入侵检测算法三大分类(重要)
入侵检测系统(IDS,Intrusion Detection System)就是利用入侵检测技术发现计算机或网络中存在的入侵行为和被攻击的迹象的软硬件系统。区别于防火墙,入侵检测系统是一种主动防御的系统,能够更加及时地主动发现非法入侵并报警和采取应急措施,是人们研究的热点领域。
当前研究入侵检测系统的核心是对其算法的研究,人们的工作也大多集中于此。对于算法研究的目标是降低入侵检测系统的误报、漏报率和提升系统的运行效率。由于各种算法都有其局限性的一面,而具体的网络使用环境各不相同,这也是阻碍入侵检测系统商业应用的重要障碍,寻找一种具有适用性更广泛的算法也是研究工作的重要内容,对当前入侵检测算法研究现状进行综合考虑是十分必要的。本文从当前入侵检测算法的热点领域入手,依据入侵检测系统种类对当前流行的算法进行分类并详细介绍研究现状。
入侵检测算法分类
当前入侵检测算法多种多样,其中以关联规则、聚类和支持向量机等算法为代表的数据挖掘技术是当前研究的重点方面,另外,人工智能算法也在逐渐引起人们的注意。对入侵检测算法进行分类,首先考虑入侵检测系统的分类。入侵检测系统的分类有多种方法,如根据审计对象的不同,可分为基于网络的IDS、基于主机的IDS和基于网络/主机混合型IDS;按照系统的体系结构可以分为集中式和分布式入侵检测系统;按照检测技术可分为误用检测和异常检测两类。由于检测技术实际上指的就是所使用的入侵检测算法,所以这里主要考虑按照检测技术分成的误用检测和异常检测的分类方法。另外随着人们对人工智能算法在入侵检测系统中应用研究的开展,这类系统呈现出与前两类不同的一些特性。因此将当前入侵检测算法归结为误用检测算法、异常检测算法和人工智能算法三类,具体情况如图1。图1给出了入侵检测算法的分类。下面就误用检测、异常检测和人工智能算法三种入侵检测算法分别进行介绍。
误用检测算法
误用检测的基本原理是将已知的入侵行为和企图进行特征抽取,提取共同模式并编写进规则库,再将监测到的网络行为与库进行模式匹配,如果特征相同或相似,就认为是入侵行为或者企图,并触发警报。模式匹配是这类系统所采用的方法,如图1所示。
Snort入侵检测系统是一种典型的误用检测系统。它是在Libcap基础上研发的较为成熟的轻量级入侵检测系统,具有尺寸小、易于安装、便于配置、功能强大、使用灵活等特点。该系统采用的算法是模式匹配,因此人们的研究主要是集中在对模式匹配算法的优化上。例如:黄侃【1】对BM算法进行了优化,能够有效节省Snort系统的运算时间,提高系统性能,BM算法是Snort入侵检测系统中重要的字符串匹配算法。郝伟臣【2】给出一种基于哈希算法的匹配算法应用于Snort系统,取得了较好的效果。
该方法具有低误报率的优点,但是不能检测出规则库中不存在的入侵行为和企图,即无法检测未知的攻击。
异常检测算法
异常检测是通过建立一个主体正常行为的模型,将攻击行为作为异常活动从大量的正常活动中检测出来,达到对攻击行为检测的目的,其显著的优点是对未知攻击的检测。
数据挖掘是指从大量的、不完全的、有噪声的、模糊的、随机的数据中提取隐含在其中的、人们不知道的但又是潜在有用的信息和知识的过程。这一点与异常检测所要求的对未知入侵和威胁的检测是相一致的。随着数据挖掘算法的发展,其在入侵检测领域中的应用愈加深入,受到人们研究的关注。当前流行的数据挖掘技术是异常检测算法研究的主要领域,如图1所示,其中以关联规则、聚类和支持向量机等算法尤其具有代表性。下面就各种有代表性的算法进行介绍。
关联规则
关联规则算法的目的是发现隐藏在大型数据集的各不同属性之间的有意义联系,发现的联系用关联规则或者频繁相集来表示。关联规则的基本形式X →Y,这里X∩Y=?。支持度(Support)和置信度(Confidence)是最重要的两个概念,它们的定义:
Support(X→Y)=P(X∪Y)(1);
Confidence(X→Y)=P(Y│X)(2)。
支持度可以确定规则中出现在给定数据集的频繁程度,置信度可以确定Y出现在包含X的事务中的频繁程度。因此,关联规则算法就是从某事物数据集中发现满足最小支持度和最小置信度的关联规则的过程。
采用关联规则算法对数据进行挖掘主要包括产生频繁项集和产生规则两个步骤。产生频繁项集:从数据集中发现满足最小支持度阈值的项集,即频繁项集。产生规则:从频繁项集中提取出所有满足最小置信度的规则。关联规则算法通常是先产生频繁项集后再产生规则,Apriori及其衍生的相关算法是这种典型的关联规则算法。一般情况频繁项集产生所需要的计算开销要远大于规则产生所需要的计算开销,为了降低运算成本,也可以不生成频繁项集的算法,如FP-Growth算法。
聚类算法
聚类就是按照一定的要求和规律对事物进行区分和分类。由于在聚类的过程中没有任何关于分类的先验知识,仅靠事物间的相似性作为类属划分的准则,因此这是一种无监督的分类方式。
K-means是经典的聚类算法,它使用简单的迭代将数据集聚成K个类,该算法具有简单、易懂、良好的可伸缩性等显著优点。成为当前入侵检测系统中聚类算法研究方面的重要算法。例如:薛京花【3】等人对K-means算法进行了改进并应用到入侵检测系统中,并取得了明显的效果。
除了K-means算法之外,聚类方法还包括模糊聚类和蚁群聚类算法。传统的聚类分析是一种具有非此即彼的性质的硬划分。但现实中大部分数据对象并没有严格的属性,在形态和类属方面存在着中介性,更适合进行软划分。因此人们开始用模糊的方法来处理聚类问题。模糊C-均值算法是典型的模糊聚类算法。
蚁群算法是一种基于生物种群的模拟进化算法,模拟蚁群在寻找食物的过程中总能找到蚁巢和食物源之间的最短路径的方法。该算法具有分布式并行计算、自适应和易于其他算法相结合的优点。但存在过早限于局部最优解和收敛速度慢的缺陷。
支持向量机
支持向量机(Support Vector Machine,SVM)算法是建立在统计学习理论的基础上,能从大量训练数据中选出很少的一部分用于构建模型,通常对维数不敏感。在当前高速网络环境条件中很难获得完备的训练样本集,同时为了降低部署模型的资源开销,应尽可能地减少在数据挖掘的过程中使用的训练样本数据量。而SVM更适合小样本数据学习,更符合实际高速网络中的现实情况。另一方面,SVM能在很大程度上克服了传统机器学习(神经网络、决策树等)的维数灾难和局部极小等问题,获得比较好的泛化能力。具有良好泛化性能的入侵检测系统对应其实际应用有着重要的意义,是人们研究所期望获得的。综上所述,SVM成为研究构建入侵检测系统的重要算法。例如:李汉彪,刘渊【4】采用多SVM融合的方法,有效地弥补单个SVM检测的局限性,能有效地提高入侵检测率的同时降低误报率。
采用SVM算法构建入侵检测系统,通常需要其他算法对数据样本进行属性约减,降低维数,来提高运行效率。
另外也有利用蚁群、鱼群等生物种群算法对SVM进行改进。例如:杨聪明【5】采用将自组织蚁群聚类算法作为SVM算法中查询策略的方案,把蚁群聚类算法与SVM有效的融合,并应用到入侵检测系统中,获得了较高的检测率和较低的误报率、漏报率,并能提高算法的执行效率。
决策树
决策树是一种树状结构,用于揭示数据中的结构化信息。利用该结构可以将大型记录集分割为相互连接的小记录集,通过每一次连续分割,结果集中的成员彼此变得越来越相似。使用决策树算法可以将数据规则可视化,构造决策树的过程所需的时间也比较短,且输出的结果容易理解。决策树具有分类精度高,操作简单以及对噪声数据有很好健壮性的优点,C4.5、ID3是常见的决策树算法方法。
史珊姗【6】在利用决策树C4.5算法构建入侵检测系统方面做了相关研究。但是C4.5决策树算法在生成树的过程中,需要对样本集进行多次的扫描和排序,导致算法的效率比较低;另外C4.5算法只适用于可以驻留于内存的数据集,当训练集超过内存的容纳能力时,程序就无法运行,使该算法对硬件要求比较高。
综上所述,异常检测算法主要采用关联规则、聚类、SVM等数据挖掘算法,如图1所示。除上述常用数据挖掘方法之外,还有k-最近临(kNN)、朴素贝叶斯(Nave Bayes)等数据挖掘算法也是被人们应用于入侵检测系统的研究中。根据这些算法的介绍可以得出,提高运行效率,提高准确率,降低误报率是人们对算法研究的目标,然而各种算法本身有着各自的缺陷,限制了传统算法的应用。
人工智能算法
通过前面对传统数据挖掘算法的研究发现,各种算法自身存在着缺陷,研究具有高效率、低误报率和良好泛化特性的算法仍旧是工作的中心。另外,具有分布式架构的入侵检测系统更能适应当前网络实际使用环境的需求,已成为当前入侵检测系统研究的主流构架。因此传统的算法已经不能满足当前入侵检测系统发展需求。随着人工智能的发展,将智能算法运用到入侵检测系统中,将成为入侵检测系统新的研究热点发展方向。免疫方法和神经网络是当前入侵检测系统主流的人工智能算法。
免疫方法
生物免疫系统的核心思想是识别并处理“自己”和“非己”,这与入侵检测系统的工作目标是一致的。生物免疫系统具有识别能力、学习认知能力、多样性、自适应性、自组织性、分布性的特点。其中分布性的特点是指免疫系统可以被视为一个分布式系统,因为免疫分子、免疫器官和免疫细胞不是集中分布在生物体的同一位置,而是分散开的,它们之间是相互独立的处理单元,通过免疫网络相互连接,共通完成比较复杂的免疫功能。这一点与当前构建分布式入侵检测系统的现实需求是一致的。因此利用免疫系统运算原理构建的入侵检测系统具有天然的优势。
姚云志【7】等人根据生物免疫系统与入侵检测系统工作目的的统一性,在结合了否定选择、克隆选择和检测子基因库进化三种免疫机制基础上,提出了一个改进的基于人工免疫的入侵检测新模型。周志凯【8】等人对免疫算法构建的入侵检测系统中关于具有信息增益的检测器做了较深入的研究。
神经网络
人工神经网络(ANN,Artificial Neural Network)是由人工神经元互连而成的网络,它从微观结构和功能上实现对人脑的抽象和简化。人工神经网络具有非线性逼近性,很好的鲁棒性以及容错性,快速的运算能力,较好的实时特性,良好的并行特性,良好的学习能力和自适应性等诸多优点。将人工神经网络技术应用于入侵检测系统,能够较好地解决目前一些不宜解决的问题,提高系统检测率,减少误报率。神经网络技术是最近几年研究的热点问题,如:多层前馈BP神经网络、蜜罐等等。
宋麟【9】等人研究了基于BP人工神经网络技术的入侵检测系统。对失真或不完全数据的处理能力,是基于BP神经网络的实时入侵检测系统的独特优点。李晨光【10】建立了基于BP神经网络的入侵检测系统,该系统具备了入侵检测技术的诸多优点,可以有效的检测出异常的网络攻击行为。蜜罐技术是一种主动的网络保护技术,其思想是构建一个严格的欺骗环境诱骗入侵者对其进行攻击,并在受到攻击后作出预警,从而实现保护实际运行的网络和系统。汪洁【11】等人设计并实现了一个基于人工神经网络的蜜罐入侵检测系统。该系统应用感知器学习方法构建FDM检测模型用于划分正常类和攻击类;构建SDM检测模型对一些具体的攻击类型进行识别。该系统对入侵行为具有较好的检测率和较低的误报率。
遗传算法
遗传算法是模拟达尔文生物进化论的自然选择和遗传学机理的生物进化过程的算法,是一种通过模拟自然进化过程搜索最优解的方法。将遗传算法应用到入侵检测中也有相关的研究。例如:朱红萍【12】等人构建了基于遗传算法的入侵检测系统,重点研究如何进行特征选择,来去除数据源中的不相关和冗余特征。
小结
从对人工智能算法入侵检测系统研究现状的情况看,人工智能算法目前还处于起步阶段,但是由于其算法先天的优势,正在被研究人员所关注,越来越多的研究工作正在展开。
通过对当前入侵检测算法的梳理,可分为误用检测算法、异常检测算法和人工智能算法三类。其中误用检测以模式匹配算法为主,关联规则、聚类、SVM等数据挖掘算法通常用于异常检测,免疫方法和神经网络是人工智能算法的代表。传统的数据挖掘算法仍是研究的重点和热点,以免疫算法和神经网络为代表的人工智能算法正引起人们的关注,其在入侵检测系统中的应用有着传统数据挖掘算法所不具备的优势和广泛的前景,应成为下一步研究的重点。
降低入侵检测系统的误报、漏报率和提升系统的运行效率仍然是算法研究的基本问题。另外,分布式架构和良好泛化性也是入侵检测系统所要亟待解决的问题。因此,研究算法来解决上述问题仍是当前科研人员主要工作。利用传统数
据挖掘算法的特点和人工智能算法的优势,将其二者相结合或许能成为解决问题的一条路径。
(作者单位为南开大学信息化建设与管理办公室)
注释:
[1] 黄侃.对Snort系统中BM模式匹配算法的研究与改进[J].网络安全技术与应用,2014.7:39-40
[2] 郝伟臣.Snort规则分组和映射算法的研究[D].西安:西安电子科技大学,2014
[3] 薛京花.K-means聚类算法在网络入侵检测中的应用研究[D].长沙:中南林业科技大学,2012
[4] 李汉彪,刘渊.一种SVM入侵检测的融合新策略[J].计算机工程与应用,2012,48(4):87-90
[5] 杨聪明.基于蚁群聚类的SVM算法在入侵检测中的应用[D].南京:南京理工大学,2012
[6] 史珊姗.基于决策树C4.5算法的网络入侵检测研究[D].苏州:苏州大学,2012
[7] 姚云志,田玉玲.改进的基于人工免疫的入侵检测模型[J].计算机应用与软件,2014,31(1):308-310
[8] 周志凯,张凤斌,马天宇.实值形态空间中基于信息增益的属性选择算法[J].中国科技在线,2014,3(316):1-9
[9] 宋麟.人工神经网络技术在入侵检测系统中的应用[D].成都:电子科技大学,2012
[10] 李晨光.基于神经网络的入侵检测技术研究与应用[D].长春:吉林大学,2013
[11] 汪洁,杨柳.基于蜜罐的入侵检测系统的设计与实现[J].计算机应用研究,2012,29(2):667-671
[12] 朱红萍,巩青歌,雷战波.基于遗传算法的入侵检测特征选择[J].计算机应用研究,2013,29(4):1417-1419
精品文档 . 第1章入侵检测概述 思考题: (1)分布式入侵检测系统(DIDS)是如何把基于主机的入侵检测方法和基于网络的入侵检测方法集成在一起的? 答:分布式入侵检测系统是将主机入侵检测和网络入侵检测的能力集成的第一次尝试,以便于一个集中式的安全管理小组能够跟踪安全侵犯和网络间的入侵。DIDS的最初概念是采用集中式控制技术,向DIDS中心控制器发报告。 DIDS解决了这样几个问题。在大型网络互联中的一个棘手问题是在网络环境下跟踪网络用户和文件。DIDS允许用户在该环境中通过自动跨越被监视的网络跟踪和得到用户身份的相关信息来处理这个问题。DIDS是第一个具有这个能力的入侵检测系统。 DIDS解决的另一个问题是如何从发生在系统不同的抽象层次的事件中发现相关数据或事件。这类信息要求要理解它们对整个网络的影响,DIDS用一个6层入侵检测模型提取数据相关性,每层代表了对数据的一次变换结果。 (2)入侵检测作用体现在哪些方面? 答:一般来说,入侵检测系统的作用体现在以下几个方面: ●监控、分析用户和系统的活动; ●审计系统的配置和弱点; ●评估关键系统和数据文件的完整性; ●识别攻击的活动模式; ●对异常活动进行统计分析; ●对操作系统进行审计跟踪管理,识别违反政策的用户活动。 (3)为什么说研究入侵检测非常必要? 答:计算机网络安全应提供保密性、完整性以及抵抗拒绝服务的能力,但是由于连网用户的增加,网上电子商务开辟的广阔前景,越来越多的系统受到入侵者的攻击。为了对付这些攻击企图,可以要求所有的用户确认并验证自己的身份,并使用严格的访问控制机制,还可以用各种密码学方法对数据提供保护,但是这并不完全可行。另一种对付破坏系统企图的理想方法是建立一个完全安全的系统。但这样的话,就要求所有的用户能识别和认证自己,还要采用各种各样的加密技术和强访问控制策略来保护数据。而从实际上看,这根本是不可能的。 因此,一个实用的方法是建立比较容易实现的安全系统,同时按照一定的安全策略建立相应的安全辅助系统。入侵检测系统就是这样一类系统,现在安全软件的开发方式基本上就是按照这个思路进行的。就目前系统安全状况而言,系统存在被攻击的可能性。如果系统遭到攻击,只要尽可能地检测到,甚至是实时地检测到,然后采取适当的处理
一 产业集聚度概念和测度方法 产业集中度的概念:产业集中度也叫市场集中度,是指市场上的某种行业内少数企业的生产量、销售量、资产总额等方面对某一行业的支配程度,它一般是用这几家企业的某一指标(大多数情况下用销售额指标)占该行业总量的百分比来表示。 产业集聚测度方法 1、 集中度(Concentrion ration of industry ) 行业集中度是用规模最大的几个地区有关数值(销售额、就业人数、生产额等) 占整个行业的份额来度量。计算公式为: 11n i i n N i i X CR X ===∑∑ 其中n CR 代表X 产业的集聚度,1n i i X =∑代表规模最大几个地区X 产业的销售额 或者生产额、就业人数等,1N i i X =∑代表全部地区X 产业的销售额或者生产额、 就业人数等。 优点:计算方法简单,采用最常用的指标,能够形象的反应产业集聚水平。 缺点:一是集聚度的测算季节容易受到n 值选取的影响,二是忽略了规模最大地区之外其它地区的规模分布情况, 三是不能反映规模最大地区内部之间产业结构与分布的差别。 2、 区位熵(Entropy index ) 所谓熵, 就是比率的比率,它由哈盖特(P ·Haggett )首先提出并用于区位分析中。区位熵, 又称专门化率,用以衡量某一区域要素的空间分布情况,反映某一产业部门的专业化程度,以及某一区域在高层次区域的地位和作用等方面。在产业结构研究中,通常用于分析区域主导专业化部门的状况。计算公式为: 11E /i i ij n n i i i i q Q q Q === ∑∑ 其中E ij 表示某区域i 部门对于高层次区域的区域熵;i q 为某区域部门的有关
网络入侵检测原理与技术 摘要:计算机网络技术的发展和应用对人类生活方式的影响越来越大,通过Internet人们的交流越来越方便快捷,以此同时安全问题也一直存在着,而人们却一直未给予足够的重视,结果连接到Internet上的计算机暴露在愈来愈频繁的攻击中,基于计算机、网络的信息安全问题已经成为非常严重的问题。 关键词:入侵检测;入侵检测系统;入侵检测系统的原理、方法、技术 一、网络入侵及其原因 简单来说,网络安全问题可以分为两个方面: 1)网络本身的安全; 2)所传输的信息的安全。 那么,我们之所以要进行网络入侵检测,原因主要有以下几个:1)黑客攻击日益猖獗 2)传统安全产品存在相当多的问题 二、入侵检测原理、方法及技术 1、入侵检测概念 入侵检测是指对潜在的有预谋的未经授权的访问信息、操作信息以及致使系统不可靠、不稳定或者无法使用的企图的检测和监视。它是对安全保护的一种积极主动地防御策略,它从计算机网络系统中的若干关键点收集信息,并进行相应的分析,以检查网路中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后第二道安全闸门,在不影响网路性能的前提下对网络进行监测,从而提供对内外部攻击和误操作的实时保护。 2、入侵检测模型
3、入侵检测原理 根据入侵检测模型,入侵检测系统的原理可以分为以下两种: 1)异常检测原理 该原理根据系统或者用户的非正常行为和使用计算机资源的非正常情况来检测入侵行为。 异常检测原理根据假设攻击和正常的活动的很大的差异来识别攻击。首先收集一段正常操作的活动记录,然后建立代表用户、主机或网络连接的正常行为轮廓,再收集事件数据同时使用一些不同的方法来决定所检测到的事件活动是否正常。 基于异常检测原理的入侵检测方法和技术主要有以下几种方法: a)统计异常检测方法; b)特征选择异常检测方法; c)基于贝叶斯推理异常的检测方法; d)基于贝叶斯网络异常检测方法; e)基于模式预测异常检测方法。 其中比较成熟的方法是统计异常检测方法和特征选择异常检测方法,对这两种方法目前已有由此而开发成的软件产品面市,而其他方法都还停留在理论研究阶段。 异常检测原理的优点:无需获取攻击特征,能检测未知攻击或已知攻击的变种,且能适应用户或系统等行为的变化。 异常检测原理的缺点:一般根据经验知识选取或不断调整阈值以满足系统要求,阈值难以设定;异常不一定由攻击引起,系统易将用户或系统的特殊行为(如出错处理等)判定为入侵,同时系统的检测准确性受阈值的影响,在阈值选取不当时,会产生较多的检测错误,造成检测错误率高;攻击者可逐渐修改用户或系统行为的轮廓模型,因而检测系统易被攻击者训练;无法识别攻击的类型,因而难以采取适当的措施阻止攻击的继续。 2)误用检测原理 误用检测,也称为基于知识或基于签名的入侵检测。误用检测IDS根据已知攻击的知识建立攻击特征库,通过用户或系统行为与特征库中各种攻击模式的比较确定是否发生入侵。常用的误用检测方法和技术主要有: a)基于专家系统的检测方法; b)基于状态转移分析的检测方法; c)基于条件的概率误用检测方法; d)基于键盘监控误用检测方法; e)基于模型误用检测方法。 误用检测技术的关键问题是:攻击签名的正确表示。误用检测是根据攻击签名来判断入侵的,如何用特定的模式语言来表示这种攻击行为,是该方法的关键所在。尤其攻击签名必须能够准确地表示入侵行为及其所有可能的变种,同时又不会把非入侵行为包含进来。由于大部分的入侵行为是利用系统的漏洞和应用程序的缺陷进行攻击的,那么通过分析攻击过程的特征、条件、排列以及事件间的关系,就可具体描述入侵行为的迹象。 4、入侵检测方法 1)基于概率统计的检测 该方法是在异常入侵检测中最常用的技术,对用户行为建立模型并根据该模型,当发现出现可疑行为时进行跟踪,监视和记录该用户的行为。优越性在于理论成熟,缺点是匹配用
第9章入侵检测系统 1. 单项选择题 1)B 2)D 3)D 4)C 5)A 6)D 2、简答题 (1)什么叫入侵检测,入侵检测系统有哪些功能? 入侵检测系统(简称“IDS”)就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。 入侵检测系统功能主要有: 识别黑客常用入侵与攻击手段 监控网络异常通信
鉴别对系统漏洞及后门的利用 完善网络安全管理 (2)根据检测对象的不同,入侵检测系统可分哪几种? 根据检测对象的不同,入侵检测系统可分为基于主机的入侵检测基于网络的入侵检测、混合型三种。主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源。主机型入侵检测系统保护的一般是所在的系统。网络型入侵检测系统的数据源是网络上的数据包。一般网络型入侵检测系统担负着保护整个网段的任务。混合型是基于主机和基于网络的入侵检测系统的结合,它为前两种方案提供了互补,还提供了入侵检测的集中管理,采用这种技术能实现对入侵行为的全方位检测。 (3)常用的入侵检测系统的技术有哪几种?其原理分别是什么? 常用的入侵检测系统的技术有两种,一种基于误用检测(Anomal Detection),另一种基于异常检测(Misuse Detection)。 对于基于误用的检测技术来说,首先要定义违背安全策略事件的特征,检测主要判别这类特征是否在所收集到的数据中出现,如果检测到该行为在入侵特征库中,说明是入侵行为,此方法非常类似杀毒软件。基于误用的检测技术对于已知的攻击,它可以详细、准确的报告出攻击类型,但是对未知攻击却效果有限,而且知识库必须不断更新。 基于异常的检测技术则是先定义一组系统正常情况的数值,如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义,也可以通过观察系统、并用统计的办法得出),然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的正常情况。异常检测只能识别出那些与正常过程有较
摘要:本文介绍了目前常用的产业集聚测量方法,主要包括:行业集中度、赫芬达尔指数、熵指数、空间基尼系数、E-G指数。通过对比分析,阐述了各种测量方法的优缺点。分析认为,E-G指数是测量产业集聚比较适合的方法,但受制于数据的可获取性。 关键词:产业集聚测量 一、前言 区域经济理论认为,产业集聚对一个地区整体产业竞争力及区域经济增长具有重要影响。因此推动产业集聚成为了许多地方政府发展区域经济的重要手段。制定产业集聚相关政策必须以实证研究为基本前提,而对于产业集聚的实证研究,一个最根本的问题是如何测度产业的集聚度水平,因为无论是单纯进行产业集聚的研究还是探讨产业集聚对经济增长、经济稳定以及其他方面的影响,它都直接影响到最终研究结论的可信程度。 二、产业集聚常用的测量方法 目前比较常用的产业集聚测量方法主要有:行业集中度、赫芬达尔指数、熵指数、空间基尼系数、E-G集聚指数。 1、行业集中度 行业集中度是一种比较简单的指标,用来衡量某产业规模最大的前几个地区在全国所占的份额。其计算公式如下: 其中IC代表行业集中度;A i代表产业A中排名第i位区域的产值或者销售额、从业人员等;N代表产业A中的地区数目。上式表明行业集中度等于产业A中规模排名前n位 (n一般取4或8)的区域企业规模之和占产业A 全国总规模的比例。由于IC主要反映行业在几个区域的集中程度,没有涉及到行业的企业数目与行业总规模之间的差异,行业集中系数就是为了弥补这个缺陷。以P表示计算的企业占行业企业总数的比例:
那么,行业集中系数 CC可表示为: 行业集中度与集中系数能够形象地反映产业区域集中水平以及行业中企业数量的影响,测算方法便捷直观。 然而,行业集中度指标存在一些缺点:第一,仅说明了产业分布规模最大的几个地区的情况,而忽略了其余地区 的规模分布情况;第二,不能反映最大几个地区的个别情况;第三,存在选取规模最大的区域数目不同集中度 结果不同的问题。因此,一般较少单独用来测度产业集聚的情况,更多的是把它作为一个辅助指标。 2、赫芬达尔指数 赫芬达尔指数 (HHI)是产业经济学中衡量市场结构的一个主要指标,也可以用来衡量产业集聚程度,其计算公 式为: 其中A代表产业总规模,A i代表区域i的产业规模,N代表产业中的地区数目。HHI实质上是给产业中每个地区的市场份额赋予一个权重,此权重又以市场份额来代替。HHI的取值范围是[1/N,l],取值越大表示产业地理 集聚程度越高。极端情况下,如果一个产业所有的经济活动都集中在一个地区,那么该产业的HHI为最大值l; 而如果该产业的经济活动均匀分布在N个地区,那么这时HHI为最小值1/N。 赫芬达尔的优点是能够比较准确地反映产业地区集中程度,因为它考虑了地区数目和地区产业规模两个因素 的影响;计算上比较简便,容易理解。但是赫芬达尔指数的不足在于它没有考虑其他产业的空间分布,使得不 同产业之间难以进行比较。此外,这一指数没有考虑不同地区的地域面积差异,因此难以反映产业分布的实际 情况。 3、熵指数 熵指数的计算公式为:
第1章入侵检测概述 思考题: (1 )分布式入侵检测系统(DIDS )是如何把基于主机的入侵检测方法和基于网络的入侵检测方法集成在一起的? 答:分布式入侵检测系统是将主机入侵检测和网络入侵检测的能力集成的第一次尝试,以便于一个集中式的安全管理小组能够跟踪安全侵犯和网络间的入侵。DIDS的最 初概念是米用集中式控制技术,向DIDS中心控制器发报告。 DIDS 解决了这样几个问题。在大型网络互联中的一个棘手问题是在网络环境下跟踪网络用户和文件。DIDS 允许用户在该环境中通过自动跨越被监视的网络跟踪和得到 用户身份的相关信息来处理这个问题。DIDS是第一个具有这个能力的入侵检测系统。 DIDS解决的另一个问题是如何从发生在系统不同的抽象层次的事件中发现相关数据或事件。这类信息要求要理解它们对整个网络的影响,DIDS用一个6层入侵检测模 型提取数据相关性,每层代表了对数据的一次变换结果。 (2)入侵检测作用体现在哪些方面? 答:一般来说,入侵检测系统的作用体现在以下几个方面: 监控、分析用户和系统的活动; 审计系统的配置和弱点; 评估关键系统和数据文件的完整性; 识别攻击的活动模式; 对异常活动进行统计分析; 对操作系统进行审计跟踪管理,识别违反政策的用户活动。 (3)为什么说研究入侵检测非常必要? 答:计算机网络安全应提供保密性、完整性以及抵抗拒绝服务的能力,但是由于连网用户的增加,网上电子商务开辟的广阔前景,越来越多的系统受到入侵者的攻击。为了对付这些攻击企图,可以要求所有的用户确认并验证自己的身份,并使用严格的访问控制机制,还可以用各种密码学方法对数据提供保护,但是这并不完全可行。另一种对付破坏系统企图的理想方法是建立一个完全安全的系统。但这样的话,就要求所有的用户能识别和认证自己,还要采用各种各样的加密技术和强访问控制策略来保护数据。而从实际上看,这根本是不可能的。 因此,一个实用的方法是建立比较容易实现的安全系统,同时按照一定的安全策略建立相应的安全辅助系统。入侵检测系统就是这样一类系统,现在安全软件的开发方式基本上就是按照这个思路进行的。就目前系统安全状况而言,系统存在被攻击的可能性。 如果系统遭到攻击,只要尽可能地检测到,甚至是实时地检测到,然后采取适当的处理措施。入侵检
网络入侵检测技术 一、入侵检测发展史 1980年,在James P. Anderson 的文章“Computer Security Threat Monitoring and Surveillance”中[1],“入侵检测”的概念首次被提出。为开发基于主机的IDS提供了最初的理论基础。 1985年,美国国防部计算机安全中心(NCSC)正式颁布了《可信任的计算机系统评估标准》(Trusted Computer System Evalution Criteria, TCSEC)。TCSEC为预防非法入侵定义了四类七个安全级别。由低到高分别是D、C1、C2、B1、B2、B3、A1,规定C2以上级别的操作系统必须具备审计功能,并记录日志。TCSEC标准的发布对操作系统、数据库等方面的安全发展起到了很大的推动作用,是信息安全发展史上的一个里程碑。 1988年,莫里斯(Morris)蠕虫感染了Internet上近万台计算机,造成Internet持续两天停机。美国空军、国家安全局、加州大学戴维斯分校等开展对分布式入侵检测系统(DIDS)的研究,将基于主机和基于网络的检测方法集成到一起1990年,加州大学戴维斯分校的L.T.Heberlein等人提出了基于网络的入侵检测概念,即将网络数据流作为审计数据来追踪可疑的行为。 1992年,加州大学的Koral llgun开发出实时入侵检测系统USTAT(a State Transition Analysis Tool for UNIX)。他们提出的状态转换分析法,使用系统状态与状态转换的表达式描述和检测已知的入侵手段,使用反映系统状态转换的图表直观地记载渗透细节。 1994年,普渡大学计算机系COAST实验室的Mark Crosbie和Gene Spafford 研究了遗传算法在入侵检测中的应用。使用遗传算法构建的智能代理(Autonomous Agents)程序能够识别入侵行为,而且这些agents具有“学习”用户操作习惯的初步智能。
2008/11 总第379期 商业研究 COMM ERC I AL R ES EARCH 文章编号:1001-148X (2008)11-0064-03 产业集聚测度方法的研究综述 刘斯敖 (河海大学商学院,江苏南京210098) 摘要:产业集聚测度方法是产业集聚研究重要的工具,一直倍受经济学家关注。随着产业集聚理论的 演变与发展,其测度方法也在不断演变与发展。对产业集聚测度方法进行输理与比较分析,以供更好地选择与运用。 关键词:产业集聚;测度方法;研究中图分类号:F22419 文献标识码:B 收稿日期:2007-12-13 作者简介:刘斯敖(1975-),男,河海大学商学院博士研究生,浙江工业大学之江学院讲师,研究方向: 区域经济与产业。 产业集聚作为一种重要的产业空间分布,一直以来备受经济学家的关注。从早期马歇尔的外部性和韦伯的区域经济理论开始,产业集聚的外部规模经济、溢出效应得到了广泛的研究和探讨(胡佛,1990; Fujita&Thisse,2004);以克鲁格曼、藤田昌久等为代 表的新经济地理理论(Krug man,1991;Fujita etal, 1999)又提出了集聚经济的内部规模经济。中间投入 品和劳动力的共享、知识的溢出(马歇尔,1890)、运输费用的节约(韦伯,1909)以及专业化分工与协作所带来的各种交易成本的降低,使产业集群成为许多国家和地区获取竞争优势的源泉(M ichael Por 2 ter,1990)。 早期的研究侧重于对产业集聚定性的观察与描述,随着研究地深入,产业集聚程度与影响集聚的关键因素的定量测度开始成为区域经济学家们关注的课题。随着产业集聚理论的发展,有关产业集聚程度的测度方法不断发展与完善,经历了有集中率、区位熵、赫芬达尔指数、空间基尼系数、EG 指数等的发展过程。 一、集中度(Concentri on ration of industry )行业集中度是用规模最大的几个地区有关数值 (销售额、就业人数、生产额等)占整个行业的份额 来度量。计算公式为:CR n = ∑n i =1X i ∑N i =1 X i 其中,CR n 代表X 产业的市场集中度, ∑n i =1 X i 代表 规模最大的几个地区X 产业的销售额或生产额、就业 人数等, ∑N i =1 X i 代表全部地区X 产业的销售额或生产 额、就业人数等。徐康宁、冯春虎(2003)运用指标计算了中国制造业28个行业1997年的地理集中度。在研究产业地理集聚中,CR n 也经常作为一个辅助的指标加以使用,如罗勇、曹丽莉(2005)和王子龙等 (2006)在测算制造业集聚程度和中国高科技产业集 聚程度时使用了集中度作为集聚程度测算一个辅助指标进行分析。 在各种测度产业集聚水平的方法中,集中度是最简单、最常用的计算指标,能够形象地反映产业市场集中水平。但是,集中度也存在不少缺陷:一是CR n 的值易受n 的影响,n 越大即选择地区越多,CR n 就会越大,二是忽略了规模最大地区之外其它地区的规模分布情况,三是不能反映规模最大地区内部之间产业结构与分布的差别。 二、区位熵(Entr opy index ) 所谓熵,就是比率的比率,它由哈盖特(P ? Haggett )首先提出并用于区位分析中。区位熵,又称 专门化率,用以衡量某一区域要素的空间分布情况,反映某一产业部门的专业化程度,以及某一区域在高层次区域的地位和作用等方面。在产业结构研究中,通常用于分析区域主导专业化部门的状况(崔功豪等,2003)。 区位熵的计算公式为:E ij = q i ∑n i =1 q i / Q i ∑n i =1 Q i 式中,E ij 表示某区域i 部门对于高层次区域的区域熵;q i 为某区域部门的有关指标(通常可用产值、产
徐老师: 您好! 我周六日休息了所以今天才看到您的邮件,抱歉没有及时答复您。 您的问题: 我不明白,如果您的row total不是理解成相加的含义,改如何理解?我想知道它是由哪些数值得到的100%? 我支持您的观点,row total是应该理解成相加的含义,但是这个地方横向相加确实不得100,也不可能都是100,具体什么原因我找了好久也没有找出来,我确实不是很清楚,我需要向美国ITT公司确认一下,非常抱歉。 最小距离分类的时候要设定两个阈值,这两个阈值是必须设定的,那么范围是否在0~255之间?书上写的以DN值的方式输入一个值是否是这个意思? 您知道,您选择了一类感兴趣区,就有了这类感兴趣区影像DN值在各波段的均值,最小距离分类时,影像中每一个像素归为哪一类就是由像元DN值与该均值的距离来确定的。 如果您不设定任何阈值也是可以的(选择NONE),系统将默认将所有的像元全部按最小距离分类。 如果要对所有的类别使用同一个阈值(选择Single Value),在“Max stdev from Mean”文本框中您可以输入一个标准差。这个标准差是可以按照像元DN值和类别在各波段的均值来计算的,并不是DN值,范围也不是在0~255之间。或者在“Max Distance Error”文本框中输入一个值。这个值就是待分类像元与类别在各波段的均值之间的欧式距离,也不是DN 值,范围也不是在0~255之间,同样是需要计算的。 如果在“Set Max Stdev From Mean”和“Set Max Distance Error”文本框中都设定了阈值,分类就用两者中较小的一个来判定哪些像元将被分类。 一般来说最小距离法误差还是比较大的,这个方法在实际应用中不是很好,建议使用其他方法,如最大似然法、支持向量机分类法等。 best wishes! 仰满荣(Miss Yang )
网络安全之入侵检测技 术 Revised as of 23 November 2020
网络安全之入侵检测技术 标签: 2012-07-31 14:07 中国移动通信研究院卢楠 摘要:入侵检测技术作为网络安全中的一项重要技术已有近30年的发展历史,随着中国移动网络的开放与发展,入侵检测系统(IDS)也逐渐成为保卫中国移动网络安全不可或缺的安全设备之一。在入侵检测技术发展过程中,逐步形成了2类方法、5种硬件架构,不同的方法与架构都存在其优势与不足。本文基于入侵检测的应用场景,对现有的主流技术原理、硬件体系架构进行剖析;详细分析IDS产品的测评方法与技术,并介绍了一个科学合理、方便操作的IDS测评方案。最后,从应用需求出发分析入侵检测技术的未来发展趋势。 1、背景 目前,互联网安全面临严峻的形势。因特网上频繁发生的大规模网络入侵和计算机病毒泛滥等事件使很多政府部门、商业和教育机构等都受到了不同程度的侵害,甚至造成了极大的经济损失。 随着互联网技术的不断发展,网络安全问题日益突出。网络入侵行为经常发生,网络攻击的方式也呈现出多样性和隐蔽性的特征。当前网络和信息安全面临的形势严峻,网络安全的主要威胁如图1所示。
图1 目前网络安全的主要威胁 说到网络安全防护,最常用的设备是防火墙。防火墙是通过预先定义规则并依据规则对访问进行过滤的一种设备;防火墙能利用封包的多样属性来进行过滤,例如:来源 IP 、来源端口号、目的 IP 地址或端口号、(如 WWW 或是 FTP)。对于目前复杂的网络安全来说,单纯的防火墙技术已不能完全阻止网络攻击,如:无法解决木马后门问题、不能阻止网络内部人员攻击等。据调查发现,80%的网络攻击来自于网络内部,而防火墙不能提供实时入侵检测能力,对于病毒等束手无策。因此,很多组织致力于提出更多更强大的主动策略和方案来增强网络的安全性,其中一个有效的解决途径就是入侵检测系统IDS(Intrusion Detection Systems)。 2、入侵检测技术发展历史 IDS即入侵检测系统,其英文全称为:Intrusion Detection System。入侵检测系统是依照一定的安全策略,通过软件和硬件对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或攻击结果,以保证网络系统资源的机密性、完整性和可用性。IDS通用模型如图2所示。
南通市现代服务业集聚水平测度实证研究 服务业集群化发展已经成为现代城市发展的重要现象。南通应致力于打造现代服务业产业集聚区,更好的发挥集聚效应,促进经济快速健康发展。运用改进的区位熵和空间基尼系数对南通2013年现代服务业的集聚程度进行测度,得出南通现代服务业产业间集聚水平极不均衡,行业内部各指标间协调性较差等结论,由此提出优化布局、健全机制、创新驱动以及建设服务平台等产业集聚措施。 标签:南通市;现代服务业;集聚测度;空间基尼系数;改进区位熵 1研究背景 现代服务业是依托信息技术和现代管理理念而发展起来的知识密集型服务业。我国经济正由“服务经济”主导进入向“现代服务业”为主导转变。现代服务业相比较传统服务业、制造业等产业有着更低的资源消耗和更高的产业关联带动性,发展现代服务业已经成为各地产业调整、提升经济发展质量的重要战略任务。参照中华人民共和国国民经济行业分类标准及经济合作与发展组织的分类标准,本文将交通运输、仓储和邮政业、信息传输、计算机服务和软件业、金融业、房地产业、租赁和商务服务业、科学研究、技术服务和地址勘查业以及文化、体育和娱乐业划归为现代服务业范畴。 近年来,服务业集群化发展已经成为城市发展的重要现象。集群化,是指某个特定产业中相互关联的若干企业和机构,在地理位置上的相对集中。产业集聚能够提高生产效率、降低交易和信息成本、增强企业竞争力,促进区域经济的发展。为了追求规模经济和外部效应,更有效的满足需求,现代服务业需要更接近生产企业和消费者的需求地,另外现代服务业对信息和知识的依赖性较高,信息和知识往往形成一定空间范围的集聚,从而导致服务业相关资源、要素和企业在地理空间上的集中化。 我国学者对现代服务业集聚的研究相对比较晚,随着现代服务业的不断发展,学者的研究成果日渐丰富。研究领域主要涉及形成机制、动力机制、功能作用、发展演变机制、影響因素以及集聚水平测量等。笔者通过中国知网的中国全文期刊数据库,对产业聚集度研究进行检索。以“篇名=服务业+集聚+测度(测量)”为检索词进行精确搜索,我国学者对服务业集聚水平测量的研究始于“九五”末期,利用测度模型对相关地区及产业的产业集聚度、影响因素、动力机制、区域差异分析以及与制造业集聚比较等问题进行研究。 南通在“十二五”规划中明确提出建设“长三角北翼经济中心”的城市战略发展定位。南通应致力于加快发展现代服务业,推动区域协调发展,打造现代服务业产业集聚区,更好的发挥集聚效应,促进经济快速健康发展。因此有必要对南通目前服务业产业集聚水平和发展途径进行研究。 2南通服务业聚集水平测度实证研究
入侵检测技术 一、入侵检测技术 入侵检测的研究最早可追溯到James Aderson在1980年的工作,他首先提出了入侵检测的概念,在该文中Aderson提出审计追踪可应用于监视入侵威胁,但由于当时所有已有的系统安全程序都着重于拒绝未经认证主体对重要数据的访问,这一设想的重要性当时并未被理解。1987年Dorothy.E.Denning[2]提出入侵检测系统(Intrusion Detection System,IDS)的抽象模型,首次将入侵检测的概念作为一种计算机系统安全防御问题的措施提出,与传统加密和访问控制的常用方法相比,IDS是全新的计算机安全措施。1988年的Morris Internet蠕虫事件使得Internet近5天无法使用。该事件使得对计算机安全的需要迫在眉睫,从而导致了许多IDS系统的开发研制。 入侵检测(Intrusion Detection)的定义为:识别针对计算机或网络资源的恶意企图和行为,并对此作出反应的过程。IDS则是完成如上功能的独立系统。IDS能够检测未授权对象(人或程序)针对系统的入侵企图或行为(Intrusion),同时监控授权对象对系统资源的非法操作(Misuse)。 ●从系统的不同环节收集信息; ●分析该信息,试图寻找入侵活动的特征; ●自动对检测到的行为做出响应; ●纪录并报告检测过程结果。 入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。入侵检测系统能很好的弥补防火墙的不足,从某种意义上说是防火墙的补充[1]。 二、入侵检测的分类 现有的分类,大都基于信息源和分析方法进行分类。 2.1 根据信息源的不同,分为基于主机型和基于网络型两大类 2.1.1 基于主机的入侵检测系统 基于主机的IDS可监测系统、事件和Windows NT下的安全记录以及Unix环境下的系统记录。当有文件被修改时,IDS将新的记录条目与已知的攻击特征相比较,看它们是否匹配。如果匹配,就会向系统管理员报警或者作出适当的响应。 基于主机的IDS在发展过程中融入了其他技术。检测对关键系统文件和可执行文件入侵
基金项目石河子大学校级项目:新疆城市化水平综合评价研究(RWSK 2006-Y22)。 作者简介徐秋艳(1972-),女,河南省兰考人,硕士,讲师,从事统计学 及经济学的教学与研究。 收稿日期2007-07-30 城市化,是当今世界上重要的社会、经济现象之一。在其各种各样的定义中,较为主要的提法是“人口向城市集中的过程”,这一过程包含了社会、人口、空间及经济转换等多方面的内容。城市化水平即指城市化发展的程度,对它的测度一般采用城市地区人口占地区人口的比重。目前国内外学者对城市化水平的测度方法主要有两种:单一指标法和复合指标法。笔者对目前国内外学者城市化水平的测定作一回顾与总结,并简要地对各种方法作一评论,使读者对这一方面的研究情况有所了解,以便明确进一步深入研究的方向。1 国外研究综述 对单一指标法研究具有代表性学者如诺瑟姆把一个国家或地区的城镇人口占总人口的比重作为衡量一国或一个地区的城镇化水平。 国外对于复合指标法来衡量城市化水平的系统研究的著述并不多见,大多分散于各种社会、经济发展理论中。由于发达国家已经基本完成城市化的过程,近年来甚至出现了逆城市化现象,因此对于复合指标法的研究,比较成熟的有以下几种:第一,联合国和社会事务部统计处建立的指标系统采用19个社会经济指标来考察各发达国家和发展中国家与经济、社会、人口统计变化之间的关系。第二,英国地理学家克劳克从人口、职业、居住及距离城市中心距离远近等16个指标进行分析,建立城市化的指标系统。第三,美国斯坦福大学社会学教授因克尔斯提出的现代化指标体系。该标准作为现代化的标准体系在国际上较为通行。尽管该指标体系并非直接描述城市化,但是它可以反映城市化中相当大的一部分内涵。此外,1980年经济合作与发展组织提出的社会指标体系15项,1982年英国制定的社会指标体系10项,1982年印度提出的社会指标体系7项,1986年欧洲的33个世界卫生组织成员国联合发起建立“健康城市”,提出38项目标等,也是对现代化评价指标体系的有益探索,可供借鉴。 2国内研究综述 单一指标法最常用的是人口指标法,即城市人口占总人口的比重。但这种方法却存在以下问题:一是市镇的建制标准多次发生变动。由于市镇人口的多少与市镇的设置标准密切相关,不断地调整市镇的设制标准必然会导致同一地区设市(镇)前后城镇人口的统计出现差异,从而不能如实地反映出该地区城市化水平的变化。二是城镇人口统计的地域范围与城镇实体的地理界线不一致。我国城镇人口的统计是按市镇的辖区范围为单元进行的,而中国市镇的行政辖区要远比城镇的实体范围大。1980年实行的撤县建市、撤乡建镇以及市带县的体制,使统计出的城镇人口中包含了大量的农业人口,导致测出的城市化水平不真实。另外国民经济统计资料及人口普查都是以各级行政区为基本单元统计的,一旦行政区划改变,本来在实体上并没有很大变化的城市人口,在统计资料上却有了很大的变化。三是城镇人口的统计对象没有形成统一的标准。1963年以前,我国把市镇辖区内的全部常住人口都统计为城镇人口。1964年以后,规定只限于市镇辖区内的非农业人口为城镇人口。1982年以后,又把区内农业人口统计在内。1980年以后,有大量流动人口涌入城市,对城市的发展起很大作用,但是他 们却不被公安部门登记为城镇非农业人口,而这部分人口无论是从事的职业上,还是在生活和集聚性上,都具有相当大程度的城市特性。有的学者曾对城市人口占总人口的比重这一指标的计算方法做出相应的修正,用以消除与实际的偏离,试图能反映一个地区比较真实的城市化水平。李文博等利用国民经济中从业人员的就业比重推算总人口中城市化人口比重。还有采用非农业人口比重指标,即某一地区的非农业人口占总人口的比重作为城市化水平评价指标。这一指标体现了人口在经济活动上的结构关系,较准确把握了城市化的经济意义和内在动因。但由于存在大量在城市从事各种各样工作的非农业人口,使该指标与实际也有很大偏离。此外,还有采用城市用地指标等进行衡量。赵燕菁将城市化看作对社会分工水平和规模的度量。在这个新的理论看来,将职业和居住的空间位置作为分析的基础本身就是不牢靠的。真正的城市化指标应当建立在分工的基础上,这种分工无论发生在什么地方都一定会推动城市化的进程。他在参与一项关于中国城市化道路的中美合作研 城市化水平测度方法研究综述 徐秋艳 (石河子大学商学院商务信息系,新疆五家渠831300) 摘要对国内外学者有关城市化水平的测定作了回顾与总结,并简要地对各种方法作一评论,使读者对目前在这一方面的研究情况有所了解,以便明确进一步深入研究的方向。关键词城市化;城市化水平;测度法中图分类号F291文献标识码A 文章编号0517-6611(2007)29-09407-02Summarization of Researches on Measuring Method of Urbanization Level XU Qiu 蛳yan (College of Business,Shihezi University,Wujiaqu,Xingjiang 831300) Abstract Measuring methods of urbanization level of some scholars at home and abroad were reviewed and https://www.doczj.com/doc/0510998086.html,mentary on each method was briefly conducted,which helped readers to understand the current research situation in this aspect and nail down the direction of further study. Key words Urbanization;Urbanization level;Measuring method 安徽农业科学,Journal of Anhui Agri.Sci.2007,35(29):9407-9408责任编辑曹淑华责任校对王淼
网络入侵检测系统的研究 摘要:随着互联网络的广泛应用,网络信息量迅速增长,网络安全问题日趋突出。入侵检测作为网络安全的重要组成部分,已成为目前研究的热点,本文介绍了入侵检测系统的概念、功能、模式及分类,指出了当前入侵检测系统存在的问题并提出了改进措施,特别是针对异常入侵检测方法的研究,着重分析了基于神经网络的和层次聚类的异常检测方法,并从理论和试验层次队两种检测技术进行分析比较,客观分析了两种算法的优缺点。同时预测了入侵检测系统的发展趋势。 关键词:入侵检测;入侵检测系统;BP神经网络;层次聚类;网络安全。 在基于网络的计算机应用给人们生活带来方便的同时,网上黑客的攻击活动正以每年10倍的速度增长,因此,保证计算机系统、网络以及整个信息基础设施的安全已经成为刻不容缓的重要课题。 防火墙作为一种边界安全的手段,在网络安全保护中起着重要作用,其主要功能石控制对网络的非法访问,通过监视、限制、更改通过网络的数据流,一方面尽可能屏蔽内部网的拓扑结构,另一方面对内屏蔽外部危险站点,以防范外对内的非法访问。然而,由于性能的限制,防火墙通常不能提供实时的入侵检测能力,为了弥补防火墙存在缺陷,引入了入侵检测 IDS( Intrusion Detection System 技术。入侵检测是防火墙之后的第二道安全闸门,是对防火墙的合理补充,在不影响网络性能的情况下,通过对网络的检测,帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提供对内部攻击、外部攻击和误操作的实时保护。 一、入侵检测系统的概念
入侵检测定义为识别为被授权使用的计算机系统和有合法权利使用系统但却滥用特权的过程。即通过对计算机网络或系统中的若干关键点收集信息并对其进行分析,从而发现是否有违反安全策略的行为和被入侵的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统(IDS)。一个入侵检测产品通常由两部分组成,即传感器与控制台。传感器负责采集数据、分析数据并生成安全时间;控制台主要起到中央管理作用。商品化的产品通常提供图形界面的控制台,这些控制台基本上都支持Windows NT平台。 入侵检测系统的主要功能有:1、监视、分析用户及系统活动;2、核查系统配置和漏洞;3、识别已知进攻并向相关人员报警;4、统计分析异常行为;5、评估重要系统和数据的完整性; 6、操作系统日志管理,并识别违反安全策略的用户活动。 二、入侵检测系统模型 美国斯坦福国际研究所(SRI)的D.E.Denning于1986年首次提出一种入侵检测模型。该模型的检测方法就是建立用户正常行为的描述模型,并以此同当前用户活动的审计记录进行比较。如果有较大偏差,则表示有异常活动发生:这是一种基于统计的检测方法。随着技术的发展,后来人们又提出了基于规则的检测方法。通用入侵检测架构(CIDF)组织,试图将现有的入侵检测系统标准化,阐述了一个入侵检测系统分为以下4个组件:事件产生器、事件分析器、相应单元和事件数据库,同时将需要分析的数据统称为事件。事件可以是基于网络的数据包,也可以是基于主机的系统日志中的信息。事件产生器的目的是从整个计算机环境中获得事件,并向系统其他部分提供此事件;事件分析器分析得到的事件并产生分析结果;响应单元则是队分析结果做出反应的功能单元,它可以做出切断连接、修改文件属性等强烈反应;事件数据库是存放各种中间和最终数据地方的通称,它可以是复杂的数据库也可以是简单的文本文件。
测评中心控制编号:BJ-4122-08 / 修改记录:第0次 编号:BC-2012-1019/19 重要信息系统安全等级测评 现场检测表 被测单位名称: 被测系统名称: 测试对象编号: 测试对象名称: 配合人员签字: 测试人员签字: 核实人员签字: 测试日期: 测评中心 测试类别等级测评(二级) 测试对象 测试类网络安全 测试项安全审计 测试要求: 1.应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录; 2.审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他和审计相关的信 息。 测试内容: 1.应访谈安全审计员,询问边界和关键网络设备是否开启审计功能,审计内容包括哪些项;询 问审计记录的主要内容有哪些; 2.应检查边界和关键网络设备,查看其审计策略是否包括网络设备运行状况、网络流量、用户 行为等; 3.应检查边界和关键网络设备,查看其事件审计记录是否包括:事件的日期和时间、用户、事 件类型、事件成功情况及其他和审计相关的信息。
1.入侵检测设备是否启用系统日志功能? □否□是 2.网络中是否部署网管软件? □否□是,软件名称为:________________ 3.日志记录是否包括设备运行状况、网络流量、用户行为等? □否□是 4.日志审计内容包括: □时间 □类型 □用户 □事件类型 □事件是否成功 □其他_________ 备注: 测试类别等级测评(二级) 测试对象 测试类网络安全 测试项入侵防范 测试要求: 1)能在网络边界处监视以下攻击行为:端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、 缓冲区溢出攻击、IP 碎片攻击、网络蠕虫攻击等入侵事件的发生。 测试内容: 1)访谈安全管理员,询问网络入侵防范措施有哪些;询问是否有专门设备对网络入侵进行防范; 2)评测网络入侵防范设备,查看是否能检测以下攻击行为:端口扫描、强力攻击、木马后门攻 击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击、网络蠕虫攻击等; 3)评测网络入侵防范设备,查看其规则库是否为最新; 4)测试网络入侵防范设备,验证其检测策略是否有效。
目录 第一章绪论 1.1 入侵检测技术的背景 1.2 程序设计的目的 第二章入侵检测系统 2.1 网络入侵概述 2.2 网络存在的安全隐患 2.3 网络入侵与攻击的常用手段 2.4 入侵检测技术 2.4.1 误用入侵检测技术 2.4.2 异常入侵检测技术 第三章协议分析 3.1 协议分析简介 3.2 协议分析的优势 第四章 PANIDS系统的设计及实现 4.1 PANIDS系统总体结构设计 4.2 系统基本信息读取模块的设计及实现 4.3 网络数据包捕获模块的设计及实现 4.4 基于协议分析的入侵检测模块的设计及实现 4.4.1 数据包的分解 4.4.2 入侵检测的实现 4.5 实验结果及结论 第五章总结与参考文献 摘要 网络技术高速发展的今天,人们越来越依赖于网络进行信息的处理。因此,网络安全就显得相当重要,随之产生的各种网络安全技术也得到了不断地发展。防火墙、加密等技术,总的来说均属于静态的防御技术。如果单纯依靠这些技术,仍然难以保证网络的安全性。入侵检测技术是一种主动的防御技术,它不仅能检测未经授权的对象入侵,而且也能监视授权对象对系统资源的非法使用。传统的入侵检测系统一般都采用模式匹配技术,但由于技术本身的特点,使其具有计算量大、检测效率低等缺点,而基于协议分析的检测技术较好的解决了这些问题,
其运用协议的规则性及整个会话过程的上下文相关性,不仅提高了入侵检测系统的速度,而且减少了漏报和误报率。本文提出了一种基于协议分析的网络入侵检测系统PANIDS的模型,在该模型中通过Winpcap捕获数据包,并对数据包进行协议分析,判断其是否符合某种入侵模式,从而达到入侵检测的目的。 关键词:入侵检测,协议分析, PANIDS 第一章绪论 1.1 入侵检测技术的背景 随着计算机网络的飞速发展,网络通信已经渗透到社会经济、文化和科学的各个领域;对人类社会的进步和发展起着举足轻重的作用,它正影响和改变着人们工作、学习和生活的方式。另外,Internet的发展和应用水平也已经成为衡量一个国家政治、经济、军事、技术实力的标志;发展网络技术是国民经济现代化建设不可缺少的必要条件。网络使得信息的获取、传递、存储、处理和利用变得更加有效、迅速,网络带给人们的便利比比皆是。然而,网络在给人们的学习、生活和工作带来巨大便利的同时也带来了各种安全问题。网络黑客可以轻松的取走你的机密文件,窃取你的银行存款,破坏你的企业帐目,公布你的隐私信函,篡改、干扰和毁坏你的数据库,甚至直接破坏你的磁盘或计算机,使你的网络瘫痪或者崩溃。因此,研究各种切实有效的安全技术来保障计算机系统和网络系统的安全,已经成为刻不容缓的课题。伴随着网络的发展,各种网络安全技术也随之发展起来。常用的网络安全技术有:数据加密、虚拟专用网络(VPN,Virtual Private Network)、防火墙、杀毒软件、数字签名和身份认证等技术。这些传统的网络安全技术,对保护网络的安全起到非常重要的作用,然而它们也存在不少缺陷。例如,防火墙技术虽然为网络服务提供了较好的身份认证和访问控制,但是它不能防止来自防火墙内部的攻击、不能防备最新出现的威胁、不能防止绕过防火墙的攻击,入侵者可以利用脆弱性程序或系统漏洞绕过防火墙的访问控制来进行非法攻击。传统的身份认证技术,很难抵抗脆弱性口令、字典攻击、特洛伊木马、网络窥探器以及电磁辐射等攻击手段。虚拟专用网技术只能保证传输过程中的安全,并不能防御诸如拒绝服务攻击、缓冲区溢出等常见的攻击。另外,这些技术都属于静态安全技术的范畴;静态安全技术的缺点是只能静态和消极地防御入侵,而不能主动检测和跟踪入侵。而入侵检测技术是一种动态安全技术,它主动地收集包括系统审计数据,网络数据包以及用户活动状态等多方面的信息;然后进行安全性分析,从而及时发现各种入侵并产生响应。 1.2 程序设计的目的 在目前的计算机安全状态下,基于防火墙、加密技术等的安全防护固然重要;但是要根本改善系统的安全现状,必须要发展入侵检测技术。它已经成为计算机安全策略中的核心技术之一。Intrusion Detection System(简称IDS)作为一种主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护。从网络安全立体纵深的多层次防御角度出发,入侵检测理应受到高度重视,这从国外入侵检测产品市场的蓬勃发展就可以看出。在国内,随着上网关键部门、关键业务越来越多,迫切需要具有自主版权的入侵检测产品;但目前我国的入侵检测技术还不够成熟,处于发展和跟踪国外技术的阶段,所以对入侵检测系统的研究非常重要。传统的入侵检测系统中一般采用传统的模式匹配技术,将待分析事件