❶ 如何理解异常入侵检测技术
入侵检测是用于检测任何损害或企图损害系统的机密性、完整性或可用性等行为的一种网络安全技术。它通过监视受保护系统的状态和活动,采用异常检测或误用检测的方式,发现非授权的或恶意的系统及网络行为,为防范入侵行为提供有效的手段。入侵检测系统(IDS)是由硬件和软件组成,用来检测系统或网络以发现可能的入侵或攻击的系统。IDS通过实时的检测,检查特定的攻击模式、系统配置、系统漏洞、存在缺陷的程序版本以及系统或用户的行为模式,监控与安全有关的活动。
入侵检测提供了用于发现入侵攻击与合法用户滥用特权的一种方法,它所基于的重要的前提是:非法行为和合法行为是可区分的,也就是说,可以通过提取行为的模式特征来分析判断该行为的性质。一个基本的入侵检测系统需要解决两个问题:
一是如何充分并可靠地提取描述行为特征的数据;
二是如何根据特征数据,高效并准确地判断行为的性质。
入侵检测系统主要包括三个基本模块:数据采集与预处理、数据分析检测和事件响应。系统体系结构如下图所示。
数据采集与预处理。该模块主要负责从网络或系统环境中采集数据,并作简单的预处理,使其便于检测模块分析,然后直接传送给检测模块。入侵检测系统的好坏很大程度上依赖于收集信息的可靠性和正确性。数据源的选择取决于所要检测的内容。
数据分析检测。该模块主要负责对采集的数据进行数据分析,确定是否有入侵行为发生。主要有误用检测和异常检测两种方法。
事件响应。该模块主要负责针对分析结果实施响应操作,采取必要和适当的措施,以阻止进一步的入侵行为或恢复受损害的系统。
异常入侵检测的主要前提条件是入侵性活动作为异常活动的子集。理想状况是异常活动集同入侵性活动集相等。在这种情况下,若能检测所有的异常活动,就能检测所有的入侵性活动。可是,入侵性活动集并不总是与异常活动集相符合。活动存在四种可能性:
- 入侵性而非异常;
- 非入侵性且异常;
- 非入侵性且非异常;
- 入侵且异常。
异常入侵检测要解决的问题就是构造异常活动集并从中发现入侵性活动子集。异常入侵检测方法依赖于异常模型的建立,不同模型就构成不同的检测方法。异常入侵检测通过观测到的一组测量值偏离度来预测用户行为的变化,并作出决策判断。异常入侵检测技术的特点是对于未知的入侵行为的检测非常有效,但是由于系统需要实时地建立和更新正常行为特征轮廓,因而会消耗更多的系统资源。
❷ 什么是数据挖掘
科技的快速发展和数据的存储技术的快速进步,使得各种行业或组织的数据得以海量积累。但是,从海量的数据当中,提取有用的信息成为了一个难题。在海量数据面前,传统的数据分析工具和方法很无力。由此,数据挖掘技术就登上了历史的舞台。
数据挖掘是一种技术,将传统的数据分析方法与处理大量数据的复杂算法相结合(图1),从大量的、不完全的、有噪声的、模糊的、随机的数据中,提取隐含在其中的、人们事先不知道的、但又是潜在有用信息和知识的过程。
那数据挖掘能够干什么?有哪些数据挖掘技术?怎么应用?
数据挖掘技术应用广泛,如:1. 在交通领域,帮助铁路票价制定、交通流量预测等。2. 在生物学当中,挖掘基因与疾病之间的关系、蛋白质结构预测、代谢途径预测等。3. 在金融行业当中,股票指数追踪、税务稽查等方面有重要运用。4. 在电子商务领域,对顾客行为分析、定向营销、定向广告投放、谁是最有价值的用户、什么产品搭配销售等。可以说,有数据的方法,就有数据挖掘的用武之地。
那数据挖掘过程是什么呢?如图2:
数据挖掘的任务主要分为一下四类,如图3:
1.建模预测:用因变量作用目标变量建立模型。分为两类:(1)分类,用于预测离散的目标变量;(2)回归,用于预测连续的目标变量。两项任务目标都是训练一个模型,使目标变量预测值与实际值之间的误差达到最小。预测建模可以用来判断病人是否患有某种疾病,可以用于确定顾客是否需要某种产品,预测交通流量。
2.关联分析:用来发现描述数据中强关联特征的模式。所发现的模式通常用特征子集的形式表示。由于搜索空间是指数规模的,关联分析的目标是以有效的方式提取最有用的模式。关联分析的应用包括用户购买商品之间的联系、找出相关功能的基因组、表单预测输出下拉列表如图4。
3.聚类分析:发现紧密相关的观测值群组,使得与属于不同簇的观察值相比,同一簇的观察值相互之间尽可能的类似。聚类可用来对相关的顾客分组、给不同功能的基因分组、不同的癌症细胞系分组。
4.异常检测:识别其特征显着不同于其他数据的观测值。这样的观测值称为异常点或离群点。异常检测算法的目标是发现真正的异常点,而避免错误地将正常的对象标注为异常点。换言之,一个好的异常点检测模型必须具有高检测率和低误报率。异常检测的应用包括检测欺诈、网络攻击、疾病的不寻常模式。
参考文章:
1. 《大话数据挖掘》
2. 《数据挖掘导论》
3. http://mp.weixin.qq.com/s?__biz=MzI2NDEwNzgxMw==&mid=401492893&idx=1&sn=#rd
❸ 简述入侵检测常用的四种方法
入侵检测系统所采用的技术可分为特征检测与异常检测两种。
1、特征检测
特征检测(Signature-based detection) 又称Misuse detection ,这一检测假设入侵者活动可以用一种模式来表示,系统的目标是检测主体活动是否符合这些模式。
它可以将已有的入侵方法检查出来,但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。
2、异常检测
异常检测(Anomaly detection) 的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”,将当前主体的活动状况与“活动简档”相比较,当违反其统计规律时,认为该活动可能是“入侵”行为。
异常检测的难题在于如何建立“活动简档”以及如何设计统计算法,从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。
(3)异常检测的应用包括网络攻击扩展阅读
入侵分类:
1、基于主机
一般主要使用操作系统的审计、跟踪日志作为数据源,某些也会主动与主机系统进行交互以获得不存在于系统日志中的信息以检测入侵。
这种类型的检测系统不需要额外的硬件.对网络流量不敏感,效率高,能准确定位入侵并及时进行反应,但是占用主机资源,依赖于主机的可靠性,所能检测的攻击类型受限。不能检测网络攻击。
2、基于网络
通过被动地监听网络上传输的原始流量,对获取的网络数据进行处理,从中提取有用的信息,再通过与已知攻击特征相匹配或与正常网络行为原型相比较来识别攻击事件。
此类检测系统不依赖操作系统作为检测资源,可应用于不同的操作系统平台;配置简单,不需要任何特殊的审计和登录机制;可检测协议攻击、特定环境的攻击等多种攻击。
但它只能监视经过本网段的活动,无法得到主机系统的实时状态,精确度较差。大部分入侵检测工具都是基于网络的入侵检测系统。
3、分布式
这种入侵检测系统一般为分布式结构,由多个部件组成,在关键主机上采用主机入侵检测,在网络关键节点上采用网络入侵检测,同时分析来自主机系统的审计日志和来自网络的数据流,判断被保护系统是否受到攻击。
❹ 什么是数据挖掘
数据挖掘是从大量的、不完全的、有噪声的、模糊的、随机的数据中提取隐含在其中的、人们事先不知道的、但又是潜在有用的信息和知识的过程。
数据挖掘流程:
定义问题:清晰地定义出业务问题,确定数据挖掘的目的。
数据准备:数据准备包括:选择数据–在大型数据库和数据仓库目标中 提取数据挖掘的目标数据集;数据预处理–进行数据再加工,包括检查数据的完整性及数据的一致性、去噪声,填补丢失的域,删除无效数据等。
数据挖掘:根据数据功能的类型和和数据的特点选择相应的算法,在净化和转换过的数据集上进行数据挖掘。
结果分析:对数据挖掘的结果进行解释和评价,转换成为能够最终被用户理解的知识。
❺ 什么是异常入侵检测
异常入侵检测,检测所有从网络到本地的链接等并发现不正常的、有入侵倾向的链接并阻止。
IETF将一个入侵检测系统分为四个组件:
事件产生器(Event generators),它的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件。
事件分析器(Event analyzers),它经过分析得到数据,并产生分析结果。
响应单元(Response units ),它是对分析结果作出反应的功能单元,它可以作出切断连接、改变文件属性等强烈反应,也可以只是简单的报警。
事件数据库(Event databases )事件数据库是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。
安全策略
入侵检测系统根据入侵检测的行为分为两种模式:异常检测和误用检测。前者先要建立一个系统访问正常行为的模型,凡是访问者不符合这个模型的行为将被断定为入侵;后者则相反,先要将所有可能发生的不利的不可接受的行为归纳建立一个模型,凡是访问者符合这个模型的行为将被断定为入侵。
这两种模式的安全策略是完全不同的,而且,它们各有长处和短处:异常检测的漏报率很低,但是不符合正常行为模式的行为并不见得就是恶意攻击,因此这种策略误报率较高;误用检测由于直接匹配比对异常的不可接受的行为模式,因此误报率较低。
但恶意行为千变万化,可能没有被收集在行为模式库中,因此漏报率就很高。这就要求用户必须根据本系统的特点和安全要求来制定策略,选择行为检测模式。现在用户都采取两种模式相结合的策略。
以上内容参考:网络-异常入侵检测、网络-入侵检测系统
❻ 异常检测有哪些主要的分析方法
1. 概率统计方法
在基于异常检测技术的IDS中应用最早也是最多的一种方法。
首先要对系统或用户的行为按照一定的时间间隔进行采样,样本的内容包括每个会话的登录、退出情况,CPU和内存的占用情况,硬盘等存储介质的使用情况等。
将每次采集到的样本进行计算,得出一系列的参数变量对这些行为进行描述,从而产生行为轮廓,将每次采样后得到的行为轮廓与已有轮廓进行合并,最终得到系统和用户的正常行为轮廓。IDS通过将当前采集到的行为轮廓与正常行为轮廓相比较,来检测是否存在网络入侵行为。
2. 预测模式生成法
假设条件是事件序列不是随机的而是遵循可辨别的模式。这种检测方法的特点是考虑了事件的序列及其相互联系,利用时间规则识别用户行为正常模式的特征。通过归纳学习产生这些规则集,并能动态地修改系统中的这些规则,使之具有较高的预测性、准确性。如果规则在大部分时间是正确的,并能够成功地运用预测所观察到的数据,那么规则就具有高可信度。
3. 神经网络方法
基本思想是用一系列信息单元(命令)训练神经单元,这样在给定一组输入后、就可能预测出输出。与统计理论相比,神经网络更好地表达了变量间的非线性关系,并且能自动学习并更新。实验表明UNIX系统管理员的行为几乎全是可以预测的,对于一般用户,不可预测的行为也只占了很少的一部分。
❼ 异常检测的相关定义
1、误用检测是指通过攻击行为的特征库,采用特征匹配的方法确定攻击事件.误用检测的优点是检测的误报率低,检测快,但误用检测通常不能发现攻击特征库中没有事先指定的攻击行为,所以无法检测层出不穷的新攻击
2、异常检测是指根据非正常行为(系统或用户)和使用计算机非正常资源来检测入侵行为.其关键在于建立用户及系统正常行为轮廓(Profile),检测实际活动以判断是否背离正常轮廓
3、异常检测是指将用户正常的习惯行为特征存储在数据库中,然后将用户当前的行为特征与特征数据库中的特征进行比较,如果两者的偏差足够大,则说明发生了异常
4、异常检测是指利用定量的方式来描述可接受的行为特征,以区分和正常行为相违背的、非正常的行为特征来检测入侵
5、基于行为的入侵检测方法,通过将过去观察到的正常行为与受到攻击时的行为相比较,根据使用者的异常行为或资源的异常使用状况来判断是否发生入侵活动,所以也被称为异常检测
6、统计分析亦称为异常检测,即按统计规律进行入侵检测.统计分析先对审计数据进行分析,若发现其行为违背了系统预计,则被认为是滥用行为
7、统计分析亦称为异常检测.通过将正常的网络的流量.网络延时以及不同应用的网络特性(如时段性)统计分析后作为参照值,若收集到的信息在参照值范围之外,则认为有入侵行为
8、异常检测(Anomaly-based detection)方法首先定义一组系统处于“正常”情况时的数据,如CPU利用率、内存利用率、文件校验和等然后进行分析确定是否出现异常。