网络安全检测系统的研究

网络安全检测系统的研究

1网络攻击的现状网络是一个无限的信息交流平台。世界上的互联网用户已经超过数亿天。如此之多的用户对网络的资源提出了更高和更新的要求。现在网络的主干流量已达到了万兆,到达用户桌面的流量也达到了百兆。尽管现在有如此丰厚的网络资源,但在高峰期时,网络资源仍然不够用。因此在这里可知网络具有的特点是开放性,资源共享性。现在互联网规模早超出地区性了,其规模在全球还不断地扩大。网络的四通八达,使得用户在访问网络资源时更快捷,更方便和内容更丰富。但网络是一种资源共享平台,在访问过程中安全问题日益突出。没有采取保护措施的网络用户极易受到来自黑客,病毒和蠕虫的攻击。因此如何保护用户在访问资源时,不受攻击变得十分重要。在网络技术开发初期,网络安全研究人员并未充分考虑网络的安全性。因此攻击者利用现有的网络技术,制造多种对网络攻击的方法。蠕虫和病毒是最早的网络攻击手段,这些攻击手段发展至今可分为以下几种:蠕虫和病毒的合谋攻击,木马和病毒的合谋攻击,DOS攻击,ARP攻击以及木马程序等等的攻击方法。为了应对来自网络的攻击,相关的科研单位研发了多种安全设备,这些设备主要有防火墙,防毒墙和入侵检测系统。在一个网络结构中防火墙是第一道防护措施,那么入侵检测系统就是第二道防护措施。入侵检测系统在防护中有着不可替代的作用。当今部分网络攻击手段采用了多种技术相融合的方式,恶意技术的相互融合更够增强对网络的破坏性,给网络造成更大的危害。因此如何保护用户在访问资源时,不受攻击变得十分重要。2入侵检测技术2.1网络攻击技术的智能化当今的入侵检测系统是防御来自网络攻击的主要设备。入侵检测技术与别的检测检测技术相对比较,该技术成熟的多。由于当今网络攻击技术融入了病毒的技术,木马技术以及其它的网络技术,因此这样使得网络攻击手段变得更加智能化。智能化以后的网络攻击手段能够躲过入侵检测系统的检测。网络攻击技术的智能化,迫使在入侵检测技术中不得不融入一些已有的成熟智能技术。具有智能性的入侵检测技术在检测网络攻击的行为具有高效性,能够减少入侵检测系统的漏警与虚警的几率,漏警与虚警对网络的用户和网络检测设备是不利的。减少漏警和虚警的几率是是目前入侵检测系统需要解决的问题之一。然而技术的智能化在一定程度上能够减少入侵检测技术的漏警和虚警的几率。当今的计算机智能技术有人工智能技术,神经网络技术,机器学习技术和数据挖掘技术等等技术,这些技术都是成熟的智能性技术。在入侵检测技术中的异常检测技术和误用检测技术采用相应的以上部分智能技术。数据挖掘技术和神经网络技术在入侵检测技术系统中已有相当的应用。这些智能性技术将有助于提高异常检测和误用检测在检测网络用户行为属性的智能性。因此使得异常检测和误用检测技术具有智能化十分必要。2.2异常检测技术与网络行为检测能力的比较入侵检测技术的目的就是阻止网络入侵行为的发生。当今已知的网络攻击方式有2种:1已知模式的攻击,2未知模式的攻击。为了应对这2种网络攻击的方式,入侵检测技术开发出了2种检测技术:1误用检测,2异常检测异常检测是基于统计分析的检测技术,异常检测技术对网络行为的检测能力强于误用检测。异常检测最大的优势是能够同时检测出已知的网络和未知的网络攻击。由于异常检测的检测技术是根据统计学的来区分正常行为和异常行为,因此异常检测具有自我学习能力,这使得该技术在检测网络行为的属性时具有一定的智能性。异常检测技术与计算机技术相融合的有以下几种:基于神经网络的入侵检测,基于遗传算法的入侵检测和基于数据挖掘的入侵检测误用检测是一种基于串匹配模型技术,当一个行为事件进入侵检测系统,误用检测就会根据行为事件的特征进行模式,来判断这个行为是正常的还是异常的3pmtd算法的技术介绍3.1中间过渡状态的属性分析中介逻辑将事物的属性描述成3种状态,事物属性的2个对立面和对立面的中间过渡状态。在中介真值程度度量方法中,提出了事物超态属性概念,该方法符合中介思想事物的属性并且被划分为5种状态:事物的2个对立面,对立面的中间过渡状态和事物超态对立面对数轴y=f(x)表示的含义有以下说明数轴上用符号P与╕P分别表示事物对立面的2个属性,符号~P表示反对对立面的中间过渡状态达事物的属性。1如果数轴上数值点的位置逐步接近P,则事物A所具有P的属性逐步增强2如果该数值点的位置落在真值╕P和P的取范围之间,则事物A的属性就部分地具有╕P的属性,同时又部分地具有P的属性。3如果数轴上数值点的位置逐步接近╕P,则事物A所具有╕P的属性逐步增强。3.2率函数来计算在中介真值程度度量的方法中,数轴上某数值点通过距离比率函数来计算事物所具有属性的强弱。定理1给定y=f(x)∈f(X),ξ(h(y))=h(y),则有1相对于P的距离比率函数2相对于╕P的距离比率函数4不同行为权值的计算病毒与变形病毒都属于恶意程序,现在根据可疑程序的各个可疑指标计算该可疑程序的每一个行为权值,并且把某个程序在此次运行之后能够表现得不同行为的权值进行相加,权值的计算公式如下说明:式(3)是恶意程序的权值计算,如果某个程序是善意程序的,那么该程序就不存在恶意程序的行为,善意程序的恶意权值计算为0或为负值。5mmtd算法用于可疑程序讨论:5.1配的特性符合中介思想根据对解的匹配程度可分为三种情况:1优,2中,3差。程序大小的匹配的特性符合中介思想。以下用中介真值程度度量方法对程序的大小匹配呈度进行描述:数轴y=f(x)上有P,~P,╕P3个数据区域,P代表匹配程度差,╕P代表匹配程度优,~P代表匹配程度中。5.2轴上以p为对称中心,左右分别为p,从数轴上y=f(x)可以知道,在数轴上以~P为对称中心,左右分别为╕P和P。x相对于P的距离比率函数通过距离比率函数h1若函数h2若函数h6局部搜索法确定哪项最优6.1x为优的解当在第5节解中求得解属于优的集合时,解的等级是不同的。如果x属于优,那么在该优的解的集合中存在更优的解和最优的解。根据上述原因和理由以下使用局部搜索算法在解为优的集合中找到更优的解。6.2局部搜索法的步骤Step1:设定一个初始可行解xStep2:当满足终止运算准则时或p为空集时,输出结果停止运算:否则从N(x6.3局部搜索法参数的定义x(2)y值落在区域(α(3)在p=N(x7可疑程序的运行属性的确定判定函数:(1)可疑程序的行为属性有n个属性:i(2)某种已知病毒的行为有m个属性:j讨论:y3当如果8检测检测思想(1)发现一个新的未知程序。(2)计算可疑程序的权值,如果发现该程序的权值属于恶意性权值则执行(3),否则将该程序作为合法的程序。(3)将所有已知变体攻击程序组成搜索空间,将怀疑为恶意程序的程序组成求解空间。(4)使用MMTD算法搜索空间中寻找一个最优解的集合。(5)在MMTD求得解为优的集合中,寻找权值与可疑程序权值十分接近的恶意程序。(6)提取可疑程序和某种已知恶意程序的属性,将这种两程序的属性逐一比较。(7)得出相应的结论。9可疑程序智能性的提高如今的网络攻击手段攻击是多种多样的。由于变体攻击技术的出现,使得网络受到更大的来自外来入侵的威胁。因此为了应对来自网络变形攻击的威胁,网络安全研究人员需要开发出新的检测算法。在本文中根据有关的网络攻击知识,以及一些智能算法之后。本文提出了对可疑性的程序进行智能性的属性对比,并且采用某种算法对可疑程序的属性做出了判断。但该算法是否正确还需在实际得到检验。随着计算机技术和人工智能技术的发展,将会出现更多的新异常检测算法。随着入侵检测技术不断的发展,这必将遏制网络攻击事件的发生,网络攻击事件的成功率将会有明显的下降。具有智能性的入侵检测技术检测出更多的已知和未知网络攻击行