論神經(jīng)系統(tǒng)網(wǎng)絡(luò)在入侵檢測系統(tǒng)的應用

1、論神經(jīng)系統(tǒng)網(wǎng)絡(luò)在入侵檢測系統(tǒng)的應用摘要:隨著計算機技術(shù)的開展,傳統(tǒng)的技術(shù)手段已經(jīng)不能滿足日益變化的網(wǎng)絡(luò)平安需要了。而另一項技術(shù)入侵檢測技術(shù)那么有效的彌補了這些缺乏。因此,本文對此進展相關(guān)討論。關(guān)鍵詞:神經(jīng)網(wǎng)絡(luò)系統(tǒng)入侵檢測系統(tǒng)網(wǎng)絡(luò)平安入侵檢測作為一種主動防御技術(shù),彌補了傳統(tǒng)平安技術(shù)的缺乏。其主要通過監(jiān)控網(wǎng)絡(luò)與系統(tǒng)的狀態(tài)、用戶行為以及系統(tǒng)的使用情況,來檢測系統(tǒng)用戶的越權(quán)使用以及入侵者利用平安缺陷對系統(tǒng)進展入侵的企圖,并對入侵采取相應的措施。一、入侵檢測系統(tǒng)概述入侵檢測系統(tǒng)(intrusindetetinsyste,簡稱ids)可以認為是進展入侵檢測過程時所需要配置的各種軟件和硬件的組合。對一個成功

2、的入侵檢測系統(tǒng)來講,它不但可使系統(tǒng)管理員時刻理解計算機網(wǎng)絡(luò)系統(tǒng)(包括程序、文件和硬件設(shè)備等)的任何變更,還能給網(wǎng)絡(luò)平安策略的制訂提供指南。更為重要的一點是,對它的管理和配置應該更簡單,從而使非專業(yè)人員能非常容易地進展操作。而且,入侵檢測的規(guī)模還應根據(jù)網(wǎng)絡(luò)威脅、系統(tǒng)構(gòu)造和平安需求的改變而改變。入侵檢測系統(tǒng)在發(fā)現(xiàn)入侵后,會及時做出響應,包括切斷網(wǎng)絡(luò)連接、記錄事件和報警等。二、入侵檢測系統(tǒng)的功能1.檢測入侵。檢測入侵行為是入侵檢測系統(tǒng)的核心功能,主要包括兩個方面:一方面是對進出主機或者網(wǎng)絡(luò)的數(shù)據(jù)進展監(jiān)控,檢查是否存在對系統(tǒng)的異常行為;另一方面是檢查系統(tǒng)關(guān)鍵數(shù)據(jù)和文件的完好性,看系統(tǒng)是否己經(jīng)遭到入侵行

3、為。前者的作用是在入侵行為發(fā)生時及時發(fā)現(xiàn),使系統(tǒng)免受攻擊;后者一般是在系統(tǒng)遭到入侵時沒能及時發(fā)現(xiàn)和阻止,攻擊的行為已經(jīng)發(fā)生,但可以通過攻擊行為留下的痕跡理解攻擊行為的一些情況,從而防止再次遭受攻擊。對系統(tǒng)資源完好性的檢查也有利于我們對攻擊者進展追蹤,對攻擊行為進展取證。2.抗欺騙。入侵檢測系統(tǒng)要識別入侵者,入侵者就會想方設(shè)法逃避檢測。逃避檢測的方法很多,總結(jié)起來可分為誤報和漏報兩大類。一種使入侵檢測系統(tǒng)誤報的實現(xiàn)形式,是快速告普信息的產(chǎn)生讓系統(tǒng)無法反響以致死機,這其實是通用的網(wǎng)絡(luò)攻擊方式一回絕效勞攻擊在入侵檢測系統(tǒng)上的表達。與誤報相比,漏報更具危險性,即躲過系統(tǒng)的檢測,使系統(tǒng)對某些攻擊方式失效

4、。入侵檢測系統(tǒng)無法統(tǒng)一漏報和誤報的矛盾,目前的入侵檢測產(chǎn)品一般會在兩者間進展折衷,并且進展調(diào)整以適應不同的應用環(huán)境。3.記錄、報警和響應。入侵檢測系統(tǒng)在檢測到攻擊后,應該采取相應的措施來阻止攻擊或者響應攻擊。作為一種主動防御策略,它必然應該具備此功能。入侵檢測系統(tǒng)首先應該記錄攻擊的根本情況,其次應該可以及時發(fā)出報警。好的入侵檢測系統(tǒng),不僅應該把相關(guān)數(shù)據(jù)記錄在文件或數(shù)據(jù)庫中,還應該提供好的報表打印功能。必要時,系統(tǒng)還應該采取必要的響應行為,如回絕承受所有來自某臺計算機的數(shù)據(jù)、追蹤入侵行為等。三、神經(jīng)系統(tǒng)網(wǎng)絡(luò)在入侵檢測系統(tǒng)中的應用目前計算機入侵的現(xiàn)狀是入侵的數(shù)量日益增長、入侵個體的入侵手段和目的系

5、統(tǒng)多種多樣,因此要確切的描繪入侵特征非常困難,入侵規(guī)那么庫和形式庫的更新要求難以得到滿足,這就要求入侵檢測應該具有相當大的智能性和靈敏性,這是多項人工智能技術(shù)被相繼應用到入侵檢測中的原因。1.傳統(tǒng)入侵檢測中存在的問題。我們先來分析一下傳統(tǒng)ids存在的問題。傳統(tǒng)ids產(chǎn)品大多都是基于規(guī)那么的,而這一傳統(tǒng)的檢測技術(shù)有一些難以逾越的障礙:(1)在基于規(guī)那么的入侵檢測系統(tǒng)中,所有的規(guī)那么可理解為“if一then形式,也就是說,這一規(guī)那么表述的是一種嚴格的線性關(guān)系,缺乏靈敏性和適應性,當網(wǎng)絡(luò)數(shù)據(jù)出現(xiàn)信息不完好、變形失真或攻擊方法變化時,這種檢測方法將失效,因此引起較高的誤警率和漏報率。(2)隨著攻擊類型

6、的多樣化,必然導致規(guī)那么庫中的規(guī)那么不斷增多,當這些規(guī)那么增加到一定程度,會引起系統(tǒng)檢測效率的顯著降低,在流量較高時,可造成丟包等現(xiàn)象。此外,攻擊方法的不斷開展,使得傳統(tǒng)的入侵檢測系統(tǒng)無法有效地預測和識別新的攻擊方法,使系統(tǒng)的適應性受到限制。(3)傳統(tǒng)的用來描繪用戶行為特征的度量一般是憑感覺和經(jīng)歷的,這些度量是否能有效地描繪用戶行為很難估計。有些度量當考慮所有用戶可能是無效的,但當考慮某些特別的用戶時,可能又非常有用。2.神經(jīng)網(wǎng)絡(luò)在入侵檢測中的應用作為人工智能(ad)的一個重要分支,神經(jīng)網(wǎng)絡(luò)在入侵檢測領(lǐng)域得到了很好的應用。神經(jīng)網(wǎng)絡(luò)技術(shù)在入侵檢測系統(tǒng)中用來構(gòu)造分類器,主要用于資料特征的分析,以發(fā)

7、現(xiàn)是否為一種入侵行為。假設(shè)是一種入侵行為,系統(tǒng)將與入侵行為的特征進展比較,判斷是否為一種新的攻擊行為,從而決定是進展丟棄還是進展存盤、報警、發(fā)送資料特征等工作。神經(jīng)網(wǎng)絡(luò)在入侵檢測中的詳細實現(xiàn)方法一般有兩種:(1)系統(tǒng)或形式匹配系統(tǒng)合并在一起這種方法不是像以前一樣在異常檢測中用神經(jīng)網(wǎng)絡(luò)代替現(xiàn)有的統(tǒng)計分析部分,而是用神經(jīng)網(wǎng)絡(luò)來過濾出數(shù)據(jù)當中的可疑事件,并把這些事件轉(zhuǎn)交給專家系統(tǒng)處理。這種構(gòu)造可以通過減少專家系統(tǒng)的誤報來進步檢測系統(tǒng)的效用。因為神經(jīng)網(wǎng)絡(luò)將確定某一特別事件具有攻擊跡象的概率,我們就可以確定一個閩值來決定事件是否轉(zhuǎn)交給專家系統(tǒng)作進一步分析,這樣一來,由于專家系統(tǒng)只接收可疑事件的數(shù)據(jù),它的靈敏度就會大大增加(通常,專家系統(tǒng)以犧牲靈敏度來減少誤報率)。這種構(gòu)造對那些投資專家系統(tǒng)技術(shù)的機構(gòu)大有好處,因為它進步了系統(tǒng)的效用,同時還保護了在現(xiàn)有ids上的投資。(2)網(wǎng)絡(luò)作為一個獨立的特征檢測系統(tǒng)在這個構(gòu)造中,神經(jīng)網(wǎng)絡(luò)從網(wǎng)絡(luò)流中承受數(shù)據(jù),并對數(shù)據(jù)進展分析。任何被識別為帶有攻擊跡象的事件都將被轉(zhuǎn)交給平安管理員或自動入侵應答系統(tǒng)來處理。這種方法在速度方面超過了以前的方法,因為它只有一個單獨的分析層。另外,隨著神經(jīng)網(wǎng)絡(luò)對攻擊特征的學習,這種構(gòu)造的效用也會不斷進步,它不同于第一種方法,不會受專家系統(tǒng)分析才能的