硕士论文-基于tcpip协议分析的入侵检测系统研究与实现
电子科技大学硕士学位论文
定是非常关键的,阈值定的过大,那漏报率会很高;阈值定的过小,则误报率就会提高。合适的参考阈值的选定是影响这一检测方法准确率的至关重要的因素。
从异常检测的原理我们可以看出,该方法的技术难点在于:“正常”行为特征轮廓的确定;特征量的选取;特征轮廓的更新。由于这几个因素的制约,异常检测的误报率很高,但对于未知的入侵行为的检测非常有效。此外,由于需要实时地建立和更新系统或用户的特征轮廓,这样所需的计算量很大,对系统的处理性能要求会很高。
2.5.2误用检测技术
误用检测,也放称为基于知识的检测。是指根据已知入侵所独有的模式或特征,靠脏视特定目标的特定行为,通过对检测数据的模式匹配来判断入侵行为的发生与否。误麓检测的关键是如何发现并表达入侵独有豹模式或特征,把真正的入侵与难常行为区分开来。其基本前提是:假定所有可能的入侵行为都能被识别和表示。
常用的具体方法有:基予条件概率误用入侵检测方法、基于专家系统误用入侵检测方法、基于状态迁移分析误用入侵检测方法、基于模囊误用入侵检测方法。
误用检测的关键闷题;特征模式库的正确表示。误用检测是根据对特征模式库的匹配来判断入侵的,那如何有效地根据对已知的攻击方法的了解用特定的模式语言来表示这种攻击,即特征模式库的表示,将是该方法的关键所在,尤其特征模式库必须能够准确地表示入侵行为及其所有可能的变种,同时又不会把非入侵行为包含进来。由于很大~部分的入侵行为是利用系统的漏洞和应用程序的缺陷,那么通过分析攻击过程的特蔹、条件、排列以及事件闻的关系,就可具体描述入侵行为的迹象。这些迹象不仅对分析已经发生的入侵行为有帮助,而且对即将发生的入侵瞧有预警作用,因为只要部分满足这些入侵迹象就意昧羞可能入侵行为的发生。
误朔检测是通过将收集到的信意与已知的特征模式库进行比较,从而发现违背安全策略的行为的。那么它就只需收集相关的数据,这样系统的负担明显减少。该方法类似于病毒检测系统,其检测的准确率和效率都比较高。而且这种技术比较成熬,国际一}:一些顶尖的入侵检测系统都采用的该方法,但是它也存在一些缺点:(1)不能检测未知的入侵行为。由于其检测机理是对已知的入侵方法进行模式掇取,对于未知的入侵方法由于缺乏知识就不能进行有效的检测。也就是说漏报14
