freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

畢業(yè)論文-網(wǎng)絡(luò)入侵檢測發(fā)展現(xiàn)狀及應(yīng)用研究(編輯修改稿)

2025-02-12 23:42 本頁面
 

【文章內(nèi)容簡介】 關(guān)的數(shù)據(jù)包,但是將網(wǎng)卡的接收模式進(jìn)行適當(dāng)?shù)脑O(shè)置后就可以改變網(wǎng)卡的過濾策略,使網(wǎng)卡能夠接收經(jīng)過本網(wǎng)段的所有數(shù)據(jù)包,無論這些數(shù)據(jù)包的目的地是否是該主機(jī)。網(wǎng)卡的 這種接收模式被稱為混雜模式,目前絕大部分網(wǎng)卡都提供這種設(shè)置,因此,在需要的時候,對網(wǎng)卡進(jìn)行合理的設(shè)置就能獲得經(jīng)過本網(wǎng)段的所有通信信息,從而實(shí)現(xiàn)網(wǎng)絡(luò)監(jiān)視的功能。在其他網(wǎng)絡(luò)環(huán)境下,雖然可能不采用廣播的方式傳送報文,但目前很多路由設(shè)備或交換機(jī)都提供數(shù)據(jù)報文監(jiān)視功能。 基于 主機(jī) 的入侵檢測系統(tǒng) 基于主機(jī)的入侵檢測系統(tǒng)將檢測模塊駐留在被保護(hù)系統(tǒng)上,通過提取被保護(hù)系統(tǒng)的運(yùn)行數(shù)據(jù)并進(jìn)行入侵分析來實(shí)現(xiàn)入侵檢測的功能。 基于主機(jī)的入侵檢測系統(tǒng)可以有若干種實(shí)現(xiàn)方法: 檢測系統(tǒng)設(shè)置以發(fā)現(xiàn)不正當(dāng)?shù)南到y(tǒng)設(shè)置和系統(tǒng)設(shè) 置的不正當(dāng)更改對系統(tǒng)安全狀態(tài)進(jìn)行定期檢查以發(fā)現(xiàn)不正常的安全狀態(tài)。 基于主機(jī)日志的安全審計(jì),通過分析主機(jī)日志來發(fā)現(xiàn)入侵行為?;谥鳈C(jī)的入侵檢測系統(tǒng)具有檢測效率高,分析代價小,分析速度快的特點(diǎn),能夠迅速并準(zhǔn)確地定位入侵者,并可以結(jié)合操作系統(tǒng)和應(yīng)用程序的行為特征對入侵進(jìn)行進(jìn)一步分析。目前很多是基于主機(jī)日志分析的入侵檢測系統(tǒng)?;谥鳈C(jī)的入侵檢測系統(tǒng)存在的問題是:首先它在一定程度上依賴于系統(tǒng)的可靠性,它要求系統(tǒng)本身應(yīng)該具備基本的安全功能并具有合理的設(shè)置,然后才能提取入侵信息;即使進(jìn)行了正確的設(shè)置,對操作系統(tǒng)熟悉的 攻擊者仍然有可能在入侵行為完成后及時地將系統(tǒng)日志抹去,從而不被發(fā)覺;并且 主機(jī)的日志能夠提供的信息有限,有的入侵手段和途徑不會在日志中有所反映,日志系統(tǒng)對有的入侵行為不能做出正確的響應(yīng),例如利用網(wǎng)絡(luò)協(xié)議棧的漏洞進(jìn)行的攻擊,通過 ping 命令發(fā)送大數(shù)據(jù)包,造成系統(tǒng)協(xié)議棧溢出而死機(jī),或是利用 ARP 欺騙來偽裝成其他主機(jī)進(jìn)行通信,這些手段都不會被高層的日志記錄下來。在數(shù)據(jù)提取的實(shí)時性、充分性、可靠性方面基于主機(jī)日志的入侵檢測系統(tǒng)不如基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)。 異常檢測 IDS 異常檢測,也稱為基于行為的入 侵檢測,以系統(tǒng)、網(wǎng)絡(luò)、用戶或進(jìn)程的正常行為建立輪廓模型 (即正常行為模式 ),將與之偏離較大的行為解釋成入侵。該方法基于如下的假設(shè):入侵會引起用戶或系統(tǒng)行為的異常。 異常檢測方法具有檢測系統(tǒng)中未知攻擊的能力,由于新攻擊方法總是不斷出現(xiàn),因此異常檢測技術(shù)一直較受重視,產(chǎn)生了大量的異常檢測技術(shù)。下面對其中的主要技術(shù)進(jìn)行介紹和分析。 (1)統(tǒng)計(jì)分析 統(tǒng)計(jì)分析方法是異常檢測的主要方法之一。該方法依據(jù)系統(tǒng)中特征變量的歷史數(shù)據(jù)建立統(tǒng)計(jì)模型,并運(yùn)用該模型對特征變量未來的取值進(jìn)行預(yù)測和檢測偏離。系統(tǒng)中的特征變量有用戶 登錄失敗次數(shù)、 CPU 和 I/O 利用率、文件訪問數(shù)及訪問出錯率、網(wǎng)絡(luò)連接數(shù)、擊鍵頻率、事件間的時間間隔等。 (a)均值與標(biāo)準(zhǔn)偏差模型以單個特征變量為檢測對象,假定特征變量滿足正態(tài)分布,根據(jù)該特征變量的歷史數(shù)據(jù)統(tǒng)計(jì)出分布參數(shù) (均值、標(biāo)準(zhǔn)偏差 ),并依此設(shè)定信任區(qū)間。在檢測過程中,若特征變量的取值超出信任區(qū)間,則認(rèn)為發(fā)生異常。 (b)多元模型以多個特征變量為檢測對象,分析多個特征變量間的相關(guān)性,是均值與標(biāo)準(zhǔn)偏差模型的擴(kuò)展,不僅能檢測到單個特征變量值的偏離,還能檢測到特征變量間關(guān)系的偏離。 (c) Markov 過程模型將每種類型的事件定義為系統(tǒng)的一個狀態(tài),用狀態(tài)轉(zhuǎn)換矩陣來表示狀態(tài)的變化,若對應(yīng)于所發(fā)生事件的狀態(tài)轉(zhuǎn)移概率較小,則該事件可能為異常事件。 (d) 時間序列模型。將事件計(jì)數(shù)與資源消耗根據(jù)時間排列成序列,如果某一新事件在相應(yīng)時間發(fā)生的概率較低,則該事件可能為入侵。 以統(tǒng)計(jì)分析方法形成系統(tǒng)或用戶的行為輪廓,實(shí)現(xiàn)簡單,且在度量選擇較好時 (即 系統(tǒng)或用戶行為的變化會在相應(yīng)的度量上產(chǎn)生顯著的變化 )能夠可靠檢測出入侵。該方法的缺點(diǎn)為:以系統(tǒng)或用戶一段時間內(nèi)的行為特征為檢測對象,檢測的時效 性差,在檢測到入侵時入侵可能已造成損害;度量的閾值難以確定;忽略了事件間的時序關(guān)系。 (2)基于數(shù)據(jù)挖掘的檢測方法 數(shù)據(jù)挖掘是一種利用分析工具在大量數(shù)據(jù)中提取隱含在其中且潛在有用的信息和知識的過程。入侵檢測過程也是利用所采集的大量數(shù)據(jù)信息,如主機(jī)系統(tǒng)日志、審計(jì)記錄和網(wǎng)絡(luò)數(shù)據(jù)包等,對其進(jìn)行分析以發(fā)現(xiàn)入侵或異常的過程。因此,可利用數(shù)據(jù)挖掘技術(shù),從大量數(shù)據(jù)中提取盡可能多的隱藏的安全信息,抽象出有利于比較和判斷的特征模型 (如基于異常檢測的正常行為輪廓 )。 數(shù)據(jù)挖掘算法有多種,運(yùn)用到入侵檢測中的主要有關(guān)聯(lián)分析、序列分 析和聚類分析 3種,其中關(guān)聯(lián)分析方法主要分析事件記錄中數(shù)據(jù)項(xiàng)間隱含的關(guān)聯(lián)關(guān)系,形成關(guān)聯(lián)規(guī)則;序列分析方法主要分析事件記錄間的相關(guān)性,形成事件記錄的序列模式;聚類分析識別事件記錄的內(nèi)在特性,將事件記錄分組以構(gòu)成相似類,并導(dǎo)出事件記錄的分布規(guī)律。在建立上述的關(guān)聯(lián)規(guī)則、序列模式和相似類后,即可依此檢測入侵或異常。 基于數(shù)據(jù)挖掘的檢測方法建立在對所采集大量信息進(jìn)行分析的基礎(chǔ)之上,只能進(jìn)行事后分析,即僅在入侵事件發(fā)生后才能檢測到入侵的存在。 (3)其他檢測方法 其他的異常檢測方法有基于規(guī)則的方法、人工免疫法、 基于機(jī)器學(xué)習(xí)的檢測方法和基于神經(jīng)網(wǎng)絡(luò)的檢測方法等。 異常檢測的優(yōu)點(diǎn)為:不需獲取攻擊特征,能檢測未知攻擊或已知攻擊的變種,且能適應(yīng)用戶或系統(tǒng)等行為的變化。但異常檢測具有如下的缺點(diǎn):一般根據(jù)經(jīng)驗(yàn)知識選取或不斷調(diào)整閾值以滿足系統(tǒng)要求,閾值難以設(shè)定;異常不一定由攻擊引起,系統(tǒng)易將用戶或系統(tǒng)的特殊行為 (如出錯處理等 )判定為入侵,同時系統(tǒng)的檢測準(zhǔn)確性受閾值的影響,在閾值選取不當(dāng)時,會產(chǎn)生較多的檢測錯誤,造成檢測錯誤率高;攻擊者可逐漸修改用戶或系統(tǒng)行為的輪廓模型,因而檢測系統(tǒng)易被攻擊者訓(xùn)練;無法識別攻擊的類型,因 而難以采取適當(dāng)?shù)拇胧┳柚构舻睦^續(xù)。 誤用檢測 IDS 誤用檢測,也稱為基于知識或基于簽名的入侵檢測。誤用檢測 IDS 根據(jù)已知攻擊的知識建立攻擊特征庫,通過用戶或系統(tǒng)行為與特征庫中各種攻擊模式的比較確定是否發(fā)生入侵。常用的誤用檢測技術(shù)主要有: (1)基于專家系統(tǒng)的檢測方法 專家系統(tǒng)是入侵檢測中常用的一種檢測方法,通過將有關(guān)入侵的知識轉(zhuǎn)化為ifthen 結(jié)構(gòu)的規(guī)則
點(diǎn)擊復(fù)制文檔內(nèi)容
環(huán)評公示相關(guān)推薦
文庫吧 www.dybbs8.com
備案圖片鄂ICP備17016276號-1