入侵检测技术分析

目    录

1引言…………………………………………………………………2
1.1入侵检测技术的提出  ……………………………………………2
1.2入侵检测技术技术研究史   ………………………………………3
1.2.1 以Denning模型为代表的IDS早期技术 …………………………3
1.2.2中期：统计学理论和专家系统相结合   …………………………4
1.2.3基于网络的NIDS是目前的主流技术    ………………………5
1.3 本课题研究的途径与意义   …………………………………11
2 入侵检测技术原理    ……………………………………………12
2.1  入侵检测技术第一步——信息收集 …………………………12
2.1.1 网络入侵检测技术模块方式  ………………………………13
2.1.2  主机入侵检测技术模块方式    ……………………………13
2.1.3信息来源的四个方面  …………………………………………13
2.2 入侵检测技术的第二步——信号分析 ……………………………15
2.2.1模式匹配  ……………………………………………………16
2.2.2统计分析  ……………………………………………………16
2.2.3完整性分析  …………………………………………………16
3入侵检测技术功能概要   …………………………………………18
4 入侵检测技术技术分析  …………………………………………19
4.1入侵分析按其检测技术规则分类 …………………………………19
4.1.1基于特征的检测技术规则 ……………………………………19
4.1.2基于统计的检测技术规则……………………………………20
4.2 一些新的分析技术  ……………………………………………20
4.2.1 统计学方法 …………………………………………………20
4.2.2 入侵检测技术的软计算方法 …………………………………21
4.2.3 基于专家系统的入侵检测技术方法 …………………………21
5 入侵检测技术技术发展方向  ……………………………………22
5.1分布式入侵检测技术与通用入侵检测技术架构……………………22
5.2应用层入侵检测技术  …………………………………………22
5.3智能的入侵检测技术  …………………………………………22
5.4入侵检测技术的评测方法  ……………………………………22
5.5网络安全技术相结合  …………………………………………22
6 建立数据分析模型   ……………………………………………23
6.1测试数据的结构 ………………………………………………22
6.2数据中出现的攻击类型…………………………………………25
6.2.1攻击（Attacks） ………………………………………………25
6.2.2发现训练集中的攻击类型 ……………………………………26
6.2.3其他主流的攻击类型 …………………………………………28
7  聚类算法在网络入侵检测技术中的作用 …………………………29
7.1模式识别的概念  ………………………………………………29
7.2模式分类      ……………………………………………29
7.3基于异常的入侵检测技术   ……………………………………32
7.4聚类算法简介  …………………………………………………32
7.4.1 K-means算法  ………………………………………………32
7.4.2迭代最优化算法………………………………………………32
7.4.3我的构想    …………………………………………………32
结论…………………………………………………………………35
致谢…………………………………………………………………35
参考文献 ……………………………………………………………35
入侵检测技术功能概要

  •监督并分析用户和系统的活动
  •检查系统配置和漏洞
  •检查关键系统和数据文件的完整性
  •识别代表已知攻击的活动模式
  •对反常行为模式的统计分析
  •对操作系统的校验管理，判断是否有破坏安全的用户活动。
  •提高了系统的监察能力
  •跟踪用户从进入到退出的所有活动或影响
  •识别并报告数据文件的改动
  •发现系统配置的错误，必要时予以更正
  •识别特定类型的攻击，并向相应人员报警，以作出防御反应
  •可使系统管理人员最新的版本升级添加到程序中
  •允许非专家人员从事系统安全工作
  •为信息安全策略的创建提供指导
 
    入侵检测技术作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。从网络安全立体纵深、多层次防御的角度出发，入侵检测技术理应受到人们的高度重视，这从国外入侵检测技术产品市场的蓬勃发展就可以看出。在国内，随着上网的关键部门、关键业务越来越多，迫切需要具有自主版权的入侵检测技术产品。但现状是入侵检测技术仅仅停留在研究和实验样品（缺乏升级和服务）阶段，或者是防火墙中集成较为初级的入侵检测技术模块。可见，入侵检测技术产品仍具有较大的发展空间，从技术途径来讲，我们认为，除了完善常规的、传统的技术（模式识别和完整性检测技术）外，应重点加强统计分析的相关技术研究。