文档详情

基于网络数据入侵检测.doc

发布:2017-11-04约5.59千字共6页下载文档
文本预览下载声明
基于网络数据分析的入侵检测 摘要 随着计算机和网络技术应用的日益普及,有关系统或网络的安全问题也日益突出,加密、认证、防火墙等安全技术应运而生。作为一种重要的确保系统安全运行的安全机制,入侵检测系统主要通过监控网络与系统的状态来检测系统用户的越权使用以及系外部的入侵者利用系统的安全缺陷对系统进行入侵的企图,并根据系统表现的异常性识别入侵攻击或恶意行为的类型,以采取相应的措施来阻止入侵活动的进一步破坏。本文在分析网络数据多维属性特征模型的基础上,讨论并给出了面对海量的网络数据信息,网络入侵检测可利用的网络数据特征及其相应的知识获取和数据分析技术:从大量网络数据中提取关联规则、模式的数据挖掘技术以及基于统计性特征轮廓的网络端口业务数据监控技术。 关键字 网络入侵检测 数据挖掘 关联规则 面对大量的系统安全日志数据或网络数据,任何传统的手工分析处理技术都无法适应检测的实时性需要。因此,知识表述与获取、特征选择、数据挖掘以及机器学习等相关技术的研究,为我们从新的角度对入侵检测的知识进行描述与分析奠定了基础,具有重要的实用价值。网络活动可以用一系列具有时序关系的事件来描述,有关事信息数据可以利用网络探测器(Network Sniffer)、防火墙或入侵检测系统的审计机制等获得。这些具有结构化特征的网络事件数据,有类似数据库数据的特征。这使得我们可以利用数据挖掘技术从大量的网络业务征轮廓或入侵数据签名,从而获得相关的入侵知识或系统特征知识本文主要从理论上,对网络监控或入侵检测可利用的知识获取和数据分析技术进行了探讨:构建网络服务端的统计性特征轮廓以及从大量的通信业务数据中发掘出网络数据间的关联规则的数据挖掘。 1.1.网络事件的多维模型结构 我们感兴趣的网络事件,一般都具有多个属性来刻画它的数据特征。典型的网 络事件(我们这里讨论TCP/IP协议的网络数据包)属性主要包括: ●时戳(time stamp):·在线时间 ● 源地址、目的地址以及服务类型(协议服务端口) 其他属性则根据协议的不同而不同,针对TCP协议还有以下属性: ·状态标志:SYN、FIN、PUSH以及RST等·TCP数据包的序号· 期望收到数据包的序号·接受缓冲区的可用空间(字节数)等。由于UDP协议是面向无联接的,针对它的属性有:数据包长度。网络数据包的长度 ① 网络事件的多维属性特征 网络事件的多维属性特征。使得我们可以从网络协议、网络服务的类型与连接过程网络业务数据的模式特征、网络中的主机系统以及网络管理等多方面来考虑网络的安或入侵检测问题。 ② 多维空间模型 为便于分析,我们用多维空间模型来描述它们的分布特征。空间的每一维代表数据的一个属性,每个网络事件数据根据其属性值向量来表示成多维空间的一个点。在这个空间中,两个点之间的空间距离与它们的相似度成比例。通过定义一个相似函数,来判断两个网络事件的相似性。通常我们把这些事件数据作为一个向量,采用一个距离函数计算两个事件数据的空间距离。来反映事件的相似性。在计算距离时,可根据空间中每一维的重要性不同而给出不同的权值。另外,我们还可以通过多维空间中这些刻画事件特征的数据点,分析事件间的关联关系。入侵检测的行为分类本质使得我们可以采用统计、聚类,等技术对这些数据进行分析。 1.2 基于网络端口业务数据的统计性特征轮廓 ① 统计性特征轮廓定义 统计性特征轮廓通常由主体特征变量的频度、均值、方差、被监控行为的属性变量的统计概率分布以及偏差等统计量来描述。SRI的NIDES就采用了统计性特征轮廓来描述系统中用户的活动特征。具体实现时,用户活动的特征轮廓有长期与短期之分。长期的特征轮廓描述用户的总体行为特征,而短期的特征轮廓只是反应最近一段时间内用户活动的特征。长期的特征轮廓不断地进行更新,且更新时给予近期数据较大的权重。检测时则可以通过比较用户的长、短期特征轮廓,来判断用户的近期活动是否异常(与长期特征轮廓的偏差超过给定门限值时,判为异常)。若用户的近期活动异常。则可认为这些活动正在攻击系统。 ② 特征轮廓特征 由于TCP/IP协议簇中,每一种网络服务都被指定使用对应的特定端口网络服务与网络端口之间的对应关系,使得我们可以通过监控网络的服务端口,收集经过网络端口的业务数据,然后对网络数据的头信息进行统计、分析,从而建立起相应的特征轮廓。一般认为网络数据接收过程是一个泊松过程,但PAXSON等的研究工作表明泊松过程能够很好的描述一个用户会话过程中网络数据的到达过程。但面一个开放的广域网,基于统计的自相似过程将能够更好地描述来自广域网的数据的接收过程。这些研究表明,进入网络端口的数据具有~定的统计性特征。建立一个统计的特征轮廓,首先必须制定相应的属性或特征来描述网络业务的活动情况,通过统计得到端口网络数据的多种属性值的
显示全部
相似文档