网站大量收购闲置独家精品文档,联系QQ:2885784924

态势感知系统中的常检测技术.pptVIP

  1. 1、本文档共25页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
态势感知系统中的常检测技术

基于SNMP性能数据的 网络异常检测方法 * * 姓 名 : 赵 勇 学 号 : S309060167 目前,对网络态势感知还未能给出统一的、全面的定义。所谓网络态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。 网络安全态势感知系统就是要采集并融合处理多源异构网络安全状态数据,从而做到对大规模网络的全面监控,及时掌握网络安全状况。因此,建立稳定健壮的安全传感器是实现网络安全态势感知系统的基础。由于网络安全状态数据的多源异构特性,决定采集方式的多样性,如基于SNMP、NetFlow、Sniffer和面向日志的数据采集方式。 入侵检测(Intrusion Detection)技术,是指通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。随着网络技术的发展、规模的扩大以及入侵技术的不断翻新,防火墙已经显得力不从心。因此,入侵检测系统越来越受到重视,成为继防火墙之后网络安全的重要保护。 异常检测的思想最早由Denning提出,即通过监视系统审计记录上系统使用的异常情况,可以检测出违反安全的事件。Denning建立的这种模型独立于任何特定的系统、应用环境、系统弱点、入侵类型,因而是一种普遍意义上的入侵检测模型。 该模型包括主体、客体、审计记录、轮廓、异常记录和活动规则5个部分。轮廓是用度量和统计模型来表示的主体相对于客体的正常行为。基于统计的异常检测技术是发展最早最成熟的异常检测技术。实用的入侵检测系统大部分都采用了这种技术作为它们的关键技术之一。 Denning的模型定义了3种度量: 五种统计模型 : 事件计数器 间隔定时器 资源测量器 (1)操作模型: (2)均值和标准差模型 (3)变量模型 (4)时间序列分析 (5)马尔柯夫过程模型 为了克服Denning模型没有考虑事件发生顺序的缺点,1990年Henry提出了预测模型。预测模型使用动态规则集合来检测入侵,这些规则根据所观察事件的序列关系和局部特性归纳产生序列模式。归纳机制利用基于时间的推理机能从对一个过程的观察中发现暂态模式,这种暂态模式表示了事件的重复性,可用于精确预测。 1996年Forrest等人引入了一个简单的异常检测方法,该方法基于监视由特权程序使用的系统调用。在随后的几年中,更多的基于系统调用的统计异常检测技术被提出,主要有序列时延嵌入法,还有基于频率的方法如N-GRAM VECTOR法,有限状态机的方法如隐马尔可夫模型等。基于系统调用的方法主要优点是用于分析建模的方法比较简单,计算量小,其缺点是不能检测合作攻击。 近几年在异常检测技术的发展过程中,引入了更多人工智能的方法,以提高异常检测的性能。这些人工智能的方法主要包括数据挖掘、人工神经网络、模糊证据理论等。 基于SNMP的性能数据网络异常检测技术 SNMP的管理信息库MIB 管理信息库是网络管理系统中的重要构件,它由一个系统内的许多被管对象及其属性组成。MIB(Management Information Base)实际上是一个虚拟数据库。他规定了被管对象系统必须保存的数据项目、数据类型,以及每个数据项目中允许的操作等。它可以借助网络管理协议对其获取或修改以实现对网络的管理。 MIB-I中定义了114种管理对象,并分成8个组,分别为system组、interface组、at组、icmp组、ip组、tcp组、udp组和egp组。 TCP段的输出数 RO Counter Tcp11 tcpOutsegs TCP段的输入数 RO Counter Tcp10 tcpInsegs 从所有接口收到的IP数据报数 RO Counter Ip3 ipInreceive Description Access Syntax ODI Object 表1 本系统涉及的MIB对象 基于BP神经网络的阈值检测法 基于流量管理的异常检测法 基于关联规则挖掘的异常检测法 基于BP神经网络的阈值检测法 所谓神经网络,是指由大量的,简单的处理单元广泛地连接而形成的复杂网络系统,它反映了人脑功能的许多基本特征,是一个高度复杂的非线性动力学系统。在众多的人工神经网络模型中,最常用的是BP(Back Propagation)模型,即利用误差反向传播算法求解的多层前向神经网络模型。 基于BP神经网络的阈值检测法 BP神经网络在处理不确定的复杂问题上表现出较强的优

文档评论(0)

fangsheke66 + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档