入侵檢測論文精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的入侵檢測論文主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：入侵檢測論文范文

事實(shí)上，數(shù)據(jù)挖掘的產(chǎn)生是有其必然性的。隨著信息時(shí)代的到來，各種數(shù)據(jù)收集設(shè)備不斷更新，相應(yīng)的數(shù)據(jù)庫技術(shù)也在不斷地成熟，使得人們積累的信息量不斷增加，為了提高效率，當(dāng)務(wù)之急就是要從海量的數(shù)據(jù)中找出最有用的信息，這就催生了數(shù)據(jù)挖掘技術(shù)。

2網(wǎng)絡(luò)入侵檢測的重要性與必要性分析

網(wǎng)絡(luò)入侵檢測，就是對(duì)網(wǎng)絡(luò)入侵行為的發(fā)覺。與其他安全技術(shù)相比而言，入侵檢測技術(shù)并不是以建立安全和可靠的網(wǎng)絡(luò)環(huán)境為主，而是以分析和處理對(duì)網(wǎng)絡(luò)用戶信息構(gòu)成威脅的行為，進(jìn)而進(jìn)行非法控制來確保網(wǎng)絡(luò)系統(tǒng)的安全。它的主要目的是對(duì)用戶和系統(tǒng)進(jìn)行檢測與分析，找出系統(tǒng)中存在的漏洞與問題，一旦發(fā)現(xiàn)攻擊或威脅就會(huì)自動(dòng)及時(shí)地向管理人員報(bào)警，同時(shí)對(duì)各種非法活動(dòng)或異?；顒?dòng)進(jìn)行識(shí)別、統(tǒng)計(jì)與分析。

3數(shù)據(jù)挖掘在網(wǎng)絡(luò)入侵檢測中的應(yīng)用分析

在使用數(shù)據(jù)挖掘技術(shù)對(duì)網(wǎng)絡(luò)入侵行為進(jìn)行檢測的過程中，我們可以通過分析有用的數(shù)據(jù)或信息來提取用戶的行為特征和入侵規(guī)律，進(jìn)而建立起一個(gè)相對(duì)完善的規(guī)則庫來進(jìn)行入侵檢測。該檢測過程主要是數(shù)據(jù)收集——數(shù)據(jù)預(yù)處理——數(shù)據(jù)挖掘，以下是在對(duì)已有的基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)入侵檢測的模型結(jié)構(gòu)圖進(jìn)行闡述的基礎(chǔ)上進(jìn)行一些優(yōu)化。

3.1綜合了誤用檢測和異常檢測的模型

為改進(jìn)前綜合誤用檢測和異常檢測的模型。從圖2可以看出，它是綜合利用了誤用檢測和異常檢測模型而形成的基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)入侵檢測模型。其優(yōu)點(diǎn)在于通過結(jié)合誤用檢測器和異常檢測器，把所要分析的數(shù)據(jù)信息減少了很多，大大縮小了數(shù)據(jù)范圍。其劣勢在于當(dāng)異常檢測器檢測到新的入侵檢測后，僅僅更新了異常檢測器，而沒有去及時(shí)地更新誤用檢測器，這就無形中增加了工作量。對(duì)于這一不足之處，筆者提出了以下改進(jìn)意見。

3.2改進(jìn)后的誤用檢測和異常檢測模型

筆者進(jìn)行了一些改進(jìn)，以形成一種更加有利的基于數(shù)據(jù)挖掘的入侵檢測模型，基礎(chǔ)上進(jìn)行了一定的優(yōu)化。一是把從網(wǎng)絡(luò)中獲取的網(wǎng)絡(luò)數(shù)據(jù)包發(fā)送到數(shù)據(jù)預(yù)處理器中，由它進(jìn)行加工處理，然后使用相應(yīng)的關(guān)聯(lián)規(guī)則找出其中具有代表性的規(guī)則，放入關(guān)聯(lián)規(guī)則集中，接下來用聚類規(guī)則將關(guān)聯(lián)規(guī)則所得的支持度和可信度進(jìn)行聚類優(yōu)化。此后，我們可根據(jù)規(guī)定的閾值而將一部分正常的數(shù)據(jù)刪除出去，這就大大減少了所要分析的數(shù)據(jù)量。此時(shí)可以把剩下的那些數(shù)據(jù)發(fā)送到誤用檢測器中進(jìn)行檢測，如果誤用檢測器也沒有檢測到攻擊行為，則把該類數(shù)據(jù)發(fā)送到異常檢測器中再次進(jìn)行檢測，與上面的例子一樣，這個(gè)異常檢測器實(shí)際上也起到了一個(gè)過濾的作用，以此來把海量的正常數(shù)據(jù)過濾出去，相應(yīng)地?cái)?shù)據(jù)量就會(huì)再一次變少，這就方便了后期的挖掘。這一模型系統(tǒng)的一大特點(diǎn)就是為了避免重復(fù)檢測，利用對(duì)數(shù)據(jù)倉庫的更新來完善異常檢測器和誤用檢測器。也就是說，根據(jù)異常檢測器的檢測結(jié)果來對(duì)異常檢測器和誤用檢測器進(jìn)行更新，若測得該行為是正常行為，那么就會(huì)更新異常檢測器，若測得該行為是攻擊行為，那么就更新誤用檢測器來記錄該次的行為，從而方便下次進(jìn)行重復(fù)的檢測。

4結(jié)束語

第2篇：入侵檢測論文范文

關(guān)鍵詞：入侵檢測，Snort，三層結(jié)構(gòu)，校園網(wǎng)，關(guān)聯(lián)規(guī)則

 

0 前言

隨著互聯(lián)網(wǎng)的飛速發(fā)展，信息網(wǎng)絡(luò)已經(jīng)進(jìn)入千家萬戶，各國都在加速信息化建設(shè)的進(jìn)程，越來越多的電子業(yè)務(wù)正在網(wǎng)絡(luò)上開展，這加速了全球信息化的進(jìn)程，促進(jìn)了社會(huì)各個(gè)領(lǐng)域的發(fā)展，與此同時(shí)計(jì)算機(jī)網(wǎng)絡(luò)也受到越來越多的惡意攻擊[1]，例如網(wǎng)頁內(nèi)容被篡改、消費(fèi)者網(wǎng)上購物信用卡帳號(hào)和密碼被盜、大型網(wǎng)站被黑客攻擊無法提供正常服務(wù)等等。

入侵檢測作為傳統(tǒng)計(jì)算機(jī)安全機(jī)制的補(bǔ)充[2]，它的開發(fā)與應(yīng)用擴(kuò)大了網(wǎng)絡(luò)與系統(tǒng)安全的保護(hù)縱深，成為目前動(dòng)態(tài)安全工具的主要研究和開發(fā)的方向。隨著系統(tǒng)漏洞不斷被發(fā)現(xiàn)，攻擊不斷發(fā)生，入侵檢測系統(tǒng)在整個(gè)安全系統(tǒng)中的地位不斷提高，所發(fā)揮的作用也越來越大。無論是從事網(wǎng)絡(luò)安全研究的學(xué)者，還是從事入侵檢測產(chǎn)品開發(fā)的企業(yè)，都越來越重視入侵檢測技術(shù)。

本文在校園網(wǎng)的環(huán)境下，提出了一種基于Snort的三層入侵檢測系統(tǒng)，詳細(xì)介紹了該系統(tǒng)的體系結(jié)構(gòu)，各個(gè)模塊的具體功能以及如何實(shí)現(xiàn)，并最終將該系統(tǒng)應(yīng)用于校園網(wǎng)絡(luò)中進(jìn)行檢測網(wǎng)絡(luò)安全論文，確保校園網(wǎng)絡(luò)的安全。

1 Snort入侵檢測系統(tǒng)介紹

Snort[3]是一種基于網(wǎng)絡(luò)的輕量級(jí)入侵檢測系統(tǒng)，建立在數(shù)據(jù)包嗅探器上。它能實(shí)時(shí)分析網(wǎng)絡(luò)上的數(shù)據(jù)包，檢測來自網(wǎng)絡(luò)的攻擊。它能方便地安裝和配置在網(wǎng)絡(luò)的任何一節(jié)點(diǎn)上，而且不會(huì)對(duì)網(wǎng)絡(luò)運(yùn)行產(chǎn)生太大的影響，同時(shí)它還具有跨系統(tǒng)平臺(tái)操作、最小的系統(tǒng)要求以及易于部署和配置等特征，并且管理員能夠利用它在短時(shí)間內(nèi)通過修改配置進(jìn)行實(shí)時(shí)的安全響應(yīng)。它能夠?qū)崟r(shí)分析數(shù)據(jù)流量和日志IP網(wǎng)絡(luò)數(shù)據(jù)包，能夠進(jìn)行協(xié)議分析，對(duì)內(nèi)容進(jìn)行搜索/匹配。其次它還可以檢測各種不同的攻擊方式，對(duì)攻擊進(jìn)行實(shí)時(shí)警報(bào)?？偟膩碚f，Snort具有如下的優(yōu)點(diǎn)：

（1）高效的檢測和模式匹配算法，使性能大大提升。

（2）良好的擴(kuò)展性，它采用了插入式檢測引擎，可以作為標(biāo)準(zhǔn)的網(wǎng)絡(luò)入侵檢測系統(tǒng)、主機(jī)入侵檢測系統(tǒng)使用；與Netfilter結(jié)合使用，可以作為網(wǎng)關(guān)IDS(Gateway IDS，GIDS)；與NMAP等系統(tǒng)指紋識(shí)別工具結(jié)合使用，可以作為基于目標(biāo)的TIDS(Target-basedIDS)。

（3）出色的協(xié)議分析能力，Snort能夠分析的協(xié)議有TCP,UDP和ICMP。將來的版本，將提供對(duì)ARP.ICRP,GRE,OSPF,RIP,ERIP,IPX,APPLEX等協(xié)議的支持。它能夠檢測多種方式的攻擊和探測，例如：緩沖區(qū)溢出，CGI攻擊，SMB檢測，端口掃描等等中國期刊全文數(shù)據(jù)庫。

（4）支持多種格式的特征碼規(guī)則輸入方式，如數(shù)據(jù)庫、XML等。

Snort同時(shí)遵循GPL（公用許可License），任何組織或者個(gè)人都可以自由使用，這是商業(yè)入侵檢測軟件所不具備的優(yōu)點(diǎn)?；谝陨系奶攸c(diǎn)，本文采用了Snort作為系統(tǒng)設(shè)計(jì)的基礎(chǔ)，自主開發(fā)設(shè)計(jì)了三層結(jié)構(gòu)的入侵檢測系統(tǒng)。

2 入侵檢測三層體系結(jié)構(gòu)

Snort入侵檢測系統(tǒng)可采用單層或多層的體系結(jié)構(gòu)，對(duì)于單層[4]的結(jié)構(gòu)來說，它將入侵檢測的核心功能和日志信息混合放在同一層面上，這樣的系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)均比較簡單，但它的缺點(diǎn)是交互性比較差，擴(kuò)展性不好，操作管理比較繁瑣，系統(tǒng)的升級(jí)維護(hù)比較復(fù)雜。為了設(shè)計(jì)一個(gè)具有靈活性、安全性和可擴(kuò)展性的網(wǎng)絡(luò)入侵檢測系統(tǒng)，本文的系統(tǒng)采用了三層體系結(jié)構(gòu)，主要包括網(wǎng)絡(luò)入侵檢測層、數(shù)據(jù)庫服務(wù)器層和日志分析控制臺(tái)層。系統(tǒng)的三層體系結(jié)構(gòu)如圖4.1所示。

圖4.1 三層體系結(jié)構(gòu)圖

（1）網(wǎng)絡(luò)入侵檢測層主要實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的實(shí)時(shí)捕獲，監(jiān)控和對(duì)數(shù)據(jù)進(jìn)行分析以找出可能存在的入侵。

（2）數(shù)據(jù)庫服務(wù)器層主要是從入侵檢測系統(tǒng)中收集報(bào)警數(shù)據(jù)，并將它存入到關(guān)系數(shù)據(jù)庫中網(wǎng)絡(luò)安全論文，以便用戶進(jìn)行復(fù)雜的查詢，和更好地管理報(bào)警信息。

（3）日志分析控制臺(tái)層是數(shù)據(jù)顯示層，網(wǎng)絡(luò)管理員可通過瀏覽器本地的Web服務(wù)器，訪問關(guān)系數(shù)據(jù)庫中的數(shù)據(jù)，對(duì)報(bào)警日志信息進(jìn)行查詢與管理，提供了很好的人機(jī)交互界面。

2.1 網(wǎng)絡(luò)入侵檢測層

網(wǎng)絡(luò)入侵檢測層是整個(gè)系統(tǒng)的核心所在，主要負(fù)責(zé)數(shù)據(jù)的采集、分析、判斷是否存在入侵行為，并通過Snort的輸出插件將數(shù)據(jù)送入數(shù)據(jù)庫服務(wù)器中。Snort沒有自己的數(shù)據(jù)采集工具，它需要外部的數(shù)據(jù)包捕獲程序庫winpcap[4]，因此本部分主要包括兩個(gè)組件：winpcap和Snort。winpcap是由伯克利分組捕獲庫派生而來的分組捕獲庫，它在Windows操作平臺(tái)上實(shí)現(xiàn)底層包的截取過濾，它提供了Win32應(yīng)用程序提供訪問網(wǎng)絡(luò)底層的能力。通過安裝winpcap和Snort兩個(gè)開源軟件，搭建了一個(gè)基本的入侵檢測層，基本上完成了一個(gè)簡單的單層入侵檢測系統(tǒng)。

2.2 數(shù)據(jù)庫服務(wù)器模塊

數(shù)據(jù)庫服務(wù)器層主要是從入侵檢測系統(tǒng)中收集報(bào)警數(shù)據(jù)，并將它存入到關(guān)系數(shù)據(jù)庫中。除了將報(bào)警數(shù)據(jù)寫入關(guān)系數(shù)據(jù)庫，Snort還可以用其他方式記錄警報(bào)，如系統(tǒng)日志syslog[5]，統(tǒng)一格式輸出unified等。利用關(guān)系數(shù)據(jù)庫對(duì)數(shù)據(jù)量相當(dāng)大的報(bào)警數(shù)據(jù)進(jìn)行組織管理是最實(shí)用的方法。報(bào)警存入關(guān)系數(shù)據(jù)庫后能對(duì)其進(jìn)行分類，查詢和按優(yōu)先級(jí)組織排序等。在本系統(tǒng)中我們采用MySQL數(shù)據(jù)庫。MySQL是一個(gè)快速的客戶機(jī)/服務(wù)器結(jié)構(gòu)的SQL數(shù)據(jù)庫管理系統(tǒng)，功能強(qiáng)大、靈活性好、應(yīng)用編程接口豐富并且系統(tǒng)結(jié)構(gòu)精巧。MySQL數(shù)據(jù)庫采用默認(rèn)方式安裝后，設(shè)置MySQL為服務(wù)方式運(yùn)行。然后啟動(dòng)MySQL服務(wù)，進(jìn)入命令行狀態(tài)，創(chuàng)建Snort運(yùn)行必需的存放系統(tǒng)日志的Snort庫和Snort_archive庫。同時(shí)使用Snort目錄下的create_mysql腳本建立Snort運(yùn)行所需的數(shù)據(jù)表，用來存放系統(tǒng)日志和報(bào)警信息，數(shù)據(jù)庫服務(wù)器模塊就可以使用了。

2.3 日志分析控制臺(tái)

日志分析控制臺(tái)用來分析和處理Snort收集的入侵?jǐn)?shù)據(jù)，以友好、便于查詢的方式顯示日志數(shù)據(jù)庫發(fā)送過來的報(bào)警信息，并可按照不同的方式對(duì)信息進(jìn)行分類統(tǒng)計(jì)，將結(jié)果顯示給用戶。本文所設(shè)計(jì)的警報(bào)日志分析系統(tǒng)采用上面所述的中心管理控制平臺(tái)模式，在保護(hù)目標(biāo)網(wǎng)絡(luò)中構(gòu)建一個(gè)中心管理控制平臺(tái)，并與網(wǎng)絡(luò)中架設(shè)的Snort入侵檢測系統(tǒng)及MySQL數(shù)據(jù)庫通信，達(dá)到以下一些目的：

(1)能夠適應(yīng)較大規(guī)模的網(wǎng)絡(luò)環(huán)境；

(2)簡化規(guī)則配置模式，便于用戶遠(yuǎn)程修改Snort入侵檢測系統(tǒng)的檢測規(guī)則；

(3)降低警報(bào)數(shù)據(jù)量，通過多次數(shù)據(jù)分類分析，找出危害重大的攻擊行為；

(4)減少Snort的警報(bào)數(shù)據(jù)在MySQL數(shù)據(jù)庫中的存儲(chǔ)量，降低運(yùn)行系統(tǒng)的負(fù)擔(dān)；

(5)將分析后的警報(bào)數(shù)據(jù)制成報(bào)表形式輸出，降低對(duì)于管理員的要求。

為了完成以上所述的目的，提高Snort入侵檢測系統(tǒng)的使用效率，本子系統(tǒng)主要分為以下三個(gè)模塊：規(guī)則配置模塊網(wǎng)絡(luò)安全論文，數(shù)據(jù)分析模塊，報(bào)表模塊。本子系統(tǒng)框架如圖4.4所示：

圖4.4 Snort警報(bào)日志系統(tǒng)框架

（1）規(guī)則配置模塊：起到簡化用戶配置Snort檢測規(guī)則的作用。此模塊主要與Snort運(yùn)行主機(jī)系統(tǒng)上的一個(gè)守護(hù)程序通信，修改Snort的配置文件――Snort.conf，從而完成改變檢測規(guī)則的目。中心控制管理平臺(tái)在本地系統(tǒng)上備份snort.conf文件以及所有規(guī)則文件，當(dāng)需要修改某個(gè)Snort入侵檢測系統(tǒng)的規(guī)則配置時(shí)，就可以通過平臺(tái)接口首先修改本地對(duì)應(yīng)的snort.conf文件以及所有規(guī)則文件，然后通過與Snort運(yùn)行系統(tǒng)中守護(hù)程序通信，將本地系統(tǒng)上修改后的snort.conf文件以及所有規(guī)則文件傳輸?shù)絊nort運(yùn)行系統(tǒng)中并且覆蓋掉運(yùn)行系統(tǒng)中的原配置文件和原規(guī)則文件集，然后重新啟動(dòng)Snort，達(dá)到重新配置Snort檢測規(guī)則的目的。

（2）數(shù)據(jù)分析模塊：主要利用改進(jìn)的Apriori算法對(duì)數(shù)據(jù)庫的日志進(jìn)行分析，通過關(guān)聯(lián)規(guī)則挖掘，生成一些新的檢測規(guī)則用來改進(jìn)snort本身的檢測規(guī)則，分析警報(bào)數(shù)據(jù)，降低輸出的警報(bào)數(shù)據(jù)量，集中顯示危害較為嚴(yán)重的入侵行為。數(shù)據(jù)分析模塊是整個(gè)中心管理控制中心的核心模塊。本模塊通過挖掘保存在Mysql數(shù)據(jù)庫中Snort異常日志數(shù)據(jù)來發(fā)現(xiàn)這些入侵?jǐn)?shù)據(jù)之間的關(guān)聯(lián)關(guān)系，通過發(fā)現(xiàn)入侵?jǐn)?shù)據(jù)的強(qiáng)關(guān)聯(lián)規(guī)則來發(fā)現(xiàn)新的未知入侵行為，建立新的Snort檢測規(guī)則，進(jìn)一步優(yōu)化Snort系統(tǒng)的規(guī)則鏈表中國期刊全文數(shù)據(jù)庫。具體的步驟如下：

先對(duì)Snort異常日志進(jìn)行數(shù)據(jù)預(yù)處理。數(shù)據(jù)預(yù)處理中先計(jì)算出每個(gè)網(wǎng)絡(luò)特征屬性的信息增益值，然后取出前面11個(gè)重要的網(wǎng)絡(luò)特征，把原來要分析的多個(gè)網(wǎng)絡(luò)特征減少到11個(gè)重要的網(wǎng)絡(luò)特征，這樣就大大減小了整個(gè)算法的復(fù)雜度，也有利提高檢測速度。歷史日志經(jīng)過預(yù)處理之后，我們就可以采用改進(jìn)的Apriori算法求出所有頻繁項(xiàng)集。在產(chǎn)生頻繁項(xiàng)集之前，我們需要設(shè)定最小支持度，最小支持度設(shè)置得越低，產(chǎn)生的頻繁項(xiàng)集就會(huì)越多，反之就會(huì)越少。通常，最小支持度的設(shè)定有賴于領(lǐng)域?qū)＜业姆治龊蛯?shí)驗(yàn)數(shù)據(jù)分析兩種手段。經(jīng)過反復(fù)實(shí)驗(yàn)，最終采用模擬仿真的攻擊數(shù)據(jù)進(jìn)行規(guī)則推導(dǎo)，設(shè)定最小支持度10%、可信度80%。訓(xùn)練結(jié)束時(shí)頭100條質(zhì)量最好的規(guī)則作為最終的檢測規(guī)則。把關(guān)聯(lián)規(guī)則中與Snort規(guī)則頭相關(guān)的項(xiàng)放在一起充當(dāng)規(guī)則頭，與Snort規(guī)則選項(xiàng)相關(guān)的項(xiàng)放在一起充當(dāng)規(guī)則選項(xiàng)，然后把規(guī)則頭與規(guī)則選項(xiàng)合并在一起形成Snort入侵檢測規(guī)則。

（3）報(bào)表模塊：將分析后的數(shù)據(jù)庫中的警報(bào)數(shù)據(jù)制成報(bào)表輸出，降低對(duì)于管理員的要求。報(bào)表模塊是為了簡化管理員觀察數(shù)據(jù)，美觀輸出而創(chuàng)建，通過.net的報(bào)表編寫完成。報(bào)表是高彈性的報(bào)表設(shè)計(jì)器，用于報(bào)表的數(shù)據(jù)可以從任何類型的數(shù)據(jù)源獲取，包含字符列表，BDE數(shù)據(jù)庫網(wǎng)絡(luò)安全論文，ADO數(shù)據(jù)源（不使用BDE），Interbase（使用IBO），Pascal數(shù)組和記錄，以及一些不常用的數(shù)據(jù)源。

該系統(tǒng)采用Microsoft Visual Studio 2008進(jìn)行開發(fā)，語言采用C#。具體如下圖：

圖4.5 日志分析控制臺(tái)

 

3 系統(tǒng)實(shí)際運(yùn)行效果

集美大學(xué)誠毅學(xué)院作為一個(gè)獨(dú)立學(xué)院，為了更好的滿足學(xué)院師生對(duì)信息資源的需求，部署了自己的web服務(wù)器，ftp服務(wù)器，英語網(wǎng)絡(luò)自主學(xué)習(xí)等教學(xué)平臺(tái)，有了豐富的網(wǎng)絡(luò)信息資源。學(xué)院隨著網(wǎng)絡(luò)應(yīng)用的不斷展開，使用者越來越多，網(wǎng)絡(luò)安全狀況也出現(xiàn)很多問題，比如學(xué)院的web服務(wù)器曾經(jīng)出現(xiàn)掛馬事件，ftp服務(wù)器被入侵等事件也相繼出現(xiàn)。為了解決該問題，部署屬于自己的網(wǎng)絡(luò)入侵檢測系統(tǒng)，用來檢測入侵事件，提高校園網(wǎng)絡(luò)的安全情況就成為必須要解決的問題。該系統(tǒng)目前已經(jīng)在集美大學(xué)誠毅學(xué)院使用，檢測效果很好，有效的防范了網(wǎng)絡(luò)安全事件的發(fā)生，能夠及時(shí)對(duì)攻擊事件進(jìn)行檢測，從而采取相對(duì)應(yīng)的防范措施。

[參考文獻(xiàn)]

[1]RobFliCkenger.LinnxServerHaeks.北京:清華大學(xué)出版社，2004.5, 132-135

[2]蔣建春，馮登國.網(wǎng)絡(luò)入侵監(jiān)測原理與技術(shù).北京:國防工業(yè)出版社，2001.

[3]ForrestS,HofmeyrS,SomayajiA.Computerimmunology.Communicationsof the ACM,1997.40(10).88-96.

[4]Jack Koziol著.吳溥峰，孫默，許誠等譯.Snort入侵檢測實(shí)用解決方案.北京:機(jī)械工業(yè)出版社.2005.

[5]韓東海，王超，李群.入侵檢測系統(tǒng)實(shí)例剖析.清華大學(xué)出版社，2002

第3篇：入侵檢測論文范文

引言

近年來，隨著信息和網(wǎng)絡(luò)技術(shù)的高速發(fā)展以及政治、經(jīng)濟(jì)或者軍事利益的驅(qū)動(dòng)，計(jì)算機(jī)和網(wǎng)絡(luò)基礎(chǔ)設(shè)施，非凡是各種官方機(jī)構(gòu)的網(wǎng)站，成為黑客攻擊的熱門目標(biāo)。近年來對(duì)電子商務(wù)的熱切需求，更加激化了這種入侵事件的增長趨向。由于防火墻只防外不防內(nèi)，并且很輕易被繞過，所以僅僅依靠防火墻的計(jì)算機(jī)系統(tǒng)已經(jīng)不能對(duì)付日益猖獗的入侵行為，對(duì)付入侵行為的第二道防線——入侵檢測系統(tǒng)就被啟用了。

1 入侵檢測系統(tǒng)(IDS)概念

1980年，James P.Anderson 第一次系統(tǒng)闡述了入侵檢測的概念，并將入侵行為分為外部滲透、內(nèi)部滲透和不法行為三種，還提出了利用審計(jì)數(shù)據(jù)監(jiān)視入侵活動(dòng)的思想[1。即其之后,1986年Dorothy E.Denning提出實(shí)時(shí)異常檢測的概念[2并建立了第一個(gè)實(shí)時(shí)入侵檢測模型，命名為入侵檢測專家系統(tǒng)(IDES)，1990年，L.T.Heberlein等設(shè)計(jì)出監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)流的入侵檢測系統(tǒng)，NSM(Network Security Monitor)。自此之后，入侵檢測系統(tǒng)才真正發(fā)展起來。

Anderson將入侵嘗試或威脅定義為摘要：潛在的、有預(yù)謀的、未經(jīng)授權(quán)的訪問信息、操作信息、致使系統(tǒng)不可靠或無法使用的企圖。而入侵檢測的定義為[4摘要：發(fā)現(xiàn)非授權(quán)使用計(jì)算機(jī)的個(gè)體(如“黑客”)或計(jì)算機(jī)系統(tǒng)的合法用戶濫用其訪問系統(tǒng)的權(quán)利以及企圖實(shí)施上述行為的個(gè)體。執(zhí)行入侵檢測任務(wù)的程序即是入侵檢測系統(tǒng)。入侵檢測系統(tǒng)也可以定義為摘要：檢測企圖破壞計(jì)算機(jī)資源的完整性，真實(shí)性和可用性的行為的軟件。

入侵檢測系統(tǒng)執(zhí)行的主要任務(wù)包括[3摘要：監(jiān)視、分析用戶及系統(tǒng)活動(dòng);審計(jì)系統(tǒng)構(gòu)造和弱點(diǎn);識(shí)別、反映已知進(jìn)攻的活動(dòng)模式，向相關(guān)人士報(bào)警;統(tǒng)計(jì)分析異常行為模式;評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性;審計(jì)、跟蹤管理操作系統(tǒng)，識(shí)別用戶違反平安策略的行為。入侵檢測一般分為三個(gè)步驟摘要：信息收集、數(shù)據(jù)分析、響應(yīng)。

入侵檢測的目的摘要：(1)識(shí)別入侵者;(2)識(shí)別入侵行為;(3)檢測和監(jiān)視以實(shí)施的入侵行為;(4)為對(duì)抗入侵提供信息，阻止入侵的發(fā)生和事態(tài)的擴(kuò)大;

2 入侵檢測系統(tǒng)模型

美國斯坦福國際探究所(SRI)的D.E.Denning于1986年首次提出一種入侵檢測模型[2，該模型的檢測方法就是建立用戶正常行為的描述模型，并以此同當(dāng)前用戶活動(dòng)的審計(jì)記錄進(jìn)行比較，假如有較大偏差，則表示有異?；顒?dòng)發(fā)生。這是一種基于統(tǒng)計(jì)的檢測方法。隨著技術(shù)的發(fā)展，后來人們又提出了基于規(guī)則的檢測方法。結(jié)合這兩種方法的優(yōu)點(diǎn)，人們設(shè)計(jì)出很多入侵檢測的模型。通用入侵檢測構(gòu)架(Common Intrusion Detection Framework簡稱CIDF)組織，試圖將現(xiàn)有的入侵檢測系統(tǒng)標(biāo)準(zhǔn)化，CIDF闡述了一個(gè)入侵檢測系統(tǒng)的通用模型(一般稱為CIDF模型)。它將一個(gè)入侵檢測系統(tǒng)分為以下四個(gè)組件摘要：

事件產(chǎn)生器(Event Generators)

事件分析器(Event analyzers)

響應(yīng)單元(Response units)

事件數(shù)據(jù)庫(Event databases)

它將需要分析的數(shù)據(jù)通稱為事件，事件可以是基于網(wǎng)絡(luò)的數(shù)據(jù)包也可以是基于主機(jī)的系統(tǒng)日志中的信息。事件產(chǎn)生器的目的是從整個(gè)計(jì)算機(jī)環(huán)境中獲得事件，并向系統(tǒng)其它部分提供此事件。事件分析器分析得到的事件并產(chǎn)生分析結(jié)果。響應(yīng)單元?jiǎng)t是對(duì)分析結(jié)果做出反應(yīng)的功能單元，它可以做出切斷連接、修改文件屬性等強(qiáng)烈反應(yīng)。事件數(shù)據(jù)庫是存放各種中間和最終數(shù)據(jù)的地方的通稱，它可以是復(fù)雜的數(shù)據(jù)庫也可以是簡單的文本文件。

3 入侵檢測系統(tǒng)的分類摘要：

現(xiàn)有的IDS的分類，大都基于信息源和分析方法。為了體現(xiàn)對(duì)IDS從布局、采集、分析、響應(yīng)等各個(gè)層次及系統(tǒng)性探究方面的新問題，在這里采用五類標(biāo)準(zhǔn)摘要：控制策略、同步技術(shù)、信息源、分析方法、響應(yīng)方式。

按照控制策略分類

控制策略描述了IDS的各元素是如何控制的，以及IDS的輸入和輸出是如何管理的。按照控制策略IDS可以劃分為，集中式IDS、部分分布式IDS和全部分布式IDS。在集中式IDS中，一個(gè)中心節(jié)點(diǎn)控制系統(tǒng)中所有的監(jiān)視、檢測和報(bào)告。在部分分布式IDS中，監(jiān)控和探測是由本地的一個(gè)控制點(diǎn)控制，層次似的將報(bào)告發(fā)向一個(gè)或多個(gè)中心站。在全分布式IDS中，監(jiān)控和探測是使用一種叫“”的方法，進(jìn)行分析并做出響應(yīng)決策。

按照同步技術(shù)分類

同步技術(shù)是指被監(jiān)控的事件以及對(duì)這些事件的分析在同一時(shí)間進(jìn)行。按照同步技術(shù)劃分，IDS劃分為間隔批任務(wù)處理型IDS和實(shí)時(shí)連續(xù)性IDS。在間隔批任務(wù)處理型IDS中，信息源是以文件的形式傳給分析器，一次只處理特定時(shí)間段內(nèi)產(chǎn)生的信息，并在入侵發(fā)生時(shí)將結(jié)果反饋給用戶。很多早期的基于主機(jī)的IDS都采用這種方案。在實(shí)時(shí)連續(xù)型IDS中，事件一發(fā)生，信息源就傳給分析引擎，并且馬上得到處理和反映。實(shí)時(shí)IDS是基于網(wǎng)絡(luò)IDS首選的方案。

按照信息源分類

按照信息源分類是目前最通用的劃分方法，它分為基于主機(jī)的IDS、基于網(wǎng)絡(luò)的IDS和分布式IDS。基于主機(jī)的IDS通過分析來自單個(gè)的計(jì)算機(jī)系統(tǒng)的系統(tǒng)審計(jì)蹤跡和系統(tǒng)日志來檢測攻擊。基于主機(jī)的IDS是在關(guān)鍵的網(wǎng)段或交換部位通過捕捉并分析網(wǎng)絡(luò)數(shù)據(jù)包來檢測攻擊。分布式IDS，能夠同時(shí)分析來自主機(jī)系統(tǒng)日志和網(wǎng)絡(luò)數(shù)據(jù)流，系統(tǒng)由多個(gè)部件組成，采用分布式結(jié)構(gòu)。

按照分析方法分類

按照分析方法IDS劃分為濫用檢測型IDS和異常檢測型IDS。濫用檢測型的IDS中，首先建立一個(gè)對(duì)過去各種入侵方法和系統(tǒng)缺陷知識(shí)的數(shù)據(jù)庫，當(dāng)收集到的信息和庫中的原型相符合時(shí)則報(bào)警。任何不符合特定條件的活動(dòng)將會(huì)被認(rèn)為合法，因此這樣的系統(tǒng)虛警率很低。異常檢測型IDS是建立在如下假設(shè)的基礎(chǔ)之上的，即任何一種入侵行為都能由于其偏離正常或者所期望的系統(tǒng)和用戶活動(dòng)規(guī)律而被檢測出來。所以它需要一個(gè)記錄合法活動(dòng)的數(shù)據(jù)庫，由于庫的有限性使得虛警率比較高。

按照響應(yīng)方式分類

按照響應(yīng)方式IDS劃分為主動(dòng)響應(yīng)IDS和被動(dòng)響應(yīng)IDS。當(dāng)特定的入侵被檢測到時(shí)，主動(dòng)IDS會(huì)采用以下三種響應(yīng)摘要：收集輔助信息;改變環(huán)境以堵住導(dǎo)致入侵發(fā)生的漏洞;對(duì)攻擊者采取行動(dòng)(這是一種不被推薦的做法，因?yàn)樾袨橛悬c(diǎn)過激)。被動(dòng)響應(yīng)IDS則是將信息提供給系統(tǒng)用戶，依靠管理員在這一信息的基礎(chǔ)上采取進(jìn)一步的行動(dòng)。

4 IDS的評(píng)價(jià)標(biāo)準(zhǔn)

目前的入侵檢測技術(shù)發(fā)展迅速，應(yīng)用的技術(shù)也很廣泛，如何來評(píng)價(jià)IDS的優(yōu)缺點(diǎn)就顯得非常重要。評(píng)價(jià)IDS的優(yōu)劣主要有這樣幾個(gè)方面[5摘要：(1)準(zhǔn)確性。準(zhǔn)確性是指IDS不會(huì)標(biāo)記環(huán)境中的一個(gè)合法行為為異?；蛉肭?。(2)性能。IDS的性能是指處理審計(jì)事件的速度。對(duì)一個(gè)實(shí)時(shí)IDS來說，必須要求性能良好。(3)完整性。完整性是指IDS能檢測出所有的攻擊。(4)故障容錯(cuò)(fault tolerance)。當(dāng)被保護(hù)系統(tǒng)遭到攻擊和毀壞時(shí)，能迅速恢復(fù)系統(tǒng)原有的數(shù)據(jù)和功能。(5)自身反抗攻擊能力。這一點(diǎn)很重要，尤其是“拒絕服務(wù)”攻擊。因?yàn)槎鄶?shù)對(duì)目標(biāo)系統(tǒng)的攻擊都是采用首先用“拒絕服務(wù)”攻擊摧毀IDS，再實(shí)施對(duì)系統(tǒng)的攻擊。(6)及時(shí)性(Timeliness)。一個(gè)IDS必須盡快地執(zhí)行和傳送它的分析結(jié)果，以便在系統(tǒng)造成嚴(yán)重危害之前能及時(shí)做出反應(yīng)，阻止攻擊者破壞審計(jì)數(shù)據(jù)或IDS本身。

除了上述幾個(gè)主要方面，還應(yīng)該考慮以下幾個(gè)方面摘要：(1)IDS運(yùn)行時(shí)，額外的計(jì)算機(jī)資源的開銷;(2)誤警報(bào)率/漏警報(bào)率的程度;(3)適應(yīng)性和擴(kuò)展性;(4)靈活性;(5)管理的開銷;(6)是否便于使用和配置。

5 IDS的發(fā)展趨

隨著入侵檢測技術(shù)的發(fā)展，成型的產(chǎn)品已陸續(xù)應(yīng)用到實(shí)踐中。入侵檢測系統(tǒng)的典型代表是ISS(國際互聯(lián)網(wǎng)平安系統(tǒng)公司)公司的RealSecure。目前較為聞名的商用入侵檢測產(chǎn)品還有摘要：NAI公司的CyberCop Monitor、Axent公司的NetProwler、CISCO公司的Netranger、CA公司的Sessionwall-3等。國內(nèi)的該類產(chǎn)品較少，但發(fā)展很快，已有總參北方所、中科網(wǎng)威、啟明星辰等公司推出產(chǎn)品。

人們在完善原有技術(shù)的基礎(chǔ)上，又在探究新的檢測方法，如數(shù)據(jù)融合技術(shù)，主動(dòng)的自主方法，智能技術(shù)以及免疫學(xué)原理的應(yīng)用等。其主要的發(fā)展方向可概括為摘要：

(1)大規(guī)模分布式入侵檢測。傳統(tǒng)的入侵檢測技術(shù)一般只局限于單一的主機(jī)或網(wǎng)絡(luò)框架，顯然不能適應(yīng)大規(guī)模網(wǎng)絡(luò)的監(jiān)測，不同的入侵檢測系統(tǒng)之間也不能協(xié)同工作。因此，必須發(fā)展大規(guī)模的分布式入侵檢測技術(shù)。

(2)寬帶高速網(wǎng)絡(luò)的實(shí)時(shí)入侵檢測技術(shù)。大量高速網(wǎng)絡(luò)的不斷涌現(xiàn)，各種寬帶接入手段層出不窮，如何實(shí)現(xiàn)高速網(wǎng)絡(luò)下的實(shí)時(shí)入侵檢測成為一個(gè)現(xiàn)實(shí)的新問題。

(3)入侵檢測的數(shù)據(jù)融合技術(shù)。目前的IDS還存在著很多缺陷。首先，目前的技術(shù)還不能對(duì)付練習(xí)有素的黑客的復(fù)雜的攻擊。其次，系統(tǒng)的虛警率太高。最后，系統(tǒng)對(duì)大量的數(shù)據(jù)處理，非但無助于解決新問題，還降低了處理能力。數(shù)據(jù)融合技術(shù)是解決這一系列新問題的好方法。

(4)和網(wǎng)絡(luò)平安技術(shù)相結(jié)合。結(jié)合防火墻，病毒防護(hù)以及電子商務(wù)技術(shù)，提供完整的網(wǎng)絡(luò)平安保障。

6 結(jié)束語

在目前的計(jì)算機(jī)平安狀態(tài)下，基于防火墻、加密技術(shù)的平安防護(hù)固然重要，但是，要根本改善系統(tǒng)的平安目前狀況，必須要發(fā)展入侵檢測技術(shù)，它已經(jīng)成為計(jì)算機(jī)平安策略中的核心技術(shù)之一。IDS作為一種主動(dòng)的平安防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。隨著網(wǎng)絡(luò)通信技術(shù)平安性的要求越來越高，入侵檢測技術(shù)必將受到人們的高度重視。

參考文獻(xiàn)摘要：

[1 Anderson J P. Computer security threat monitoring and surveillance [P . PA 19034,USA, 1980.4

[2Denning D E .An Intrusion-Detection Model [A . IEEE Symp on Security %26amp; Privacy[C ,1986.118-131

[3 張杰，戴英俠，入侵檢測系統(tǒng)技術(shù)目前狀況及其發(fā)展趨向[J，計(jì)算機(jī)和通信，2002.6摘要：28-32

[4 曾昭蘇，王鋒波，基于數(shù)據(jù)開采技術(shù)的入侵檢測系統(tǒng)[J，自動(dòng)化博覽，2002,8摘要:29-31

第4篇：入侵檢測論文范文

關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用；安全性問題；防護(hù)策略

中圖分類號(hào)：TP393.08文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1007-9599 (2012) 03-0000-02

The Security Research on the Application of Computer Network

Han Yingchun

(Lishui University,Lishui323000,China)

Abstract:In today's technological advances,the rapid economic development has also led to the continued rapid development of network technology,widely used in major areas (military,economic and political).In a wide range of computer network technology application situation,the security issues will be gradually exposed,causing widespread concern within the industry.Therefore,security issues in the network application analysis and exploration is an urgent task.This paper first discusses the most common applications of several major security issues,as well as its safety protection strategy.

Keywords:Computer network applications;Security issues;Protection strategies

21世紀(jì)是一個(gè)網(wǎng)絡(luò)化信息化的時(shí)代，計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)不斷伴隨著高科技的發(fā)展而發(fā)展，已經(jīng)滲透于經(jīng)濟(jì)、貿(mào)易、軍事等領(lǐng)域中。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)也逐漸的進(jìn)入到人們的生活中，提高了人們工作的效率，促進(jìn)了人們的生活水平。人們對(duì)于網(wǎng)絡(luò)技術(shù)已不再陌生。在網(wǎng)絡(luò)技術(shù)不斷發(fā)展的同時(shí)，它的安全性問題也就日益的突顯出重要性，對(duì)于其隱藏安全風(fēng)險(xiǎn)人們也加倍的重視起來。計(jì)算機(jī)網(wǎng)絡(luò)的特點(diǎn)也就是其自由開放的網(wǎng)絡(luò)（IP/TCP架構(gòu)），正是這些自由開放的空間才使得黑客的攻擊以及入侵有機(jī)可乘。通過計(jì)算機(jī)的網(wǎng)絡(luò)使得一般傳統(tǒng)的病毒傳播的速度加快，而且病毒針對(duì)計(jì)算機(jī)的應(yīng)用程序或是網(wǎng)絡(luò)協(xié)議存在的漏洞上，很多種新型的攻擊入侵的方法也不斷出現(xiàn)并日益革新。所以網(wǎng)絡(luò)應(yīng)用的安全性已經(jīng)成為計(jì)算機(jī)技術(shù)中重要的部分，目前面臨的最大問題也就是對(duì)其的研究以及解決方案。

一、對(duì)于計(jì)算機(jī)的網(wǎng)絡(luò)技術(shù)應(yīng)用中的常見的安全性問題進(jìn)行論述與分析

我們知道計(jì)算機(jī)網(wǎng)絡(luò)性特征包括無邊界、大跨度以及分布式等主要特征，而這些明顯的特征也方便了網(wǎng)絡(luò)上黑客的入侵或攻擊。而且其行為主體的身份具有隱藏性，以及網(wǎng)絡(luò)信息具有隱蔽性，這些都為網(wǎng)絡(luò)應(yīng)用里一些惡意的侵入或攻擊行為提供了有利的條件，可以更加肆無忌憚的放大惡。我們對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用里常出現(xiàn)的安全性問題進(jìn)行總結(jié)，有如下五大類：

第一，在計(jì)算機(jī)網(wǎng)絡(luò)的操作系統(tǒng)中，通過有些服務(wù)的開放端口來進(jìn)行侵入或攻擊。存在這種方式的攻擊原因主要是因?yàn)樵撓到y(tǒng)軟件中的函數(shù)拾針和邊界的條件等一些方面在設(shè)計(jì)上不當(dāng)或是缺少條件限制，進(jìn)而就產(chǎn)生一種漏洞（地址空間出現(xiàn)錯(cuò)誤）。比如在該系統(tǒng)的軟件里，沒有及時(shí)處理某些特定類型的請(qǐng)求或是報(bào)文，進(jìn)而也就使得軟件在碰到這些類型的報(bào)文時(shí)就出現(xiàn)其運(yùn)行不正常，致使軟件系統(tǒng)發(fā)生崩潰現(xiàn)象。這種攻擊病毒中典型的像OOB攻擊，它是利用Windons系統(tǒng)的TCP端口（139）對(duì)其傳送隨機(jī)數(shù)來達(dá)到對(duì)操作系統(tǒng)的攻擊目的的，進(jìn)而就使得CPU（中央處理器）始終維持在系統(tǒng)繁忙的狀態(tài)。

第二，就是通過傳輸?shù)膮f(xié)議這種途徑對(duì)其進(jìn)行侵入或攻擊的。惡意的行為者找到其某些的傳輸協(xié)議制定當(dāng)中的漏洞，接著發(fā)起攻擊，具體是利用請(qǐng)求資源（惡性）促發(fā)系統(tǒng)服務(wù)上出現(xiàn)超載，使得目標(biāo)系統(tǒng)不能正常的運(yùn)行，甚至導(dǎo)致其癱瘓現(xiàn)象。像這類中典型性的有借助IP或是TCP協(xié)議里的“三次握手”這個(gè)系統(tǒng)漏洞，對(duì)其進(jìn)行（SYN Flood）攻擊；或者是通過大量的傳輸垃圾數(shù)據(jù)包，達(dá)到接受端口資源全部耗盡的目的，最終讓其系統(tǒng)出現(xiàn)癱瘓現(xiàn)象。像這類攻擊方法典型的有ICMP Flood、Connetction Floa。

第三，借用偽裝技術(shù)來對(duì)其進(jìn)行攻擊入侵。這種攻擊方法具體的比如可對(duì)IP地址進(jìn)行偽造，以及DNS解析地址和路由條目都可造假，為了讓要攻擊的服務(wù)器對(duì)這些請(qǐng)求不能正確的辨別，或者是不能對(duì)這些請(qǐng)求正常響應(yīng)，以致最終導(dǎo)致緩沖區(qū)出現(xiàn)阻塞甚至死機(jī)的情況；還有一種，在局域網(wǎng)里中，對(duì)其中某臺(tái)計(jì)算機(jī)IP地址進(jìn)行設(shè)置成網(wǎng)關(guān)地址，這樣就使得網(wǎng)絡(luò)里的數(shù)據(jù)包轉(zhuǎn)發(fā)不能正常實(shí)行，導(dǎo)致某一網(wǎng)段出現(xiàn)癱瘓。

第四，利用木馬病毒對(duì)其發(fā)起攻擊入侵。木馬對(duì)于喜歡玩電腦的人來說是再熟悉不過的，它是一種能夠遠(yuǎn)程控制的黑客入侵工具，特點(diǎn)鮮明，具有非授權(quán)以及隱蔽性的特征，當(dāng)某臺(tái)主機(jī)被木馬成功植入的話，那么該目標(biāo)主機(jī)就會(huì)讓黑客完全的控制住，使其變成黑客的超級(jí)用戶。因木馬程序他能夠?qū)ο到y(tǒng)里的重要信息（如密碼、帳號(hào)以及口令等）進(jìn)行收集，因此也就使得用戶信息保密出現(xiàn)嚴(yán)重不安全性。

第五種，將嗅探器（Sniffer）或掃描最為信息窺探的工具，得到用戶重要信息。這里掃描是遍歷的搜索網(wǎng)絡(luò)以及系統(tǒng)的行為（主要針對(duì)系統(tǒng)漏洞而言），而漏洞是普遍都存在的，因此就有隱蔽采用或是惡意的使用掃描的手段，來對(duì)主機(jī)的重要信息進(jìn)行窺探，這是為達(dá)到更深的入侵或是攻擊做好準(zhǔn)備。Sniffer它是一種技術(shù)，是通過計(jì)算機(jī)上的網(wǎng)絡(luò)接口來進(jìn)行截獲目的地，使其成為別的計(jì)算機(jī)中的數(shù)報(bào)文這樣的一種技術(shù)。這種網(wǎng)絡(luò)的嗅探器通常是處于被動(dòng)的探測監(jiān)聽網(wǎng)絡(luò)中通信以及分析數(shù)據(jù)，非法的來獲取口令以及密碼和用戶名等有效的用戶信息，因它的特點(diǎn)是非干擾性以及被動(dòng)性，故對(duì)網(wǎng)絡(luò)安全應(yīng)用上存在很大的威脅，他具有超強(qiáng)的隱蔽性，一般探測盜用了網(wǎng)絡(luò)信息是不易被用戶知曉的。

二、對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的安全性問題所做出的防護(hù)策略進(jìn)行論述分析

首先用戶要對(duì)重要有效的信息數(shù)據(jù)實(shí)行加密策略，使其得到保護(hù)?，F(xiàn)在存在很多修改或是惡意探測監(jiān)聽網(wǎng)絡(luò)中發(fā)送的數(shù)據(jù)這種危險(xiǎn)情況，針對(duì)這種形勢，常用的局勢對(duì)重要的數(shù)據(jù)實(shí)行加密措施，讓數(shù)據(jù)變成密文。我們知道就算別人竊取了數(shù)據(jù)，但如果不知道其密鑰的話，他還是沒有辦法是竊取的數(shù)據(jù)還原，這也就在很大程度上對(duì)數(shù)據(jù)進(jìn)行保護(hù)。加密可有非對(duì)稱和對(duì)稱加密，何為對(duì)稱加密體制？它是加密的密鑰與其解密的密鑰一樣的機(jī)制。對(duì)其最常使用的算法是DES，而其數(shù)據(jù)的加密標(biāo)準(zhǔn)就是依據(jù)ISO。那何為非對(duì)稱加密？相對(duì)應(yīng)也就是它的加密和解密的密鑰是不同的。每個(gè)用戶擁有兩個(gè)密鑰，一個(gè)最為公開密鑰，這個(gè)密鑰是用來加密密鑰設(shè)置的，而另一個(gè)就是秘密密鑰，也就是又來解密時(shí)所用的密鑰，它是需要用戶自己嚴(yán)加保密的。個(gè)人根據(jù)實(shí)際需要來選擇自己使用的加密方法。

其次就是使用病毒防護(hù)技術(shù)來進(jìn)行預(yù)防危險(xiǎn)問題。對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的安全問題上，常見的主要病毒防護(hù)技術(shù)有如下幾種：第一個(gè)是智能引擎的防護(hù)技術(shù)。這種引擎技術(shù)對(duì)于特征碼掃描法中的優(yōu)點(diǎn)繼承并且進(jìn)行了發(fā)展，將掃描方法中存在的不足進(jìn)行了改進(jìn)，進(jìn)而在病毒掃描中，其掃描的速度不會(huì)受到病毒庫不斷增加的影響的；第二就是未知病毒查殺防護(hù)技術(shù)。這種防護(hù)技術(shù)在虛擬執(zhí)行技術(shù)基礎(chǔ)之上的又突破的病毒技術(shù)，它是人工智能技術(shù)與虛擬技術(shù)的組合體，能夠?qū)ξ粗牟《具M(jìn)行有效準(zhǔn)確的查殺；第三是病毒免疫技術(shù)。對(duì)與這種病毒的免疫技術(shù)，反病毒專家一直對(duì)其保持著高度研究興趣。這種技術(shù)主要是對(duì)自主的訪問控制進(jìn)行加強(qiáng)，以及對(duì)磁盤進(jìn)行禁寫保護(hù)區(qū)的設(shè)置，通過這種途徑來實(shí)現(xiàn)病毒免疫的；第四，嵌入式的殺毒技術(shù)。這中殺毒技術(shù)主要針對(duì)經(jīng)常性的遭到病毒的入侵攻擊的對(duì)象或應(yīng)用程序，該技術(shù)對(duì)此實(shí)行重點(diǎn)保護(hù)?？山柚鋺?yīng)用程序中的內(nèi)部接口或是操作系統(tǒng)來實(shí)現(xiàn)殺毒，這種技術(shù)為應(yīng)用軟件（范圍使用廣以及頻率使用高的）提供了被動(dòng)形式煩人防護(hù)措施。這種應(yīng)用軟件有Outlook/IE/NetAnt等，對(duì)其實(shí)行被動(dòng)式的殺毒；第五，壓縮智能的還原技術(shù)。這種防護(hù)技術(shù)是通過打包或壓縮文件在內(nèi)存里進(jìn)行還原技術(shù)，這樣讓病毒完全的顯露出來。

再次就是使用入侵檢測技術(shù)。何為入侵檢測技術(shù)?它的設(shè)計(jì)是針對(duì)計(jì)算機(jī)系統(tǒng)的安全而來的，它能夠及早的檢測到系統(tǒng)里出現(xiàn)異?，F(xiàn)象或是未授權(quán)情況，它是對(duì)于網(wǎng)絡(luò)里違反其安全策略的行為進(jìn)行檢測的一種技術(shù)。這種檢測技術(shù)的好處就是在系統(tǒng)被攻擊出現(xiàn)危害前，其就會(huì)檢測出存在的攻擊入侵，同時(shí)還可通過防護(hù)報(bào)警系統(tǒng)對(duì)攻擊入侵進(jìn)行排除。在病毒攻擊當(dāng)中可以有效的降低遭到攻擊而帶來的損失。這種技術(shù)可在攻擊系統(tǒng)之后對(duì)攻擊的相關(guān)信息進(jìn)行收集，增加防護(hù)系統(tǒng)的知識(shí)，并將其輸入入庫，來提高系統(tǒng)的防護(hù)能力。

對(duì)于這種檢測技術(shù)而言，它的入侵檢測系統(tǒng)可劃分為兩種：異常檢測和誤用檢測。誤用檢測它主要是依照預(yù)先定義好的攻擊入侵模式庫（對(duì)于入侵行為的特征、排列以及條件和事件之間的關(guān)聯(lián)有所描述），因此在檢測時(shí)就可在系統(tǒng)里收集到的信息與入侵的模式描述進(jìn)行對(duì)比，查看有沒有被入侵的行為。因此這種入侵檢測的準(zhǔn)確性在很大程度上與入侵模式的完整可靠性有很大的關(guān)系，對(duì)于出現(xiàn)一些新的或是變體入侵行為（在入侵模式庫中沒描述的），該誤用檢測是存在漏報(bào)的情況的。對(duì)于異常檢測技術(shù)來說，其檢測是對(duì)審計(jì)蹤跡里存在的特征性數(shù)據(jù)的提取來對(duì)用戶的行為進(jìn)行描述的，它是根據(jù)典型的網(wǎng)絡(luò)活動(dòng)形成的輪廓模型來進(jìn)行檢測的，在檢測的過程中是把輪廓模型和此檢測的行為模式來對(duì)比，用一個(gè)確定的值來進(jìn)行判斷，當(dāng)兩者的差異值大于這個(gè)值那就被判定屬于入侵行為。這種異常的檢測技術(shù)典型的主要包括機(jī)器學(xué)習(xí)、統(tǒng)計(jì)分析的技術(shù)法以及數(shù)據(jù)挖掘技術(shù)。這兩種（誤用檢測和異常檢測）檢測技術(shù)都有其缺點(diǎn)和優(yōu)點(diǎn)。誤用檢測技術(shù)對(duì)于新的入侵行為時(shí)就比較不能檢測出來這樣也就存在漏報(bào)的情況，但它能夠?qū)σ阎娜肭中袨闇?zhǔn)確的檢測出來，其誤報(bào)率也就比較低。而異常檢測對(duì)于新的入侵行為能夠進(jìn)行檢測出來，不存在漏報(bào)現(xiàn)象，可是卻不能準(zhǔn)確的確定出其具體入侵攻擊行為?，F(xiàn)在高科技的日新月異，網(wǎng)絡(luò)安全入侵檢測技術(shù)的發(fā)展呈現(xiàn)出協(xié)同化、綜合化等發(fā)展方向，現(xiàn)在就有將以上兩種檢測技術(shù)結(jié)合的綜合性系統(tǒng)，比如Haystack、NIDES等。包含兩者的優(yōu)點(diǎn)這樣使得檢測更具有全面可靠性。

三、總結(jié)

以上通過對(duì)計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用的安全性問題的論述與分析，更深層次的了解到網(wǎng)絡(luò)安全技術(shù)以及常見的網(wǎng)絡(luò)安全問題等。社會(huì)是一個(gè)不斷向前發(fā)展的社會(huì)，經(jīng)濟(jì)技術(shù)上也會(huì)不斷的革新發(fā)展，當(dāng)然網(wǎng)絡(luò)安全問題也會(huì)越來越復(fù)雜化、多變化，針對(duì)這些也會(huì)對(duì)相關(guān)的防護(hù)技術(shù)策略進(jìn)行改進(jìn)與創(chuàng)新。

參考文獻(xiàn)：

[1]李紅,黃道穎,李勇.計(jì)算機(jī)網(wǎng)絡(luò)安全的三種策略[A].全國ISNBM學(xué)術(shù)交流會(huì)暨電腦開發(fā)與應(yīng)用創(chuàng)刊20周年慶祝大會(huì)論文集[C].2005

[2]姜明輝,蔣耀平,王海偉.中美網(wǎng)絡(luò)空間安全環(huán)境比較及美國經(jīng)驗(yàn)借鑒[A].全國網(wǎng)絡(luò)與信息安全技術(shù)研討會(huì)'2005論文集（下冊）[C].2005

[3]范曉嵐,姜建國,曾啟銘.BO網(wǎng)絡(luò)入侵的實(shí)時(shí)檢測[A].中國工程物理研究院科技年報(bào)（1999）[C].1999

第5篇：入侵檢測論文范文

論文關(guān)鍵詞：網(wǎng)絡(luò)動(dòng)態(tài)網(wǎng)絡(luò)入侵網(wǎng)絡(luò)入侵取證系統(tǒng)

計(jì)算機(jī)網(wǎng)絡(luò)的入侵檢測，是指對(duì)計(jì)算機(jī)的網(wǎng)絡(luò)及其整體系統(tǒng)的時(shí)控監(jiān)測，以此探查計(jì)算機(jī)是否存在違反安全原則的策略事件。目前的網(wǎng)絡(luò)入侵檢測系統(tǒng)，主要用于識(shí)別計(jì)算機(jī)系統(tǒng)及相關(guān)網(wǎng)絡(luò)系統(tǒng)，或是擴(kuò)大意義的識(shí)別信息系統(tǒng)的非法攻擊，包括檢測內(nèi)部的合法用戶非允許越權(quán)從事網(wǎng)絡(luò)非法活動(dòng)和檢測外界的非法系統(tǒng)入侵者的試探行為或惡意攻擊行為。其運(yùn)動(dòng)的方式也包含兩種，為目標(biāo)主機(jī)上的運(yùn)行來檢測其自身通信的信息和在一臺(tái)單獨(dú)機(jī)器上運(yùn)行從而能檢測所有的網(wǎng)絡(luò)設(shè)備通信的信息，例如路由器、Hub等。

1計(jì)算機(jī)入侵檢測與取證相關(guān)的技術(shù)

1.1計(jì)算機(jī)入侵檢測

入侵取證的技術(shù)是在不對(duì)網(wǎng)絡(luò)的性能產(chǎn)生影響的前提下，對(duì)網(wǎng)絡(luò)的攻擊威脅進(jìn)行防止或者減輕。一般來說，入侵檢測的系統(tǒng)包含有數(shù)據(jù)的收集、儲(chǔ)存、分析以及攻擊響應(yīng)的功能。主要是通過對(duì)計(jì)算機(jī)的網(wǎng)絡(luò)或者系統(tǒng)中得到的幾個(gè)關(guān)鍵點(diǎn)進(jìn)行信息的收集和分析，以此來提早發(fā)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)或者系統(tǒng)中存在的違反安全策略行為以及被攻擊跡象。相較于其他的一些產(chǎn)品，計(jì)算機(jī)的入侵檢測系統(tǒng)需要更加多的智能，需要對(duì)測得數(shù)據(jù)進(jìn)行分析，從而得到有用的信息。

計(jì)算機(jī)的入侵檢測系統(tǒng)主要是對(duì)描述計(jì)算機(jī)的行為特征，并通過行為特征對(duì)行為的性質(zhì)進(jìn)行準(zhǔn)確判定。根據(jù)計(jì)算機(jī)所采取的技術(shù)，入侵檢測可以分為特征的檢測和異常的檢測；根據(jù)計(jì)算機(jī)的主機(jī)或者網(wǎng)絡(luò)，不同的檢測對(duì)象，分為基于主機(jī)和網(wǎng)絡(luò)的入侵檢測系統(tǒng)以及分布式的入侵檢測系統(tǒng)；根據(jù)計(jì)算機(jī)不同的工作方式，可分為離線和在線檢測系統(tǒng)。計(jì)算機(jī)的入侵檢測就是在數(shù)以億記的網(wǎng)絡(luò)數(shù)據(jù)中探查到非法入侵或合法越權(quán)行為的痕跡。并對(duì)檢測到的入侵過程進(jìn)行分析，將該入侵過程對(duì)應(yīng)的可能事件與入侵檢測原則規(guī)則比較分析，最終發(fā)現(xiàn)入侵行為。按照入侵檢測不同實(shí)現(xiàn)的原來，可將其分為基于特征或者行為的檢測。

1.2計(jì)算機(jī)入侵取證

在中國首屆計(jì)算機(jī)的取證技術(shù)峰會(huì)上指出，計(jì)算機(jī)的入侵取證學(xué)科是計(jì)算機(jī)科學(xué)、刑事偵查學(xué)以及法學(xué)的交叉學(xué)科，但由于計(jì)算機(jī)取證學(xué)科在我國屬于新起步階段，與發(fā)達(dá)國家在技術(shù)研究方面的較量還存在很大差距，其中，計(jì)算機(jī)的電子數(shù)據(jù)的取證存在困難的局面已經(jīng)對(duì)部分案件的偵破起到阻礙作用。而我國的計(jì)算機(jī)的電子數(shù)據(jù)作為可用證據(jù)的立法項(xiàng)目也只是剛剛起步，同樣面臨著計(jì)算機(jī)的電子數(shù)據(jù)取證相關(guān)技術(shù)不成熟，相關(guān)標(biāo)準(zhǔn)和方法等不足的窘境。

計(jì)算機(jī)的入侵取證工作是整個(gè)法律訴訟過程中重要的環(huán)節(jié)，此過程中涉及的不僅是計(jì)算機(jī)領(lǐng)域，同時(shí)還需滿足法律要求。因而，取證工作必須按照一定的即成標(biāo)準(zhǔn)展開，以此確保獲得電子數(shù)據(jù)的證據(jù)，目前基本需要把握以下幾個(gè)原則：實(shí)時(shí)性的原則、合法性的原則、多備份的原則、全面性的原則、環(huán)境原則以及嚴(yán)格的管理過程。

2基于網(wǎng)絡(luò)動(dòng)態(tài)的入侵取證系統(tǒng)的設(shè)計(jì)和實(shí)現(xiàn)

信息科技近年來得到迅猛發(fā)展，同時(shí)帶來了日益嚴(yán)重的計(jì)算機(jī)犯罪問題，靜態(tài)取證局限著傳統(tǒng)計(jì)算機(jī)的取證技術(shù)，使得其證據(jù)的真實(shí)性、及時(shí)性及有效性等實(shí)際要求都得不到滿足。為此，提出了新的取證設(shè)想，即動(dòng)態(tài)取證，來實(shí)現(xiàn)網(wǎng)絡(luò)動(dòng)態(tài)狀況下的計(jì)算機(jī)系統(tǒng)取證。此系統(tǒng)與傳統(tǒng)取證工具不同，其在犯罪行為實(shí)際進(jìn)行前和進(jìn)行中開展取證工作，根本上避免取證不及時(shí)可能造成德證據(jù)鏈缺失?；诰W(wǎng)絡(luò)動(dòng)態(tài)的取證系統(tǒng)有效地提高了取證工作效率，增強(qiáng)了數(shù)據(jù)證據(jù)時(shí)效性和完整性。

2.1計(jì)算機(jī)的入侵取證過程

計(jì)算機(jī)取證，主要就是對(duì)計(jì)算機(jī)證據(jù)的采集，計(jì)算機(jī)證據(jù)也被稱為電子證據(jù)。一般來說，電子證據(jù)是指電子化的信息數(shù)據(jù)和資料，用于證明案件的事實(shí)，它只是以數(shù)字形式在計(jì)算機(jī)系統(tǒng)中存在，以證明案件相關(guān)的事實(shí)數(shù)據(jù)信息，其中包括計(jì)算機(jī)數(shù)據(jù)的產(chǎn)生、存儲(chǔ)、傳輸、記錄、打印等所有反映計(jì)算機(jī)系統(tǒng)犯罪行為的電子證據(jù)。

就目前而言，由于計(jì)算機(jī)法律、技術(shù)等原因限制，國內(nèi)外關(guān)于計(jì)算機(jī)的取證主要還是采用事后取證方式。即現(xiàn)在的取證工作仍將原始數(shù)據(jù)的收集過程放在犯罪事件發(fā)生后，但計(jì)算機(jī)的網(wǎng)絡(luò)特性是許多重要數(shù)據(jù)的存儲(chǔ)可能在數(shù)據(jù)極易丟失的存儲(chǔ)器中；另外，黑客入侵等非法網(wǎng)絡(luò)犯罪過程中，入侵者會(huì)將類似系統(tǒng)日志的重要文件修改、刪除或使用反取證技術(shù)掩蓋其犯罪行徑。同時(shí)，年FBI/CSI的年度計(jì)算機(jī)報(bào)告也顯示，企業(yè)的內(nèi)部職員是計(jì)算機(jī)安全的最大威脅，因職員位置是在入侵檢測及防火墻防護(hù)的系統(tǒng)內(nèi)的，他們不需要很高的權(quán)限更改就可以從事犯罪活動(dòng)。

2.2基于網(wǎng)絡(luò)動(dòng)態(tài)的計(jì)算機(jī)入侵取證系統(tǒng)設(shè)計(jì)

根據(jù)上文所提及的計(jì)算機(jī)入侵的取證缺陷及無法滿足實(shí)際需要的現(xiàn)狀，我們設(shè)計(jì)出新的網(wǎng)絡(luò)動(dòng)態(tài)狀況下的計(jì)算機(jī)入侵的取證系統(tǒng)。此系統(tǒng)能夠?qū)崿F(xiàn)將取證的工作提前至犯罪活動(dòng)發(fā)生之前或者進(jìn)行中時(shí)，還能夠同時(shí)兼顧來自于計(jì)算機(jī)內(nèi)、外犯罪的活動(dòng)，獲得盡可能多的相關(guān)犯罪信息?；诰W(wǎng)絡(luò)動(dòng)態(tài)的取證系統(tǒng)和傳統(tǒng)的取證系統(tǒng)存在的根本差別在于取證工作的開展時(shí)機(jī)不同，基于分布式策略的動(dòng)態(tài)取證系統(tǒng)，可獲得全面、及時(shí)的證據(jù)，并且可為證據(jù)的安全性提供更加有效的保障。

此外，基于網(wǎng)絡(luò)動(dòng)態(tài)的入侵取證系統(tǒng)在設(shè)計(jì)初始就涉及了兩個(gè)方面的取證工作。其一是攻擊計(jì)算機(jī)本原系統(tǒng)的犯罪行為，其二是以計(jì)算機(jī)為工具的犯罪行為（或說是計(jì)算機(jī)系統(tǒng)越權(quán)使用的犯罪行為）。系統(tǒng)采集網(wǎng)絡(luò)取證和取證兩個(gè)方面涉及的這兩個(gè)犯罪的電子證據(jù)，并通過加密傳輸?shù)哪K將采集到的電子證據(jù)傳送至安全的服務(wù)器上，進(jìn)行統(tǒng)一妥善保存，按其關(guān)鍵性的級(jí)別進(jìn)行分類，以方便后續(xù)的分析查詢活動(dòng)。并對(duì)已獲電子證據(jù)以分析模塊進(jìn)行分析并生成報(bào)告?zhèn)溆?。通過管理控制模塊完成對(duì)整個(gè)系統(tǒng)的統(tǒng)一管理，來確保系統(tǒng)可穩(wěn)定持久的運(yùn)行。

2.3網(wǎng)絡(luò)動(dòng)態(tài)狀況下的計(jì)算機(jī)入侵取證系統(tǒng)實(shí)現(xiàn)

基于網(wǎng)絡(luò)動(dòng)態(tài)計(jì)算機(jī)的入侵取證系統(tǒng)，主要是通過網(wǎng)絡(luò)取證機(jī)、取證、管理控制臺(tái)、安全服務(wù)器、取證分析機(jī)等部分組成。整個(gè)系統(tǒng)的結(jié)構(gòu)取證，是以被取證機(jī)器上運(yùn)行的一個(gè)長期服務(wù)的守護(hù)程序的方式來實(shí)現(xiàn)的。該程序?qū)?duì)被監(jiān)測取證的機(jī)器的系統(tǒng)日志文件長期進(jìn)行不間斷采集，并配套相應(yīng)得鍵盤操作和他類現(xiàn)場的證據(jù)采集。最終通過安全傳輸?shù)姆绞綄⒁勋@電子數(shù)據(jù)證據(jù)傳輸至遠(yuǎn)程的安全服務(wù)器，管理控制臺(tái)會(huì)即刻發(fā)送指令知道操作。

網(wǎng)絡(luò)取證機(jī)使用混雜模式的網(wǎng)絡(luò)接口，監(jiān)聽所有通過的網(wǎng)絡(luò)數(shù)據(jù)報(bào)。經(jīng)協(xié)議分析，可捕獲、匯總并存儲(chǔ)潛在證據(jù)的數(shù)據(jù)報(bào)。并同時(shí)添加“蜜罐”系統(tǒng)，發(fā)現(xiàn)攻擊行為便即可轉(zhuǎn)移進(jìn)行持續(xù)的證據(jù)獲取。安全服務(wù)器是構(gòu)建了一個(gè)開放必要服務(wù)器的系統(tǒng)進(jìn)行取證并以網(wǎng)絡(luò)取證機(jī)將獲取的電子證據(jù)進(jìn)行統(tǒng)一保存。并通過加密及數(shù)字簽名等技術(shù)保證已獲證據(jù)的安全性、一致性和有效性。而取證分析機(jī)是使用數(shù)據(jù)挖掘的技術(shù)深入分析安全服務(wù)器所保存的各關(guān)鍵類別的電子證據(jù)，以此獲取犯罪活動(dòng)的相關(guān)信息及直接證據(jù)，并同時(shí)生成報(bào)告提交法庭。管理控制臺(tái)為安全服務(wù)器及取證提供認(rèn)證，以此來管理系統(tǒng)各個(gè)部分的運(yùn)行。

基于網(wǎng)絡(luò)動(dòng)態(tài)的計(jì)算機(jī)入侵取證系統(tǒng)，不僅涉及本網(wǎng)絡(luò)所涵蓋的計(jì)算機(jī)的目前犯罪行為及傳統(tǒng)計(jì)算機(jī)的外部網(wǎng)絡(luò)的犯罪行為，同時(shí)也獲取網(wǎng)絡(luò)內(nèi)部的、將計(jì)算機(jī)系統(tǒng)作為犯罪工具或越權(quán)濫用等犯罪行為的證據(jù)。即取證入侵系統(tǒng)從功能上開始可以兼顧內(nèi)外部兩方面。基于網(wǎng)絡(luò)動(dòng)態(tài)的計(jì)算機(jī)入侵取證系統(tǒng)，分為證據(jù)獲取、傳輸、存儲(chǔ)、分析、管理等五大模塊。通過各個(gè)模塊間相互緊密協(xié)作，真正良好實(shí)現(xiàn)網(wǎng)絡(luò)動(dòng)態(tài)的計(jì)算機(jī)入侵取證系統(tǒng)。

第6篇：入侵檢測論文范文

摘要：采用確定的有限狀態(tài)自動(dòng)機(jī)理論對(duì)復(fù)雜的網(wǎng)絡(luò)攻擊行為進(jìn)行形式化描述，建立了SYN－Flooding等典型攻擊的自動(dòng)機(jī)識(shí)別模型。通過這些模型的組合可以表示更為復(fù)雜的網(wǎng)絡(luò)攻擊行為，從而為研究網(wǎng)絡(luò)入侵過程提供了一種更為直觀的形式化手段。

關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò)；有限狀態(tài)自動(dòng)機(jī)；網(wǎng)絡(luò)攻擊

隨著計(jì)算機(jī)網(wǎng)絡(luò)的普及應(yīng)用，網(wǎng)絡(luò)安全技術(shù)顯得越來越重要。入侵檢測是繼防火墻技術(shù)之后用來解決網(wǎng)絡(luò)安全問題的一門重要技術(shù)。該技術(shù)用來確定是否存在試圖破壞系統(tǒng)網(wǎng)絡(luò)資源的完整性、保密性和可用性的行為。這些行為被稱之為入侵。隨著入侵行為的不斷演變，入侵正朝著大規(guī)模、協(xié)同化方向發(fā)展。面對(duì)這些日趨復(fù)雜的網(wǎng)絡(luò)入侵行為，采用什么方法對(duì)入侵過程進(jìn)行描述以便更為直觀地研究入侵過程所體現(xiàn)出的行為特征已成為入侵檢測技術(shù)所要研究的重要內(nèi)容。顯然，可以采用自然語言來描述入侵過程。該方法雖然直觀，但存在語義不確切、不便于計(jì)算機(jī)處理等缺點(diǎn)。Tidwell提出利用攻擊樹來對(duì)大規(guī)模入侵建模，但攻擊樹及其描述語言均以攻擊事件為主體元素，對(duì)系統(tǒng)狀態(tài)變化描述能力有限[1，2]。隨著系統(tǒng)的運(yùn)行，系統(tǒng)從一個(gè)狀態(tài)轉(zhuǎn)換為另一個(gè)狀態(tài)；不同的系統(tǒng)狀態(tài)代表不同的含義，這些狀態(tài)可能為正常狀態(tài)，也可能為異常狀態(tài)。但某一時(shí)刻，均存在某種確定的狀態(tài)與系統(tǒng)相對(duì)應(yīng)。而系統(tǒng)無論如何運(yùn)行最終均將處于一種終止?fàn)顟B(tài)（正常結(jié)束或出現(xiàn)故障等），即系統(tǒng)的狀態(tài)是有限的。系統(tǒng)狀態(tài)的轉(zhuǎn)換過程可以用確定的有限狀態(tài)自動(dòng)機(jī)（DeterministicFiniteAutomation，DFA）進(jìn)行描述。這種自動(dòng)機(jī)的圖形描述（即狀態(tài)轉(zhuǎn)換圖）使得入侵過程更為直觀，能更為方便地研究入侵過程所體現(xiàn)出的行為特征。下面就采用自動(dòng)機(jī)理論來研究入侵過程的形式化描述方法。

1有限狀態(tài)自動(dòng)機(jī)理論

有限狀態(tài)自動(dòng)機(jī)M是一種自動(dòng)識(shí)別裝置，它可以表示為一個(gè)五元組：

2入侵過程的形式化描述

入侵過程異常復(fù)雜導(dǎo)致入侵種類的多種多樣，入侵過程所體現(xiàn)出的特征各不相同，采用統(tǒng)一的形式化模型進(jìn)行描述顯然存在一定的困難。下面采用有限狀態(tài)自動(dòng)機(jī)對(duì)一些典型的入侵過程進(jìn)行描述，嘗試找出它們的特征，以尋求對(duì)各種入侵過程進(jìn)行形式化描述的方法。

下面采用有限狀態(tài)自動(dòng)機(jī)理論對(duì)SYN－Flooding攻擊等一些典型的入侵過程進(jìn)行形式化描述。

2．1SYN－Flooding攻擊

Internet中TCP協(xié)議是一個(gè)面向連接的協(xié)議。當(dāng)兩個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行通信時(shí)，它們首先需要通過三次握手信號(hào)建立連接。設(shè)主機(jī)A欲訪問服務(wù)器B的資源，則主機(jī)A首先要與服務(wù)器B建立連接，具體過程如圖1所示。首先主機(jī)A先向服務(wù)器B發(fā)送帶有SYN標(biāo)志的連接請(qǐng)求。該數(shù)據(jù)包內(nèi)含有主機(jī)A的初始序列號(hào)x；服務(wù)器B收到SYN包后，狀態(tài)變?yōu)镾YN.RCVD，并為該連接分配所需要的數(shù)據(jù)結(jié)構(gòu)。然后服務(wù)器B向主機(jī)A發(fā)送帶有SYN/ACK標(biāo)志的確認(rèn)包。其中含有服務(wù)器B的連接初始序列號(hào)y，顯然確認(rèn)序列號(hào)ACK為x+1，此時(shí)即處于所謂的半連接狀態(tài)。主機(jī)A接收到SYN/ACK數(shù)據(jù)包后再向服務(wù)器B發(fā)送ACK數(shù)據(jù)包，此時(shí)ACK確認(rèn)號(hào)為y+1；服務(wù)器B接收到該確認(rèn)數(shù)據(jù)包后狀態(tài)轉(zhuǎn)為Established，至此，連接建立完畢。這樣主機(jī)A建立了與服務(wù)器B的連接，然后它們就可以通過該條鏈路進(jìn)行通信[4]。

上面為TCP協(xié)議正常建立連接的情況。但是，如果服務(wù)器B向主機(jī)A發(fā)送SYN/ACK數(shù)據(jù)包后長時(shí)間內(nèi)得不到主機(jī)A的響應(yīng)，則服務(wù)器B就要等待相當(dāng)長一段時(shí)間；如果這樣的半連接過多，則很可能消耗完服務(wù)器B用于建立連接的資源（如緩沖區(qū)）。一旦系統(tǒng)資源消耗盡，對(duì)服務(wù)器B的正常連接請(qǐng)求也將得不到響應(yīng)，即發(fā)生了所謂的拒絕服務(wù)攻擊（DenialofService，DoS）。這就是SYN－Flooding攻擊的基本原理。

SYN－Flooding攻擊的具體過程如下：攻擊者Intruder偽造一個(gè)或多個(gè)不存在的主機(jī)C，然后向服務(wù)器B發(fā)送大量的連接請(qǐng)求。由于偽造的主機(jī)并不存在，對(duì)于每個(gè)連接請(qǐng)求服務(wù)器B因接收不到連接的確認(rèn)信息而要等待一段時(shí)間，這樣短時(shí)間內(nèi)出現(xiàn)了大量處于半連接狀態(tài)的連接請(qǐng)求，很快就耗盡了服務(wù)器B的相關(guān)系統(tǒng)資源，使得正常的連接請(qǐng)求得不到響應(yīng)，導(dǎo)致發(fā)生拒絕服務(wù)攻擊。下面采用有限狀態(tài)自動(dòng)機(jī)描述SYN－Floo－ding攻擊過程。

2．2IP－Spoofing入侵過程

攻擊者想要隱藏自己的真實(shí)身份或者試圖利用信任主機(jī)的特權(quán)以實(shí)現(xiàn)對(duì)其他主機(jī)的攻擊，此時(shí)攻擊者往往要偽裝成其他主機(jī)的IP地址。假設(shè)主機(jī)A為服務(wù)器B的信任主機(jī)，攻擊者Intruder若想冒充主機(jī)A與服務(wù)器B進(jìn)行通信，它需要盜用A的IP地址。具體過程[5]如下：

（1）攻擊者通過DoS等攻擊形式使主機(jī)A癱瘓，以免對(duì)攻擊造成干擾。

（2）攻擊者將源地址偽裝成主機(jī)A，發(fā)送SYN請(qǐng)求包給服務(wù)器B要求建立連接。

（3）服務(wù)器B發(fā)送SYN－ACK數(shù)據(jù)包給主機(jī)A，此時(shí)主機(jī)A因處于癱瘓狀態(tài)已不能接收服務(wù)器B的SYN－ACK數(shù)據(jù)包。

（4）攻擊者根據(jù)服務(wù)器B的回應(yīng)消息包對(duì)后續(xù)的TCP包序列號(hào)y進(jìn)行預(yù)測。

（5）攻擊者再次偽裝成主機(jī)A用猜測的序列號(hào)向服務(wù)器B發(fā)送ACK數(shù)據(jù)包，以完成三次握手信號(hào)并建立連接。

分別表示Land攻擊、SYN－Flooding攻擊和DDoS攻擊。通信函數(shù)表示為Communication(Res－h(huán)ost,Des－h(huán)ost,Syn－no,Ack－no)。其中Res－h(huán)ost、Des－h(huán)ost分別為源節(jié)點(diǎn)和目的節(jié)點(diǎn)地址，Syn－no、Ack－no分別為同步和應(yīng)答序列號(hào)。通信及其他函數(shù)集具體定義如下：

2．3IP分片攻擊

數(shù)據(jù)包在不同的網(wǎng)絡(luò)上傳輸時(shí)，由于各種網(wǎng)絡(luò)運(yùn)行的協(xié)議可能有所差異，不同物理網(wǎng)絡(luò)的最大傳輸單元MTU（即最大包長度）可能不同；這樣當(dāng)數(shù)據(jù)包從一個(gè)物理網(wǎng)絡(luò)傳輸?shù)搅硪粋€(gè)物理網(wǎng)絡(luò)時(shí)，如果該網(wǎng)絡(luò)的MTU不足以容納完整的數(shù)據(jù)包，那么就需要利用數(shù)據(jù)包分解的方法來解決。這樣大的數(shù)據(jù)包往往分解成許多小的數(shù)據(jù)包分別進(jìn)行傳輸。攻擊者常常利用這一技術(shù)將其攻擊數(shù)據(jù)分散在各個(gè)數(shù)據(jù)包中，從而達(dá)到隱蔽其探測或攻擊行為的目的[6]。

對(duì)于Teardrop等典型的IP分片攻擊，其特征是IP包中的ip_off域?yàn)镮P_MF，而且IP包經(jīng)過計(jì)算，其長度域ip_len聲明的長度與收到包的實(shí)際長度不同。這樣被攻擊者在組裝IP包時(shí)，可能把幾個(gè)分片的部分重疊起來，某些有害的參數(shù)可能被加了進(jìn)去，從而引起系統(tǒng)狀態(tài)的異常。

第7篇：入侵檢測論文范文

關(guān)鍵詞：大數(shù)據(jù)時(shí)代；人工智能；計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)；應(yīng)用價(jià)值

21世紀(jì)以來，世界都已經(jīng)進(jìn)入大數(shù)據(jù)發(fā)展時(shí)代，人工智能的應(yīng)用與居民生活息息相關(guān)。人工智能就是模仿人類的行為方式和思維模式進(jìn)行工作處理，它比計(jì)算機(jī)技術(shù)更加具有實(shí)用價(jià)值。所以，為了迅速提高我國大數(shù)據(jù)時(shí)代人工智能在計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)中的應(yīng)用，論文基于此展開詳細(xì)分析探討，深入研究人工智能在計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)中的應(yīng)用價(jià)值。以下主要針對(duì)于人工智能計(jì)算機(jī)的基本內(nèi)容展開簡單分析與探討：

一、人工智能計(jì)算機(jī)的概況

利用計(jì)算機(jī)技術(shù)來模仿人類的行為方式和思維模式就叫做人工智能。人工智能，技術(shù)的涵蓋內(nèi)容廣泛，且創(chuàng)新性高、挑戰(zhàn)力度大，它的發(fā)展與各學(xué)科知識(shí)包括信息與計(jì)算科學(xué)、語言學(xué)、數(shù)學(xué)、心理學(xué)等都有關(guān)聯(lián)。人工智能的發(fā)展目標(biāo)是通過計(jì)算機(jī)技術(shù)讓本該由人工操作的危險(xiǎn)或復(fù)雜的工作由人工智能機(jī)器代替,從而額實(shí)現(xiàn)節(jié)約勞動(dòng)力、減少事故危害發(fā)生的情況，進(jìn)而提高工作效率和工作質(zhì)量。人工智能的發(fā)展形式多樣。第一，人工智能可以幫助完善某些較為復(fù)雜的問題或是當(dāng)前還無法解決的問題，若是發(fā)生由計(jì)算機(jī)運(yùn)算都還無法獲得正確模型的情況，此時(shí)就可利用人工智能來對(duì)該項(xiàng)問題進(jìn)行有效解決，針對(duì)模糊的問題和內(nèi)容，利用人工智能模式來不斷提高網(wǎng)絡(luò)使用質(zhì)量。第二，人工智能可以將簡單的東西或知識(shí)復(fù)雜化，得到人們想要的高級(jí)程序和數(shù)據(jù)，從而節(jié)約實(shí)現(xiàn)，提高工作效率。

二、大數(shù)據(jù)時(shí)代人工智能在計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)中的應(yīng)用

（一）數(shù)據(jù)挖掘技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)中的應(yīng)用數(shù)據(jù)挖掘技術(shù)在近幾年來越來越受到人們的重視，因?yàn)閿?shù)據(jù)挖掘技術(shù)是大數(shù)據(jù)時(shí)展的關(guān)鍵技術(shù)。利用人工智能技術(shù)可研究外界不安全因素的入侵頻率，并在網(wǎng)絡(luò)安全運(yùn)行的前提下結(jié)合網(wǎng)絡(luò)存貯狀態(tài)，將研究結(jié)果記錄保存。之后的工作中，若計(jì)算機(jī)處于運(yùn)行情況時(shí)發(fā)生安全問題，系統(tǒng)會(huì)立即給予警告提示，并及時(shí)攔截入侵對(duì)象。數(shù)據(jù)挖掘技術(shù)其實(shí)從根本上來看，就是由人工智能技術(shù)和大數(shù)據(jù)技術(shù)的綜合發(fā)展而來，模仿人類處理數(shù)據(jù)信息的特征和方式，讓計(jì)算機(jī)實(shí)現(xiàn)對(duì)數(shù)據(jù)的批量處理。此外，數(shù)據(jù)挖掘技術(shù)還可與各種傳感器融合工作，從而實(shí)現(xiàn)技術(shù)功效的最大潛力，不斷增強(qiáng)計(jì)算機(jī)系統(tǒng)的功效和實(shí)用價(jià)值。

（二）入侵檢測技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)中的應(yīng)用現(xiàn)展迅速，網(wǎng)絡(luò)科技已成為人們?nèi)粘Ｉ钪兄陵P(guān)重要的組成成分，給人們的生活工作帶來極大便利，但是其中也潛存很多不穩(wěn)定因素。所以，網(wǎng)絡(luò)安全技術(shù)的發(fā)展是保證網(wǎng)絡(luò)使用正常工作的重要前提。當(dāng)前，已經(jīng)有很多網(wǎng)絡(luò)機(jī)制被運(yùn)用到保護(hù)網(wǎng)絡(luò)安全的工作中，但是在對(duì)網(wǎng)絡(luò)安全管理時(shí)發(fā)現(xiàn)仍舊有很多不穩(wěn)定因素的存在，尤其是現(xiàn)在網(wǎng)絡(luò)技術(shù)的發(fā)展迅速，很多手機(jī)支付等網(wǎng)絡(luò)支付方式中會(huì)存在支付密碼泄露的情況?；诖?，在網(wǎng)絡(luò)計(jì)算機(jī)安全使用過程中起到良好作用的是入侵檢測技術(shù)。該技術(shù)被使用時(shí)，可以對(duì)網(wǎng)絡(luò)中潛存的安全隱患信息及時(shí)偵查處理，對(duì)其數(shù)據(jù)信息進(jìn)行檢測，最后將檢測結(jié)果的分析報(bào)告反饋給用戶，實(shí)現(xiàn)有效檢測。入侵檢測技術(shù)的不斷發(fā)展和完善，讓計(jì)算機(jī)網(wǎng)絡(luò)的安全運(yùn)行得到極大保障，在對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行安全檢測的條件下，防止網(wǎng)絡(luò)受到外界環(huán)境的干擾。人工智能技術(shù)中還可結(jié)合人工神經(jīng)系統(tǒng)高和專家系統(tǒng)網(wǎng)絡(luò)，實(shí)現(xiàn)對(duì)實(shí)時(shí)變化信息的即時(shí)監(jiān)控，切實(shí)保障計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的安全發(fā)展。

（三）防火墻技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)中的應(yīng)用計(jì)算機(jī)的硬件與軟件相結(jié)合才能讓防火墻技術(shù)發(fā)揮功效，為計(jì)算機(jī)的安全運(yùn)行構(gòu)建一個(gè)完整的保護(hù)盔甲。防火墻技術(shù)的應(yīng)用是針對(duì)整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)的使用安全，極大的降低了由于外界非法入侵帶來的不穩(wěn)定因素，讓計(jì)算機(jī)的安全得到保障。尤其是在現(xiàn)在大數(shù)據(jù)時(shí)代的發(fā)展背景下，防火墻技術(shù)的優(yōu)點(diǎn)更加明顯，防止計(jì)算機(jī)被非法入侵是防火墻技術(shù)的最重要功效。當(dāng)前，人們每天都會(huì)收到很多封垃圾郵件和短信，部分郵件和短信還攜帶有危害性質(zhì)的病毒，一旦點(diǎn)開這些垃圾信息和短信就會(huì)造成病毒入侵，讓計(jì)算機(jī)中原本的私人信息遭到泄露。因此，需要人工智能技術(shù)來幫助人們進(jìn)行信息識(shí)別，掃描郵件中是否有不安全因素的存在，找出后還可立即進(jìn)行排除，防止安全事故的發(fā)生。根據(jù)以上內(nèi)容的分析得出，在當(dāng)前的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)應(yīng)用過程中，人工智能技術(shù)已成為主導(dǎo)技術(shù)之一，它能夠結(jié)合其他任何智能技術(shù)實(shí)現(xiàn)創(chuàng)新發(fā)展和進(jìn)步，以促進(jìn)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全使用，讓計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)高效、安全的發(fā)展，這也讓人們的生活、工作水平進(jìn)一步提高。

第8篇：入侵檢測論文范文

關(guān)鍵字 入侵檢測；數(shù)據(jù)挖掘；異常檢測；誤用檢測；分類算法；關(guān)聯(lián)規(guī)則；序列規(guī)則；聚類算法

0 引言

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，現(xiàn)在越來越多的人通過豐富的網(wǎng)絡(luò)資源學(xué)會(huì)各種攻擊的手法，通過簡單的操作就可以實(shí)施極具破壞力的攻擊行為，如何有效的檢測并阻止這些攻擊行為的發(fā)生成了目前計(jì)算機(jī)行業(yè)普遍關(guān)注的一個(gè)問題。

用于加強(qiáng)網(wǎng)絡(luò)安全的手段目前有很多，如加密，VPN ，防火墻等，但這些技術(shù)都是靜態(tài)的，不能夠很好的實(shí)施有效的防護(hù)。而入侵檢測（Intrusion Detection）技術(shù)是一種動(dòng)態(tài)的防護(hù)策略，它能夠?qū)W(wǎng)絡(luò)安全實(shí)施監(jiān)控、攻擊與反攻擊等動(dòng)態(tài)保護(hù)，在一定程度上彌補(bǔ)了傳統(tǒng)靜態(tài)策略的不足。

1 入侵檢測中數(shù)據(jù)挖掘技術(shù)的引入

1．1 入侵檢測技術(shù)介紹

入侵檢測技術(shù)是對(duì)（網(wǎng)絡(luò)）系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證系統(tǒng)資源的機(jī)密性、完整性與可用性。

從檢測數(shù)據(jù)目標(biāo)的角度，我們可以把入侵檢測系統(tǒng)分為基于主機(jī)、基于網(wǎng)絡(luò)、基于內(nèi)核和基于應(yīng)用等多種類型。本文主要分析基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的構(gòu)造。

根據(jù)數(shù)據(jù)分析方法（也就是檢測方法）的不同，我們可以將入侵檢測系統(tǒng)分為兩類：

（1） 誤用檢測（Misuse Detection）。又稱為基于特征的檢測，它是根據(jù)已知的攻擊行為建立一個(gè)特征庫，然后去匹配已發(fā)生的動(dòng)作，如果一致則表明它是一個(gè)入侵行為。它的優(yōu)點(diǎn)是誤報(bào)率低，但是由于攻擊行為繁多，這個(gè)特征庫會(huì)變得越來越大，并且它只能檢測到已知的攻擊行為。

（2） 異常檢測（Anomaly Detection）。又稱為基于行為的檢測，它是建立一個(gè)正常的特征庫，根據(jù)使用者的行為或資源使用狀況來判斷是否入侵。它的優(yōu)點(diǎn)在于與系統(tǒng)相對(duì)無關(guān)，通用性較強(qiáng)，可能檢測出以前從未出現(xiàn)過的攻擊方法。但由于產(chǎn)生的正常輪廓不可能對(duì)整個(gè)系統(tǒng)的所有用戶行為進(jìn)行全面的描述，況且每個(gè)用戶的行為是經(jīng)常改變的，所以它的主要缺陷在于誤檢率很高。

將這兩種分析方法結(jié)合起來，可以獲得更好的性能。異常檢測可以使系統(tǒng)檢測新的、未知的攻擊或其他情況；誤用檢測通過防止耐心的攻擊者逐步改變行為模式使得異常檢測器將攻擊行為認(rèn)為是合法的，從而保護(hù)異常檢測的完整性。

入侵檢測的數(shù)據(jù)源可以通過一些專用的抓包工具來獲取，在Windows系統(tǒng)一下，一般采用Winpcap來抓獲數(shù)據(jù)包，在Unix系統(tǒng)下，可以通過Tcpdump和Arpwatch來獲取。在數(shù)據(jù)分析階段將會(huì)用到我們這里重點(diǎn)要介紹的是數(shù)據(jù)挖掘技術(shù)，響應(yīng)部分分為主動(dòng)響應(yīng)和被動(dòng)響應(yīng)。

1．2 數(shù)據(jù)挖掘技術(shù)

數(shù)據(jù)挖掘（Data Mining）技術(shù)是一個(gè)從大量的數(shù)據(jù)中提取人們感興趣的模式的過程。挖掘的對(duì)象不僅是數(shù)據(jù)源、文件系統(tǒng)，也包括諸如Web資源等任何數(shù)據(jù)集合；同時(shí)數(shù)據(jù)挖掘的過程并不是一個(gè)直線型的過程，而是一個(gè)螺旋上升、循環(huán)往復(fù)的多步驟處理過程。

數(shù)據(jù)挖掘通過預(yù)測未來趨勢及行為，做出預(yù)測性的、基于知識(shí)的決策。數(shù)據(jù)挖掘的目標(biāo)是從數(shù)據(jù)庫中發(fā)現(xiàn)隱含的、有意義的知識(shí)，按其功能可分為以下幾類：

（1）關(guān)聯(lián)分析

關(guān)聯(lián)分析能尋找數(shù)據(jù)庫中大量數(shù)據(jù)的相關(guān)聯(lián)系，常用的2種技術(shù)為關(guān)聯(lián)規(guī)則和序列模式。關(guān)聯(lián)規(guī)則是發(fā)現(xiàn)一個(gè)事物與其他事物間的相互關(guān)聯(lián)性或相互依賴性，可用于如分析客戶在超市買牙刷的同時(shí)又買牙膏的可能性；序列模式分析將重點(diǎn)放在分析數(shù)據(jù)之間的前后因果關(guān)系，如買了電腦的顧客則會(huì)在3個(gè)月內(nèi)買殺毒軟件。

（2）聚類

輸入的數(shù)據(jù)并無任何類型標(biāo)記，聚類就是按一定的規(guī)則將數(shù)據(jù)劃分為合理的集合，即將對(duì)象分組為多個(gè)類或簇，使得在同一個(gè)簇中的對(duì)象之間具有較高的相似度，而在不同簇中的對(duì)象差別很大。

（3）自動(dòng)預(yù)測趨勢和行為

數(shù)據(jù)挖掘自動(dòng)在大型數(shù)據(jù)庫中進(jìn)行分類和預(yù)測，尋找預(yù)測性信息，自動(dòng)地提出描述重要數(shù)據(jù)類的模型或預(yù)測未來的數(shù)據(jù)趨勢。

（4）概念描述

對(duì)于數(shù)據(jù)庫中龐雜的數(shù)據(jù)，人們期望以簡潔的描述形式來描述匯集的數(shù)據(jù)集。概念描述就是對(duì)某類對(duì)象的內(nèi)涵進(jìn)行描述并概括出這類對(duì)象的有關(guān)特征。

（5）偏差檢測

偏差包括很多潛在的知識(shí)，如分類中的反常實(shí)例、不滿足規(guī)則的特例、觀測結(jié)果與模型預(yù)測值的偏差、量值隨時(shí)間的變化等。

數(shù)據(jù)挖掘技術(shù)是最新引入到入侵檢測的技術(shù)。它的優(yōu)越之處在于可以從大量的網(wǎng)絡(luò)數(shù)據(jù)以及主機(jī)的日志數(shù)據(jù)中提取出人們需要的、事先未知的知識(shí)和規(guī)律。利用數(shù)據(jù)挖掘技術(shù)實(shí)現(xiàn)網(wǎng)絡(luò)安全在國內(nèi)外都屬于一種新的嘗試。目前，對(duì)數(shù)據(jù)挖掘算法的研究已比較成熟，而數(shù)據(jù)挖掘本身是一個(gè)通用的知識(shí)發(fā)現(xiàn)技術(shù)。在入侵檢測領(lǐng)域，我們將入侵檢測看作是一個(gè)數(shù)據(jù)的分析過程，對(duì)大量的安全數(shù)據(jù)應(yīng)用特定的數(shù)據(jù)挖掘算法，以達(dá)到建立一個(gè)具有自適應(yīng)性以及良好的擴(kuò)展性能的入侵檢測系統(tǒng)。目前，應(yīng)用到入侵檢測上的數(shù)據(jù)挖掘算法主要集中在關(guān)聯(lián)、序列、分類和聚類這四個(gè)基本模型之上。

2．算法在入侵檢測中的具體使用 2．1 基于誤用的檢測模型

誤用檢測中的基本思路是：

首先我們從網(wǎng)絡(luò)或是主機(jī)上獲取原始二進(jìn)制的數(shù)據(jù)文件，再把這些數(shù)據(jù)進(jìn)行處理，轉(zhuǎn)換成ASCII碼表示的數(shù)據(jù)分組形式。再經(jīng)過預(yù)處理模塊將這些網(wǎng)絡(luò)數(shù)據(jù)表示成連接記錄的形式，每個(gè)連接記錄都是由選定的特征屬性表示的，比如連接建立的時(shí)間，所使用的端口服務(wù)，連接結(jié)束的狀態(tài)等等數(shù)據(jù)特征。再進(jìn)行完上面的工作后，對(duì)上述的由特征屬性組成的模式記錄進(jìn)行處理，總結(jié)出其中的統(tǒng)計(jì)特征，包括在一時(shí)間段內(nèi)與目標(biāo)主機(jī)相同的連接記錄的次數(shù)、發(fā)生SYN錯(cuò)誤的連接百分比、目標(biāo)端口相同的連接所占的百分比等等一系列的統(tǒng)計(jì)特征。最后，我們就可以進(jìn)行下面的檢測分析工作，利用分類算法，比如RIPPER 、C4.5等建立分類模型。當(dāng)然，在這其中，統(tǒng)計(jì)特征以及分類特征的選擇和構(gòu)建都是我們必須要反復(fù)總結(jié)的過程，最后才能根據(jù)各種不同的攻擊方式或是不同的網(wǎng)絡(luò)服務(wù)確定最終的分類數(shù)據(jù)。只有這樣才能建立一個(gè)實(shí)用性較強(qiáng)、效果更好的分類模型。

·ID3、C4.5算法

ID3算法是一種基本的決策樹生成算法，該算法不包括規(guī)則剪除部分。C4.5算法作為ID3算法的后繼版本，就加入了規(guī)則剪除部分，使用訓(xùn)練樣本來估計(jì)每個(gè)規(guī)則的準(zhǔn)確率。也是分類模型的主要運(yùn)用算法。

對(duì)于已知的攻擊類型的檢測，分類模型具有較高的檢準(zhǔn)率，但是對(duì)于未知的、新的攻擊，分類模型效果就不是很理想。這個(gè)是由誤用檢測本身的特點(diǎn)所決定的，誤用檢測誤報(bào)率低，但是它在對(duì)已知攻擊模式特征屬性構(gòu)建和選取上往往要花費(fèi)大量的精力，這也是分類檢測的難點(diǎn)所在。所以這種檢測模型只能有限的檢測已知的攻擊，而要更好的檢測未知的攻擊，就要使用到異常檢測技術(shù)，但是，異常檢測卻比誤用檢測負(fù)責(zé)的多，因?yàn)閷?duì)于系統(tǒng)正常使用模式的構(gòu)建本身就是一件非常復(fù)雜的事情。

2.2 基于異常的入侵模型

異常檢測的主要工作就是通過構(gòu)造正?；顒?dòng)集合，然后利用得到的一組觀察數(shù)值的偏離程度來判斷用戶行為的變化，以此來覺得是否屬于入侵的一種檢測技術(shù)。異常檢測的優(yōu)點(diǎn)在于它具有檢測未知攻擊模式的能力，不論攻擊者采用什么樣的攻擊策略，異常檢測模型依然可以通過檢測它與已知模式集合之間的差異來判斷用戶的行為是否異常。

在異常檢測中主要用到的兩個(gè)算法就是模式比較和聚類算法

(1) 模式比較

在模式比較算法中首先通過關(guān)聯(lián)規(guī)則和序列規(guī)則建立正常的行為模式，然后通過模式比較算法來區(qū)別正常行為和入侵行為。

·關(guān)聯(lián)規(guī)則

關(guān)聯(lián)規(guī)則挖掘是數(shù)據(jù)挖掘最為廣泛應(yīng)用的技術(shù)之一，也是最早用于入侵檢測的技術(shù)。關(guān)聯(lián)規(guī)則分析是發(fā)現(xiàn)所有支持度和可信度均超過規(guī)定域值的方法，它主要經(jīng)過兩步過程：首先識(shí)別所有支持度不低于用戶規(guī)定的最小支持度域值的項(xiàng)目集，即頻繁項(xiàng)目集；然后從得到的頻繁項(xiàng)目集中構(gòu)造出可信度不低于用戶規(guī)定的最小可信度域值的規(guī)則?，F(xiàn)在已有多種關(guān)聯(lián)規(guī)則算法如Apriori算法等用于入侵檢測。

·序列分析

序列規(guī)則和關(guān)聯(lián)規(guī)則相似，其目的也是為了挖掘出數(shù)據(jù)之間的聯(lián)系，它們的不同之處在于前者加入了時(shí)間的概念。序列模式挖掘有幾個(gè)重要的參數(shù)，如時(shí)間序列的持續(xù)時(shí)間，事件重疊窗口和被發(fā)現(xiàn)的模式中時(shí)間之間的時(shí)間間隔。還可以在要挖掘的序列模式上指定約束，方法是提供“模式模板“，其形式可以是系列片段（Serial Episode），并行片段（Parallel Episode），或正則表達(dá)式。序列分析使用于發(fā)現(xiàn)分布式攻擊和插入噪聲的攻擊。由于各種攻擊方法的規(guī)模的擴(kuò)大和時(shí)間持久，序列分析變得越來越重要。

(2)聚類算法

聚類分析的基本思想主要源于入侵與正常模式上的不同及正常行為數(shù)目應(yīng)遠(yuǎn)大于入侵行為數(shù)目的條件，因此能夠?qū)?shù)據(jù)集劃分為不同的類別，由此分辨出正常和異常行為來檢測入侵。數(shù)據(jù)挖掘中常用的聚類算法有K-means、模糊聚類、遺傳聚類等?；诰垲惖娜肭謾z測是一種無監(jiān)督的異常檢測算法，通過對(duì)未標(biāo)識(shí)數(shù)據(jù)進(jìn)行訓(xùn)練來檢測入侵。該方法不需要手工或其他的分類，也不需要進(jìn)行訓(xùn)練。因此呢功能發(fā)現(xiàn)新型的和未知的入侵類型。

3.結(jié)論

入侵檢測中數(shù)據(jù)挖掘技術(shù)方面的研究已經(jīng)有很多，發(fā)表的論文也已經(jīng)有好多，但是應(yīng)用難點(diǎn)在于如何根據(jù)具體應(yīng)用的要求，從用于安全的先驗(yàn)知識(shí)出發(fā)，提取出可以有效反映系統(tǒng)特性的屬性，并應(yīng)用合適的算法進(jìn)行數(shù)據(jù)挖掘。另一技術(shù)難點(diǎn)在于如何將數(shù)據(jù)挖掘結(jié)果自動(dòng)應(yīng)用到實(shí)際IDS中。

入侵檢測采用的技術(shù)有多種類型，其中基于數(shù)據(jù)挖掘技術(shù)的入侵檢測技術(shù)成為當(dāng)前入侵檢測技術(shù)發(fā)展的一個(gè)熱點(diǎn)，但數(shù)據(jù)挖掘還處于發(fā)展時(shí)期，因此有必要對(duì)它進(jìn)行更深入的研究。

參考文獻(xiàn)

[1] 張銀奎，廖麗，宋俊等．?dāng)?shù)據(jù)挖掘原理[M]．北京：機(jī)械工業(yè)出版社，2003 : 93-105

[2] 戴英俠，連一峰，王航等．系統(tǒng)安全與入侵檢測[M]．北京：清華大學(xué)出版社，2002 : 99-137

[3] 許卓群．?dāng)?shù)據(jù)結(jié)構(gòu)[M]．北京：中國廣播電視大學(xué)出版社，2001 : 260- 272．

[4] 劉莘，張永平，萬艷麗．決策樹算法在入侵檢測中的應(yīng)用分析及改進(jìn)[J]．計(jì)算機(jī)工程與設(shè)計(jì)．2006

[5] 張翰帆．基于數(shù)據(jù)挖掘的入侵檢測系統(tǒng)．南京工業(yè)大學(xué)，2004．

第9篇：入侵檢測論文范文

論文摘要：檔案信息化進(jìn)程的加快為檔案事業(yè)帶來了無限發(fā)展的空間，同時(shí)，檔案信息安全問題也遇到了前所未有的挑戰(zhàn)。本文對(duì)幾種常用的欺騙技術(shù)在檔案信息化工作中的應(yīng)用進(jìn)行了分析，對(duì)構(gòu)建檔案信息網(wǎng)絡(luò)安全系統(tǒng)有一定的參考作用。

網(wǎng)絡(luò)欺騙就是使網(wǎng)絡(luò)入侵者相信檔案信息系統(tǒng)存在有價(jià)值的、可利用的安全弱點(diǎn)，并具有一些值得攻擊竊取的資源，并將入侵者引向這些錯(cuò)誤的實(shí)際上是偽造的或不重要的資源。它能夠顯著地增加網(wǎng)絡(luò)入侵者的工作量、人侵難度以及不確定性，從而使網(wǎng)絡(luò)入侵者不知道其進(jìn)攻是否奏效或成功。它允許防護(hù)者跟蹤網(wǎng)絡(luò)入侵者的行為，在網(wǎng)絡(luò)入侵者之前修補(bǔ)系統(tǒng)可能存在的安全漏洞。理論上講，每個(gè)有價(jià)值的網(wǎng)絡(luò)系統(tǒng)都存在安全弱點(diǎn)，而且這些弱點(diǎn)都可能被網(wǎng)絡(luò)人侵者所利用。網(wǎng)絡(luò)欺騙的主要作用是：影響網(wǎng)絡(luò)入侵者使之遵照用戶的意志、迅速檢測到網(wǎng)絡(luò)入侵者的進(jìn)攻并獲知進(jìn)攻技術(shù)和意圖、消耗網(wǎng)絡(luò)入侵者的資源。下面將分析網(wǎng)絡(luò)欺騙的主要技術(shù)。

一、蜜罐技術(shù)和蜜網(wǎng)技術(shù)

1．蜜罐技術(shù)。網(wǎng)絡(luò)欺騙一般通過隱藏和安插錯(cuò)誤信息等技術(shù)手段實(shí)現(xiàn)，前者包括隱藏服務(wù)、多路徑和維護(hù)安全狀態(tài)信息機(jī)密件，后者包括重定向路由、偽造假信息和設(shè)置圈套等。綜合這些技術(shù)方法，最早采用的網(wǎng)絡(luò)欺騙是蜜罐技術(shù)，它將少量的有吸引力的目標(biāo)放置在網(wǎng)絡(luò)入侵者很容易發(fā)現(xiàn)的地方，以誘使入侵者上當(dāng)。這種技術(shù)目的是尋找一種有效的方法來影響網(wǎng)絡(luò)入侵者，使得網(wǎng)絡(luò)入侵者將攻擊力集中到蜜罐技術(shù)而不是其他真正有價(jià)值的正常系統(tǒng)和資源中。蜜罐技術(shù)還可以做到一旦入侵企圖被檢測到時(shí)，迅速地將其重定向。

盡管蜜罐技術(shù)可以迅速重定向，但對(duì)高級(jí)的網(wǎng)絡(luò)入侵行為，該技術(shù)就力不從心了。因此，分布式蜜罐技術(shù)便應(yīng)運(yùn)而生，它將欺騙散布在網(wǎng)絡(luò)的正常系統(tǒng)和資源中，利用閑置的服務(wù)端口來充當(dāng)欺騙通道，從而增大了網(wǎng)絡(luò)入侵者遭遇欺騙的可能性。分布式蜜罐技術(shù)有兩個(gè)直接的效果，首先是將欺騙分布到更廣范圍的lp地址和端口空間中，其次是增大了欺騙在整個(gè)網(wǎng)絡(luò)中的比例，使得欺騙比安全弱點(diǎn)被網(wǎng)絡(luò)入侵者發(fā)現(xiàn)的可能性增大。

分布式蜜罐技術(shù)也不是十全十美的，它的局限性體現(xiàn)在三個(gè)方面：一是它對(duì)整個(gè)空間搜索的網(wǎng)絡(luò)掃描無效；二是只提供了質(zhì)量較低的欺騙；三是只相對(duì)使整個(gè)搜索空間的安全弱點(diǎn)減少。而且，這種技術(shù)的一個(gè)更為嚴(yán)重的缺陷是它只對(duì)遠(yuǎn)程掃描有效。如果入侵已經(jīng)部分進(jìn)入到檔案信息網(wǎng)絡(luò)系統(tǒng)中，真正的網(wǎng)絡(luò)服務(wù)對(duì)網(wǎng)絡(luò)入侵者已經(jīng)透明，那么這種欺騙將失去作用。

蜜罐技術(shù)收集的資料可能是少量的，但往往都具有很高的價(jià)值，它免除了在大量的無關(guān)信息中尋找有價(jià)值信息的繁雜度，這在研究網(wǎng)絡(luò)安全時(shí)是一大優(yōu)勢?，F(xiàn)在互聯(lián)網(wǎng)應(yīng)用的發(fā)展速度很快，用戶每時(shí)每刻所面對(duì)的都是海量的垃圾信息。如何在大量的信息和資料中找到所需要的部分，越來越成為人們關(guān)注的問題。蜜罐技術(shù)的一個(gè)最大優(yōu)點(diǎn)，就是能使用戶簡單快速地收集到最關(guān)鍵的信息，并對(duì)問題進(jìn)行最直接的分析和理解。

許多安全工具在應(yīng)用時(shí)往往會(huì)受到網(wǎng)絡(luò)帶寬和存儲(chǔ)容量的限制。丑志服務(wù)器也很難收集所有的系統(tǒng)日志，而會(huì)流失一些有用的日志記錄。蜜罐技術(shù)則沒有這個(gè)問題，因?yàn)樗鼉H僅去截取與陷阱網(wǎng)絡(luò)和系統(tǒng)有密切關(guān)系的行為，并且可以自由設(shè)置檢測和記錄對(duì)象，所以更為靈活和易用。

但是蜜罐技術(shù)的一個(gè)缺點(diǎn)是消息收集點(diǎn)不能太多。如果蜜罐技術(shù)設(shè)置了一個(gè)很大的系統(tǒng)漏洞，但如果沒有黑客進(jìn)行攻擊，蜜罐技術(shù)一點(diǎn)價(jià)值都沒有了。另外，蜜罐技術(shù)也無法得知任何未授權(quán)的行為。再有，蜜罐技術(shù)也可能為用戶招致風(fēng)險(xiǎn)，可能被高明的黑客作為另外——次攻擊的平臺(tái)。所以在檔案系統(tǒng)網(wǎng)絡(luò)管理工作中合理設(shè)定和利用蜜罐技術(shù)也是至關(guān)重要的。

2．蜜網(wǎng)技術(shù)。蜜網(wǎng)技術(shù)是一個(gè)故意設(shè)計(jì)的存在缺陷的系統(tǒng)，可以用來對(duì)檔案信息網(wǎng)絡(luò)入侵者的行為進(jìn)行誘騙，以保護(hù)檔案信息的安全。傳統(tǒng)的蜜罐技術(shù)用來模擬系統(tǒng)一些常見漏洞，而蜜網(wǎng)技術(shù)則有所不同，它是一個(gè)學(xué)習(xí)的工具，是一個(gè)網(wǎng)絡(luò)系統(tǒng)，并非是一臺(tái)單一主機(jī)，這一網(wǎng)絡(luò)系統(tǒng)隱藏在防火墻的后面，所有進(jìn)出的資料都受到監(jiān)控、捕獲及控制。這些被捕獲的資料用于研究分析檔案網(wǎng)絡(luò)入侵者所使用的工具、方法及動(dòng)機(jī)。在蜜網(wǎng)技術(shù)中，一般都安裝使用了各種不同的操作系統(tǒng)，如linux和windows nt等。這樣的網(wǎng)絡(luò)環(huán)境看上去更加真實(shí)可怕，不同的系統(tǒng)平臺(tái)運(yùn)行著不同的服務(wù)，如linux運(yùn)行dns服務(wù)，windows nt上運(yùn)行webserver，而solaris運(yùn)行ftp server,用戶可以學(xué)習(xí)不同的工具以及不同的安全策略。在蜜網(wǎng)技術(shù)中所有的系統(tǒng)都是標(biāo)準(zhǔn)的配置，上面運(yùn)行的都是完整的操作系統(tǒng)及應(yīng)用程序．并不去刻意地模仿某種環(huán)境或故意使系統(tǒng)不安全。蜜網(wǎng)技術(shù)是一個(gè)用來研究如何入侵系統(tǒng)的工具，是一個(gè)設(shè)計(jì)合理的實(shí)驗(yàn)網(wǎng)絡(luò)系統(tǒng)。蜜網(wǎng)技術(shù)第一個(gè)組成部分是防火墻，它記錄了所有與本地主機(jī)的聯(lián)接并且提供nat服務(wù)和dos保護(hù)、入侵偵測系統(tǒng)(ids)。ids和防火墻有時(shí)會(huì)放置在同一個(gè)位置，用來記錄網(wǎng)絡(luò)上的流量且尋找攻擊和入侵的線索。第二個(gè)組成部分是遠(yuǎn)程日志主機(jī)，所有的入侵指令能夠被監(jiān)控并且傳送到通常設(shè)定成遠(yuǎn)程的系統(tǒng)日志。這兩個(gè)部分為檔案系統(tǒng)安全的防護(hù)和治理都起著不可忽視的作用。

蜜網(wǎng)技術(shù)是一個(gè)很有價(jià)值的研究、學(xué)習(xí)和教育工具，借著這個(gè)工具，使人們能更好地理解入侵者的攻擊方式，以便準(zhǔn)確及時(shí)地檢測到入侵行為。分析從蜜網(wǎng)技術(shù)收集的信息，可以監(jiān)視并預(yù)測攻擊發(fā)生和發(fā)展的趨勢，從而可以早做預(yù)防，避免更大的損失。

二、空間欺騙技術(shù)

空問欺騙技術(shù)是通過增加搜索空間來顯著增加檔案系統(tǒng)網(wǎng)絡(luò)入侵者的工作量，從而達(dá)到安全防護(hù)的目的。該技術(shù)運(yùn)用的前提是計(jì)算機(jī)系統(tǒng)可以在一塊網(wǎng)卡上實(shí)現(xiàn)具有眾多ip地址，每個(gè)lp地址都具有自己的mac地址。這項(xiàng)技術(shù)可用于建立填充一大段地址空間的欺騙，且花費(fèi)極低。這樣許許多多不同的欺騙，就可以在一臺(tái)計(jì)算機(jī)上實(shí)現(xiàn)。當(dāng)網(wǎng)絡(luò)入侵者的掃描器訪問到網(wǎng)絡(luò)系統(tǒng)的外部路由器并探測到這一欺騙服務(wù)時(shí)，還可將掃描器所有的網(wǎng)絡(luò)流量重定向到欺騙上，使得接下來的遠(yuǎn)程訪問變成這個(gè)欺騙的繼續(xù)。當(dāng)然，采用這種欺騙時(shí)，網(wǎng)絡(luò)流量和服務(wù)的切換必須嚴(yán)格保密，因?yàn)橐坏┍┞毒蛯⒄兄氯肭?，從而?dǎo)致入侵者很容易將任一個(gè)已知有效的服務(wù)和這種用于測試網(wǎng)絡(luò)入侵者的掃描探測及其響應(yīng)的欺騙區(qū)分開來。

三、信息迷惑技術(shù)

1　．網(wǎng)絡(luò)信息迷惑技術(shù)：網(wǎng)絡(luò)動(dòng)態(tài)配置和網(wǎng)絡(luò)流量仿真。產(chǎn)生仿真流量的目的是使流量分析不能檢測到欺騙的存在。在欺騙系統(tǒng)中產(chǎn)生仿真流量有兩種方法。一種方法是采用實(shí)時(shí)方式或重現(xiàn)方式復(fù)制真正的網(wǎng)絡(luò)流量，這使得欺騙系統(tǒng)與真實(shí)系統(tǒng)十分相似，因?yàn)樗械脑L問鏈接都被復(fù)制。第二種方法是從遠(yuǎn)程產(chǎn)生偽造流量，使網(wǎng)絡(luò)入侵者可以發(fā)現(xiàn)和利用。面對(duì)網(wǎng)絡(luò)入侵技術(shù)的不斷提高，一種網(wǎng)絡(luò)欺騙技術(shù)肯定不能做到總是成功，必須不斷地提高欺騙質(zhì)量，才能使網(wǎng)絡(luò)入侵者難以將合法服務(wù)和欺騙服務(wù)進(jìn)行區(qū)分。

真實(shí)的檔案信息網(wǎng)絡(luò)是隨時(shí)間而改變的，是不斷地發(fā)生著信息接收和傳遞的，如果欺騙是靜態(tài)的，那么在入侵者長期監(jiān)視的情況下就會(huì)導(dǎo)致欺騙無效。因此，需要?jiǎng)討B(tài)配置欺騙網(wǎng)絡(luò)以模擬正常的網(wǎng)絡(luò)行為，使欺騙網(wǎng)絡(luò)也和真實(shí)網(wǎng)絡(luò)一樣隨時(shí)間而改變。為使之有效，欺騙特性也應(yīng)該盡可能地反映出真實(shí)系統(tǒng)的特性。例如，計(jì)算機(jī)在下班之后關(guān)機(jī)，那么欺騙計(jì)算機(jī)也應(yīng)該同時(shí)關(guān)機(jī)。其他如周末等特殊時(shí)刻也必須考慮，否則人侵者將很可能發(fā)現(xiàn)被欺騙。