9)神经网络算法 神经网络算法主要利用入侵样本进行训练,构造基于多层感知器的神经网络分类器,使系统具备对某些入侵行为进行分类的能力。入侵样本主要从系统程序的执行轨迹中提取关键程序的正常系统调用子序列,或从其遭受入侵攻击的执行轨迹中提取关键程序的标识已知入侵的系统调用子序列。这些数据经过学习,改变神经元之间的连接权值进而将有关入侵行为的特征信息储存到神经网络中。完成学习后,利用构建的神经网络分类器监控系统关键程序的执行情况,从而确定系统是否受到恶意入侵。 10)遗传算法 遗传算法分析包括两步,第一步是用一个位串对问题的解决办法进行编码,第二步是与一些进化标准比较,找一个最适合的函数测试群体中的每个个体。基于遗传算法的入侵检测先使其通过一个学习样本库进行训练。通过对样本库中各个样本的选取、交叉、变异操作,生成新一代个体,然后选取检测能力最强的那些个体进入新一轮的交叉、变异和选择,通过若干代的循环过程,直到检测能力不再提高为止。对未知入侵还可以自我学习,不断完善特征库。 11)数据挖掘方法 基于数据挖掘的入侵检测方法从大量的审计数据或数据流中提取感兴趣的知识,这些知识是隐含的、事先未知的潜在有用信息,提取的知识表示为概念、规则、规律、模式等形式,并用这些知识去检测异常入侵和己知的入侵。 12)基于模糊技术 模糊入侵检测系统是基于知识的入侵检测系统,它不针对每个入侵的模式进行匹配,而是从多个角度对入侵的模糊特征用模糊集合描述,并以模糊规则的形式存放在模糊专家系统中,模糊入侵检测系统分析原始数据产生模糊证据,提交给模糊专家系统分析,从而产生响应。 13)免疫系统方法 免疫方法通过模拟生物有机体的免疫系统工作机制,使受保护的系统能区分非我与自我。生物免疫系统通常对先前己发现的外界感染类型做出比较强烈的反应。但是它同样可以处理新的未知感染类型,针对未知的感染病原体进化出新的检测器来处理此种病原体类型。14)基于代理检测 基于代理的检测方法就是一个在主机上执行某种安全监控功能的软件实体,不需要其他进程控制,只需要操作系统就可完成。基于代理的入侵检测系统能够在其能力允许范围内提供异常检测和误用检测的混合检测能力,可以适应本地环境变化,并能在长时间内监控非常不去定的模式。 3现有入侵检测方法的对比 综合分析来看(表1),误用入侵检测的各类方法实现起来较容易,并且检测的速度比较快,检测率和准确率也比较高,但普遍存在的缺点是不能检测未知攻击,面对出现的新入侵无能为力;异常入侵检测技术可以较好的检测未知入侵,然而会产生误报,额外增加系统的处理操作负担,并且对"正常"行为特征轮廓的确定、更新和特征量的选取工作难度较大,检测速率较低。基于两类入侵检测方法国内外已开发了很多入侵检测系统,但是,在核心算法方面、在有效性、自适应性等方面以及在检测率方面仍存在较多的问题,这也是国内外专家仍然不懈地致力于开拓新思路的主要原因。 4入侵检测方法研究趋势 现今,网络环境日益复杂,入侵检测研究面临更大的挑战。一方面,现今的网络传输速率已经达到Gbit/s,入侵检测的基础是获得完整的网络数据流,否则无法完成正常的检测。并且网络内部流量包括了各种业务,如各种服务FTP、HTTP、SMTP等,因此入侵检测系统面临着海量数据处理的压力。另一方面,随着网络日益广泛的普及,各种黑客工具蔓延,导致网络入侵越来越复杂,不断出现新的入侵,并且新的入侵具有分布式特点,不断朝着网络化、隐蔽化的方向发展,因此对入侵检测的准确性与实时性要求也越来要高,并且需要系统具有发现未知入侵的能力,来应对新的攻击。目前,入侵检测方法的主要研究方向有: 1)智能检测方法从理论到实际应用进行过渡,积极探求新的方案解决智能检测方法中计算量大的问题,以发挥智能检测中检测未知入侵的能力,应对复杂的攻击; 2)入侵检测与其他安全技术相结合,提供完整的网络安全保障。其他安全技术如防火墙、PKI/SET等; 3)单一的入侵检测方法存在难以避免的缺陷,因此,加强入侵检测方法之间的协作机制,以自身的长处弥补协作方的不足,从而提供纵深的、多方位的综合网络安全防护体系,成为入侵检测的一个发展趋势。 参考文献: [1]修玮.关于局域网络对外来网络设备排斥的研究[D].大连:大连交通大学,2009:1-2. [2]卿斯汉,蒋建春,马恒太,等.入侵检测技术研究综述[J].通信学报.2004,25(7):19-29. [3]唐正军.入侵检测技术导论[M].北京:机械工业出版社,2004:246-167. [4]HofmeyrS.A.AnImmunologicalModelofDistributedDetectionanditsApplicationtoComputerSecurity[D].Albuquenque,UniversityofNewMexico,1999. |