论文投稿_医学论文投稿_核心期刊,职称论文投稿发表_论文部落

　　摘要：网络安全问题日益突出，入侵检测系统的研究日渐兴盛，在传统的入侵检测方法基础上，不断地改进，并探索与遗传算法、免疫算法等智能算法结合，向着更智能更多元化发展。该文从误用检测和异常检测两方面入手，探讨了现有的用于入侵检测的方法，并对其进行优势与劣势的对比。最后就入侵检测技术研究趋势进行了分析。
　　关键词：入侵；检测；误用；异常
　　中图分类号：TP301.6文献标识码：A文章编号：1009-3044（2013）33-7402-03
　　随着网络的广泛普及，网络渗透到政府机构与企事业单位日常工作的方方面面，随之而来的黑客入侵使机构面临由于信息外泄、网络瘫痪等带来的巨大损失。现今企业单位主要依靠入侵检测系统进行网络安全的防护。
　　1入侵检测
　　入侵检测通过收集并建立网络或系统的关键信息，检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象[1]。从大量的审计数据属性中生成能有效检测入侵的正常行为轮廓，或从中有效的提取出入侵模式，是入侵检测模型的研究重点，并按此将入侵检测分为误用入侵检测和异常入侵检测。
　　2入侵检测方法
　　目前误用检测方法包括专家系统、入侵模型分析、模式匹配、基于状态转换分析、基于条件概率、基于键盘监控、基于Petri网等方法。异常检测包括统计分析、神经网络、遗传算法、数据挖掘、基于模糊技术、基于免疫原理及基于代理等方法[2-4]。
　　1）专家系统方法
　　根据专家经验，在分析入侵行为的基础上建立一套推理规则，从而形成相应的专家系统。推理规则一般是根据已知的安全漏洞进行制定，并依据专家经验的积累不断地对规则进行扩充和修正。
　　2）基于模型推理方法
　　根据入侵的行为程序建立特定行为特征的模型，根据这些模型建立攻击脚本库。检测时通过翻译假定的攻击行为，并与审计记录进行匹配，检测恶意的具有特定行为特征的异常行为。
　　3）模式匹配方法
　　将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。一般来讲，一种进攻模式可以用一个过程（如执行一条指令）或一个输出（如获得权限）来表示。
　　4）状态转换方法
　　状态转换分析使用高级状态转换图表来体现和检测已知的入侵攻击方式，状态转换分析系统利用有限状态机图表模拟入侵。入侵包括初始状态和入侵状态，这两个状态之间的转换由一系列行为序列组成。建立模型时需要分析每一种入侵方法导致系统由初始状态转换为入侵状态的转换条件，将其与两种状态使用状态转换图来表示出来集成于模型中。
　　5）基于条件概率
　　该方法将入侵方式对应于一个事件序列，然后通过观测到的事件发生情况来推测入侵出现。这种方法依据是外部事件序列，根据贝叶斯定理进行推理检测入侵。它可以通过事件序列的观测，从而推算出事件出现的概率。
　　6）基于键盘监控
　　该方法假设入侵对应特定的击键序列模式，然后监测用户击键模式，并将这一模式与入侵模式匹配，即能检测入侵。这种方法在没有操作系统支持的情况下，缺少捕获用户击键的可靠方法，而且同一种攻击存在无数击键方式表示。