,防止“引火燒身”�。因而�,比較適合于相對獨立、與外部網絡互聯單一��、明確并且網絡服務種類相對集中的統一互聯網絡系統。防火墻可對網絡存取和訪問進行監控審計�����,如果所有的訪問都經過防火墻,那么�,防火墻就能記錄下這些訪問并做出日志記錄����,同時也能提供網絡使用情況的統計數據�����。
通過利用防火墻對內部網絡的劃分��,可實現內部網重點網段的隔離,從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響��。除了安全作用,有的防火墻還支持具有internet服務特性的企業內部網絡技術體系vpn��。vpn�,可以將分部在世界各地的lan或專用電子網有機地聯成一個整體���。這樣一方面省去了專用通信線路,也達到了信息共享的目的。
3.2數據加密技術
數據加密技術是網絡中最藎木的安傘技術,主要是通過對網絡傳輸的信息進行數據加密來保障其安全性����。加密是對網絡上傳輸數據的訪問權加強限制的一種技術�����。原始數據(也稱為明文,plaintext)被加密設備(硬件或軟件)和密鑰加密而產生的經過編碼的數據稱為密文(ciphertext)。解密是加密的反向處理���,是將密文還原為原始明文,但解秘者必須利用相同類型的加密設備和密鑰,才能對密文進行解密�。
3.3入侵檢測技術
入侵檢測系統(intrusiondetectionsystem��,ids)是從多種計算機系統及網絡系統中收集信息,再通過這些信息分析,對計算機和網絡資源的惡意使用行為進行識別的網絡信息安全系統��。入侵檢測系統具有多方面的功能:威懾�����、檢測���、響應��、損失情況評估、攻擊預測和起訴支持等。入侵檢測技術是為保證計算機信息系統安全而設計與配置的一種能夠及時發現并報告系統中朱授權或異?,F象的技術��,是一種用于檢測計算機網絡中違反安全策略行為的技術。
3.4病毒防護
可采用如下的方法或措施:
(1)合理設置殺毒軟什��,如果安裝的殺毒軟什具備掃描電郵件的功能,盡量將這些功能傘部打開;
(2)定期檢查敏感文件���;
(3)采取必要的病毒檢測和監控措施;
(4)對新購的硬盤�����、軟盤����、軟件等資源�,使用前應先用病毒測試軟件檢查已知病毒,硬盤可以使用低級格式化(dos中的format格式化可以去抻軟盤中的病毒,但不能清除硬盤引導的病毒);
(5)慎重對待郵件附件,如果收到郵件中有可執行文件(如.exe��、.com等)或者帶有“宏”的文殺一遍��,確認沒有病毒后再打開�;
(6)及時升級郵件程序和操作系統��,以修補所有已知的安全漏洞�。
3.5身份認證技術
身份認證(authentication)是系統核查用戶身份證明的過程�����,其實質是查明用戶是否具仃它所請求資源的存儲使用權�。身份識別(identificaiion)是指用戶向系統出示自己的身份證明的過程�����。這兩項上作通常被稱為身份認證�����。
身份認證至少應包括驗證協議和授權協議。網絡中的各種應用和計算機系統都需要通過身份認證來確認合法性,然后確定它的個人數據和特定權限����。對于身份認證系統來說�,合法用戶的身份是否易于被別人冒充足它最重要的技術指標���。用戶身份被冒充不儀可能損害用戶自身的利益����,也可能損害其他用戶的利益或整個系統�。因此,身份認證是授權控制的基礎���。只有有效的身份認證,才能保證訪問控制�����、安全審計��、入侵防范等安全機制的有效實施��。
安裝必要的安全軟件,殺毒軟件和防火墻這些都是必備的��,而且還要安裝并使用必要的防黑軟件����。我們一定要把這些安全防護措施及時應在電腦中,在上網時一定要打開它們���。最后要及時給系統打補丁,建議人家下載自己的操作系統對應的補丁程序���,這是我們網絡安全的恭礎。
第9篇
關鍵詞:入侵檢測器��;量子遺傳算法�;協同進化
中圖分類號:TP274文獻標識碼:A文章編號:1009-3044(2012)13-3199-03
Research on Generating Method of Detector in IDS
LI Lu-lu
(College of Computer Science and Engineering Institute, Yulin Normal College, Yulin 537000, China)
Abstract: The generation of intrusion detection device is the core o f the intrusion detection system, In place of com plex problem of optimizaion, quantum genetic algorithm has strong searching capabilities and the most optimal performance. In this paper a quantum genetic algorithm coevolution detector generation method is proposed. The population needing to evolve is divided to some child population by simulating nature cooperative coevolution mechanism, and each population using quantum genetic algorithm to optimize, making whole intrusion detection system has good adaptability and diversity.
Key words: intrusion detection device; quantum genetic algorithm; cooperative coevolution
1概述
隨著網絡和計算機技術的不斷發展,網絡安全性問題日益突出起來�����,入侵檢測系統是一種重要的安全防范技術����,已成為網絡安全的重要保障之一[1-2]。目前各種不同的攻擊方式不斷出現���,因此入侵檢測中的有關智能性研究逐漸成為入侵檢測系統研究領域中的一個重要方向�。而入侵檢測系統的主要部件是檢測器����,檢測器生成算法是生成有效檢測器的關鍵,是檢測異常變化的核心所在[3-4]�。檢測器的設計對入侵檢測系統的性能有著重要的影響�����,其從產生到成熟再到被丟棄,有自身固有的過程和生命周期����,可以利用遺傳算法來生成一個成熟檢測器集�,采用交叉�、變異等遺傳操作對其進行進化,使成熟檢測器群體向“非我”進化���。但隨著問題規模的不斷擴大和搜索空間的更加復雜,遺傳算法在實際應用中有一定的局限性��,不能表現出算法的優越性�����,出現迭代次數多����、收斂速度慢��、易陷入局部最優值和過早收斂等問題���。
量子遺傳算法結合了量子計算和遺傳算法的優點��,它將量子所具有的獨特計算能力和遺傳算法的全局尋優能力結合起來��,提升了算法的優化性能�����,比傳統遺傳算法具有更高的搜索效率[5]��。該文在現在有研究的基礎上提出一種檢測器生成方法,該算法通過對自然界中的協同進化機制進行模擬�����,首先將要進化的種群劃分為多個子種群,然后各個種群再分別利用量子遺傳算法進行優化,使整個入侵檢測系統具有良好的自適應性和多樣性。
2相關知識
量子遺傳算法本質上是種概率優化方法,其基本思想是基于量子計算原理���,用量子比特編碼來表示染色體��,充分利用量子態的疊加性和相干性���,以當前最優個體的信息為指導�,通過量子門來完成種群的更新操作�,以此來促進算法的收斂,從而來實現目標的最后優化求解。
2.1量子比特
通常在計算機中用二進制0和1來表示信息單元�,而在量子計算機中是用一個雙態量子系統即量子比特來表示信息單元��。量子比特作為信息單位�����,形式上表示為兩種基態|0>和|1>�,一般用|0>表示0��,用|1>表示1�。與經典比特不同,量子比特不僅可以處于兩種基態|0>和|1>����,而且還可以處在中間態����,也就是|0>和|1>的不同疊加態。因此,量子比特的狀態可用下式表示:
2.2量子染色體[6]
量子遺傳算法是采用量子比特的編碼方式�����,用一個復數對(α,β)表示一個量子比特�����。若一個量子染色體包含m個量子比特�,則由m個復數對組成���。這個染色體編碼形式如下:
2.3量子旋轉門
在量子遺傳算法中量子染色體一般是糾纏或疊加的�,所以可以用量子門來表示染色體的各個糾纏態或疊加態;父代群體不能決定子代個體的產生���,個體的產生是通過父代的最優個體以及它們狀態的概率幅決定的。用構造的量子門表示量子疊加態或糾纏態的基態�����,它們彼此干涉使相位發生改變�����,以此達到改變各個基態的概率幅的目的。因此���,如何構造合適的量子門是量子遺傳操作和量子遺傳算法亟待解決的關鍵問題���,量子門構造的是否合適會影響到遺傳算法的性能�。目前在量子遺傳算法中通常采用量子旋轉門U,U可表示為
���,θ為旋轉角��。
2.4量子變異[7]
通常情況下在遺傳算法中��,算法的局部搜索能力以及阻止未成熟染色體收斂這些操作都是通過變異作用實現的��,量子變異必須達到量子遺傳算法對變異操作的要求���,這里我們這樣定義量子比特的變異操作:
(1)從種群中以給定的概率pi隨機地選擇若干個體�;
(2)確定變異位���,以確定的概率對從(1)中選擇的個體隨機地確定變異位�;(3)對換操作��,對換選中位量子比特的概率幅���。
2.5協同進化算法[8]
進化算法的本質是優化���,是為了使物種在激烈的競爭中能夠具備生存的本領以致在競爭中能夠生存下來。在一般的遺傳算法中要么只涉及到個別群或個體的進化,要么只是涉及種群之間的競爭���,幾乎沒有顧及到個體與個體,種群與種群之間互惠寄生的協同關系����?�;谝陨显?����,提出了協同進化算法��。協同進化是生態系統中眾多進化方式中的一種�����,進化中種群要生存下來不僅要受自身因素的影響���,同時也受周圍同類或異類的相互影響�����,在這些因素的影響下能夠生存下來�。在進化的過程中種群的個體之間及其與其它種群之間都要進行相互作用相互影響。
3基于量子遺傳算法的協同進化檢測器生成算法設計思路
算法的基本思想:首先對隨機生成的種群進行種群分割,將種群分成若干個子種群����。利用空間形態學的原理�����,根據種群中各個自體間的距離來判斷它們是否屬于一個分割����,各個子群之間互相協作����,以確保整個系統的適應度不斷提高�����;用量子遺傳算法對單個子群進行進化。量子遺傳算法優化檢測器的入侵檢測模型如圖1所示��。圖1量子遺傳算法優化檢測器的入侵檢測模型
(1)種群的初始化策略
在量子遺傳算法中種群初使化操作通常是這樣進行的����,各個體的量子位概率幅() 2,也就是說各個體的全部狀態出現的概率相同�����。協同進化需要多個種群,因此必須增加種群的多樣性��,所以在初始化時我們將量子位概率空間平均分為N個�,即體表N個子群�����,0�、1極限概率為δ�����,用公式(1)來初始化第k個子種群�,也就是將同子種群內的每個個體初始化為量子染色體����,每個量子染色體的概率相同�,不同子種群個體的狀態以不同概率出現,以此來達到增加初始化個體多樣性的目的��。(2)量子門更新策略
采用進化方程的方式來調整量子門的旋轉角大小和方向�。這樣做有兩個好處:一是減少了參數的個數,同時算法的結構也得到了簡化�;另一個是利用進化方程的記憶的��,可以利用個體自身的局部最優信息,鄰域種群的最優信息�����,以及整個種群最優狀態的信息,從而使旋轉角θ能夠得到更加合理的調整�����,還能夠更好地跳出局部極值�����。進化方程可定義為:U=?
p -xi����,其中k1����,k2,k3�,k4為影響因子�����,pi,pj是左右鄰域種群極值,pm為個體所在種群極值,p為全局極值���。
(3)具體實現步驟
Step1:將量子位概率空間平均分為N個�,即體表N個子群�����,0�、1極限概率為δ,用公式子種群,也就是將同子種群內的每個個體初始化為量子染色體��,每個量子染色體的概率相同��,不同子種群個體的狀態以不同概率出現����,以此增加初始化個體的多樣性��。
Step2:初始化步驟1中的每一個子群Qi( )
Step4:依次對Pi( ) t進行適應度評估�;
Step6:保留步驟5中得到的N個最佳個體�,如果此時得到了滿意解��,則算法終止,否則轉入Step7�;
Step7:采用(2)中定義的量子門U( )
Step8:以確定的概率進行量子變異�����;
Step9:對于每個新的子代Qi() t+1,算法轉至Step4繼續進行。
4結論
檢測器集的好壞決定了入侵檢測系統的性能,因而檢測器集的生成算法是入侵檢測系統開發中最核心的部分。該文引入量子遺傳算法來實現檢測器的優化過程,設計了基于遺傳算法的檢測器生成算法。該算法通過模擬自然界協同進化機制�,把需要進化的種群劃分為多個子種群����,各個種群采用量子遺傳算法進行優化,使整個入侵檢測系統具有良好的自適應性和多樣性�。在接下來的研究中��,將重點研究侵檢測器中各參數的影響程度的問題,以提高入侵檢測系統的自適應性和有效性,進一步提高入侵檢測的準確率����。
參考文獻
[1]卿斯漢,蔣建春,馬恒太,等.入侵檢測技術研究綜述[J].通信學報,2004(7):19-29.
[2]林果園,黃皓,張永平.入侵檢測系統研究進展[J].計算機科學,2008,35(2):69-74.
[3]葛麗娜,鐘誠.基于人工免疫入侵檢測檢測器生成算法[J].計算機工程與應用,2005(23):150-152.
[4]楊東勇,陳晉因.基于多種群遺傳算法的檢測器生成算法研究[J].自動化學報,2009,35(4):425-432.
[5]羅文堅,曹先彬,王煦法.檢測器自適應生成算法研究[J].自動化學報,2005,35(6):907-916.
[6]趙麗,李智勇.求解入侵檢測問題的量子免疫算法[J].計算機工程與應用,2011,47(11).
