硕士论文-基于tcpip协议分析的入侵检测系统研究与实现
苎三主△堡垒型堡鎏
统的活动、内部人员在授权范围内从事的非法活动和在网络数据包中无异常而只能通过主机状态的异常变化才能反映出来的攻击;基于网络的检测在协议解析和模式匹配等方面的计算成本非常高,要保证可靠、准确、及时地检测入侵行为就必须对网络分组流进行实时的监控:不能检查加密的数据包,严重依赖于高层协议(如应用层)的解析能力(应用程序的知识则通常不是应该由它考虑的),不知道接收节点对数据包的处理过程以及由此引起的状态变化。这些因素都会使其检测能力受到很大豹限制。
2.5入侵检测技术
根据采用的检测方法,可将入侵检测技术分为异常入侵检测技术(AnomalyDetection)和误用入侵检测技术(MisuseDetection)。
2.5.1异常检测技术
异常检测,也被称为基于行为的检测。其基本前提是:假定所有的入侵行为都是异常的。原理:首先建立系统或用户的“正常”行为特征轮廓,通过比较当前的系统或用户的行为是否偏离正常的行为特征轮廓来判断是否发生了入侵。而不是依赖于具体行为是否出现来进行检测的,从这个意义上来讲,异常检测是一种间接的方法。
常用的具体方法有:统计异常检测方法、基于特征选择异常检测方法、基于贝叶斯推理异常检测方法、基于贝叶斯网络异常检测方法、基于模式预测异常检测方法、基于神经网络异常检测方法、基于机器学习异常检测方法、基于数据采掘异常检测方法等。
异常检测的关键问题:①特征量的选择。异常检测首先是要建立系统或用户的“正常”行为特征轮廓,这就要求在建立正常模型时,选取的特征量既要能准确地体现系统或用户的行为特征,又能使模型最优化,即以最少的特征量就能涵盖系统或用户的行为特征。②参考阈值的选定。因为在实际的网络环境下,入侵行为和异常行为往往不是一对一的等价关系,这样的情况是经常会有的:某一行为是异常行为,而它并不是入侵行为:同样存在某一行为是入侵行为,而它却并不是异常行为的情况。这样就会导致检测结果的误报和漏报的产生。由于异常检测是先建立正常的特征轮廓作为比较的参考基准,这个参考基准即参考阈值的选13
