智能入侵检测技术在MIS系统中的研究与应用

摘  要  本文阐述了智能入侵检测技术在管理信息系统中的重要性，提出了具体的入侵检测模型，描述了数据采集和处理、神经网络训练和检测。系统防止了内部人员的误操作和有意破坏，是智能入侵检测技术在MIS系统中的有效应用。 关键词  智能入侵检测；数据采集；神经网络  
0 引 言 　　入侵检测(Intrusion Detection, ID)是指通过对行为、安全日志或审计数据或其它可以获得的信息进行操作，检测到对系统的闯入或闯入的企图。它通过对计算机系统或网络计算机系统中的若干关键点收集信息并对其进行分析，从中发现系统或网络中是否有违反安全策略的行为和被攻击的迹象。 　　信息管理系统(MIS)在一个企业的正常运转中具有十分重要的作用，很多情况下，内部人员由于本身具有的特定权限，其相应的误操作和有意破坏，将会直接影响到服务器数据的完整性和安全性，给安全生产带来隐患。 　　现有的入侵检测系统多数采用概率统计、专家系统、神经网络等智能化方法来实现系统的检测机制。其中，神经网络方法可以利用大量实例通过训练的方法构造正常行为模型，能够有效预测未知的攻击，并且它有自适应、自学习、自组织、并行性等优点，在攻击类型上，则对非授权获得超级用户权限和远程到本地的非授权访问的检测效果显著。 　　本文将着力使用改进的BP神经网络，通过有效的数据选取和学习，来着重解决MIS中的安全隐患问题。   1 入侵检测的分类 　　入侵检测就其数据源分类而言可以分为基于主机的入侵检测（HIDS）和基于网络的入侵检测（NIDS）。HIDS通过分析特定主机上的行为来检测入侵，其数据来源通常是系统和应用程序的审计日志或系统的行为数据。NIDS一般通过分析网络流量，网络数据包和协议来分析检测入侵，从大量的网络数据包中提取模式/特征，然后进行相应的分析。 　　就入侵检测技术而言则主要分为异常检测和误用检测。异常检测技术根据异常检测器观察主体的活动，然后模拟出这些活动正常行为的轮廓，通过比较当前的轮廓和模拟正常轮廓来判断异常行为，可以检测出未知的入侵。误用检测技术通过已知的入侵建立误用模型，将用户当前的行为与这些入侵模型进行匹配，可以实现快速的检测。 　　基于主机的入侵检测可以从所监测的主机收集信息，从而以很细的粒度分析主机行为，能够精确的确定对操作系统执行恶意行为的进程和用户。该入侵检测技术一般用于保护关键应用服务器，考虑到大多数MIS系统采用的C/S结构和实际需要，本文主要研究基于主机的用户数据库调用，同时结合异常和误用两种技术检测入侵。   2 入侵检测模型介绍 　　任何一个入侵检测系统都必须基于合理的入侵检测模型。其中CIDF(Common Intrusion Detection Framework)模型(如图1)正逐渐成为IDS的公共标准。

图1：CIDF通用入侵检测模型 　　本文在CIDF通用模型基础之上，提出一种企业入侵检测模型(如图2)。系统基于Windows平台，数据库采用SQLServer。IDS直接运行在服务器端，实时监测各个客户端的数据库调用。

图2：企业应用系统入侵检测模型 2.1 主要功能模块介绍 　　模型主要由四个主要模块组成： 　　数据采集：主要由SQLServer跟踪日志给出，相当于事件产生器； 　　检测单元：主要由神经网络训练出一个相对稳定的正常模型，用于检测异常调用，相当于事件分析器； 　　特征数据库：主要利用误用检测的特点，实现快速检测各种已知的异常调用，并直接反馈倒报警单元，相当于事件数据库，其中特征数据库与被监控数据库分离存储； 　　报警单元：主要是杀掉异常调用的客户端进程，反馈给系统管理员并记录到自定义日志文件，相当于响应单元。

百度搜索“yundocx”或“云文档网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，云文档网，提供经典计算机智能入侵检测技术在MIS系统中的研究与应用在线全文阅读。