英语原文共 8 页,剩余内容已隐藏,支付完成后下载完整资料
摘要
密码系统是信息安全中使用最广泛的技术。 然而,这些体系有其自身的缺陷,因为它们依靠预防作为唯一的防御手段。 这就是为什么大多数组织都被入侵检测系统所吸引。 入侵检测系统可以大致分为两类:异常和误用检测系统。 基于异常的系统通过监视系统活动并将其分类为正常或异常来检测计算机入侵和误用。 滥用检测系统可以检测到几乎所有已知的攻击模式; 但它们几乎不能用于检测未知的攻击。 在本文中,我们使用神经网络来检测因特网上可用的侵入式Web文档。 为此,后向传播神经网络(BPN)网络架构被应用,这是监督式学习最流行的网络架构之一。 在Internet安全性和加速(ISA)服务器2000日志上进行分析,以找出不应由组织中的未授权人员访问的Web文档。 互联网上有许多网络文件可供在线使用,这可能会对组织造成伤害。 大多数这些文档被阻止使用,但组织的用户仍然尝试访问这些文档,并可能导致组织网络出现
1.介绍
信息是必须高效管理的最重要的资源。除了管理之外,其保护也非常重要,因为它可能会导致当今电子环境中的经济损失。例如,我们可以使用合适的网络(例如卫星和蜂窝电话网络)与银行代表进行交互,或者通过专门的有线ATM网络和互联网进行在线银行服务,从而控制世界上几乎任何地方的银行账户。网络支持的服务非常有用,效率也很高,但这些服务可以被不道德的要素所颠覆,以达到自己的利益。因此,需要采用合适的机制来保护信息。 在对自动柜员机的欺诈调查[1]中,据报道,欺诈的模式取决于那些负责实施和管理系统的人。在美国,如果客户对交易提出异议,银行有责任证明客户错误或谎言。这迫使美国银行适当地保护他们的系统。但是,在英国,挪威和荷兰,举证责任在于顾客。银行是对的,如果客户无法证明他是错误的客户无法证明它是错误的。这就是为什么这些国家的银行变得粗心大意。最终,欺诈行为破坏了他们的满意度,与此同时,美国银行遭受的欺诈少得多。尽管他们在安全方面的花费少于欧洲同行,但他们更有效地花费了它[2]。2000年初也出现了一种不同类型的激励失败,对一些知名网站发布了分布式拒绝服务攻击。这些攻击利用一些弱机器在主机上发起大型协同数据包洪水。由于他们中的许多人同时淹没了受害者,交通不仅仅是主人可以处理的。此外,因为它来自许多不同的来源,所以可能很难停下来。瓦里安[3]讨论了不同类型的攻击及其影响。[3]中提出的建议是:分布式拒绝服务攻击的成本应该落在发生洪泛流量的网络运营商身上。并为最有能力管理风险的当事方分配法律责任,因为他们将开发计算机安全方面的专业知识并向其客户提供所需的服务。在下一节中,我们将回顾入侵检测系统。
2.早期入侵检测系统
当攻击者获得对有效用户帐户的未授权访问并在伪装成该用户时执行破坏性行为时就会发生入侵。 攻击者可能会直接损害用户的帐户,或者可以使用它来发起对其他帐户或机器的攻击。 在这种情况下,检测它的有用方法是开发计算机系统用户的“模式”。 由于许多系统没有收集足够的数据来提供审计线索,或者无法保护数据免遭修改,因此早期的入侵检测工作用于手动审查系统审计线索,但效率低下。 中国的研究[4]表明,几乎所有的大公司和大多数中型组织都安装了某种形式的入侵检测工具。 在[5]中,讨论了使用移动代理的误用检测方法。 检测入侵的方法可以是异常检测或误用检测。 误用检测主要适用于可靠地检测已知模式,但它们几乎不能用于未知的攻击方法。 移动代理通过不断移动互联网并传播规则来解决误用检测,从而提供计算安全。 该论文[6]讨论了一种入侵检测系统(IDS)架构,它整合了异常和误用检测方法。 该架构由三个主要模块组成:异常检测模块,误用检测模块和决策支持系统模块。 异常检测模块使用自组织映射(SOM)结构来建模正常行为,任何与正常行为的偏离都被视为攻击。 误用检测模块使用J.48决策树算法对不同类型的攻击进行分类。 决策支持系统分析和解释解释异常和误用检测模块结果的结果。 在[7]中,讨论了严格的异常检测方法,使用神经网络取得了很好的效果。 现在我们回顾一下入侵检测系统中使用的重要方法。
2.1基于规则的入侵检测系统
基于规则的入侵检测系统的基本假设是,入侵企图可以通过导致系统状态受损的用户活动序列来表征,并基于它们预测入侵。 当审计记录或系统状态信息开始指示非法活动时,这些系统会触发规则。 基于规则的入侵检测有两种主要方法:基于状态和基于模型的方法。 在前者中,规则库使用在审计追踪中找到的术语进行编码,入侵尝试是系统状态的序列,由审计追踪信息定义,从初始和受限访问状态到最终受损状态[8]。 在后面,已知的入侵企图被建模为序列的用户行为。 入侵检测系统本身负责确定识别的用户行为如何在审计跟踪中表现出来。 这些系统具有许多优点,例如大型数据处理,对入侵企图的更直观解释以及对未来行为的预测。 基于规则的系统有一些限制。 他们在规则 - 审计记录表示方面缺乏灵活性。 攻击序列的轻微变化可能会影响活动规则比较,直到可能无法检测到入侵的程度。 虽然提高规则库的抽象级别的确提供了部分解决方案,但也降低了入侵检测设备的粒度。 [9-12]已经讨论了许多基于非专家系统的入侵检测方法。 目前大多数检测入侵的方法都是利用某种形式的基于规则的分析。 专家系统是基于规则的入侵检测方法的最常见形式[13-16]。 专家系统由一组编码人类“专家”知识的规则组成。 系统使用这些规则来对入侵检测系统中与安全相关的数据做出结论。 不幸的是,专家系统需要经常更新才能保持最新状态。 虽然专家系统提供了审核审核数据的增强功能,但所需更新可能会被管理员忽略或不经常执行。 至少会导致功能降低的专家系统。 最糟糕的是,这会降低整个系统的安全性,因为系统的用户误认为系统是安全的,即使其中一个关键组件在这段时间内变得越来越无效。
2.2基于网络和主机的入侵检测系统
基于网络的入侵检测系统(NIDS)观察网络中指定点的流量,然后实时检查该流量数据包以检测入侵模式。 它可以检查网络任何层的活动,如网络层,传输层和应用层协议。 基于网络的系统通常最擅长检测未经授权的外部访问和带宽盗用/拒绝服务。 当未经授权的用户成功登录或尝试登录时,会使用基于主机的IDS对其进行跟踪。 但是,在登录尝试之前检测未经授权的用户最好使用基于网络的IDS来完成。 发起带宽盗窃攻击的数据包最好使用基于网络的IDS。 一些基于网络的IDS是Shadow,Dragon,NFR,RealSecure和NetProwler。基于主机的入侵检测系统是开发和实施的第一批入侵检测系统。 他们收集并分析源自提供a。的计算机上的数据服务,如Web服务器。 在收集来自给定计算机的数据后,对其进行分析。 基于主机的系统的一个示例是在系统上运行并接收应用程序或操作系统审计日志的程序。 这些程序对检测内部滥用行为非常有效。 它们位于可信网络系统本身,它们靠近网络的经过认证的用户。 如果其中一个用户尝试未经授权的活动,基于主机的系统通常会以尽可能快的方式检测并收集最相关的信息。 除了检测未经授权的内部人员活动外,基于主机的系统还可以有效检测未经授权的文件修改。 基于主机的IDS是Windows NT / 2000安全事件日志,RDMS审核源,企业管理系统审核数据(如Tivoli)和UNIX Syslog的原始形式。基于图形的入侵检测系统(GrIDS)[17]使用图形表示来监视整个网络的活动。EMERALD eXpert-BSM是一种实时前向推理专家系统,它使用知识库来检测多种形式的系统误用[18]。 在[19]中,我们讨论了一种技术,用于检测特权进程级别的入侵。 据报道,通过运行程序执行的系统调用的短序列是几个常见UNIX程序的正常和异常操作特性之间的良好区别。 分析程序所做的系统调用是基于程序行为配置文件检测入侵的合理方法[20]。
2.3基于神经网络的入侵检测系统
基于神经网络的入侵检测系统具有在给定环境中训练和学习模式的能力,可以通过识别入侵模式来检测入侵。 基于人工神经网络的入侵检测方法非常流行。 最近对无监督神经网络模型的研究以及其中最适合的评估和实现选择在[21]中进行了讨论。这些可用于基于主机和基于网络的入侵检测系统。IDS的成功之处在于防火墙未能阻止许多安全入侵。入侵检测系统可以检测到穿过防火墙的许多人。许多基于异常和基于误用的入侵检测技术已被设计用于检测用户在[22-27]中表现出的异常行为。 已经提出人工神经网络作为统计分析的替代方法[28-30]。 统计分析涉及将当前事件与预定的一组基准标准进行统计比较。 专门讨论神经网络以识别系统用户的典型特征并进行统计分析来自用户已建立的行为的显着变化。 人造神经网络也被用于检测计算机病毒。神经网络被作为计算机网络中病毒和恶意软件检测的统计分析方法进行讨论。神经网络入侵检测(NNID)系统使用神经网络来预测用户将根据先前的命令输入的下一个命令。 现在我们讨论基于神经网络的入侵检测系统。
3.审计日志分析使用神经网络
在这项工作中,我们从ISA 2000 Web访问日志中收集数据,使用神经网络分析可能的入侵攻击,然后使用反向传播神经(BPN)网络模型分析输入数据。 在PBN算法中考虑不同数量的隐藏层。
3.1 ISA 2000 Web访问日志分析
互联网带宽被各种互联网应用协议消耗。 访问互联网资源的最流行的应用层协议是HTTP协议。 它用于访问万维网上的资源。 尽管多年来每千字节或每兆字节的带宽成本已经下降,但校园网络中的用户消耗的带宽量逐年增加。 与互联网资源的HTTP连接不仅会导致带宽使用率的增加,还会减少互联网上其他重要协议和应用程序(如SMTP,POP3和VPN)上可用的带宽量。 为了向用户提供所需的数据资源,它使用某种服务器存储在不同的位置。 为了进一步帮助用户在计算机网络环境中使用代理服务器。 代理服务器是通过向其他服务器发出请求向用户请求提供服务的服务器(计算机系统或应用程序)。 用户连接到代理服务器,请求从不同服务器获得的文件,连接,网页或其他资源。 在使用Internet的企业中,代理服务器是充当工作站用户和Internet之间中介的服务器,以便企业可以确保安全性,管理控制和高速缓存服务。 它可以接收来自用户的对互联网服务(例如网页请求)的请求。 在清除过滤要求时,代理服务器(假设它也是缓存服务器)会在其以前下载的网页的本地缓存中查找。 如果所需的页面在那里,它将它们返回给用户,而不需要将请求转发到因特网。 如果所需页面不在缓存中,则作为代表用户的客户端的代理服务器使用其自己的IP地址之一来请求页面。
表1. ISA Server 2000日志文件中的属性
3.2 ISA Server 2000 Web访问日志
Internet Security and Acceleration(ISA)Server 2000可以通过缓存ISA Server 2000上的Web内容来帮助减少总体带宽使用和成本。我们使用Microsoft ISA Server 2000日志来监视和分析Web代理请求的状态以找出文件在组织中毫无价值。 表1显示了ISA Server 2000日志文件中使用的属性。
3.3 实验
输入数据按上述属性收集。 表2包含输入数据的值为BPN。 在向BPN提供训练数据之前,需要将其转换为有效模式。 我们执行以下步骤为BPN进行有效输入。选择目标Web服务器的IP地址部分,并将其转换为不带分隔符的整数。 例如,将ip 216.239.63.83转换为2162396383.这是一个很长的数字,它本身不是BPN的有效输入模式。用实数标准化输入模式。 标准化后,输入数据模式如表3所示。第一列显示标准化的IP地址,第二列显示1为有效IP地址,0表示无效IP地址。通过采用不同数量的隐藏层来训练这种输入模式的BPN。 我们使用2个,5个和10个隐藏层。 时代的数量是5万。 结果
表2 BPN的标准化训练模式
- 结果
已经使用Back Propagation神经网络算法对所选训练数据进行50,000次迭代来进行神经网络的训练。 在训练BPN之后,获得以下结果得到的结果与期望的均方根(RMS)误差非常接近,如表5所示。虽然这种方法不是用来作为一个完整的入侵检测系统,但结果表明神经网络检测个体的潜力有代表性的网络数据可能被滥用的情况。 图1中的图表显示BPN中使用的不同数量隐藏层的结果。 从图中可以明显看出,当我们使用10个神经元作为隐藏层时,结果非常接近理想的输出值。
- 讨论
上述方法可用于查找组织中不应允许的Web文档。Web服务器日志文件分为两部分。一个文件仅包含目标IP地址,第二个文件包含相应的源IP和日期和访问网站的时间。具有被访问站点的IP地址的第一个文件的输入被转换为标准化的IP地址。这是神经网络测试的输入模式。 对于有错误(无效网站)且没有错误(有效网站)的IP地址,神经网络已经接受了培训。当用户尝试访问无效网站记录中的网站时,系统会检测到该网站。 当时有一个在测试中的日志文件中的偏差将被计算出来。 这里在我们的情况下,Normalized ip pattern 0.002624被报告为无效,其相应的网站是www.mp3fine.com。相应的源IP地址,时间和日期可以从第二个文件中找到。在系统报告第一次检测后,我们已经手动分析了Web服务器日志持续15分钟的时间。 这是因为系统上的用户有可能尝试访问一些应该位于无效网站记录中的类似网站,但以前未包含在无效网站记录中。 这个分析给了我们正面的结果,并且两个网站已经被包括在表6中提到的无效网站记录
全文共7869字,剩余内容已隐藏,支付完成后下载完整资料
资料编号:[10287],资料为PDF文档或Word文档,PDF文档可免费转换为Word
以上是毕业论文外文翻译,课题毕业论文、任务书、文献综述、开题报告、程序设计、图纸设计等资料可联系客服协助查找。
