入侵檢測(cè)論文精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的入侵檢測(cè)論文主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：入侵檢測(cè)論文范文

（1）地球站的安全問(wèn)題地球站作為衛(wèi)星通信網(wǎng)絡(luò)地面應(yīng)用系統(tǒng)的重要組成部分，是負(fù)責(zé)發(fā)送和接收通信信息的地面終端，地球站的數(shù)據(jù)和發(fā)送的信令是用戶(hù)行為的直接體現(xiàn)。作為衛(wèi)星通信網(wǎng)絡(luò)中的節(jié)點(diǎn)，地球站的正常運(yùn)行直接關(guān)系到整個(gè)衛(wèi)星通信網(wǎng)絡(luò)通信的質(zhì)量高低和安全性。地球站異常包括很多方面，除了地球站本身的故障之外，還包括地球站被仿冒、丟失，被非法用戶(hù)使用或者被敵方繳獲等。在非安全的環(huán)境下，敵方可以通過(guò)監(jiān)聽(tīng)網(wǎng)絡(luò)、控制信道，分析網(wǎng)絡(luò)管理信息的模式、格式和內(nèi)容，獲得通信網(wǎng)的大量信息，這些信息包括網(wǎng)內(nèi)地球站成員及其入退網(wǎng)事件，通信流量和多個(gè)地球站之間的通信頻率。同時(shí)，也可以直接偽造、篡改網(wǎng)控中心信息、對(duì)地球站設(shè)置非法參數(shù)、干擾地球站的通信流程、使地球站之間的通信失敗、使合法用戶(hù)異常退網(wǎng)。敵方還可以侵入地球站，干擾網(wǎng)管主機(jī)、竊取網(wǎng)絡(luò)配置信息、篡改網(wǎng)絡(luò)運(yùn)行參數(shù)等。造成地球站異常的這些原因中，由于用戶(hù)的非法操作和非法用戶(hù)的入侵行為引起的異常，對(duì)衛(wèi)星網(wǎng)的安全威脅更大，造成的損失更嚴(yán)重。因此，通過(guò)衛(wèi)星網(wǎng)絡(luò)檢測(cè)到地球站的行為異常，對(duì)整個(gè)衛(wèi)星通信網(wǎng)的安全運(yùn)行具有重要的意義。（2）地球站的工作網(wǎng)管中心相當(dāng)于管理器，主要完成網(wǎng)絡(luò)管理與控制功能，是全網(wǎng)的核心控制單元（ControlUnit，CU），其信令在衛(wèi)星網(wǎng)中擔(dān)負(fù)網(wǎng)絡(luò)管理協(xié)議的作用。網(wǎng)絡(luò)管理與控制功能可以是集中式或分散式，對(duì)于星上透明轉(zhuǎn)發(fā)衛(wèi)星通信系統(tǒng)，衛(wèi)星不具有星上處理能力，只完成放大、轉(zhuǎn)發(fā)的功能，由地面的主站集中進(jìn)行網(wǎng)絡(luò)管理與控制。衛(wèi)星網(wǎng)管作為一個(gè)資源管理控制系統(tǒng)，它對(duì)全網(wǎng)的信道資源、地球站配置資源、用戶(hù)號(hào)碼資源進(jìn)行控制；同時(shí)它作為操作員對(duì)全網(wǎng)的通信進(jìn)行控制、檢測(cè)和干預(yù)，向用戶(hù)提供配置資源管理查看的接口以及資源狀態(tài)顯示和統(tǒng)計(jì)接口，并將當(dāng)前通信系統(tǒng)中的異常情況向用戶(hù)進(jìn)行報(bào)告；它還具備用戶(hù)設(shè)備操作權(quán)限管理、網(wǎng)控中心其它設(shè)備管理等功能。

2衛(wèi)星通信網(wǎng)入侵檢測(cè)系統(tǒng)的實(shí)現(xiàn)

2．1入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu)

入侵檢測(cè)是檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)以發(fā)現(xiàn)違反安全策略事件的過(guò)程。如圖2所示，作為入侵檢測(cè)系統(tǒng)至少應(yīng)該包括三個(gè)功能模塊：提供事件記錄的信息源、發(fā)現(xiàn)入侵跡象的分析引擎和基于分析引擎的響應(yīng)部件。CIDF闡述了一個(gè)入侵檢測(cè)系統(tǒng)的通用模型，即入侵檢測(cè)系統(tǒng)可以分為4個(gè)組件：事件產(chǎn)生器、事件分析器、響應(yīng)單元、事件數(shù)據(jù)庫(kù)。

2．2入侵檢測(cè)系統(tǒng)的功能

衛(wèi)星通信網(wǎng)絡(luò)采用的是分布式的入侵檢測(cè)系統(tǒng)，其主要功能模塊包括：（1）數(shù)據(jù)采集模塊。收集衛(wèi)星發(fā)送來(lái)的各種數(shù)據(jù)信息以及地面站提供的一些數(shù)據(jù)，分為日志采集模塊、數(shù)據(jù)報(bào)采集模塊和其他信息源采集模塊。（2）數(shù)據(jù)分析模塊。對(duì)應(yīng)于數(shù)據(jù)采集模塊，也有三種類(lèi)型的數(shù)據(jù)分析模塊：日志分析模塊、數(shù)據(jù)報(bào)分析模塊和其他信息源分析模塊。（3）告警統(tǒng)計(jì)及管理模塊。該模塊負(fù)責(zé)對(duì)數(shù)據(jù)分析模塊產(chǎn)生的告警進(jìn)行匯總，這樣能更好地檢測(cè)分布式入侵。（4）決策模塊。決策模塊對(duì)告警統(tǒng)計(jì)上報(bào)的告警做出決策，根據(jù)入侵的不同情況選擇不同的響應(yīng)策略，并判斷是否需要向上級(jí)節(jié)點(diǎn)發(fā)出警告。（5）響應(yīng)模塊。響應(yīng)模塊根據(jù)決策模塊送出的策略，采取相應(yīng)的響應(yīng)措施。其主要措施有：忽略、向管理員報(bào)警、終止連接等響應(yīng)。（6）數(shù)據(jù)存儲(chǔ)模塊。數(shù)據(jù)存儲(chǔ)模塊用于存儲(chǔ)入侵特征、入侵事件等數(shù)據(jù)，留待進(jìn)一步分析。（7）管理平臺(tái)。管理平臺(tái)是管理員與入侵檢測(cè)系統(tǒng)交互的管理界面。管理員通過(guò)這個(gè)平臺(tái)可以手動(dòng)處理響應(yīng)，做出最終的決策，完成對(duì)系統(tǒng)的配置、權(quán)限管理，對(duì)入侵特征庫(kù)的手動(dòng)維護(hù)工作。

2．3數(shù)據(jù)挖掘技術(shù)

入侵檢測(cè)系統(tǒng)中需要用到數(shù)據(jù)挖掘技術(shù)。數(shù)據(jù)挖掘是從大量的、不完全的、有噪聲的、模糊的、隨機(jī)的數(shù)據(jù)中提取隱含在其中的、人們事先不知道的、但又是潛在有用的信息和知識(shí)的過(guò)程。將數(shù)據(jù)挖掘技術(shù)應(yīng)用于入侵檢測(cè)系統(tǒng)的主要優(yōu)點(diǎn)：（1）自適應(yīng)能力強(qiáng)。專(zhuān)家根據(jù)現(xiàn)有的攻擊從而分析、建立出它們的特征模型作為傳統(tǒng)入侵檢測(cè)系統(tǒng)規(guī)則庫(kù)。但是如果一種攻擊跨越較長(zhǎng)一段時(shí)間，那么原有的入侵檢測(cè)系統(tǒng)規(guī)則庫(kù)很難得到及時(shí)更新，并且為了一種新的攻擊去更換整個(gè)系統(tǒng)的成本將大大提升。因?yàn)閼?yīng)用數(shù)據(jù)挖掘技術(shù)的異常檢測(cè)與信號(hào)匹配模式是不一樣的，它不是對(duì)每一個(gè)信號(hào)一一檢測(cè)，所以新的攻擊可以得到有效的檢測(cè)，表現(xiàn)出較強(qiáng)實(shí)時(shí)性。（2）誤警率低。因?yàn)楝F(xiàn)有系統(tǒng)的檢測(cè)原理主要是依靠單純的信號(hào)匹配，這種生硬的方式，使得它的報(bào)警率與實(shí)際情況不一致。數(shù)據(jù)挖掘技術(shù)與入侵檢測(cè)技術(shù)相結(jié)合的系統(tǒng)是從等報(bào)發(fā)生的序列中發(fā)現(xiàn)隱含在其中的規(guī)律，可以過(guò)濾出正常行為的信號(hào)，從而降低了系統(tǒng)的誤警率。（3）智能性強(qiáng)。應(yīng)用了數(shù)據(jù)挖掘的入侵檢測(cè)系統(tǒng)可以在人很少參與的情況下自動(dòng)地從大量的網(wǎng)絡(luò)數(shù)據(jù)中提取人們不易發(fā)現(xiàn)的行為模式，也提高了系統(tǒng)檢測(cè)的準(zhǔn)確性。

3結(jié)束語(yǔ)

第2篇：入侵檢測(cè)論文范文

關(guān)鍵詞：入侵檢測(cè)，Snort，三層結(jié)構(gòu)，校園網(wǎng)，關(guān)聯(lián)規(guī)則

 

0 前言

隨著互聯(lián)網(wǎng)的飛速發(fā)展，信息網(wǎng)絡(luò)已經(jīng)進(jìn)入千家萬(wàn)戶(hù)，各國(guó)都在加速信息化建設(shè)的進(jìn)程，越來(lái)越多的電子業(yè)務(wù)正在網(wǎng)絡(luò)上開(kāi)展，這加速了全球信息化的進(jìn)程，促進(jìn)了社會(huì)各個(gè)領(lǐng)域的發(fā)展，與此同時(shí)計(jì)算機(jī)網(wǎng)絡(luò)也受到越來(lái)越多的惡意攻擊[1]，例如網(wǎng)頁(yè)內(nèi)容被篡改、消費(fèi)者網(wǎng)上購(gòu)物信用卡帳號(hào)和密碼被盜、大型網(wǎng)站被黑客攻擊無(wú)法提供正常服務(wù)等等。

入侵檢測(cè)作為傳統(tǒng)計(jì)算機(jī)安全機(jī)制的補(bǔ)充[2]，它的開(kāi)發(fā)與應(yīng)用擴(kuò)大了網(wǎng)絡(luò)與系統(tǒng)安全的保護(hù)縱深，成為目前動(dòng)態(tài)安全工具的主要研究和開(kāi)發(fā)的方向。隨著系統(tǒng)漏洞不斷被發(fā)現(xiàn)，攻擊不斷發(fā)生，入侵檢測(cè)系統(tǒng)在整個(gè)安全系統(tǒng)中的地位不斷提高，所發(fā)揮的作用也越來(lái)越大。無(wú)論是從事網(wǎng)絡(luò)安全研究的學(xué)者，還是從事入侵檢測(cè)產(chǎn)品開(kāi)發(fā)的企業(yè)，都越來(lái)越重視入侵檢測(cè)技術(shù)。

本文在校園網(wǎng)的環(huán)境下，提出了一種基于Snort的三層入侵檢測(cè)系統(tǒng)，詳細(xì)介紹了該系統(tǒng)的體系結(jié)構(gòu)，各個(gè)模塊的具體功能以及如何實(shí)現(xiàn)，并最終將該系統(tǒng)應(yīng)用于校園網(wǎng)絡(luò)中進(jìn)行檢測(cè)網(wǎng)絡(luò)安全論文，確保校園網(wǎng)絡(luò)的安全。

1 Snort入侵檢測(cè)系統(tǒng)介紹

Snort[3]是一種基于網(wǎng)絡(luò)的輕量級(jí)入侵檢測(cè)系統(tǒng)，建立在數(shù)據(jù)包嗅探器上。它能實(shí)時(shí)分析網(wǎng)絡(luò)上的數(shù)據(jù)包，檢測(cè)來(lái)自網(wǎng)絡(luò)的攻擊。它能方便地安裝和配置在網(wǎng)絡(luò)的任何一節(jié)點(diǎn)上，而且不會(huì)對(duì)網(wǎng)絡(luò)運(yùn)行產(chǎn)生太大的影響，同時(shí)它還具有跨系統(tǒng)平臺(tái)操作、最小的系統(tǒng)要求以及易于部署和配置等特征，并且管理員能夠利用它在短時(shí)間內(nèi)通過(guò)修改配置進(jìn)行實(shí)時(shí)的安全響應(yīng)。它能夠?qū)崟r(shí)分析數(shù)據(jù)流量和日志IP網(wǎng)絡(luò)數(shù)據(jù)包，能夠進(jìn)行協(xié)議分析，對(duì)內(nèi)容進(jìn)行搜索/匹配。其次它還可以檢測(cè)各種不同的攻擊方式，對(duì)攻擊進(jìn)行實(shí)時(shí)警報(bào)?？偟膩?lái)說(shuō)，Snort具有如下的優(yōu)點(diǎn)：

（1）高效的檢測(cè)和模式匹配算法，使性能大大提升。

（2）良好的擴(kuò)展性，它采用了插入式檢測(cè)引擎，可以作為標(biāo)準(zhǔn)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)、主機(jī)入侵檢測(cè)系統(tǒng)使用；與Netfilter結(jié)合使用，可以作為網(wǎng)關(guān)IDS(Gateway IDS，GIDS)；與NMAP等系統(tǒng)指紋識(shí)別工具結(jié)合使用，可以作為基于目標(biāo)的TIDS(Target-basedIDS)。

（3）出色的協(xié)議分析能力，Snort能夠分析的協(xié)議有TCP,UDP和ICMP。將來(lái)的版本，將提供對(duì)ARP.ICRP,GRE,OSPF,RIP,ERIP,IPX,APPLEX等協(xié)議的支持。它能夠檢測(cè)多種方式的攻擊和探測(cè)，例如：緩沖區(qū)溢出，CGI攻擊，SMB檢測(cè)，端口掃描等等中國(guó)期刊全文數(shù)據(jù)庫(kù)。

（4）支持多種格式的特征碼規(guī)則輸入方式，如數(shù)據(jù)庫(kù)、XML等。

Snort同時(shí)遵循GPL（公用許可License），任何組織或者個(gè)人都可以自由使用，這是商業(yè)入侵檢測(cè)軟件所不具備的優(yōu)點(diǎn)?；谝陨系奶攸c(diǎn)，本文采用了Snort作為系統(tǒng)設(shè)計(jì)的基礎(chǔ)，自主開(kāi)發(fā)設(shè)計(jì)了三層結(jié)構(gòu)的入侵檢測(cè)系統(tǒng)。

2 入侵檢測(cè)三層體系結(jié)構(gòu)

Snort入侵檢測(cè)系統(tǒng)可采用單層或多層的體系結(jié)構(gòu)，對(duì)于單層[4]的結(jié)構(gòu)來(lái)說(shuō)，它將入侵檢測(cè)的核心功能和日志信息混合放在同一層面上，這樣的系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)均比較簡(jiǎn)單，但它的缺點(diǎn)是交互性比較差，擴(kuò)展性不好，操作管理比較繁瑣，系統(tǒng)的升級(jí)維護(hù)比較復(fù)雜。為了設(shè)計(jì)一個(gè)具有靈活性、安全性和可擴(kuò)展性的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，本文的系統(tǒng)采用了三層體系結(jié)構(gòu)，主要包括網(wǎng)絡(luò)入侵檢測(cè)層、數(shù)據(jù)庫(kù)服務(wù)器層和日志分析控制臺(tái)層。系統(tǒng)的三層體系結(jié)構(gòu)如圖4.1所示。

圖4.1 三層體系結(jié)構(gòu)圖

（1）網(wǎng)絡(luò)入侵檢測(cè)層主要實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的實(shí)時(shí)捕獲，監(jiān)控和對(duì)數(shù)據(jù)進(jìn)行分析以找出可能存在的入侵。

（2）數(shù)據(jù)庫(kù)服務(wù)器層主要是從入侵檢測(cè)系統(tǒng)中收集報(bào)警數(shù)據(jù)，并將它存入到關(guān)系數(shù)據(jù)庫(kù)中網(wǎng)絡(luò)安全論文，以便用戶(hù)進(jìn)行復(fù)雜的查詢(xún)，和更好地管理報(bào)警信息。

（3）日志分析控制臺(tái)層是數(shù)據(jù)顯示層，網(wǎng)絡(luò)管理員可通過(guò)瀏覽器本地的Web服務(wù)器，訪(fǎng)問(wèn)關(guān)系數(shù)據(jù)庫(kù)中的數(shù)據(jù)，對(duì)報(bào)警日志信息進(jìn)行查詢(xún)與管理，提供了很好的人機(jī)交互界面。

2.1 網(wǎng)絡(luò)入侵檢測(cè)層

網(wǎng)絡(luò)入侵檢測(cè)層是整個(gè)系統(tǒng)的核心所在，主要負(fù)責(zé)數(shù)據(jù)的采集、分析、判斷是否存在入侵行為，并通過(guò)Snort的輸出插件將數(shù)據(jù)送入數(shù)據(jù)庫(kù)服務(wù)器中。Snort沒(méi)有自己的數(shù)據(jù)采集工具，它需要外部的數(shù)據(jù)包捕獲程序庫(kù)winpcap[4]，因此本部分主要包括兩個(gè)組件：winpcap和Snort。winpcap是由伯克利分組捕獲庫(kù)派生而來(lái)的分組捕獲庫(kù)，它在Windows操作平臺(tái)上實(shí)現(xiàn)底層包的截取過(guò)濾，它提供了Win32應(yīng)用程序提供訪(fǎng)問(wèn)網(wǎng)絡(luò)底層的能力。通過(guò)安裝winpcap和Snort兩個(gè)開(kāi)源軟件，搭建了一個(gè)基本的入侵檢測(cè)層，基本上完成了一個(gè)簡(jiǎn)單的單層入侵檢測(cè)系統(tǒng)。

2.2 數(shù)據(jù)庫(kù)服務(wù)器模塊

數(shù)據(jù)庫(kù)服務(wù)器層主要是從入侵檢測(cè)系統(tǒng)中收集報(bào)警數(shù)據(jù)，并將它存入到關(guān)系數(shù)據(jù)庫(kù)中。除了將報(bào)警數(shù)據(jù)寫(xiě)入關(guān)系數(shù)據(jù)庫(kù)，Snort還可以用其他方式記錄警報(bào)，如系統(tǒng)日志syslog[5]，統(tǒng)一格式輸出unified等。利用關(guān)系數(shù)據(jù)庫(kù)對(duì)數(shù)據(jù)量相當(dāng)大的報(bào)警數(shù)據(jù)進(jìn)行組織管理是最實(shí)用的方法。報(bào)警存入關(guān)系數(shù)據(jù)庫(kù)后能對(duì)其進(jìn)行分類(lèi)，查詢(xún)和按優(yōu)先級(jí)組織排序等。在本系統(tǒng)中我們采用MySQL數(shù)據(jù)庫(kù)。MySQL是一個(gè)快速的客戶(hù)機(jī)/服務(wù)器結(jié)構(gòu)的SQL數(shù)據(jù)庫(kù)管理系統(tǒng)，功能強(qiáng)大、靈活性好、應(yīng)用編程接口豐富并且系統(tǒng)結(jié)構(gòu)精巧。MySQL數(shù)據(jù)庫(kù)采用默認(rèn)方式安裝后，設(shè)置MySQL為服務(wù)方式運(yùn)行。然后啟動(dòng)MySQL服務(wù)，進(jìn)入命令行狀態(tài)，創(chuàng)建Snort運(yùn)行必需的存放系統(tǒng)日志的Snort庫(kù)和Snort_archive庫(kù)。同時(shí)使用Snort目錄下的create_mysql腳本建立Snort運(yùn)行所需的數(shù)據(jù)表，用來(lái)存放系統(tǒng)日志和報(bào)警信息，數(shù)據(jù)庫(kù)服務(wù)器模塊就可以使用了。

2.3 日志分析控制臺(tái)

日志分析控制臺(tái)用來(lái)分析和處理Snort收集的入侵?jǐn)?shù)據(jù)，以友好、便于查詢(xún)的方式顯示日志數(shù)據(jù)庫(kù)發(fā)送過(guò)來(lái)的報(bào)警信息，并可按照不同的方式對(duì)信息進(jìn)行分類(lèi)統(tǒng)計(jì)，將結(jié)果顯示給用戶(hù)。本文所設(shè)計(jì)的警報(bào)日志分析系統(tǒng)采用上面所述的中心管理控制平臺(tái)模式，在保護(hù)目標(biāo)網(wǎng)絡(luò)中構(gòu)建一個(gè)中心管理控制平臺(tái)，并與網(wǎng)絡(luò)中架設(shè)的Snort入侵檢測(cè)系統(tǒng)及MySQL數(shù)據(jù)庫(kù)通信，達(dá)到以下一些目的：

(1)能夠適應(yīng)較大規(guī)模的網(wǎng)絡(luò)環(huán)境；

(2)簡(jiǎn)化規(guī)則配置模式，便于用戶(hù)遠(yuǎn)程修改Snort入侵檢測(cè)系統(tǒng)的檢測(cè)規(guī)則；

(3)降低警報(bào)數(shù)據(jù)量，通過(guò)多次數(shù)據(jù)分類(lèi)分析，找出危害重大的攻擊行為；

(4)減少Snort的警報(bào)數(shù)據(jù)在MySQL數(shù)據(jù)庫(kù)中的存儲(chǔ)量，降低運(yùn)行系統(tǒng)的負(fù)擔(dān)；

(5)將分析后的警報(bào)數(shù)據(jù)制成報(bào)表形式輸出，降低對(duì)于管理員的要求。

為了完成以上所述的目的，提高Snort入侵檢測(cè)系統(tǒng)的使用效率，本子系統(tǒng)主要分為以下三個(gè)模塊：規(guī)則配置模塊網(wǎng)絡(luò)安全論文，數(shù)據(jù)分析模塊，報(bào)表模塊。本子系統(tǒng)框架如圖4.4所示：

圖4.4 Snort警報(bào)日志系統(tǒng)框架

（1）規(guī)則配置模塊：起到簡(jiǎn)化用戶(hù)配置Snort檢測(cè)規(guī)則的作用。此模塊主要與Snort運(yùn)行主機(jī)系統(tǒng)上的一個(gè)守護(hù)程序通信，修改Snort的配置文件――Snort.conf，從而完成改變檢測(cè)規(guī)則的目。中心控制管理平臺(tái)在本地系統(tǒng)上備份snort.conf文件以及所有規(guī)則文件，當(dāng)需要修改某個(gè)Snort入侵檢測(cè)系統(tǒng)的規(guī)則配置時(shí)，就可以通過(guò)平臺(tái)接口首先修改本地對(duì)應(yīng)的snort.conf文件以及所有規(guī)則文件，然后通過(guò)與Snort運(yùn)行系統(tǒng)中守護(hù)程序通信，將本地系統(tǒng)上修改后的snort.conf文件以及所有規(guī)則文件傳輸?shù)絊nort運(yùn)行系統(tǒng)中并且覆蓋掉運(yùn)行系統(tǒng)中的原配置文件和原規(guī)則文件集，然后重新啟動(dòng)Snort，達(dá)到重新配置Snort檢測(cè)規(guī)則的目的。

（2）數(shù)據(jù)分析模塊：主要利用改進(jìn)的Apriori算法對(duì)數(shù)據(jù)庫(kù)的日志進(jìn)行分析，通過(guò)關(guān)聯(lián)規(guī)則挖掘，生成一些新的檢測(cè)規(guī)則用來(lái)改進(jìn)snort本身的檢測(cè)規(guī)則，分析警報(bào)數(shù)據(jù)，降低輸出的警報(bào)數(shù)據(jù)量，集中顯示危害較為嚴(yán)重的入侵行為。數(shù)據(jù)分析模塊是整個(gè)中心管理控制中心的核心模塊。本模塊通過(guò)挖掘保存在Mysql數(shù)據(jù)庫(kù)中Snort異常日志數(shù)據(jù)來(lái)發(fā)現(xiàn)這些入侵?jǐn)?shù)據(jù)之間的關(guān)聯(lián)關(guān)系，通過(guò)發(fā)現(xiàn)入侵?jǐn)?shù)據(jù)的強(qiáng)關(guān)聯(lián)規(guī)則來(lái)發(fā)現(xiàn)新的未知入侵行為，建立新的Snort檢測(cè)規(guī)則，進(jìn)一步優(yōu)化Snort系統(tǒng)的規(guī)則鏈表中國(guó)期刊全文數(shù)據(jù)庫(kù)。具體的步驟如下：

先對(duì)Snort異常日志進(jìn)行數(shù)據(jù)預(yù)處理。數(shù)據(jù)預(yù)處理中先計(jì)算出每個(gè)網(wǎng)絡(luò)特征屬性的信息增益值，然后取出前面11個(gè)重要的網(wǎng)絡(luò)特征，把原來(lái)要分析的多個(gè)網(wǎng)絡(luò)特征減少到11個(gè)重要的網(wǎng)絡(luò)特征，這樣就大大減小了整個(gè)算法的復(fù)雜度，也有利提高檢測(cè)速度。歷史日志經(jīng)過(guò)預(yù)處理之后，我們就可以采用改進(jìn)的Apriori算法求出所有頻繁項(xiàng)集。在產(chǎn)生頻繁項(xiàng)集之前，我們需要設(shè)定最小支持度，最小支持度設(shè)置得越低，產(chǎn)生的頻繁項(xiàng)集就會(huì)越多，反之就會(huì)越少。通常，最小支持度的設(shè)定有賴(lài)于領(lǐng)域?qū)＜业姆治龊蛯?shí)驗(yàn)數(shù)據(jù)分析兩種手段。經(jīng)過(guò)反復(fù)實(shí)驗(yàn)，最終采用模擬仿真的攻擊數(shù)據(jù)進(jìn)行規(guī)則推導(dǎo)，設(shè)定最小支持度10%、可信度80%。訓(xùn)練結(jié)束時(shí)頭100條質(zhì)量最好的規(guī)則作為最終的檢測(cè)規(guī)則。把關(guān)聯(lián)規(guī)則中與Snort規(guī)則頭相關(guān)的項(xiàng)放在一起充當(dāng)規(guī)則頭，與Snort規(guī)則選項(xiàng)相關(guān)的項(xiàng)放在一起充當(dāng)規(guī)則選項(xiàng)，然后把規(guī)則頭與規(guī)則選項(xiàng)合并在一起形成Snort入侵檢測(cè)規(guī)則。

（3）報(bào)表模塊：將分析后的數(shù)據(jù)庫(kù)中的警報(bào)數(shù)據(jù)制成報(bào)表輸出，降低對(duì)于管理員的要求。報(bào)表模塊是為了簡(jiǎn)化管理員觀察數(shù)據(jù)，美觀輸出而創(chuàng)建，通過(guò).net的報(bào)表編寫(xiě)完成。報(bào)表是高彈性的報(bào)表設(shè)計(jì)器，用于報(bào)表的數(shù)據(jù)可以從任何類(lèi)型的數(shù)據(jù)源獲取，包含字符列表，BDE數(shù)據(jù)庫(kù)網(wǎng)絡(luò)安全論文，ADO數(shù)據(jù)源（不使用BDE），Interbase（使用IBO），Pascal數(shù)組和記錄，以及一些不常用的數(shù)據(jù)源。

該系統(tǒng)采用Microsoft Visual Studio 2008進(jìn)行開(kāi)發(fā)，語(yǔ)言采用C#。具體如下圖：

圖4.5 日志分析控制臺(tái)

 

3 系統(tǒng)實(shí)際運(yùn)行效果

集美大學(xué)誠(chéng)毅學(xué)院作為一個(gè)獨(dú)立學(xué)院，為了更好的滿(mǎn)足學(xué)院師生對(duì)信息資源的需求，部署了自己的web服務(wù)器，ftp服務(wù)器，英語(yǔ)網(wǎng)絡(luò)自主學(xué)習(xí)等教學(xué)平臺(tái)，有了豐富的網(wǎng)絡(luò)信息資源。學(xué)院隨著網(wǎng)絡(luò)應(yīng)用的不斷展開(kāi)，使用者越來(lái)越多，網(wǎng)絡(luò)安全狀況也出現(xiàn)很多問(wèn)題，比如學(xué)院的web服務(wù)器曾經(jīng)出現(xiàn)掛馬事件，ftp服務(wù)器被入侵等事件也相繼出現(xiàn)。為了解決該問(wèn)題，部署屬于自己的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，用來(lái)檢測(cè)入侵事件，提高校園網(wǎng)絡(luò)的安全情況就成為必須要解決的問(wèn)題。該系統(tǒng)目前已經(jīng)在集美大學(xué)誠(chéng)毅學(xué)院使用，檢測(cè)效果很好，有效的防范了網(wǎng)絡(luò)安全事件的發(fā)生，能夠及時(shí)對(duì)攻擊事件進(jìn)行檢測(cè)，從而采取相對(duì)應(yīng)的防范措施。

[參考文獻(xiàn)]

[1]RobFliCkenger.LinnxServerHaeks.北京:清華大學(xué)出版社，2004.5, 132-135

[2]蔣建春，馮登國(guó).網(wǎng)絡(luò)入侵監(jiān)測(cè)原理與技術(shù).北京:國(guó)防工業(yè)出版社，2001.

[3]ForrestS,HofmeyrS,SomayajiA.Computerimmunology.Communicationsof the ACM,1997.40(10).88-96.

[4]Jack Koziol著.吳溥峰，孫默，許誠(chéng)等譯.Snort入侵檢測(cè)實(shí)用解決方案.北京:機(jī)械工業(yè)出版社.2005.

[5]韓東海，王超，李群.入侵檢測(cè)系統(tǒng)實(shí)例剖析.清華大學(xué)出版社，2002

第3篇：入侵檢測(cè)論文范文

引言

近年來(lái)，隨著信息和網(wǎng)絡(luò)技術(shù)的高速發(fā)展以及政治、經(jīng)濟(jì)或者軍事利益的驅(qū)動(dòng)，計(jì)算機(jī)和網(wǎng)絡(luò)基礎(chǔ)設(shè)施，非凡是各種官方機(jī)構(gòu)的網(wǎng)站，成為黑客攻擊的熱門(mén)目標(biāo)。近年來(lái)對(duì)電子商務(wù)的熱切需求，更加激化了這種入侵事件的增長(zhǎng)趨向。由于防火墻只防外不防內(nèi)，并且很輕易被繞過(guò)，所以?xún)H僅依靠防火墻的計(jì)算機(jī)系統(tǒng)已經(jīng)不能對(duì)付日益猖獗的入侵行為，對(duì)付入侵行為的第二道防線(xiàn)——入侵檢測(cè)系統(tǒng)就被啟用了。

1 入侵檢測(cè)系統(tǒng)(IDS)概念

1980年，James P.Anderson 第一次系統(tǒng)闡述了入侵檢測(cè)的概念，并將入侵行為分為外部滲透、內(nèi)部滲透和不法行為三種，還提出了利用審計(jì)數(shù)據(jù)監(jiān)視入侵活動(dòng)的思想[1。即其之后,1986年Dorothy E.Denning提出實(shí)時(shí)異常檢測(cè)的概念[2并建立了第一個(gè)實(shí)時(shí)入侵檢測(cè)模型，命名為入侵檢測(cè)專(zhuān)家系統(tǒng)(IDES)，1990年，L.T.Heberlein等設(shè)計(jì)出監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)流的入侵檢測(cè)系統(tǒng)，NSM(Network Security Monitor)。自此之后，入侵檢測(cè)系統(tǒng)才真正發(fā)展起來(lái)。

Anderson將入侵嘗試或威脅定義為摘要：潛在的、有預(yù)謀的、未經(jīng)授權(quán)的訪(fǎng)問(wèn)信息、操作信息、致使系統(tǒng)不可靠或無(wú)法使用的企圖。而入侵檢測(cè)的定義為[4摘要：發(fā)現(xiàn)非授權(quán)使用計(jì)算機(jī)的個(gè)體(如“黑客”)或計(jì)算機(jī)系統(tǒng)的合法用戶(hù)濫用其訪(fǎng)問(wèn)系統(tǒng)的權(quán)利以及企圖實(shí)施上述行為的個(gè)體。執(zhí)行入侵檢測(cè)任務(wù)的程序即是入侵檢測(cè)系統(tǒng)。入侵檢測(cè)系統(tǒng)也可以定義為摘要：檢測(cè)企圖破壞計(jì)算機(jī)資源的完整性，真實(shí)性和可用性的行為的軟件。

入侵檢測(cè)系統(tǒng)執(zhí)行的主要任務(wù)包括[3摘要：監(jiān)視、分析用戶(hù)及系統(tǒng)活動(dòng);審計(jì)系統(tǒng)構(gòu)造和弱點(diǎn);識(shí)別、反映已知進(jìn)攻的活動(dòng)模式，向相關(guān)人士報(bào)警;統(tǒng)計(jì)分析異常行為模式;評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性;審計(jì)、跟蹤管理操作系統(tǒng)，識(shí)別用戶(hù)違反平安策略的行為。入侵檢測(cè)一般分為三個(gè)步驟摘要：信息收集、數(shù)據(jù)分析、響應(yīng)。

入侵檢測(cè)的目的摘要：(1)識(shí)別入侵者;(2)識(shí)別入侵行為;(3)檢測(cè)和監(jiān)視以實(shí)施的入侵行為;(4)為對(duì)抗入侵提供信息，阻止入侵的發(fā)生和事態(tài)的擴(kuò)大;

2 入侵檢測(cè)系統(tǒng)模型

美國(guó)斯坦福國(guó)際探究所(SRI)的D.E.Denning于1986年首次提出一種入侵檢測(cè)模型[2，該模型的檢測(cè)方法就是建立用戶(hù)正常行為的描述模型，并以此同當(dāng)前用戶(hù)活動(dòng)的審計(jì)記錄進(jìn)行比較，假如有較大偏差，則表示有異?；顒?dòng)發(fā)生。這是一種基于統(tǒng)計(jì)的檢測(cè)方法。隨著技術(shù)的發(fā)展，后來(lái)人們又提出了基于規(guī)則的檢測(cè)方法。結(jié)合這兩種方法的優(yōu)點(diǎn)，人們?cè)O(shè)計(jì)出很多入侵檢測(cè)的模型。通用入侵檢測(cè)構(gòu)架(Common Intrusion Detection Framework簡(jiǎn)稱(chēng)CIDF)組織，試圖將現(xiàn)有的入侵檢測(cè)系統(tǒng)標(biāo)準(zhǔn)化，CIDF闡述了一個(gè)入侵檢測(cè)系統(tǒng)的通用模型(一般稱(chēng)為CIDF模型)。它將一個(gè)入侵檢測(cè)系統(tǒng)分為以下四個(gè)組件摘要：

事件產(chǎn)生器(Event Generators)

事件分析器(Event analyzers)

響應(yīng)單元(Response units)

事件數(shù)據(jù)庫(kù)(Event databases)

它將需要分析的數(shù)據(jù)通稱(chēng)為事件，事件可以是基于網(wǎng)絡(luò)的數(shù)據(jù)包也可以是基于主機(jī)的系統(tǒng)日志中的信息。事件產(chǎn)生器的目的是從整個(gè)計(jì)算機(jī)環(huán)境中獲得事件，并向系統(tǒng)其它部分提供此事件。事件分析器分析得到的事件并產(chǎn)生分析結(jié)果。響應(yīng)單元?jiǎng)t是對(duì)分析結(jié)果做出反應(yīng)的功能單元，它可以做出切斷連接、修改文件屬性等強(qiáng)烈反應(yīng)。事件數(shù)據(jù)庫(kù)是存放各種中間和最終數(shù)據(jù)的地方的通稱(chēng)，它可以是復(fù)雜的數(shù)據(jù)庫(kù)也可以是簡(jiǎn)單的文本文件。

3 入侵檢測(cè)系統(tǒng)的分類(lèi)摘要：

現(xiàn)有的IDS的分類(lèi)，大都基于信息源和分析方法。為了體現(xiàn)對(duì)IDS從布局、采集、分析、響應(yīng)等各個(gè)層次及系統(tǒng)性探究方面的新問(wèn)題，在這里采用五類(lèi)標(biāo)準(zhǔn)摘要：控制策略、同步技術(shù)、信息源、分析方法、響應(yīng)方式。

按照控制策略分類(lèi)

控制策略描述了IDS的各元素是如何控制的，以及IDS的輸入和輸出是如何管理的。按照控制策略IDS可以劃分為，集中式IDS、部分分布式IDS和全部分布式IDS。在集中式IDS中，一個(gè)中心節(jié)點(diǎn)控制系統(tǒng)中所有的監(jiān)視、檢測(cè)和報(bào)告。在部分分布式IDS中，監(jiān)控和探測(cè)是由本地的一個(gè)控制點(diǎn)控制，層次似的將報(bào)告發(fā)向一個(gè)或多個(gè)中心站。在全分布式IDS中，監(jiān)控和探測(cè)是使用一種叫“”的方法，進(jìn)行分析并做出響應(yīng)決策。

按照同步技術(shù)分類(lèi)

同步技術(shù)是指被監(jiān)控的事件以及對(duì)這些事件的分析在同一時(shí)間進(jìn)行。按照同步技術(shù)劃分，IDS劃分為間隔批任務(wù)處理型IDS和實(shí)時(shí)連續(xù)性IDS。在間隔批任務(wù)處理型IDS中，信息源是以文件的形式傳給分析器，一次只處理特定時(shí)間段內(nèi)產(chǎn)生的信息，并在入侵發(fā)生時(shí)將結(jié)果反饋給用戶(hù)。很多早期的基于主機(jī)的IDS都采用這種方案。在實(shí)時(shí)連續(xù)型IDS中，事件一發(fā)生，信息源就傳給分析引擎，并且馬上得到處理和反映。實(shí)時(shí)IDS是基于網(wǎng)絡(luò)IDS首選的方案。

按照信息源分類(lèi)

按照信息源分類(lèi)是目前最通用的劃分方法，它分為基于主機(jī)的IDS、基于網(wǎng)絡(luò)的IDS和分布式IDS。基于主機(jī)的IDS通過(guò)分析來(lái)自單個(gè)的計(jì)算機(jī)系統(tǒng)的系統(tǒng)審計(jì)蹤跡和系統(tǒng)日志來(lái)檢測(cè)攻擊。基于主機(jī)的IDS是在關(guān)鍵的網(wǎng)段或交換部位通過(guò)捕捉并分析網(wǎng)絡(luò)數(shù)據(jù)包來(lái)檢測(cè)攻擊。分布式IDS，能夠同時(shí)分析來(lái)自主機(jī)系統(tǒng)日志和網(wǎng)絡(luò)數(shù)據(jù)流，系統(tǒng)由多個(gè)部件組成，采用分布式結(jié)構(gòu)。

按照分析方法分類(lèi)

按照分析方法IDS劃分為濫用檢測(cè)型IDS和異常檢測(cè)型IDS。濫用檢測(cè)型的IDS中，首先建立一個(gè)對(duì)過(guò)去各種入侵方法和系統(tǒng)缺陷知識(shí)的數(shù)據(jù)庫(kù)，當(dāng)收集到的信息和庫(kù)中的原型相符合時(shí)則報(bào)警。任何不符合特定條件的活動(dòng)將會(huì)被認(rèn)為合法，因此這樣的系統(tǒng)虛警率很低。異常檢測(cè)型IDS是建立在如下假設(shè)的基礎(chǔ)之上的，即任何一種入侵行為都能由于其偏離正?；蛘咚谕南到y(tǒng)和用戶(hù)活動(dòng)規(guī)律而被檢測(cè)出來(lái)。所以它需要一個(gè)記錄合法活動(dòng)的數(shù)據(jù)庫(kù)，由于庫(kù)的有限性使得虛警率比較高。

按照響應(yīng)方式分類(lèi)

按照響應(yīng)方式IDS劃分為主動(dòng)響應(yīng)IDS和被動(dòng)響應(yīng)IDS。當(dāng)特定的入侵被檢測(cè)到時(shí)，主動(dòng)IDS會(huì)采用以下三種響應(yīng)摘要：收集輔助信息;改變環(huán)境以堵住導(dǎo)致入侵發(fā)生的漏洞;對(duì)攻擊者采取行動(dòng)(這是一種不被推薦的做法，因?yàn)樾袨橛悬c(diǎn)過(guò)激)。被動(dòng)響應(yīng)IDS則是將信息提供給系統(tǒng)用戶(hù)，依靠管理員在這一信息的基礎(chǔ)上采取進(jìn)一步的行動(dòng)。

4 IDS的評(píng)價(jià)標(biāo)準(zhǔn)

目前的入侵檢測(cè)技術(shù)發(fā)展迅速，應(yīng)用的技術(shù)也很廣泛，如何來(lái)評(píng)價(jià)IDS的優(yōu)缺點(diǎn)就顯得非常重要。評(píng)價(jià)IDS的優(yōu)劣主要有這樣幾個(gè)方面[5摘要：(1)準(zhǔn)確性。準(zhǔn)確性是指IDS不會(huì)標(biāo)記環(huán)境中的一個(gè)合法行為為異?；蛉肭帧?2)性能。IDS的性能是指處理審計(jì)事件的速度。對(duì)一個(gè)實(shí)時(shí)IDS來(lái)說(shuō)，必須要求性能良好。(3)完整性。完整性是指IDS能檢測(cè)出所有的攻擊。(4)故障容錯(cuò)(fault tolerance)。當(dāng)被保護(hù)系統(tǒng)遭到攻擊和毀壞時(shí)，能迅速恢復(fù)系統(tǒng)原有的數(shù)據(jù)和功能。(5)自身反抗攻擊能力。這一點(diǎn)很重要，尤其是“拒絕服務(wù)”攻擊。因?yàn)槎鄶?shù)對(duì)目標(biāo)系統(tǒng)的攻擊都是采用首先用“拒絕服務(wù)”攻擊摧毀IDS，再實(shí)施對(duì)系統(tǒng)的攻擊。(6)及時(shí)性(Timeliness)。一個(gè)IDS必須盡快地執(zhí)行和傳送它的分析結(jié)果，以便在系統(tǒng)造成嚴(yán)重危害之前能及時(shí)做出反應(yīng)，阻止攻擊者破壞審計(jì)數(shù)據(jù)或IDS本身。

除了上述幾個(gè)主要方面，還應(yīng)該考慮以下幾個(gè)方面摘要：(1)IDS運(yùn)行時(shí)，額外的計(jì)算機(jī)資源的開(kāi)銷(xiāo);(2)誤警報(bào)率/漏警報(bào)率的程度;(3)適應(yīng)性和擴(kuò)展性;(4)靈活性;(5)管理的開(kāi)銷(xiāo);(6)是否便于使用和配置。

5 IDS的發(fā)展趨

隨著入侵檢測(cè)技術(shù)的發(fā)展，成型的產(chǎn)品已陸續(xù)應(yīng)用到實(shí)踐中。入侵檢測(cè)系統(tǒng)的典型代表是ISS(國(guó)際互聯(lián)網(wǎng)平安系統(tǒng)公司)公司的RealSecure。目前較為聞名的商用入侵檢測(cè)產(chǎn)品還有摘要：NAI公司的CyberCop Monitor、Axent公司的NetProwler、CISCO公司的Netranger、CA公司的Sessionwall-3等。國(guó)內(nèi)的該類(lèi)產(chǎn)品較少，但發(fā)展很快，已有總參北方所、中科網(wǎng)威、啟明星辰等公司推出產(chǎn)品。

人們?cè)谕晟圃屑夹g(shù)的基礎(chǔ)上，又在探究新的檢測(cè)方法，如數(shù)據(jù)融合技術(shù)，主動(dòng)的自主方法，智能技術(shù)以及免疫學(xué)原理的應(yīng)用等。其主要的發(fā)展方向可概括為摘要：

(1)大規(guī)模分布式入侵檢測(cè)。傳統(tǒng)的入侵檢測(cè)技術(shù)一般只局限于單一的主機(jī)或網(wǎng)絡(luò)框架，顯然不能適應(yīng)大規(guī)模網(wǎng)絡(luò)的監(jiān)測(cè)，不同的入侵檢測(cè)系統(tǒng)之間也不能協(xié)同工作。因此，必須發(fā)展大規(guī)模的分布式入侵檢測(cè)技術(shù)。

(2)寬帶高速網(wǎng)絡(luò)的實(shí)時(shí)入侵檢測(cè)技術(shù)。大量高速網(wǎng)絡(luò)的不斷涌現(xiàn)，各種寬帶接入手段層出不窮，如何實(shí)現(xiàn)高速網(wǎng)絡(luò)下的實(shí)時(shí)入侵檢測(cè)成為一個(gè)現(xiàn)實(shí)的新問(wèn)題。

(3)入侵檢測(cè)的數(shù)據(jù)融合技術(shù)。目前的IDS還存在著很多缺陷。首先，目前的技術(shù)還不能對(duì)付練習(xí)有素的黑客的復(fù)雜的攻擊。其次，系統(tǒng)的虛警率太高。最后，系統(tǒng)對(duì)大量的數(shù)據(jù)處理，非但無(wú)助于解決新問(wèn)題，還降低了處理能力。數(shù)據(jù)融合技術(shù)是解決這一系列新問(wèn)題的好方法。

(4)和網(wǎng)絡(luò)平安技術(shù)相結(jié)合。結(jié)合防火墻，病毒防護(hù)以及電子商務(wù)技術(shù)，提供完整的網(wǎng)絡(luò)平安保障。

6 結(jié)束語(yǔ)

在目前的計(jì)算機(jī)平安狀態(tài)下，基于防火墻、加密技術(shù)的平安防護(hù)固然重要，但是，要根本改善系統(tǒng)的平安目前狀況，必須要發(fā)展入侵檢測(cè)技術(shù)，它已經(jīng)成為計(jì)算機(jī)平安策略中的核心技術(shù)之一。IDS作為一種主動(dòng)的平安防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。隨著網(wǎng)絡(luò)通信技術(shù)平安性的要求越來(lái)越高，入侵檢測(cè)技術(shù)必將受到人們的高度重視。

參考文獻(xiàn)摘要：

[1 Anderson J P. Computer security threat monitoring and surveillance [P . PA 19034,USA, 1980.4

[2Denning D E .An Intrusion-Detection Model [A . IEEE Symp on Security %26amp; Privacy[C ,1986.118-131

[3 張杰，戴英俠，入侵檢測(cè)系統(tǒng)技術(shù)目前狀況及其發(fā)展趨向[J，計(jì)算機(jī)和通信，2002.6摘要：28-32

[4 曾昭蘇，王鋒波，基于數(shù)據(jù)開(kāi)采技術(shù)的入侵檢測(cè)系統(tǒng)[J，自動(dòng)化博覽，2002,8摘要:29-31

第4篇：入侵檢測(cè)論文范文

關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用；安全性問(wèn)題；防護(hù)策略

中圖分類(lèi)號(hào)：TP393.08文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1007-9599 (2012) 03-0000-02

The Security Research on the Application of Computer Network

Han Yingchun

(Lishui University,Lishui323000,China)

Abstract:In today's technological advances,the rapid economic development has also led to the continued rapid development of network technology,widely used in major areas (military,economic and political).In a wide range of computer network technology application situation,the security issues will be gradually exposed,causing widespread concern within the industry.Therefore,security issues in the network application analysis and exploration is an urgent task.This paper first discusses the most common applications of several major security issues,as well as its safety protection strategy.

Keywords:Computer network applications;Security issues;Protection strategies

21世紀(jì)是一個(gè)網(wǎng)絡(luò)化信息化的時(shí)代，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)不斷伴隨著高科技的發(fā)展而發(fā)展，已經(jīng)滲透于經(jīng)濟(jì)、貿(mào)易、軍事等領(lǐng)域中。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)也逐漸的進(jìn)入到人們的生活中，提高了人們工作的效率，促進(jìn)了人們的生活水平。人們對(duì)于網(wǎng)絡(luò)技術(shù)已不再陌生。在網(wǎng)絡(luò)技術(shù)不斷發(fā)展的同時(shí)，它的安全性問(wèn)題也就日益的突顯出重要性，對(duì)于其隱藏安全風(fēng)險(xiǎn)人們也加倍的重視起來(lái)。計(jì)算機(jī)網(wǎng)絡(luò)的特點(diǎn)也就是其自由開(kāi)放的網(wǎng)絡(luò)（IP/TCP架構(gòu)），正是這些自由開(kāi)放的空間才使得黑客的攻擊以及入侵有機(jī)可乘。通過(guò)計(jì)算機(jī)的網(wǎng)絡(luò)使得一般傳統(tǒng)的病毒傳播的速度加快，而且病毒針對(duì)計(jì)算機(jī)的應(yīng)用程序或是網(wǎng)絡(luò)協(xié)議存在的漏洞上，很多種新型的攻擊入侵的方法也不斷出現(xiàn)并日益革新。所以網(wǎng)絡(luò)應(yīng)用的安全性已經(jīng)成為計(jì)算機(jī)技術(shù)中重要的部分，目前面臨的最大問(wèn)題也就是對(duì)其的研究以及解決方案。

一、對(duì)于計(jì)算機(jī)的網(wǎng)絡(luò)技術(shù)應(yīng)用中的常見(jiàn)的安全性問(wèn)題進(jìn)行論述與分析

我們知道計(jì)算機(jī)網(wǎng)絡(luò)性特征包括無(wú)邊界、大跨度以及分布式等主要特征，而這些明顯的特征也方便了網(wǎng)絡(luò)上黑客的入侵或攻擊。而且其行為主體的身份具有隱藏性，以及網(wǎng)絡(luò)信息具有隱蔽性，這些都為網(wǎng)絡(luò)應(yīng)用里一些惡意的侵入或攻擊行為提供了有利的條件，可以更加肆無(wú)忌憚的放大惡。我們對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用里常出現(xiàn)的安全性問(wèn)題進(jìn)行總結(jié)，有如下五大類(lèi)：

第一，在計(jì)算機(jī)網(wǎng)絡(luò)的操作系統(tǒng)中，通過(guò)有些服務(wù)的開(kāi)放端口來(lái)進(jìn)行侵入或攻擊。存在這種方式的攻擊原因主要是因?yàn)樵撓到y(tǒng)軟件中的函數(shù)拾針和邊界的條件等一些方面在設(shè)計(jì)上不當(dāng)或是缺少條件限制，進(jìn)而就產(chǎn)生一種漏洞（地址空間出現(xiàn)錯(cuò)誤）。比如在該系統(tǒng)的軟件里，沒(méi)有及時(shí)處理某些特定類(lèi)型的請(qǐng)求或是報(bào)文，進(jìn)而也就使得軟件在碰到這些類(lèi)型的報(bào)文時(shí)就出現(xiàn)其運(yùn)行不正常，致使軟件系統(tǒng)發(fā)生崩潰現(xiàn)象。這種攻擊病毒中典型的像OOB攻擊，它是利用Windons系統(tǒng)的TCP端口（139）對(duì)其傳送隨機(jī)數(shù)來(lái)達(dá)到對(duì)操作系統(tǒng)的攻擊目的的，進(jìn)而就使得CPU（中央處理器）始終維持在系統(tǒng)繁忙的狀態(tài)。

第二，就是通過(guò)傳輸?shù)膮f(xié)議這種途徑對(duì)其進(jìn)行侵入或攻擊的。惡意的行為者找到其某些的傳輸協(xié)議制定當(dāng)中的漏洞，接著發(fā)起攻擊，具體是利用請(qǐng)求資源（惡性）促發(fā)系統(tǒng)服務(wù)上出現(xiàn)超載，使得目標(biāo)系統(tǒng)不能正常的運(yùn)行，甚至導(dǎo)致其癱瘓現(xiàn)象。像這類(lèi)中典型性的有借助IP或是TCP協(xié)議里的“三次握手”這個(gè)系統(tǒng)漏洞，對(duì)其進(jìn)行（SYN Flood）攻擊；或者是通過(guò)大量的傳輸垃圾數(shù)據(jù)包，達(dá)到接受端口資源全部耗盡的目的，最終讓其系統(tǒng)出現(xiàn)癱瘓現(xiàn)象。像這類(lèi)攻擊方法典型的有ICMP Flood、Connetction Floa。

第三，借用偽裝技術(shù)來(lái)對(duì)其進(jìn)行攻擊入侵。這種攻擊方法具體的比如可對(duì)IP地址進(jìn)行偽造，以及DNS解析地址和路由條目都可造假，為了讓要攻擊的服務(wù)器對(duì)這些請(qǐng)求不能正確的辨別，或者是不能對(duì)這些請(qǐng)求正常響應(yīng)，以致最終導(dǎo)致緩沖區(qū)出現(xiàn)阻塞甚至死機(jī)的情況；還有一種，在局域網(wǎng)里中，對(duì)其中某臺(tái)計(jì)算機(jī)IP地址進(jìn)行設(shè)置成網(wǎng)關(guān)地址，這樣就使得網(wǎng)絡(luò)里的數(shù)據(jù)包轉(zhuǎn)發(fā)不能正常實(shí)行，導(dǎo)致某一網(wǎng)段出現(xiàn)癱瘓。

第四，利用木馬病毒對(duì)其發(fā)起攻擊入侵。木馬對(duì)于喜歡玩電腦的人來(lái)說(shuō)是再熟悉不過(guò)的，它是一種能夠遠(yuǎn)程控制的黑客入侵工具，特點(diǎn)鮮明，具有非授權(quán)以及隱蔽性的特征，當(dāng)某臺(tái)主機(jī)被木馬成功植入的話(huà)，那么該目標(biāo)主機(jī)就會(huì)讓黑客完全的控制住，使其變成黑客的超級(jí)用戶(hù)。因木馬程序他能夠?qū)ο到y(tǒng)里的重要信息（如密碼、帳號(hào)以及口令等）進(jìn)行收集，因此也就使得用戶(hù)信息保密出現(xiàn)嚴(yán)重不安全性。

第五種，將嗅探器（Sniffer）或掃描最為信息窺探的工具，得到用戶(hù)重要信息。這里掃描是遍歷的搜索網(wǎng)絡(luò)以及系統(tǒng)的行為（主要針對(duì)系統(tǒng)漏洞而言），而漏洞是普遍都存在的，因此就有隱蔽采用或是惡意的使用掃描的手段，來(lái)對(duì)主機(jī)的重要信息進(jìn)行窺探，這是為達(dá)到更深的入侵或是攻擊做好準(zhǔn)備。Sniffer它是一種技術(shù)，是通過(guò)計(jì)算機(jī)上的網(wǎng)絡(luò)接口來(lái)進(jìn)行截獲目的地，使其成為別的計(jì)算機(jī)中的數(shù)報(bào)文這樣的一種技術(shù)。這種網(wǎng)絡(luò)的嗅探器通常是處于被動(dòng)的探測(cè)監(jiān)聽(tīng)網(wǎng)絡(luò)中通信以及分析數(shù)據(jù)，非法的來(lái)獲取口令以及密碼和用戶(hù)名等有效的用戶(hù)信息，因它的特點(diǎn)是非干擾性以及被動(dòng)性，故對(duì)網(wǎng)絡(luò)安全應(yīng)用上存在很大的威脅，他具有超強(qiáng)的隱蔽性，一般探測(cè)盜用了網(wǎng)絡(luò)信息是不易被用戶(hù)知曉的。

二、對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的安全性問(wèn)題所做出的防護(hù)策略進(jìn)行論述分析

首先用戶(hù)要對(duì)重要有效的信息數(shù)據(jù)實(shí)行加密策略，使其得到保護(hù)?，F(xiàn)在存在很多修改或是惡意探測(cè)監(jiān)聽(tīng)網(wǎng)絡(luò)中發(fā)送的數(shù)據(jù)這種危險(xiǎn)情況，針對(duì)這種形勢(shì)，常用的局勢(shì)對(duì)重要的數(shù)據(jù)實(shí)行加密措施，讓數(shù)據(jù)變成密文。我們知道就算別人竊取了數(shù)據(jù)，但如果不知道其密鑰的話(huà)，他還是沒(méi)有辦法是竊取的數(shù)據(jù)還原，這也就在很大程度上對(duì)數(shù)據(jù)進(jìn)行保護(hù)。加密可有非對(duì)稱(chēng)和對(duì)稱(chēng)加密，何為對(duì)稱(chēng)加密體制？它是加密的密鑰與其解密的密鑰一樣的機(jī)制。對(duì)其最常使用的算法是DES，而其數(shù)據(jù)的加密標(biāo)準(zhǔn)就是依據(jù)ISO。那何為非對(duì)稱(chēng)加密？相對(duì)應(yīng)也就是它的加密和解密的密鑰是不同的。每個(gè)用戶(hù)擁有兩個(gè)密鑰，一個(gè)最為公開(kāi)密鑰，這個(gè)密鑰是用來(lái)加密密鑰設(shè)置的，而另一個(gè)就是秘密密鑰，也就是又來(lái)解密時(shí)所用的密鑰，它是需要用戶(hù)自己嚴(yán)加保密的。個(gè)人根據(jù)實(shí)際需要來(lái)選擇自己使用的加密方法。

其次就是使用病毒防護(hù)技術(shù)來(lái)進(jìn)行預(yù)防危險(xiǎn)問(wèn)題。對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的安全問(wèn)題上，常見(jiàn)的主要病毒防護(hù)技術(shù)有如下幾種：第一個(gè)是智能引擎的防護(hù)技術(shù)。這種引擎技術(shù)對(duì)于特征碼掃描法中的優(yōu)點(diǎn)繼承并且進(jìn)行了發(fā)展，將掃描方法中存在的不足進(jìn)行了改進(jìn)，進(jìn)而在病毒掃描中，其掃描的速度不會(huì)受到病毒庫(kù)不斷增加的影響的；第二就是未知病毒查殺防護(hù)技術(shù)。這種防護(hù)技術(shù)在虛擬執(zhí)行技術(shù)基礎(chǔ)之上的又突破的病毒技術(shù)，它是人工智能技術(shù)與虛擬技術(shù)的組合體，能夠?qū)ξ粗牟《具M(jìn)行有效準(zhǔn)確的查殺；第三是病毒免疫技術(shù)。對(duì)與這種病毒的免疫技術(shù)，反病毒專(zhuān)家一直對(duì)其保持著高度研究興趣。這種技術(shù)主要是對(duì)自主的訪(fǎng)問(wèn)控制進(jìn)行加強(qiáng)，以及對(duì)磁盤(pán)進(jìn)行禁寫(xiě)保護(hù)區(qū)的設(shè)置，通過(guò)這種途徑來(lái)實(shí)現(xiàn)病毒免疫的；第四，嵌入式的殺毒技術(shù)。這中殺毒技術(shù)主要針對(duì)經(jīng)常性的遭到病毒的入侵攻擊的對(duì)象或應(yīng)用程序，該技術(shù)對(duì)此實(shí)行重點(diǎn)保護(hù)?？山柚鋺?yīng)用程序中的內(nèi)部接口或是操作系統(tǒng)來(lái)實(shí)現(xiàn)殺毒，這種技術(shù)為應(yīng)用軟件（范圍使用廣以及頻率使用高的）提供了被動(dòng)形式煩人防護(hù)措施。這種應(yīng)用軟件有Outlook/IE/NetAnt等，對(duì)其實(shí)行被動(dòng)式的殺毒；第五，壓縮智能的還原技術(shù)。這種防護(hù)技術(shù)是通過(guò)打包或壓縮文件在內(nèi)存里進(jìn)行還原技術(shù)，這樣讓病毒完全的顯露出來(lái)。

再次就是使用入侵檢測(cè)技術(shù)。何為入侵檢測(cè)技術(shù)?它的設(shè)計(jì)是針對(duì)計(jì)算機(jī)系統(tǒng)的安全而來(lái)的，它能夠及早的檢測(cè)到系統(tǒng)里出現(xiàn)異?，F(xiàn)象或是未授權(quán)情況，它是對(duì)于網(wǎng)絡(luò)里違反其安全策略的行為進(jìn)行檢測(cè)的一種技術(shù)。這種檢測(cè)技術(shù)的好處就是在系統(tǒng)被攻擊出現(xiàn)危害前，其就會(huì)檢測(cè)出存在的攻擊入侵，同時(shí)還可通過(guò)防護(hù)報(bào)警系統(tǒng)對(duì)攻擊入侵進(jìn)行排除。在病毒攻擊當(dāng)中可以有效的降低遭到攻擊而帶來(lái)的損失。這種技術(shù)可在攻擊系統(tǒng)之后對(duì)攻擊的相關(guān)信息進(jìn)行收集，增加防護(hù)系統(tǒng)的知識(shí)，并將其輸入入庫(kù)，來(lái)提高系統(tǒng)的防護(hù)能力。

對(duì)于這種檢測(cè)技術(shù)而言，它的入侵檢測(cè)系統(tǒng)可劃分為兩種：異常檢測(cè)和誤用檢測(cè)。誤用檢測(cè)它主要是依照預(yù)先定義好的攻擊入侵模式庫(kù)（對(duì)于入侵行為的特征、排列以及條件和事件之間的關(guān)聯(lián)有所描述），因此在檢測(cè)時(shí)就可在系統(tǒng)里收集到的信息與入侵的模式描述進(jìn)行對(duì)比，查看有沒(méi)有被入侵的行為。因此這種入侵檢測(cè)的準(zhǔn)確性在很大程度上與入侵模式的完整可靠性有很大的關(guān)系，對(duì)于出現(xiàn)一些新的或是變體入侵行為（在入侵模式庫(kù)中沒(méi)描述的），該誤用檢測(cè)是存在漏報(bào)的情況的。對(duì)于異常檢測(cè)技術(shù)來(lái)說(shuō)，其檢測(cè)是對(duì)審計(jì)蹤跡里存在的特征性數(shù)據(jù)的提取來(lái)對(duì)用戶(hù)的行為進(jìn)行描述的，它是根據(jù)典型的網(wǎng)絡(luò)活動(dòng)形成的輪廓模型來(lái)進(jìn)行檢測(cè)的，在檢測(cè)的過(guò)程中是把輪廓模型和此檢測(cè)的行為模式來(lái)對(duì)比，用一個(gè)確定的值來(lái)進(jìn)行判斷，當(dāng)兩者的差異值大于這個(gè)值那就被判定屬于入侵行為。這種異常的檢測(cè)技術(shù)典型的主要包括機(jī)器學(xué)習(xí)、統(tǒng)計(jì)分析的技術(shù)法以及數(shù)據(jù)挖掘技術(shù)。這兩種（誤用檢測(cè)和異常檢測(cè)）檢測(cè)技術(shù)都有其缺點(diǎn)和優(yōu)點(diǎn)。誤用檢測(cè)技術(shù)對(duì)于新的入侵行為時(shí)就比較不能檢測(cè)出來(lái)這樣也就存在漏報(bào)的情況，但它能夠?qū)σ阎娜肭中袨闇?zhǔn)確的檢測(cè)出來(lái)，其誤報(bào)率也就比較低。而異常檢測(cè)對(duì)于新的入侵行為能夠進(jìn)行檢測(cè)出來(lái)，不存在漏報(bào)現(xiàn)象，可是卻不能準(zhǔn)確的確定出其具體入侵攻擊行為?，F(xiàn)在高科技的日新月異，網(wǎng)絡(luò)安全入侵檢測(cè)技術(shù)的發(fā)展呈現(xiàn)出協(xié)同化、綜合化等發(fā)展方向，現(xiàn)在就有將以上兩種檢測(cè)技術(shù)結(jié)合的綜合性系統(tǒng)，比如Haystack、NIDES等。包含兩者的優(yōu)點(diǎn)這樣使得檢測(cè)更具有全面可靠性。

三、總結(jié)

以上通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的安全性問(wèn)題的論述與分析，更深層次的了解到網(wǎng)絡(luò)安全技術(shù)以及常見(jiàn)的網(wǎng)絡(luò)安全問(wèn)題等。社會(huì)是一個(gè)不斷向前發(fā)展的社會(huì)，經(jīng)濟(jì)技術(shù)上也會(huì)不斷的革新發(fā)展，當(dāng)然網(wǎng)絡(luò)安全問(wèn)題也會(huì)越來(lái)越復(fù)雜化、多變化，針對(duì)這些也會(huì)對(duì)相關(guān)的防護(hù)技術(shù)策略進(jìn)行改進(jìn)與創(chuàng)新。

參考文獻(xiàn)：

[1]李紅,黃道穎,李勇.計(jì)算機(jī)網(wǎng)絡(luò)安全的三種策略[A].全國(guó)ISNBM學(xué)術(shù)交流會(huì)暨電腦開(kāi)發(fā)與應(yīng)用創(chuàng)刊20周年慶祝大會(huì)論文集[C].2005

[2]姜明輝,蔣耀平,王海偉.中美網(wǎng)絡(luò)空間安全環(huán)境比較及美國(guó)經(jīng)驗(yàn)借鑒[A].全國(guó)網(wǎng)絡(luò)與信息安全技術(shù)研討會(huì)'2005論文集（下冊(cè)）[C].2005

[3]范曉嵐,姜建國(guó),曾啟銘.BO網(wǎng)絡(luò)入侵的實(shí)時(shí)檢測(cè)[A].中國(guó)工程物理研究院科技年報(bào)（1999）[C].1999

第5篇：入侵檢測(cè)論文范文

論文關(guān)鍵詞：網(wǎng)絡(luò)動(dòng)態(tài)網(wǎng)絡(luò)入侵網(wǎng)絡(luò)入侵取證系統(tǒng)

計(jì)算機(jī)網(wǎng)絡(luò)的入侵檢測(cè)，是指對(duì)計(jì)算機(jī)的網(wǎng)絡(luò)及其整體系統(tǒng)的時(shí)控監(jiān)測(cè)，以此探查計(jì)算機(jī)是否存在違反安全原則的策略事件。目前的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，主要用于識(shí)別計(jì)算機(jī)系統(tǒng)及相關(guān)網(wǎng)絡(luò)系統(tǒng)，或是擴(kuò)大意義的識(shí)別信息系統(tǒng)的非法攻擊，包括檢測(cè)內(nèi)部的合法用戶(hù)非允許越權(quán)從事網(wǎng)絡(luò)非法活動(dòng)和檢測(cè)外界的非法系統(tǒng)入侵者的試探行為或惡意攻擊行為。其運(yùn)動(dòng)的方式也包含兩種，為目標(biāo)主機(jī)上的運(yùn)行來(lái)檢測(cè)其自身通信的信息和在一臺(tái)單獨(dú)機(jī)器上運(yùn)行從而能檢測(cè)所有的網(wǎng)絡(luò)設(shè)備通信的信息，例如路由器、Hub等。

1計(jì)算機(jī)入侵檢測(cè)與取證相關(guān)的技術(shù)

1.1計(jì)算機(jī)入侵檢測(cè)

入侵取證的技術(shù)是在不對(duì)網(wǎng)絡(luò)的性能產(chǎn)生影響的前提下，對(duì)網(wǎng)絡(luò)的攻擊威脅進(jìn)行防止或者減輕。一般來(lái)說(shuō)，入侵檢測(cè)的系統(tǒng)包含有數(shù)據(jù)的收集、儲(chǔ)存、分析以及攻擊響應(yīng)的功能。主要是通過(guò)對(duì)計(jì)算機(jī)的網(wǎng)絡(luò)或者系統(tǒng)中得到的幾個(gè)關(guān)鍵點(diǎn)進(jìn)行信息的收集和分析，以此來(lái)提早發(fā)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)或者系統(tǒng)中存在的違反安全策略行為以及被攻擊跡象。相較于其他的一些產(chǎn)品，計(jì)算機(jī)的入侵檢測(cè)系統(tǒng)需要更加多的智能，需要對(duì)測(cè)得數(shù)據(jù)進(jìn)行分析，從而得到有用的信息。

計(jì)算機(jī)的入侵檢測(cè)系統(tǒng)主要是對(duì)描述計(jì)算機(jī)的行為特征，并通過(guò)行為特征對(duì)行為的性質(zhì)進(jìn)行準(zhǔn)確判定。根據(jù)計(jì)算機(jī)所采取的技術(shù)，入侵檢測(cè)可以分為特征的檢測(cè)和異常的檢測(cè)；根據(jù)計(jì)算機(jī)的主機(jī)或者網(wǎng)絡(luò)，不同的檢測(cè)對(duì)象，分為基于主機(jī)和網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)以及分布式的入侵檢測(cè)系統(tǒng)；根據(jù)計(jì)算機(jī)不同的工作方式，可分為離線(xiàn)和在線(xiàn)檢測(cè)系統(tǒng)。計(jì)算機(jī)的入侵檢測(cè)就是在數(shù)以?xún)|記的網(wǎng)絡(luò)數(shù)據(jù)中探查到非法入侵或合法越權(quán)行為的痕跡。并對(duì)檢測(cè)到的入侵過(guò)程進(jìn)行分析，將該入侵過(guò)程對(duì)應(yīng)的可能事件與入侵檢測(cè)原則規(guī)則比較分析，最終發(fā)現(xiàn)入侵行為。按照入侵檢測(cè)不同實(shí)現(xiàn)的原來(lái)，可將其分為基于特征或者行為的檢測(cè)。

1.2計(jì)算機(jī)入侵取證

在中國(guó)首屆計(jì)算機(jī)的取證技術(shù)峰會(huì)上指出，計(jì)算機(jī)的入侵取證學(xué)科是計(jì)算機(jī)科學(xué)、刑事偵查學(xué)以及法學(xué)的交叉學(xué)科，但由于計(jì)算機(jī)取證學(xué)科在我國(guó)屬于新起步階段，與發(fā)達(dá)國(guó)家在技術(shù)研究方面的較量還存在很大差距，其中，計(jì)算機(jī)的電子數(shù)據(jù)的取證存在困難的局面已經(jīng)對(duì)部分案件的偵破起到阻礙作用。而我國(guó)的計(jì)算機(jī)的電子數(shù)據(jù)作為可用證據(jù)的立法項(xiàng)目也只是剛剛起步，同樣面臨著計(jì)算機(jī)的電子數(shù)據(jù)取證相關(guān)技術(shù)不成熟，相關(guān)標(biāo)準(zhǔn)和方法等不足的窘境。

計(jì)算機(jī)的入侵取證工作是整個(gè)法律訴訟過(guò)程中重要的環(huán)節(jié)，此過(guò)程中涉及的不僅是計(jì)算機(jī)領(lǐng)域，同時(shí)還需滿(mǎn)足法律要求。因而，取證工作必須按照一定的即成標(biāo)準(zhǔn)展開(kāi)，以此確保獲得電子數(shù)據(jù)的證據(jù)，目前基本需要把握以下幾個(gè)原則：實(shí)時(shí)性的原則、合法性的原則、多備份的原則、全面性的原則、環(huán)境原則以及嚴(yán)格的管理過(guò)程。

2基于網(wǎng)絡(luò)動(dòng)態(tài)的入侵取證系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)

信息科技近年來(lái)得到迅猛發(fā)展，同時(shí)帶來(lái)了日益嚴(yán)重的計(jì)算機(jī)犯罪問(wèn)題，靜態(tài)取證局限著傳統(tǒng)計(jì)算機(jī)的取證技術(shù)，使得其證據(jù)的真實(shí)性、及時(shí)性及有效性等實(shí)際要求都得不到滿(mǎn)足。為此，提出了新的取證設(shè)想，即動(dòng)態(tài)取證，來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)動(dòng)態(tài)狀況下的計(jì)算機(jī)系統(tǒng)取證。此系統(tǒng)與傳統(tǒng)取證工具不同，其在犯罪行為實(shí)際進(jìn)行前和進(jìn)行中開(kāi)展取證工作，根本上避免取證不及時(shí)可能造成德證據(jù)鏈缺失。基于網(wǎng)絡(luò)動(dòng)態(tài)的取證系統(tǒng)有效地提高了取證工作效率，增強(qiáng)了數(shù)據(jù)證據(jù)時(shí)效性和完整性。

2.1計(jì)算機(jī)的入侵取證過(guò)程

計(jì)算機(jī)取證，主要就是對(duì)計(jì)算機(jī)證據(jù)的采集，計(jì)算機(jī)證據(jù)也被稱(chēng)為電子證據(jù)。一般來(lái)說(shuō)，電子證據(jù)是指電子化的信息數(shù)據(jù)和資料，用于證明案件的事實(shí)，它只是以數(shù)字形式在計(jì)算機(jī)系統(tǒng)中存在，以證明案件相關(guān)的事實(shí)數(shù)據(jù)信息，其中包括計(jì)算機(jī)數(shù)據(jù)的產(chǎn)生、存儲(chǔ)、傳輸、記錄、打印等所有反映計(jì)算機(jī)系統(tǒng)犯罪行為的電子證據(jù)。

就目前而言，由于計(jì)算機(jī)法律、技術(shù)等原因限制，國(guó)內(nèi)外關(guān)于計(jì)算機(jī)的取證主要還是采用事后取證方式。即現(xiàn)在的取證工作仍將原始數(shù)據(jù)的收集過(guò)程放在犯罪事件發(fā)生后，但計(jì)算機(jī)的網(wǎng)絡(luò)特性是許多重要數(shù)據(jù)的存儲(chǔ)可能在數(shù)據(jù)極易丟失的存儲(chǔ)器中；另外，黑客入侵等非法網(wǎng)絡(luò)犯罪過(guò)程中，入侵者會(huì)將類(lèi)似系統(tǒng)日志的重要文件修改、刪除或使用反取證技術(shù)掩蓋其犯罪行徑。同時(shí)，年FBI/CSI的年度計(jì)算機(jī)報(bào)告也顯示，企業(yè)的內(nèi)部職員是計(jì)算機(jī)安全的最大威脅，因職員位置是在入侵檢測(cè)及防火墻防護(hù)的系統(tǒng)內(nèi)的，他們不需要很高的權(quán)限更改就可以從事犯罪活動(dòng)。

2.2基于網(wǎng)絡(luò)動(dòng)態(tài)的計(jì)算機(jī)入侵取證系統(tǒng)設(shè)計(jì)

根據(jù)上文所提及的計(jì)算機(jī)入侵的取證缺陷及無(wú)法滿(mǎn)足實(shí)際需要的現(xiàn)狀，我們?cè)O(shè)計(jì)出新的網(wǎng)絡(luò)動(dòng)態(tài)狀況下的計(jì)算機(jī)入侵的取證系統(tǒng)。此系統(tǒng)能夠?qū)崿F(xiàn)將取證的工作提前至犯罪活動(dòng)發(fā)生之前或者進(jìn)行中時(shí)，還能夠同時(shí)兼顧來(lái)自于計(jì)算機(jī)內(nèi)、外犯罪的活動(dòng)，獲得盡可能多的相關(guān)犯罪信息?；诰W(wǎng)絡(luò)動(dòng)態(tài)的取證系統(tǒng)和傳統(tǒng)的取證系統(tǒng)存在的根本差別在于取證工作的開(kāi)展時(shí)機(jī)不同，基于分布式策略的動(dòng)態(tài)取證系統(tǒng)，可獲得全面、及時(shí)的證據(jù)，并且可為證據(jù)的安全性提供更加有效的保障。

此外，基于網(wǎng)絡(luò)動(dòng)態(tài)的入侵取證系統(tǒng)在設(shè)計(jì)初始就涉及了兩個(gè)方面的取證工作。其一是攻擊計(jì)算機(jī)本原系統(tǒng)的犯罪行為，其二是以計(jì)算機(jī)為工具的犯罪行為（或說(shuō)是計(jì)算機(jī)系統(tǒng)越權(quán)使用的犯罪行為）。系統(tǒng)采集網(wǎng)絡(luò)取證和取證兩個(gè)方面涉及的這兩個(gè)犯罪的電子證據(jù)，并通過(guò)加密傳輸?shù)哪K將采集到的電子證據(jù)傳送至安全的服務(wù)器上，進(jìn)行統(tǒng)一妥善保存，按其關(guān)鍵性的級(jí)別進(jìn)行分類(lèi)，以方便后續(xù)的分析查詢(xún)活動(dòng)。并對(duì)已獲電子證據(jù)以分析模塊進(jìn)行分析并生成報(bào)告?zhèn)溆?。通過(guò)管理控制模塊完成對(duì)整個(gè)系統(tǒng)的統(tǒng)一管理，來(lái)確保系統(tǒng)可穩(wěn)定持久的運(yùn)行。

2.3網(wǎng)絡(luò)動(dòng)態(tài)狀況下的計(jì)算機(jī)入侵取證系統(tǒng)實(shí)現(xiàn)

基于網(wǎng)絡(luò)動(dòng)態(tài)計(jì)算機(jī)的入侵取證系統(tǒng)，主要是通過(guò)網(wǎng)絡(luò)取證機(jī)、取證、管理控制臺(tái)、安全服務(wù)器、取證分析機(jī)等部分組成。整個(gè)系統(tǒng)的結(jié)構(gòu)取證，是以被取證機(jī)器上運(yùn)行的一個(gè)長(zhǎng)期服務(wù)的守護(hù)程序的方式來(lái)實(shí)現(xiàn)的。該程序?qū)?duì)被監(jiān)測(cè)取證的機(jī)器的系統(tǒng)日志文件長(zhǎng)期進(jìn)行不間斷采集，并配套相應(yīng)得鍵盤(pán)操作和他類(lèi)現(xiàn)場(chǎng)的證據(jù)采集。最終通過(guò)安全傳輸?shù)姆绞綄⒁勋@電子數(shù)據(jù)證據(jù)傳輸至遠(yuǎn)程的安全服務(wù)器，管理控制臺(tái)會(huì)即刻發(fā)送指令知道操作。

網(wǎng)絡(luò)取證機(jī)使用混雜模式的網(wǎng)絡(luò)接口，監(jiān)聽(tīng)所有通過(guò)的網(wǎng)絡(luò)數(shù)據(jù)報(bào)。經(jīng)協(xié)議分析，可捕獲、匯總并存儲(chǔ)潛在證據(jù)的數(shù)據(jù)報(bào)。并同時(shí)添加“蜜罐”系統(tǒng)，發(fā)現(xiàn)攻擊行為便即可轉(zhuǎn)移進(jìn)行持續(xù)的證據(jù)獲取。安全服務(wù)器是構(gòu)建了一個(gè)開(kāi)放必要服務(wù)器的系統(tǒng)進(jìn)行取證并以網(wǎng)絡(luò)取證機(jī)將獲取的電子證據(jù)進(jìn)行統(tǒng)一保存。并通過(guò)加密及數(shù)字簽名等技術(shù)保證已獲證據(jù)的安全性、一致性和有效性。而取證分析機(jī)是使用數(shù)據(jù)挖掘的技術(shù)深入分析安全服務(wù)器所保存的各關(guān)鍵類(lèi)別的電子證據(jù)，以此獲取犯罪活動(dòng)的相關(guān)信息及直接證據(jù)，并同時(shí)生成報(bào)告提交法庭。管理控制臺(tái)為安全服務(wù)器及取證提供認(rèn)證，以此來(lái)管理系統(tǒng)各個(gè)部分的運(yùn)行。

基于網(wǎng)絡(luò)動(dòng)態(tài)的計(jì)算機(jī)入侵取證系統(tǒng)，不僅涉及本網(wǎng)絡(luò)所涵蓋的計(jì)算機(jī)的目前犯罪行為及傳統(tǒng)計(jì)算機(jī)的外部網(wǎng)絡(luò)的犯罪行為，同時(shí)也獲取網(wǎng)絡(luò)內(nèi)部的、將計(jì)算機(jī)系統(tǒng)作為犯罪工具或越權(quán)濫用等犯罪行為的證據(jù)。即取證入侵系統(tǒng)從功能上開(kāi)始可以兼顧內(nèi)外部?jī)煞矫??；诰W(wǎng)絡(luò)動(dòng)態(tài)的計(jì)算機(jī)入侵取證系統(tǒng)，分為證據(jù)獲取、傳輸、存儲(chǔ)、分析、管理等五大模塊。通過(guò)各個(gè)模塊間相互緊密協(xié)作，真正良好實(shí)現(xiàn)網(wǎng)絡(luò)動(dòng)態(tài)的計(jì)算機(jī)入侵取證系統(tǒng)。

第6篇：入侵檢測(cè)論文范文

摘要：采用確定的有限狀態(tài)自動(dòng)機(jī)理論對(duì)復(fù)雜的網(wǎng)絡(luò)攻擊行為進(jìn)行形式化描述，建立了SYN－Flooding等典型攻擊的自動(dòng)機(jī)識(shí)別模型。通過(guò)這些模型的組合可以表示更為復(fù)雜的網(wǎng)絡(luò)攻擊行為，從而為研究網(wǎng)絡(luò)入侵過(guò)程提供了一種更為直觀的形式化手段。

關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò)；有限狀態(tài)自動(dòng)機(jī)；網(wǎng)絡(luò)攻擊

隨著計(jì)算機(jī)網(wǎng)絡(luò)的普及應(yīng)用，網(wǎng)絡(luò)安全技術(shù)顯得越來(lái)越重要。入侵檢測(cè)是繼防火墻技術(shù)之后用來(lái)解決網(wǎng)絡(luò)安全問(wèn)題的一門(mén)重要技術(shù)。該技術(shù)用來(lái)確定是否存在試圖破壞系統(tǒng)網(wǎng)絡(luò)資源的完整性、保密性和可用性的行為。這些行為被稱(chēng)之為入侵。隨著入侵行為的不斷演變，入侵正朝著大規(guī)模、協(xié)同化方向發(fā)展。面對(duì)這些日趨復(fù)雜的網(wǎng)絡(luò)入侵行為，采用什么方法對(duì)入侵過(guò)程進(jìn)行描述以便更為直觀地研究入侵過(guò)程所體現(xiàn)出的行為特征已成為入侵檢測(cè)技術(shù)所要研究的重要內(nèi)容。顯然，可以采用自然語(yǔ)言來(lái)描述入侵過(guò)程。該方法雖然直觀，但存在語(yǔ)義不確切、不便于計(jì)算機(jī)處理等缺點(diǎn)。Tidwell提出利用攻擊樹(shù)來(lái)對(duì)大規(guī)模入侵建模，但攻擊樹(shù)及其描述語(yǔ)言均以攻擊事件為主體元素，對(duì)系統(tǒng)狀態(tài)變化描述能力有限[1，2]。隨著系統(tǒng)的運(yùn)行，系統(tǒng)從一個(gè)狀態(tài)轉(zhuǎn)換為另一個(gè)狀態(tài)；不同的系統(tǒng)狀態(tài)代表不同的含義，這些狀態(tài)可能為正常狀態(tài)，也可能為異常狀態(tài)。但某一時(shí)刻，均存在某種確定的狀態(tài)與系統(tǒng)相對(duì)應(yīng)。而系統(tǒng)無(wú)論如何運(yùn)行最終均將處于一種終止?fàn)顟B(tài)（正常結(jié)束或出現(xiàn)故障等），即系統(tǒng)的狀態(tài)是有限的。系統(tǒng)狀態(tài)的轉(zhuǎn)換過(guò)程可以用確定的有限狀態(tài)自動(dòng)機(jī)（DeterministicFiniteAutomation，DFA）進(jìn)行描述。這種自動(dòng)機(jī)的圖形描述（即狀態(tài)轉(zhuǎn)換圖）使得入侵過(guò)程更為直觀，能更為方便地研究入侵過(guò)程所體現(xiàn)出的行為特征。下面就采用自動(dòng)機(jī)理論來(lái)研究入侵過(guò)程的形式化描述方法。

1有限狀態(tài)自動(dòng)機(jī)理論

有限狀態(tài)自動(dòng)機(jī)M是一種自動(dòng)識(shí)別裝置，它可以表示為一個(gè)五元組：

2入侵過(guò)程的形式化描述

入侵過(guò)程異常復(fù)雜導(dǎo)致入侵種類(lèi)的多種多樣，入侵過(guò)程所體現(xiàn)出的特征各不相同，采用統(tǒng)一的形式化模型進(jìn)行描述顯然存在一定的困難。下面采用有限狀態(tài)自動(dòng)機(jī)對(duì)一些典型的入侵過(guò)程進(jìn)行描述，嘗試找出它們的特征，以尋求對(duì)各種入侵過(guò)程進(jìn)行形式化描述的方法。

下面采用有限狀態(tài)自動(dòng)機(jī)理論對(duì)SYN－Flooding攻擊等一些典型的入侵過(guò)程進(jìn)行形式化描述。

2．1SYN－Flooding攻擊

Internet中TCP協(xié)議是一個(gè)面向連接的協(xié)議。當(dāng)兩個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行通信時(shí)，它們首先需要通過(guò)三次握手信號(hào)建立連接。設(shè)主機(jī)A欲訪(fǎng)問(wèn)服務(wù)器B的資源，則主機(jī)A首先要與服務(wù)器B建立連接，具體過(guò)程如圖1所示。首先主機(jī)A先向服務(wù)器B發(fā)送帶有SYN標(biāo)志的連接請(qǐng)求。該數(shù)據(jù)包內(nèi)含有主機(jī)A的初始序列號(hào)x；服務(wù)器B收到SYN包后，狀態(tài)變?yōu)镾YN.RCVD，并為該連接分配所需要的數(shù)據(jù)結(jié)構(gòu)。然后服務(wù)器B向主機(jī)A發(fā)送帶有SYN/ACK標(biāo)志的確認(rèn)包。其中含有服務(wù)器B的連接初始序列號(hào)y，顯然確認(rèn)序列號(hào)ACK為x+1，此時(shí)即處于所謂的半連接狀態(tài)。主機(jī)A接收到SYN/ACK數(shù)據(jù)包后再向服務(wù)器B發(fā)送ACK數(shù)據(jù)包，此時(shí)ACK確認(rèn)號(hào)為y+1；服務(wù)器B接收到該確認(rèn)數(shù)據(jù)包后狀態(tài)轉(zhuǎn)為Established，至此，連接建立完畢。這樣主機(jī)A建立了與服務(wù)器B的連接，然后它們就可以通過(guò)該條鏈路進(jìn)行通信[4]。

上面為T(mén)CP協(xié)議正常建立連接的情況。但是，如果服務(wù)器B向主機(jī)A發(fā)送SYN/ACK數(shù)據(jù)包后長(zhǎng)時(shí)間內(nèi)得不到主機(jī)A的響應(yīng)，則服務(wù)器B就要等待相當(dāng)長(zhǎng)一段時(shí)間；如果這樣的半連接過(guò)多，則很可能消耗完服務(wù)器B用于建立連接的資源（如緩沖區(qū)）。一旦系統(tǒng)資源消耗盡，對(duì)服務(wù)器B的正常連接請(qǐng)求也將得不到響應(yīng)，即發(fā)生了所謂的拒絕服務(wù)攻擊（DenialofService，DoS）。這就是SYN－Flooding攻擊的基本原理。

SYN－Flooding攻擊的具體過(guò)程如下：攻擊者Intruder偽造一個(gè)或多個(gè)不存在的主機(jī)C，然后向服務(wù)器B發(fā)送大量的連接請(qǐng)求。由于偽造的主機(jī)并不存在，對(duì)于每個(gè)連接請(qǐng)求服務(wù)器B因接收不到連接的確認(rèn)信息而要等待一段時(shí)間，這樣短時(shí)間內(nèi)出現(xiàn)了大量處于半連接狀態(tài)的連接請(qǐng)求，很快就耗盡了服務(wù)器B的相關(guān)系統(tǒng)資源，使得正常的連接請(qǐng)求得不到響應(yīng)，導(dǎo)致發(fā)生拒絕服務(wù)攻擊。下面采用有限狀態(tài)自動(dòng)機(jī)描述SYN－Floo－ding攻擊過(guò)程。

2．2IP－Spoofing入侵過(guò)程

攻擊者想要隱藏自己的真實(shí)身份或者試圖利用信任主機(jī)的特權(quán)以實(shí)現(xiàn)對(duì)其他主機(jī)的攻擊，此時(shí)攻擊者往往要偽裝成其他主機(jī)的IP地址。假設(shè)主機(jī)A為服務(wù)器B的信任主機(jī)，攻擊者Intruder若想冒充主機(jī)A與服務(wù)器B進(jìn)行通信，它需要盜用A的IP地址。具體過(guò)程[5]如下：

（1）攻擊者通過(guò)DoS等攻擊形式使主機(jī)A癱瘓，以免對(duì)攻擊造成干擾。

（2）攻擊者將源地址偽裝成主機(jī)A，發(fā)送SYN請(qǐng)求包給服務(wù)器B要求建立連接。

（3）服務(wù)器B發(fā)送SYN－ACK數(shù)據(jù)包給主機(jī)A，此時(shí)主機(jī)A因處于癱瘓狀態(tài)已不能接收服務(wù)器B的SYN－ACK數(shù)據(jù)包。

（4）攻擊者根據(jù)服務(wù)器B的回應(yīng)消息包對(duì)后續(xù)的TCP包序列號(hào)y進(jìn)行預(yù)測(cè)。

（5）攻擊者再次偽裝成主機(jī)A用猜測(cè)的序列號(hào)向服務(wù)器B發(fā)送ACK數(shù)據(jù)包，以完成三次握手信號(hào)并建立連接。

分別表示Land攻擊、SYN－Flooding攻擊和DDoS攻擊。通信函數(shù)表示為Communication(Res－h(huán)ost,Des－h(huán)ost,Syn－no,Ack－no)。其中Res－h(huán)ost、Des－h(huán)ost分別為源節(jié)點(diǎn)和目的節(jié)點(diǎn)地址，Syn－no、Ack－no分別為同步和應(yīng)答序列號(hào)。通信及其他函數(shù)集具體定義如下：

2．3IP分片攻擊

數(shù)據(jù)包在不同的網(wǎng)絡(luò)上傳輸時(shí)，由于各種網(wǎng)絡(luò)運(yùn)行的協(xié)議可能有所差異，不同物理網(wǎng)絡(luò)的最大傳輸單元MTU（即最大包長(zhǎng)度）可能不同；這樣當(dāng)數(shù)據(jù)包從一個(gè)物理網(wǎng)絡(luò)傳輸?shù)搅硪粋€(gè)物理網(wǎng)絡(luò)時(shí)，如果該網(wǎng)絡(luò)的MTU不足以容納完整的數(shù)據(jù)包，那么就需要利用數(shù)據(jù)包分解的方法來(lái)解決。這樣大的數(shù)據(jù)包往往分解成許多小的數(shù)據(jù)包分別進(jìn)行傳輸。攻擊者常常利用這一技術(shù)將其攻擊數(shù)據(jù)分散在各個(gè)數(shù)據(jù)包中，從而達(dá)到隱蔽其探測(cè)或攻擊行為的目的[6]。

對(duì)于Teardrop等典型的IP分片攻擊，其特征是IP包中的ip_off域?yàn)镮P_MF，而且IP包經(jīng)過(guò)計(jì)算，其長(zhǎng)度域ip_len聲明的長(zhǎng)度與收到包的實(shí)際長(zhǎng)度不同。這樣被攻擊者在組裝IP包時(shí)，可能把幾個(gè)分片的部分重疊起來(lái)，某些有害的參數(shù)可能被加了進(jìn)去，從而引起系統(tǒng)狀態(tài)的異常。

第7篇：入侵檢測(cè)論文范文

關(guān)鍵詞：大數(shù)據(jù)時(shí)代；人工智能；計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)；應(yīng)用價(jià)值

21世紀(jì)以來(lái)，世界都已經(jīng)進(jìn)入大數(shù)據(jù)發(fā)展時(shí)代，人工智能的應(yīng)用與居民生活息息相關(guān)。人工智能就是模仿人類(lèi)的行為方式和思維模式進(jìn)行工作處理，它比計(jì)算機(jī)技術(shù)更加具有實(shí)用價(jià)值。所以，為了迅速提高我國(guó)大數(shù)據(jù)時(shí)代人工智能在計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)中的應(yīng)用，論文基于此展開(kāi)詳細(xì)分析探討，深入研究人工智能在計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)中的應(yīng)用價(jià)值。以下主要針對(duì)于人工智能計(jì)算機(jī)的基本內(nèi)容展開(kāi)簡(jiǎn)單分析與探討：

一、人工智能計(jì)算機(jī)的概況

利用計(jì)算機(jī)技術(shù)來(lái)模仿人類(lèi)的行為方式和思維模式就叫做人工智能。人工智能，技術(shù)的涵蓋內(nèi)容廣泛，且創(chuàng)新性高、挑戰(zhàn)力度大，它的發(fā)展與各學(xué)科知識(shí)包括信息與計(jì)算科學(xué)、語(yǔ)言學(xué)、數(shù)學(xué)、心理學(xué)等都有關(guān)聯(lián)。人工智能的發(fā)展目標(biāo)是通過(guò)計(jì)算機(jī)技術(shù)讓本該由人工操作的危險(xiǎn)或復(fù)雜的工作由人工智能機(jī)器代替,從而額實(shí)現(xiàn)節(jié)約勞動(dòng)力、減少事故危害發(fā)生的情況，進(jìn)而提高工作效率和工作質(zhì)量。人工智能的發(fā)展形式多樣。第一，人工智能可以幫助完善某些較為復(fù)雜的問(wèn)題或是當(dāng)前還無(wú)法解決的問(wèn)題，若是發(fā)生由計(jì)算機(jī)運(yùn)算都還無(wú)法獲得正確模型的情況，此時(shí)就可利用人工智能來(lái)對(duì)該項(xiàng)問(wèn)題進(jìn)行有效解決，針對(duì)模糊的問(wèn)題和內(nèi)容，利用人工智能模式來(lái)不斷提高網(wǎng)絡(luò)使用質(zhì)量。第二，人工智能可以將簡(jiǎn)單的東西或知識(shí)復(fù)雜化，得到人們想要的高級(jí)程序和數(shù)據(jù)，從而節(jié)約實(shí)現(xiàn)，提高工作效率。

二、大數(shù)據(jù)時(shí)代人工智能在計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)中的應(yīng)用

（一）數(shù)據(jù)挖掘技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)中的應(yīng)用數(shù)據(jù)挖掘技術(shù)在近幾年來(lái)越來(lái)越受到人們的重視，因?yàn)閿?shù)據(jù)挖掘技術(shù)是大數(shù)據(jù)時(shí)展的關(guān)鍵技術(shù)。利用人工智能技術(shù)可研究外界不安全因素的入侵頻率，并在網(wǎng)絡(luò)安全運(yùn)行的前提下結(jié)合網(wǎng)絡(luò)存貯狀態(tài)，將研究結(jié)果記錄保存。之后的工作中，若計(jì)算機(jī)處于運(yùn)行情況時(shí)發(fā)生安全問(wèn)題，系統(tǒng)會(huì)立即給予警告提示，并及時(shí)攔截入侵對(duì)象。數(shù)據(jù)挖掘技術(shù)其實(shí)從根本上來(lái)看，就是由人工智能技術(shù)和大數(shù)據(jù)技術(shù)的綜合發(fā)展而來(lái)，模仿人類(lèi)處理數(shù)據(jù)信息的特征和方式，讓計(jì)算機(jī)實(shí)現(xiàn)對(duì)數(shù)據(jù)的批量處理。此外，數(shù)據(jù)挖掘技術(shù)還可與各種傳感器融合工作，從而實(shí)現(xiàn)技術(shù)功效的最大潛力，不斷增強(qiáng)計(jì)算機(jī)系統(tǒng)的功效和實(shí)用價(jià)值。

（二）入侵檢測(cè)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)中的應(yīng)用現(xiàn)展迅速，網(wǎng)絡(luò)科技已成為人們?nèi)粘Ｉ钪兄陵P(guān)重要的組成成分，給人們的生活工作帶來(lái)極大便利，但是其中也潛存很多不穩(wěn)定因素。所以，網(wǎng)絡(luò)安全技術(shù)的發(fā)展是保證網(wǎng)絡(luò)使用正常工作的重要前提。當(dāng)前，已經(jīng)有很多網(wǎng)絡(luò)機(jī)制被運(yùn)用到保護(hù)網(wǎng)絡(luò)安全的工作中，但是在對(duì)網(wǎng)絡(luò)安全管理時(shí)發(fā)現(xiàn)仍舊有很多不穩(wěn)定因素的存在，尤其是現(xiàn)在網(wǎng)絡(luò)技術(shù)的發(fā)展迅速，很多手機(jī)支付等網(wǎng)絡(luò)支付方式中會(huì)存在支付密碼泄露的情況?；诖?，在網(wǎng)絡(luò)計(jì)算機(jī)安全使用過(guò)程中起到良好作用的是入侵檢測(cè)技術(shù)。該技術(shù)被使用時(shí)，可以對(duì)網(wǎng)絡(luò)中潛存的安全隱患信息及時(shí)偵查處理，對(duì)其數(shù)據(jù)信息進(jìn)行檢測(cè)，最后將檢測(cè)結(jié)果的分析報(bào)告反饋給用戶(hù)，實(shí)現(xiàn)有效檢測(cè)。入侵檢測(cè)技術(shù)的不斷發(fā)展和完善，讓計(jì)算機(jī)網(wǎng)絡(luò)的安全運(yùn)行得到極大保障，在對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行安全檢測(cè)的條件下，防止網(wǎng)絡(luò)受到外界環(huán)境的干擾。人工智能技術(shù)中還可結(jié)合人工神經(jīng)系統(tǒng)高和專(zhuān)家系統(tǒng)網(wǎng)絡(luò)，實(shí)現(xiàn)對(duì)實(shí)時(shí)變化信息的即時(shí)監(jiān)控，切實(shí)保障計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的安全發(fā)展。

（三）防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)中的應(yīng)用計(jì)算機(jī)的硬件與軟件相結(jié)合才能讓防火墻技術(shù)發(fā)揮功效，為計(jì)算機(jī)的安全運(yùn)行構(gòu)建一個(gè)完整的保護(hù)盔甲。防火墻技術(shù)的應(yīng)用是針對(duì)整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)的使用安全，極大的降低了由于外界非法入侵帶來(lái)的不穩(wěn)定因素，讓計(jì)算機(jī)的安全得到保障。尤其是在現(xiàn)在大數(shù)據(jù)時(shí)代的發(fā)展背景下，防火墻技術(shù)的優(yōu)點(diǎn)更加明顯，防止計(jì)算機(jī)被非法入侵是防火墻技術(shù)的最重要功效。當(dāng)前，人們每天都會(huì)收到很多封垃圾郵件和短信，部分郵件和短信還攜帶有危害性質(zhì)的病毒，一旦點(diǎn)開(kāi)這些垃圾信息和短信就會(huì)造成病毒入侵，讓計(jì)算機(jī)中原本的私人信息遭到泄露。因此，需要人工智能技術(shù)來(lái)幫助人們進(jìn)行信息識(shí)別，掃描郵件中是否有不安全因素的存在，找出后還可立即進(jìn)行排除，防止安全事故的發(fā)生。根據(jù)以上內(nèi)容的分析得出，在當(dāng)前的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)應(yīng)用過(guò)程中，人工智能技術(shù)已成為主導(dǎo)技術(shù)之一，它能夠結(jié)合其他任何智能技術(shù)實(shí)現(xiàn)創(chuàng)新發(fā)展和進(jìn)步，以促進(jìn)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全使用，讓計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)高效、安全的發(fā)展，這也讓人們的生活、工作水平進(jìn)一步提高。

第8篇：入侵檢測(cè)論文范文

關(guān)鍵字 入侵檢測(cè)；數(shù)據(jù)挖掘；異常檢測(cè)；誤用檢測(cè)；分類(lèi)算法；關(guān)聯(lián)規(guī)則；序列規(guī)則；聚類(lèi)算法

0 引言

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，現(xiàn)在越來(lái)越多的人通過(guò)豐富的網(wǎng)絡(luò)資源學(xué)會(huì)各種攻擊的手法，通過(guò)簡(jiǎn)單的操作就可以實(shí)施極具破壞力的攻擊行為，如何有效的檢測(cè)并阻止這些攻擊行為的發(fā)生成了目前計(jì)算機(jī)行業(yè)普遍關(guān)注的一個(gè)問(wèn)題。

用于加強(qiáng)網(wǎng)絡(luò)安全的手段目前有很多，如加密，VPN ，防火墻等，但這些技術(shù)都是靜態(tài)的，不能夠很好的實(shí)施有效的防護(hù)。而入侵檢測(cè)（Intrusion Detection）技術(shù)是一種動(dòng)態(tài)的防護(hù)策略，它能夠?qū)W(wǎng)絡(luò)安全實(shí)施監(jiān)控、攻擊與反攻擊等動(dòng)態(tài)保護(hù)，在一定程度上彌補(bǔ)了傳統(tǒng)靜態(tài)策略的不足。

1 入侵檢測(cè)中數(shù)據(jù)挖掘技術(shù)的引入

1．1 入侵檢測(cè)技術(shù)介紹

入侵檢測(cè)技術(shù)是對(duì)（網(wǎng)絡(luò)）系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證系統(tǒng)資源的機(jī)密性、完整性與可用性。

從檢測(cè)數(shù)據(jù)目標(biāo)的角度，我們可以把入侵檢測(cè)系統(tǒng)分為基于主機(jī)、基于網(wǎng)絡(luò)、基于內(nèi)核和基于應(yīng)用等多種類(lèi)型。本文主要分析基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的構(gòu)造。

根據(jù)數(shù)據(jù)分析方法（也就是檢測(cè)方法）的不同，我們可以將入侵檢測(cè)系統(tǒng)分為兩類(lèi)：

（1） 誤用檢測(cè)（Misuse Detection）。又稱(chēng)為基于特征的檢測(cè)，它是根據(jù)已知的攻擊行為建立一個(gè)特征庫(kù)，然后去匹配已發(fā)生的動(dòng)作，如果一致則表明它是一個(gè)入侵行為。它的優(yōu)點(diǎn)是誤報(bào)率低，但是由于攻擊行為繁多，這個(gè)特征庫(kù)會(huì)變得越來(lái)越大，并且它只能檢測(cè)到已知的攻擊行為。

（2） 異常檢測(cè)（Anomaly Detection）。又稱(chēng)為基于行為的檢測(cè)，它是建立一個(gè)正常的特征庫(kù)，根據(jù)使用者的行為或資源使用狀況來(lái)判斷是否入侵。它的優(yōu)點(diǎn)在于與系統(tǒng)相對(duì)無(wú)關(guān)，通用性較強(qiáng)，可能檢測(cè)出以前從未出現(xiàn)過(guò)的攻擊方法。但由于產(chǎn)生的正常輪廓不可能對(duì)整個(gè)系統(tǒng)的所有用戶(hù)行為進(jìn)行全面的描述，況且每個(gè)用戶(hù)的行為是經(jīng)常改變的，所以它的主要缺陷在于誤檢率很高。

將這兩種分析方法結(jié)合起來(lái)，可以獲得更好的性能。異常檢測(cè)可以使系統(tǒng)檢測(cè)新的、未知的攻擊或其他情況；誤用檢測(cè)通過(guò)防止耐心的攻擊者逐步改變行為模式使得異常檢測(cè)器將攻擊行為認(rèn)為是合法的，從而保護(hù)異常檢測(cè)的完整性。

入侵檢測(cè)的數(shù)據(jù)源可以通過(guò)一些專(zhuān)用的抓包工具來(lái)獲取，在Windows系統(tǒng)一下，一般采用Winpcap來(lái)抓獲數(shù)據(jù)包，在Unix系統(tǒng)下，可以通過(guò)Tcpdump和Arpwatch來(lái)獲取。在數(shù)據(jù)分析階段將會(huì)用到我們這里重點(diǎn)要介紹的是數(shù)據(jù)挖掘技術(shù)，響應(yīng)部分分為主動(dòng)響應(yīng)和被動(dòng)響應(yīng)。

1．2 數(shù)據(jù)挖掘技術(shù)

數(shù)據(jù)挖掘（Data Mining）技術(shù)是一個(gè)從大量的數(shù)據(jù)中提取人們感興趣的模式的過(guò)程。挖掘的對(duì)象不僅是數(shù)據(jù)源、文件系統(tǒng)，也包括諸如Web資源等任何數(shù)據(jù)集合；同時(shí)數(shù)據(jù)挖掘的過(guò)程并不是一個(gè)直線(xiàn)型的過(guò)程，而是一個(gè)螺旋上升、循環(huán)往復(fù)的多步驟處理過(guò)程。

數(shù)據(jù)挖掘通過(guò)預(yù)測(cè)未來(lái)趨勢(shì)及行為，做出預(yù)測(cè)性的、基于知識(shí)的決策。數(shù)據(jù)挖掘的目標(biāo)是從數(shù)據(jù)庫(kù)中發(fā)現(xiàn)隱含的、有意義的知識(shí)，按其功能可分為以下幾類(lèi)：

（1）關(guān)聯(lián)分析

關(guān)聯(lián)分析能尋找數(shù)據(jù)庫(kù)中大量數(shù)據(jù)的相關(guān)聯(lián)系，常用的2種技術(shù)為關(guān)聯(lián)規(guī)則和序列模式。關(guān)聯(lián)規(guī)則是發(fā)現(xiàn)一個(gè)事物與其他事物間的相互關(guān)聯(lián)性或相互依賴(lài)性，可用于如分析客戶(hù)在超市買(mǎi)牙刷的同時(shí)又買(mǎi)牙膏的可能性；序列模式分析將重點(diǎn)放在分析數(shù)據(jù)之間的前后因果關(guān)系，如買(mǎi)了電腦的顧客則會(huì)在3個(gè)月內(nèi)買(mǎi)殺毒軟件。

（2）聚類(lèi)

輸入的數(shù)據(jù)并無(wú)任何類(lèi)型標(biāo)記，聚類(lèi)就是按一定的規(guī)則將數(shù)據(jù)劃分為合理的集合，即將對(duì)象分組為多個(gè)類(lèi)或簇，使得在同一個(gè)簇中的對(duì)象之間具有較高的相似度，而在不同簇中的對(duì)象差別很大。

（3）自動(dòng)預(yù)測(cè)趨勢(shì)和行為

數(shù)據(jù)挖掘自動(dòng)在大型數(shù)據(jù)庫(kù)中進(jìn)行分類(lèi)和預(yù)測(cè)，尋找預(yù)測(cè)性信息，自動(dòng)地提出描述重要數(shù)據(jù)類(lèi)的模型或預(yù)測(cè)未來(lái)的數(shù)據(jù)趨勢(shì)。

（4）概念描述

對(duì)于數(shù)據(jù)庫(kù)中龐雜的數(shù)據(jù)，人們期望以簡(jiǎn)潔的描述形式來(lái)描述匯集的數(shù)據(jù)集。概念描述就是對(duì)某類(lèi)對(duì)象的內(nèi)涵進(jìn)行描述并概括出這類(lèi)對(duì)象的有關(guān)特征。

（5）偏差檢測(cè)

偏差包括很多潛在的知識(shí)，如分類(lèi)中的反常實(shí)例、不滿(mǎn)足規(guī)則的特例、觀測(cè)結(jié)果與模型預(yù)測(cè)值的偏差、量值隨時(shí)間的變化等。

數(shù)據(jù)挖掘技術(shù)是最新引入到入侵檢測(cè)的技術(shù)。它的優(yōu)越之處在于可以從大量的網(wǎng)絡(luò)數(shù)據(jù)以及主機(jī)的日志數(shù)據(jù)中提取出人們需要的、事先未知的知識(shí)和規(guī)律。利用數(shù)據(jù)挖掘技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)安全在國(guó)內(nèi)外都屬于一種新的嘗試。目前，對(duì)數(shù)據(jù)挖掘算法的研究已比較成熟，而數(shù)據(jù)挖掘本身是一個(gè)通用的知識(shí)發(fā)現(xiàn)技術(shù)。在入侵檢測(cè)領(lǐng)域，我們將入侵檢測(cè)看作是一個(gè)數(shù)據(jù)的分析過(guò)程，對(duì)大量的安全數(shù)據(jù)應(yīng)用特定的數(shù)據(jù)挖掘算法，以達(dá)到建立一個(gè)具有自適應(yīng)性以及良好的擴(kuò)展性能的入侵檢測(cè)系統(tǒng)。目前，應(yīng)用到入侵檢測(cè)上的數(shù)據(jù)挖掘算法主要集中在關(guān)聯(lián)、序列、分類(lèi)和聚類(lèi)這四個(gè)基本模型之上。

2．算法在入侵檢測(cè)中的具體使用 2．1 基于誤用的檢測(cè)模型

誤用檢測(cè)中的基本思路是：

首先我們從網(wǎng)絡(luò)或是主機(jī)上獲取原始二進(jìn)制的數(shù)據(jù)文件，再把這些數(shù)據(jù)進(jìn)行處理，轉(zhuǎn)換成ASCII碼表示的數(shù)據(jù)分組形式。再經(jīng)過(guò)預(yù)處理模塊將這些網(wǎng)絡(luò)數(shù)據(jù)表示成連接記錄的形式，每個(gè)連接記錄都是由選定的特征屬性表示的，比如連接建立的時(shí)間，所使用的端口服務(wù)，連接結(jié)束的狀態(tài)等等數(shù)據(jù)特征。再進(jìn)行完上面的工作后，對(duì)上述的由特征屬性組成的模式記錄進(jìn)行處理，總結(jié)出其中的統(tǒng)計(jì)特征，包括在一時(shí)間段內(nèi)與目標(biāo)主機(jī)相同的連接記錄的次數(shù)、發(fā)生SYN錯(cuò)誤的連接百分比、目標(biāo)端口相同的連接所占的百分比等等一系列的統(tǒng)計(jì)特征。最后，我們就可以進(jìn)行下面的檢測(cè)分析工作，利用分類(lèi)算法，比如RIPPER 、C4.5等建立分類(lèi)模型。當(dāng)然，在這其中，統(tǒng)計(jì)特征以及分類(lèi)特征的選擇和構(gòu)建都是我們必須要反復(fù)總結(jié)的過(guò)程，最后才能根據(jù)各種不同的攻擊方式或是不同的網(wǎng)絡(luò)服務(wù)確定最終的分類(lèi)數(shù)據(jù)。只有這樣才能建立一個(gè)實(shí)用性較強(qiáng)、效果更好的分類(lèi)模型。

·ID3、C4.5算法

ID3算法是一種基本的決策樹(shù)生成算法，該算法不包括規(guī)則剪除部分。C4.5算法作為ID3算法的后繼版本，就加入了規(guī)則剪除部分，使用訓(xùn)練樣本來(lái)估計(jì)每個(gè)規(guī)則的準(zhǔn)確率。也是分類(lèi)模型的主要運(yùn)用算法。

對(duì)于已知的攻擊類(lèi)型的檢測(cè)，分類(lèi)模型具有較高的檢準(zhǔn)率，但是對(duì)于未知的、新的攻擊，分類(lèi)模型效果就不是很理想。這個(gè)是由誤用檢測(cè)本身的特點(diǎn)所決定的，誤用檢測(cè)誤報(bào)率低，但是它在對(duì)已知攻擊模式特征屬性構(gòu)建和選取上往往要花費(fèi)大量的精力，這也是分類(lèi)檢測(cè)的難點(diǎn)所在。所以這種檢測(cè)模型只能有限的檢測(cè)已知的攻擊，而要更好的檢測(cè)未知的攻擊，就要使用到異常檢測(cè)技術(shù)，但是，異常檢測(cè)卻比誤用檢測(cè)負(fù)責(zé)的多，因?yàn)閷?duì)于系統(tǒng)正常使用模式的構(gòu)建本身就是一件非常復(fù)雜的事情。

2.2 基于異常的入侵模型

異常檢測(cè)的主要工作就是通過(guò)構(gòu)造正?；顒?dòng)集合，然后利用得到的一組觀察數(shù)值的偏離程度來(lái)判斷用戶(hù)行為的變化，以此來(lái)覺(jué)得是否屬于入侵的一種檢測(cè)技術(shù)。異常檢測(cè)的優(yōu)點(diǎn)在于它具有檢測(cè)未知攻擊模式的能力，不論攻擊者采用什么樣的攻擊策略，異常檢測(cè)模型依然可以通過(guò)檢測(cè)它與已知模式集合之間的差異來(lái)判斷用戶(hù)的行為是否異常。

在異常檢測(cè)中主要用到的兩個(gè)算法就是模式比較和聚類(lèi)算法

(1) 模式比較

在模式比較算法中首先通過(guò)關(guān)聯(lián)規(guī)則和序列規(guī)則建立正常的行為模式，然后通過(guò)模式比較算法來(lái)區(qū)別正常行為和入侵行為。

·關(guān)聯(lián)規(guī)則

關(guān)聯(lián)規(guī)則挖掘是數(shù)據(jù)挖掘最為廣泛應(yīng)用的技術(shù)之一，也是最早用于入侵檢測(cè)的技術(shù)。關(guān)聯(lián)規(guī)則分析是發(fā)現(xiàn)所有支持度和可信度均超過(guò)規(guī)定域值的方法，它主要經(jīng)過(guò)兩步過(guò)程：首先識(shí)別所有支持度不低于用戶(hù)規(guī)定的最小支持度域值的項(xiàng)目集，即頻繁項(xiàng)目集；然后從得到的頻繁項(xiàng)目集中構(gòu)造出可信度不低于用戶(hù)規(guī)定的最小可信度域值的規(guī)則?，F(xiàn)在已有多種關(guān)聯(lián)規(guī)則算法如Apriori算法等用于入侵檢測(cè)。

·序列分析

序列規(guī)則和關(guān)聯(lián)規(guī)則相似，其目的也是為了挖掘出數(shù)據(jù)之間的聯(lián)系，它們的不同之處在于前者加入了時(shí)間的概念。序列模式挖掘有幾個(gè)重要的參數(shù)，如時(shí)間序列的持續(xù)時(shí)間，事件重疊窗口和被發(fā)現(xiàn)的模式中時(shí)間之間的時(shí)間間隔。還可以在要挖掘的序列模式上指定約束，方法是提供“模式模板“，其形式可以是系列片段（Serial Episode），并行片段（Parallel Episode），或正則表達(dá)式。序列分析使用于發(fā)現(xiàn)分布式攻擊和插入噪聲的攻擊。由于各種攻擊方法的規(guī)模的擴(kuò)大和時(shí)間持久，序列分析變得越來(lái)越重要。

(2)聚類(lèi)算法

聚類(lèi)分析的基本思想主要源于入侵與正常模式上的不同及正常行為數(shù)目應(yīng)遠(yuǎn)大于入侵行為數(shù)目的條件，因此能夠?qū)?shù)據(jù)集劃分為不同的類(lèi)別，由此分辨出正常和異常行為來(lái)檢測(cè)入侵。數(shù)據(jù)挖掘中常用的聚類(lèi)算法有K-means、模糊聚類(lèi)、遺傳聚類(lèi)等。基于聚類(lèi)的入侵檢測(cè)是一種無(wú)監(jiān)督的異常檢測(cè)算法，通過(guò)對(duì)未標(biāo)識(shí)數(shù)據(jù)進(jìn)行訓(xùn)練來(lái)檢測(cè)入侵。該方法不需要手工或其他的分類(lèi)，也不需要進(jìn)行訓(xùn)練。因此呢功能發(fā)現(xiàn)新型的和未知的入侵類(lèi)型。

3.結(jié)論

入侵檢測(cè)中數(shù)據(jù)挖掘技術(shù)方面的研究已經(jīng)有很多，發(fā)表的論文也已經(jīng)有好多，但是應(yīng)用難點(diǎn)在于如何根據(jù)具體應(yīng)用的要求，從用于安全的先驗(yàn)知識(shí)出發(fā)，提取出可以有效反映系統(tǒng)特性的屬性，并應(yīng)用合適的算法進(jìn)行數(shù)據(jù)挖掘。另一技術(shù)難點(diǎn)在于如何將數(shù)據(jù)挖掘結(jié)果自動(dòng)應(yīng)用到實(shí)際IDS中。

入侵檢測(cè)采用的技術(shù)有多種類(lèi)型，其中基于數(shù)據(jù)挖掘技術(shù)的入侵檢測(cè)技術(shù)成為當(dāng)前入侵檢測(cè)技術(shù)發(fā)展的一個(gè)熱點(diǎn)，但數(shù)據(jù)挖掘還處于發(fā)展時(shí)期，因此有必要對(duì)它進(jìn)行更深入的研究。

參考文獻(xiàn)

[1] 張銀奎，廖麗，宋俊等．?dāng)?shù)據(jù)挖掘原理[M]．北京：機(jī)械工業(yè)出版社，2003 : 93-105

[2] 戴英俠，連一峰，王航等．系統(tǒng)安全與入侵檢測(cè)[M]．北京：清華大學(xué)出版社，2002 : 99-137

[3] 許卓群．?dāng)?shù)據(jù)結(jié)構(gòu)[M]．北京：中國(guó)廣播電視大學(xué)出版社，2001 : 260- 272．

[4] 劉莘，張永平，萬(wàn)艷麗．決策樹(shù)算法在入侵檢測(cè)中的應(yīng)用分析及改進(jìn)[J]．計(jì)算機(jī)工程與設(shè)計(jì)．2006

[5] 張翰帆．基于數(shù)據(jù)挖掘的入侵檢測(cè)系統(tǒng)．南京工業(yè)大學(xué)，2004．

第9篇：入侵檢測(cè)論文范文

論文摘要：檔案信息化進(jìn)程的加快為檔案事業(yè)帶來(lái)了無(wú)限發(fā)展的空間，同時(shí)，檔案信息安全問(wèn)題也遇到了前所未有的挑戰(zhàn)。本文對(duì)幾種常用的欺騙技術(shù)在檔案信息化工作中的應(yīng)用進(jìn)行了分析，對(duì)構(gòu)建檔案信息網(wǎng)絡(luò)安全系統(tǒng)有一定的參考作用。

網(wǎng)絡(luò)欺騙就是使網(wǎng)絡(luò)入侵者相信檔案信息系統(tǒng)存在有價(jià)值的、可利用的安全弱點(diǎn)，并具有一些值得攻擊竊取的資源，并將入侵者引向這些錯(cuò)誤的實(shí)際上是偽造的或不重要的資源。它能夠顯著地增加網(wǎng)絡(luò)入侵者的工作量、人侵難度以及不確定性，從而使網(wǎng)絡(luò)入侵者不知道其進(jìn)攻是否奏效或成功。它允許防護(hù)者跟蹤網(wǎng)絡(luò)入侵者的行為，在網(wǎng)絡(luò)入侵者之前修補(bǔ)系統(tǒng)可能存在的安全漏洞。理論上講，每個(gè)有價(jià)值的網(wǎng)絡(luò)系統(tǒng)都存在安全弱點(diǎn)，而且這些弱點(diǎn)都可能被網(wǎng)絡(luò)人侵者所利用。網(wǎng)絡(luò)欺騙的主要作用是：影響網(wǎng)絡(luò)入侵者使之遵照用戶(hù)的意志、迅速檢測(cè)到網(wǎng)絡(luò)入侵者的進(jìn)攻并獲知進(jìn)攻技術(shù)和意圖、消耗網(wǎng)絡(luò)入侵者的資源。下面將分析網(wǎng)絡(luò)欺騙的主要技術(shù)。

一、蜜罐技術(shù)和蜜網(wǎng)技術(shù)

1．蜜罐技術(shù)。網(wǎng)絡(luò)欺騙一般通過(guò)隱藏和安插錯(cuò)誤信息等技術(shù)手段實(shí)現(xiàn)，前者包括隱藏服務(wù)、多路徑和維護(hù)安全狀態(tài)信息機(jī)密件，后者包括重定向路由、偽造假信息和設(shè)置圈套等。綜合這些技術(shù)方法，最早采用的網(wǎng)絡(luò)欺騙是蜜罐技術(shù)，它將少量的有吸引力的目標(biāo)放置在網(wǎng)絡(luò)入侵者很容易發(fā)現(xiàn)的地方，以誘使入侵者上當(dāng)。這種技術(shù)目的是尋找一種有效的方法來(lái)影響網(wǎng)絡(luò)入侵者，使得網(wǎng)絡(luò)入侵者將攻擊力集中到蜜罐技術(shù)而不是其他真正有價(jià)值的正常系統(tǒng)和資源中。蜜罐技術(shù)還可以做到一旦入侵企圖被檢測(cè)到時(shí)，迅速地將其重定向。

盡管蜜罐技術(shù)可以迅速重定向，但對(duì)高級(jí)的網(wǎng)絡(luò)入侵行為，該技術(shù)就力不從心了。因此，分布式蜜罐技術(shù)便應(yīng)運(yùn)而生，它將欺騙散布在網(wǎng)絡(luò)的正常系統(tǒng)和資源中，利用閑置的服務(wù)端口來(lái)充當(dāng)欺騙通道，從而增大了網(wǎng)絡(luò)入侵者遭遇欺騙的可能性。分布式蜜罐技術(shù)有兩個(gè)直接的效果，首先是將欺騙分布到更廣范圍的lp地址和端口空間中，其次是增大了欺騙在整個(gè)網(wǎng)絡(luò)中的比例，使得欺騙比安全弱點(diǎn)被網(wǎng)絡(luò)入侵者發(fā)現(xiàn)的可能性增大。

分布式蜜罐技術(shù)也不是十全十美的，它的局限性體現(xiàn)在三個(gè)方面：一是它對(duì)整個(gè)空間搜索的網(wǎng)絡(luò)掃描無(wú)效；二是只提供了質(zhì)量較低的欺騙；三是只相對(duì)使整個(gè)搜索空間的安全弱點(diǎn)減少。而且，這種技術(shù)的一個(gè)更為嚴(yán)重的缺陷是它只對(duì)遠(yuǎn)程掃描有效。如果入侵已經(jīng)部分進(jìn)入到檔案信息網(wǎng)絡(luò)系統(tǒng)中，真正的網(wǎng)絡(luò)服務(wù)對(duì)網(wǎng)絡(luò)入侵者已經(jīng)透明，那么這種欺騙將失去作用。

蜜罐技術(shù)收集的資料可能是少量的，但往往都具有很高的價(jià)值，它免除了在大量的無(wú)關(guān)信息中尋找有價(jià)值信息的繁雜度，這在研究網(wǎng)絡(luò)安全時(shí)是一大優(yōu)勢(shì)?，F(xiàn)在互聯(lián)網(wǎng)應(yīng)用的發(fā)展速度很快，用戶(hù)每時(shí)每刻所面對(duì)的都是海量的垃圾信息。如何在大量的信息和資料中找到所需要的部分，越來(lái)越成為人們關(guān)注的問(wèn)題。蜜罐技術(shù)的一個(gè)最大優(yōu)點(diǎn)，就是能使用戶(hù)簡(jiǎn)單快速地收集到最關(guān)鍵的信息，并對(duì)問(wèn)題進(jìn)行最直接的分析和理解。

許多安全工具在應(yīng)用時(shí)往往會(huì)受到網(wǎng)絡(luò)帶寬和存儲(chǔ)容量的限制。丑志服務(wù)器也很難收集所有的系統(tǒng)日志，而會(huì)流失一些有用的日志記錄。蜜罐技術(shù)則沒(méi)有這個(gè)問(wèn)題，因?yàn)樗鼉H僅去截取與陷阱網(wǎng)絡(luò)和系統(tǒng)有密切關(guān)系的行為，并且可以自由設(shè)置檢測(cè)和記錄對(duì)象，所以更為靈活和易用。

但是蜜罐技術(shù)的一個(gè)缺點(diǎn)是消息收集點(diǎn)不能太多。如果蜜罐技術(shù)設(shè)置了一個(gè)很大的系統(tǒng)漏洞，但如果沒(méi)有黑客進(jìn)行攻擊，蜜罐技術(shù)一點(diǎn)價(jià)值都沒(méi)有了。另外，蜜罐技術(shù)也無(wú)法得知任何未授權(quán)的行為。再有，蜜罐技術(shù)也可能為用戶(hù)招致風(fēng)險(xiǎn)，可能被高明的黑客作為另外——次攻擊的平臺(tái)。所以在檔案系統(tǒng)網(wǎng)絡(luò)管理工作中合理設(shè)定和利用蜜罐技術(shù)也是至關(guān)重要的。

2．蜜網(wǎng)技術(shù)。蜜網(wǎng)技術(shù)是一個(gè)故意設(shè)計(jì)的存在缺陷的系統(tǒng)，可以用來(lái)對(duì)檔案信息網(wǎng)絡(luò)入侵者的行為進(jìn)行誘騙，以保護(hù)檔案信息的安全。傳統(tǒng)的蜜罐技術(shù)用來(lái)模擬系統(tǒng)一些常見(jiàn)漏洞，而蜜網(wǎng)技術(shù)則有所不同，它是一個(gè)學(xué)習(xí)的工具，是一個(gè)網(wǎng)絡(luò)系統(tǒng)，并非是一臺(tái)單一主機(jī)，這一網(wǎng)絡(luò)系統(tǒng)隱藏在防火墻的后面，所有進(jìn)出的資料都受到監(jiān)控、捕獲及控制。這些被捕獲的資料用于研究分析檔案網(wǎng)絡(luò)入侵者所使用的工具、方法及動(dòng)機(jī)。在蜜網(wǎng)技術(shù)中，一般都安裝使用了各種不同的操作系統(tǒng)，如linux和windows nt等。這樣的網(wǎng)絡(luò)環(huán)境看上去更加真實(shí)可怕，不同的系統(tǒng)平臺(tái)運(yùn)行著不同的服務(wù)，如linux運(yùn)行dns服務(wù)，windows nt上運(yùn)行webserver，而solaris運(yùn)行ftp server,用戶(hù)可以學(xué)習(xí)不同的工具以及不同的安全策略。在蜜網(wǎng)技術(shù)中所有的系統(tǒng)都是標(biāo)準(zhǔn)的配置，上面運(yùn)行的都是完整的操作系統(tǒng)及應(yīng)用程序．并不去刻意地模仿某種環(huán)境或故意使系統(tǒng)不安全。蜜網(wǎng)技術(shù)是一個(gè)用來(lái)研究如何入侵系統(tǒng)的工具，是一個(gè)設(shè)計(jì)合理的實(shí)驗(yàn)網(wǎng)絡(luò)系統(tǒng)。蜜網(wǎng)技術(shù)第一個(gè)組成部分是防火墻，它記錄了所有與本地主機(jī)的聯(lián)接并且提供nat服務(wù)和dos保護(hù)、入侵偵測(cè)系統(tǒng)(ids)。ids和防火墻有時(shí)會(huì)放置在同一個(gè)位置，用來(lái)記錄網(wǎng)絡(luò)上的流量且尋找攻擊和入侵的線(xiàn)索。第二個(gè)組成部分是遠(yuǎn)程日志主機(jī)，所有的入侵指令能夠被監(jiān)控并且傳送到通常設(shè)定成遠(yuǎn)程的系統(tǒng)日志。這兩個(gè)部分為檔案系統(tǒng)安全的防護(hù)和治理都起著不可忽視的作用。

蜜網(wǎng)技術(shù)是一個(gè)很有價(jià)值的研究、學(xué)習(xí)和教育工具，借著這個(gè)工具，使人們能更好地理解入侵者的攻擊方式，以便準(zhǔn)確及時(shí)地檢測(cè)到入侵行為。分析從蜜網(wǎng)技術(shù)收集的信息，可以監(jiān)視并預(yù)測(cè)攻擊發(fā)生和發(fā)展的趨勢(shì)，從而可以早做預(yù)防，避免更大的損失。

二、空間欺騙技術(shù)

空問(wèn)欺騙技術(shù)是通過(guò)增加搜索空間來(lái)顯著增加檔案系統(tǒng)網(wǎng)絡(luò)入侵者的工作量，從而達(dá)到安全防護(hù)的目的。該技術(shù)運(yùn)用的前提是計(jì)算機(jī)系統(tǒng)可以在一塊網(wǎng)卡上實(shí)現(xiàn)具有眾多ip地址，每個(gè)lp地址都具有自己的mac地址。這項(xiàng)技術(shù)可用于建立填充一大段地址空間的欺騙，且花費(fèi)極低。這樣許許多多不同的欺騙，就可以在一臺(tái)計(jì)算機(jī)上實(shí)現(xiàn)。當(dāng)網(wǎng)絡(luò)入侵者的掃描器訪(fǎng)問(wèn)到網(wǎng)絡(luò)系統(tǒng)的外部路由器并探測(cè)到這一欺騙服務(wù)時(shí)，還可將掃描器所有的網(wǎng)絡(luò)流量重定向到欺騙上，使得接下來(lái)的遠(yuǎn)程訪(fǎng)問(wèn)變成這個(gè)欺騙的繼續(xù)。當(dāng)然，采用這種欺騙時(shí)，網(wǎng)絡(luò)流量和服務(wù)的切換必須嚴(yán)格保密，因?yàn)橐坏┍┞毒蛯⒄兄氯肭郑瑥亩鴮?dǎo)致入侵者很容易將任一個(gè)已知有效的服務(wù)和這種用于測(cè)試網(wǎng)絡(luò)入侵者的掃描探測(cè)及其響應(yīng)的欺騙區(qū)分開(kāi)來(lái)。

三、信息迷惑技術(shù)

1?。W(wǎng)絡(luò)信息迷惑技術(shù)：網(wǎng)絡(luò)動(dòng)態(tài)配置和網(wǎng)絡(luò)流量仿真。產(chǎn)生仿真流量的目的是使流量分析不能檢測(cè)到欺騙的存在。在欺騙系統(tǒng)中產(chǎn)生仿真流量有兩種方法。一種方法是采用實(shí)時(shí)方式或重現(xiàn)方式復(fù)制真正的網(wǎng)絡(luò)流量，這使得欺騙系統(tǒng)與真實(shí)系統(tǒng)十分相似，因?yàn)樗械脑L(fǎng)問(wèn)鏈接都被復(fù)制。第二種方法是從遠(yuǎn)程產(chǎn)生偽造流量，使網(wǎng)絡(luò)入侵者可以發(fā)現(xiàn)和利用。面對(duì)網(wǎng)絡(luò)入侵技術(shù)的不斷提高，一種網(wǎng)絡(luò)欺騙技術(shù)肯定不能做到總是成功，必須不斷地提高欺騙質(zhì)量，才能使網(wǎng)絡(luò)入侵者難以將合法服務(wù)和欺騙服務(wù)進(jìn)行區(qū)分。

真實(shí)的檔案信息網(wǎng)絡(luò)是隨時(shí)間而改變的，是不斷地發(fā)生著信息接收和傳遞的，如果欺騙是靜態(tài)的，那么在入侵者長(zhǎng)期監(jiān)視的情況下就會(huì)導(dǎo)致欺騙無(wú)效。因此，需要?jiǎng)討B(tài)配置欺騙網(wǎng)絡(luò)以模擬正常的網(wǎng)絡(luò)行為，使欺騙網(wǎng)絡(luò)也和真實(shí)網(wǎng)絡(luò)一樣隨時(shí)間而改變。為使之有效，欺騙特性也應(yīng)該盡可能地反映出真實(shí)系統(tǒng)的特性。例如，計(jì)算機(jī)在下班之后關(guān)機(jī)，那么欺騙計(jì)算機(jī)也應(yīng)該同時(shí)關(guān)機(jī)。其他如周末等特殊時(shí)刻也必須考慮，否則人侵者將很可能發(fā)現(xiàn)被欺騙。