基于专家系统的入侵检测方法.docx

基于专家系统的入侵检测方法 鲁宏伟 罗 钢 (华中科技大学 湖北 武汉 430071) 摘 要 简介了几种典型入侵检测系统 ( IDS) ,并着重研究了基于专家系统的入侵检测方法 。 关键词 计算机安全 入侵检测系统 ( IDS) 专家系统 基于规则的设计 (RBD) 基于事例的设计 (CBD) Expert System - based Intrusion Detective Method Lu Hongwei Luo Gang ( Huazhong University of Science and Technology Wuhan Hubei 430071) Abstract The present paper briefly introduces several intrusion detective systems( IDS) ,and the expert system - based intrusion detective method in particular. Key words computer security intrusion detective system ( IDS) expert system rule - based designing(RBD) case - based designing(CBD) 1 概 述 随着计算机网络的发展 ,尤其是 InternetΠIntranet 的广泛应用 ,银行及其它金融商业机构在电子商务 的热潮中纷纷连入 Internet 。由于 Internet 自身的弱 点 ,网络上的关键业务越来越多地成为攻击的目标 , 计算机网络犯罪已经成为一种全球性的严重社会问 题。据统计 ,美国计算机犯罪每年给企业界造成的 损失达数 10 亿美元 ,亚洲国家和地区的问题也很严 重 ,如日本、新加坡、香港地区等。 计算机安全问题给社会造成的巨大经济损失 已有目共睹 ,计算机安全已成为目前人们最为关 注的问题之一 。网络安全无国界 ,网络攻击技术 的传播也是极其迅速的 ,互联网安全是一件非常 重要的事情 。然而目前 ,国内用户的网络安全意 识仍然比较淡薄 ,相当多的人认为购买了防火墙 、 安全扫描软件等就可以高枕无忧了 。由于所使用 的系统各式各样 ,对机构内部所有的系统采用统 一的安全措施实际上是不可能的 ; 同时大型网络 系统运行着多种网络协议 ( TCPΠIP , PXΠSPX) ,而这 些网络协议又非专为安全通信而设计的 。因此 , 联系人:罗 钢 ,男 ,华中科技大学计算机学院 ,高级工程师 收稿日期 :2002 - 08 - 19 现行的网络系统可能存在着来自系统漏洞 、数据 窃取 、身份鉴别 、刻意破坏 、错误路由 、线缆连接等 方面的安全威胁 。 对于网络所存在的诸多不安全因素 ,网络使 用者应该采取积极的网络防御技术 ,主动堵塞安 全漏洞 ,提供安全的通信服务 ,进行网络安全的基 础建设 。目前较多采用的积极防御策略主要有 : (1) 数据加密 ; (2) 身份鉴别 ; (3) 安全内核 ; (4) 网络地址转换器 ; Web 安全技术 (SHTTPΠHTTP 和 SSL) ; 陷阱系统 ( Honeypot) ; (7) 入侵检测系统 ( IDS) 。 2 入侵检测系统的概念与分类 2. 1 入侵检测定义 入侵检测 ( ID) 就是通过对系统数据的分析 , 有效地发现非授权的网络访问和攻击行为 。它通 过从计算机系统中的日志文件 、计算机网络中的 若干关键结点等处收集相关信息 ,并分析这些信 息 ,检查系统或网络中是否有违反安全策略的行 为和遭到袭击的迹象 ,在不影响网络性能的情况 下能对网络进行监测 。入侵检测系统 ( IDS) 则可 以在认为受到攻击时以声音警告 、电子邮件等方 式做出实时的报告 ,对防范网络的恶意攻击及误 操作提供积极的实时保护 。 虽然现在防火墙等安全工具已被普遍地应用 到各种网络环境中 ,但“家贼难防”,绕过防火墙等 安全工具或使其失效的可能性依然存在 ,因为入 侵者可能来自网络内部 ,网络仍然存在着许多安 全隐患 ,而入侵检测系统正是解决这些隐患的有 来表示 ,系统的目标是检测主体活动是否符合这 些模式 。它可以将已有的入侵方法检查出来 ,但 对新的入侵方法无能为力 。其难点在于如何设计 模式使其既能够表达“入侵”现象又不会将正常的 活动包含进来 。 (2) 异常检测 异常检测的假设是入侵者活动异常于正常主 体的活动 。根据这一观念建立主体正常活动的 效手段 。我们都知道 “, 进攻是最有效的防御”,入 “活动简档”,将