基于網絡的入侵檢測精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的基于網絡的入侵檢測主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:基于網絡的入侵檢測范文
關鍵詞:入侵檢測;免疫原理;r連續位匹配;檢測集生成
中圖分類號:TP18文獻標識碼:A文章編號:1009-3044(2012)26-6348-03
Network Intrusion Detection Based on Immune Theory
WU Xiang1, HAN Liang2
(1.Naval Headquarters, Beijing 100841, China; 2.The East China Sea Fleet of Navy, Ningbo 315122, China)
Abstract: After analysis of the immune algorithm characteristics, the metaphor mechanism which is associated with the intrusion detection is extracted and studied in-depth. And then on the basis of artificial immune system, intrusion Detection system based on immune mechanism is built and the definition of system self and system non-self, immune matching rules set, and also the generation and life cycle of the immune detector are explained. Finally, the model is validated by the simulation experiments. The establishment of the immune intrusion detection system and the simulation work is the cornerstone of this research.
Key words: intrusion detection; immune theory; r contiguous bits matching; detector set generation
人體的免疫系統功能是通過大量不同類型的細胞之間的相互作用實現的[1-2]。在這些不同類型的細胞主要作用是區分“自體”和“非自體”。“自體”是指人體自身的細胞,而“非自體”是指病原體、毒性有機物和內源的突變細胞或衰老細胞。淋巴細胞能對“非自體”成分產生應答,以消除它們對機體的危害;但對“自體”成分,則不產生應答,以保持內環境動態穩定,維持機體健康。
可以看出入侵檢測系統和免疫系統具有一定程度的相似性。對于一個入侵檢測系統,特別是網絡入侵檢測系統,免疫系統的組成、結構、特征、免疫機理、算法等都為入侵檢測系統設計有著重要的借鑒意義。它們要解決的問題都可以被描述為:識別“自體”和“非自體”,并消除“非自體”。
1自體和非自體的定義
計算機安全的免疫系統保護的是計算機系統的數據文件,所以將“自體”定義為計算機中合法的數據,這些數據包括合法用戶、授權活動、原始源代碼、未被欺詐的數據等;將“非自體”定義為其它一切非法數據,這些數據包括自身遭受非法篡改的數據、病毒感染的數據以及外來數據等。
2免疫匹配規則
在計算機中,所有的數據都是以二進制來表示的,這就表明在進行仿真的過程中,使用免疫匹配規則的對象都應該是針對二進制字符串的,因此需要采用二進制的匹配算法。采用何種二進制字符串的匹配算法,這是一個十分關鍵的問題,因為只有采用了合適的匹配算法,才能有效的構造免疫檢測器集[4]。目前有很多的近似匹配算法,如r連續位的匹配算法、海明距離匹配算法等。r連續位匹配規則能更好地反映抗體綁定的真實提取,即能更真實地反映檢測器字符串與被檢測字符串的匹配情況,所以它比海明匹配規則更常用,因此文章采用r連續位的匹配算法。
r連續位的匹配規則可以描述如下:對于任意的兩個字符串x,y,如果兩個字符串x,y在相應位置上至少連續r位相同,那么這兩個字符串是r連續位匹配的,即Match(x,y)|r=true。例如,如果設定r=5,字符串x=“10111010”和字符串y=“11011010”,由于它們在相應位置4-8位上都為“11010”,因此這兩個字符串是匹配的。
在訓練階段,首先隨機生成候選檢測器集合,然后讓候選檢測器與自體集進行匹配,這個過程也叫陰性選擇過程。在匹配的過程中,那些與與自體集相匹配的候選檢測器就被丟棄,而不與自體集匹配的候選檢測器則作為成熟檢測器,存儲于檢測器集合中。
[1] Oscar A,Fabio A G, Fernando N,et al.Search and Optimization:A Solution Concept for Artificial Immune Networks: A Coevo? lutionary Perspective [C].Proceedings of 6th international conference on Artificial Immune systems,Brazil,2007:26-29.
[2] Hofmeyr, S, Forrest, S. Immunity by Design: An Artificial Immune System[C]//Proceedings of the 1999 Genetic and Evolution? ary Computation Conference,1999:1289-1296.
[3]楊進,劉曉潔,李濤,等.人工免疫中匹配算法研究[J].四川大學學報:工程科學版,2008,40(3):126-131.
[4]馬莉.基于免疫原理的網絡入侵檢測器生成算法的研究[D].南京:南京理工大學碩士論文, 2006.
[5]卿斯漢,蔣建春,馬恒太,等.入侵檢測技術研究綜述[J].通信學報,2004,25(7):19-29.
[6]焦李成,杜海峰,劉芳,等.免疫優化計算、學習與識別[M].北京:科學出版社, 2006.
[7] Dasgupta D,Gonzalez F.An Immunity-Based Technique to Characterize Intrusions in, Computer Networks [J].Special Issue on Artificial Immune Systems of the Journal IEEE Transactions on Evolutionary Comput- ation.2002,6(3):281-291.
第2篇:基于網絡的入侵檢測范文
【關鍵詞】 網絡運行 安全 入侵檢測技術
隨著計算機網絡運行安全問題的日益凸顯,入侵檢測技術作為一個新型的主動防御網絡攻擊安全技術成為保護網絡運行安全的重要措施之一。入侵檢測技術雖然利用傳統手段訪問者進行檢查,但是可以進一步擴展系統管理員的安全管理能力,提高網絡系統安全基礎結構的完整性,同時與防火墻合用還可彌補防火墻的缺陷,可共同抵御外網攻擊,保護網絡系統能夠正常運行。
一、入侵檢測技術基本概念
入侵檢測技術主要針對非法或者未授權情況下的入侵行為進行檢測,并對計算機網絡或者網絡系統中若干關鍵點的信息進行全面采集、分析,并對計算機系統、網絡系統中的違法安全策略行為或者被攻擊跡象進行全面檢查[1]。如果在一個計算機系統或者網絡系統中安裝了入侵檢測系統(IDS),便可對系統中某些特定范圍實現實時監控,當系統受到外網攻擊時可迅速檢測并作出響應。具體的入侵檢測/響應流程如圖1。
二、計算機網絡運行安全中入侵檢測技術應用策略
2.1 采集入侵信息策略
數據是入侵檢測技術發揮作用的重要因素之一,常規情況下檢測數據源主要涵蓋:系統、網絡日志、文件以及目錄中保密事項、執行程序中的限制操作行為、入侵物理形式信息等等。
在計算機網絡應用進程中,入侵檢測技術若需要采集所有相關信息,則需要在每個網段中部署一個以上的IDS,并根據對應的網絡結構特征運用多樣連接形式的數據采集方式;同時,可在交換機內部或者防火墻的數據流入口或者出口處設置入侵檢測系統,這樣便可以有效采集相應的關鍵核心數據。
若需要采集網絡系統中不同類別的關鍵信息,一方面需要根據檢測對象合理擴大檢測的范圍、設置截取網絡數據包;另一方面則需要對網絡系統中的薄弱環節進行重點分析。而對于整個計算機網絡系統而言,產生入侵行為相對較少,只需要建一個數據群進行集中處理即可,重點應加強對入侵行為的針對性分析能力。
2.2 分析、檢測入侵信息策略
在計算機網絡運行安全保護中,入侵檢測系統可對各類系統漏洞、網絡協議等進行全面分析,且在安全策略、原則基礎上利用自身的異常檢測、濫用檢測模型進行分析過程模擬,科學辨識異常或者明顯的攻擊行為,最終構建一個分析結果形成報警信息發送至管理控制中心。對于TCP/IP 協議網絡則運用探測引擎技術,利用旁路偵聽方式對流經網絡的所有數據包實現動態監測,并根據用戶設置的相關安全策略進行分析檢測,可有效辨識各類網絡安全事件,并將相關定位、報警信息發送至管理控制中心。
2.3 響應入侵信息策略
對于入侵報警信息,入侵檢測系統將采取積極的響應措施,主要操作包含:告警網絡引擎、告知管理控制平臺、給安全管理人員發生郵件、向控制中心通報實時對話情況,詳細記錄現場事件日志,并根據安全策略設置合理調整網絡配置,并終止不良入侵行為,對于部分特定用戶的相關程序仍然給予執行[2]。同時,在防御外網攻擊中還可以結合防火墻的優勢,構建一個協調模型以及網絡完全防御體系。當計算機網絡正常運行時,防火墻的過濾機制可對流經的數據包進行對比,對非授信數據包采取過濾處理,而對于繞過防火墻的數據包則可以利用入侵檢測技術及時對網絡攻擊行為進行檢測并迅速作出響應,從而實現有效防御各類網絡攻擊行為。
三、結語
計算機網絡運行安全防范屬于是一個整體的系統行為,其涉及多個層次的多項防御策略、技術,雖然入侵檢測技術作為現代計算機網絡安全的防御體系中一個重要的組成部分,但是其主要功能在于發現計算機網絡運行中的安全問題。因此,在計算機網絡運行安全保護中,入侵檢測技術仍然需要聯合其他安全技術,相互配合、協作,以此來增強自身的安全事件動態監測與響應能力,從而為企業提供一個更為安全的網絡運行環境。
參考文獻
第3篇:基于網絡的入侵檢測范文
關鍵詞:模糊神經Petri網;入侵檢測;神經網絡;知識學習
中圖分類號:TP393.08
隨著網絡在人們的日常生活中應用不斷增多,網絡入侵的風險性和機會也越來越多,網絡安全成為了人們無法回避的問題。入侵檢測技術已經成為一項非常重要的技術,得到越來越多的重視。目前,傳統的入侵檢測方法都是基于模式匹配的入侵檢測方法、基于統計分析的入侵檢測方法等,但它們都存在靈活性和適應性差[1,2],檢測效率不高,尤其是對未知的入侵行為檢測存在困難。
針對上述問題,作者提出基于模糊神經Petri網(fuzzyneuralPetrinets,FNPN)的網絡入侵檢測方法,將類似于神經網絡的學習功能引入FPN中。利用FNPN的并行推理能力解決傳統檢測方法靈活性和適應性差的問題,實驗結果表明,本方法具有更高的檢測準確率和更快的檢測速度。
1 基本概念
Petri網是對離散并行系統的數學表示。Petri網是1960年由Karl?A?Petri發明的,適合于描述異步的、并發的計算機系統模型。Petri網既有嚴格的數學表述方式,也有直觀的圖形表達方式,既有豐富的系統描述手段和系統行為分析技術,又為計算機科學提供堅實的概念基礎[3]。
2 基于FNPN的網絡入侵檢測方法
基于FNPN的入侵檢測原理如圖1所示:首先利用專家知識建立攻擊知識的初始FNPN模型,然后通過現實網絡環境采集含有入侵信息的數據,利用學習算法對知識模型的參數進行自動調整,以提高知識模型的準確度。將調整好后的模型作為模糊推理的知識,通過模糊推理得到某攻擊發生的可能性。
基于FNPN的模糊推理過程是攻擊知識的FNPN模型從初始標志開始,所有滿足條件的變遷按順序并行激發的過程。該過程與基于神經網絡的推理過程相似,是一種并行推理過程,避免了傳統誤用入侵檢測(基于產生式規則推理)中的推理沖突、組合爆炸等問題,因此具有較高的推理效率;同時,該方法中引入學習算法對初始知識的FNPN模型的參數進行動態調整,以提高知識模型的準確度,從而提高系統的入侵檢測率[6]。
圖1 基于FNPN的入侵檢測原理
2.1 模糊規則的FNPN表示
一條模糊產生式‘與’規則對應FNPN中的一個變遷,而一條模糊產生式‘或’規則對應一組變遷。同樣一條模糊產生式非規則對應FNPN中的一個變遷,規則中的命題與FNPN中的庫所一一對應,規則中的模糊命題的當前隸屬度值為庫所中的標記值,規則的信任度對應變遷的一個映射函數[5]。
2.2 FNPN的訓練算法
第1步:初始化,根據專家經驗輸入各權值和變遷信任度的初始值,并把輸入命題和中間命題的總個數送n,變遷的總個數送m,樣本總數N,i和j分別送1,學習步長送δ。
第2步:計算初始誤差,根據初始權值和信任度及前面的引發規則計算出一組系統可靠度,并根據計算出初始誤差值。判斷其是否小于規定的誤差限,若小于的話直接結束,否則進入下一步。
第3步:依據學習步長對部件i的權值進行調整,并判斷是否每個值都大于等于零,若都大于等于零,則進行下一步,否則轉第6步。
第4步:計算出當前系統的誤差值fi與fi-1比較,若fi
第5步:重新調回原權值,說明上一步的調整方向不正確。
第6步:令i=i+1,并判斷其是否大于n,若不大于n,轉第3步進行下一部件的權值調整,否則進入下一步。
第7步:判斷這時的fi是否小于等于要求的誤差限,若已達到規定的誤差限,則結束訓練;否則,判斷訓練次數是否超過規定權值訓練次數,若不超過,則把fi的值賦給f0并重新使i=1轉第3步,開始下一輪訓練;若已超過權值訓練次數,則進入下一步。
第8步:對信任度進行訓練,逐個調整信任度值但不能超過1,并逐次計算fj并判斷是否小于等于規定的誤差限,若已經達到誤差限,則結束訓練,否則,一直調整信任度直至達到規定的信任度訓練次數為止。此時,若還達不到要求的誤差限,則修改模糊規則,然后返回第一步重新學習。
2.3 FNPN的入侵檢測模型
通過專家知識得到FNPN的最優初始權值,利用最優初始權值的FNPN對入侵檢測數據進行學習和訓練,得到最優的網絡入侵檢測模型。然后采用這個最優網絡入侵模型對網絡上采集數據進行在線檢測,對檢測結果進行分析和判斷,最后根據分析結果進行相應的處理。
3 實例分析
為了對上述方法進行效果分析,本文對BackDoS、BufferOverflow、Guess-Passwd、Imap、IpsweepProbe、Land攻擊、SYNFlooding攻擊共7類攻擊進行基于FNPN和NN的對比識別實驗[7]。
取其中100條包含有以上7類攻擊的記錄,80條作為訓練,20條作為測試。其中正常連接19個,攻擊連接81個。
令FNPN和NN的參數相同學習速率均為0.10,動力因子為0.075,f(x)=1/(1+e-x)。
FNPN的初始權值和變遷信任度由專家系統根據其經驗的所得。用圖5所示的專家系統的FNPN模型作為網絡的入侵檢測模型,用所述的學習算法,用Matlab編制程序,并在假設專家知識的情況下給出一組初值:w11=w21=w31=w41=w51=w61=w71=w81=w91=wa1=0,w12=w22=w32=w42=w52=w62=w72=w82=w92=wa2=1,所有的信任度都取1,步長選為0.0001,用樣本中的80組數據對權值和信任度進行訓練。經過179次學習后,達到規定的誤差范圍(
將FNPN和NN的訓練結果對比如圖2所示。表明FNPN的最小平均誤差比NN的最小平均誤差小,且學習速度快。
圖2 FNPN和NN的訓練曲線
最后,對訓練好的參數用樣本中的其余20組數據進行測試,平均誤差為0.0000154,表1為測試中所有攻擊的識別率統計。結果表明,基于FNPN的識別方法比基于相同結構的NN對攻擊具有更高的識別率[9]。
表1 基于FNPN和NN的檢測率比較
攻擊類型 檢測率/%
FNPN NN
BackDoS 90.3 84.2
BufferOverflow 86.5 82.4
GuessPasswd 79.9 75.1
Imap 83.7 81.2
IpsweepProbe 88.6 85.8
Land 91.2 87.7
SYNFlooding 85.2 82.7
4 結論
本文提出的適合于網絡入侵檢測的模糊神經Petri網,既具有模糊Petri網自動模糊推理的能力,又具有神經網絡的學習能力。由于采用了基于專家經驗的系統結構,省去對實際系統建模的困難。與直接用神經網絡進行入侵檢測相比需要訓練的參數更少,節省了存儲空間,且各參數具有明確的物理意義。該方法適用于基于結構模糊推理的網絡入侵檢測。
參考文獻:
[1]危勝軍,胡昌振,高秀峰.基于學習Petri網的網絡入侵檢測方法[J].兵工學報,2006,27(2):269-272.
[2]趙俊閣,付鈺,劉玲艷.網絡系統可靠性評估的模糊神經Petri網方法[J].火力與指揮控制,2010,35(3):55-57.
[3]ChenSM,KeJS,ChangJF.KnowledgeRepresentationUsingFuzzyPetriNets[J].IEEETransonKnowledgeDataEnergy,1990,2(3):311-319.
[4]原菊梅,侯朝楨,王小藝.復雜系統可靠性估計的模糊神經Petri網方法[J].控制理論與應用,2006,23(5):687-691.
[5]KoriemSM.AfuzzyPetriNetToolforModelingandVerificationofKnowledge-basedSystems[J].TheComputerJournal,2000,43(3):206-223.
[6]傅學彥,尹滄濤.神經網絡在網絡入侵檢測中的應用[J].計算機仿真,2010,27(12):152-155.
[7]原菊梅,侯朝楨,王小藝.復雜系統可靠性估計的模糊神經Petri網方法[J].控制理論與應用,2006,23(5):687-691.
[8]危勝軍,胡昌振,孫明謙.基于模糊Petri網的誤用入侵檢測方法[J].北京理工大學學報,2007,27(4):312-317.
[9]張白一,崔尚森.基于規則推理的FPN誤用入侵檢測方法[J].計算機工程,2006,32(14):119-121.
[9]李玲娟,翟雙燦,郭立瑋.用支持向量機預測中藥水提液膜分離過程[J].計算機與應用化學,2010,27(2):149-154.
第4篇:基于網絡的入侵檢測范文
【 關鍵詞 】 網絡安全;入侵檢測技術;數據挖掘;孤立點
Intrusion Detection Technology Application in Network Security based on outlier Mining Technology
Li Jun
(Shantou Economic Trade Secondary Vocational and Technical School GuangdongShantou 515041)
【 Abstract 】 The computer network system faces different safety risks in actually using of process. Take the necessary security measures on the computer network system is very important. The article first introduced the intrusion detection technology, and then presented the concept of intrusion detection systems and working principle. Then investigated the intrusion detection system based on data mining technology, and gave a description of the mining algorithm based on similarity and isolated points.
【 Keywords 】 network security; intrusion detection; data mining; isolated point
0 引言
隨著計算機網絡的發展,網絡復雜性不斷增加,異構性越來越高,計算機網絡面臨的安全性問題越來越嚴峻。惡意程序的種類和數量的爆發性增加,嚴重破壞了網絡運行秩序,因此,關于網絡安全的問題已經被越來越廣泛地研究。
網絡安全是一門涉及多種學科的綜合性學科,當網絡的用戶來自社會各個階層與部門時,大量在網絡中存儲和傳輸的數據就需要保護,確保網絡中硬件、軟件資源及各種信息受到保護,避免遭到惡意的篡改、截獲和偽造,使網絡服務正常,系統可靠運行。
網絡安全的研究實質上就是針對保密通信、安全協議的設計和訪問控制三項內容的相關理論和技術的研究。可以通過流量分析檢測網絡流量的異常并做出有效的響應來確保網絡的正常運行。現在應用于網絡安全方面的技術有數字簽名、數據加密、防火墻等,這些技術作為保護網絡是有效的,但是有其自身的局限性,比如防火墻技術可以阻止外部攻擊但阻止不了內部攻擊且不能提供實時監測等。所以,建立一個基于數據挖掘的網絡異常入侵檢測技術是有必要的,它可以作為防火墻的補充提供流量分析,能有效避免網絡黑客入侵,從多個方面準確分析系統漏洞且采取措施處理。因而基于數據挖掘的入侵檢測系統的研究可以有效保證網絡的安全運行。
1 入侵檢測技術
1.1 概念
入侵檢測技術是一種用來檢測是否有入侵行為的一種技術,它是入侵檢測系統(Intrusion Detection System, IDS)的核心技術,可以抵抗來自網絡的入侵行為,保護自己免受攻擊,保證計算機系統的安全。入侵檢測技術通過將入侵行為的過程與網絡會話數據特征匹配,可以檢測到計算機網絡中的違反安全策略的行為并做出響應,采取相關措施應對網絡攻擊。入侵檢測在網絡系統受到危害之前就對內部攻擊、外部攻擊和誤操作等進行攔截并響應入侵,它作為一種積極主動地安全防護技術,為計算機系統提供實時保護。
1.2 入侵檢測技術的內容
入侵檢測技術的任務執行主要包括以下內容:
(1)對重要的文件和系統資源進行完整性評估和檢測;
(2)檢查系統構造,評估系統是否存在漏洞,不斷檢測、監視和分析用戶和系統的活動;
(3)對檢測的網絡攻擊行為進行報警,便于用戶或管理者采取相應的措施;
(4)對日常行為和異常行為進行統計,并將這兩種行為模式對比和分析;
(5)跟蹤管理操作系統日志,識別違反安全策略的用戶行為。
入侵檢測技術是安全審核的核心技術之一,可檢測出計算機網絡中破壞網絡運行秩序的行為,這項技術可以及時檢測到系統中的異常行為和未授權的現象。對網絡正常運行的破壞行為通常分為兩種,一種是非法用戶的違規入侵,另一種是合法用戶的濫用行為。通過對記錄的審核,入侵檢測系統可以識別并限制所有不希望存在的行為,保證系統的安全和網絡的正常運行。在系統受到入侵攻擊時,入侵檢測系統可以像管理者報警驅逐入侵攻擊,進而保護系統免受傷害,并且在系統被入侵攻擊之后,入侵檢測系統可以對攻擊信息進行收集和分析,將信息填充到系統特征庫,升級系統的防范能力。
1.3 入侵檢測技術的分類
第5篇:基于網絡的入侵檢測范文
關鍵詞:計算機網絡安全;入侵檢測
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1674-7712 (2012) 12-0100-01
一、入侵檢測技術在維護計算機網絡安全中的應用
(一)網絡入侵檢測
網絡入侵檢測有基于硬件和軟件的,二者的工作流程是基本相同的。需將網絡接口的模式設置為混雜模式,以便對流經該網段的全部數據進行實時的監控,做出分析,再和數據庫中預定義的具備攻擊特征屬性做出比較,從而把有害的攻擊數據包識別出來,進行響應,并記錄日志[1]。
1.體系結構。網絡入侵檢測的體系結構通常由三大部分組成,分別為Agent、Console以及Manager。其中,Agent的作用是對網段以內的數據包進行監視,發現攻擊信息并把相關的數據發送到管理器;Console的主要作用是負責收集處信息,顯示所受攻擊信息,把攻擊信息及相關數據發送到管理器;Manager的作用則主要是響應配置攻擊警告信息,控制臺所的命令也由Manager來執行,再把所發出的攻擊警告發送至控制臺。
2.工作模式。網絡入侵檢測,每個網段都部署多個入侵檢測的,按網絡拓撲結構的不同,的連接形式也不相同。利用交換機核心芯片中的調試端口,將入侵檢測系統與該端口相連接。或者把它放在數據流的關鍵點上,就可以獲取幾乎全部的關鍵數據。
3.攻擊響應及升級攻擊特征庫、自定義攻擊特征。入侵檢測系統檢測到惡意攻擊信息,響應方式多種多樣,比如發送電子郵件、切斷會話、通知管理員、記錄日志、通知管理員、查殺進程、啟動觸發器以及開始執行預設命令、取消用戶賬號以及創建報告等等[2]。升級攻擊特征庫是把攻擊特征庫文件通過手動或者自動的形式從相關站點中下載下來,再利用控制臺實時添加進攻擊特征庫。
(二)主機入侵檢測
主機入侵檢測會設置在被重點檢測的主機上,從而對本主機的系統審計日志、網絡實時連接等信息并做出智能化的分析與判斷。如果發展可疑情形,則入侵檢測系統就會有針對性的采用措施。基于主機的入侵檢測系統可以具體實現以下功能:對操作系統及其所做的所有行為進行全程監控;持續評估系統、應用以及數據的完整性,并進行主動的維護;創建全新的安全監控策略,實時更新;對于未經授權的行為進行檢測,并發出報警,同時也可以執行預設好的響應措施;將所有日志收集起來并加以保護,留作后用。主機入侵檢測系統對于主機的保護很全面細致,但要在網絡中全面部署則成本太高。并且主機入侵檢測系統工作時要占用被保護主機的CPU處理資源,所以可能會降低被保護主機的性能[3]。
二、高校網絡環境的入侵檢測方案的問題
(一)高校網絡環境入侵檢測方案
伴隨網絡技術的高速發展,網絡安全已經成為不能不考慮的問題。入侵檢測方案正是利用網絡平臺,通過與遠程服務器交換,將終端數據庫分布實現入侵檢測監控。設計應盡量符合人的感知和認知。多數高校網絡環境采用基于WEB的數據庫的轉換和數據交換監控,數據庫相對簡單,入侵檢測方式單一,但可靠性低。面對平臺和數據容量的增加,客觀上要求基于自動檢測,要對數據庫進行分析、聚類、糾錯的高效網絡,才能處理,實現用戶交互,優化平臺數據的可擴展性[4]。
(二)高校網絡環境入侵檢測的關鍵點
高校網絡環境的入侵檢測方案的關鍵點就是要充分利用高校網絡資源平臺,整合數據庫、角色管理的安全模型、校園無縫監控、多方位反饋與應對系統等資源,預測或實時處理高校網絡入侵時間的發生。
三、高校網絡環境的入侵檢測方案思考
(一)建立適合高校網絡環境的檢測系統平臺
高校網絡環境的入侵檢測,可采納“云計算技術”,實現檢測方案系統。利用其高速傳輸能力,將計算、存儲、軟件、服務等資源從分散的個人計算機或服務器移植到互聯網中集中管理的大規模分布的高性能計算機、個人計算機、虛擬計算機中,從而使用戶像使用電能一樣使用這些資源。大量計算資源構成資源池,用于動態創建高度虛擬化的資源提供用戶使用。改變了資源提供商需要獨立、分散建造機房、運營系統、維護安全的困難,降低了整體的能源消耗。
(二)入侵檢測機制
入侵檢測體系結構須依據網絡NIDS模塊,構建檢測管理平臺:模塊組成主要有:應用任務模塊;入侵檢測與分析模塊;數據庫交換模塊(負責數據包的嗅探、數據包預處理過濾和固定字段的模式匹配)。實現實時的流量分析與入侵檢測功能。針對硬件邏輯和核心軟件邏輯采用高效的檢測策略規則。檢測模型包括三個主要流程步驟:
1.調度平臺從用戶的請求隊列中首先取出優先級最高的用戶請求R。R讀取元數據庫,根據請求的硬件資源判斷是否能被當前空閑資源滿足。如果滿足,轉向步驟2;如果不滿足,判斷是否可以通過平臺虛擬機的遷移,釋放相關資源;如果可以,則執行遷移操作,轉步驟2;如果遷移也無法完成,則退出,并報告無法完成請求。
2.如果資源請求可以滿足,調度服務器可從存儲結點中選擇與用戶請求相對應的虛擬機模板T(新建立的虛擬機)或虛擬機鏡像I。
3.調度服務器將I遷入相對應的物理機,并創建相對應的虛擬機實例V。
四、總結
要提高計算機網絡系統的安全性,不但要靠技術支持,更需要依靠高校自身良好的維護與管理。高校網絡環境的入侵檢測方案的思考,適應高校檢測環境的發展要求,必須把握其發展方向和關鍵技術,實現高效入侵檢測。
參考文獻:
[1]胥瓊丹.入侵檢測技術在計算機網絡安全維護中的應用[J].電腦知識與技術,2010,11
[2]劉明.試析計算機網絡入侵檢測技術及其安全防范[J].計算機與網絡,2011,1
第6篇:基于網絡的入侵檢測范文
關鍵詞: 網絡入侵; 信號檢測; 譜分析; 經驗模態分解
中圖分類號: TN911.23?34; TP393 文獻標識碼: A 文章編號: 1004?373X(2017)03?0058?04
Design and optimization of signal detection system after network intrusion
LI Wei, GU Hailin, HUANG Xing
(Information and Communication Engineering Center, Information Communication Branch Company of
State Grid Liaoning Electric Power Co., Ltd., Shenyang 110006, China)
Abstract: Since the accuracy of the current network intrusion anomaly detection is low, the optimization design for the abnormal signal detection system after network intrusion was performed, and the network intrusion abnormal signal detection algorithm based on higher?order time?spectrum analysis is proposed. The improvement design for the signal detection algorithm was conducted, and the network intrusion signal model was constructed to decompose the non?stationary signal empirical mode and extract the higher?order time?spectrum feature of the network anomaly signal after network intrusion. The signal detection system was developed, and its performance was test with simulation experiment. The simulation results show that the signal detection system can accurately detect the abnormal signal after network intrusion, and its accurate detection probability is higher than that of the traditional method.
Keywords: network intrusion; signal detection; spectrum analysis; empirical mode decomposition
0 引 言
S著計算機技術和網絡技術的快速發展,網絡運行的速度不斷增快,網絡傳輸和處理的數據信息不斷增多,網絡安全受到管理者和用戶的重視[1?2]。網絡安全主要包括網絡的物理安全、網絡拓撲結構安全、網絡系統安全等。網絡入侵通過病毒植入,實現非法存取、拒絕服務和網絡資源非法占用等,達到攻擊用戶私密信息的目的。網絡被入侵后會出現異常信號,通過對網絡被入侵后的入侵信號進行檢測,保障網絡安全,研究相關的信號檢測算法和系統受到人們的極大關注[3?4]。
針對當前對網絡入侵異常檢測精度不高的問題,提出基于高階時頻譜分析的網絡入侵異常信號檢測算法,并通過仿真實驗進行性能測試。
1 算法設計
1.1 信號模型構建與分析
首先對網絡被入侵后的異常信號模型進行構建和特征分析,網絡被入侵后的數據傳輸節點分布為一個寬平穩的隨機信道模型,異常信號分布在一個多徑時變的非平穩傳輸信道中,采用短時傅里葉變換構建網絡被入侵后的異常信號傳輸的信道模型描述為[5?6]:
[x(t)=Rean(t)e-j2πfcτn(t)slt-τn(t)e-j2πfct] (1)
式中:網絡被入侵后異常信號的加窗函數[x(t)]在時間[t]的短時傅里葉變換就是[x(t)]乘上一個以[t]為中心的“分析窗”,由于短時傅里葉變換,在所有窗函數里建立時間窗。
當短時傅里葉變換為一種線性變換,輸出的信號沖激響應為[γ*(t-t),]根據網絡被入侵后異常信號的時頻分辨率不變性,信號短時譜定義為:
[STFT(γ)x(t, f)=-∞∞[x(t)γ*(t-t)]e-j2πftdt] (2)
采用短時傅里葉變換使得網絡入侵信號的短時傅里葉基數STFT保持信號[x(t)]的頻移特性,網絡被入侵的時間尺度脈沖響應為:
[c(τ,t)=nan(t)e-j2πfcτn(t)δ(t-τn(t))] (3)
式中:[an(t)]是第[n]條網絡傳輸信道上的異常信號的單分量主頻特征;[τn(t)]為第[n]條垂直無窮長窗函數的時延;[fc]為網絡被入侵的信道調制頻率。
設網絡被入侵數據傳輸節點的傳遞路徑有[P]條,采用頻率分辨率調制濾波[7],得到網絡被入侵后的異常信號傳輸的多徑信道傳遞函數為:
[h(t)=i=1Paip(t-τi)] (4)
式中:[ai]和[τi]分別是時間分辨率和傳播損失。
網絡被入侵后數據傳輸的信道特征分布函數為:
[y(t)=x(t-t0)?Wy(t,v)=Wx(t-t0,v)y(t)=x(t)ej2πv0t?Wy(t,v)=Wx(t,v-v0)] (5)
對于兩個能量相同的信號,定義窗函數的時寬[Δt]為:
[Δt2=t2G(t)2dtG(t)2dt] (6)
通過時頻伸縮,可得網絡被入侵后異常信號的頻譜特征為:
[y(t)=kx(kt), k>0,Wy(t,v)=Wx(kt,vk)] (7)
式中:[k]表示時間分辨采樣頻率;[v]表示網絡被入侵后輸出信道的帶寬;[Wx]為時間窗口函數,式(7)表示網絡被入侵的信道中的時域和頻域的伸縮尺度。時間分辨率和頻率分辨率在頻譜寬度一致性特征的情況下,構建網絡入侵的異常信號模型為:
[z(t)=x(t)+iy(t)=a(t)eiθ(t)] (8)
式中:[z(t)]表示入侵后的異常信號;[x(t)]表示殘余函數;[y(t)]表示網絡入侵后異常信號的殘余量;[a(t)]表示非線性、非平穩的多分量信號的上下包絡線;[θ(t)]表示入侵偏移相位。
通過單分量信號的尺度分解將原始信號分解為多個低頻分量之和,得到網絡入侵后的異常信號的包絡特征為:
[a(t)=x2(t)+y2(t), θ(t)=arctany(t)x(t)] (9)
式中:[a(t)]和[θ(t)]分別是網絡被入侵后異常信號的高頻特征分量的包絡和相位。
1.2 信號檢測算法實現
定義[D=(dγ)γ∈Γ]為網絡入侵異常信號分布特征空間[H]中的入侵數據向量組成的基函數集,在對受到強雜波背景干擾下入侵后的網絡異常信號[x(t)]進行經驗模態分解,每層分解的誤差分量表示為:
[xmin, j=maxxmin, j,xg, j-ρ(xmax, j-xmin, j)] (10)
[xmax, j=minxmax, j,xg, j+ρ(xmax, j-xmin, j)] (11)
入侵特征檢測的偏移量頻譜區間在[[xmin, j,xmax, j]]內構成局部時間尺度分量的滑動時間窗口,[ρ]為網絡入侵異常信號屬性特征調整系數,定義為:
[ρ=o∈Nk-dist(p)lrdk(o)lrdk(p)Nk-dist(p)] (12)
采用頻率調制對信號進行高階譜特征提取,以過零點定義的IMF函數為一個采樣特征區間,表示為:[Yk=yk1,yk2,…,ykj,…,ykJ, k=1,2,…,N] (13)
通過頻率調制去除網絡被入侵后異常信號的虛假分量,在對網絡入侵后異常信號的局部均值進行后置聚焦檢測后,采用時頻特征分析方法進行網絡被入侵后的異常信號的時域特征分解,得到頻譜偏移量為:
[fi(n)=ln[λi(n)]2πΔt] (14)
式中[Δt]表示信號采樣時間間隔。
由此計算網絡被入侵后異常信號的穩態概率:
[WDx(t,f)=xt+τ2x*t-τ2e-j2πftdτ] (15)
式中:[f]表示異常信號的頻域瞬態函數;[x*]表示υ始信號取卷積。
選擇時間?頻率聯合特征匹配方法,得到網絡被入侵后的異常信號差異函數[f]和基[dγ0]之間的匹配程度為:
[λn(dγ0)=-∞+∞f(t)d*γ0(t)dt] (16)
采用自適應級聯濾波方法進行信號濾波,得到異常信號檢測的一組極大線性無關組,[dγ]的邊緣特性解向量[L2(R)]是稠密的,得到網絡入侵后的異常信號的能量密度滿足:
[f,dγ0≥asupγ∈Γf,dγ] (17)
準確檢測概率滿足:
[f=f,dγ0dγ0+Rf] (18)
2 系統硬件設計與軟件開發
2.1 信號檢測系統的硬件設計
系統的模塊化設計主要包括濾波電路模塊、信號采樣A/D電路模塊、DSP集成處理主控模塊和檢測輸出模塊等,首先構建信號濾波器電路,進行網絡被入侵后異常信號的檢測濾波,濾波結構模型如圖1所示。
以網絡被入侵后異常信號的A/D數據采集作為原始輸入,給出級聯自適應濾波器形式為:
[H(z)=N(z)D(z)] (19)
式中:[N(z)]是異常信號檢測系統的低通信道函數,它的零點在[z=e±jω0]處;[D(z)]為盲源分離狀態函數。
由濾波器的控制篩分參數[a]和帶寬參數[r]確定自適應級聯濾波器的階數和調制頻率,初始頻率為:
[ω0=arccos(-a2)] (20)
在前饋放大約束下,通過抽頭加權得到入侵后的異常信號檢測濾波器低通響應特征函數為:
[ejπ=V(ejω0)=sinθ2+sinθ1(1+sinθ2)ejω0+ej2ω01+sinθ1(1+sinθ2)ejω0+sinθ2ej2ω0] (21)
網絡被入侵后異常信號檢測系統的信號濾波器的傳遞函數為:
[H(z)=121+V(z)V(ejω)+ejΦ(ω)] (22)
根據濾波傳遞函數,采用DSP信號處理器和PCI總線進行電路設計,得到濾波電路設計如圖2所示。
信號采樣A/D電路模塊實現網絡入侵后的異常信號檢測原始數據采樣和數模轉換功能,采用16位定點DSP作為控制芯片,采用FLASH中的應用程序bootloader自動調整系統的放大倍數,從片內ROM的0FF80H起執行程序,控制A/D轉換器進行正常采樣,得到信號檢測系統的信號采樣A/D電路設計如圖3所示。
DSP集成處理主控模塊是網絡被入侵后異常信號檢測系統的核心模塊,主控模塊的時鐘頻率為33 MHz或66 MHz,DSP集成處理環境下異常信號處理程序是在CCS 2.20開發平臺下進行,DSP通過雙端口RAM(IDT70V28)進行數據通信,DSP信號處理器設計主要包括5409A引腳設置、JTAG設計,地址總線LA[16:1],檢測輸出模塊選擇引腳、時鐘信號輸入引腳,通過CPLD編程ADM706SAR進行系統復位,得到主控模塊的DSP接口連線如圖4所示。
2.2 系統的軟件開發實現
網絡被入侵后異常信號檢測系統的軟件開發處理程序在CCS 2.20開發平臺下進行。采用C5409A XDS510 Emulator仿真器進行檢測算法編程設計,采用程序加載電路進行異常信號檢測算法的寫入和數據讀取,處理程序都是用ASM語言編寫,與VB,VC等可視化開發平臺進行匯編,鏈接生成.out文件,代碼設計時把應用程序轉Q成.hex格式代碼,把loader和用戶程序都燒寫到FLASH中,在0FF81H處寫loader程序的入口地址,得到網絡被入侵后異常信號檢測系統的程序設計流程如圖5所示。
3 性能的測試
首先對SPCR1(串口接收控制寄存器)和SPCR2(串口發送控制寄存器)進行復位串口配置,配置PCR(串口控制引腳寄存器)的FSXM=1,進行網絡入侵采樣,采樣的樣本數為1 024,采用網絡爬蟲技術進行病毒入侵的數據爬取,爬取次數為100 598次,啟動串口0的采樣率,得到兩個幀同步之間的異常信號。網絡入侵異常信號的中心采用頻率為[f0=1 000]Hz,接收器和發送器的激活頻率為[fs=10] kHz,信號的采樣帶寬[B=1 000]Hz,其調頻率[k=BT=13.8] Hz,信號檢測過程中的干擾信噪比為-30 dB,根據上述仿真環境和參數設定,進行網絡被入侵后的異常信號檢測仿真,得到采樣的原始網絡信號如圖6所示。
以上述采樣信號為測試對象,輸入到本文設計的異常信號檢測系統中,得到檢測輸出的高階時頻譜如圖7所示。
從圖7可見,本文設計的信號檢測系統能準確檢測到異常信號的頻譜特征,對低頻干擾信號的抑制性能較好,檢測輸出的峰度聚焦性較好,展示了較高的檢測性能,為了對比,采用本文方法和傳統方法,以準確檢測概率為測試指標,得到的結果如圖8所示。從圖8可見,采用本文系統進行網絡入侵后異常信號檢測的準確檢測概率較高,且性能優于傳統方法。
4 結 語
網絡被入侵后會出現異常信號,通過對網絡被入侵后的入侵信號檢測,保障網絡安全。本文提出基于高階時頻譜分析的網絡入侵異常信號檢測算法,仿真結果表明,本文算法的準確檢測概率高于傳統方法,具有較高的應用價值。
參考文獻
[1] 陸興華,陳平華.基于定量遞歸聯合熵特征重構的緩沖區流量預測算法[J].計算機科學,2015,42(4):68?71.
[2] 楊雷,李貴鵬,張萍.改進的Wolf一步預測的網絡異常流量檢測[J].科技通報,2014,30(2):47?49.
[3] 周煜,張萬冰,杜發榮,等.散亂點云數據的曲率精簡算法[J].北京理工大學學報,2010,30(7):785?790.
[4] MERNIK M, LIU S H, KARABOGA M D, et al. On clarifying misconceptions when comparing variants of the Artificial Bee Colony Algorithm by offering a new implementation [J]. Information sciences, 2015, 291(C): 115?127.
[5] 沈淵.基于入侵關聯跟蹤的P2P網絡入侵檢測方法[J].科技通報,2013,29(6):32?34.
第7篇:基于網絡的入侵檢測范文
Abstract: Network intrusion detection and early warning technology are the reasonable add to firewall which help the system work against network attacks and provide the real-time guard for internal and external attacks and misuse. Based on this system's design and implementation, the paper gives the detailed discussion.
關鍵詞:入侵檢測系統;設計;實現
Key words: intrusion detection system;designing;realization
中圖分類號:TP30 文獻標識碼:A文章編號:1006-4311(2010)24-0166-01
0引言
入侵檢測系統(Intrus Jon Detection system,IDS)為計算機系統的完整性。可用性及可信性提供積極主動的保護,并在計算機系統受到危害之前進行攔截防衛。IDS對網絡的控制手段有:黑名單斷開、灰名單報警、阻塞HTTP請求、通知防火墻阻斷和通過SN-MPTrap報警等。
1技術的分析
1.1 異常。異常發現技術的前提是假定所有入侵行為都是與正常行為不同的。首先通過訓練過程建立起系統正常行為的軌跡,然后在實際運用中把所有與正常軌跡不同的系統狀態視為可疑。
但異常發現技術的缺點是并非所有的入侵都表現為異常。
1.2 誤用。誤用發現技術的入侵檢測是指通過預先精確定義的入侵模式,對觀察到的用戶行為和資源使用情況進行檢測。如入侵簽名說明了導致誤用事件弱點的特征、條件、序列和關系,還包含系統狀態。
1.3 模式。假定所有入侵行為和手段都能夠表達為一種模式或特征,那么所有已知的入侵方法都可以用匹配發現。模式發現的關鍵是如何表達入侵的模式,定義發現入侵的規則庫,把真正的入侵與正常行為區分開來。
2入分檢測系統的設計與實現
2.1 實驗系統的整體設計。本實驗系統界面部分主要在Visual 2005開發環境中完成。實驗系統使用的是其中Visual C#語言開發 Web 應用程序的方法。
將實驗系統的實現主要分為9個子模塊,包括網絡安全實驗系統歡迎和登陸、入侵檢測方式選擇、入侵檢測實驗系統總體介紹、局域網的指定網段中正在嗅探主機程序流程圖的展現、檢測局域網的指定網段中正在嗅探主機的詳細信息、WinPcap驅動介紹、局域網中正在進行端口掃描主機程序流程圖展現、檢測局域網中正在進行端口掃描主機的詳細信息、Libnids開發包介紹。
2.2 網絡嗅探檢測。
2.2.1 基本原理。下面以Windows系統為例說明。
FF-FF-FF-FF-FF-FF:這個是一個正規的廣播地址,不管是正常模式還是其他模式,都會被網卡接收并傳遞給系統核心。
FF-FF-FF-FF-FF-FE:這個地址對于網卡來說,不是一個廣播地址,在正常模式下會被網卡拋棄,但是系統核心是認為這個地址同FF-FF-FF-FF-FF-FF是完全一樣的。如果處于混雜模式,將被系統核心接收,并認為是一個廣播地址。所有的Windows操作系統都是如此。
FF-FF-00-00-00-00:Windows核心只對前面兩字節作判斷,核心認為這是一個同FF-FF-FF-FF-FF-FF一樣的廣播地址。這就是為什么FF-FF-FF-FF-FF-00也是廣播地址的原因。
FF-00-00-00-00-00:對于Win9x或WinME,則是檢查前面的一個字節。因此會認為這個是一個廣播地址。
所以,目的就要讓正常模式的網卡拋棄掉探測包,而讓混雜模式的系統核心能夠處理探測。發送一個目的地址為FF-FF-FF-FF-FF-FE(系統會認為屬于廣播地址)的ARP請求,對于普通模式(廣播等)的網卡,這個地址不是廣播地址,就會直接拋棄,而如果處于混雜模式,那么ARP請求就會被系統核心當作廣播地址處理,然后提交給嗅探器程序。系統核心就會應答這個ARP請求。
2.2.2 主要數據結構和函數。使用到WinPcap中的主要數據結構和自定義的數據結構PACKET、ETHDR、ARPHDR、IPHDR。
2.3 端口掃描檢測。
2.3.1 基本原理。一個端口掃描被定義為在T秒時間內對目標系統超過P個端口的TCP連接請求,或者是對應的UDP數據包。因此可以采用異常檢測技術來檢測端口掃描,即定義為在TCP連接過程中,如果檢測到相同源地址掃描TCP端口的數目大于閾值就認為發生了端口掃描攻擊,根據TCP的標志位判斷掃描類型。在本實驗系統中該部分功能的實現主要由Libnids開發包中默認函數syslog()完成。本系統可以根據TCP的標志位判斷掃描類型,可以檢測SYN、NULL、FIN三種標志位變化的掃描。
2.3.2 主要數據結構和函數。使用到的主要數據結構有檢測掃描用的相關信息SCAN、HOST、IP_HDR、TCP_HDR。
2.4 短信發送通知。短信貓是一種內嵌GSM無線通信模塊,插入移動運營商的手機SIM卡后,可以通過PC連接使計算機應用系統與移動運營商的短信中心建立無線連接以實現自由的對外短信收發。
通過短信貓二次開發數據庫接口,使用者幾乎不需要了解任何有關數據通信方面的知識,就可實現手機短信的收發等功能。在本實驗系統的設計中,使用短信貓二次開發接口通過Access數據庫實現短信發送功能。
3結果分析
對系統進行全面測試后,從以下兩方面分析系統性能。
3.1 系統的有效性。通過測試,系統在以下兩方面有效:①該系統可以檢測出共享式局域網中將網卡設為混雜模式的嗅探攻擊;②該系統可以檢測出共享式局域網正存在的以下三種正常速度的TCP端口掃描:SYN、NULL、FIN。
3.2 系統的局限性。通過測試,該系統也存在一些局限性:①除將網卡設為混雜模式的嗅探攻擊,該系統對其他種類的嗅探攻擊不起任何作用,該功能還有待完善;②由于該系統檢測端口掃描所使用算法(統計閾值檢測法)的局限性,掃描方如果采用慢速掃描,掃描時間間隔拉得夠長,低于所設的門限值,就會漏報。
參考文獻:
[1]孫國梓,俞超,陳丹偉.一種入侵檢測實驗系統的設計與實現[Z].
第8篇:基于網絡的入侵檢測范文
關鍵詞入侵檢測異常檢測誤用檢測
在網絡技術日新月異的今天,寫作論文基于網絡的計算機應用已經成為發展的主流。政府、教育、商業、金融等機構紛紛聯入Internet,全社會信息共享已逐步成為現實。然而,近年來,網上黑客的攻擊活動正以每年10倍的速度增長。因此,保證計算機系統、網絡系統以及整個信息基礎設施的安全已經成為刻不容緩的重要課題。
1防火墻
目前防范網絡攻擊最常用的方法是構建防火墻。
防火墻作為一種邊界安全的手段,在網絡安全保護中起著重要作用。其主要功能是控制對網絡的非法訪問,通過監視、限制、更改通過網絡的數據流,一方面盡可能屏蔽內部網的拓撲結構,另一方面對內屏蔽外部危險站點,以防范外對內的非法訪問。然而,防火墻存在明顯的局限性。
(1)入侵者可以找到防火墻背后可能敞開的后門。如同深宅大院的高大院墻不能擋住老鼠的偷襲一樣,防火墻有時無法阻止入侵者的攻擊。
(2)防火墻不能阻止來自內部的襲擊。調查發現,50%的攻擊都將來自于網絡內部。
(3)由于性能的限制,防火墻通常不能提供實時的入侵檢測能力。寫作畢業論文而這一點,對于層出不窮的網絡攻擊技術來說是至關重要的。
因此,在Internet入口處部署防火墻系統是不能確保安全的。單純的防火墻策略已經無法滿足對安全高度敏感部門的需要,網絡的防衛必須采用一種縱深的、多樣化的手段。
由于傳統防火墻存在缺陷,引發了入侵檢測IDS(IntrusionDetectionSystem)的研究和開發。入侵檢測是防火墻之后的第二道安全閘門,是對防火墻的合理補充,在不影響網絡性能的情況下,通過對網絡的監測,幫助系統對付網絡攻擊,擴展系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應),提高信息安全基礎結構的完整性,提供對內部攻擊、外部攻擊和誤操作的實時保護。現在,入侵檢測已經成為網絡安全中一個重要的研究方向,在各種不同的網絡環境中發揮重要作用。
2入侵檢測
2.1入侵檢測
入侵檢測是通過從計算機網絡系統中的若干關鍵點收集信息并對其進行分析,從中發現違反安全策略的行為和遭到攻擊的跡象,并做出自動的響應。其主要功能是對用戶和系統行為的監測與分析、系統配置和漏洞的審計檢查、重要系統和數據文件的完整性評估、已知的攻擊行為模式的識別、異常行為模式的統計分析、操作系統的審計跟蹤管理及違反安全策略的用戶行為的識別。入侵檢測通過迅速地檢測入侵,在可能造成系統損壞或數據丟失之前,識別并驅除入侵者,使系統迅速恢復正常工作,并且阻止入侵者進一步的行動。同時,收集有關入侵的技術資料,用于改進和增強系統抵抗入侵的能力。
入侵檢測可分為基于主機型、基于網絡型、基于型三類。從20世紀90年代至今,寫作英語論文已經開發出一些入侵檢測的產品,其中比較有代表性的產品有ISS(IntemetSecuritySystem)公司的Realsecure,NAI(NetworkAssociates,Inc)公司的Cybercop和Cisco公司的NetRanger。
2.2檢測技術
入侵檢測為網絡安全提供實時檢測及攻擊行為檢測,并采取相應的防護手段。例如,實時檢測通過記錄證據來進行跟蹤、恢復、斷開網絡連接等控制;攻擊行為檢測注重于發現信息系統中可能已經通過身份檢查的形跡可疑者,進一步加強信息系統的安全力度。入侵檢測的步驟如下:
收集系統、網絡、數據及用戶活動的狀態和行為的信息
入侵檢測一般采用分布式結構,在計算機網絡系統中的若干不同關鍵點(不同網段和不同主機)收集信息,一方面擴大檢測范圍,另一方面通過多個采集點的信息的比較來判斷是否存在可疑現象或發生入侵行為。
入侵檢測所利用的信息一般來自以下4個方面:系統和網絡日志文件、目錄和文件中的不期望的改變、程序執行中的不期望行為、物理形式的入侵信息。
(2)根據收集到的信息進行分析
常用的分析方法有模式匹配、統計分析、完整性分析。模式匹配是將收集到的信息與已知的網絡入侵和系統誤用模式數據庫進行比較,從而發現違背安全策略的行為。
統計分析方法首先給系統對象(如用戶、文件、目錄和設備等)創建一個統計描述,統計正常使用時的一些測量屬性。測量屬性的平均值將被用來與網絡、系統的行為進行比較。當觀察值超出正常值范圍時,就有可能發生入侵行為。該方法的難點是閾值的選擇,閾值太小可能產生錯誤的入侵報告,閾值太大可能漏報一些入侵事件。
完整性分析主要關注某個文件或對象是否被更改,包括文件和目錄的內容及屬性。該方法能有效地防范特洛伊木馬的攻擊。
3分類及存在的問題
入侵檢測通過對入侵和攻擊行為的檢測,查出系統的入侵者或合法用戶對系統資源的濫用和誤用。寫作工作總結根據不同的檢測方法,將入侵檢測分為異常入侵檢測(AnomalyDetection)和誤用人侵檢測(MisuseDetection)。
3.1異常檢測
又稱為基于行為的檢測。其基本前提是:假定所有的入侵行為都是異常的。首先建立系統或用戶的“正常”行為特征輪廓,通過比較當前的系統或用戶的行為是否偏離正常的行為特征輪廓來判斷是否發生了入侵。此方法不依賴于是否表現出具體行為來進行檢測,是一種間接的方法。
常用的具體方法有:統計異常檢測方法、基于特征選擇異常檢測方法、基于貝葉斯推理異常檢測方法、基于貝葉斯網絡異常檢測方法、基于模式預測異常檢測方法、基于神經網絡異常檢測方法、基于機器學習異常檢測方法、基于數據采掘異常檢測方法等。
采用異常檢測的關鍵問題有如下兩個方面:
(1)特征量的選擇
在建立系統或用戶的行為特征輪廓的正常模型時,選取的特征量既要能準確地體現系統或用戶的行為特征,又能使模型最優化,即以最少的特征量就能涵蓋系統或用戶的行為特征。
(2)參考閾值的選定
由于異常檢測是以正常的特征輪廓作為比較的參考基準,因此,參考閾值的選定是非常關鍵的。
閾值設定得過大,那漏警率會很高;閾值設定的過小,則虛警率就會提高。合適的參考閾值的選定是決定這一檢測方法準確率的至關重要的因素。
由此可見,異常檢測技術難點是“正常”行為特征輪廓的確定、特征量的選取、特征輪廓的更新。由于這幾個因素的制約,異常檢測的虛警率很高,但對于未知的入侵行為的檢測非常有效。此外,由于需要實時地建立和更新系統或用戶的特征輪廓,這樣所需的計算量很大,對系統的處理性能要求很高。
3.2誤用檢測
又稱為基于知識的檢測。其基本前提是:假定所有可能的入侵行為都能被識別和表示。首先,寫作留學生論文對已知的攻擊方法進行攻擊簽名(攻擊簽名是指用一種特定的方式來表示已知的攻擊模式)表示,然后根據已經定義好的攻擊簽名,通過判斷這些攻擊簽名是否出現來判斷入侵行為的發生與否。這種方法是依據是否出現攻擊簽名來判斷入侵行為,是一種直接的方法。
常用的具體方法有:基于條件概率誤用入侵檢測方法、基于專家系統誤用入侵檢測方法、基于狀態遷移分析誤用入侵檢測方法、基于鍵盤監控誤用入侵檢測方法、基于模型誤用入侵檢測方法。誤用檢測的關鍵問題是攻擊簽名的正確表示。
誤用檢測是根據攻擊簽名來判斷入侵的,根據對已知的攻擊方法的了解,用特定的模式語言來表示這種攻擊,使得攻擊簽名能夠準確地表示入侵行為及其所有可能的變種,同時又不會把非入侵行為包含進來。由于多數入侵行為是利用系統的漏洞和應用程序的缺陷,因此,通過分析攻擊過程的特征、條件、排列以及事件間的關系,就可具體描述入侵行為的跡象。這些跡象不僅對分析已經發生的入侵行為有幫助,而且對即將發生的入侵也有預警作用。
誤用檢測將收集到的信息與已知的攻擊簽名模式庫進行比較,從中發現違背安全策略的行為。由于只需要收集相關的數據,這樣系統的負擔明顯減少。該方法類似于病毒檢測系統,其檢測的準確率和效率都比較高。但是它也存在一些缺點。
3.2.1不能檢測未知的入侵行為
由于其檢測機理是對已知的入侵方法進行模式提取,對于未知的入侵方法就不能進行有效的檢測。也就是說漏警率比較高。
3.2.2與系統的相關性很強
對于不同實現機制的操作系統,由于攻擊的方法不盡相同,很難定義出統一的模式庫。另外,誤用檢測技術也難以檢測出內部人員的入侵行為。
目前,由于誤用檢測技術比較成熟,多數的商業產品都主要是基于誤用檢測模型的。不過,為了增強檢測功能,不少產品也加入了異常檢測的方法。
4入侵檢測的發展方向
隨著信息系統對一個國家的社會生產與國民經濟的影響越來越大,再加上網絡攻擊者的攻擊工具與手法日趨復雜化,信息戰已逐步被各個國家重視。近年來,入侵檢測有如下幾個主要發展方向:
4.1分布式入侵檢測與通用入侵檢測架構
傳統的IDS一般局限于單一的主機或網絡架構,對異構系統及大規模的網絡的監測明顯不足,再加上不同的IDS系統之間不能很好地協同工作。為解決這一問題,需要采用分布式入侵檢測技術與通用入侵檢測架構。
4.2應用層入侵檢測
許多入侵的語義只有在應用層才能理解,然而目前的IDS僅能檢測到諸如Web之類的通用協議,而不能處理LotusNotes、數據庫系統等其他的應用系統。許多基于客戶/服務器結構、中間件技術及對象技術的大型應用,也需要應用層的入侵檢測保護。
4.3智能的入侵檢測
入侵方法越來越多樣化與綜合化,盡管已經有智能體、神經網絡與遺傳算法在入侵檢測領域應用研究,但是,這只是一些嘗試性的研究工作,需要對智能化的IDS加以進一步的研究,以解決其自學習與自適應能力。
4.4入侵檢測的評測方法
用戶需對眾多的IDS系統進行評價,評價指標包括IDS檢測范圍、系統資源占用、IDS自身的可靠性,從而設計出通用的入侵檢測測試與評估方法與平臺,實現對多種IDS的檢測。
4.5全面的安全防御方案
結合安全工程風險管理的思想與方法來處理網絡安全問題,將網絡安全作為一個整體工程來處理。從管理、網絡結構、加密通道、防火墻、病毒防護、入侵檢測多方位全面對所關注的網絡作全面的評估,然后提出可行的全面解決方案。
綜上所述,入侵檢測作為一種積極主動的安全防護技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護,使網絡系統在受到危害之前即攔截和響應入侵行為,為網絡安全增加一道屏障。隨著入侵檢測的研究與開發,并在實際應用中與其它網絡管理軟件相結合,使網絡安全可以從立體縱深、多層次防御的角度出發,形成人侵檢測、網絡管理、網絡監控三位一體化,從而更加有效地保護網絡的安全。
參考文獻
l吳新民.兩種典型的入侵檢測方法研究.計算機工程與應用,2002;38(10):181—183
2羅妍,李仲麟,陳憲.入侵檢測系統模型的比較.計算機應用,2001;21(6):29~31
3李渙洲.網絡安全與入侵檢測技術.四川師范大學學報.2001;24(3):426—428
4張慧敏,何軍,黃厚寬.入侵檢測系統.計算機應用研究,2001;18(9):38—4l
第9篇:基于網絡的入侵檢測范文
關鍵詞:網絡入侵檢測;BP算法;入侵攻擊
中圖分類號:TP393.08 文獻標識碼:A 文章編號:1006-8937(2012)11-0083-02
隨著計算機網絡技術與網絡通信產業的高速發展,信息技術和網絡對當今社會的科教、經濟、文化和電子商務等各個領域具有非常大的貢獻。然而隨著社會對計算機網絡的依賴越來越大,出現了越來越多關于影響計算機網絡安全的事件,目前有計算機殺毒軟件、木馬防御軟件以及網絡防火墻等軟件,都起到一定的防御作用,但是在新的網絡入侵攻擊方式下,卻常常無能為力。所以近些年來,計算機網絡入侵檢測技術越來越受到歡迎,它可以適應主動性攻擊,有自主學習能力,能夠更新入侵攻擊規則庫等功能。
網絡入侵檢測技術的應用,的確可以彌補防火墻、殺毒軟件的缺陷,提高計算機網絡安全的性能。但是傳統的網絡入侵檢測技術存在一些問題,例如漏/誤報率高、網絡實時檢測能力不高、檢測的速率較低等問題。
如何解決以上提出的問題,就需要對傳統的網絡入侵檢測技術進行改進,提高新的網絡入侵檢測方法。本文提出了基于BP神經網絡算法的網絡入侵檢測技術,它是能夠很好適應當前海量數據檢測,較低入侵檢測漏/誤報率的方法。
1 傳統入侵檢測技術的模型與不足
1.1 傳統入侵檢測的發展
20世紀70年代后,隨著計算機網絡技術的發展,計算機的大規模及超大規模集成電路的高速發展,計算機的性能變高體積變小,在社會上應用計算機的用戶也越來越多,遍布全世界。傳統的防火墻開始不能夠滿足計算機安全的新需求,于是入侵檢測技術也登上了應用舞臺。它的發展主要包括幾個時期,分別是:早期研究、基于主機入侵檢測系統研究、基于網絡入侵檢測系統研究和基于智能網絡入侵檢測系統研究。
早期研究主要是1983年,(Stanford Research Institue)用統計方法分析IBM大型機的 (System Management Facility)記錄,這就是網絡入侵檢測的雛形。
基于主機的入侵檢測系統出現在20世紀80年代初期,那時網絡規模還比較小,而且網絡之間也沒有完全互連。在此網絡環境下,檢查可疑行為的審計記錄相對比較容易,也比較簡單,通過對攻擊的事后分析就可以防止隨后的攻擊。
基于網絡的入侵檢測系統需要原始的網絡數據源,它把服務器的網卡設為混雜模式,該服務器的主機能夠實時接收和分析網絡中數據包,進而能夠檢測是否存在入侵行為,基于網絡的入侵檢測系統需要隨機模式下的網絡適配器來實時檢測并分析通過網絡的所有的網絡通信業務數據。
基于智能網絡入侵檢測系統研究主要包括,神經網絡、數據挖掘技術、人工免疫、容錯技術等不斷滲透或融入到智能的入侵檢測技術中,將網絡入侵檢測系統的發展提高到一個新的臺階。
1.2 傳統入侵檢測的過程
傳統的入侵檢測的過程可以分為三個階段,網絡數據收集階段、數據分析處理階段及檢測響應階段。
①網絡數據收集階段。從入侵檢測系統的信息源中收集網絡數據,收集到的數據內容包括網絡用戶活動的行為和日志情況等。數據收集的網絡數據范圍廣,入侵檢測系統的檢查范圍也變得越大。一般情況下,基于網絡的入侵檢測的數據源,屬于多源數據源,數據量較大,而基于主機的入侵檢測系統的數據源屬于單一,數據量比較小。
②數據分析處理。入侵檢測系統從信息源中收集到大量的網絡包數據,每秒鐘都有源源不斷的網絡包,從海量的網絡數據中,通過定好規則庫,把大量的屬于正常的網絡數據包給過濾掉,剩下的小部分疑似網絡攻擊的異常行為的數據信息。因此如何快速處理數據,是當今入侵檢測技術需要解決的熱點問題。
③檢測響應。當發現到網絡包里面包含異常事件時,入侵檢測系統就會及時對攻擊情況作出類型判斷,采取相應的響應來處理。常見的響應方式有:自動終止攻擊、終止用戶連接、記錄事件的相關信息、向安全管理人員發出提示性電子郵件等。
1.3 傳統入侵檢測技術的特點
傳統的通用入侵檢測模型比較適合基于主機的入侵檢測系統,對應基于網絡的入侵檢測系統來說,存在著許多問題:
①誤/漏報率高。由于傳統的入侵檢測系統在處理網絡數據包時,檢測的方法比較傳統,只能按照現有的規則來判斷是否是異常事件,但是一遇到基于網絡的入侵檢測系統,檢測海量數據包,就不是那么得心應手了,有限的時間,要處理好大量的數據,方法單一,使得最終檢測出來的結果誤/漏報率高。
②網絡實時檢測能力不高。傳統的入侵檢測技術方法比較單一,沒有比較靈活的檢查算法,所以在檢測的時候,很難及時把結果處理出來,因此在一定程度下,實時檢測性較差,影響了檢測效果。
③檢測的速率較低。傳統入侵檢測技術方法相關產品已不能適應交換技術和高帶寬環境的發展,在大流量沖擊、多IP分片情況下都可能造入侵檢測系統的崩潰或丟包,所以檢測的速率也不是很理想。
2 BP神經網絡算法概述
2.1 BP神經網絡算法
人工神經網絡是一種應用類似于大腦神經突觸聯接的結構進行信息處理的數學模型。神經網絡是一種運算模型,由大量的節點(或稱神經元)和之間相互聯接構成。
輸入:給定訓練集Xtrain,其中每一個訓練樣本都是由一組輸入和一組輸出構成,所有的輸入和輸出都是[0,1]之間的浮點數據(如果不是,要首先通過數據變換把它們映射到[0,1]區間);神經網絡結構:隱含層節點數目;神經網絡每個節點的、參數化了的特征函數。
輸出:神經網絡每個節點特征函數的參數。
①按照有序導數計算公式計算總體誤差對于每個參數的有序導數公式(函數)。
②任意選擇一組數據作為初始參數,一般選取(0,0,…,0),把這組初始參數作為當前參數。
③根據當前參數和總體誤差計算公式計算總體誤差,如果誤差足夠小,就把當前參數作為輸出,退出;否則,繼續下面的步驟。
④根據參數調整公式和當前參數數值,計算總體誤差對于各參數的有序導數數值。
⑤計算各個參數的調整大小,并計算調整后的參數大小。把調整后的參數作為當前參數,回到第三步。
2.2 神經網絡計算過程
BP神經網絡算法在工作過程中,首先對神經網絡的參數進行初始化處理,然后計算出隱藏層單元的個數、計算輸出層單元的輸出個數、計算輸出層單元出現的誤差,當誤差在允許范圍內,則結束,輸出相應的結果;如果誤差不在允許范圍內,則要調整中間層到輸出層連接的權值和輸出層單元,再調整輸入層到中間層的連接權值和輸出單元,同時更新學習的次數,當學習次數大于上限值,則結束,輸出結果;如果還沒到上限值,則反復地進行誤差調整,直至滿足算法的誤差要求。最終輸出結果。
3 網絡入侵檢測的結果
該設計方案已經在廣東省潮州市某大型企業中應用,具體實驗情況包括以下幾個方面。
3.1 實驗環境
該實驗在真實網絡入侵環境下進行檢測。該應用平臺的硬件包括由1臺服務器和25臺客戶機構成。
入侵檢測時,以25臺主機同時對企業的內部財務系統進行訪問,對公司的服務器進行。
3.2 實驗結果
改進前和改進后的實驗結果如下表1所示。
通過實驗的結果比較,改過后的入侵檢測系統比改進前入侵檢測系統,提高了準確率,同時也降低了誤報率和漏報。結論證明改進后的基于BP神經網絡入侵檢測系統達到預期目標。
4 結 語
本文從實際出發,通過科學改進,設計開發出一種基于BP算法網絡入侵檢測技術的有效方法,充分地利用了算法設計思想,并應用到實際項目中,最終達到預期的效果。總體來說,入侵檢測在網絡安全應用中是越來越廣泛的,但是隨著海量網絡數據的發展,入侵檢測技術要不斷的更新檢測算法,來適應網絡對技術的要求。
參考文獻:
[1] 李秀改,候媛彬.基于神經網絡BP算法的模糊自適應控制器的研究與實現[J].電氣傳動自動化,2000,(4).
[2] 周川,董秀成.基于神經網絡模型母線保護的運用研究[J].成都紡織高等專科學校學報,2007,(3).
