❶ 如何理解異常入侵檢測技術
入侵檢測是用於檢測任何損害或企圖損害系統的機密性、完整性或可用性等行為的一種網路安全技術。它通過監視受保護系統的狀態和活動,採用異常檢測或誤用檢測的方式,發現非授權的或惡意的系統及網路行為,為防範入侵行為提供有效的手段。入侵檢測系統(IDS)是由硬體和軟體組成,用來檢測系統或網路以發現可能的入侵或攻擊的系統。IDS通過實時的檢測,檢查特定的攻擊模式、系統配置、系統漏洞、存在缺陷的程序版本以及系統或用戶的行為模式,監控與安全有關的活動。
入侵檢測提供了用於發現入侵攻擊與合法用戶濫用特權的一種方法,它所基於的重要的前提是:非法行為和合法行為是可區分的,也就是說,可以通過提取行為的模式特徵來分析判斷該行為的性質。一個基本的入侵檢測系統需要解決兩個問題:
一是如何充分並可靠地提取描述行為特徵的數據;
二是如何根據特徵數據,高效並准確地判斷行為的性質。
入侵檢測系統主要包括三個基本模塊:數據採集與預處理、數據分析檢測和事件響應。系統體系結構如下圖所示。
數據採集與預處理。該模塊主要負責從網路或系統環境中採集數據,並作簡單的預處理,使其便於檢測模塊分析,然後直接傳送給檢測模塊。入侵檢測系統的好壞很大程度上依賴於收集信息的可靠性和正確性。數據源的選擇取決於所要檢測的內容。
數據分析檢測。該模塊主要負責對採集的數據進行數據分析,確定是否有入侵行為發生。主要有誤用檢測和異常檢測兩種方法。
事件響應。該模塊主要負責針對分析結果實施響應操作,採取必要和適當的措施,以阻止進一步的入侵行為或恢復受損害的系統。
異常入侵檢測的主要前提條件是入侵性活動作為異常活動的子集。理想狀況是異常活動集同入侵性活動集相等。在這種情況下,若能檢測所有的異常活動,就能檢測所有的入侵性活動。可是,入侵性活動集並不總是與異常活動集相符合。活動存在四種可能性:
- 入侵性而非異常;
- 非入侵性且異常;
- 非入侵性且非異常;
- 入侵且異常。
異常入侵檢測要解決的問題就是構造異常活動集並從中發現入侵性活動子集。異常入侵檢測方法依賴於異常模型的建立,不同模型就構成不同的檢測方法。異常入侵檢測通過觀測到的一組測量值偏離度來預測用戶行為的變化,並作出決策判斷。異常入侵檢測技術的特點是對於未知的入侵行為的檢測非常有效,但是由於系統需要實時地建立和更新正常行為特徵輪廓,因而會消耗更多的系統資源。
❷ 什麼是數據挖掘
科技的快速發展和數據的存儲技術的快速進步,使得各種行業或組織的數據得以海量積累。但是,從海量的數據當中,提取有用的信息成為了一個難題。在海量數據面前,傳統的數據分析工具和方法很無力。由此,數據挖掘技術就登上了歷史的舞台。
數據挖掘是一種技術,將傳統的數據分析方法與處理大量數據的復雜演算法相結合(圖1),從大量的、不完全的、有雜訊的、模糊的、隨機的數據中,提取隱含在其中的、人們事先不知道的、但又是潛在有用信息和知識的過程。
那數據挖掘能夠干什麼?有哪些數據挖掘技術?怎麼應用?
數據挖掘技術應用廣泛,如:1. 在交通領域,幫助鐵路票價制定、交通流量預測等。2. 在生物學當中,挖掘基因與疾病之間的關系、蛋白質結構預測、代謝途徑預測等。3. 在金融行業當中,股票指數追蹤、稅務稽查等方面有重要運用。4. 在電子商務領域,對顧客行為分析、定向營銷、定向廣告投放、誰是最有價值的用戶、什麼產品搭配銷售等。可以說,有數據的方法,就有數據挖掘的用武之地。
那數據挖掘過程是什麼呢?如圖2:
數據挖掘的任務主要分為一下四類,如圖3:
1.建模預測:用因變數作用目標變數建立模型。分為兩類:(1)分類,用於預測離散的目標變數;(2)回歸,用於預測連續的目標變數。兩項任務目標都是訓練一個模型,使目標變數預測值與實際值之間的誤差達到最小。預測建模可以用來判斷病人是否患有某種疾病,可以用於確定顧客是否需要某種產品,預測交通流量。
2.關聯分析:用來發現描述數據中強關聯特徵的模式。所發現的模式通常用特徵子集的形式表示。由於搜索空間是指數規模的,關聯分析的目標是以有效的方式提取最有用的模式。關聯分析的應用包括用戶購買商品之間的聯系、找出相關功能的基因組、表單預測輸出下拉列表如圖4。
3.聚類分析:發現緊密相關的觀測值群組,使得與屬於不同簇的觀察值相比,同一簇的觀察值相互之間盡可能的類似。聚類可用來對相關的顧客分組、給不同功能的基因分組、不同的癌症細胞系分組。
4.異常檢測:識別其特徵顯著不同於其他數據的觀測值。這樣的觀測值稱為異常點或離群點。異常檢測演算法的目標是發現真正的異常點,而避免錯誤地將正常的對象標注為異常點。換言之,一個好的異常點檢測模型必須具有高檢測率和低誤報率。異常檢測的應用包括檢測欺詐、網路攻擊、疾病的不尋常模式。
參考文章:
1. 《大話數據挖掘》
2. 《數據挖掘導論》
3. http://mp.weixin.qq.com/s?__biz=MzI2NDEwNzgxMw==&mid=401492893&idx=1&sn=#rd
❸ 簡述入侵檢測常用的四種方法
入侵檢測系統所採用的技術可分為特徵檢測與異常檢測兩種。
1、特徵檢測
特徵檢測(Signature-based detection) 又稱Misuse detection ,這一檢測假設入侵者活動可以用一種模式來表示,系統的目標是檢測主體活動是否符合這些模式。
它可以將已有的入侵方法檢查出來,但對新的入侵方法無能為力。其難點在於如何設計模式既能夠表達「入侵」現象又不會將正常的活動包含進來。
2、異常檢測
異常檢測(Anomaly detection) 的假設是入侵者活動異常於正常主體的活動。根據這一理念建立主體正常活動的「活動簡檔」,將當前主體的活動狀況與「活動簡檔」相比較,當違反其統計規律時,認為該活動可能是「入侵」行為。
異常檢測的難題在於如何建立「活動簡檔」以及如何設計統計演算法,從而不把正常的操作作為「入侵」或忽略真正的「入侵」行為。
(3)異常檢測的應用包括網路攻擊擴展閱讀
入侵分類:
1、基於主機
一般主要使用操作系統的審計、跟蹤日誌作為數據源,某些也會主動與主機系統進行交互以獲得不存在於系統日誌中的信息以檢測入侵。
這種類型的檢測系統不需要額外的硬體.對網路流量不敏感,效率高,能准確定位入侵並及時進行反應,但是佔用主機資源,依賴於主機的可靠性,所能檢測的攻擊類型受限。不能檢測網路攻擊。
2、基於網路
通過被動地監聽網路上傳輸的原始流量,對獲取的網路數據進行處理,從中提取有用的信息,再通過與已知攻擊特徵相匹配或與正常網路行為原型相比較來識別攻擊事件。
此類檢測系統不依賴操作系統作為檢測資源,可應用於不同的操作系統平台;配置簡單,不需要任何特殊的審計和登錄機制;可檢測協議攻擊、特定環境的攻擊等多種攻擊。
但它只能監視經過本網段的活動,無法得到主機系統的實時狀態,精確度較差。大部分入侵檢測工具都是基於網路的入侵檢測系統。
3、分布式
這種入侵檢測系統一般為分布式結構,由多個部件組成,在關鍵主機上採用主機入侵檢測,在網路關鍵節點上採用網路入侵檢測,同時分析來自主機系統的審計日誌和來自網路的數據流,判斷被保護系統是否受到攻擊。
❹ 什麼是數據挖掘
數據挖掘是從大量的、不完全的、有雜訊的、模糊的、隨機的數據中提取隱含在其中的、人們事先不知道的、但又是潛在有用的信息和知識的過程。
數據挖掘流程:
定義問題:清晰地定義出業務問題,確定數據挖掘的目的。
數據准備:數據准備包括:選擇數據–在大型資料庫和數據倉庫目標中 提取數據挖掘的目標數據集;數據預處理–進行數據再加工,包括檢查數據的完整性及數據的一致性、去雜訊,填補丟失的域,刪除無效數據等。
數據挖掘:根據數據功能的類型和和數據的特點選擇相應的演算法,在凈化和轉換過的數據集上進行數據挖掘。
結果分析:對數據挖掘的結果進行解釋和評價,轉換成為能夠最終被用戶理解的知識。
❺ 什麼是異常入侵檢測
異常入侵檢測,檢測所有從網路到本地的鏈接等並發現不正常的、有入侵傾向的鏈接並阻止。
IETF將一個入侵檢測系統分為四個組件:
事件產生器(Event generators),它的目的是從整個計算環境中獲得事件,並向系統的其他部分提供此事件。
事件分析器(Event analyzers),它經過分析得到數據,並產生分析結果。
響應單元(Response units ),它是對分析結果作出反應的功能單元,它可以作出切斷連接、改變文件屬性等強烈反應,也可以只是簡單的報警。
事件資料庫(Event databases )事件資料庫是存放各種中間和最終數據的地方的統稱,它可以是復雜的資料庫,也可以是簡單的文本文件。
安全策略
入侵檢測系統根據入侵檢測的行為分為兩種模式:異常檢測和誤用檢測。前者先要建立一個系統訪問正常行為的模型,凡是訪問者不符合這個模型的行為將被斷定為入侵;後者則相反,先要將所有可能發生的不利的不可接受的行為歸納建立一個模型,凡是訪問者符合這個模型的行為將被斷定為入侵。
這兩種模式的安全策略是完全不同的,而且,它們各有長處和短處:異常檢測的漏報率很低,但是不符合正常行為模式的行為並不見得就是惡意攻擊,因此這種策略誤報率較高;誤用檢測由於直接匹配比對異常的不可接受的行為模式,因此誤報率較低。
但惡意行為千變萬化,可能沒有被收集在行為模式庫中,因此漏報率就很高。這就要求用戶必須根據本系統的特點和安全要求來制定策略,選擇行為檢測模式。現在用戶都採取兩種模式相結合的策略。
以上內容參考:網路-異常入侵檢測、網路-入侵檢測系統
❻ 異常檢測有哪些主要的分析方法
1. 概率統計方法
在基於異常檢測技術的IDS中應用最早也是最多的一種方法。
首先要對系統或用戶的行為按照一定的時間間隔進行采樣,樣本的內容包括每個會話的登錄、退出情況,CPU和內存的佔用情況,硬碟等存儲介質的使用情況等。
將每次採集到的樣本進行計算,得出一系列的參數變數對這些行為進行描述,從而產生行為輪廓,將每次采樣後得到的行為輪廓與已有輪廓進行合並,最終得到系統和用戶的正常行為輪廓。IDS通過將當前採集到的行為輪廓與正常行為輪廓相比較,來檢測是否存在網路入侵行為。
2. 預測模式生成法
假設條件是事件序列不是隨機的而是遵循可辨別的模式。這種檢測方法的特點是考慮了事件的序列及其相互聯系,利用時間規則識別用戶行為正常模式的特徵。通過歸納學習產生這些規則集,並能動態地修改系統中的這些規則,使之具有較高的預測性、准確性。如果規則在大部分時間是正確的,並能夠成功地運用預測所觀察到的數據,那麼規則就具有高可信度。
3. 神經網路方法
基本思想是用一系列信息單元(命令)訓練神經單元,這樣在給定一組輸入後、就可能預測出輸出。與統計理論相比,神經網路更好地表達了變數間的非線性關系,並且能自動學習並更新。實驗表明UNIX系統管理員的行為幾乎全是可以預測的,對於一般用戶,不可預測的行為也只佔了很少的一部分。
❼ 異常檢測的相關定義
1、誤用檢測是指通過攻擊行為的特徵庫,採用特徵匹配的方法確定攻擊事件.誤用檢測的優點是檢測的誤報率低,檢測快,但誤用檢測通常不能發現攻擊特徵庫中沒有事先指定的攻擊行為,所以無法檢測層出不窮的新攻擊
2、異常檢測是指根據非正常行為(系統或用戶)和使用計算機非正常資源來檢測入侵行為.其關鍵在於建立用戶及系統正常行為輪廓(Profile),檢測實際活動以判斷是否背離正常輪廓
3、異常檢測是指將用戶正常的習慣行為特徵存儲在資料庫中,然後將用戶當前的行為特徵與特徵資料庫中的特徵進行比較,如果兩者的偏差足夠大,則說明發生了異常
4、異常檢測是指利用定量的方式來描述可接受的行為特徵,以區分和正常行為相違背的、非正常的行為特徵來檢測入侵
5、基於行為的入侵檢測方法,通過將過去觀察到的正常行為與受到攻擊時的行為相比較,根據使用者的異常行為或資源的異常使用狀況來判斷是否發生入侵活動,所以也被稱為異常檢測
6、統計分析亦稱為異常檢測,即按統計規律進行入侵檢測.統計分析先對審計數據進行分析,若發現其行為違背了系統預計,則被認為是濫用行為
7、統計分析亦稱為異常檢測.通過將正常的網路的流量.網路延時以及不同應用的網路特性(如時段性)統計分析後作為參照值,若收集到的信息在參照值范圍之外,則認為有入侵行為
8、異常檢測(Anomaly-based detection)方法首先定義一組系統處於「正常」情況時的數據,如CPU利用率、內存利用率、文件校驗和等然後進行分析確定是否出現異常。