网络入侵检测技术的研究与分析
【摘 要】
网络入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。随着网络技术快速发展和网络应用环境不断普及的同时,安全问题也越来越突出,引起各界关注。由于TCP/IP协议族本身缺乏相应的安全机制,加上各种操作系和应用软件存在各种漏洞,使得整个网络的安全问题不可避免。本课题是网络入侵检测技术的研究,主要介绍模式识别技术中两种聚类算法,K-means算法和迭代最优化算法,并阐述此算法在入侵检测技术技术中的应用原理,接着分析这两种算法具体应用时带来的利弊,最后针对算法的优缺点提出自己改进的算法,并对此算法进行分析,可以说这种算法是有监督和无监督方法的结合,是K-means算法和迭代最优化算法的折中,是一种较理想的算法。
【关键词】 入侵监测,聚类分析,异常监测
【Abstract】
Network intrusion detection technology is to ensure the safety of the computer system and the design and configuration of a kind of can discover in time and report system unauthorized or abnormal phenomenon technology, is a kind of used to test in a computer network security breach strategy technology of behavior. With the rapid development of network technology and network application environment is becoming popular at the same time, the security problem is more and more outstanding, arouse attention. Due to the TCP/IP protocol race itself lack of corresponding security mechanism, add various kinds of operating system and application software exists all kinds of loopholes, make the whole network security problem cannot be avoided. This topic is a network intrusion detection technology research, mainly introduce pattern recognition technology two clustering algorithm, K-means algorithm and iterative optimization algorithms, and expound this algorithm in intrusion detection technology of the application of the technology principle, and then analyse the two algorithm when the advantages and disadvantages of the application to bring in the algorithm are put forward and the advantages and disadvantages of the improved algorithm, and this algorithm analysis, it can be said that this algorithm is a supervision and no supervision and method, the combination is K-means algorithm and iterative optimization algorithm of compromise, it is a kind of ideal algorithm.
【Keywords】Intrusion detection,Clustering analysis ,Anomaly detection
目 录
1、 绪论 .................................................. 1 2、 入侵检测技术的发展史 .................................. 2
2.1 入侵检测技术的提出............................................................ 2 2.2 网络入侵检测的研究史.......................................................... 5
2.2.1 以Denning模型为基础的早期技术 ......................................................................................... 6 2.2.2中期:以统计学理论与专家系统相结合 .................................................................................. 6 2.2.3基于网络的NIDS为主流的入侵检测 ........................................................................................ 6
3、 入侵检测技术原理 ...................................... 8
3.1 入侵检测技术第一步——信息收集 ................................................ 8
3.1.1 网络入侵检测技术模块方式 ..................................................................................................... 9 3.1.2 主机入侵检测技术模块方式 ..................................................................................................... 9 3.1.3 信息来源的四个方面 ................................................................................................................. 9 3.2 入侵检测技术的第二步——信号分析 ............................................. 11 3.2.1 模式匹配 .................................................................................................................................. 12 3.2.2 统计分析 .................................................................................................................................. 12 3.2.3 完整性分析............................................................................................................................... 12
4 、入侵检测技术功能概要 ................................. 13 5 、入侵检测技术分析 ..................................... 14
5.1 入侵分析按其检测技术规则分类 ................................................. 14
5.1.1基于特征的检测技术规则 .......................................................................................................... 14 5.1.2基于统计的检测技术规则 .......................................................................................................... 15 5.2 一些新的分析技术............................................................. 15 5.2.1 统计学方法................................................................................................................................. 15 5.2.2 入侵检测技术的软计算方法 ..................................................................................................... 16 5.3.3 基于专家系统的入侵检测技术方法 ......................................................................................... 16
6 、入侵检测技术发展方向 ................................. 17
6.1.分布式入侵检测技术与通用入侵检测技术架构 .................................... 17 6.1.1应用层入侵检测技术 ......................................................... 17
6.1.2智能的入侵检测技术 ......................................................... 17 6.1.3入侵检测技术的评测方法 .................................................... 17 6.1.4网络安全技术相结合 ........................................................ 18 6.2数据中出现的攻击类型 ......................................................... 18 6.2.1攻击(Attacks) ...................................................................................................................... 18 6.2.2发现训练集中的攻击类型 ........................................................................................................ 19 6.2.3其他主流的攻击类型 ................................................................................................................ 20
结论..................................................... 23 致谢..................................................... 24 参考文献 ................................................. 25
一、 绪论
聚类分析是模式识别研究中非常有用的一类技术。用聚类算法的异常检测技术是一种无监督的异常检测技术,这种方法不能标记就像数据在同一个分区数据相关的聚类,不相似的数据到一个不同的划分聚类,聚类标记这些显示了他们是正常还是异常,然后将被分为所有网络数据聚类的基础上,标记来判断其是否聚类网络数据异常。
本课题是网络入侵检测技术的研究,主要介绍模式识别技术中两种聚类算法,K-means算法和迭代最优化算法,并阐述此算法在入侵检测技术技术中的应用原理,接着分析这两种算法具体应用时带来的利弊,最后针对算法的优缺点提出自己改进的算法,并对此算法进行分析,可以说这种算法是有监督和无监督方法的结合,是K-means算法和迭代最优化算法的折中,是一种较理想的算法。
通过研究本课题,可以了解入侵检测技术技术的发展历程,及国内外研究水平的差距,熟悉各种入侵检测技术原理方法的异同,以便今后对某种检测技术方法作进一步的改进时能够迅速切入要点;在对入侵检测技术技术研究的同时,认真学习了模式识别这门课程,这是一门交叉学科,模式识别已经在卫星航空图片解释、工业产品检测技术、字符识别、语音识别、指纹识别、医学图像分析等许多方面得到了成功的应用,但所有这些应用都是和问题的性质密不可分的,学习过程中接触了许多新理论和新方法,其中包括数据挖掘,统计学理论和支持向量机等,极大的拓展了自己的知识面,这所带来的收获已经不仅仅停留在对入侵检测技术技术研究这个层面。