欢迎访问发表云网!为您提供杂志订阅、期刊投稿咨询服务!
首页 学术期刊 科普杂志 SCI杂志 经营许可 购物车(0)
发表咨询 400-808-1731
订阅咨询 400-808-1751
首页 精选范文 入侵检测论文

入侵检测论文大全11篇

时间:2023-03-23 15:14:46

入侵检测论文

入侵检测论文篇(1)

一、入侵检测系统概述

入侵检测系统(IntrusionDetectionSystem,简称IDS)可以认为是进行入侵检测过程时所需要配置的各种软件和硬件的组合。对一个成功的入侵检测系统来讲,它不但可使系统管理员时刻了解计算机网络系统(包括程序、文件和硬件设备等)的任何变更,还能给网络安全策略的制订提供指南。更为重要的一点是,对它的管理和配置应该更简单,从而使非专业人员能非常容易地进行操作。而且,入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后,会及时做出响应,包括切断网络连接、记录事件和报警等。

二、入侵检测系统的功能

1.检测入侵。检测入侵行为是入侵检测系统的核心功能,主要包括两个方面:一方面是对进出主机或者网络的数据进行监控,检查是否存在对系统的异常行为;另一方面是检查系统关键数据和文件的完整性,看系统是否己经遭到入侵行为。前者的作用是在入侵行为发生时及时发现,使系统免受攻击;后者一般是在系统遭到入侵时没能及时发现和阻止,攻击的行为已经发生,但可以通过攻击行为留下的痕迹了解攻击行为的一些情况,从而避免再次遭受攻击。对系统资源完整性的检查也有利于我们对攻击者进行追踪,对攻击行为进行取证。

2.抗欺骗。入侵检测系统要识别入侵者,入侵者就会想方设法逃避检测。逃避检测的方法很多,总结起来可分为误报和漏报两大类。一种使入侵检测系统误报的实现形式,是快速告普信息的产生让系统无法反应以致死机,这其实是通用的网络攻击方式一拒绝服务攻击在入侵检测系统上的体现。与误报相比,漏报更具危险性,即躲过系统的检测,使系统对某些攻击方式失效。入侵检测系统无法统一漏报和误报的矛盾,目前的入侵检测产品一般会在两者间进行折衷,并且进行调整以适应不同的应用环境。

3.记录、报警和响应。入侵检测系统在检测到攻击后,应该采取相应的措施来阻止攻击或者响应攻击。作为一种主动防御策略,它必然应该具备此功能。入侵检测系统首先应该记录攻击的基本情况,其次应该能够及时发出报警。好的入侵检测系统,不仅应该把相关数据记录在文件或数据库中,还应该提供好的报表打印功能。必要时,系统还应该采取必要的响应行为,如拒绝接受所有来自某台计算机的数据、追踪入侵行为等。

三、神经系统网络在入侵检测系统中的应用

目前计算机入侵的现状是入侵的数量日益增长、入侵个体的入侵手段和目标系统多种多样,因此要确切的描述入侵特征非常困难,入侵规则库和模式库的更新要求难以得到满足,这就要求入侵检测应该具有相当大的智能性和灵活性,这是多项人工智能技术被相继应用到入侵检测中的原因。

1.传统入侵检测中存在的问题。我们先来分析一下传统IDS存在的问题。传统IDS产品大多都是基于规则的,而这一传统的检测技术有一些难以逾越的障碍:

(1)在基于规则的入侵检测系统中,所有的规则可理解为“IF一THEN”形式,也就是说,这一规则表述的是一种严格的线性关系,缺乏灵活性和适应性,当网络数据出现信息不完整、变形失真或攻击方法变化时,这种检测方法将失效,因此引起较高的误警率和漏报率。

(2)随着攻击类型的多样化,必然导致规则库中的规则不断增多,当这些规则增加到一定程度,会引起系统检测效率的显著降低,在流量较高时,可造成丢包等现象。此外,攻击方法的不断发展,使得传统的入侵检测系统无法有效地预测和识别新的攻击方法,使系统的适应性受到限制。

(3)传统的用来描述用户行为特征的度量一般是凭感觉和经验的,这些度量是否能有效地描述用户行为很难估计。有些度量当考虑所有用户可能是无效的,但当考虑某些特别的用户时,可能又非常有用。

2.神经网络在入侵检测中的应用

作为人工智能(AD)的一个重要分支,神经网络在入侵检测领域得到了很好的应用。神经网络技术在入侵检测系统中用来构造分类器,主要用于资料特征的分析,以发现是否为一种入侵行为。如果是一种入侵行为,系统将与已知入侵行为的特征进行比较,判断是否为一种新的攻击行为,从而决定是进行丢弃还是进行存盘、报警、发送资料特征等工作。神经网络在入侵检测中的具体实现方法一般有两种:

(1)系统或模式匹配系统合并在一起

这种方法不是像以前一样在异常检测中用神经网络代替现有的统计分析部分,而是用神经网络来过滤出数据当中的可疑事件,并把这些事件转交给专家系统处理。这种结构可以通过减少专家系统的误报来提高检测系统的效用。因为神经网络将确定某一特别事件具有攻击迹象的概率,我们就可以确定一个闽值来决定事件是否转交给专家系统作进一步分析,这样一来,由于专家系统只接收可疑事件的数据,它的灵敏度就会大大增加(通常,专家系统以牺牲灵敏度来减少误报率)。这种结构对那些投资专家系统技术的机构大有好处,因为它提高了系统的效用,同时还保护了在现有IDS上的投资。

(2)网络作为一个独立的特征检测系统

在这个结构中,神经网络从网络流中接受数据,并对数据进行分析。任何被识别为带有攻击迹象的事件都将被转交给安全管理员或自动入侵应答系统来处理。这种方法在速度方面超过了以前的方法,因为它只有一个单独的分析层。另外,随着神经网络对攻击特征的学习,这种结构的效用也会不断提高,它不同于第一种方法,不会受专家系统分析能力的限制,而最终将超越专家系统基于规则的种种限制。

入侵检测论文篇(2)

关键词:网络安全;入侵检测;数据包捕获;PIDS

1.1网络安全概述

1.1.1网络安全问题的产生

可以从不同角度对网络安全作出不同的解释。一般意义上,网络安全是指信息安全和控制安全两部分。国际标准化组织把信息安全定义为“信息的完整性、可用性、保密性和可靠性”;控制安全则指身份认证、不可否认性、授权和访问控制。

互联网与生俱有的开放性、交互性和分散性特征使人类所憧憬的信息共享、开放、灵活和快速等需求得到满足。网络环境为信息共享、信息交流、信息服务创造了理想空间,网络技术的迅速发展和广泛应用,为人类社会的进步提供了巨大推动力。然而,正是由于互联网的上述特性,产生了许多安全问题:

(1)信息泄漏、信息污染、信息不易受控。例如,资源未授权侵用、未授权信息流出现、系统拒绝信息流和系统否认等,这些都是信息安全的技术难点。

(2)在网络环境中,一些组织或个人出于某种特殊目的,进行信息泄密、信息破坏、信息侵权和意识形态的信息渗透,甚至通过网络进行政治颠覆等活动,使国家利益、社会公共利益和各类主体的合法权益受到威胁。

(3)网络运用的趋势是全社会广泛参与,随之而来的是控制权分散的管理问题。由于人们利益、目标、价值的分歧,使信息资源的保护和管理出现脱节和真空,从而使信息安全问题变得广泛而复杂。

(4)随着社会重要基础设施的高度信息化,社会的“命脉”和核心控制系统有可能面临更大的威胁。

1.1.2网络信息系统面临的安全威胁

目前网络信息系统面临的安全威胁主要有:

(1)非法使用服务:这种攻击的目的在于非法利用网络的能力,网络上的非授权访问应该是不可能的。不幸的是,用于在网络上共享资源及信息的工具、程序存在许多安全漏洞,而利用了这些漏洞就可以对系统进行访问了。

(2)身份冒充;这种攻击的着眼点在于网络中的信任关系,主要有地址伪装IP欺骗和用户名假冒。

(3)数据窃取:指所保护的重要数据被非法用户所获取,如入侵者利用电磁波辐射或搭线窃听等方式截获用户口令、帐号等重要敏感信息。

(4)破坏数据完整性:指通过非法手段窃得系统一定使用权限,并删除、修改、伪造某些重要信息,以干扰用户的正常使用或便于入侵者的进一步攻击。

1.1.3对网络个人主机的攻击

入侵检测论文篇(3)

入侵检测作为一种主动防御技术,弥补了传统安全技术的不足。其主要通过监控网络与系统的状态、用户行为以及系统的使用情况,来检测系统用户的越权使用以及入侵者利用安全缺陷对系统进行入侵的企图,并对入侵采取相应的措施。

一、入侵检测系统概述

入侵检测系统(IntrusionDetectionSystem,简称IDS)可以认为是进行入侵检测过程时所需要配置的各种软件和硬件的组合。对一个成功的入侵检测系统来讲,它不但可使系统管理员时刻了解计算机网络系统(包括程序、文件和硬件设备等)的任何变更,还能给网络安全策略的制订提供指南。更为重要的一点是,对它的管理和配置应该更简单,从而使非专业人员能非常容易地进行操作。而且,入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后,会及时做出响应,包括切断网络连接、记录事件和报警等。

二、入侵检测系统的功能

1.检测入侵。检测入侵行为是入侵检测系统的核心功能,主要包括两个方面:一方面是对进出主机或者网络的数据进行监控,检查是否存在对系统的异常行为;另一方面是检查系统关键数据和文件的完整性,看系统是否己经遭到入侵行为。前者的作用是在入侵行为发生时及时发现,使系统免受攻击;后者一般是在系统遭到入侵时没能及时发现和阻止,攻击的行为已经发生,但可以通过攻击行为留下的痕迹了解攻击行为的一些情况,从而避免再次遭受攻击。对系统资源完整性的检查也有利于我们对攻击者进行追踪,对攻击行为进行取证。

2.抗欺骗。入侵检测系统要识别入侵者,入侵者就会想方设法逃避检测。逃避检测的方法很多,总结起来可分为误报和漏报两大类。一种使入侵检测系统误报的实现形式,是快速告普信息的产生让系统无法反应以致死机,这其实是通用的网络攻击方式一拒绝服务攻击在入侵检测系统上的体现。与误报相比,漏报更具危险性,即躲过系统的检测,使系统对某些攻击方式失效。入侵检测系统无法统一漏报和误报的矛盾,目前的入侵检测产品一般会在两者间进行折衷,并且进行调整以适应不同的应用环境。

3.记录、报警和响应。入侵检测系统在检测到攻击后,应该采取相应的措施来阻止攻击或者响应攻击。作为一种主动防御策略,它必然应该具备此功能。入侵检测系统首先应该记录攻击的基本情况,其次应该能够及时发出报警。好的入侵检测系统,不仅应该把相关数据记录在文件或数据库中,还应该提供好的报表打印功能。必要时,系统还应该采取必要的响应行为,如拒绝接受所有来自某台计算机的数据、追踪入侵行为等。

三、神经系统网络在入侵检测系统中的应用

目前计算机入侵的现状是入侵的数量日益增长、入侵个体的入侵手段和目标系统多种多样,因此要确切的描述入侵特征非常困难,入侵规则库和模式库的更新要求难以得到满足,这就要求入侵检测应该具有相当大的智能性和灵活性,这是多项人工智能技术被相继应用到入侵检测中的原因。

1.传统入侵检测中存在的问题。我们先来分析一下传统IDS存在的问题。传统IDS产品大多都是基于规则的,而这一传统的检测技术有一些难以逾越的障碍:

(1)在基于规则的入侵检测系统中,所有的规则可理解为“IF一THEN”形式,也就是说,这一规则表述的是一种严格的线性关系,缺乏灵活性和适应性,当网络数据出现信息不完整、变形失真或攻击方法变化时,这种检测方法将失效,因此引起较高的误警率和漏报率。

(2)随着攻击类型的多样化,必然导致规则库中的规则不断增多,当这些规则增加到一定程度,会引起系统检测效率的显著降低,在流量较高时,可造成丢包等现象。此外,攻击方法的不断发展,使得传统的入侵检测系统无法有效地预测和识别新的攻击方法,使系统的适应性受到限制。

(3)传统的用来描述用户行为特征的度量一般是凭感觉和经验的,这些度量是否能有效地描述用户行为很难估计。有些度量当考虑所有用户可能是无效的,但当考虑某些特别的用户时,可能又非常有用。

2.神经网络在入侵检测中的应用

作为人工智能(AD)的一个重要分支,神经网络在入侵检测领域得到了很好的应用。神经网络技术在入侵检测系统中用来构造分类器,主要用于资料特征的分析,以发现是否为一种入侵行为。如果是一种入侵行为,系统将与已知入侵行为的特征进行比较,判断是否为一种新的攻击行为,从而决定是进行丢弃还是进行存盘、报警、发送资料特征等工作。神经网络在入侵检测中的具体实现方法一般有两种:

(1)系统或模式匹配系统合并在一起

这种方法不是像以前一样在异常检测中用神经网络代替现有的统计分析部分,而是用神经网络来过滤出数据当中的可疑事件,并把这些事件转交给专家系统处理。这种结构可以通过减少专家系统的误报来提高检测系统的效用。因为神经网络将确定某一特别事件具有攻击迹象的概率,我们就可以确定一个闽值来决定事件是否转交给专家系统作进一步分析,这样一来,由于专家系统只接收可疑事件的数据,它的灵敏度就会大大增加(通常,专家系统以牺牲灵敏度来减少误报率)。这种结构对那些投资专家系统技术的机构大有好处,因为它提高了系统的效用,同时还保护了在现有IDS上的投资。

(2)网络作为一个独立的特征检测系统

在这个结构中,神经网络从网络流中接受数据,并对数据进行分析。任何被识别为带有攻击迹象的事件都将被转交给安全管理员或自动入侵应答系统来处理。这种方法在速度方面超过了以前的方法,因为它只有一个单独的分析层。另外,随着神经网络对攻击特征的学习,这种结构的效用也会不断提高,它不同于第一种方法,不会受专家系统分析能力的限制,而最终将超越专家系统基于规则的种种限制。

入侵检测论文篇(4)

1 校园网络安全现状

随着网络应用的普及,电子商务!电子银行和电子政务等网络服务的大力发展,网络在人们日常生活中的应用越来越多重要性越来越大,网络攻击也越来越严重。有一些人专门利用他们掌握的信息技术知识从事破坏活动,入侵他人计算机系统窃取!修改和破坏重要信息,给社会造成了巨大的损。随着攻击手段的变化,传统的以身份验证、加密、防火墙为主的静态安全防护体系已经越来越难以适应日益变化的网络环境,尤其是授权用户的滥用权利行为,几乎只有审计才能发现园网是国内最大的网络实体,如何保证校园网络系统的安全,是摆在我们面前的最重要问题。

因此,校园网对入侵检测系统也有着特别的需求校园网的特点是在线用户比率高、上网时间长、用户流量大、对服务器访问量大,这种情况下,校园网络面临着许多安全方面的威胁:

(1)黑客攻击,特别是假冒源地址的拒绝服务攻击屡有发生攻击者通过一些简单的攻击工具,就可以制造危害严重的网络洪流,耗尽网络资源或使主机系统资源遭到攻击同时,攻击者常常借助伪造源地址的方法,使网络管理员对这种攻击无可奈何。

(2)病毒和蠕虫,在高速大容量的局域网络中,各种病毒和蠕虫,不论新旧都很容易通过有漏洞的系统迅速传播扩散"其中,特别是新出现的网络蠕虫,常常可以在爆发初期的几个小时内就闪电般席卷全校,造成网络阻塞甚至瘫痪。

(3)滥用网络资源,在校园网中总会出现滥用带宽等资源以致影响其他用户甚至整个网络正常使用的行为如各种扫描、广播、访问量过大的视频下载服务等等。入侵检测系统(IntrusionDeteetionSystem,IDS)的出现使得我们可以主动实时地全面防范网络攻击N工DS指从网络系统的若干节点中搜集信息并进行分析,从而发现网络系统中是否有违反安全策略的行为,并做出适当的响应"它既能检测出非授权使用计算机的用户,也能检测出授权用户的滥用行为。

IDS按照功能大致可划分为主机入侵检测(HostIDS,HIDS)网络入侵检测(NetworkIDS,NIDS)分布式入侵检测(DistributedIDS,DIDS)其中,网络入侵检测的特点是成本低,实时地检测和分析,而且可以检测到未成功的攻击企图"从分析方法的角度可分为异常检测(Anomaly DeteCtion)和误用检测(MISuseDeteCtion)其中误用检测是指定义一系列规则,符合规则的被认为是入侵其优点是误报率低、开销小、效率高Snort作为IDS的经典代表,是基于网络和误用检测的入侵检测系统入侵检测技术自20世纪80年代早起提出以来,在早期的入侵检测系统中,大多数是基于主机的,但是在过去的10年间基于网络的入侵检测系统占有主要地位,现在和未来的发展主流将是混合型和分布式形式的入侵检测系统。

2 入侵检测研究现状

国外机构早在20世纪80年代就开展了相关基础理论研究工作。经过20多年的不断发展,从最初的一种有价值的研究想法和单纯的理论模型,迅速发展出种类繁多的各种实际原型系统,并且在近10年内涌现出许多商用入侵检测系统,成为计算机安全防护领域内不可缺少的一种安全防护技术。Anderson在1980年的报告“Computer Seeurity Threat Monitoring and Surveillance”中,提出必须改变现有的系统审计机制,以便为专职系统安全人员提供安全信息,此文被认为是有关入侵检测的最早论述;1984一1986年,Dorothy E.Denning和Peter G.Neumann联合开发了一个实时IDES(Intrusion DeteCtion Expert System),IDES采用统计分析,异常检测和专家系统的混合结构,Delming1986年的论文“An Intrusion Deteetion Modelo”,被公认为是入侵检测领域的另一开山之作"。1987年,Dorothy Denning发表的经典论文AnIntursion Deteetion Modelo中提出了入侵检测的基本模型,并提出了几种可用于入侵检测的统计分析模型。Dnening的论文正式启动了入侵检测领域的研究工作,在发展的早期阶段,入侵检测还仅仅是个有趣的研究领域,还没有获得计算机用户的足够注意,因为,当时的流行做法是将计算机安全的大部分预算投入到预防性的措施上,如:加密、身份验证和访问控制等方面,而将检测和响应等排斥在外。到了1996年后,才逐步出现了大量的商用入侵检测系统。从20世纪90年代到现在,入侵检测系统的研发呈现出百家争鸣的繁荣局面,并在智能化和分布式两个方向取得了长足的进展。其中一种主要的异常检测技术是神经网络技术,此外,如基于贝叶斯网络的异常检测方法,基于模式预测的异常检测方法,基于数据挖掘的异常检测方法以及基于计算机免疫学的检测方法也相继出现,对于误用入侵检测也有多种检测方法,如专家系统(expert system),特征分析(Signature analysis),状态转移分析(State transition analysis)等.

入侵检测系统的典型代表是ISSInc(国际互联网安全系统公司)Rea1Secure产品。较为著名的商用入侵检测产品还有:NAJ公司的CyberCoPMoitor、Axent公司的Netprowler、CISCO公司的Netranger、CA公司的SeSSionwall-3等。目前,普渡大学、加州大学戴维斯分校、洛斯阿拉莫斯国家实验室、哥伦比亚大学、新墨西哥大学等机构在这些方面的研究代表了当前的最高水平。随着计算机系统软、硬件的飞速发展,以及网络技术、分布式计算!系统工程!人工智能等计算机新兴技术与理论的不断发展与完善,入侵检测理论本身也处于发展变化中,但还未形成一个比较完整的理论体系。

在国内,随着上网的关键部门、关键业务越来越多,更需要具有自主版权的入侵检测产品。我国在这方面的研究相对晚,国内的该类产品较少,但发展较快,己有总参北方所、中科网威、启明星辰,H3C等公司推出产品。至今日入侵检测技术仍然改变了以往被动防御的特点,使网络管理员能够主动地实时跟踪各种危害系统安全的入侵行为并做出及时的响应,尤其在抵御网络内部人员的破坏时更有独到的特点,因而成为了防火墙之后的又一道安全防线。

随着互联网的进一步普及和深入,入侵检测技术有着更广泛的发展前途和实际价值。尽管问题尚存,但希望更大,相信目前正在研究的大规模分布式入侵检测系统、基于多传感器的数据融合、基于计算机免疫技术、基于神经网络及基于遗传算法等的新一代入侵检测系统一定能够解决目前面临到种种问题,更好地完成抵御入侵的任务。

3 未来和展望

随着网络规模和复杂程度的不断增长,如何在校园网多校区乃至异构网络环境下收集和处理分布在网络各处的不同格式信息!如何进行管理域间的合作以及保证在局部入侵检测失效的情况下维持系统整体安全等"同时,伴随着大量诸如高速/超高速接入手段的出现,如何实现高速/超高速网络下的实时入侵检测。降低丢包率也成为一个现实的问题,面对G级的网络数据流量,传统的软件结构和算法都需要重新设计;开发和设计适当的专用硬件也成为研究方向之一"时至今日,入侵检测系统的评估测试方面仍然不成熟,如何对入侵检测系统进行评估是一个重要而敏感的话题。

参考文献

入侵检测论文篇(5)

 

随着计算机技术以及网络信息技术的高速发展, 许多部门都利用互联网建立了自己的信息系统, 以充分利用各类信息资源。但在连接信息能力、流通能力提高的同时,基于网络连接的安全问题也日益突出。在现今的网络安全技术中,常用的口令证、防火墙、安全审计及及加密技术等等,都属于静态防御技术,而系统面临的安全威胁越来越多,新的攻击手段也层出不穷,仅仅依靠初步的防御技术是远远不够的,需要采取有效的手段对整个系统进行主动监控。入侵检测系统是近年来网络安全领域的热门技术,是保障计算机及网络安全的有力措施之一。

1 入侵检测和入侵检测系统基本概念

入侵检测(Intrusion Detection)是动态的跟踪和检测方法的简称, 是对入侵行为的发觉,它通过旁路侦听的方式,对计算机网络和计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。

入侵检测的软件和硬件组成了入侵检测系统(IDS:Intrusion Detection System),IDS是继防火墙之后的第二道安全闸门,它在不影响网络性能的情况下依照一定的安全策略,对网络的运行状况进行监测。它能够帮助网络系统快速发现网络攻击的发生,对得到的数据进行分析,一旦发现入侵,及进做出响应,包括切断网络连接、记录或者报警等。由于入侵检测能在不影响网络性能的情况下对网络进行监测,为系统提供对内部攻击、外部攻击和误操作的有效保护。因此,为网络安全提供高效的入侵检测及相应的防护手段,它以探测与控制为技术本质,能弥补防火墙的不足,起着主动防御的作用,是网络安全中极其重要的部分。免费论文。

2 入侵检测系统的分类

入侵检测系统根据其检测数据来源分为两类:基于主机的入侵检测系统和基于网络的入侵检测系统。

基于主机的入侵检测系统的检测目标是主机系统和系统本地用户。其原理是根据主机的审计数据和系统日志发现可疑事件。该系统通常运行在被监测的主机或服务器上,实时检测主机安全性方面如操作系统日志、审核日志文件、应用程序日志文件等情况,其效果依赖于数据的准确性以及安全事件的定义。基于主机的入侵检测系统具有检测效率高,分析代价小,分析速度快的特点,能够迅速并准确地定位入侵者,并可以结合操作系统和应用程序的行为特征对入侵进行进一步分析、响应。基于主机的入侵检测系统只能检测单个主机系统。

基于网络的入侵检测系统搜集来自网络层的信息。这些信息通常通过嗅包技术,使用在混杂模式的网络接口获得。基于网络的入侵检测系统可以监视和检测网络层的攻击。它具有较强的数据提取能力。在数据提取的实时性、充分性、可靠性方面优于基于主机日志的入侵检测系统。基于网络的入侵检测系统可以对本网段的多个主机系统进行检测,多个分布于不同网段上的基于网络的入侵检测系统可以协同工作以提供更强的入侵检测能力。

3 入侵检测方法

入侵检测方法主要分为异常入侵检测和误用入侵检测。

异常入侵检测的主要前提条件是将入侵性活动作为异常活动的子集,理想状况是异常活动集与入侵性活动集等同,这样,若能检测所有的异常活动,则可检测所有的入侵活动。但是,入侵性活动并不总是与异常活动相符合。这种活动存在4种可能性:(1)入侵性而非异常;(2)非入侵性且异常;(3)非入侵性且非异常;(4)入侵且异常。异常入侵要解决的问题是构造异常活动集,并从中发现入侵性活动子集。异常入侵检测方法依赖于异常模型的建立。不同模型构成不同的检测方法,异常检测是通过观测到的一组测量值偏离度来预测用户行为的变化,然后作出决策判断的检测技术。

误用入侵检测是通过将预先设定的入侵模式与监控到的入侵发生情况进行模式匹配来检测。它假设能够精确地将入侵攻击按某种方式编码,并可以通过捕获入侵攻击将其重新分析整理,确认该入侵行为是否为基于对同一弱点进行入侵攻击方法的变种,入侵模式说明导致安全事件或误用事件的特征、条件、排列和关系。免费论文。根据匹配模式的构造和表达方式的不同,形成了不同的误用检测模型。误用检测模型能针对性地建立高效的入侵检测系统,检测精度高,误报率低,但它对未知的入侵活动或已知入侵活动的变异检测的性能较低。

4 入侵检测系统的评估

对于入侵检测系统的评估,主要的性能指标有:(1)可靠性,系统具有容错能力和可连续运行;(2)可用性,系统开销要最小,不会严重降低网络系统性能;(3)可测试,通过攻击可以检测系统运行;(4)适应性,对系统来说必须是易于开发的,可添加新的功能,能随时适应系统环境的改变;(5)实时性,系统能尽快地察觉入侵企图以便制止和限制破坏;(6)准确性,检测系统具有较低的误警率和漏警率;(7)安全性,检测系统必须难于被欺骗和能够保护自身安全。免费论文。

5 入侵检测的发展趋势

入侵检测作为一种积极主动的安全防护技术,提供了对攻击和误操作的实时保护,在网络系统受到危险之前拦截和响应入侵,但它存在的问题有:误报率和漏报率高、检测速度慢,对IDS自身的攻击,缺乏准确定位与处理机制、缺乏性能评价体系等。在目前的入侵检测技术研究中,其主要的发展方向可概括为:

(1)大规模分布式入侵检测

(2)宽带高速网络的实时入侵检测技术

(3)入侵检测的数据融合技术

(4)与网络安全技术相结合

6 结束语

随着计算机技术以及网络信息技术的高速发展,入侵检测技术已成为计算机安全策略中的核心技术之一。它作为一种积极主动的防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,为网络安全提供高效的入侵检测及相应的防护手段。入侵检测作为一个新的安全机制开始集成到网络系统安全框架中。

[参考文献]

[1]张杰,戴英侠.入侵检测系统技术现状及其发展趋势[J].计算机与通信,2002,96]:28-32.

[2]陈明.网络安全教程[M].北京:清华大学出版社,2004,1.

[3]罗守山.入侵检测[M].北京:北京邮电大学出版社,2004.

入侵检测论文篇(6)

 

随着计算机技术以及网络信息技术的高速发展, 许多部门都利用互联网建立了自己的信息系统, 以充分利用各类信息资源。但在连接信息能力、流通能力提高的同时,基于网络连接的安全问题也日益突出。在现今的网络安全技术中,常用的口令证、防火墙、安全审计及及加密技术等等,都属于静态防御技术,而系统面临的安全威胁越来越多,新的攻击手段也层出不穷,仅仅依靠初步的防御技术是远远不够的,需要采取有效的手段对整个系统进行主动监控。入侵检测系统是近年来网络安全领域的热门技术,是保障计算机及网络安全的有力措施之一。

1 入侵检测和入侵检测系统基本概念

入侵检测(Intrusion Detection)是动态的跟踪和检测方法的简称, 是对入侵行为的发觉,它通过旁路侦听的方式,对计算机网络和计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。

入侵检测的软件和硬件组成了入侵检测系统(IDS:Intrusion Detection System),IDS是继防火墙之后的第二道安全闸门,它在不影响网络性能的情况下依照一定的安全策略,对网络的运行状况进行监测。它能够帮助网络系统快速发现网络攻击的发生,对得到的数据进行分析,一旦发现入侵,及进做出响应,包括切断网络连接、记录或者报警等。由于入侵检测能在不影响网络性能的情况下对网络进行监测,为系统提供对内部攻击、外部攻击和误操作的有效保护。因此,为网络安全提供高效的入侵检测及相应的防护手段,它以探测与控制为技术本质,能弥补防火墙的不足,起着主动防御的作用,是网络安全中极其重要的部分。免费论文。

2 入侵检测系统的分类

入侵检测系统根据其检测数据来源分为两类:基于主机的入侵检测系统和基于网络的入侵检测系统。

基于主机的入侵检测系统的检测目标是主机系统和系统本地用户。其原理是根据主机的审计数据和系统日志发现可疑事件。该系统通常运行在被监测的主机或服务器上,实时检测主机安全性方面如操作系统日志、审核日志文件、应用程序日志文件等情况,其效果依赖于数据的准确性以及安全事件的定义。基于主机的入侵检测系统具有检测效率高,分析代价小,分析速度快的特点,能够迅速并准确地定位入侵者,并可以结合操作系统和应用程序的行为特征对入侵进行进一步分析、响应。基于主机的入侵检测系统只能检测单个主机系统。

基于网络的入侵检测系统搜集来自网络层的信息。这些信息通常通过嗅包技术,使用在混杂模式的网络接口获得。基于网络的入侵检测系统可以监视和检测网络层的攻击。它具有较强的数据提取能力。在数据提取的实时性、充分性、可靠性方面优于基于主机日志的入侵检测系统。基于网络的入侵检测系统可以对本网段的多个主机系统进行检测,多个分布于不同网段上的基于网络的入侵检测系统可以协同工作以提供更强的入侵检测能力。

3 入侵检测方法

入侵检测方法主要分为异常入侵检测和误用入侵检测。

异常入侵检测的主要前提条件是将入侵性活动作为异常活动的子集,理想状况是异常活动集与入侵性活动集等同,这样,若能检测所有的异常活动,则可检测所有的入侵活动。但是,入侵性活动并不总是与异常活动相符合。这种活动存在4种可能性:(1)入侵性而非异常;(2)非入侵性且异常;(3)非入侵性且非异常;(4)入侵且异常。异常入侵要解决的问题是构造异常活动集,并从中发现入侵性活动子集。异常入侵检测方法依赖于异常模型的建立。不同模型构成不同的检测方法,异常检测是通过观测到的一组测量值偏离度来预测用户行为的变化,然后作出决策判断的检测技术。

误用入侵检测是通过将预先设定的入侵模式与监控到的入侵发生情况进行模式匹配来检测。它假设能够精确地将入侵攻击按某种方式编码,并可以通过捕获入侵攻击将其重新分析整理,确认该入侵行为是否为基于对同一弱点进行入侵攻击方法的变种,入侵模式说明导致安全事件或误用事件的特征、条件、排列和关系。免费论文。根据匹配模式的构造和表达方式的不同,形成了不同的误用检测模型。误用检测模型能针对性地建立高效的入侵检测系统,检测精度高,误报率低,但它对未知的入侵活动或已知入侵活动的变异检测的性能较低。

4 入侵检测系统的评估

对于入侵检测系统的评估,主要的性能指标有:(1)可靠性,系统具有容错能力和可连续运行;(2)可用性,系统开销要最小,不会严重降低网络系统性能;(3)可测试,通过攻击可以检测系统运行;(4)适应性,对系统来说必须是易于开发的,可添加新的功能,能随时适应系统环境的改变;(5)实时性,系统能尽快地察觉入侵企图以便制止和限制破坏;(6)准确性,检测系统具有较低的误警率和漏警率;(7)安全性,检测系统必须难于被欺骗和能够保护自身安全。免费论文。

5 入侵检测的发展趋势

入侵检测作为一种积极主动的安全防护技术,提供了对攻击和误操作的实时保护,在网络系统受到危险之前拦截和响应入侵,但它存在的问题有:误报率和漏报率高、检测速度慢,对IDS自身的攻击,缺乏准确定位与处理机制、缺乏性能评价体系等。在目前的入侵检测技术研究中,其主要的发展方向可概括为:

(1)大规模分布式入侵检测

(2)宽带高速网络的实时入侵检测技术

(3)入侵检测的数据融合技术

(4)与网络安全技术相结合

6 结束语

随着计算机技术以及网络信息技术的高速发展,入侵检测技术已成为计算机安全策略中的核心技术之一。它作为一种积极主动的防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,为网络安全提供高效的入侵检测及相应的防护手段。入侵检测作为一个新的安全机制开始集成到网络系统安全框架中。

[参考文献]

[1]张杰,戴英侠.入侵检测系统技术现状及其发展趋势[J].计算机与通信,2002,96]:28-32.

[2]陈明.网络安全教程[M].北京:清华大学出版社,2004,1.

[3]罗守山.入侵检测[M].北京:北京邮电大学出版社,2004.

入侵检测论文篇(7)

在网络技术日新月异的今天,写作论文基于网络的计算机应用已经成为发展的主流。政府、教育、商业、金融等机构纷纷联入Internet,全社会信息共享已逐步成为现实。然而,近年来,网上黑客的攻击活动正以每年10倍的速度增长。因此,保证计算机系统、网络系统以及整个信息基础设施的安全已经成为刻不容缓的重要课题。

1防火墙

目前防范网络攻击最常用的方法是构建防火墙。

防火墙作为一种边界安全的手段,在网络安全保护中起着重要作用。其主要功能是控制对网络的非法访问,通过监视、限制、更改通过网络的数据流,一方面尽可能屏蔽内部网的拓扑结构,另一方面对内屏蔽外部危险站点,以防范外对内的非法访问。然而,防火墙存在明显的局限性。

(1)入侵者可以找到防火墙背后可能敞开的后门。如同深宅大院的高大院墙不能挡住老鼠的偷袭一样,防火墙有时无法阻止入侵者的攻击。

(2)防火墙不能阻止来自内部的袭击。调查发现,50%的攻击都将来自于网络内部。

(3)由于性能的限制,防火墙通常不能提供实时的入侵检测能力。写作毕业论文而这一点,对于层出不穷的网络攻击技术来说是至关重要的。

因此,在Internet入口处部署防火墙系统是不能确保安全的。单纯的防火墙策略已经无法满足对安全高度敏感部门的需要,网络的防卫必须采用一种纵深的、多样化的手段。

由于传统防火墙存在缺陷,引发了入侵检测IDS(IntrusionDetectionSystem)的研究和开发。入侵检测是防火墙之后的第二道安全闸门,是对防火墙的合理补充,在不影响网络性能的情况下,通过对网络的监测,帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高信息安全基础结构的完整性,提供对内部攻击、外部攻击和误操作的实时保护。现在,入侵检测已经成为网络安全中一个重要的研究方向,在各种不同的网络环境中发挥重要作用。

2入侵检测

2.1入侵检测

入侵检测是通过从计算机网络系统中的若干关键点收集信息并对其进行分析,从中发现违反安全策略的行为和遭到攻击的迹象,并做出自动的响应。其主要功能是对用户和系统行为的监测与分析、系统配置和漏洞的审计检查、重要系统和数据文件的完整性评估、已知的攻击行为模式的识别、异常行为模式的统计分析、操作系统的审计跟踪管理及违反安全策略的用户行为的识别。入侵检测通过迅速地检测入侵,在可能造成系统损坏或数据丢失之前,识别并驱除入侵者,使系统迅速恢复正常工作,并且阻止入侵者进一步的行动。同时,收集有关入侵的技术资料,用于改进和增强系统抵抗入侵的能力。

入侵检测可分为基于主机型、基于网络型、基于型三类。从20世纪90年代至今,写作英语论文已经开发出一些入侵检测的产品,其中比较有代表性的产品有ISS(IntemetSecuritySystem)公司的Realsecure,NAI(NetworkAssociates,Inc)公司的Cybercop和Cisco公司的NetRanger。

2.2检测技术

入侵检测为网络安全提供实时检测及攻击行为检测,并采取相应的防护手段。例如,实时检测通过记录证据来进行跟踪、恢复、断开网络连接等控制;攻击行为检测注重于发现信息系统中可能已经通过身份检查的形迹可疑者,进一步加强信息系统的安全力度。入侵检测的步骤如下:

收集系统、网络、数据及用户活动的状态和行为的信息

入侵检测一般采用分布式结构,在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息,一方面扩大检测范围,另一方面通过多个采集点的信息的比较来判断是否存在可疑现象或发生入侵行为。

入侵检测所利用的信息一般来自以下4个方面:系统和网络日志文件、目录和文件中的不期望的改变、程序执行中的不期望行为、物理形式的入侵信息。

(2)根据收集到的信息进行分析

常用的分析方法有模式匹配、统计分析、完整性分析。模式匹配是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。

统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性。测量属性的平均值将被用来与网络、系统的行为进行比较。当观察值超出正常值范围时,就有可能发生入侵行为。该方法的难点是阈值的选择,阈值太小可能产生错误的入侵报告,阈值太大可能漏报一些入侵事件。

完整性分析主要关注某个文件或对象是否被更改,包括文件和目录的内容及属性。该方法能有效地防范特洛伊木马的攻击。

3分类及存在的问题

入侵检测通过对入侵和攻击行为的检测,查出系统的入侵者或合法用户对系统资源的滥用和误用。写作工作总结根据不同的检测方法,将入侵检测分为异常入侵检测(AnomalyDetection)和误用人侵检测(MisuseDetection)。

3.1异常检测

又称为基于行为的检测。其基本前提是:假定所有的入侵行为都是异常的。首先建立系统或用户的“正常”行为特征轮廓,通过比较当前的系统或用户的行为是否偏离正常的行为特征轮廓来判断是否发生了入侵。此方法不依赖于是否表现出具体行为来进行检测,是一种间接的方法。

常用的具体方法有:统计异常检测方法、基于特征选择异常检测方法、基于贝叶斯推理异常检测方法、基于贝叶斯网络异常检测方法、基于模式预测异常检测方法、基于神经网络异常检测方法、基于机器学习异常检测方法、基于数据采掘异常检测方法等。

采用异常检测的关键问题有如下两个方面:

(1)特征量的选择

在建立系统或用户的行为特征轮廓的正常模型时,选取的特征量既要能准确地体现系统或用户的行为特征,又能使模型最优化,即以最少的特征量就能涵盖系统或用户的行为特征。

(2)参考阈值的选定

由于异常检测是以正常的特征轮廓作为比较的参考基准,因此,参考阈值的选定是非常关键的。

阈值设定得过大,那漏警率会很高;阈值设定的过小,则虚警率就会提高。合适的参考阈值的选定是决定这一检测方法准确率的至关重要的因素。

由此可见,异常检测技术难点是“正常”行为特征轮廓的确定、特征量的选取、特征轮廓的更新。由于这几个因素的制约,异常检测的虚警率很高,但对于未知的入侵行为的检测非常有效。此外,由于需要实时地建立和更新系统或用户的特征轮廓,这样所需的计算量很大,对系统的处理性能要求很高。

3.2误用检测

又称为基于知识的检测。其基本前提是:假定所有可能的入侵行为都能被识别和表示。首先,写作留学生论文对已知的攻击方法进行攻击签名(攻击签名是指用一种特定的方式来表示已知的攻击模式)表示,然后根据已经定义好的攻击签名,通过判断这些攻击签名是否出现来判断入侵行为的发生与否。这种方法是依据是否出现攻击签名来判断入侵行为,是一种直接的方法。

常用的具体方法有:基于条件概率误用入侵检测方法、基于专家系统误用入侵检测方法、基于状态迁移分析误用入侵检测方法、基于键盘监控误用入侵检测方法、基于模型误用入侵检测方法。误用检测的关键问题是攻击签名的正确表示。

误用检测是根据攻击签名来判断入侵的,根据对已知的攻击方法的了解,用特定的模式语言来表示这种攻击,使得攻击签名能够准确地表示入侵行为及其所有可能的变种,同时又不会把非入侵行为包含进来。由于多数入侵行为是利用系统的漏洞和应用程序的缺陷,因此,通过分析攻击过程的特征、条件、排列以及事件间的关系,就可具体描述入侵行为的迹象。这些迹象不仅对分析已经发生的入侵行为有帮助,而且对即将发生的入侵也有预警作用。

误用检测将收集到的信息与已知的攻击签名模式库进行比较,从中发现违背安全策略的行为。由于只需要收集相关的数据,这样系统的负担明显减少。该方法类似于病毒检测系统,其检测的准确率和效率都比较高。但是它也存在一些缺点。

3.2.1不能检测未知的入侵行为

由于其检测机理是对已知的入侵方法进行模式提取,对于未知的入侵方法就不能进行有效的检测。也就是说漏警率比较高。

3.2.2与系统的相关性很强

对于不同实现机制的操作系统,由于攻击的方法不尽相同,很难定义出统一的模式库。另外,误用检测技术也难以检测出内部人员的入侵行为。

目前,由于误用检测技术比较成熟,多数的商业产品都主要是基于误用检测模型的。不过,为了增强检测功能,不少产品也加入了异常检测的方法。

4入侵检测的发展方向

随着信息系统对一个国家的社会生产与国民经济的影响越来越大,再加上网络攻击者的攻击工具与手法日趋复杂化,信息战已逐步被各个国家重视。近年来,入侵检测有如下几个主要发展方向:

4.1分布式入侵检测与通用入侵检测架构

传统的IDS一般局限于单一的主机或网络架构,对异构系统及大规模的网络的监测明显不足,再加上不同的IDS系统之间不能很好地协同工作。为解决这一问题,需要采用分布式入侵检测技术与通用入侵检测架构。

4.2应用层入侵检测

许多入侵的语义只有在应用层才能理解,然而目前的IDS仅能检测到诸如Web之类的通用协议,而不能处理LotusNotes、数据库系统等其他的应用系统。许多基于客户/服务器结构、中间件技术及对象技术的大型应用,也需要应用层的入侵检测保护。

4.3智能的入侵检测

入侵方法越来越多样化与综合化,尽管已经有智能体、神经网络与遗传算法在入侵检测领域应用研究,但是,这只是一些尝试性的研究工作,需要对智能化的IDS加以进一步的研究,以解决其自学习与自适应能力。

4.4入侵检测的评测方法

用户需对众多的IDS系统进行评价,评价指标包括IDS检测范围、系统资源占用、IDS自身的可靠性,从而设计出通用的入侵检测测试与评估方法与平台,实现对多种IDS的检测。

4.5全面的安全防御方案

结合安全工程风险管理的思想与方法来处理网络安全问题,将网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、防火墙、病毒防护、入侵检测多方位全面对所关注的网络作全面的评估,然后提出可行的全面解决方案。

综上所述,入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,使网络系统在受到危害之前即拦截和响应入侵行为,为网络安全增加一道屏障。随着入侵检测的研究与开发,并在实际应用中与其它网络管理软件相结合,使网络安全可以从立体纵深、多层次防御的角度出发,形成人侵检测、网络管理、网络监控三位一体化,从而更加有效地保护网络的安全。

参考文献

l吴新民.两种典型的入侵检测方法研究.计算机工程与应用,2002;38(10):181—183

2罗妍,李仲麟,陈宪.入侵检测系统模型的比较.计算机应用,2001;21(6):29~31

3李涣洲.网络安全与入侵检测技术.四川师范大学学报.2001;24(3):426—428

入侵检测论文篇(8)

1 入侵检测系统概述

1.1 入侵检测发展背景

在入侵检测之前,大量的安全机制都是基于主观的角度设计的,它们没有根据网络攻击的具体行为来决定安全对策。因此,它们对入侵行为的反应非常迟钝,很难发现未知的攻击行为,不能根据网络行为的变化来及时的调整系统的安全策略。而入侵检测正是根据网络行为而设计的,它不仅能够发现一致的入侵行为,而且有能力发现未知的入侵行为,并可以通过学习和分析入侵手段,及时地调整系统策略以加强系统的安全性。

1.2 入侵检测的概念与分类

1.2.1 入侵检测概念

当对不熟悉网络安全的人们解释入侵检测的时候,描述入侵检测系统通常是很容易的,入侵检测系统就是“计算机和网络防止小偷的情报系统”,或者说“入侵检测系统搜索闯入计算机系统的入侵者并及时报警”。然而我们用专业术语去描述为:通过对行为、安全日志、审计数据或者其他网络上可以获得的信息进行操作,检测到对系统的闯入或闯入企图”(参见国际GB/T18336)。入侵检测是检测盒响应计算机误用的学科,起作用包括威慑、检测、响应、损失情况评估、攻击预测和支持。

1.2.2 入侵检测系统分类

基于信息来源的不同,网络入侵检测系统可以分为网络基IDS与主机基IDS两类;基于监测分析方法的不同,网络入侵检测系统可以分为滥用检测IDS和异常检测IDS两类。

(1)网络基IDS与主机基IDS。网络基IDS和主机基IDS的优缺点如表1-1所示。

网络基ID以所截获的数据包流量信息作为检测分析信息来源,主机基IDS以用户针对主机的访问行为信息作为检测分析信息来源。攻击是一个过程,攻击行为通过用户的访问实现,因此在主机基与网络基入侵检测系统中,网络基一般主要起预警作用。

(2)滥用检测与异常检测。网络入侵检测系统检测分析技术可以分为滥用检测和异常检测两种,如表1-2所示。

2 基于关键字的入侵检测系统

2.1 基于关键字的入侵检测系统概述

比如说,网络上流行的涉黄搜索用语“你懂得”、“黄色网站”、“AV”等等。以及政治敏感词汇“”、“茉莉花革命”、“64”等等。还有一些涉及血腥暴力的词汇用语。都会潜移默化的影响网民,特别是青少年。因此,基于关键字的入侵检测系统开发具有重要的实用价值。

通俗的解释什么是关键字入侵就是:隐含有不健康意义的文字,代码等等,试图在网络上传播。那么我们的关键字入侵检测系统就是专门用来处处理这些不良信息的系统。

2.2 基于关键字的入侵检测系统原理分析

现行网络对抗中广泛应用OODA(观察,适应,决策,行动)包括适应性机制所必需的四个功能:感知、解析、决策和行动。网络入侵检测系统的运行实际上是在网络对抗环境下的适应性工作过程,那么在基于关键字的入侵检测系统开发中也可以遵循此过程进行分析,解构。

基于关键字的入侵检测过程我们可以简单的绘制一个框架图,如图2-1所示。

在网络端口收集到信息,经过目标检测系统,系统对接受的信息进行分析,一般采用模式匹配、统计分析和完整性分析等三种技术手段进行分析。在系统对信息进行分析后,对信息进行存储,并连接到关键字数据库,当在数据库里发现存储的应当处理的数据时,便产生响应,发生预警,并定位到相关数据。具体的响应可以设置为屏蔽、删除或者警告等。并直接反映到用户的操作界面。

2.3 基于关键字的入侵检测系统的设计

在网络活动中,我们获取信息都是通过向服务器发送信息,然后接受信息,那么在浏览过程中,都会留下浏览记录。那么这个浏览记录标记称为COOKIES。

Cookies是一种能够让网站服务器把少量数据储存到客户端的硬盘或内存,或是从客户端的硬盘读取数据的一种技术。Cookies是当你浏览某网站时,由Web服务器置于你硬盘上的一个非常小的文本文件,它可以记录你的用户ID、密码、浏览过的网页、停留的时间等信息。那么在用户端我们通过设置相应的关键字数据库,在对比数据库与网络置于硬盘上的文本内容后,建立连接到开发的ASP程序。便可以迅速做出响应。屏蔽,过滤掉文本中的关键字。

3 基于关键字的入侵检测系统的实现

ASP是Active Server Page的缩写,意为“动态服务器页面”。ASP是微软公司开发的代替CGI脚本的一种应用,它可以与数据库和其它程序进行交互,是一种简单、方便的编程工具。ASP的程序文件的格式是 .asp。在使用asp语言建立网站时,常常需要用数据库记录一些信息,如访客发表的留言、访客访问时间等。此时就需要用到asp连接数据库的代码连接数据库后便于进行数据添加删除等操作。

3.1 主要界面

(1)数据库模块。在建立数据库时,寻求到了一些关键字,是需要我们在网络环境中加以处理的。如图3-1。

(2)在通过微软的动态网页技术生成默认主页。如图3-2所示。

3.2 功能模块实现

(1)用记事本打开index.asp找到langxin=Request.Cookies(“langxin”) 将后面的Request.Cookies("langxin")修改为你网站的用户COOKIES。如图3-3所示。

(2)将所有文件上传到空间(注意别把自己的文件给覆盖了,最好建立一个文件夹),如图3-4。

(3)然后在后台建立一个连接到index.asp(也可以将index.asp为其他名称。)在文本与数据库中关键字比对时,发现匹配的非法关键字。将在网页上进行过滤。

4 结论

随着当前网络宽带和节点的激烈增长,入侵检测系统必须监控的原始资料也不断增长。这种情况产生了一个令人沮丧的收集和入侵检测系统组件服务。但我们的许多计算机科技工作者正致力于对入侵检测的研究。 本文主要介绍了基于关键字的入侵检测系统开发应用的背景、当前状况、原理、以及发展前景。从众多入侵检测技术中,选取了日常网络活动中接触最广泛的,也最涉及用户利益的关键字技术为切入点。探究保障用户网络信息安全、屏蔽网络不良信息、营造网上健康舆论氛围的新途径。

参考文献

[1]Charles P. Pfleeger, Shari Lawrence Pfleeger.信息安全原理与应用[M].电子工业出版社,2004.

[2]Eoghan Casey.数字证据与计算机犯罪[M].电子工业出版社,2004.

[3]胡昌振,网络入侵检测原理与技术[M].北京理工大学出版社,2010.

[4]蒋卫华.网络安全检测与协同控制技术[M].机械工业出版社,2008.

[5]Michael E. Whitman, Herbert J. Mattord.信息安全原理[M].清华大学出版社,2006.

入侵检测论文篇(9)

中图分类号:TP393.08 文献标识码:A文章编号:1007-9599 (2010) 09-0000-01

Research on Intrusion Detection Technology Based on Database

Zhang Jiang1,Tang Jing2

(1.Alashanmeng Party and Special Communication Bureau,Alashanmeng750306,China;2.,Alashanmeng Center Branch of The People’s Bank of China, Alashanmeng750306,China)

Abstract:In this papersome knowledge of intrusion detection,data mining,database security,intrusion tolerance are introduced.The database application security technology is posed aimed at the present threat of network.The core of this paper is database intrusion detection system,use intrusion tolerance technology proceed protect when the intrusion is inevitability,make the system continuing provide important serve when confront with attach and destroy.

Keywords:Database;Intrusion detection technology;Network Security

随着计算机技术和通信技术的迅速发展,计算机网络的安全也越来越成为人们关注的一个热点问题。所以数据库系统的安全变得越来越重要,己经成为保护计算机系统的第二道防线。用数据库系统提供的用户级审计功能来发现入侵是困难的,审计数据量很大。将入侵检测技术应用于数据库的保护,有效地发现对系统的异常访问,提供对系统的进一步保护。对数据库系统的入侵检测技术是新的研究领域。

一、入侵检测系统

入侵检测技术是计算机安全技术中的重要部分,保障计算机网络系统及整个信息基础设施的安全非常重要,它从计算机系统中的若干关键点收集信息,并分析这些信息,检测计算机系统中是否有违反安全策略的行为和遭到袭击的迹象,它甚至关系到国家的安全和社会的稳定。

二、数据库入侵检测系统模型

(一)数据库系统的安全

数据库系统的安全除依赖自身内部的安全机制外,数据库系统的安全框架可以划分为网络系统层次,宿主操作系统层次,数据库管理系统层次三个层次。

(二)侵检测应用于数据库

目前,针对应用及其后台数据库的应用级入侵已经变得越来越猖獗。所有这些入侵都有可能绕过前台安全系统并对数据来源发起攻击。

为了对付这类威胁,新一级别的安全脱颖而出,应用安全与网络和主机安全之间存在很大的区别。这就是应用安全是千差万别的,但攻击的目标总是相同的。因此好的应用IDS应当能够解析SQL,可以保护数以千计的预先包装或自行开发的Web应用,并且提供一种能够理解流量的内容,且又能与应用划清界线的客观保护层。管理员可以利用它来修改IDS设置,并实时监视事件并生成报告。应用入侵检测系统的工作原理如图1所示。

(三)数据库入侵检测模型

基于网络的入侵检测可以检测出普通的一些攻击,本文提出了一个基于数据挖掘的混合型入侵检测模型DBIDS,实现一些复杂的需要大量计算与分析的攻击检测,其核心是将基于主机和基于网络的入侵检测结合起来,而这正是基于主机的入侵检测的强项。通过网络入侵模块和主机入侵模块后,将这些看作是可疑行为,进行数据隔离,实现入侵容忍,当发生入侵时通过入侵容忍技术使数据库受到的损失尽量减小。模型流程图如图2。

三、数据库入侵检测系统的实现

针对传统入侵检测系统设计方面的上述不足,在线检测模块采用基于网络的入侵检测以及对SQL语句分析。从安全数据库系统入侵检测的角度出发,快速判断是否入侵。提出安全数据库入侵检测系统DBIDS,离线检测模块采用了基于主机的入侵检测,此系统其外层用基于网络的入侵检测,利用SQL Server的Profiler工具创建跟踪,采用入侵容忍技术实现数据库的健壮性。通过成异常检测模型,网络入侵检测部分提供早期警告,并利用此模型进行检测。入侵容忍模块采用入侵隔离技术,基于主机入侵检测部分可提供攻击成功与否的情况分析和确认,并结合数据库的备份和日志进行入侵数据库的恢复,采用序列模式。

四、结论

本文在数据库入侵检测系统的理论与实现方面进行了深入的研究,设计并实现了基于数据库挖掘的数据库入侵检测系统,采集数据库的审计数据。采用了典型的关联规则算法Apriori算法对用户的历史审计数据进行训练学习,主要是使用SQL Server的事件探查器进行数据的采集,生成异常检测模型;并利用它进行异常检测,并根据系统的要求进行了预处理。

参考文献:

[1]马恒太,蒋建春,陈伟锋,等.基于Agent的分布式入侵检侧系统模型.软件学报,2000 Vo1.11No.10P.1312-1319

入侵检测论文篇(10)

1 SVM技术及其特点分析

SVM即支持向量机,是一种以小样本学习、机器学习为主要研究对象的统计学习理论。在渐进理论下,对样本数量向无穷大渐进进行假设是结论特征成立的前提条件,这也是传统统计学的研究思路,但是若样本数量为有限,则这种研究方法则难以达到良好的学习效果。而SVM可有效解决这一问题,能够在有限样本下进行学习,具备完善的学习理论体系。SVM的学习思路是在空间中输入原始信息,借助核函数变换非线性,促使高维空间替代原始空间,进而获取最优线性分类。在这一过程中,高维空间求解并未增加算法难度,只需要对内积运算进行改进就能实现低维向高维的转换,且维数不会降低高维的推广能力。SVM的特点表现在以下方面:

(1)结构风险小,可在基于小样本学习的情况下,有效规避欠学习、过学习问题;

(2)SVM引入了核函数,相比较非线性分类器而言,在“维数灾难”方面具有良好的规避能力;

(3)SVM拥有最大化分类间隔思路,能够很好地区分支持向量。

2 基于SVM技术的入侵检测方式

在对基于SVM技术的入侵检测方式进行研究前,需要先对常见的入侵行为进行简要介绍。由于入侵检测主要是针对网络而言,所以对入侵行为的分析也是基于网络进行的。

2.1 入侵行为的常见类型

网络是一个复杂且庞大的系统,其中的攻击方式多种多样,可根据入侵行为的特点进行归类,比较常见的类型包括以下几种:

2.1.1 拒绝服务攻击

是指大量共享资源被一个用户所占据,而无法共享给其他用户的攻击方式,这种攻击方式能够构造出大量异常的数据包,严重时会造成主机运行瘫痪。

2.1.2 R2L攻击

是指利用网络服务程序、网络安全策略、密码设置等漏洞,通过发送数据包以非法获取访问权限的攻击方式。

2.1.3 U2R攻击

是指入侵者利用程序缓冲区的漏洞或软件安全缺陷获取计算机操作系统的用户权限或管理员权限的攻击方式。

2.1.4 探测与扫描攻击

是指通过扫描计算机网络以获取主体操作系统相关数据、IP地址以及安全防护漏洞的攻击方式。

上述入侵行为在网络数据流中的特点各异,如探测与扫描攻击会多次连接主机,并且均为短时间多频次连接;拒绝服务攻击会增加网络运行负载,充斥着大量数据包;R2L与U2R攻击会导致网络中存在异常数据流向,或扰乱磁盘的正常读写操作。

2.2 检测模块的设计

通过对入侵行为的了解,便于用SVM技术进行入侵检测,下面就具体的检测模块设计过程进行论述。基于SVM技术的入侵检测系统中主要的模块包括数据采集、数据处理、SVM训练、SVM检测,通过上述模块,可完成网络入侵检测。

2.2.1 数据采集模块

该模块通过采集、分析网络中的数据包,进而提取数据包中有用的信息,为网络入侵检测系统进行数据检测提供依据。由于网络数据包中可能存在着各类攻击信息,所以数据采集模块必须最大化地采集数据包,为满足这一要求,应为该模块配置相应的硬件与软件。在硬件方面配备网络适配器,网络适配器在混杂数据包的网络中能够有效截取网络中通讯信息;在软件方面采用网络数据嗅探器,如sniffer或Snort,借助于采集软件的功能,分析截取数据包信息,并提取可能性较大的攻击信息。

2.2.2 数据处理模块

该模块分为以下两个运行子模块:一是特征提取。通^量化处理复杂数据,并根据SVW的需求将这些数据转化为相应的输入特征矢量。由于数据采集模块中截取了多种多样的信息数据,这些信息数据的格式类型不尽相同,包括协议类型、文本格式、数值格式等,所以数据的量化处理必须借助于数值与文本数据的对应关系进行处理。在数据量化处理之后,可得到数值型的输入特征矢量,这些矢量的数值大小不一,不同数值的数据会相互干扰,严重影响到处理结果的可靠性,因此要对这些输入特征矢量进行归一化处理,确定影响因子的比重,使其满足SVW检测要求,保证计算结果的准确性。

2.2.3 SVW训练模块

该模块需设计出分类器,使分类器具备较强的检测能力,能够集中训练归一化处理后的数据。在数据训练中,要合理设置SVW参数,保证分类器的分类有效性,若归一化后的数据存在问题或SVW参数设置错乱,那么就会导致分类器出现错误判断。为了避免上述问题发生,可在训练模块中引入优化算法,进一步优化SVW参数,并在多种多样的数据中消除干扰项的影响,提取出具备关键特征属性的攻击数据,从而保证检测的准确性。

2.2.4 SVW检测模块

该模块通过训练模块提取攻击数据特征而获取分类器,检测出与预设类型存在一定关联性的特性属性。在检测模块运行中,矢量分发模块起到了重要作用,能够决定数据的分配。在归一化处理后的数据中,矢量分发模块可提取数据中的特征属性值,将这些属性值发送到各模块中。在此之后,由收集分析模块汇总处理检测结果,判断检测结果是否存在着攻击可能性,并且识别已知的攻击类型。在检测模块设计中,所有模块可同时运行,并行处理所有检测对象,这样一来不仅可以大幅度提升网络入侵检测系统的处理效率,而且还能够增强网络入侵检测系统的扩展能力。

3 结论

综上所述,由于计算机网络中存在着诸多的漏洞及弱点,从而给非法入侵提供了渠道,虽然各种安全防范措施的运用,使非法入侵行为得到了一定的控制,但攻击手段却在不断变化,这对入侵检测系统的实用性提出了挑战。SVM技术以其在侵检测方面所具有的各种优势,为入侵检测方式的优化提供了技术支撑,实践表明,通过该技术能够对多种入侵行为进行快速检测,由此确保了网络的安全性。

参考文献

[1]张得生,张飞.基于SVM和融合技术的入侵检测研究[J].科技通报,2013(05):96-98.

[2]朱文杰,王强,翟献军.基于信息熵的SVM入侵检测技术[J].计算机工程与科学,2013(06):124-126.

[3]曹丹星.基于数据降维和支持向量机的网络入侵检测[D].山东大学,2015.

[4]邬书跃.基于支持向量机和贝叶斯分析技术的入侵检测方法研究[D].中南大学,2012.

作者简介

赵颖(1984-),女,贵州省安顺市人。四川大学软件工程硕士,讲师。研究方向为计算机基础应用。

谌兰樱(1982-),女,贵州省安顺市人。贵州大学工程硕士,副教授。研究方向为计算机多媒体技术。

入侵检测论文篇(11)

在网络技术日新月异的今天,基于网络的计算机应用已经成为发展的主流。政府、教育、商业、金融等机构纷纷联入Internet,全社会信息共享已逐步成为现实。然而,近年来,网上黑客的攻击活动正以每年10倍的速度增长。因此,保证计算机系统、网络系统以及整个信息基础设施的安全已经成为刻不容缓的重要课题。

1 防火墙

目前防范网络攻击最常用的方法是构建防火墙。

防火墙作为一种边界安全的手段,在网络安全保护中起着重要作用。其主要功能是控制对网络的非法访问,通过监视、限制、更改通过网络的数据流,一方面尽可能屏蔽内部网的拓扑结构,另一方面对内屏蔽外部危险站点,以防范外对内的非法访问。然而,防火墙存在明显的局限性。

(1)入侵者可以找到防火墙背后可能敞开的后门。如同深宅大院的高大院墙不能挡住老鼠的偷袭一样,防火墙有时无法阻止入侵者的攻击。

(2)防火墙不能阻止来自内部的袭击。调查发现,50%的攻击都将来自于网络内部。

(3)由于性能的限制,防火墙通常不能提供实时的入侵检测能力。毕业论文 而这一点,对于层出不穷的网络攻击技术来说是至关重要的。

因此,在Internet入口处部署防火墙系统是不能确保安全的。单纯的防火墙策略已经无法满足对安全高度敏感部门的需要,网络的防卫必须采用一种纵深的、多样化的手段。

由于传统防火墙存在缺陷,引发了入侵检测IDS(Intrusion Detection System)的研究和开发。入侵检测是防火墙之后的第二道安全闸门,是对防火墙的合理补充,在不影响网络性能的情况下,通过对网络的监测,帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高信息安全基础结构的完整性,提供对内部攻击、外部攻击和误操作的实时保护。现在,入侵检测已经成为网络安全中一个重要的研究方向,在各种不同的网络环境中发挥重要作用。

2 入侵检测

2.1 入侵检测

入侵检测是通过从计算机网络系统中的若干关键点收集信息并对其进行分析,从中发现违反安全策略的行为和遭到攻击的迹象,并做出自动的响应。其主要功能是对用户和系统行为的监测与分析、系统配置和漏洞的审计检查、重要系统和数据文件的完整性评估、已知的攻击行为模式的识别、异常行为模式的统计分析、操作系统的审计跟踪管理及违反安全策略的用户行为的识别。入侵检测通过迅速地检测入侵,在可能造成系统损坏或数据丢失之前,识别并驱除入侵者,使系统迅速恢复正常工作,并且阻止入侵者进一步的行动。同时,收集有关入侵的技术资料,用于改进和增强系统抵抗入侵的能力。

入侵检测可分为基于主机型、基于网络型、基于型三类。从20世纪90年代至今,英语论文 已经开发出一些入侵检测的产品,其中比较有代表性的产品有ISS(Intemet Security System)公司的Realsecure,NAI(Network Associates,Inc)公司的Cybercop和Cisco公司的NetRanger。

2.2 检测技术

入侵检测为网络安全提供实时检测及攻击行为检测,并采取相应的防护手段。例如,实时检测通过记录证据来进行跟踪、恢复、断开网络连接等控制;攻击行为检测注重于发现信息系统中可能已经通过身份检查的形迹可疑者,进一步加强信息系统的安全力度。入侵检测的步骤如下:

收集系统、网络、数据及用户活动的状态和行为的信息

入侵检测一般采用分布式结构,在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息,一方面扩大检测范围,另一方面通过多个采集点的信息的比较来判断是否存在可疑现象或发生入侵行为。

入侵检测所利用的信息一般来自以下4个方面:系统和网络日志文件、目录和文件中的不期望的改变、程序执行中的不期望行为、物理形式的入侵信息。

(2)根据收集到的信息进行分析

常用的分析方法有模式匹配、统计分析、完整性分析。模式匹配是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较,从而发现违背安全策略的行为。

统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述,统计正常使用时的一些测量属性。测量属性的平均值将被用来与网络、系统的行为进行比较。当观察值超出正常值范围时,就有可能发生入侵行为。该方法的难点是阈值的选择,阈值太小可能产生错误的入侵报告,阈值太大可能漏报一些入侵事件。

完整性分析主要关注某个文件或对象是否被更改,包括文件和目录的内容及属性。该方法能有效地防范特洛伊木马的攻击。

3 分类及存在的问题

入侵检测通过对入侵和攻击行为的检测,查出系统的入侵者或合法用户对系统资源的滥用和误用。工作总结 根据不同的检测方法,将入侵检测分为异常入侵检测(Anomaly Detection)和误用人侵检测(Misuse Detection)。

3.1 异常检测

又称为基于行为的检测。其基本前提是:假定所有的入侵行为都是异常的。首先建立系统或用户的“正常”行为特征轮廓,通过比较当前的系统或用户的行为是否偏离正常的行为特征轮廓来判断是否发生了入侵。此方法不依赖于是否表现出具体行为来进行检测,是一种间接的方法。

常用的具体方法有:统计异常检测方法、基于特征选择异常检测方法、基于贝叶斯推理异常检测方法、基于贝叶斯网络异常检测方法、基于模式预测异常检测方法、基于神经网络异常检测方法、基于机器学习异常检测方法、基于数据采掘异常检测方法等。

采用异常检测的关键问题有如下两个方面:

(1)特征量的选择

在建立系统或用户的行为特征轮廓的正常模型时,选取的特征量既要能准确地体现系统或用户的行为特征,又能使模型最优化,即以最少的特征量就能涵盖系统或用户的行为特征。

(2)参考阈值的选定

由于异常检测是以正常的特征轮廓作为比较的参考基准,因此,参考阈值的选定是非常关键的。

阈值设定得过大,那漏警率会很高;阈值设定的过小,则虚警率就会提高。合适的参考阈值的选定是决定这一检测方法准确率的至关重要的因素。

由此可见,异常检测技术难点是“正常”行为特征轮廓的确定、特征量的选取、特征轮廓的更新。由于这几个因素的制约,异常检测的虚警率很高,但对于未知的入侵行为的检测非常有效。此外,由于需要实时地建立和更新系统或用户的特征轮廓,这样所需的计算量很大,对系统的处理性能要求很高。

3.2 误用检测

又称为基于知识的检测。其基本前提是:假定所有可能的入侵行为都能被识别和表示。首先,留学生论文 对已知的攻击方法进行攻击签名(攻击签名是指用一种特定的方式来表示已知的攻击模式)表示,然后根据已经定义好的攻击签名,通过判断这些攻击签名是否出现来判断入侵行为的发生与否。这种方法是依据是否出现攻击签名来判断入侵行为,是一种直接的方法。

常用的具体方法有:基于条件概率误用入侵检测方法、基于专家系统误用入侵检测方法、基于状态迁移分析误用入侵检测方法、基于键盘监控误用入侵检测方法、基于模型误用入侵检测方法。误用检测的关键问题是攻击签名的正确表示。

误用检测是根据攻击签名来判断入侵的,根据对已知的攻击方法的了解,用特定的模式语言来表示这种攻击,使得攻击签名能够准确地表示入侵行为及其所有可能的变种,同时又不会把非入侵行为包含进来。由于多数入侵行为是利用系统的漏洞和应用程序的缺陷,因此,通过分析攻击过程的特征、条件、排列以及事件间的关系,就可具体描述入侵行为的迹象。这些迹象不仅对分析已经发生的入侵行为有帮助,而且对即将发生的入侵也有预警作用。

误用检测将收集到的信息与已知的攻击签名模式库进行比较,从中发现违背安全策略的行为。由于只需要收集相关的数据,这样系统的负担明显减少。该方法类似于病毒检测系统,其检测的准确率和效率都比较高。但是它也存在一些缺点。

3.2.1 不能检测未知的入侵行为

由于其检测机理是对已知的入侵方法进行模式提取,对于未知的入侵方法就不能进行有效的检测。也就是说漏警率比较高。

3.2.2 与系统的相关性很强

对于不同实现机制的操作系统,由于攻击的方法不尽相同,很难定义出统一的模式库。另外,误用检测技术也难以检测出内部人员的入侵行为。

目前,由于误用检测技术比较成熟,多数的商业产品都主要是基于误用检测模型的。不过,为了增强检测功能,不少产品也加入了异常检测的方法。

4 入侵检测的发展方向

随着信息系统对一个国家的社会生产与国民经济的影响越来越大,再加上网络攻击者的攻击工具与手法日趋复杂化,信息战已逐步被各个国家重视。近年来,入侵检测有如下几个主要发展方向:

4.1 分布式入侵检测与通用入侵检测架构

传统的IDS一般局限于单一的主机或网络架构,对异构系统及大规模的网络的监测明显不足,再加上不同的IDS系统之间不能很好地协同工作。为解决这一问题,需要采用分布式入侵检测技术与通用入侵检测架构。

4.2应用层入侵检测

许多入侵的语义只有在应用层才能理解,然而目前的IDS仅能检测到诸如Web之类的通用协议,而不能处理Lotus Notes、数据库系统等其他的应用系统。许多基于客户/服务器结构、中间件技术及对象技术的大型应用,也需要应用层的入侵检测保护。

4.3 智能的入侵检测

入侵方法越来越多样化与综合化,尽管已经有智能体、神经网络与遗传算法在入侵检测领域应用研究,但是,这只是一些尝试性的研究工作,需要对智能化的IDS加以进一步的研究,以解决其自学习与自适应能力。

4.4 入侵检测的评测方法

用户需对众多的IDS系统进行评价,评价指标包括IDS检测范围、系统资源占用、IDS自身的可靠性,从而设计出通用的入侵检测测试与评估方法与平台,实现对多种IDS的检测。

4.5 全面的安全防御方案

结合安全工程风险管理的思想与方法来处理网络安全问题,将网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、防火墙、病毒防护、入侵检测多方位全面对所关注的网络作全面的评估,然后提出可行的全面解决方案。

综上所述,入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,使网络系统在受到危害之前即拦截和响应入侵行为,为网络安全增加一道屏障。随着入侵检测的研究与开发,并在实际应用中与其它网络管理软件相结合,使网络安全可以从立体纵深、多层次防御的角度出发,形成人侵检测、网络管理、网络监控三位一体化,从而更加有效地保护网络的安全。

参考文献

l 吴新民.两种典型的入侵检测方法研究.计算机工程与应用,2002;38(10):181—183

2 罗妍,李仲麟,陈宪.入侵检测系统模型的比较.计算机应用,2001;21(6):29~31

3 李涣洲.网络安全与入侵检测技术.四川师范大学学报.2001;24(3):426—428

上一篇 农田水利工程论文 下一篇 文化功能论文
返回列表
推荐精选
推荐范文
相关期刊