文档介绍：网络态势感知系统中的
姓名: 赵勇
学号: S309060167
网络态势感知概念
目前,对网络态势感知还未能给出统一的、全面的定义。所谓网络态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。
网络安全态势感知系统就是要采集并融合处理多源异构网络安全状态数据,从而做到对大规模网络的全面监控,及时掌握网络安全状况。因此,建立稳定健壮的安全传感器是实现网络安全态势感知系统的基础。由于网络安全状态数据的多源异构特性,决定采集方式的多样性,Flow、Sniffer和面向日志的数据采集方式。
入侵检测(Intrusion Detection)技术,是指通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术。随着网络技术的发展、规模的扩大以及入侵技术的不断翻新,防火墙已经显得力不从心。因此,入侵检测系统越来越受到重视,成为继防火墙之后网络安全的重要保护。
入侵检测技术简介
异常检测的思想最早由Denning提出,即通过监视系统审计记录上系统使用的异常情况,可以检测出违反安全的事件。Denning建立的这种模型独立于任何特定的系统、应用环境、系统弱点、入侵类型,因而是一种普遍意义上的入侵检测模型。
该模型包括主体、客体、审计记录、轮廓、异常记录和活动规则5个部分。轮廓是用度量和统计模型来表示的主体相对于客体的正常行为。基于统计的异常检测技术是发展最早最成熟的异常检测技术。实用的入侵检测系统大部分都采用了这种技术作为它们的关键技术之一。
异常检测技术
Denning的模型定义了3种度量:
五种统计模型:
事件计数器
间隔定时器
资源测量器
(1)操作模型:
(2)均值和标准差模型
(3)变量模型
(4)时间序列分析
(5)马尔柯夫过程模型
异常检测技术
为了克服Denning模型没有考虑事件发生顺序的缺点,1990年Henry提出了预测模型。预测模型使用动态规则集合来检测入侵,这些规则根据所观察事件的序列关系和局部特性归纳产生序列模式。归纳机制利用基于时间的推理机能从对一个过程的观察中发现暂态模式,这种暂态模式表示了事件的重复性,可用于精确预测。
异常检测技术
1996年Forrest等人引入了一个简单的异常检测方法,该方法基于监视由特权程序使用的系统调用。在随后的几年中,更多的基于系统调用的统计异常检测技术被提出,主要有序列时延嵌入法,还有基于频率的方法如N-GRAM VECTOR法,有限状态机的方法如隐马尔可夫模型等。基于系统调用的方法主要优点是用于分析建模的方法比较简单,计算量小,其缺点是不能检测合作攻击。
异常检测技术
近几年在异常检测技术的发展过程中,引入了更多人工智能的方法,以提高异常检测的性能。这些人工智能的方法主要包括数据挖掘、人工神经网络、模糊证据理论等。
异常检测技术
基于SNMP的性能数据网络异常检测技术
SNMP的管理信息库MIB
管理信息库是网络管理系统中的重要构件,它由一个系统内的许多被管对象及其属性组成。MIB(Management Information Base)实际上是一个虚拟数据库。他规定了被管对象系统必须保存的数据项目、数据类型,以及每个数据项目中允许的操作等。它可以借助网络管理协议对其获取或修改以实现对网络的管理。
MIB-I中定义了114种管理对象,并分成8个组,分别为system组、interface组、at组、icmp组、ip组、tcp组、udp组和egp组。
Object
ODI
Syntax
Access
Description
ipInreceive
Ip3
Counter
RO
从所有接口收到的IP数据报数
tcpInsegs
Tcp10
Counter
RO
TCP段的输入数
tcpOutsegs
Tcp11
Counter
RO
TCP段的输出数
表1 本系统涉及的MIB对象