检测方法论文精品(七篇)
检测方法论文篇(1)
关键字:入侵检测;协议分析;模式匹配;智能关联a
1引言
入侵检测技术是继“防火墙”、“数据加密”等传统安全保护措施后新一代的安全保障技术,它对计算机和
网络资源上的恶意使用行为进行识别和响应,不仅检测来自外部的入侵行为,同时也监督内部用户的未授权活动。但是随着网络入侵技术的发展和变化以及网络运用的不断深入,现有入侵检测系统暴露出了诸多的问题。特别是由于网络流量增加、新安全漏洞未更新规则库和特殊隧道及后门等原因造成的漏报问题和IDS攻击以及网络数据特征匹配的不合理特性等原因造成的误报问题,导致IDS对攻击行为反应迟缓,增加安全管理人员的工作负担,严重影响了IDS发挥实际的作用。
本文针对现有入侵监测系统误报率和漏报率较高的问题,对几种降低IDS误报率和漏报率的方法进行研究。通过将这几种方法相互结合,能有效提高入侵检测系统的运行效率并能大大简化安全管理员的工作,从而保证网络
安全的运行。
2入侵检测系统
入侵是对信息系统的非授权访问及(或)未经许可在信息系统中进行操作,威胁计算机或网络的安全机制(包括机密性、完整性、可用性)的行为。入侵可能是来自外界对攻击者对系统的非法访问,也可能是系统的授权用户对未授权的内容进行非法访问,入侵检测就是对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程。入侵检测系统IDS(IntrusionDetectionSystem)是从多种计算机系统机及网络中收集信息,再通过这些信息分析入侵特征的网络安全系统。
现在的IDS产品使用的检测方法主要是误用检测和异常检测。误用检测是对不正常的行为进行建模,这些行为就是以前记录下来的确认了的误用或攻击。目前误用检测的方法主要是模式匹配,即将每一个已知的攻击事件定义为一个独立的特征,这样对入侵行为的检测就成为对特征的匹配搜索,如果和已知的入侵特征匹配,就认为是攻击。异常检测是对正常的行为建模,所有不符合这个模型的事件就被怀疑为攻击。现在异常检测的主要方法是统计模型,它通过设置极限阈值等方法,将检测数据与已有的正常行为比较,如果超出极限阈值,就认为是入侵行为。
入侵检测性能的关键参数包括:(1)误报:实际无害的事件却被IDS检测为攻击事件。(2)漏报:攻击事件未被IDS检测到或被分析人员认为是无害的。
3降低IDS误报率方法研究
3.1智能关联
智能关联是将企业相关系统的信息(如主机特征信息)与网络IDS检测结构相融合,从而减少误报。如系统的脆弱性信息需要包括特定的操作系统(OS)以及主机上运行的服务。当IDS使用智能关联时,它可以参考目标主机上存在的、与脆弱性相关的所有告警信息。如果目标主机不存在某个攻击可以利用的漏洞,IDS将抑制告警的产生。
智能关联包括主动和被动关联。主动关联是通过扫描确定主机漏洞;被动关联是借助操作系统的指纹识别技术,即通过分析IP、TCP报头信息识别主机上的操作系统。
3.1.1被动指纹识别技术的工作原理
被动指纹识别技术的实质是匹配分析法。匹配双方一个是来自源主机数据流中的TCP、IP报头信息,另一个是特征数据库中的目标主机信息,通过将两者做匹配来识别源主机发送的数据流中是否含有恶意信息。通常比较的报头信息包括窗口(WINDOWSIZE)、数据报存活期(TTL)、DF(dontfragment)标志以及数据报长(Totallength)。
窗口大小(wsize)指输入数据缓冲区大小,它在TCP会话的初始阶段由OS设定。数据报存活期指数据报在被丢弃前经过的跳数(hop);不同的TTL值可以代表不同的操作系统(OS),TTL=64,OS=UNIX;TTL=12,OS=Windows。DF字段通常设为默认值,而OpenBSD不对它进行设置。数据报长是IP报头和负载(Payload)长度之和。在SYN和SYNACK数据报中,不同的数据报长代表不同的操作系统,60代表Linux、44代表Solaris、48代表Windows2000。
IDS将上述参数合理组合作为主机特征库中的特征(称为指纹)来识别不同的操作系统。如TTL=64,初步判断OS=Linux/OpenBSD;如果再给定wsize的值就可以区分是Linux还是OpenBSD。因此,(TTL,wsize)就可以作为特征库中的一个特征信息。3.1.2被动指纹识别技术工作流程
具有指纹识别技术的IDS系统通过收集目标主机信息,判断主机是否易受到针对某种漏洞的攻击,从而降低误报率。
因此当IDS检测到攻击数据包时,首先查看主机信息表,判断目标主机是否存在该攻击可利用的漏洞;如果不存在该漏洞,IDS将抑制告警的产生,但要记录关于该漏洞的告警信息作为追究法律责任的依据。这种做法能够使安全管理员专心处理由于系统漏洞产生的告警。
3.2告警泛滥抑制
IDS产品使用告警泛滥抑制技术可以降低误报率。在利用漏洞的攻击势头逐渐变强之时,IDS短时间内会产生大量的告警信息;而IDS传感器却要对同一攻击重复记录,尤其是蠕虫在网络中自我繁殖的过程中,这种现象最为重要。
所谓“告警泛滥”是指短时间内产生的关于同一攻击的告警。IDS可根据用户需求减少或抑制短时间内同一传感器针对某个流量产生的重复告警。这样。网管人员可以专注于公司网络的安全状况,不至于为泛滥的告警信息大伤脑筋。告警泛滥抑制技术是将一些规则或参数(包括警告类型、源IP、目的IP以及时间窗大小)融入到IDS传感器中,使传感器能够识别告警饱和现象并实施抵制操作。有了这种技术,传感器可以在告警前对警报进行预处理,抑制重复告警。例如,可以对传感器进行适当配置,使它忽略在30秒内产生的针对同一主机的告警信息;IDS在抑制告警的同时可以记录这些重复警告用于事后的统计分析。
3.3告警融合
该技术是将不同传感器产生的、具有相关性的低级别告警融合成更高级别的警告信息,这有助于解决误报和漏报问题。当与低级别警告有关的条件或规则满足时,安全管理员在IDS上定义的元告警相关性规则就会促使高级别警告产生。如扫描主机事件,如果单独考虑每次扫描,可能认为每次扫描都是独立的事件,而且对系统的影响可以忽略不计;但是,如果把在短时间内产生的一系列事件整合考虑,会有不同的结论。IDS在10min内检测到来自于同一IP的扫描事件,而且扫描强度在不断升级,安全管理人员可以认为是攻击前的渗透操作,应该作为高级别告警对待。例子告诉我们告警融合技术可以发出早期攻击警告,如果没有这种技术,需要安全管理员来判断一系列低级别告警是否是随后更高级别攻击的先兆;而通过设置元警告相关性规则,安全管理员可以把精力都集中在高级别警告的处理上。元警告相关性规则中定义参数包括时间窗、事件数量、事件类型IP地址、端口号、事件顺序。
4降低IDS漏报率方法研究
4.1特征模式匹配方法分析
模式匹配是入侵检测系统中常用的分析方法,许多入侵检测系统如大家熟知的snort等都采用了模式匹配方法。
单一的模式匹配方法使得IDS检测慢、不准确、消耗系统资源,并存在以下严重问题:
(1)计算的负载过大,持续该运算法则所需的计算量极其巨大。
(2)模式匹配特征搜索技术使用固定的特征模式来探测攻击,只能探测明确的、唯一的攻击特征,即便是基于最轻微变换的攻击串都会被忽略。
(3)一个基于模式匹配的IDS系统不能智能地判断看似不同字符串/命令串的真实含义和最终效果。在模式匹配系统中,每一个这样的变化都要求攻击特征数据库增加一个特征记录。这种技术攻击运算规则的内在缺陷使得所谓的庞大特征库实际上是徒劳的,最后的结果往往是付出更高的计算负载,而导致更多的丢包率,也就产生遗漏更多攻击的可能,特别是在高速网络下,导致大量丢包,漏报率明显增大。
可见传统的模式匹配方法已不能适应新的要求。在网络通信中,网络协议定义了标准的、层次化、格式化的网络数据包。在攻击检测中,利用这种层次性对网络协议逐层分析,可以提高检测效率。因此,在数据分析时将协议分析方法和模式匹配方法结合使用,可以大幅度减少匹配算法的计算量,提高分析效率,得到更准确的检测结果。超级秘书网
4.2协议分析方法分析
在以网络为主的入侵检测系统中,由于把通过网络获得的数据包作为侦测的资料来源,所以数据包在网络传输中必须遵循固定的协议才能在电脑之间相互沟通,因此能够按照协议类别对规则集进行分类。协议分析的原理就是根据现有的协议模式,到固定的位置取值(而不式逐一的去比较),然后根据取得的值判断其协议连同实施下一步分析动作。其作用是非类似于邮局的邮件自动分捡设备,有效的提高了分析效率,同时还能够避免单纯模式匹配带来的误报。
根据以上特点,能够将协议分析算法用一棵协议分类树来表示,如图2所示。这样,当IDS进行模式匹配时,利用协议分析过滤许多规则,能够节省大量的时间。在任何规则中关于TCP的规则最多,大约占了50%以上,因此在初步分类后,能够按照端口进行第二次分类。在两次分类完成后,能够快速比较特征库中的规则,减少大量不必要的时间消耗。如有必要,还可进行多次分类,尽量在规则树上分叉,尽可能的缩减模式匹配的范围。
每个分析机的数据结构中包含以下信息:协议名称、协议代号以及该协议对应的攻击检测函数。协议名称是该协议的唯一标志,协议代号是为了提高分析速度用的编号。为了提高检测的精确度,可以在树中加入自定义的协议结点,以此来细化分析数据,例如在HTTP协议中可以把请求URL列入该树中作为一个结点,再将URL中不同的方法作为子节点。
分析机的功能是分析某一特定协议的数据,得出是否具有攻击的可能性存在。一般情况下,分析机尽可能的放到树结构的叶子结点上或尽可能的靠近叶子结点,因为越靠近树根部分的分析机,调用的次数越多。过多的分析机聚集在根部附近会严重影响系统的性能。同时叶子结点上的协议类型划分越细,分析机的效率越高。
因此,协议分析技术有检测快、准确、资源消耗少的特点,它利用网络协议的高度规则性快速探测攻击的存在。
5结束语
本文对几种降低IDS误报率和漏报率的方法进行分析研究,通过将这几种方法相互结合,能有效提高入侵检测系统的运行效率并能大大简化安全管理员的工作,从而保证网络安全的运行。由于方法论的问题,目前IDS的误报和漏报是不可能彻底解决的。因此,IDS需要走强化安全管理功能的道路,需要强化对多种安全信息的收集功能,需要提高IDS的智能化分析和报告能力,并需要与多种安全产品形成配合。只有这样,IDS才能成为网络安全的重要基础设施。
参考文献:
[1]张杰,戴英侠.入侵检测系统技术现状及其发展趋势[J].计算机与通信,2002(6):28-32.
[2]唐洪英,付国瑜.入侵检测的原理与方法[J].重庆工学院学报,2002(4):71-73.
[3]戴连英,连一峰,王航.系统安全与入侵检测技术[M].北京:清华大学出版社,2002(3).
[4]郑成兴.网络入侵防范的理论与实践[M].北京:机械工业出版社,2006:48-56.
检测方法论文篇(2)
一、发表在期刊上的论文一般查重率是多少?
发表期刊论文对于需要评职称的人而言是非常重要的,而且之前,也是需要查重的,一般发表在期刊上的论文的查重率多少取决于杂志社或学报的要求,如果想知道你所需要发表期刊的查重率,可以查重杂志上的的查重规定。如没有的话,可以参考以下的查重范围值:
1、普通(省级或国家级)期刊的查重率在25%-30%之间。
2、核心期刊的查重率总体要控制在5%-10%以内。
二、期刊论文的查重软件有哪些?
许多作者在将论文提交杂志社或者学报之前都会主动先对论文进行查重,但是面对纷繁复杂的查重软件,作者通常都会陷入迷茫,不知道杂志社或者学报究竟是用什么查重软件来对论文的重复率进行把关的。
通常,无论是杂志社还是学报所发表的论文都需要经知网收录,而凡是要经知网收录的论文都需要通过知网期刊检测,知网期刊检测主要分为以下两种,即AMLC(科技期刊学术不端文献检测系统)以及SMLC(社科期刊学术不端文献检测系统),二者所覆盖的数据库以及收录的文章是有较大区别的。
用这两种检测系统检测的话,作者一定要根据自己的文章究竟属于科技期刊还是社科期刊,然后再选择合适的论文检测系统对所要发表的论文进行检测。
维普和万方,因为价格方面有所优势,也有不少人用于自己论文初稿和中稿的检测。不过,需要提醒大家注意的是,在投稿之前一定要及时了解到杂志社或者学报是用什么论文检测系统检测。最终定稿时,一定要用杂志规定的系统检测一下。下面给大家介绍一下这些检测系统的特点:
论文检测系统 万方数据论文查重 维普论文查重软件 期刊查重软件(AMLC/SMLC)
检测范围 专本硕博、职称论文
专本硕博、职称论文
发表的期刊学术论文,职称论文
适用人群 大学生、职称评定者
大学生、职称评定者
大学生、职称评定者
查重准确率 85%以上
90%以上
99%以上
检测费用 9元/万字符
1.8元/千字符
18元/篇
适用语言 中英文检测
中英文(英文资源较少)
中英文检测
系统特点 速度快,价格便宜
数据库实时更新
数据权威,算法严格
三、修改期刊论文的查重率的方法
1.热改法
在初稿完成后就立刻进行修改的方法。
(1)优点:灵活转变,清晰思路,避免遗忘。
(2)缺点:修改论文时处于兴奋状态,很难看到需要修改的部分,并且很难中断。
2.冷改法
在初稿完成后,放置一段时间之后再进行修改。
(1)优点:
①初稿后,过一段时间再修改,避免不够冷静清晰的热改法缺点。
②只有把稿件放在一段时间内,作者才是冷静的,他原来的偏好和偏见也将变弱。
③过段时间重读初稿,就能轻易的摆脱固有思路的束缚。特别是通过阅读相关资料,思考相关问题,就会创造出新的感受和新的认识。
④通过消除过度和不足,论文的质量会得到新的提高。
(2)缺点:
检测方法论文篇(3)
关键词:论文;抄袭;检测;代码;判定
中图分类号:TP311文献标识码:A文章编号:1007-9599 (2010) 09-0000-02
Code Similarity Detection in the Determination of Plagiarism
Wang Minghao
(Putian College,Putian351100,China)
Abstract:The present paper detection system,only the text part for the judge,can not determine the thesis contained in the original code.Thesis of science and engineering students,usually contains a large number of the code.Silent due to the current system code as the original,and ultimately affect the whole paper copy of the proportion for the judge,so that accuracy of the greatly reduced.This article attempts to explore the existing detection system,add a test for the determination of the module code,improve science and engineering students to determine the accuracy of the thesis plagiarism.
Keywords:Paper;Plagiarism;Detection;Code;Determine
根据09年年底,汤森路透集团的报告《全球科研报告:中国》(Global Research Report:China)中称,近年来,中国的科研论文数量呈爆炸性发展,仅次美国,高居世界第二[1]。而与之形成鲜明相比的是,中国论文的被引用率低,质量不高和原创性内容不多。这一矛盾产生的主要原因在于高校论文互相抄袭的现象。随着网络技术的日益普及,这股学术不端之风更深深的影响了在校学生。学术浮夸和论文抄袭现象大量的出现在应届学生的毕业论文之中。现有的学术不端检测系统主要是针对文字的检测,对纯理论的论文的抄袭判定比较准确。但是与文科学生不同,理工科学生的毕业论文中常会引用一定数量的代码,这些代码的独创性不被判断。致使部分理工科毕业生在毕业论文中大量引用代码,以减少文字部分引用率的百分比。为了解决这个问题,亟需在现有的学生不端检测系统中建立针对理工科学生的程序代码相似性检测模块。
一、研究背景
程序代码相似性的检测最早是源于对重复代码的检测和对代码的优化。对于程序代码相似度的度量研究,国外起步的比较早,相关的研究也比较多。早在二十世纪七十年代,国外就有学者开始研究检测代码相似性的理论,和基于理论构建的检测系统。目前常用的代码检测技术有两类:一是最早于1976,由Purdue大学的K.J.Ottenstein提出的基于属性计数法(Attribute Counting)[2];二是1996年,由Verco KL和Wise MJ提出的基于结构度量法(Structure Metrics)[3]。
二、代码检测在毕业论文中的应用
(一)相似代码的判定
代码抄袭定义为:一个程序在经过了若干常规性的修改得到的程序[4]。修改的方法主要归为十类,见表1。学生在毕业论文中的代码的抄袭主要体现在前8种。
基于这些常规的修改方式,以C语言代码的判定为例,常用的检测思路之一是,将代码视为一系列Token(标记)的集合,由词法分析程序将源代码转换为Token流。记录两份代码为x和y,两者经过分解的Token流集合分别为X和Y,抄袭的判定条件满足表2。
(二)系统的构建
1.设计思路。
对于学生毕业论文中代码抄袭的具体判定包括以下三个方面:识别,检测和确认。
(1)识别阶段:根据代码中的关键词进行比对,确定代码使用的何种程序语言。
(2)检测阶段:根据识别的结果,选定特定程序语言的代码数据库,进行检测,判定代码的相似度。
(3)确认阶段:根据检测阶段对相似度的判定,输出结果。
与现有的纯代码复制相似性检测,以及纯文字相似检测系统不同,针对理工科学生毕业论文的代码检测的系统必须实现以下功能:
(1)代码和文字的分离。将代码从论文中分离,对不同的代码段落编号,各段单独存储。将分离代码后的论文的文字部分,形成单个文本,统一存储。
(2)针对文字和代码建立不同的检测数据库。
(3)根据不同的代码类型,必须建立有特征识别功能,能针对不同语言分别检测的分析系统和相关数据库。
2.系统构架。
根据系统的需求,系统主要功能模块在论文中代码分离基础上,包括两大部分:针对代码检测的模块和针对文字检测的模块。具体见图1
分离模块主要实现代码和文字的分离,根据代码和文字的不同特征,将其分离为代码部分和文字部分,并将分离后的文字和代码进行存储。后台数据库包括存储数据库和代码特征数据库两个部分。其中存储数据库用来存储预处理之后的文字和代码;代码特征数据库用于存储不同程序语言的特征,以C语言为例,代码特征数据库中需要存储的内容包括有代表性的操作符和关键字。代码特征数据库的主要作用包括两个方面。第一,用于判定一段字母构成的文字是否为程序代码,以及该程序段由何种语言写成。第二,在代码检测时,用于划分代码的结构构成。代码数据库存储用于比对相似性的大量原始代码信息。针对中文论文的检测,分离模块以段落为单位,判定三种情况:纯中文,纯字母和中文字母夹杂。纯中文可以直接判定为论文的文字部分。纯字母的可以比照代码特征数据库,判定是否为代码。如果是代码,以代码的形式单独存储,否则,以文字的形式统一存储。中文字母夹杂的段落,可在去除了中文后,按照纯字母的情况进行处理。
代码检测模块包括代码预处理、代码相似度检测和代码相似度判定三个功能。预处理用于去除代码中的冗余信息。根据表1中的定义,针对其中的2,3,9项,预处理模块消除了源代码中的注释,空格,换行和对程序输出效果无效的代码。同时,预处理模块还消除了常见代码段,如预处理命令和标准输入输出语句等。预处理之后的代码作为输入,由相应的算法进行检测,并得出相似度评判结果。
文字检测模块将分离的文字由相应算法进行检测,得出相似度判定结果。
输出模块根据代码检测判定和文字检测判定,输出最终检测结果:标记所引用或抄袭的部分的出处,以及所站论文总字数的百分比,最后给出综合的判定。
三、总结和展望
对代码独创性的判定是一项细化而复杂的任务。要真正形成完善的系统,还要大量工作要做,如对于代码判定的一系列数据库的建立,和更完善的判定算法的选择和实现,并在实际投入使用后进一步完善。
参考文献:
[1]Jonatha Adam,Christopher King,Nan Ma.Global Research Report ChinaCResearch and Collaboration in the New Geographic Science[R].Thomson Reuter,2009
[2]K.J.Ottenstein.An Algorithmic Approach to the Detection and Prevention of Plagiarism[J].CSD-TR200,1976,103,2:32-39
[3]Verco KL,Wise MJ.Software for Detecting Suspected Plagiarism Comparing Structure and Attribute-counting Systems[J].Proceedings of the 1st Australian Conference on Computer Science Education,Sydney,1996,102,2:3-5
[4]Edward L Jones.Metrics Based Plagiarism Monitoring.The Consortium for Computing in Small Colleges.Vermont.2001:253,261
[5]史彦军,腾弘飞,金博.抄袭龙纹识别研究与进展[J].大连理工大学学报,2005,45,1:50-57
检测方法论文篇(4)
关键词: 网络入侵数据检测; 离散化处理; 遗传算法; 数据约简
中图分类号: TN711?34; TP393 文献标识码: A 文章编号: 1004?373X(2017)04?0028?04
Research of public network intrusion detection method based on rough set theory
PANG Bangyan, ZHANG Yanmin
(Basic Teaching Department, Shangqiu Institute of Tecnology, Shangqiu 476000, China)
Abstract: Traditional method exists high redundancy, large dimension, poor accuracy and so on in the process of public network intrusion data detection. In order to improve the real?time performance and effectiveness of public network security protection, a public network detection method based on the improved rough set theory is put forward to detect and screen the data which has invasion risk, optimize the detecting accuracy based on rough set concept, and reduce the information loss. The MDLP operational criterion is adopted to complete the discretization processing of the data. The genetic algorithm is used to carry on the data reduction, derive data classification rules and identify the intrusion data. The simulation results show that the proposed intrusion data detection method is more effective in the aspects of intrusion detection rate and error rate in comparison with the traditional algorithm.
Keywords: network intrusion data detection; neural network; genetic algorithm; data reduction
0 引 言
近年来信息技术迅猛发展,公共网络已逐渐成为全世界范围内最重要的基础设施之一,对社会各个方面及人类的生产生活方式产生了巨大的影响。网络代表的开放式信息平台是现代信息社会的发展趋势,但网络的开放性同样会带来风险,尤其是和大众联系紧密的公共网络。公共网络攻击行为时有发生, 客观上迫切要求建立有效的入侵检测系统。入侵z测技术经过几十年的发展, 有一定的进步,但传统方法存在时效性和精简性不足的问题。文献[1]提出入侵检测系统的基础是抽象模型模式匹配,尽管在某些领域内也取得了一些进步,但是随着公共网络的发展和壮大及恶意入侵方式的多样化,这种方法已经不适应目前公共网络的发展趋势要求。本文提出的方法基于优化粗糙集理论对网络入侵原始数据进行处理和分析[2?4]。运用MDLP运算准则完成对入侵数据的离散化处理[5?6],使用遗传算法对数据进行属性约简,降低维数、去除冗余[7?8], 将导出数据分类规则并对入侵数据进行报警处理,试验证明了本文提出方法能够提高数据的检测率,降低误报警次数,运算简捷同时易于理解[1]。
1 基于优化RS入侵检测方法研究
1.1 优化粗糙集理论
本文将基于优化粗糙集理论用于实现对公共网络入侵数据的检测。粗糙集理论是一种数学工具,主要描述不完整性和不确定性。可以有效地对各种不完整、不一致、不精确数据信息进行处理,还能够通过分析和推理数据信息,揭示出潜在规律和隐含其中的知识。粗糙集理论最显著的特点是不需要其他任何的先验知识,仅利用数据本身提供的信息可以完成检测。粗糙集理论开辟了一条全新的路径来处理攻击检测样本数据中不易分辨的数据。通常粗糙集方法和模型包括条件属性和决策属性,在不丢失信息前提下对数据进行预处理,应用同样知识进行最小条件属性集约简,保持决策系统相同分类能力的最简形式本文。优化粗糙集相关原理如下:
(1) 给定公共网络数据集合X和数据集合Y,其中集合Y是集合X的是等价关系,在X基础对Y进行划分,命名为知识,记为。设定四元组表达系统,U为对象的非空有限集合为论域;R是属性的非空有限集合;V:Va,Va,Va是属性a的值域;f 是一个信息函数,aR,xU,f(x,a)Va。
(2) 给定基于公共网络数据的关系系统L=(X,Y) 是知识库,Y是X上等价关系的一个族集,X 为论域;令ZX,Y为X上的一个等价关系。Z的X下近似值:
YZ={H}
Z的Y上近似值:
YZ={HQ≠}
(3) 集合EF,如果E独立,ind(E)=ind(F), E为F的一个约简。F中所有必要关系集合记作CORE(F)。核与约简有如下关系:
CORE(F)=RED(N)
(4) 设定W=(K,R,V,f)为知识系统,O=PQ,
PQ= ,Q是条件属性集,O是决策属性集,P和Q构成决策表。若Q和T是公式,则QT,QT。令公式 PQ为决策规则,Q和T表达一种因果关系成为规则前、后件。
(5) 对粗糙集优化的实现流程是通过修正和调整阈值各项参数,对传统粗糙集理论的近似边界的严格定义进行宽泛化处理。量度不确定是优化粗糙集最大特点,评价一个决策规则是否有效,可以使用两个指标来评价其优劣: 覆盖度和准确度。其定义式分别为式(1)和式(2):
对粗糙集的优化处理能够使其覆盖度和准确度提高。
在上述优化粗糙集原理中,属性知识和数据集合被认为是分类能力。粗糙集理论的主要思想是在保持分类能力不变的前提下利用等价关系来对对象集合进行划分,通过对数据的预处理、离散化、知识约简,得出问题的分类规则和决策。由于粗糙集边界经过优化即宽泛化处理,覆盖度和准确度都有所提高,能够更好地实现对入侵数据检测和识别。
1.2 公共网络入侵检测方法研究
基于优化粗糙集的公共网络入侵检测实现流程,如图1所示,主要是根据获取的网络数据连接通过对公共网络数据进行筛选和分析,将进入数据库的原始数据进行离散化处理和遗传数据约简,产生规则集来检测实时的网络数据是攻击数据还是正常连接。
公共网络数据入侵检测流程中对原始数据进行离散化处理和属性约简是最为重要的步骤。包含入侵风险原始数据从公共网络进入数据接收器是不完备和缺失的,由于原始数据的不完备和缺失导致数据信息系统不完备,进入数据库的各种不同的待处理的数据以离散的表现形式存在。运用基于优化的粗糙集方法首先需要对这些原始数据进行预处理然后对数据进行属性约简。对数据的预处理即根据原始数据的数值缺失和不全是离散值的情况特点对数据进行离散化处理。
在对公共网络数据进行入侵检测过程中,MDLD是一种有效的数据信息离散化处理方法,该方法相对独立地按照每个属性的作用,将其持续地获取数据值范围分成合适数量和宽度的子区间,分类嫡设定包含m个类别的数据集U,分布概率分别为数据集U的m个类别分类嫡如下:
(3)
分类嫡是描述上述数据集类别的精度,属性A对S划分后的嫡设属性W将U分为n个子集分类嫡为每个子集U′的嫡加权和比较如式(4)~式(7)所示:
(4)
其中:
(5)
(6)
(7)
从以上数学公式可以推理得出拥有最高信息增益的数据属性是给定集合中具有最高区分度的属性,具有最高增益的离散域值也具有最高的区分度。通过以上的数学方法就完成对粗糙集的数据缺失和非全部离散值的问题进行了离散化处理。
预处理完毕后对数据属性约简是实现入侵数据检测的下一个重要步骤,数据约简可以减少信息的处理量和存储量。基于优化粗糙集的数据约简是通过对属性排序并计算其重要性而实现的。在复杂的数据关系中找出与原始数据具有相同或相似辨别能力的相关属性的最小集合,实现信息约简找出数据库中最简洁、最适用的知识规则。运用遗传算法作全局最优点搜索,识别最优算法参数和初始状态,可以以更短的时间得到更优的属性集约简。
本文采用遗传算法对数据集进行约简,其基本流程把控制序列编码为一个染色体,通过遗传算法来产生控制序列。由于遗传搜索是从决策表的属性核出发,并在整个进化过程中保持不变。选取适应度函数:需要满足条件属性对决策属性依赖度最大和条件属性个数最少这两个条件,才能在属性集是最小约简。对应的函数关系如下:
(8)
式中:A为二进制串长度;CARD(x)表示体数量;B(x)表示条件属性对决策属性的依赖度。通过对算子的选择、交叉和变异,最终实现稳态繁殖,将属性核加入初始种群,减小了搜索范围,同时交叉和变异不会破坏基因位并可以加快收敛速度,保证入侵数据属性集是最小约简。
通过优化粗糙集对数据进行分辨和规则提取后,数据的准确度和覆盖度都有所提高,证明粗糙集经过优化的有效性,对生成的规则进行过滤和提取,去除置信度低的、冗余的规则。提取规则的流程是从经过处理的决策表中抽取出以规则形式表述的知识,将某些去掉后不影响决策结果生成的规则过滤掉。按照以上的流程和最终提取的规则就完成了对公共网络数据入侵数据的入侵检测,按照形成的规则检测出可疑数据并对入侵报警。
2 试验结果与分析
本文通过仿真试验分别对基于优化粗糙集公共网络入侵检测方法和主成分分析(PCA)入侵检测算法进行了效果对比。
通过试验证明本文提出的设计方法有较高的检测率、更加低的误报率,同时训练时间上要比其他算法要低,本文提出的算法具有精确性和有效性。试验数据来自网络入侵检测评判数据库,包含了30余种数据攻击类型如PROBING类型,U2R类型,DDoS等类型。将实验数据分成3组,数据的选择如表1所示。
表1 试验数据
为了验证本文算法对网络入侵检测性能具有更明显的有效性,试验对PCA算法和基于优化粗糙集公共网络入侵检测方法的有效性进行了充分的数据对比。实验结果如表2~表4 所示。
在U2R型数据入侵检测中PCA方法的检测率、误差率和训练时间分别为86.93%,44.81%,0.51 s;而基于优化粗糙集的公共网络检测系统在这三个指标的对比中都具有优势,检测率提高到95.28%,误差率大幅度降低到28.23%,时间缩短到0.29 s。通过数据对比,本文提出的方法在应对U2R型数据攻击时具有优势。
应对PROBING型数据入侵检测中PCA方法的检测率、误差率和训练时间分别为82.26%,40.23%,0.56 s。而基于优化粗糙集的公共网络检测系统在这三个指标的对比中都具有优势,检测率也同样具有优势,三个指标分别可以达到93.12%,27.96%和0.21 s。
DDoS是一种新型的更具破坏性的攻击方式,是利用更多的傀儡机来发起进攻,以比以前更大的规模来进攻公共网络。从表4的数据来看,在应对新型的数据入侵传统的PCA算法在检测率、误差率和训练时间上显示出的时效性更差。而相反基于优化粗糙集的神经网络算法在以上指标表现时更为有效。
从以上 3个表中可以很明显看出,不论是3种数据类型中的哪一种,本文所提出的基于优化粗糙集神经网络入侵检测算法模型的检测率比PCA算法模型在效率和精确度方面有明显的提高,而且模型的误报率以及平均检测时间也要比PCA模型要低,仿真试验表明本文提出基于优化RS入侵检测方法能够在很大程度上提高公共网络的安全入侵检测可靠性,将提出的基于优化RS的公共网络入侵方法用于公共网络入侵行为是一个行之有效的方案。
入侵检测率指标是衡量入侵检测方法是否行之有效的最重要指标,通过仿真试验对本文提出的方法和PCA方法应对常见的攻击方式得出的数据进行统计绘制成检测率综合比较图,如图2所示,本文提出的方法综合检测率在90%以上,在应对常见网络数据攻击行为时具有良好的有效性。
基于粗糙集的公共网络入侵检测系统利用网络工具箱进行测试和训练,实验得到的均方根误差如图3所示。
从实验的仿真结果可以看出,将基于优化粗糙集公共网络入侵方法用于数据入侵检测,较为明显地降低了系统的误报率,提高了各种攻击类型的检测率和目标精度,而且速度较快、收敛容易,有效地改进了公共网络入侵检测系统的性能。
本文的试验分别对基于优化粗糙集公共网络入侵检测方法和主成分分析( PCA)入侵检测算法进行了数据对比可以看出本文提出的设计方法有高检测率、低的误报率,和更短的训练时间。试验证明本文提出的方法更加实用和有效。
3 结 语
伴随公共网络数据入侵问题的凸显,有效入侵检测成为公共网络安全中一个极为重要的课题。针对传统公共网络入侵检测原始数据精确度低、数据量大、维数多、入侵检测系统误报率、漏报率偏高的现状,在深入研究入粗糙集理论的基础上,本文提出将优化粗糙集理论应用于公共网络入侵检测系统设计。经过大量仿真实验结果证明本文提出的方法是一种高效率、高检测率的网络入侵检测方法,这种优化设计入侵检测系统将会有广泛的应用前景。
参考文献
[1] ZHANG Lianhua, ZHANG Guanhua, YU Lang, et al. Intrusion detection using rough set classification [J]. Journal of Zhejiang University Science, 2004, 5(9): 1076?1086.
[2] LEE W, STOLFO S J, MOK K. Data mining in workflow environments: Experiences in intrusion detection [C]//Proceedings of the 1999 Conference on Knowledge Discovery and Data Mining(KDD99). AC: CAM Press,1999: 111?120.
[3] 王永全.入侵检测系统(IDS)的研究现状和展望[J].通信技术,2008,41(11):139?143.
[4] WELCH C D J, LATHROP M S D. A Survey of 802: Wireless security threats and security mechanisms [R]. West Point, NewYork: United states Military Academy, 2003.
[5] 马海峰,宋进峰,岳新.遗传算法优化的混合神经网络入侵检测系统[J].通信技术,2009,42(9):106?108.
[6] 王文莉,侯丽敏.基于领域粗糙集的入侵检测[J].传感器与微系统,2010,29(6):36?38.
检测方法论文篇(5)
关键词 p-q-r理论 谐波检测 瞬时无功功率 电力系统
中图分类号:TM935 文献标识码:A
0 引言
近年来在有源滤波器谐波检测技术中,基于瞬时无功功率理论的p-q检测法得到迅速的发展,在三相三线制电路中的应用已趋于成熟,其应用日益广泛,但对于三相四线制电路而言,它的应用还存在一些问题。在此基础上,一种基于三维坐标变换的p-q-r谐波检测理论被应用于三相四线制电路中,该理论既可以检测出系统的谐波电流,也可以检测出系统的中线电流。其方法是在空间坐标系下把电流向量和电压向量先变换到 0-%Z-%[ 平面,再以电压向量为基准将0-%Z-%[ 平面上的电压向量和电流向量变换至p-q-r坐标系下,并使p轴上电压与电压矢量方向相同。这样的结果形成只有在p轴上的电压分量ep不为零,而在q轴和r轴上电压eq,er均为零。
1 p-q-r 理论谐波电流检测原理
p-q-r 谐波检测原理首先进行三维坐标系至 0-%Z-%[ 坐标系的变换,再根据空间坐标旋转规则构造矩阵A(以电压向量为基准),并使电压以电压向量为基准通过矩阵A变换至p-q-r坐标系,变换的结果只有p轴上有电压,q轴坐落在 %Z-%[ 平面上,且与电压矢量方向一致。
将电压向量和电流向量变换至p-q-r坐标系后,仅有p轴上的电压向量不为零。一般认为与电压矢量方向垂直的电流iq,ir为无功电流,与电压矢量方向相同的电流ip为瞬时有功电流。
电流矢量图(p-q-r 坐标系下)如图1所示。图中q轴的方向在%Z-%[平面上,且垂直纸面向内。ir'和ir分别为希望补偿以后的r轴电流和原r轴电流,和分别是补偿前后p轴和r轴的电流的矢量和。
在 p-q-r 坐标系中,q轴电流与零电流无关,因为q轴是坐落在%Z-%[ 平面上的。电流矢量(ir和ip的矢量和)不在%Z-%[平面上,适当补偿ir,使补偿后的p轴电流矢量与r轴电流矢量ir*与之和i*rp落在%Z-%[平面上,则系统中就没有零序电流。
当电压为标准正弦波时,p轴电流ip的交流分量ipac来自于基波非正序电流及谐波电流,而直流分量ipdc来自基波正序有功电流,q轴电流iq的电流分量ipdc来自于基波正序无功电流,ipac来自于高次谐波分量,只要把ipoc,iqoc补偿掉,则电网中只留下基波。
图1 p-q-r坐标下的电流矢量图
2 p-q-r 法的局限性及其理论分析
(1)治理电网谐波污染的有效方法之一用使用有源滤波器,而谐波电流的检测是必不可少的,直接影响到有源滤波器的滤波效果。瞬时无功功率理论是谐波检测的基本方法。在三相四线制电路谐波检测中,瞬时无功功率检测的p-q-r法可以检测出系统的谐波电流及中线电流,缺点是要经过多次坐标变换计算,计算量大,直接影响p-q-r法的使用。
(2)当三相电压发生不对称或畸变时,ea,eb,ec就会含有谐波和不对称分量,而p-q-r 法中计算基波电流公式中使用了含有不对称分量和谐波的ea,eb,ec,因此基波检测有误差。
3 改进方案
(1)分析以上方法所存在的问题,用p-q-r法检测系统的谐波电流时,只要三相电压、电流对称,无论是否有畸变,ip,iq中只含3N次谐波(N为整数)。根据重采样理论,在保证频谱不混叠的情况下,可以对ip,iq进行4倍重采样,还可以设计均值滤波器,以减少计算量,提高动态响应速度。此外,控制r轴电流ir将中线电流降至零。
(2)三相电压发生不对称或畸变时,对于谐波的检测p-q-r检测方法是有误差的,误差的原因是矩阵A中包含了不对称分量和高次谐波,如果能够准确提取出ea,eb,ec的基波正序分量e+af,e+bf,e+cf,则矩阵A中不会包含有不对称分量和高次谐波,误差得以消除。改进的检测系统原理方框图如图2所示。三相交流电源电压的瞬时值用ea,eb,ec表示。当ea,eb,ec不对称且含有谐波时,窄带滤波器NBPF的输出电压则是不对称的三相基波电压eaf,ebf,ecf不对称基波电压经过r矩阵,提取出基波电压的正序分量 e*af,e*bf,e*cf,再将 e*af,e*bf, e*cf做p-q-r的坐标变换。
检测方法论文篇(6)
[关键词]:方便快捷、检测精度、加强建设、基础设施
中图分类号:Q958.116 文献标识码:A 文章编号:
当前有机污染物检测的手段和缺陷
1.1目前检测有机污染物的常用手段
由于技术的逐渐成熟和人们对于事物的认知的不断提高,我们当前用于水体有机物检测的手段也是趋于成熟,我们当前已经有了相当多的手段和方法可以快速的检测出水体中有机物的含量在我国应用最为广泛的气相色谱-质谱(GC-MS)检测方式,这种检测方式已经被利用在我国各个地区,成为最为广泛的并且相对准确的检测方式,这种方法有着自己的应用范围,它主要的测控范围是环境激素类污染,这种方法检测的范围比较狭窄,同时会由于采集地点的不同,最终出现的结果也会有着相应的误差,因此这种检测方式也是需要一定的经验的工作人才可以完成,受制于人员的能力,致使可能会出现人员选择上的误差。液相色谱-质谱(LC-MS)联用法,这种方式利用LC得到液体中的物质成分最终利用质谱检测出来,得到有机污染的详细信息,采用这种检测方式最大的好处是检测结构灵敏和准确,是当前采用的最为有效的测试手段,同时检测周期比较简短,没有前期的成分处理,不会对采集源有着较多的污染,能够保持检测物的原本面貌,提高数据准确性。可以用来分析当前对于水质有着较多的影响的苯、尿素类农药、催熟剂等农业用品的含量。生物分子测试方法,这种方法利用了生物本身的优秀的测试能力,能够通过生物分子对于当前环境中不良物质和杂乱物质的反应得到物质的精准含量。这种方法周期较短能够快速的得到水中有机物的含量,相对于液相色谱-质谱(LC-MS)联用法更有着提高,液相色谱-质谱联用法是在损失精准度的基础上,快速的得到有机物的含量,但是生物监测法并不需要添加其他长周期的检测反应物来提高有机物的检测精度,因此这种方法即简单可靠,又有着操作方便的特性。最后我们介绍一种在当前最为得到亲睐的检测方式――红外线光谱法,这种测试方法能够非常精确的得到有机污染物的含量,作为近年来发展最为迅速和最受重视的方法,它有着其他化学检测方式不能替代的优点,它利用不同有机物对于共外线吸收能力的不同,形成有效的吸收光谱,从而绘制出来被检测物的准确含量,进而利用标准进行对比从而得到有机污染物的组成。这种检测方式将对于污染物的检测手段提升到了一个新的高度,从传统的化学检测方式中解脱出来,利用技术较为先进,理论较为成熟的光分析法,进行精确地定位。这种方式不会受到试剂间的影响从而得出错误的结论,只需要一个能够操纵检测仪的工作人员即可。
1.2 当前存在的问题和发展的方向
发达国家的一些检测标准和检测仪器我们可以拿来借鉴,但是由于国情的不同,也不可以全盘拿来借鉴。我国的整体检测制度还不够完善,一系列检测、检查、实时监控体系还 没有完整的建立起来,我国目前面临着不少的问题:①检测人员的素质水平不一,难以调解;②有些程序上不合格,没有能够准确的将检测结果体现出来;③使用的器材标准不一,导致检测出结果需要反复研究,浪费时间和效率;④采用的标准有着一定意义上的繁琐,反应模式不够快速,致使能够快速检测出来的问题,在时间的延时下也将我们的结果变得不是很准确。
水体有机污染物检测方式的希望和未来的努力方向
2.1 当前水质检测最新技术
分光光度法现在作为各大实验室中的宠儿,有着其他测试方法不可比拟的巨大优势,它利用物质吸收光的特性,利用一定频率的光照射当前被检测物,从而得到被吸收后的光谱,从而定量分析出水体中的有机污染物。这一技术在社会的各个方面都有所应用,不论是矿藏、冶金还是生活的大大小小的部分,它带来的巨大便利提升我们的生活质量,它并且不会造成巨大的危害,检测的手段和方式也是我们大多数人可以掌握到的,同时其快速有效的解决方案,为我们当前水体检测提供了一个新的思路,它的蓬勃发展也为我们在这一领域的扩展提供了有力的技术保障,同时由于光学、电子学和计算机及周边领域的发展,这一技术还在日新月异的提升中。在水体检测中引入这一项目是不会过时的,能够长时间的提升自我检测能力。同时这一检测手段精度高,检查周期短,能够有效的得到我们需要的数据,同时检测方式简单快捷,并且与可靠的计算机设备和软件系统相结合,能够有效的实现水质有机物的自动化检测,能够实时监控每一段时间内发生的变化,从而得到当前水质变化情况从而总结得到当前监控水源地变化情况,利用有效的手段进行控制。
2.2 现有手段和新技术结合是有机污染物的测试更加精确
当前现有的水质测试手段已经臻于完善,但是由于技术的落伍和人员素质的落后,导致传统的测试手段在最先进的测试技术面前不堪一击,但是我们应该辩证的去看待问题,良好的先进测试手段固然是提高我们测试质量和测试速度好的方法,但是传统测试已经存在了这么长的时间,它们的测试技术和测试流程是我们多年来总结出来的有力经验,我们要在利用先进技术和仪器的技术上,将传统测试技术有机的结合起来,将两种手段无缝的连接起来,才能达到最大化的测试效率。同时来说最新的测试技术并不是都是优点,有的检测精确但是设备仪器过于庞当、维护经费过于昂贵,有的倒是小巧灵敏但是操作起来并不是非常的方便,同时需要一定的专业技术和专业素养,于此同时我国内陆监测站的情况不一,过于昂贵的仪器和过于复杂的保养费用是我们当前负担不起的,因此我们需要结合我国国情尽心水体检测的方法研究,而不是一味的上先进技术、上昂贵仪器。
结论
在我国当前发展历程中,水体检测一直是我国深入研究的科研项目,同时水体有机污染物的检测更是检测中的重中之重,因为检测情况复杂,检测属性多变,平白为检测的精度和速度增加了许多的困难,所以我们要努力提升自己检测手段,加强保障检测的意识才能更加有效的得到准确的数据。
参考文献:
[1]:乔世俊,吴仁铭,高建力,赵爱平,葛宁春;毛细管色谱―质谱法测定环境样品中2,3,7,8―四氯二苯并二[J];质谱学报;1992年03期
检测方法论文篇(7)
关键词:扫描,权限后门,网络攻击
信息网络和安全体系是信息化健康发展的基础和保障。但是,随着信息化应用的深入、认识的提高和技术的发展,现有信息网络系统的安全性建设已提上工作日程。
入侵攻击有关方法,主要有完成攻击前的信息收集、完成主要的权限提升完成主要的后门留置等,下面仅就包括笔者根据近年来在网络管理中有关知识和经验,就入侵攻击的对策及检测情况做一阐述。论文大全。
对入侵攻击来说,扫描是信息收集的主要手段,所以通过对各种扫描原理进行分析后,我们可以找到在攻击发生时数据流所具有的特征。
1、利用数据流特征来检测攻击的思路
扫描时,攻击者首先需要自己构造用来扫描的IP数据包,通过发送正常的和不正常的数据包达到计算机端口,再等待端口对其响应,通过响应的结果作为鉴别。我们要做的是让IDS系统能够比较准确地检测到系统遭受了网络扫描。考虑下面几种思路:
(1)特征匹配
找到扫描攻击时数据包中含有的数据特征,可以通过分析网络信息包中是否含有端口扫描特征的数据,来检测端口扫描的存在。如UDP端口扫描尝试:content:“sUDP”等。
(2)统计分析
预先定义一个时间段,在这个时间段内如发现了超过某一预定值的连接次数,认为是端口扫描。
(3)系统分析
若攻击者对同一主机使用缓慢的分布式扫描方法,间隔时间足够让入侵检测系统忽略,不按顺序扫描整个网段,将探测步骤分散在几个会话中,不导致系统或网络出现明显异常,不导致日志系统快速增加记录,那么这种扫描将是比较隐秘的。这样的话,通过上面的简单的统计分析方法不能检测到它们的存在,但是从理论上来说,扫描是无法绝对隐秘的,若能对收集到的长期数据进行系统分析,可以检测出缓慢和分布式的扫描。
2、检测本地权限攻击的思路
行为监测法、文件完备性检查、系统快照对比检查是常用的检测技术。虚拟机技术是下一步我们要研究的重点方向。
(1)行为监测法
由于溢出程序有些行为在正常程序中比较罕见,因此可以根据溢出程序的共同行为制定规则条件,如果符合现有的条件规则就认为是溢出程序。行为监测法可以检测未知溢出程序,但实现起来有一定难度,不容易考虑周全。行为监测法从以下方面进行有效地监测:一是监控内存活动,跟踪内存容量的异常变化,对中断向量进行监控、检测。二是跟踪程序进程的堆栈变化,维护程序运行期的堆栈合法性。以防御本地溢出攻击和竞争条件攻击。
监测敏感目录和敏感类型的文件。对来自www服务的脚本执行目录、ftp服务目录等敏感目录的可执行文件的运行,进行拦截、仲裁。对这些目录的文件写入操作进行审计,阻止非法程序的上传和写入。监测来自系统服务程序的命令的执行。对数据库服务程序的有关接口进行控制,防止通过系统服务程序进行的权限提升。论文大全。监测注册表的访问,采用特征码检测的方法,阻止木马和攻击程序的运行。
(2)文件完备性检查
对系统文件和常用库文件做定期的完备性检查。可以采用checksum的方式,对重要文件做先验快照,检测对这些文件的访问,对这些文件的完备性作检查,结合行为检测的方法,防止文件覆盖攻击和欺骗攻击。
(3)系统快照对比检查
对系统中的公共信息,如系统的配置参数,环境变量做先验快照,检测对这些系统变量的访问,防止篡改导向攻击。
(4)虚拟机技术
通过构造虚拟x86计算机的寄存器表、指令对照表和虚拟内存,能够让具有溢出敏感特征的程序在虚拟机中运行一段时间。论文大全。这一过程可以提取与有可能被怀疑是溢出程序或与溢出程序相似的行为,比如可疑的跳转等和正常计算机程序不一样的地方,再结合特征码扫描法,将已知溢出程序代码特征库的先验知识应用到虚拟机的运行结果中,完成对一个特定攻击行为的判定。
虚拟机技术仍然与传统技术相结合,并没有抛弃已知的特征知识库。虚拟机的引入使得防御软件从单纯的静态分析进入了动态和静态分析相结合的境界,在一个阶段里面,极大地提高了已知攻击和未知攻击的检测水平,以相对比较少的代价获得了可观的突破。在今后相当长的一段时间内,虚拟机在合理的完整性、技术技巧等方面都会有相当的进展。目前国际上公认的、并已经实现的虚拟机技术在未知攻击的判定上可达到80%左右的准确率。
3、后门留置检测的常用技术
(1)对比检测法
检测后门时,重要的是要检测木马的可疑踪迹和异常行为。因为木马程序在目标网络的主机上驻留时,为了不被用户轻易发现,往往会采取各种各样的隐藏措施,因此检测木马程序时必须考虑到木马可能采取的隐藏技术并进行有效地规避,才能发现木马引起的异常现象从而使隐身的木马“现形”。常用的检测木马可疑踪迹和异常行为的方法包括对比检测法、文件防篡改法、系统资源监测法和协议分析法等。
(2)文件防篡改法
文件防篡改法是指用户在打开新文件前,首先对该文件的身份信息进行检验以确保没有被第三方修改。文件的身份信息是用于惟一标识文件的指纹信息,可以采用数字签名或者md5检验和的方式进行生成。
(3)系统资源监测法
系统资源监测法是指采用监控主机系统资源的方式来检测木马程序异常行为的技术。由于黑客需要利用木马程序进行信息搜集,以及渗透攻击,木马程序必然会使用主机的一部分资源,因此通过对主机资源(例如网络、CPU、内存、磁盘、USB存储设备和注册表等资源)进行监控将能够发现和拦截可疑的木马行为。
(4)协议分析法
协议分析法是指参照某种标准的网络协议对所监听的网络会话进行对比分析,从而判断该网络会话是否为非法木马会话的技术。利用协议分析法能够检测出采取了端口复用技术进行端口隐藏的木马。
参考文献:
[1]张普兵,郭广猛,廖成君.Internet中的电子欺骗攻击及其防范[J].计算机应用,2001,21(1):32-34.
[2]苏一丹,李桂.基于DFA的大规模入侵建模方法研究[J].计算机工程与应用,2003,39(28).
[3]蒋总礼,姜守旭.形式语言与自动机理论[M].北京:清华大学出版社,2003.
