入侵检测技术精选(九篇)
第1篇:入侵检测技术范文
关键词:入侵检测;入侵检测系统;动态防护
中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)36-pppp-0c
On the Intrusion Detection Technology
FANG A-li,YIN Mei-gui
(HeYuan Polytechnic Electronic and Information Engineering ,HeYuan 517000, China)
Abstract:Intrusion detection technology is a dynamic combination of multiple technologies for the computer and network protection . Starting from the basic concepts of intrusion detection, expounded the principles ,process, performance indicators and technical issues of intrusion detection.
Key words :intrusion detection;intrusion detection systems;dynamic protection
在信息网络普及的时代,计算机和网络安全显得直观重要,防火墙技术,通常能够在内网和外网之间提供安全的网络保护,但是这是远远不够的。入侵检测技术是对防火墙技术的有效补充,为计算机和网络安全增加了又一道阀门。
1 基本概念
入侵检测是指对计算机或网络资源的恶意企图和行为进行识别,并对此做出响应和处理的过程。
入侵检测技术是一种对计算机网络中违反安全策略行为进行检测和对计算机系统进行实时检测,发现其中未授权或异常现象进行报告的技术。
入侵检测系统是指进行入侵检测的软件和软件配置环境相关硬件的集合。
入侵检测技术是一种动态安全防御技术,入侵检测系统的功能是在对网络性能不影响的情况下,对网络活动进行检测,从而对来自网络的内外部攻击和人员的误操作提供实时保护,并在系统受到危害之前对可能得入侵进行拦截和响应。
2 入侵检测原理
入侵检测一般分为实时入侵检测和事后入侵检测。
实时入侵检测原理:在网络连接的条件下,入侵检测系统首先根据用户的历史行为模型、神经网络模型以及存储在计算机中的专家知识对当前的系统进行判断,如果发现可疑,立马断开可疑对象发出者与主机的连接;紧接着,收集相关证据并实施数据恢复。
事后入侵检测原理:网络管理人员定期或不定期根据计算机系统对于用户操作的历史审计记录进行判断用户事后是否具有入侵行为,如果有就断开连接,并记录入侵证据,然后对数据进行恢复。
3 入侵检测过程
入侵检测的一般过程分为三个步:信息收集、数据分析和事件响应。
第一步为信息收集,信息收集由不同主机的或放置在不同网段的传感器来完成。收集的信息包括系统和网络日志文件、网络流量、异常的目录和文件改变、异常的程序执行等。
第二步为数据分析,数据分析通过模式匹配、统计分析和完整性分析等技术,对收集到的数据进行深入分析(其中,数据包括网络、系统、数据及用户活动的状态和行为等),发现攻击,然后根据分析的结果产生事件,并将事件传递给事件响应模块等待处理。
第三步为事件处理,事件处理是由控制台依据告警产生预先定义的响应(分主动响应和被动响应),并进行重新配置路由器或防火墙、终止进程、切断连接、改变文件属性,或者只是简单的告警。
4 入侵检测的主要性能指标
入侵检测的主要性能指标包括:准确性指标、效率指标和系统指标。
4.1准确性指标
准确性指标主要包括检测率、误报率和漏报率等指标。检测率是指系统在所监视网络在受到攻击时能正确报警的概率。检测率=入侵报警数/入侵攻击数。误报率是指系统把正常的行为误报为入侵攻击而进行报警的概率和把一种攻击错报为另一种攻击的概率。误报率=错误报警数 /(正常行为数+攻击数)漏报率是指所检测网络受到入侵攻击时,系统不能正确报警的概率。漏报率=不能正确报警的数量/入侵攻击的总量。
4.2效率指标
效率指标主要是根据用户系统的实际需求,以保证检测质量为准,同时取决于不同的硬件设备级别。效率指标主要包括最大处理能力、每秒并发TCP会话数、最大并发TCP会话数等。最大处理能力是指在指定检测率范围内,系统没有漏报的最大处理能力。每秒并发TCP会话数是指系统每秒最大可以增加的TCP连接数。最大并发TCP会话数是指系统最大限度范围内,可以同时支持的TCP连接数。
4.3系统指标
系统指标是衡量系统运行的稳定性和使用的方便性的参考。衡量指标只要包括最大规则数、平均无故障时间等。最大规则数是指系统允许配置的最大入侵检测规则条目数。平均无故障时间是指系统无故障连续工作的时间。
5 入侵检测技术
入侵检测技术的关键技术是异常检测技术和误用检测技术。
5.1异常检测技术
异常检测技术是依据用户的行为和系统资源的使用状况来判断是否存在网络入侵的技术,也称为基于行为的检测技术。
异常检测技术原理:首先假设网络攻击行为是不常见的或是异常的,然后将当前捕获的网络行为与行为模型进行对比,若入侵行为偏离了正常的行为轨迹,就可以被检测出来。
异常检测技术分类:异常检测技术分为统计分析异常检测、贝叶斯推理异常检测、神经网络异常检测、模式预测异常检测、数据采掘异常检测、文件完整性异常检测、免疫系统异常检测和机器学习异常检测。
异常检测技术优缺点:异常检测技术具有能够检测出新的网络入侵方法攻击、较少依赖于特定的主机操作系统、对于内部合法用户的越权违法行为的检测能力较强等优点。但存在误报率高、行为模型建立困难、难以对入侵行为进行分类和命名等不足。
5.2误用检测技术
误用检测技术是指运用已知攻击方法,根据已定义好的入侵模式,通过判断这些入侵模式是否出现来检测。也称为基于知识或模式匹配的检测技术。
误用检测技术原理:首先假设所有的网络攻击行为和方法都具有一定的模式或特征,然后将当前捕获的网络行为特征与入侵信息库中的特征信息进行比较,如果匹配,则当前行为就被认定为入侵行为。
误用检测技术分类:误用检测技术专家系统误用检测、特征分析误用检测、模式推理误用检测、条件概率误用检测、状态转换误用检测、键盘监控误用检测等检测技术。
误用检测技术优缺点:误用检测技术检测准确度高、技术相对成熟,便于进行系统维护,但其对具体系统依赖性太强,可移植性差、维护特征库的工作量大、不能检测出新的入侵行为、难以检测来自系统内部的攻击。
其它入侵检测技术包括基于数据挖掘、遗传算法和免疫技术的入侵检测技术等。
6 入侵检测系统
入侵检测系统的分类依据不同,分类也不同,依据系统所检测的对象是主机或网络包,入侵检测系统的分为:基于主机的入侵检测系统和基于网络包分析的入侵检测系统。
6.1基于主机的入侵检测系统
基于主机的入侵检测系统需要安装在被保护的主机上,通过监视和分析主机的审计记录及日志文件来检测入侵行为,通常用来保护运行关键应用的服务器。OSSEC HIDS就是一个典型的基于主机的开源入侵检测系统。
基于主机的入侵检测系统的优点是能够校验出攻击是否成功;可使特定的系统行为受到严密监控等。缺点是会占用主机的资源,对操作系统的依赖性强。
6.2基于网络包分析的入侵检测系统
基于网络包分析的入侵检测系统需要安装在受护的网段中,利用网络监听技术实时监视网段中传输的各种数据包,并对这些数据包的内容以及数据来源和传输目的地等进行分析和检测。一旦发现可疑事件或入侵行为,系统就会发出警报,在严重时切断网络连接。
基于网络包分析的入侵检测系统的优点是购买成本低,对识别出来的攻击能进行实时检测和响应。缺点是防欺骗能力差、交互环境下难以配置等。Sguil是一款典型的被称为网络安全专家监视网络活动的控制台工具。
基于网络和基于主机的IDS在功能上各有优势,又互为补充。对于对方无法检测到的一些入侵行为都能及时发现。但对于从某个重要服务器的键盘发出的攻击就无法通过基于网络的IDS检测到,相反,对于涉及检查包首标(header)来进行得检测只能通过基于网络的IDS来完成。
7 结束语
随着用户对于网络安全意识的提高,以及入侵检测技术的发展日趋成熟,相信不久的将来,人们对于危险四伏的网络环境将不再恐惧。
参考文献:
第2篇:入侵检测技术范文
关键词:入侵检测,方法,趋势
1 引言
入侵检测系统(Intrusion Detection System)是一种自动进行入侵检测和分析的软件或硬件系统,它能够帮助系统识别入侵、攻击以及异常数据流量,从而避免病毒、黑客的攻击。随着网络安全问题的日益突出,传统的防火墙技术暴露出明显的不足和缺点,比如,不能提供实时入侵检测能力;不能阻止网络内部攻击;无法解决安全后门问题等,入侵检测系统作为一种重要的动态安全技术,就成为防火墙的有益补充,扩展了系统管理员的安全管理、监视、防攻击的能力,从而提高了信息安全性。
2 入侵检测系统概述
入侵检测是对入侵行为的发觉,即对未经授权蓄意尝试访问信息、篡改信息、使系统不可靠或不可用的行为的检测、确认。它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。入侵检测系统需要很强的智能化,必须能将得到的数据进行分析,并得出有用的结果,一个合格的入侵检测系统能够大大的简化管理员的工作,保证网络安全的运行。
3 入侵检测系统的分类
根据检测系统的特性,可以从不同的角度,对入侵检测系统进行分类。比如,按照检测技术分类可以分为异常检测和滥用检测;根据检测数据的来源分类可以分为基于主机的入侵检测系统和基于网络的入侵检测系统;按照响应方式分类可以分为主动响应入侵检测和被动响应入侵检测;按照控制策略分类可以分为集中式入侵检测和部分分布式入侵检测以及全部分布式入侵检测等。基于网络流量的入侵检测是预防入侵的一个新的研究方向,特别针对网络扫描、DDos攻击以及蠕虫等较为有效,本文将做重点讨论。
4 基于网络的入侵检测系统
基于网络的入侵检测系统是通过连接在网络上的站点对报文进行捕获,根据网络的流量大小及其它有用数据的分析来判断入侵是否发生。基于网络的入侵检测的优点主要有两个:实时性和操作代价低。通过实时的观测网络流量,基于网络的入侵检测能够在入侵者实施入侵前做出反应,提供实时保护。由于基于网络的入侵检测实体安置在网络部门,而不是在用户桌面,所以安装快捷,对用户的要求不高,实现起来简单。
网络的流量行为具有长期特征和短期特征。网络流量长期特征表现为具有一定的规律性和稳定性。能够对局域网的流量或者某些关键主机的流量情况进行实时检测,并进行预测分析,有助于判断异常网络流量,及早发现和识别潜在的入侵攻击的发生。据研究,造成网络流量的异常,原因可能有:网络扫面、DDos攻击、蠕虫、恶意下载、用户对网络资源的不当使用以及物理链路或者设备不能正常运转等。
基于网络的入侵检测方法有:统计方法、神经网络、数据挖掘、免疫学方法等,以及一些新提出的基于网络的分析入侵检测方法。
统计方法通过分析大量的系统参数并生成系统的正常行为轮廓库,自适应地学习系统的正常行为模式。每个行为轮廓代表一个主体的正常行为,由一组入侵检测度量值来描述。统计方法的最大优点是它可以“学习”用户的行为习惯,具有较高的检测率和可用性。通过对一段时间网络安全状况下的数据包流量进行统计,从而从宏观上建立起网络在安全状况下的周期数据包流量轮廓,用于检测以拒绝服务攻击为主的入侵和网络扫描等异常行为。
神经网络是一个有简单处理单元构成的规模宏大的并行分布式处理器。具有存储经验知识和使之可用的特性。由于神经网络适合于学习比较复杂的非线性关系,而且它是数据驱动学习的,通过学习掌握数据间的依从关系,不需要对网络流量进行大量的数学建模工作。
数据挖掘是一种特定应用的数据分析过程,可以从包含大量冗余信息的数据中提取尽可能多的安全信息,抽象出有利于进行判断和比较的特征模型。这些特征模型可以是基于异常检测的特征量模型,也可以是基于异常检测的行为描述模型。数据分类的方法、关联分析的方法以及序列分析的方法等数据挖掘方法对入侵检测是非常有用的。
另外,借鉴免疫系统中蕴含的丰富且有效的信息处理机制,即通过产生抗体来消灭入侵,通过针对计算机系统和网络抵抗入侵的安全问题,可以发展为人工免疫模型和算法。基于网络的入侵检测系统正处于研究的初级阶段,还有其他一些方法如模式预测、遗传算法、序列匹配与学习方法等。
5 入侵检测存在的问题以及发展趋势
5.1 入侵检测存在的问题
尽管已经开发出很多入侵检测方法,但现在的入侵检测系统本身还存在不少问题。主要体现在以下几方面:
缺少有效性。入侵检测系统评价事件经常是实时的。它的代价因素有操作代价、破坏代价、响应代价等,这些代价在当今网络规模不断增大,带宽增加的情况下是非常可观的。
误警率高。入侵检测错误的判断率称为误警率。在追求高的检测率的同时也增加了误警率,影响了系统的精确性。
自身易受攻击。一般来说入侵检测系统是一个软件系统,其也有可能存在漏洞,由此一旦入侵检测系统受到攻击,它所检测的网络都将得不到保护。
自学能力弱。通常,入侵检测规则依赖于手工添加。更新缓慢,不及时,都限制了入侵检测系统的有用性。
各种安全技术协作不够。现在的安全技术,如防火墙、密码技术、身份识别和验证系统、网络安全管理等,相互间独立,缺少相互间的配合。
入侵检测判断标准缺少。入侵检测系统正处于研究的初级阶段,其方法手段缺少判断标准,同时缺少测试入侵检测系统的工具。
5.2 入侵检测系统的发展趋势
Internet技术在不断的发展,网络的速度也在不断提高,在这样的前提下,人们对安全性的要求也越来越高。这也要求入侵检测技术不断改进更新,近年来,入侵检测技术有新的发展趋势:网络检测点由个别点向面发展,即一个主要的发展趋势是采用分布式系统,在网络上放置多个检测器,共享信息,并通过信息的分发交流,协同工作,提高系统响应的实时性;入侵检测系统的数据库由手工方式向智能化、自动更新发展,智能化的入侵检测方法,使系统具有学习、更新的能力;将免疫机理应用到入侵检测系统的思想将得到大发展。经证明,基于免疫机理的入侵检测系统比传统的入侵检测系统具有更好的检测性能,能够有效降低误警率和提升检测率。
6 结束语
入侵检测在网络中起着越来越重要的作用,但目前尚处于研究的初级阶段,将面临许多挑战,但可以肯定的是入侵检测将迎来大发展。
参考文献
[1]戚玉娥.基于网络流量异常的入侵检测技术.网络安全技术与应用,2008
[2]入侵检测系统综述.谢根亮.网络安全技术与应用,2008
第3篇:入侵检测技术范文
关键词:计算机;数据库;入侵检测技术
中图分类号:TP393.08 文献标识码:A 文章编号:1674-7712 (2013) 08-0000-01
一、入侵检测的定义
入侵检测作为防火墙的合理补充,能够协助系统更好地防止网络攻击行为,使系统管理员增强安全管理能力,同时促使信息安全结构更加完整。其从系统的某些关键点进行信息收集整理,然后进行分析,从而保证网络中没有违反安全策略的行为以及网络系统不会遇到袭击行为。入侵检测通常被视作第二道安全“防火墙”,其能够在保持网络性能的条件实现对网络的监测功能,并发挥针对网络内部、外部攻击以及误操作的实时保护作用。通常而言,使用入侵检测技术可以在计算机数据库的一些关键点上进行网络陷阱设置,以便实现病毒信息、以及其它攻击方法数据的搜集与分析整理工作,及时发展问题并作出反馈,以此作为入侵防范的关键手段。由此可以说入侵检测技术某种程度上是确保网络资源、数据信息安全的重要保护手段,当入侵攻破或绕开防火墙的情况下,入侵检测技术即可充分发挥自身作用,第一时间发现网络攻击以及病毒入侵等行为,并采取及时报警、断开连接、查封IP等各种技术措施,确保网络系统能够安全稳定运行。
二、入侵检测技术及其方法
(一)误用检测技术。该技术通常用来检测已经知道的攻击模式、入侵活动以及病毒情况等,检测时通常由系统假定,全部入侵活动或病毒侵入均可以通过一种特征或模式表达出来。通过该技术能够分析已知的入侵行为,同时建立特征模型,其检测已转变成对特征或模式的匹配搜索,如果与已知的入侵特征匹配,就可认定为攻击行为。其对已知攻击检测的准确度较高,而对新型攻击或已知攻击变体检测准确性较差。
(二)异常检测技术。该技术的检测范围相对较广,一般检测会假设全部入侵者活动及病毒入侵都是恶意行为,此时系统会详细分析正常用户的活动特征,完全模型及框架的构建,再对与正常模型用户活动状态不同的行为进行数量统计,一般发现其违反统计规律,就认定其发生了入侵行为。所以说其检测敏感度相对较高。
三、入侵检测技术现存的主要问题
我国对于入侵检测技术的推广应用时间较短,因此我国入侵检测技术发展较为缓慢,检测系统建立也不完善,许多新型检测技术尚且不能正常投入应用,所以该技术存在许多现实问题。
(一)误报和漏报率高。众所周知,通过入侵检测技术可以有效保护计算机数据库安排,所以检测系统设定过程中,针对系统的关卡要求较严,导致其对于一些并非外界攻击或病毒发生错误检测,而发生误报现象,降低了系统检测效率和服务质量。
(二)检测效率较低。无论是网络编程、网络攻击及入侵活动,还是反入侵活动,计算机都要以二进制编码形式通过大量的计算方可实现。所以说判断异常入侵行为需要进行的计算量十分庞大。加之其维护正常用户活动记录也会随着检测事件的而逐渐增大,误用检测技术普遍采取专家系统来编码和匹配攻击特征,其要求解释规则集,所以运行费用较高。
(三)自身防护能力差。从现有的入侵检测技术来分析,由于设计存在许多局限性,加之系统自身存在许多问题,导致其自我防御能力不强。所以,一般其自身遭遇病毒以及外界的攻击行为,就可能造成整个系统瘫痪的严重后果,使数据库遭到不同程度的损害。
(四)扩展性能不好。目前,大多数入侵检测技术进行系统安装后都无法实现一劳永逸的目的。因为大都不能完成自动升级操作,同时也不能随着网络病毒的增加而随时更新,在维护性方面表现很差,是入侵检测技术的一项技术难题。
四、数据库入侵检测技术的发展方向
(一)分布型检测。过去的入侵检测大都是局限在某一网络结构内进行数据检测,其针对大规模异构体系数据库的监测能力明显不够。此外,各个数据库检测体系之间也缺乏良好的协同性。因此,应采取分布式的数据库侵入检测手段,针对检测实现全面互动的完善。
(二)层次化检测。过去的入侵检测技术检测范围有限,针对一些高端数据库系统甚至存在检测盲点。而大多数客户的服务器结构系统都急需全面多层次的入侵检测保护功能。因此,可以采取层次化的检测方式,将高端数据库系统和普通系统区分开来进行检测。
(三)智能化检测。虽然现有神经网络、遗传算法等在入侵检测技术中有所应用,然而大都只是尝试,应该将智能化入侵检测进行专项课题研究,从而强化入侵检测的适应能力及升级能力。
(四)反术测评标准化。用户应用入侵检测技术时,需要不定期开展对技术系统的测评,具体内容包括检测范围、资源占用比、检测可靠程度等。根据测评指标来评估检测系统,再以评估结果为依据不断完善检测系统。
五、结语
入侵检测技术能够为计算机数据库系统提供积极主动的安全防护功能,可以有效保护计算机,化解外界攻击,排查内部存在的一些错误及潜在的各种威胁。然而,随着网络技术的不断发展与普及,人们对于网络安全问题的重视程度越来越高,其中数据库所面临的安全威胁形式与种类也正变得越来越多,并处于不断更新的状态,而数据库中包括大量用户资料信息,其网络安全事关重大。所以说入侵检测技术能够实现有效保护计算机数据库的目的。尽管尚存一些实际问题,但经过不断地完善和提高,并充分结合遗传算法、模糊技术、免疫原理、数据挖掘、机器学习等方法,入侵检测技术必将逐渐成熟,从而确实保护好计算机数据库的安全。
参考文献:
[1]葛立,牛君兰.入侵检测技术在校园数据安全中的应用[J].内蒙古科技与经济,2010,22.
[2]毕战科,许胜礼.入侵检测技术的研究现状及其发展[J].软件导刊,2010,11.
[3]牛承珍.关于入侵检测技术及其应用的研究[J].软件导刊,2010,1.
第4篇:入侵检测技术范文
关键词:计算机数据库;入侵检测技术;发展研究
中图分类号:TP393.08
当前人们普遍使用计算机,计算机也逐步成为人们日常的办公工具,所以许多数据内容都要计算机数据库的整理并存储,并且计算机的数据库是整个系统的重要部分,因此许多计算机黑客将数据库作为攻击的对象,造成计算机不但面临着来自网络设备的威胁,还存在网络信息安全的问题,因此增加计算机数据库安全保护就十分重要,只有先对计算机数据库实施相应的保护措施,这样才能在受到病毒侵入时确保计算机网络数据的可靠性。随着入侵检测技术不断的进步,许多新的安全防御检测措施不断运用,但经过对计算机防火墙、杀毒软件、路由器等一整套的入侵检测结果推断在当前的计算机网络系统中:入侵检测技术还不够完善,有着许多的缺陷,这会直接降低计算机的入侵检测能力。
1 计算机数据库入侵检测技术的现状问题
由于我国的入侵监测系统和技术运用时间不长,因此目前我国的入侵检测技术还处于初始阶段,进步较慢,检测的系统还需要完善,许多新技术与新型检测理论都处于讨论时期,还没有正式启用,因而入侵检测技术还有以下不足:
1.1 漏报以及误报的频率较高。入侵检测系统与相应的入侵检测技术的运用目的在于维护存储较多内容的数据库,所以在进行系统应用时要求较高,尤其是监测系统关卡的设置,而致使很多非外界的攻击与病毒被检测出来,这就影响了入侵检测系统的效率以及服务质量。
1.2 入侵检测效率低。在计算机网络中,每一个数据编程与数据的入侵及反入侵,所有都需运用二进制对大量的数据进行处理,处理后才可以确保其有效运行,所以其计算量特别大,异常检测的技术成本也特别高,造成的原因是因为用户需求的不断改变,其记录也要跟着人们的需求进行更新,数量就会越来越多,又因为知识库特征里入侵的规则是专业人员先定义后匹配的,因此更增添了其运行的成本。
1.3 较差的自身防护能力。目前的检测技术,因为系统自身的问题以及技术人员能力有限,造成入侵检测技术本身的防护能力就比较差,所以,这就会造成当有病毒入侵或外界攻击入侵检测系统时,会使整个检测系统面临瘫痪,轻者其入侵行为会造成不能正确记录的结果,重者是系统被攻破,然后入侵到数据库里。
1.4 入侵检测技术的可扩展性差。计算机入侵检测系统没有自动更新的能力,所以无法对新的行为或病毒进行正确的判断,从而使得病毒肆意,更甚者冲破数据库的安全防线。
2 提升计算机入侵检测技术的措施
2.1 建立统一的数据库知识标准。研究与把握数据库入侵的特征是非常重要的部分,特征库的覆盖面与准确度在所有的入侵检测结构中都有所帮助。数据挖掘技术中经常运用的手段就是相关研究,相关研究的重点就是制定记录的处理以及一组的Item,提示对它们实施合理的整理与研究找出Item之间的关系,然后在数据库系统内部利用将它们实施有效的整合对潜在入侵行为进行处理探索,来迅速找出潜在的入侵威胁行为。针对系统中的特别检测要选择对应的挖掘项目实施数据挖掘,这种方式主要由以下两个方面:运用迭代技术检测出数据库复杂项集,此过程中要时刻对数据库进行扫描,确保其准确性;把复杂项集变换成相关的规定,规定推出后就应实行一种新规则,然后系统根据此规定运行。
2.2 采用分布式层次化入侵检测技术。目前的数据库入侵检测经常会有许多局限性,只可对一种网络系统结构实施针对性的检测,这对许多高端的以及大规模的数据库检测能力不够,另外,不同层次的数据库监测系统间的相互联系也不足。对于这些发生的状况,若要完善就需要运用分布式的数据库入侵检测技术,运用层次化升级的结论,在众多人使用的服务器上的数据库运用新技术才能增强计算机数据库入侵检测的实际能力。
2.3 智能化、标准化的数据库入侵检测。随着科技的迅速发展,计算机数据库入侵检测系统也得到了极大的进步,智能设备的广泛使用,加上医学的遗传学、神经条件反射在数据库入侵检测的运用,给计算机数据库入侵检测技术带来了巨大的发展。但这些都是初步的探索,在实际运用中还有许多的不足,所以智能化的技术若想真正的与计算机入侵检测技术融为一体还要付出许多努力,而且,数据库入侵检测技术也要逐步提高自身技能,以适应新时代的发展。
2.4 可持续发展战略。一种技术若想可以继续发展就需要制定严格的评测准则,只有在实际使用中随时对计算机数据库的运用情况检测才能为计算机的防御工作做好充分的准备。一般评测的指标都有:数据库的应用情况、入侵检测的范围大小、计算机系统的利用状况。然后把这些整理的数据实施统一的规划处理并输送到特定的系统平台,制作出统一的评测准则,运用到全部计算机数据库检测系统中,最后实现分布式的多层次多方面的入侵检测。
因此,计算机数据库入侵检测技术十分重要,不但能够作为数据库的保护者还能保护计算机系统,只有积极提升计算机入侵检测技术才能适应不断发展的科技社会,从而保证计算机的运转安全。
3 计算机数据库入侵检测技术的发展方向
随着计算机数据库在实际生活中的运用,它在人们的生活与工作中起着重要的作用,另外,攻击数据库的手段越来越复杂,越来越多的用户选择使用数据库入侵检测技术。未来,计算机数据库入侵检测技术主要有以下几种发展方向:
3.1 分布式检测。原来的入侵检测多数拘泥于一个网络结构,用来进行单一网络结构的检测,这种检测方式无法处理规模较大的异构体系数据库。另外,数据库检测体系之间的关联度不够。对于这种问题,最有效的手段是使用分布式数据库入侵检测方式。
3.2 层次化检测。就检测范围来说,传统的入侵检测技术有很大的缺陷,特别是针对一些高端数据库系统,入侵检测技术还有许多的问题。当前许多服务器结构系统都要求具备多层次的入侵检测保护能力,来确保网络的安全。针对这种问题,最可行的方式是使用层次化的检测手段,将普通系统与高端数据库系统区分开来,以此增强入侵检测技术的能力。
3.3 智能化检测。即使当前使用的计算机入侵检测技术已经运用到医学中,但是运用水平还处于尝试性阶段,所以,将智能化入侵检测列入专项课题进行讨论是十分必要的,通过研究讨论来增强计算机入侵检测的自我适应能力。
3.4 标准化评测。用户在使用数据库时应当不定期对计算机数据库入侵检测系统实施评价检测,评价指标包括:入侵检测的监测范围、数据库系统资源占用率、入侵检测技术的可靠性。凭借这些指标,创造出通用的检测平台,最终完成多层次数据库入侵的检测。
4 结束语
总之,计算机数据库入侵检测技术对计算机系统正常工作起着重要的作用。为了保证计算机的正常运行,我们应当增强对计算机数据库入侵检测技术的研究力度,不断依据各种问题来完善计算机数据库入侵检测技术的体系,最终让用户正常使用计算机。
参考文献:
[1]李广润.计算机数据库入侵检测技术应用初探[J].计算机光盘软件与应用,2013(03):41-42.
[2]吴晓风.关于计算机数据库入侵检测技术的几点思考[J].太原城市职业技术学院学报,2012(12):21-22.
[3]王敏.刍议计算机数据库的入侵检测技术及其应用[J].课程教育研究(新教师教学),2012(11):24-25.
第5篇:入侵检测技术范文
[关键词]入侵检测入侵分析数据库系统
传统的数据库安全机制以身份认证和存取控制为重点,是一种以预防为主的被动安全机制,无法满足日益增长数据库对安全的需要。近年来对数据库入侵检测机制的研究受到了广泛关注和重视。通过建立异常检测机制,有效地发现用户在使用数据库过程中可能发生的入侵和攻击,以期达到保护数字图书馆数据库安全的目的。
1入侵检测简介
入侵检测是检测和识别针对计算机系统和网络系统,或者更广泛意义上的信息系统的非法攻击,或者违反安全策略事件的过程。它从计算机系统或者网络环境中采集数据,分析数据,发现可疑攻击行为或者异常事件,并采取一定的响应措施拦截攻击行为,降低可能的损失。在入侵检测系统中,系统将用户的当前操作所产生的数据同用户的 历史 操作数据根据一定的算法进行检测,从而判断用户的当前操作是否属于入侵行为,然后系统根据检测结果采取相应的行动。入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。入侵检测系统能很好地弥补防火墙的不足,从某种意义上说是防火墙的补充。入侵检测技术是计算机安全技术中的重要部分,它从计算机系统中的若干关键点收集信息,并分析这些信息,检测计算机系统中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测系统在几乎不影响计算机系统性能的情况下能对计算机系统进行实时监测,并对系统提供针对内部攻击、外部攻击和误操作的实时保护。入侵检测技术通过对入侵行为的过程与特征的研究,使安全系统对入侵事件和入侵过程能做出实时响应。入侵检测技术扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。
2入侵检测技术分类
(1)从数据的来源看
入侵检测通常可以分为两类:基于主机的入侵检测和基于网络的入侵检测。基于主机的入侵检测通常从主机的审计记录和日志文件中获得所需的主要数据源,并辅之以主机上的其他信息,例如文件系统属性、进程状态等,在此基础上完成检测攻击行为的任务。基于网络的入侵检测通过监听网络中的数据包来获得必要的数据来源,并通过协议分析、特征匹配、统计分析等手段发现当前发生的攻击行为。从数据分析手段来看,入侵检测通常又可以分为两类:误用入侵检测和异常入侵检测。误用检测的技术基础是分析各种类型的攻击手段,并找出可能的“攻击特征”集合。误入侵检测的定义为:识别针对计算机或网络资源的恶意企图和行为,并对此做出反应的过程。入侵检测系统则是完成如上功能的独立系统。入侵检测系统能够检测未授权对象,针对系统的入侵企图或行为,同时监控授权对象对系统资源的非法操作。
(2)从数据分析手段看
入侵检测通常可以两类:滥用入侵检测和异常入侵检测。滥用入侵检测的技术基础是分析各种类型的攻击手段,并找出可能的“攻击特征”集合形成特征库或者模式库,滥用入侵检测利用形成的特征库,对当前的数据来源进行各种分析处理后,再进行特征匹配或者规则匹配工作,如果发现满足条件的匹配,则指示已经发生了一次攻击行为然后入侵检测系统的响应单元做出相应的处理。异常入侵检测是通过观察当前活动与系统历史正常活动情况之间的差异来实现。这就需要异常入侵检测建立一个关于系统正常活动的状态模型并不断更新,然后将用户当前的活动情况与这个正常模型进行对比,如果发现了超过设定值的差异程度,则指示发现了非法攻击行为。
相比较而言,滥用入侵检测比异常入侵检测具备更好的确定解释能力,即明确指示当前发生的攻击手段类型,另外,滥用入侵检测具备较高的检测率和较低的虚警率,开发规则库和特征集合相对于建立系统正常模型而言,要更容易、更方便。但是,滥用入侵检测只能检测到已知的攻击模式,模式库只有不段更新才能检测到新的攻击类型。而异常检测的优点是可以检测到未知的入侵行为,尽管可能无法明确指示是何种类型。从现有的实际系统来看,大多数都是基于滥用入侵检测技术,同时也结合使用异常入侵检测技术,提高了检测率并降低了虚警率。
3数据库系统的安全
数据库系统的安全框架可分为三个层次: 网络 系统层次、宿主操作系统层次和数据库管理系统层次。由于数据库系统在操作系统下都是以文件形式进行管理的,因此入侵者可以直接利用操作系统的漏洞窃取数据库文件,或者直接利用os 工具来非法伪造、篡改数据库文件内容。因此,数据库系统的安全性很大程度上依赖于数据库管理系统。如果数据库管理系统安全机制非常强大,则数据库系统的安全性能就较好。根据数据库安全的三个层次,笔者提出了一个数据库入侵检测系统,其外层用基于网络的入侵检测,中间层用基于主机的入侵检测,内层采用入侵容忍。此系统采用系统整体安全策略,综合多种安全措施,实现了系统关键功能的安全性和健壮性。
4数据库入侵检测技术
数据库入侵检测系统的研究与设计借鉴了针对网络和针对主机的入侵检测技术,在此基础上,又考虑了数据库自身的特点。按照检测方法分为: 误用检测和反常检测。
(1)数据库误用检测
误用检测是指将已知的攻击特征存储在误用特征知识库里面,然后根据用户的当前操作行为与知识库里的误用入侵规则进行匹配检验,如果符合知识库中的入侵特征,则说明发生了入侵。误用特征知识库中的入侵规则由安全专家定义,可以随时添加、修改,然后保存在知识库中,用来对审计数据进行匹配比较。误用检测的优点是检测的准确率高,缺点是只能对已知的攻击特征进行匹配检验,对未知的攻击类型无法发现,而对未知攻击类型的检测要依靠异常检测。所以,误用检测常常与异常检测结合起来使用。
(2)数据库反常入侵检测
反常检测是指将用户正常的习惯行为特征存储在特征数据库中,然后将用户当前行为特征与特征数据库中的特征进行比较,若两者偏差足够大,则说明发生了反常。这种方法的优势在于它能从大量数据中提取人们感兴趣的、事先未知的知识和 规律 ,而不依赖经验,应用在基于数据库的入侵检测系统中,可以从大量的数据中发现有助于检测的知识和规则。
参考 文献 :
[1]唐正军.入侵检测技术导论[m]. 机械 工业 出版社, 2004.
[2]戴英侠,连一峰,王航.系统安全与入侵检测[m].清华大学出版社, 2002.
[3]玄加林,才书训.入侵监测系统现状与展望[j]. 计算 机时代, 2005,8.
第6篇:入侵检测技术范文
从某种作用上说,计算机数据库入侵检测技术是十分重要的计算机数据库保护手段之一。随着当前人们科技水平和生活水平的显着提升,计算机使用安全受到越来越多用户的重视。通过参考各种指标,我们深入了解已有计算机数据库入侵检测技术使用情况。这些相应的指标包括:及时检测黑客入侵状况、防火墙、安全路由器等等。从总体上来说,计算机技术体系是信息安全领域中极为关键的环节。正因为如此,计算机数据库入侵检测技术仅仅从单方面考虑出发,具有较为明显的局限性,入侵检测水平比较低。更详细地说,计算机数据库入侵检测主要利用计算机系统对相关方面的检测数据进行有效采集。当然,网络运转环境也是我们应该着重深思的环节。与此同时,我们必须科学分析和处理采集得出的检测数据。在实践中,为了最大限度地预防出现攻击行为,一旦觉察到有可疑之处,我们应该积极采取高效的防御技术策略,从而大幅度减少实际产生的损失。从另一种层次上说,在广大用户具体的实践操作过程中,计算机数据库入侵检测技术通过利用专业算法检测相关数据,确保这些数据能够符合一定的安全指标。在广大用户操作过程中,我们必须依据一定标准,合理分析相关数据有无出现入侵现象。计算机系统在收到相应的检测结果之后,能够采取有效的应策略略。
2 计算机数据库入侵检测技术存在的理由
在实践中,我们应该清楚地看到,计算机数据库入侵检测技术存在着一定的不足之处,有待深入探讨。
2.1 检测的正确率不够高
从目前看来,计算机数据库入侵检测技术存在着不少缺陷,有待日臻完善。实际上,误报和漏报的频率相对较低。调查报告表明,相当一部分数据库的数据量大。从某种程度上说,确实保护数据库是使用计算机数据库入侵检测技术的主要任务之一。正因为如此,在系统设定过程中,我们必须始终保持谨慎的态度,小心处理。尤其是,系统关卡的检测设定不到位,造成一定的负面影响。事实上,错误检测出不少非外界病毒和攻击,最大限度地降低了入侵检测系统的服务质量和正确率。
2.2 自身的防御能力比较差
值得注意的是,绝大多数计算机数据库入侵检测技术自身出现防护能力现象的主要理由在于:相关方面的设计人员能力相当差,系统有着不少缺陷。正因为这样,入侵检测系统会不可避开地遭受外界攻击和病毒侵入,导致全部检测系统基本处于瘫痪境地。更严重的是,外部攻破了系统,数据库遭受到一定程度地损坏。这里需要明确指出的是,可拓展性差,不容忽略。
2.3 检测的效率偏低
在实践中,按照相应的标准,入侵检测系统能够准确识别恶意攻击行为以及病毒侵害,在规定的时限内,妥善解决相关难题。只有处理相关难题之后,才能进一步达到确保数据库信息安全的目标。与之相反,在病毒侵害的状况下,数据库信息安全会受到一定程度的冲击。有鉴于此,人们对入侵检测系统的效率要求越来越高。但是,我们不难看出,在运转数据库系统的过程中,只有在符合一定现实条件的基础之上,网络攻击行为才能顺利发展演变为攻击行为。这个条件是,进行规模较大的二进制码转化处理。不可否认的是,入侵检测系统应该充分利用自身优势,科学、合理地匹配这部分规模较大的二进制码,紧接着进行相应的编码工作。实际上,对于攻击行为能否进行有效判断,很大程度上取决于收集到的数据是否足量。正因为如此,在入侵检测系统高效率的制约和束缚之下,系统计算量变得越来越大。换句话说,入侵检测所需费用越来越多。
3 完善计算机数据库入侵检测技术的措施
不容置疑,计算机数据库入侵检测技术具有一定的重要性。在分析计算机数据库入侵检测技术存在的理由之后,接下来,围绕完善计算机数据库入侵检测技术的措施谈谈自己的认识和意见。
3.1 建立统一的数据库知识标准
实践证明,在入侵检测过程中,对于用户操作行为特点进行充分了解,具有特别重要的作用。为了大幅度提升全部入侵检测系统的水准,我们应该结合自身实际情况,在计算机数据库运转过程中,并不排除遭受入侵特征的可能性。毫无疑问,入侵检测结果会一定程度上受到相关数据准确性和全面性的影响和束缚。有鉴于此,建立统一的数据库知识标准具有一定的实践作用。
3.2 构建入侵检测系统模型
通常来说,在详细检测审计数据之后,紧接着,对有无产生入侵行为进行判断,最终采取报警方式是检测系统基本的工作原理。从实现功能方面考虑,报警响应模块、采集数据模块和检测分析数据模块是检测系统十分重要的组成部分。除此之外,从实现策略方面考虑,管理模块、采集数据模块、数据库模块、检测数据模块、数据响应模块是检测系统十分关键的构成模块。对于绝大部分数据库而言,通过构建入侵检测系统模型,有助于及时检测出异常情况。值得一提的是,系统的构成部分并不在少数。这些构成部分包括:数据库接口组件、入侵检测、采集数据、挖掘数据和处理数据等等。更确切地说,在入侵检测阶段和训练阶段这些相关部分能够正常进行工作。毫无疑义,采集数据具有一定的重要性。在训练过程中,我们通过定期收集数据库里服务器主机相关方面资料,能够及时将数据特征反馈出来,更为深入地了解相应的用户操作行为。只有认真做到以上一点,才能给构建知识库和规则提供有力支持和帮助。值得肯定的是,处理数据具有一定的必要性。事实上,处理数据模块能够对相当一部分采集得来的数据进行高效处理。一般而言,这些数据的采集工作较为繁琐。从某种层面上说,绝大多数准备数据都是从数据提取中发展得来,对相关数据进行充分挖掘,确保顺利开展工作,是处理数据的主要功能。与此同时,入侵检测、挖掘数据、提取特征和知识的规则库应该引起有关部门的极大关注。
第7篇:入侵检测技术范文
关键词:数据库;入侵检测技术;网络安全
中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2010) 09-0000-01
Research on Intrusion Detection Technology Based on Database
Zhang Jiang1,Tang Jing2
(1.Alashanmeng Party and Special Communication Bureau,Alashanmeng750306,China;2.,Alashanmeng Center Branch of The People’s Bank of China, Alashanmeng750306,China)
Abstract:In this papersome knowledge of intrusion detection,data mining,database security,intrusion tolerance are introduced.The database application security technology is posed aimed at the present threat of network.The core of this paper is database intrusion detection system,use intrusion tolerance technology proceed protect when the intrusion is inevitability,make the system continuing provide important serve when confront with attach and destroy.
Keywords:Database;Intrusion detection technology;Network Security
随着计算机技术和通信技术的迅速发展,计算机网络的安全也越来越成为人们关注的一个热点问题。所以数据库系统的安全变得越来越重要,己经成为保护计算机系统的第二道防线。用数据库系统提供的用户级审计功能来发现入侵是困难的,审计数据量很大。将入侵检测技术应用于数据库的保护,有效地发现对系统的异常访问,提供对系统的进一步保护。对数据库系统的入侵检测技术是新的研究领域。
一、入侵检测系统
入侵检测技术是计算机安全技术中的重要部分,保障计算机网络系统及整个信息基础设施的安全非常重要,它从计算机系统中的若干关键点收集信息,并分析这些信息,检测计算机系统中是否有违反安全策略的行为和遭到袭击的迹象,它甚至关系到国家的安全和社会的稳定。
二、数据库入侵检测系统模型
(一)数据库系统的安全
数据库系统的安全除依赖自身内部的安全机制外,数据库系统的安全框架可以划分为网络系统层次,宿主操作系统层次,数据库管理系统层次三个层次。
(二)侵检测应用于数据库
目前,针对应用及其后台数据库的应用级入侵已经变得越来越猖獗。所有这些入侵都有可能绕过前台安全系统并对数据来源发起攻击。
为了对付这类威胁,新一级别的安全脱颖而出,应用安全与网络和主机安全之间存在很大的区别。这就是应用安全是千差万别的,但攻击的目标总是相同的。因此好的应用IDS应当能够解析SQL,可以保护数以千计的预先包装或自行开发的Web应用,并且提供一种能够理解流量的内容,且又能与应用划清界线的客观保护层。管理员可以利用它来修改IDS设置,并实时监视事件并生成报告。应用入侵检测系统的工作原理如图1所示。
(三)数据库入侵检测模型
基于网络的入侵检测可以检测出普通的一些攻击,本文提出了一个基于数据挖掘的混合型入侵检测模型DBIDS,实现一些复杂的需要大量计算与分析的攻击检测,其核心是将基于主机和基于网络的入侵检测结合起来,而这正是基于主机的入侵检测的强项。通过网络入侵模块和主机入侵模块后,将这些看作是可疑行为,进行数据隔离,实现入侵容忍,当发生入侵时通过入侵容忍技术使数据库受到的损失尽量减小。模型流程图如图2。
三、数据库入侵检测系统的实现
针对传统入侵检测系统设计方面的上述不足,在线检测模块采用基于网络的入侵检测以及对SQL语句分析。从安全数据库系统入侵检测的角度出发,快速判断是否入侵。提出安全数据库入侵检测系统DBIDS,离线检测模块采用了基于主机的入侵检测,此系统其外层用基于网络的入侵检测,利用SQL Server的Profiler工具创建跟踪,采用入侵容忍技术实现数据库的健壮性。通过成异常检测模型,网络入侵检测部分提供早期警告,并利用此模型进行检测。入侵容忍模块采用入侵隔离技术,基于主机入侵检测部分可提供攻击成功与否的情况分析和确认,并结合数据库的备份和日志进行入侵数据库的恢复,采用序列模式。
四、结论
本文在数据库入侵检测系统的理论与实现方面进行了深入的研究,设计并实现了基于数据库挖掘的数据库入侵检测系统,采集数据库的审计数据。采用了典型的关联规则算法Apriori算法对用户的历史审计数据进行训练学习,主要是使用SQL Server的事件探查器进行数据的采集,生成异常检测模型;并利用它进行异常检测,并根据系统的要求进行了预处理。
参考文献:
[1]马恒太,蒋建春,陈伟锋,等.基于Agent的分布式入侵检侧系统模型.软件学报,2000 Vo1.11No.10P.1312-1319
[2]连一峰.分布式入侵检测系统的协作交互研究.中国科学院研究生院学报,2005 Vo1.22No.2P.202~209
第8篇:入侵检测技术范文
关键词:计算机数据库 入侵检测技术 研究分析
引 言
随着科学的发展,信息网络安全领域逐渐受到了人们的关注。现阶段,经常出现一些计算机数据库遭到非法攻击的行为,究其原因是,我国计算机入侵检测技术存在限制,检测能力有限。
1.数据库入侵检测的方法和功能分析
依照计算机数据库入侵检测技术的自身特点,检测技术可以分为两种:反常检测以及误用检测。其中,前者主要是比较用户的行为特征和数据库特征,依照比较结果之间的差别来断定是否出现反常行为。这种方法可以为人们在数据库中存储一些常用的检测规则和知识信息,对使用者的要求不高。后者,误用检测,主要利用误用知识库中的攻击特征来比较误用入侵,判断入侵行为。关于入侵的规则需要专业人员进行修改以及定义,检测准确率很高,但是却无法判断入侵类型,因此,在实际的计算机操作中,两者往往结合使用[1]。
2.数据库入侵检测技术存在的问题
因为计算机技术在我国的发展时间并不长,而且我国关于入侵检测的系统和技术不够完善,现阶段我国的数据库入侵检测技术仍处在一个探索的阶段。存在着很多问题,主要可以总结为以下几点:
(1)为了保证大数据量的数据库,在进行检测系统关卡设定的时候,十分严格,造成了一些非外界攻击被错误检测,降低了系统检测率和服务质量。
(2)在现在的计算机网络中,关于数据编程和入侵以及反入侵时的数据计算,都是采用二进制计算方法,另外,也由于用户行为不断变化,最终导致计算量和计算成本十分庞大,降低了入侵检测效率。
(3)因为系统以及设计人员能力问题,使得检测技术自身防护能力较差,所以,在出现外界病毒入侵就爱你吃系统时,容易造成整个系统瘫痪,导致数据流失。
3.数据库入侵检测技术的研究分析
3.1更新Apriori算法
关于Apriori算法,其中最为重要的步骤是调查大项目集。在调查的过程中,主要分为两大部分:第一,依照查询结果,从最多的K-1个项目集LK-1中选出待选的K个项目集Ck;第二,整理和扫描D 数据库,保证待选的所有项目集有足够的支持度,最终得到K个项目集Lk-1。一般情况下Apriori算法能够整理好多数的待选集,对于综合能力较强的数据库,由于待选集数目较多,则需要耗费更多的时间和精力[2]。所以更新Apriori算法具有十分重要的意义。
更新Apriori算法的具体方法步骤:第一,尽可能的降低待选集中候选项的总体数量;第二,在进行扫描控制的时候,要合理扫描操作数据库,使之最终能够利用编码进行Apriori算法,同时保证各项都是依照数据库中的结果编码所得。另外,为了改善挖掘算法,在进行交易时,如果项目出现就设计编码位置为1,否则设计编码位置为0。
3.2数据库入侵检测的系统模型
关于数据库入侵检测的系统,在工作的时候,主要步骤是:首先检测审计数据,然后判定入侵行为,最终发出报警。根据系统的功能可以把IDS分为采集数据模块,报警响应模块以及数据检测分析模块这三大功能模块。然而,系统模型主要进行数据库的异常检测,它主要包括五个部分:接口组件,采集、处理以及挖掘数据,入侵检测。这五个部分主要在训练和入侵检测阶段工作[3]。
关于系统模型的具体分析:第一,收集数据。在训练阶段中,收集服务器中的主机日志资料,同时反映主要的历史操作行为和数据特征;然后在入侵检测的时候,收集审计数据,保证系统的顺畅。第二,在第一步中收集的数据要进过处理得到所需数据,即是处理数据。第三,利用处理后的数据,从中提取相关的规则和行为特征,保证数据库模式的安全,这一步是挖掘数据。第四,关于知识的规则库,检测系统通过对比,主要检测用户行为是否正常,判定是否为入侵行为。第五,提取特征模块主要是提取用户操作行为的特征。第六,入侵检测模块是整个系统中用来判断用户入侵行为并且采取相应行动的算法模块。
3.3数据库知识标准
在整个数据库入侵系统中,关于数据库入侵特点的研究和掌握十分重要,在整个入侵检测结构中,数据库的覆盖面以及准确度发挥着重要的作用。相关研究是数据挖掘技术的主要技能,它的主要功能就是利用规定的一个记录整理,研究得出Item之间的联系程度,并且在数据库系统内部进行结合,然后整理研究,并最终挖掘出潜在的入侵行为。挖掘方法主要包括两个方面:一方面在扫描数据库,利用迭代技术检测复杂项集时,要保证其准确度;另一方面,转变复杂项集为相关规定,并且成型后生成的另一种规则要按规定运行。
4.小结
综上所述,关于计算机数据库的入侵检测技术对于计算机的发展具有十分重要的意义。为了保证计算机安全运行,我们要加强对于计算机数据库的入侵检测技术的研究和创新,实现数据库入侵检测系统的层次化以及检测技术的智能化的发展。为计算机的运行提供一个良好、安全的使用环境。
参考文献:
[1]雷利香.计算机数据库的入侵检测技术探析[J].科技传播, 2011(14):209—211
第9篇:入侵检测技术范文
关键词:网络入侵检测;BP算法;入侵攻击
中图分类号:TP393.08 文献标识码:A 文章编号:1006-8937(2012)11-0083-02
随着计算机网络技术与网络通信产业的高速发展,信息技术和网络对当今社会的科教、经济、文化和电子商务等各个领域具有非常大的贡献。然而随着社会对计算机网络的依赖越来越大,出现了越来越多关于影响计算机网络安全的事件,目前有计算机杀毒软件、木马防御软件以及网络防火墙等软件,都起到一定的防御作用,但是在新的网络入侵攻击方式下,却常常无能为力。所以近些年来,计算机网络入侵检测技术越来越受到欢迎,它可以适应主动性攻击,有自主学习能力,能够更新入侵攻击规则库等功能。
网络入侵检测技术的应用,的确可以弥补防火墙、杀毒软件的缺陷,提高计算机网络安全的性能。但是传统的网络入侵检测技术存在一些问题,例如漏/误报率高、网络实时检测能力不高、检测的速率较低等问题。
如何解决以上提出的问题,就需要对传统的网络入侵检测技术进行改进,提高新的网络入侵检测方法。本文提出了基于BP神经网络算法的网络入侵检测技术,它是能够很好适应当前海量数据检测,较低入侵检测漏/误报率的方法。
1 传统入侵检测技术的模型与不足
1.1 传统入侵检测的发展
20世纪70年代后,随着计算机网络技术的发展,计算机的大规模及超大规模集成电路的高速发展,计算机的性能变高体积变小,在社会上应用计算机的用户也越来越多,遍布全世界。传统的防火墙开始不能够满足计算机安全的新需求,于是入侵检测技术也登上了应用舞台。它的发展主要包括几个时期,分别是:早期研究、基于主机入侵检测系统研究、基于网络入侵检测系统研究和基于智能网络入侵检测系统研究。
早期研究主要是1983年,(Stanford Research Institue)用统计方法分析IBM大型机的 (System Management Facility)记录,这就是网络入侵检测的雏形。
基于主机的入侵检测系统出现在20世纪80年代初期,那时网络规模还比较小,而且网络之间也没有完全互连。在此网络环境下,检查可疑行为的审计记录相对比较容易,也比较简单,通过对攻击的事后分析就可以防止随后的攻击。
基于网络的入侵检测系统需要原始的网络数据源,它把服务器的网卡设为混杂模式,该服务器的主机能够实时接收和分析网络中数据包,进而能够检测是否存在入侵行为,基于网络的入侵检测系统需要随机模式下的网络适配器来实时检测并分析通过网络的所有的网络通信业务数据。
基于智能网络入侵检测系统研究主要包括,神经网络、数据挖掘技术、人工免疫、容错技术等不断渗透或融入到智能的入侵检测技术中,将网络入侵检测系统的发展提高到一个新的台阶。
1.2 传统入侵检测的过程
传统的入侵检测的过程可以分为三个阶段,网络数据收集阶段、数据分析处理阶段及检测响应阶段。
①网络数据收集阶段。从入侵检测系统的信息源中收集网络数据,收集到的数据内容包括网络用户活动的行为和日志情况等。数据收集的网络数据范围广,入侵检测系统的检查范围也变得越大。一般情况下,基于网络的入侵检测的数据源,属于多源数据源,数据量较大,而基于主机的入侵检测系统的数据源属于单一,数据量比较小。
②数据分析处理。入侵检测系统从信息源中收集到大量的网络包数据,每秒钟都有源源不断的网络包,从海量的网络数据中,通过定好规则库,把大量的属于正常的网络数据包给过滤掉,剩下的小部分疑似网络攻击的异常行为的数据信息。因此如何快速处理数据,是当今入侵检测技术需要解决的热点问题。
③检测响应。当发现到网络包里面包含异常事件时,入侵检测系统就会及时对攻击情况作出类型判断,采取相应的响应来处理。常见的响应方式有:自动终止攻击、终止用户连接、记录事件的相关信息、向安全管理人员发出提示性电子邮件等。
1.3 传统入侵检测技术的特点
传统的通用入侵检测模型比较适合基于主机的入侵检测系统,对应基于网络的入侵检测系统来说,存在着许多问题:
①误/漏报率高。由于传统的入侵检测系统在处理网络数据包时,检测的方法比较传统,只能按照现有的规则来判断是否是异常事件,但是一遇到基于网络的入侵检测系统,检测海量数据包,就不是那么得心应手了,有限的时间,要处理好大量的数据,方法单一,使得最终检测出来的结果误/漏报率高。
②网络实时检测能力不高。传统的入侵检测技术方法比较单一,没有比较灵活的检查算法,所以在检测的时候,很难及时把结果处理出来,因此在一定程度下,实时检测性较差,影响了检测效果。
③检测的速率较低。传统入侵检测技术方法相关产品已不能适应交换技术和高带宽环境的发展,在大流量冲击、多IP分片情况下都可能造入侵检测系统的崩溃或丢包,所以检测的速率也不是很理想。
2 BP神经网络算法概述
2.1 BP神经网络算法
人工神经网络是一种应用类似于大脑神经突触联接的结构进行信息处理的数学模型。神经网络是一种运算模型,由大量的节点(或称神经元)和之间相互联接构成。
输入:给定训练集Xtrain,其中每一个训练样本都是由一组输入和一组输出构成,所有的输入和输出都是[0,1]之间的浮点数据(如果不是,要首先通过数据变换把它们映射到[0,1]区间);神经网络结构:隐含层节点数目;神经网络每个节点的、参数化了的特征函数。
输出:神经网络每个节点特征函数的参数。
①按照有序导数计算公式计算总体误差对于每个参数的有序导数公式(函数)。
②任意选择一组数据作为初始参数,一般选取(0,0,…,0),把这组初始参数作为当前参数。
③根据当前参数和总体误差计算公式计算总体误差,如果误差足够小,就把当前参数作为输出,退出;否则,继续下面的步骤。
④根据参数调整公式和当前参数数值,计算总体误差对于各参数的有序导数数值。
⑤计算各个参数的调整大小,并计算调整后的参数大小。把调整后的参数作为当前参数,回到第三步。
2.2 神经网络计算过程
BP神经网络算法在工作过程中,首先对神经网络的参数进行初始化处理,然后计算出隐藏层单元的个数、计算输出层单元的输出个数、计算输出层单元出现的误差,当误差在允许范围内,则结束,输出相应的结果;如果误差不在允许范围内,则要调整中间层到输出层连接的权值和输出层单元,再调整输入层到中间层的连接权值和输出单元,同时更新学习的次数,当学习次数大于上限值,则结束,输出结果;如果还没到上限值,则反复地进行误差调整,直至满足算法的误差要求。最终输出结果。
3 网络入侵检测的结果
该设计方案已经在广东省潮州市某大型企业中应用,具体实验情况包括以下几个方面。
3.1 实验环境
该实验在真实网络入侵环境下进行检测。该应用平台的硬件包括由1台服务器和25台客户机构成。
入侵检测时,以25台主机同时对企业的内部财务系统进行访问,对公司的服务器进行。
3.2 实验结果
改进前和改进后的实验结果如下表1所示。
通过实验的结果比较,改过后的入侵检测系统比改进前入侵检测系统,提高了准确率,同时也降低了误报率和漏报。结论证明改进后的基于BP神经网络入侵检测系统达到预期目标。
4 结 语
本文从实际出发,通过科学改进,设计开发出一种基于BP算法网络入侵检测技术的有效方法,充分地利用了算法设计思想,并应用到实际项目中,最终达到预期的效果。总体来说,入侵检测在网络安全应用中是越来越广泛的,但是随着海量网络数据的发展,入侵检测技术要不断的更新检测算法,来适应网络对技术的要求。
参考文献:
[1] 李秀改,候媛彬.基于神经网络BP算法的模糊自适应控制器的研究与实现[J].电气传动自动化,2000,(4).
[2] 周川,董秀成.基于神经网络模型母线保护的运用研究[J].成都纺织高等专科学校学报,2007,(3).
