关键字 |
| 防火墙,IDS,AI异常误用 |
导 言 |
| IDS(入侵检测系统)是指用于检查网络所有流量并通知用户或管理员未经授权尝试或访问时通知用户或管理员的设备或应用两个主要监测方法基于签名和异常视设备或程序使用而定,IDS可简单通知用户或管理员或设置它阻塞特定流量或自动响应方式入侵检测系统没有能力停止攻击而非检测并报告网络人员 |
| 签名检测依赖流量对比数据库 内存已知攻击方法签名异常检测将当前网络流量比作已知良好基线查找异常事物IDS可战略定位网络为NIDS(网络入侵检测),检查所有网络流量或安装在每个系统上,HIDS(宿主入侵检测)仅检查该专用设备往返流量 |
| 防火墙是两个或两个以上计算机网络之间的硬件或软件系统,用为这些网络确定的规则和策略隔离这些网络,以停止实施攻击。 很明显防火墙不足以完全安全网络,因为外部攻击停止而内部攻击不停止入侵检测系统(IDSs)掌权就是这种情况IDS使用以停止攻击、以最小损耗从中恢复或分析安全问题以避免重复.IDS从计算机或计算机网络收集信息以检测攻击和系统误用 |
设计背景 |
| 网络革命终于成熟比以往任何时候,我们看到互联网正在改变计算,正如我们所知道的那样。可能性和机会无限不幸,恶意入侵的风险和机率也是如此系统安全机制设计非常重要,以防止未经授权访问系统资源和数据然而,完全防止破坏安全目前似乎不切实际。然而,我们可以尝试检测入侵图例,以便日后采取行动修复损坏本研究领域称为入侵检测 |
| 简单防火墙无法像过去那样提供足够安全今日公司正在起草复杂安全政策,执法需要使用多系统,包括主动式和反应式系统(往往多层次和高度冗余性系统)。入侵检测系统背后的假设很简单:部署一组代理检查网络流量并查找已知网络攻击的签名网络计算演化和网络可提供性使概念略为复杂分布式拒绝服务攻击出现后,交通源不再提供可靠时间线索说明攻击正在进行中更糟糕的是,对此类攻击作出反应的任务因源系统多样性而更加复杂化,特别是因大多数攻击的地理分布性质而更加复杂化。 |
| 入侵检测技术常被视为粗度实验,但入侵检测领域已大都成熟到它与防火墙和病毒保护系统并存网络屏蔽空间的程度实际实现往往相当复杂并往往是专有性,入侵检测背后的概念出奇简单:检查所有网络活动(进出境)并识别可证明网络或系统攻击的可疑模式 |
类型设计系统 |
入侵检测系统划分为三大类 |
| 开工主机IDS:宿主入侵检测系统监督计算机系统安装检测入侵和/或误用宿主IS分析数区判定误用(网络内恶意或滥用活动)或侵入(外部侵入)以主机为基础的IDS查询数类日志文件(内核、系统、服务器、网络、防火墙等),并比较日志与内部数据库已知攻击常用签名主机ISS还可以验证重要文件与可执行文件数据完整性 |
| 二叉网基IDS:网络入侵检测系统运行不同于主机IDS网络型IDS设计原理是扫描路由器或主机级网络包,审核包信息,并登录可疑包入带扩展信息的特殊日志文件基于这些可疑资料包,网络型ISS可扫描数据库已知网络攻击签名并分配每个资料包的严重程度 |
| 3级混合基础IDS:混合入侵检测系统提供网络和宿主入侵检测装置的管理和报警混合解决方案为NID和HID-中心入侵检测管理提供逻辑补充 |
不同方法IDS |
本文将研究四种入侵检测方法 |
| 人工神经网络IDS |
| SOM-IDS |
| 模糊逻辑-IDS |
| SVM-IDS |
Ann-IDs: |
| ANN系统是最古老系统之一曾用于入侵检测系统(IDS),ANN技术最常用并成功应用于入侵检测(Horeis,2003!Joo et al.,2003KevinRhonda和Jonata-than,1990年Tan,1995年不同类型ANN显示,这些技术可划分为三大类:ANN监督入侵检测,ANN不受监督入侵检测,ANN混合入侵检测受监督ANN应用IDS主要包括多层前向神经网络和循环神经网工程.然而,ANN基础IDS的主要缺陷存在于两个方面:(1)低检测精度,特别是低频攻击,例如远程对本地对root用户对U2R和2弱检测稳定性(Beghdad,2008年)。在上述两个方面,主要原因是不同类型的攻击分布不平衡。低频攻击倾斜样本大小小于高频攻击令ANN不容易学习攻击字符,检测精度低得多 |
SOMIDS: |
| 完全基于自组织特征图层次学调查网络入侵检测法我们的原则兴趣是确定在实践中可在多大程度上采取这种做法。为此,使用国际知识发现数据挖掘工具竞赛基准数据集广泛分析评估特征意义、培训数据分治和架构复杂性对SOM进行整体评价后产生的贡献包括确认(1) 基于KDD数据集所有41特征的双层SOM层次实现最佳性能(2) 原创培训数据中只有40%足以培训目的协议特征为交换参数提供基础,支持模块化解决检测问题后续检测器提供假阳率1.38%和90.4%测试条件表示探测器迄今最优性能 基于不受监督学习算法 |
| 自组织地图是一个神经网络模型,用于分析和可视化高维数据属竞争学习网络范畴SOMFig1定义从高维输入数据空间映射成正常二维神经元数组 |
| 自组织地图成功应用到传统方法失效的复杂应用区由于其固有非线性,它们可处理比传统方法复杂得多的情况问题之一是入侵检测系统系统处理输入高维数据,需要它映射二维空间设计入侵检测系统架构应用神经网络SOM |
模糊逻辑IDS: |
| 模糊系统显示它们有能力解决各种应用领域不同问题模糊规则系统在许多应用区成功使用模糊if-th规则传统上从人类专家中获取最近,建议各种方法自动生成并调整模糊规则而不使用人专家帮助遗传算法一直被用作规则生成和优化工具设计模糊规则系统引入模糊逻辑检测有两个主要原因第一,许多量化特征,包括规律性特征和绝对特征都与入侵检测相关,并有可能被视为模糊变量 |
SVMIDS: |
| 支持向量机分类器原设计二分分类分类应用解决多类问题决策-树基支持矢量机综合支持向量机和决策树可有效解决多级问题.SVM学习系统使用高维特征空间线性函数假设空间,培训从优化理论学习算法SVM基础思想高平面分类器或线性分离性SVM是最成功的分类算法之一 数据挖掘区, 但它长训练时间限制使用数据挖掘和生物信息学等多项应用需要处理大数据集SVM培训时间是处理这类数据集的严重障碍显示SVM学习数据集需要数年时间 数据集由百万记录组成提交许多建议提高SVM培训性能,或随机选择或近似边际分类器大型数据集即使多扫描全数据集费用太高无法实现或因过分简化使用SVM获取的任何利益而损耗自组织向量机和辅助向量机也被用作异常入侵检测器 |
| SVM测试入侵检测有两个主要原因首先是速度,因为实时性能对入侵检测系统至关重要,任何分类器都可能超出神经网络值得考虑。第二个原因是可缩放性:SVM对数据点数相对不敏感,分类复杂性不取决于特征空间的维性。 |
设计系统组件 |
| 入侵检测系统通常由三大功能组成 |
| 数据源数据源可归为四类,即主机监视器、网络监视器、应用监视器和目标监视器 |
| ANALESEENGE:-本组件从数据源收集信息并检查数据显示攻击或违反其他策略的症状 |
| QQQERSPONSE MaNAGER:-基本术语响应管理器只有在系统发现不准确性(可能入侵攻击)时才能行动,通知人或以响应形式的东西 |
| 分析引擎可使用下列一种或两种分析方法: |
| 误用/签名检测:这类检测引擎检测入侵误用检测器分析系统活动并尝试找到匹配活动与已知攻击并事先向系统介绍定义或签名 |
误用IDS优缺点 |
| 误用检测器高效检测攻击而不信号假报警 |
| 误用检测器可快速检测特制入侵工具和技术 |
| 误用检测器为系统管理员提供易于使用的工具监督他们的系统,即使他们不是安全专家 |
误用IDS缺陷 |
| 误用检测器只能检测预知攻击正因如此系统必须更新新发现攻击签名 |
| 误用检测器设计来检测只向系统输入签名的攻击已知攻击稍有变化并获取变异攻击时,检测器无法检测同一次攻击的变异 |
| 误用IDS混合使用是开源项目Snolt它只寻找已知缺陷,可能不关心检测未知未来入侵 |
| 异常/统计检测:异常检测引擎会查找稀有或异常[26]分析系统事件流使用统计技术查找似异常活动模式异常检测器检测计算机或计算机网络上异常行为依此方法,偏差行为与假设为squality行为相左被认为是攻击和异常检测器计算偏差以检测这些攻击异常检测器使用正常行为构建用户剖面图、服务器和网络连接剖面图使用被接受为正常数据制作配置构建后,检测器监控新事件数据,比较新数据获取剖面并检测偏差异常行为标记为攻击异常法的利弊如下: |
异常入侵检测系统优异 |
| 异常基础ISS比签名基础ISS高超,即使在不存在攻击详细信息时仍能检测攻击 |
| 异常检测器可用于获取基于误用IDS使用签名信息 |
异常入侵检测系统缺陷 |
| 异常IDS泛泛标出多道假报警,仅仅因为用户和网络行为并非总能预知 |
| 异常方法需要大套培训数据,由系统事件日志组成,以构建正常行为剖析 |
| 系统费用高,并识别干扰行为为正常行为 |
重要信息编解码 |
| 知不知道在日本, 网际犯罪总数比2000年高近60%?网络诈骗率上升94%计算机犯罪和知识产权部分提到的报告显示,1995-2000年,香港网上犯罪案例增加26倍1995年犯罪总数达14起,2000年犯罪数增至368起最受欢迎社交媒体网络每周看到多达2千万探针这些探针通常是由原因引起的诸如攻击者获取未经授权访问权、恶意软件和授权用户试图获取额外特权答案是入侵检测器 |
| 入侵检测设备像窃听报警计算机网络监控流量并方便信息系统处理攻击系统保护企业搭建 识别、记录、报告并发送报警入侵检测软件的主要任务是检测攻击并可能击退攻击文章将深入了解入侵检测装置的一些初级利益 |
结论 |
| IDS设备用于检查网络所有流量并提醒用户有未经授权访问有两种主要监测方法,即签名法和异常法 |
| 论文描述三种入侵检测系统本文的主要目的是介绍IDS.ANN和SVM方法属于监督方法的不同方法,SOM和Fuzzy逻辑方法属于不受监督方法研究这些方法后,我们发现混合基础方法可以克服前方法中存在的问题。 |
| 图一览 |
 |
 |
| 图1 |
图2 |
|
引用 |
- S.北切特,入侵签名和分析,新车手,印第安纳波利斯,印第安纳州,2001年,pp 189-211
- 约阿希姆斯T机器学习国际会议记录,Morgan Kaufman,2000年
- 公元前赞博尼,“使用内部传感器检测计算机入侵”。Prudue大学信息保证安全教育研究中心2001年8月
- R.Graham,“FAQ:网络入侵检测系统”。2000年3月21日
- S.派达巴奇加里市高山JThomas,2007年1月1号第30卷Network应用杂志114-132
- M.Sanie Abadeh J.哈比比Lucas,“使用模糊遗传学算法入侵检测”,网络学和计算机应用杂志,第30卷,第1期2007年1月1日,Pages414-428
- Paul innellaTetrad,“入侵检测系统演化”,数字完整性LLC 2001年11月16日
- Harley Kozushko,“入侵检测:宿主和网络入侵检测系统”,2003年9月11日
- 亚伯拉罕A和ThomasJ(2005年)分布式入侵检测系统:计算智能
- 约阿希姆斯T高尺度SVM学习实用性LS8-Report,dortmund大学LSVIIIReport,1998年
|
菜单类
