亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费

　　傳統(tǒng)入侵檢測的不足

　　隨著Internet的不斷發(fā)展，網(wǎng)絡安全已經(jīng)逐漸成為人們越來越關(guān)心的問題，而入侵檢測系統(tǒng)是繼防火墻之后逐漸興起的防護手段之一，也越來越受廣大學者和工程人員的重視。

　　傳統(tǒng)的入侵檢測方法分為兩種：基于誤用檢測(misused-based)方法和基于異常檢測(anomaly-based)方法。前者需要攻擊樣本，通過描述每一種攻擊的特殊模式來檢測。該方法的查準率很高，并且可提供詳細的攻擊類型和說明，是目前入侵檢測商業(yè)產(chǎn)品中使用的主要方法。然而經(jīng)過長時間的研究和應用，該方法也暴露出一定的弱點，由于基于特征的入侵檢測系統(tǒng)是依靠人為的預先設(shè)定報警規(guī)則來實現(xiàn)，所以在面對不斷變化的網(wǎng)絡攻擊時有其本身固有的缺陷，比如，利用這種方法時需要維護一個昂貴的攻擊模式庫、只能檢測已知的攻擊等。另一方面，攻擊者可以通過修改自己的攻擊特征模式來隱藏自己的行為，而且有些攻擊方法根本沒有特定的攻擊模式。異常檢測方法主要針對解決誤用檢測方法所面臨的問題。因而本文主要探討的是基于網(wǎng)絡流量異常的入侵檢測方法。

　　基于流量異常的檢測方法有很多，較常用的有基于域值的檢測方法，基于統(tǒng)計的檢測方法，基于小波的檢測方法，基于馬爾可夫等隨機過程模型的方法和一些基于機器學習、數(shù)據(jù)挖掘和神經(jīng)網(wǎng)絡等檢測方法，但是這些方法主要存在以下問題。

　　(1)報警意義不明確：由于上述入侵檢測方法只檢測了網(wǎng)絡流量中的一種或幾種特征向量，而且選取的特征向量沒有特定的攻擊含義，因而檢測系統(tǒng)報警時只知網(wǎng)絡中某些特征向量出現(xiàn)了異常，但是不能判斷出現(xiàn)了什么樣的攻擊。

　　(2)由于Internet是沒有集中管理的多個管理域的互聯(lián)網(wǎng)絡，但是入侵檢測要求各個檢測系統(tǒng)之間是協(xié)同運行的，因而作為協(xié)同運行的主要內(nèi)容的共享數(shù)據(jù)的提供就顯得非常重要。

　　(3)可擴展性較差：由于現(xiàn)有的異常檢測系統(tǒng)大多采用一種或幾種單一的網(wǎng)絡特征向量作為學習和判斷的依據(jù)，對網(wǎng)絡流量的異常描述較為單薄;其次在入侵檢測系統(tǒng)協(xié)同運行中網(wǎng)絡特征向量選取得較少就可能會影響檢測系統(tǒng)的可擴展性。

　　基于會話的保存狀態(tài)信息的異常檢測方法由于現(xiàn)有網(wǎng)絡流量的不斷變大將逐步受到限制。因而在DARPA1998年總結(jié)出的判斷每一個正常與異常TCP/IP連接的41個特征向量的實時使用就變得越來越難以實現(xiàn)。

　　針對以上問題本文提出了一種較為通用的基于網(wǎng)絡流量模型的異常檢測方法。該方法采用無狀態(tài)保留的方式，采用基本特征向量來描述網(wǎng)絡流量實時的運行狀態(tài)，并且利用基于攻擊特點的流量特征組合使報警的意義更加明確。同時鑒于流量基本特征數(shù)據(jù)的大小以及安全性等特點，也為各個管理域之間的異常檢測信息的交流提供了一個較為通用的平臺。該基于網(wǎng)絡流量的異常檢測方法已經(jīng)實際運用在清華大學校園網(wǎng)出口監(jiān)測點上，取得了比較顯著的檢測結(jié)果。

　　基于網(wǎng)絡流量進行異常檢測的原理

　　本文中的異常檢測是基于將網(wǎng)絡流量特征向量分層劃分的思想實現(xiàn)的。將流量特征分為兩個層次：基本特征集合和組合特征集合。其中基本特征集合是實時從網(wǎng)絡流量中提取的一些網(wǎng)絡流量的基本特征數(shù)據(jù)，比如流量的大小、包長的信息、協(xié)議的信息、端口流量的信息、TCP標志位的信息等。這些基本特征比較詳細地描述了網(wǎng)絡流量的運行狀態(tài)。

　　組合特征集合是可以根據(jù)實際需要實時改變設(shè)置的。針對某種特定的攻擊行為，將涉及該攻擊行為的基本特征的子集作為描述該種攻擊行為的特征。比如對于SYN FLOOD攻擊，組合特征就可以選取pkts/s、平均包長、SYN包的個數(shù)等信息。利用以往基本特征集合的數(shù)據(jù)對該種攻擊行為的特征進行學習和訓練，就可以實時得到該攻擊行為組合特征的正常和異常模型。用此模型就可以實時地對網(wǎng)絡上該種攻擊行為進行檢測。

　　另一方面對于已知攻擊種類和行為的數(shù)據(jù)集進行學習還能對人為選取的攻擊組合特征進行優(yōu)化，使之更能反映該攻擊行為的特點。由于數(shù)據(jù)集是通過對網(wǎng)絡流量實時提取獲得的，真實地反映了網(wǎng)絡的實時狀態(tài)，因而通過共享該數(shù)據(jù)集可以為網(wǎng)絡中不同管理域之間異常檢測系統(tǒng)提供一個協(xié)同運行和控制的平臺。