入侵检测技术综述 胡征兵1Shirochin V.P.2 乌克兰国立科技大学 摘要 Internet蓬勃发展到今天,计算机系统已经从独立的主机发展到复杂、互连的开放式系统,这给人们在信息利用和资源共享上带来了很大的便利。由Internet来传递和处理各种生活信息,早已成为人们重要的沟通方式之一,随之而来的各种攻击事件与入侵手法更是层出不穷,引发了一系列安全问题。本文介绍现今热门的网络安全技术-入侵检测技术,本文先讲述入侵检测的概念、模型及分类,并分析了其检测方法和不足之处,最后说描述了它的发展趋势及主要的IDS公司和产品。 关键词入侵检测入侵检测系统网络安全防火墙 1 引言 随着个人、企业和政府机构日益依赖于Internet进行通讯,协作及销售。对安全解决方案的需求急剧增长。这些安全解决方案应该能够阻止入侵者同时又能保证客户及合作伙伴的安全访问。虽然防火墙及强大的身份验证能够保护系统不受未经授权访问的侵扰,但是它们对专业黑客或恶意的经授权用户却无能为力。企业经常在防火墙系统上投入大量的资金,在Internet入口处部署防火墙系统来保证安全,依赖防火墙建立网络的组织往往是“外紧内松”,无法阻止内部人员所做的攻击,对信息流的控制缺乏灵活性,从外面看似非常安全,但内部缺乏必要的安全措施。据统计,全球80%以上的入侵来自于内部。由于性能的限制,防火墙通常不能提供实时的入侵检测能力,对于企业内部人员所做的攻击,防火墙形同虚设。 入侵检测是对防火墙及其有益的补充,入侵检测系统能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中,能减少入侵攻击所造成的损失。在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入知识库内,增强系统的防范能力,避免系统再次受到入侵。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监听,从而提供对内部攻击、外部攻击和误操作的实时保护,大大提高了网络的安全性[1]。 2 入侵检测的概念、模型 入侵检测(Intrusion Detection,ID), 顾名思义,是对入侵行为的检测。它通过收集和分析计算机网络或计算机系统中若干关键点的信息,检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统(Intrusion Detection System,IDS)。 入侵检测的研究最早可以追溯到詹姆斯·安德森[1]在1980年为美国空军做的题为《计算机安全威胁监控与监视》的技术报告,第一次详细阐述了入侵检测的概念。他提出了一种对计算机系统风险和威胁的分类方法,并将威胁分为外部渗透、内部渗透和不法行为三种,还提出了利用审计跟踪数据监视入侵活动的思想。他的理论成为入侵检测系统设计及开发的基础 , 他的工作成为基于主机的入侵检测系统和其它入侵检测系统的出发点。 Denning[2]在1987年所发表的论文中,首先对入侵检测系统模式做出定义:一般而言,入侵检测通过网络封包或信息的收集,检测可能的入侵行为,并且能在入侵行为造成危害前及时发出报警通知系统管理员并进行相关的处理措施。为了达成这个目的,入侵检测系统应包含3个必要功能的组件:信息来源、分析引擎和响应组件。 ●信息来源(Information Source):为检测可能的恶意攻击,IDS所检测的网络或系统必须能提供足够的信息给IDS,资料来源收集模组的任务就是要收集这些信息作为IDS分析引擎的资料输入。 ●分析引擎(Analysis Engine):利用统计或规则的方式找出可能的入侵行为并将事件提供给响应组件。 ●响应模组(Response Component):能够根据分析引擎的输出来采取应有的行动。通常具有自动化机制,如主动通知系统管理员、中断入侵者的连接和收集入侵信息等。 3 入侵检测系统的分类 入侵检测系统依照信息来源收集方式的不同,可以分为基于主机(Host-Based IDS)的和基于网络(Network-Based IDS);另外按其分析方法可分为异常检测(Anomaly Detection,AD)和误用检测(Misuse Detection,MD),其分类架构如图1所示: 图 1. 入侵检测系统分类架构图
摘要 近年来,对图像分割的研究一直是图像技术研究的焦点。图像分割是一种很重要的图像分析技术,它的目的是把图像分为具有各种特性的区域并把感兴趣的部分提取出来。它融合了多个学科的成果,并且成功应用于工业、农业、医学、军事等领域,得到了广泛的应用。 图像分割是一个经典的问题,实现方法有很多种,但是至今仍没有一种通用的解决方法。经过研究发现,区分真正的噪声和边缘是图像分割的难题之一,然而小波变换则可以解决这一问题,小波变换是一种时--频两域的分析工具。本文则基于小波变换对图像分割技术进行研究,主要介绍了小波阈值分割方法。文中通过直方图、建立模型等手段对这两种方法做出具体的讨论,并利用Matlab分别对两种方法进行仿真,并得到了有效的结果。根据仿真结果我们可以看出不同分割方法的不同分割效果,从而更好地理解这些方法。 关键词:图像分割;小波变换;阈值;
Abstract In recent years, the study of image segmentation has been the focus of imaging technology. Image segmentation is an important image analysis, its purpose is to take the various characteristics part out of the image. It combines the results of multiple disciplines, and successfully applied to such fields as industry, agriculture, medicine, military, and a wide range of applications. There are many ways to achieve image segmentation, but could not find a common solution. After the study found that the distinction between real noise and the edge of one of the difficult problem of image segmentation, wavelet transform can solve this problem, wavelet transform is a time - frequency domain analysis tools. In this paper, image segmentation technique based on wavelet transform to study the two wavelet segmentation method, the wavelet thresholding segmentation method. Histogram, the establishment of model and other means to make a specific discussion of these two approaches, and use the Matlab simulation, and the effective results of the two methods, respectively. According to the results of the simulation we can see the different segmentation results of different segmentation methods, in order to better understand these methods. Key words:Image; Wavelet transform; Threshold
10.2小波变换的基本原理 地质雷达的电磁波信号和地震波信号都是非平稳随机时变信号,长期以来,因非平稳信号处理的理论不健全,只好将其作为平稳信号来处理,其处理结果当然不满意。近年来,随着科学技术的发展和进步,国内外学术界已将注意力转向非平稳随机信号分析与处理的研究上,其中非平稳随机信号的时频表示法是研究热点之一。在这一研究中,戈勃展开、小波变换、维格纳分布与广义双线性时频分布等理论发展起来,这些方法既可以处理平稳信号过程,也可以处理非平稳随机时变信号。 小波变换是上世纪80年代中后期逐渐发展起来的一种数学分析方法。1984年法国科学家J.M OLET在分析地震波的局部特性时首先使用了小波这一术语,并用小波变换对地震信号进行处理。小波术语的含义是指一组衰减震动的波形,其振幅正负相间变化,平均值为零,是具有一定的带宽和中心频率波组。小波变换是用伸缩和平移小波形成的小波基来分解(变换)或重构(反变换)时变信号的过程。不同的小波具有不同带宽和中心频率,同一小波集中的带宽与中心频率的比是不变的,小波变换是一系列的带通滤波响应。它的数学过程与傅立叶分析是相似的,只是在傅立叶分析中的基函数是单频的调和函数,而小波分析中的基函数是小波,是一可变带宽内调和函数的组合。 小波变换在时域和频域都具有很好的局部化性质,较好地解决了时域和频域分辨率的矛盾,对于信号的低频成分采用宽时窗,对高频成分采用窄时窗。因而,小波分析特别适合处理非平稳时变信号,在语音分析和图象处理中有广泛的应用,在地震、雷达资料处理中将有良好的应用前景。 下边就小波分析的基本原理、主要作用及在雷达资料处理中的应用三方面作以介绍。 10.2.1小波分析的基本原理 小波函数的数学表达
图像分割方法综述
图像分割方法综述 摘要:图像分割是计算计视觉研究中的经典难题,已成为图像理解领域关注的一个热点,本文对近年来图像分割方法的研究现状与新进展进行了系统的阐述。同时也对图像分割未来的发展趋势进行了展望。 关键词:图像分割;区域生长;活动边缘;聚类分析;遗传算法 Abstract:Image segmentation is a classic problem in computer vision,and become a hot topic in the field of image understanding. the research actuality and new progress about image segmentation in recent years are stated in this paper. And discussed the development trend about the image segmentation. Key words: image segmentation; regional growing; active contour; clustering
analysis genetic algorithm 1 引言 图像分割是图像分析的第一步,是计算机视觉的基础,是图像理解的重要组成部分,同时也是图像处理中最困难的问题之一。所谓图像分割是指根据灰度、彩色、空间纹理、几何形状等特征把图像划分成若干个互不相交的区域,使得这些特征在同一区域内表现出一致性或相似性,而在不同区域间表现出明显的不同。简单的说就是在一副图像中,把目标从背景中分离出来。对于灰度图像来说,区域内部的像素一般具有灰度相似性,而在区域的边界上一般具有灰度不连续性。 关于图像分割技术,由于问题本身的重要性和困难性,从20世纪70年代起图像分割问题就吸引了很多研究人员为之付出了巨大的努力。虽然到目前为止,还不存在一个通用的完美的图像分割的方法,但是对于图像分割的一般性规律则基本上已经达成的共识,已经产生了相当多的研究成果和方法。本文根据图像发展的历程,从传统的图像分割方法、结合特定工具的图像分割方
入侵检测技术概述 孟令权李红梅黑龙江省计算中心 摘要 本文概要介绍了当前常见的网络安全技术——入侵检测技术,论述了入侵检测的概念及 分类,并分析了其检测方法和不足之处.最后描述了它的发展趋势及主要的IDS公司和产品。 关键词 入侵检测;网络;安全;IDS 1 引言 入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。违反安全策略的行为有:入侵——非法用户的违规行为;滥用——用户的违规行为。 2 入侵检测的概念 入侵检测(I n t r u s i o n D e t e c t i o n ,I D ) ,顾名思义,是对入侵行为的检测。它通过收集和分析计算机网络或计算机系统中若干关键点的信息,检查网络或系统中是否存在违 反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系 统(Intrusion Detection SystemIDS ) 。 3 入侵检测系统的分类 入侵检测系统(I D S ) 依照信息来源收集方式的不同,可以分为基于主机(H o s t-Based IDS ) 的和基于网络(Netwo r k-BasedIDS ) ;另外按其分析方法可分为异常检测(Anomaly Detection ,AD ) 和误用检测(Misuse Detection ,M D ) 。 3 .1主机型入侵检测系统 基于主机的入侵检测系统是早期的入侵检测系统结构,其检测的目标主要是主机系统和系统本地用户,检测原理是根据主机的审计数据和系统日志发现可疑事件。检测系统可以运行在被检测的主机或单独的主机上。 其优点是:确定攻击是否成功;监测特定主机系统活动,较适合有加密和网络交换器的环境,不需要另外添加设备。 其缺点:可能因操作系统平台提供的日志信息格式不同,必须针对不同的操作系统安装不同类型的入侵检测系统。监控分析时可能会曾加该台主机的系统资源负荷.影响被监测主机的效能,甚至成为入侵者利用的工具而使被监测的主机负荷过重而死机。 3 .2 网络型入侵检测系统 网络入侵检测是通过分析主机之间网线上传输的信息来工作的。它通常利用一个工作在“混杂模式”(PromiscuousMode) 下的网卡来实时监视并分析通过网络的数据流。它的分析模块通常使用模式匹配、统计分析等技术来识别攻击行为。 其优点是:成本低;可以检测到主机型检测系统检测不到的攻击行为;入侵者消除入侵证据困难;不影响操作系统的性能;架构网络型入侵检测系统简单。 其缺点是:如果网络流速高时可能会丢失许多封包,容易让入侵者有机可乘;无法检测加密的封包对干直接对主机的入侵无法检测出。 3 .3混和入侵检测系统 主机型和网络型入侵检测系统都有各自的优缺点,混和入侵检测系统是基于主机和基于网络的入侵检测系统的结合,许多机构的网络安全解决方案都同时采用了基于主机和基于网络的两种入侵检测系统,因为这两种系统在很大程度上互补,两种技术结合。能大幅度提升网络和系统面对攻击和错误使用时的抵抗力,使安全实施更加有效。 3 . 4 误用检测