入侵检测论文8篇

时间：2023-03-03 15:56:44

入侵检测论文

入侵检测论文篇1

关键词入侵检测；通用入侵检测对象；通用入侵描述语言；语义标识符

1引言

计算机网络在我们的日常生活中扮演着越来越重要的角色，与此同时，出于各种目的，它正日益成为犯罪分子攻击的目标，黑客们试图使用他们所能找到的方法侵入他人的系统。为此，我们必须采取有效地对策以阻止这类犯罪发生。开发具有严格审计机制的安全操作系统是一种可行方案，然而综合考虑其实现代价，在许多问题上作出少许让步以换取减少系统实现的难度却又是必要的。因此，在操作系统之上，再加一层专门用于安全防范的应用系统成为人们追求的目标。入侵检测技术即是这样一种技术，它和其它安全技术一道构成计算机系统安全防线的重要组成部分。自从DorothyE.Denning1987年提出入侵检测的理论模型后[1]，关于入侵检测的研究方法就层出不穷[5-7]，基于不同检测对象及不同检测原理的入侵检测系统被研制并投放市场，取得了显著成效，然而，遗憾的是这些产品自成一体，相互间缺少信息交流与协作，而作为防范入侵的技术产品，这势必削弱了它们的防范能力，因而如何使不同的入侵检测系统构件能够有效地交流合作，共享它们的检测结果是当前亟待解决的一个问题。入侵检测系统框架的标准化，数据格式的标准化[2]为解决这一问题作了一个有益的尝试。本文主要针对入侵检测数据格式的标准化——通用入侵检测对象进行分析应用，并通过一个实际例子介绍了我们的具体实践过程。

入侵检测是指“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图”[2-4]。从技术上划分，入侵检测有两种模型[2，4]：①异常检测模型(AnomalyDetection)；②误用检测模型(MisuseDetection)。按照检测对象划分有：基于主机、基于网络及混合型三种。

入侵检测过程主要有三个部分[4]：即信息收集、信息分析和结果处理。

2通用入侵检测对象(GIDO)

为解决入侵检测系统之间的互操作性，国际上的一些研究组织开展了标准化工作，目前对IDS进行标准化工作的有两个组织：IETF的IntrusionDetectionWorkingGroup(IDWG)和CommonIntrusionDetectionFramework(CIDF)。CIDF早期由美国国防部高级研究计划局赞助研究，现在由CIDF工作组负责，是一个开放组织。CIDF规定了一个入侵检测系统应包括的基本组件。CISL(CommonIntrusionSpecificationLanguage，通用入侵规范语言)是CIDF组件间彼此通信的语言。由于CIDF就是对协议和接口标准化的尝试，因此CISL就是对入侵检测研究的语言进行标准化的尝试[8]。

CISL语言为了实现自定义功能，以S-表达式表示GIDO(GeneralizedIntrusionDetectionObjectis)，S-表达式以各类语义标识符(SemanticIdentifeers)为标记，分别有动作SID、角色SID、属性SID、原子SID、连接SID、指示SID和SID扩展名等类型。其范式如下：

<SExpression>：：=’(<SID><Data>’)’

入侵检测组件交流信息时，以GIDO为标准数据格式传输内容，GIDO所包含的内容常来自于各类审计日志，网络数据包，应用程序的跟踪信息等。

CISL对S-表达式编码规则遵循递归原则，具体如下：

<SExpression>：：=’(<SID><Data>’)’

E[Sexpression]=length_encode(sid_encode(SID)E[Data])

sid_encode(SID)E[Data]

E[Data]=Simple_encode(SimpleAtom)

E[Data]=Array_encode(ArrayAtom)

E[Data]=E[SExpressionList]

E[SExpressionList]：：=E[SExpression]

E[SExpressionList]：：=E[SExpression]e[SExpressionList]

对于每一个GIDO的基本成份SID，CISL都有规定的编码，通过这些编码本身的信息可知这些SID是原子SID还是非原子SID。原子SID在编码中不能继续分解，而是直接带有具体的值。值有简单类型和数组类型[8]。

GIDO以各类SID为标志，组成树形结构，根结点为该GIDO的标志SID，各子树的根结点为相应的对该GIDO所描述的事件起关键作用的SID。编码时，每棵子树的根结点前附加该子树所有孩子结点编码的总长度，以递归方式完成GIDO编码，一个详细的实例可参考文献[8]。3通用入侵检测对象的应用

我们以Linux环境为例，在检测口令猜测攻击中，系统的日志文件会产生以LOGIN_FAILED为标志的日志记录[9-10]。在IDS的事件产生器中，读取日志文件中含有LOGIN_FAILED的记录生成GIDO。

例：Jul3108：57：45zd213login[1344]LOGIN_FAILED1from192.168.0.211FORJohnAuthenticationfailure。相应的GIDO为：

{Login

{Outcome

{ReturnCodeACTION_FAILED}

)

(When

(BeginTimeJul3108：57：43)

)

(Initiator

(IPV4Address192.168.0.211)

(UsernameJohn)

)

(Receiver

(Hostnamezd213)

))

其编码过程除了遵循前面所描述的规则外，还使用了文献[2]所建议的各类API。它们分别用于生成存放GIDO的空树、向空树附加根结点、附加数据、附加子树及对整个树编码。

当一个GIDO由事件产生器完成编码后，便发送至事件分析器按一定的规则分析所接收的GIDOs以便确定是否有入侵发生，若有则将有关信息发至控制台。对口令猜测攻击的GIDO，一个可行的处理流程如图1所示。

假定系统检测到30秒内发生了三次或以上登录失败，认为系统受到入侵，便发出相应报警信息。则本例输出结果(从不同终端登录)如图2所示。

图1对口令猜测攻击事件产生的GIDO的处理流程

图2一个口令猜测攻击的模拟检测结果

4结束语

本文在深入分析入侵检测基本原理及入侵检测说明语言CISL基础上，对入侵检测对象GIDO的编码进行了详细说明。在系统设计的实践过程中，分别使用了入侵检测标准化组织提出的草案中包含的有关接口。但在本文中也只是针对一类特定入侵的事件说明如何生成并编码GIDOs。事实上，入侵检测系统各构件之间的通信本身也需要安全保障，这一点参考文献[8]，可利用GIDO的附加部分来实现，其中所用技术(诸如签名，加密等)可借鉴目前一些较成熟的安全通信技术。

参考文献

[1]DorothyE.DenningAnIntrusion-DetectionModel[J].IEEETransactionsonsoftwareEngineering，1987，13(2)：222-232

[2]蒋建春，马恒太等网络入侵检测综述[J].软件学报2000.11(11)：1460-1466

[3]GB/T18336，信息技术安全技术安全性评估标准[S]。

[4]蒋建春，冯登国。网络入侵检测原理与技术[M]，国防工业出版社，北京，2001

[5]KumarS，SpaffordEH，AnApplicationofPatterMatchinginIntrusionDetection[R]，TechnicalReportCSD-7r-94-013，DepartmentofComputerScience，PurdueUniversity，1994。

[6]JstinDoak.IntrusionDetection：TheApplicationofaFeatureSelection-AComparisonofAlgorithmsandtheApplicationofWideAreaNetworkAnalyzer[R].DepartmentofComputerScience，Universityofcolifornia，Davis1992.

[7]DusanBulatovic，DusanVelasevi.AdistributedIntrusionDetectionSystem[J]，JournalofcomputerSecurity.1999，1740：219-118

[8]http：//gost.isi.edu/cidf

入侵检测论文篇2

论文摘要:随着计算机的飞速发展以及网络技术的普遍应用，随着信息时代的来临，信息作为一种重要的资源正得到了人们的重视与应用。因特网是一个发展非常活跃的领域，可能会受到黑客的非法攻击，所以在任何情况下，对于各种事故，无意或有意的破坏，保护数据及其传送、处理都是非常必要的。计划如何保护你的局域网免受因特网攻击带来的危害时，首先要考虑的是防火墙。防火墙的核心思想是在不安全的网际网环境中构造一个相对安全的子网环境。本文介绍了防火墙技术的基本概念、系统结构、原理、构架、入侵检测技术及VPN等相关问题。

Abstract:Alongwiththefastcomputerdevelopmentandtheuniversalapplicationofthenetworktechnology,alongwithinformationtimescomingupon,Informationisattractingtheworld’sattentionandemployedasakindofimportantresources.Internetisaveryactivelydevelopedfield.Becauseitmaybeillegallyattackedbyhackers,Itisverynecessaryfordata’sprotection,deliveryandprotectionagainstvariousaccidents,intentionalorwantdestroyunderanycondition.FirewallisthefirstconsiderationwhenplanhowtoprotectyourlocalareanetworkagainstendangersbroughtbyInternetattack.Thecorecontentoffirewalltechnologyistoconstructarelativelysafeenvironmentofsubnetinthenot-so-safenetworkenvironment.Thispaperintroducesthebasicconceptionandsystemstructureoffire-walltechnologyandalsodiscussestwomaintechnologymeanstorealizefire-wall:Oneisbasedonpacketfiltering,whichistorealizefire-wallfunctionthroughScreeningRouter;andtheotherisProxyandthetypicalrepresentationisthegatewayonapplicationlevel.....

第一章绪论

§1.1概述

随着以Internet为代表的全球信息化浪潮的来临，信息网络技术的应用正日益广泛，应用层次正在深入，应用领域也从传统的、小型业务系统逐渐向大型、关键业务系统扩展，其中以党政系统、大中院校网络系统、银行系统、商业系统、管理部门、政府或军事领域等为典型。伴随网络的普及，公共通信网络传输中的数据安全问题日益成为关注的焦点。一方面，网络化的信息系统提供了资源的共享性、用户使用的方便性，通过分布式处理提高了系统效率和可靠性，并且还具备可扩充性。另一方面，也正是由于具有这些特点增加了网络信息系统的不安全性。

开放性的网络，导致网络所面临的破坏和攻击可能是多方面的，例如:可能来自物理传输线路的攻击，也可以对网络通信协议和实现实施攻击，可以是对软件实施攻击，也可以对硬件实施攻击。国际性的网络，意味着网络的攻击不仅仅来自本地网络的用户，也可以来自linternet上的任何一台机器，也就是说，网络安全所面临的是一个国际化的挑战。开放的、国际化的Internet的发展给政府机构、企事业单位的工作带来了革命性的变革和开放，使得他们能够利用Internet提高办事效率、市场反应能力和竞争力。通过Internet，他们可以从异地取回重要数据，同时也面临Internet开放所带来的数据安全的挑战与危险。如何保护企业的机密信息不受黑客和工业间谍的入侵，己成为政府机构、企事业单位信息化建设健康发展所要考虑的重要因素之一。广泛分布的企业内部网络由公共网络互联起来，这种互联方式面临多种安全威胁，极易受到外界的攻击，导致对网络的非法访问和信息泄露。防火墙是安全防范的最有效也是最基本的手段之一。

虽然国内己有许多成熟的防火墙及其他相关安全产品，并且这些产品早已打入市场，但是对于安全产品来说，要想进入我军部队。我们必须自己掌握安全测试技术，使进入部队的安全产品不出现问题，所以对网络安全测试的研究非常重要，具有深远的意义。

§1.2本文主要工作

了解防火墙的原理、架构、技术实现

了解防火墙的部署和使用配置

熟悉防火墙测试的相关标准

掌握防火墙产品的功能、性能、安全性和可用性的测试方法

掌握入侵检测与VPN的概念及相关测试方法

第二章防火墙的原理、架构、技术实现

§2.1什么是防火墙？

防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。

§2.2防火墙的原理

随着网络规模的扩大和开放性的增强，网络上的很多敏感信息和保密数据将受到很多主动和被动的人为攻击。一种解决办法是为需要保护的网络上的每个工作站和服务器装备上强大的安全特征(例如入侵检测)，但这几乎是一种不切合实际的方法，因为对具有几百个甚至上千个节点的网络，它们可能运行着不同的操作系统，当发现了安全缺陷时，每个可能被影响的节点都必须加以改进以修复这个缺陷。另一种选择就是防火墙(Firewall)，防火墙是用来在安全私有网络(可信任网络)和外部不可信任网络之间安全连接的一个设备或一组设备，作为私有网络和外部网络之间连接的单点存在。防火墙是设置在可信任的内部网络和不可信任的外部网络之间的一道屏障，它可以实施比较广泛的安全策略来控制信息流，防止不可预料的潜在的入侵破坏.DMZ外网和内部局域网的防火墙系统。

§2.3防火墙的架构

防火墙产品的三代体系架构主要为：

第一代架构：主要是以单一cpu作为整个系统业务和管理的核心，cpu有x86、powerpc、mips等多类型，产品主要表现形式是pc机、工控机、pc-box或risc-box等；

第二代架构：以np或asic作为业务处理的主要核心，对一般安全业务进行加速，嵌入式cpu为管理核心，产品主要表现形式为box等；

第三代架构：iss（integratedsecuritysystem）集成安全体系架构，以高速安全处理芯片作为业务处理的主要核心，采用高性能cpu发挥多种安全业务的高层应用，产品主要表现形式为基于电信级的高可靠、背板交换式的机架式设备，容量大性能高，各单元及系统更为灵活。

§2.4防火墙的技术实现

从Windows软件防火墙的诞生开始，这种安全防护产品就在跟随着不断深入的黑客病毒与反黑反毒之争，不断的进化与升级。从最早期的只能分析来源地址，端口号以及未经处理的报文原文的封包过滤防火墙，后来出现了能对不同的应用程序设置不同的访问网络权限的技术；近年来由ZoneAlarm等国外知名品牌牵头，还开始流行了具有未知攻击拦截能力的智能行为监控防火墙；最后，由于近来垃圾插件和流氓软件的盛行，很多防火墙都在考虑给自己加上拦截流氓软件的功能。综上，Windows软件防火墙从开始的时候单纯的一个截包丢包，堵截IP和端口的工具，发展到了今天功能强大的整体性的安全套件。

第三章防火墙的部署和使用配置

§3.1防火墙的部署

虽然监测型防火墙安全性上已超越了包过滤型和服务器型防火墙，但由于监测型防火墙技术的实现成本较高，也不易管理，所以目前在实用中的防火墙产品仍然以第二代型产品为主，但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑，用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求，同时也能有效地控制安全系统的总拥有成本。

实际上，作为当前防火墙产品的主流趋势，大多数服务器（也称应用网关）也集成了包过滤技术，这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的，应用网关能提供对协议的过滤。例如，它可以过滤掉FTP连接中的PUT命令，而且通过应用，应用网关能够有效地避免内部网络的信息外泄。正是由于应用网关的这些特点，使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。

----那么我们究竟应该在哪些地方部署防火墙呢？

----首先,应该安装防火墙的位置是公司内部网络与外部Internet的接口处，以阻挡来自外部网络的入侵；其次，如果公司内部网络规模较大，并且设置有虚拟局域网(VLAN)，则应该在各个VLAN之间设置防火墙；第三，通过公网连接的总部与各分支机构之间也应该设置防火墙，如果有条件，还应该同时将总部与各分支机构组成虚拟专用网(VPN)。

----安装防火墙的基本原则是：只要有恶意侵入的可能，无论是内部网络还是与外部公网的连接处，都应该安装防火墙。

§3.2防火墙的使用配置

一、防火墙的配置规则：

没有连接的状态(没有握手或握手不成功或非法的数据包)，任何数据包无法穿过防火墙。(内部发起的连接可以回包。通过ACL开放的服务器允许外部发起连接)

inside可以访问任何outside和dmz区域。

dmz可以访问outside区域。

inside访问dmz需要配合static(静态地址转换)。

outside访问dmz需要配合acl(访问控制列表)。

二、防火墙设备的设置步骤：

1、确定设置防火墙的部署模式；

2、设置防火墙设备的IP地址信息（接口地址或管理地址（设置在VLAN1上））；

3、设置防火墙设备的路由信息；

4、确定经过防火墙设备的IP地址信息（基于策略的源、目标地址）；

5、确定网络应用（如FTP、EMAIL等应用）；

6、配置访问控制策略。

第四章防火墙测试的相关标准

防火墙作为信息安全产品的一种，它的产生源于信息安全的需求。所以防火墙的测试不仅有利于提高防火墙的工作效率，更是为了保证国家信息的安全。依照中华人民共和国国家标准GB/T18019-1999《信息技术包过滤防火墙安全技术要求》、GB/T18020-1999《信息技术应用级防火墙安全技术要求》和GB/T17900-1999《网络服务器的安全技术要求》以及多款防火墙随机提供的说明文档，中国软件评测中心软件产品测试部根据有关方面的标准和不同防火墙的特点整理出以下软件防火墙的测试标准：

4.1规则配置方面

要使防火墙软件更好的服务于用户，除了其默认的安全规则外，还需要用户在使用过程中不断的完善其规则；而规则的设置是否灵活方便、实际效果是否理想等方面，也是判断一款防火墙软件整体安全性是否合格的重要标准。简单快捷的规则配置过程让防火墙软件具备更好的亲和力，一款防火墙软件如果能实施在线检测所有对本机的访问并控制它们、分别对应用程序、文件或注册表键值实施单独的规则添加等等，这将成为此款软件防火墙规则配置的一个特色。

§4.2防御能力方面

对于防火墙防御能力的表现，由于偶然因素太多，因此无法从一个固定平等的测试环境中来得出结果。但是可以使用了X-Scan等安全扫描工具来测试。虽然得出的结果可能仍然有一定的出入，但大致可以做为一个性能参考。

§4.3主动防御提示方面

对于网络访问、系统进程访问、程序运行等本机状态发生改变时，防火墙软件一般都会有主动防御提示出现。这方面主要测试软件拦截或过滤时是否提示用户做出相应的操作选择。

§4.4自定义安全级别方面

用户是否可以参照已有安全级别的安全性描述来设置符合自身特殊需要的规则。防火墙可设置系统防火墙的安全等级、安全规则，以防止电脑被外界入侵。一般的防火墙共有四个级别：

高级：预设的防火墙安全等级，用户可以上网，收发邮件；l

中级：预设的防火墙安全等级，用户可以上网，收发邮件，网络聊天，FTP、Telnet等；l

低级：预设的防火墙安全等级，只对已知的木马进行拦截，对于其它的访问，只是给于提示用户及记录；l

自定义：用户可自定义防火墙的安全规则，可以根据需要自行进行配置。l

§4.5其他功能方面

这主要是从软件的扩展功能表现、操作设置的易用性、软件的兼容性和安全可靠性方面来综合判定。比如是否具有过滤网址、实施木马扫描、阻止弹出广告窗口、将未受保护的无线网络“学习”为规则、恶意软件检测、个人隐私保护等丰富的功能项，是否可以满足用户各方面的需要。

§4.6资源占用方面

这方面的测试包括空闲时和浏览网页时的CPU占用率、内存占有率以及屏蔽大量攻击时的资源占用和相应速度。总的来是就是资源占用率越低越好，启动的速度越快越好。

§4.7软件安装方面

这方面主要测试软件的安装使用是否需要重启系统、安装过程是不是方便、安装完成后是否提示升级本地数据库的信息等等。

§4.8软件界面方面

软件是否可切换界面皮肤和语言、界面是否简洁等等。简洁的界面并不代表其功能就不完善，相反地，简化了用户的操作设置项也就带来了更智能的安全防护功能。比如有的防护墙安装完成后会在桌面生成简单模式和高级模式两个启动项，这方便用户根据不同的安全级别启动相应的防护

第五章防火墙的入侵检测

§5.1什么是入侵检测系统？

入侵检测可被定义为对计算机和网络资源上的恶意使用行为进行识别和响应的处理过程，它不仅检测来自外部的入侵行为，同时也检测内部用户的未授权活动。

入侵检测系统(IDS)是从计算机网络系统中的若干关键点收集信息，并分析这些信息，检查网络中是否有违反安全策略的行为和遭到袭击的迹象。IDS被公认为是防火墙之后的第二道安全闸门，它作为一种积极主动的安全防护技术，从网络安全立体纵深、多层次防御的角度出发，对防范网络恶意攻击及误操作提供了主动的实时保护，从而能够在网络系统受到危害之前拦截和响应入侵

§5.2入侵检测技术及发展

自1980年产生IDS概念以来，已经出现了基于主机和基于网络的入侵检测系统，出现了基于知识的模型识别、异常识别和协议分析等入侵检测技术，并能够对百兆、千兆甚至更高流量的网络系统执行入侵检测。

入侵检测技术的发展已经历了四个主要阶段：

第一阶段是以基于协议解码和模式匹配为主的技术，其优点是对于已知的攻击行为非常有效，各种已知的攻击行为可以对号入座，误报率低;缺点是高超的黑客采用变形手法或者新技术可以轻易躲避检测，漏报率高。

第二阶段是以基于模式匹配+简单协议分析+异常统计为主的技术，其优点是能够分析处理一部分协议，可以进行重组;缺点是匹配效率较低，管理功能较弱。这种检测技术实际上是在第一阶段技术的基础上增加了部分对异常行为分析的功能。

第三阶段是以基于完全协议分析+模式匹配+异常统计为主的技术，其优点是误报率、漏报率和滥报率较低，效率高，可管理性强，并在此基础上实现了多级分布式的检测管理;缺点是可视化程度不够，防范及管理功能较弱。

第四阶段是以基于安全管理+协议分析+模式匹配+异常统计为主的技术，其优点是入侵管理和多项技术协同工作，建立全局的主动保障体系，具有良好的可视化、可控性和可管理性。以该技术为核心，可构造一个积极的动态防御体系，即IMS——入侵管理系统。

新一代的入侵检测系统应该是具有集成HIDS和NIDS的优点、部署方便、应用灵活、功能强大、并提供攻击签名、检测、报告和事件关联等配套服务功能的智能化系统§5.3入侵检测技术分类

从技术上讲，入侵检测技术大致分为基于知识的模式识别、基于知识的异常识别和协议分析三类。而主要的入侵检测方法有特征检测法、概率统计分析法和专家知识库系统。

(1)基于知识的模式识别

这种技术是通过事先定义好的模式数据库实现的，其基本思想是：首先把各种可能的入侵活动均用某种模式表示出来，并建立模式数据库，然后监视主体的一举一动，当检测到主体活动违反了事先定义的模式规则时，根据模式匹配原则判别是否发生了攻击行为。

模式识别的关键是建立入侵模式的表示形式，同时，要能够区分入侵行为和正常行为。这种检测技术仅限于检测出已建立模式的入侵行为，属已知类型，对新类型的入侵是无能为力的，仍需改进。

(2)基于知识的异常识别

这种技术是通过事先建立正常行为档案库实现的，其基本思想是：首先把主体的各种正常活动用某种形式描述出来，并建立“正常活动档案”，当某种活动与所描述的正常活动存在差异时，就认为是“入侵”行为，进而被检测识别。

异常识别的关键是描述正常活动和构建正常活动档案库。

利用行为进行识别时，存在四种可能：一是入侵且行为正常;二是入侵且行为异常;三是非入侵且行为正常;四是非入侵且行为异常。根据异常识别思想，把第二种和第四种情况判定为“入侵”行为。这种检测技术可以检测出未知行为，并具有简单的学习功能。

以下是几种基于知识的异常识别的检测方法：

1)基于审计的攻击检测技术

这种检测方法是通过对审计信息的综合分析实现的，其基本思想是：根据用户的历史行为、先前的证据或模型，使用统计分析方法对用户当前的行为进行检测和判别，当发现可疑行为时，保持跟踪并监视其行为，同时向系统安全员提交安全审计报告。

2)基于神经网络的攻击检测技术

由于用户的行为十分复杂，要准确匹配一个用户的历史行为和当前的行为是相当困难的，这也是基于审计攻击检测的主要弱点。

而基于神经网络的攻击检测技术则是一个对基于传统统计技术的攻击检测方法的改进方向，它能够解决传统的统计分析技术所面临的若干问题，例如，建立确切的统计分布、实现方法的普遍性、降低算法实现的成本和系统优化等问题。

3)基于专家系统的攻击检测技术

所谓专家系统就是一个依据专家经验定义的推理系统。这种检测是建立在专家经验基础上的，它根据专家经验进行推理判断得出结论。例如，当用户连续三次登录失败时，可以把该用户的第四次登录视为攻击行为。

4)基于模型推理的攻击检测技术

攻击者在入侵一个系统时往往采用一定的行为程序，如猜测口令的程序，这种行为程序构成了某种具有一定行为特征的模型，根据这种模型所代表的攻击意图的行为特征，可以实时地检测出恶意的攻击企图，尽管攻击者不一定都是恶意的。用基于模型的推理方法人们能够为某些行为建立特定的模型，从而能够监视具有特定行为特征的某些活动。根据假设的攻击脚本，这种系统就能检测出非法的用户行为。一般为了准确判断，要为不同的入侵者和不同的系统建立特定的攻击脚本。

使用基于知识的模式识别和基于知识的异常识别所得出的结论差异较大，甚至得出相反结论。这是因为基于知识的模式识别的核心是维护一个入侵模式库，它对已知攻击可以详细、准确地报告出攻击类型，但对未知攻击却无能为力，而且入侵模式库必须不断更新。而基于知识的异常识别则是通过对入侵活动的检测得出结论的，它虽无法准确判断出攻击的手段，但可以发现更广泛的、甚至未知的攻击行为。

§5.4入侵检测技术剖析

1）信号分析

对收集到的有关系统、网络、数据及用户活动的状态和行为等信息，一般通过三种技术手段进行分析：模式匹配、统计分析和完整性分析。其中前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。

2）模式匹配

模式匹配就是将收集到的信息与已知的网络入侵和系统已有模式数据库进行比较，从而发现违背安全策略的行为。该过程可以很简单（如通过字符串匹配以寻找一个简单的条目或指令），也可以很复杂（如利用正规的数学表达式来表示安全状态的变化）。一般来讲，一种进攻模式可以用一个过程（如执行一条指令）或一个输出（如获得权限）来表示。该方法的一大优点是只需收集相关的数据集合，显著减少系统负担，且技术已相当成熟。它与病毒防火墙采用的方法一样，检测准确率和效率都相当高。但是，该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法，不能检测到从未出现过的黑客攻击手段。

3）统计分析

统计分析方法首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。在比较这一点上与模式匹配有些相象之处。测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生。例如，本来都默认用GUEST帐号登录的，突然用ADMINI帐号登录。这样做的优点是可检测到未知的入侵和更为复杂的入侵，缺点是误报、漏报率高，且不适应用户正常行为的突然改变。具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法，目前正处于研究热点和迅速发展之中。

4）完整性分析

完整性分析主要关注某个文件或对象是否被更改，这经常包括文件和目录的内容及属性，它在发现被更改的、被特咯伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制，称为消息摘要函数（例如MD5），它能识别哪怕是微小的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵，只要是成功的攻击导致了文件或其它对象的任何改变，它都能够发现。缺点是一般以批处理方式实现，用于事后分析而不用于实时响应。尽管如此，完整性检测方法还应该是网络安全产品的必要手段之一。例如，可以在每一天的某个特定时间内开启完整性分析模块，对网络系统进行全面地扫描检查。

§5.5防火墙与入侵检测的联动

网络安全是一个整体的动态的系统工程，不能靠几个产品单独工作来进行安全防范。理想情况下，整个系统的安全产品应该有一个响应协同，相互通信，协同工作。其中入侵检测系统和防火墙之间的联动就能更好的进行安全防护。图8所示就是入侵检测系统和防火墙之间的联动，当入侵检测系统检测到入侵后，通过和防火墙通信，让防火墙自动增加规则，以拦截相关的入侵行为，实现联动联防。

§5.6什么是VPN?

VPN的英文全称是“VirtualPrivateNetwork”，翻译过来就是“虚拟专用网络”。顾名思义，虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线，但是不用给铺设线路的费用，也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一，目前在交换机，防火墙设备或Windows2000等软件里也都支持VPN功能，一句话，VPN的核心就是在利用公共网络建立虚拟私有网。

虚拟专用网（VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。

§5.7VPN的特点

1.安全保障虽然实现VPN的技术和方式很多，但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。在安全性方面，由于VPN直接构建在公用网上，实现简单、方便、灵活，但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问。

2.服务质量保证（QoS）

VPN网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。在网络优化方面，构建VPN的另一重要需求是充分有效地利用有限的广域网资源，为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低，在流量高峰时引起网络阻塞，使实时性要求高的数据得不到及时发送；而在流量低谷时又造成大量的网络带宽空闲。QoS通过流量预测与流量控制策略，可以按照优先级分实现带宽管理，使得各类数据能够被合理地先后发送，并预防阻塞的发生。

3.可扩充性和灵活性

VPN必须能够支持通过Intranet和Extranet的任何类型的数据流，方便增加新的节点，支持多种类型的传输媒介，可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。

4.可管理性

从用户角度和运营商角度应可方便地进行管理、维护。VPN管理的目标为：减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上，VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。

§5.8VPN防火墙

VPN防火墙就是一种过滤塞（目前你这么理解不算错），你可以让你喜欢的东西通过这个塞子，别的玩意都统统过滤掉。在网络的世界里，要由VPN防火墙过滤的就是承载通信数据的通信包。

最简单的VPN防火墙是以太网桥。但几乎没有人会认为这种原始VPN防火墙能管多大用。大多数VPN防火墙采用的技术和标准可谓五花八门。这些VPN防火墙的形式多种多样：有的取代系统上已经装备的TCP/IP协议栈；有的在已有的协议栈上建立自己的软件模块；有的干脆就是独立的一套操作系统。还有一些应用型的VPN防火墙只对特定类型的网络连接提供保护（比如SMTP或者HTTP协议等）。还有一些基于硬件的VPN防火墙产品其实应该归入安全路由器一类。以上的产品都可以叫做VPN防火墙，因为他们的工作方式都是一样的：分析出入VPN防火墙的数据包，决定放行还是把他们扔到一边。

所有的VPN防火墙都具有IP地址过滤功能。这项任务要检查IP包头，根据其IP源地址和目标地址作出放行/丢弃决定。看看下面这张图，两个网段之间隔了一个VPN防火墙，VPN防火墙的一端有台UNIX计算机，另一边的网段则摆了台PC客户机。

当PC客户机向UNIX计算机发起telnet请求时，PC的telnet客户程序就产生一个TCP包并把它传给本地的协议栈准备发送。接下来，协议栈将这个TCP包“塞”到一个IP包里，然后通过PC机的TCP/IP栈所定义的路径将它发送给UNIX计算机。在这个例子里，这个IP包必须经过横在PC和UNIX计算机中的VPN防火墙才能到达UNIX计算机。

现在我们“命令”（用专业术语来说就是配制）VPN防火墙把所有发给UNIX计算机的数据包都给拒了，完成这项工作以后，比较好的VPN防火墙还会通知客户程序一声呢！既然发向目标的IP数据没法转发，那么只有和UNIX计算机同在一个网段的用户才能访问UNIX计算机了。

还有一种情况，你可以命令VPN防火墙专给那台可怜的PC机找茬，别人的数据包都让过就它不行。这正是VPN防火墙最基本的功能：根据IP地址做转发判断。但要上了大场面这种小伎俩就玩不转了，由于黑客们可以采用IP地址欺骗技术，伪装成合法地址的计算机就可以穿越信任这个地址的VPN防火墙了。不过根据地址的转发决策机制还是最基本和必需的。另外要注意的一点是，不要用DNS主机名建立过滤表，对DNS的伪造比IP地址欺骗要容易多了。

后记：

入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。入侵检测系统面临的最主要挑战有两个：一个是虚警率太高，一个是检测速度太慢。现有的入侵检测系统还有其他技术上的致命弱点。因此，可以这样说，入侵检测产品仍具有较大的发展空间，从技术途径来讲，除了完善常规的、传统的技术（模式识别和完整性检测）外，应重点加强统计分析的相关技术研究。

但无论如何，入侵检测不是对所有的入侵都能够及时发现的，即使拥有当前最强大的入侵检测系统，如果不及时修补网络中的安全漏洞的话，安全也无从谈起。

同样入侵检测技术也存在许多缺点，IDS的检测模型始终落后于攻击者的新知识和技术手段。主要表现在以下几个方面：

1)利用加密技术欺骗IDS;

2)躲避IDS的安全策略;

3)快速发动进攻，使IDS无法反应;

4)发动大规模攻击，使IDS判断出错;

5)直接破坏IDS;

6)智能攻击技术，边攻击边学习，变IDS为攻击者的工具。

我认为在与防火墙技术结合中应该注意扩大检测范围和类别、加强自学习和自适应的能力方面发展。

参考文献：

1..MarcusGoncalves著。宋书民，朱智强等译。防火墙技术指南[M]。机械工业出版社

2.梅杰，许榕生。Internet防火墙技术新发展。微电脑世界.

入侵检测论文篇3

关键字:入侵检测;协议分析;模式匹配;智能关联a

1引言

入侵检测技术是继“防火墙”、“数据加密”等传统安全保护措施后新一代的安全保障技术,它对计算机和

网络资源上的恶意使用行为进行识别和响应,不仅检测来自外部的入侵行为,同时也监督内部用户的未授权活动。但是随着网络入侵技术的发展和变化以及网络运用的不断深入,现有入侵检测系统暴露出了诸多的问题。特别是由于网络流量增加、新安全漏洞未更新规则库和特殊隧道及后门等原因造成的漏报问题和IDS攻击以及网络数据特征匹配的不合理特性等原因造成的误报问题,导致IDS对攻击行为反应迟缓,增加安全管理人员的工作负担,严重影响了IDS发挥实际的作用。

本文针对现有入侵监测系统误报率和漏报率较高的问题,对几种降低IDS误报率和漏报率的方法进行研究。通过将这几种方法相互结合,能有效提高入侵检测系统的运行效率并能大大简化安全管理员的工作,从而保证网络

安全的运行。

2入侵检测系统

入侵是对信息系统的非授权访问及(或)未经许可在信息系统中进行操作,威胁计算机或网络的安全机制(包括机密性、完整性、可用性)的行为。入侵可能是来自外界对攻击者对系统的非法访问,也可能是系统的授权用户对未授权的内容进行非法访问,入侵检测就是对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程。入侵检测系统IDS(IntrusionDetectionSystem)是从多种计算机系统机及网络中收集信息,再通过这些信息分析入侵特征的网络安全系统。

现在的IDS产品使用的检测方法主要是误用检测和异常检测。误用检测是对不正常的行为进行建模,这些行为就是以前记录下来的确认了的误用或攻击。目前误用检测的方法主要是模式匹配,即将每一个已知的攻击事件定义为一个独立的特征,这样对入侵行为的检测就成为对特征的匹配搜索,如果和已知的入侵特征匹配,就认为是攻击。异常检测是对正常的行为建模,所有不符合这个模型的事件就被怀疑为攻击。现在异常检测的主要方法是统计模型,它通过设置极限阈值等方法,将检测数据与已有的正常行为比较,如果超出极限阈值,就认为是入侵行为。

入侵检测性能的关键参数包括:(1)误报:实际无害的事件却被IDS检测为攻击事件。(2)漏报:攻击事件未被IDS检测到或被分析人员认为是无害的。

3降低IDS误报率方法研究

3.1智能关联

智能关联是将企业相关系统的信息(如主机特征信息)与网络IDS检测结构相融合,从而减少误报。如系统的脆弱性信息需要包括特定的操作系统(OS)以及主机上运行的服务。当IDS使用智能关联时,它可以参考目标主机上存在的、与脆弱性相关的所有告警信息。如果目标主机不存在某个攻击可以利用的漏洞,IDS将抑制告警的产生。

智能关联包括主动和被动关联。主动关联是通过扫描确定主机漏洞;被动关联是借助操作系统的指纹识别技术,即通过分析IP、TCP报头信息识别主机上的操作系统。

3.1.1被动指纹识别技术的工作原理

被动指纹识别技术的实质是匹配分析法。匹配双方一个是来自源主机数据流中的TCP、IP报头信息,另一个是特征数据库中的目标主机信息,通过将两者做匹配来识别源主机发送的数据流中是否含有恶意信息。通常比较的报头信息包括窗口(WINDOWSIZE)、数据报存活期(TTL)、DF(dontfragment)标志以及数据报长(Totallength)。

窗口大小(wsize)指输入数据缓冲区大小,它在TCP会话的初始阶段由OS设定。数据报存活期指数据报在被丢弃前经过的跳数(hop);不同的TTL值可以代表不同的操作系统(OS),TTL=64,OS=UNIX;TTL=12,OS=Windows。DF字段通常设为默认值,而OpenBSD不对它进行设置。数据报长是IP报头和负载(Payload)长度之和。在SYN和SYNACK数据报中,不同的数据报长代表不同的操作系统,60代表Linux、44代表Solaris、48代表Windows2000。

IDS将上述参数合理组合作为主机特征库中的特征(称为指纹)来识别不同的操作系统。如TTL=64,初步判断OS=Linux/OpenBSD;如果再给定wsize的值就可以区分是Linux还是OpenBSD。因此,(TTL,wsize)就可以作为特征库中的一个特征信息。3.1.2被动指纹识别技术工作流程

具有指纹识别技术的IDS系统通过收集目标主机信息,判断主机是否易受到针对某种漏洞的攻击,从而降低误报率。

因此当IDS检测到攻击数据包时,首先查看主机信息表,判断目标主机是否存在该攻击可利用的漏洞;如果不存在该漏洞,IDS将抑制告警的产生,但要记录关于该漏洞的告警信息作为追究法律责任的依据。这种做法能够使安全管理员专心处理由于系统漏洞产生的告警。

3.2告警泛滥抑制

IDS产品使用告警泛滥抑制技术可以降低误报率。在利用漏洞的攻击势头逐渐变强之时,IDS短时间内会产生大量的告警信息;而IDS传感器却要对同一攻击重复记录,尤其是蠕虫在网络中自我繁殖的过程中,这种现象最为重要。

所谓“告警泛滥”是指短时间内产生的关于同一攻击的告警。IDS可根据用户需求减少或抑制短时间内同一传感器针对某个流量产生的重复告警。这样。网管人员可以专注于公司网络的安全状况,不至于为泛滥的告警信息大伤脑筋。告警泛滥抑制技术是将一些规则或参数(包括警告类型、源IP、目的IP以及时间窗大小)融入到IDS传感器中,使传感器能够识别告警饱和现象并实施抵制操作。有了这种技术,传感器可以在告警前对警报进行预处理,抑制重复告警。例如,可以对传感器进行适当配置,使它忽略在30秒内产生的针对同一主机的告警信息;IDS在抑制告警的同时可以记录这些重复警告用于事后的统计分析。

3.3告警融合

该技术是将不同传感器产生的、具有相关性的低级别告警融合成更高级别的警告信息,这有助于解决误报和漏报问题。当与低级别警告有关的条件或规则满足时,安全管理员在IDS上定义的元告警相关性规则就会促使高级别警告产生。如扫描主机事件,如果单独考虑每次扫描,可能认为每次扫描都是独立的事件,而且对系统的影响可以忽略不计;但是,如果把在短时间内产生的一系列事件整合考虑,会有不同的结论。IDS在10min内检测到来自于同一IP的扫描事件,而且扫描强度在不断升级,安全管理人员可以认为是攻击前的渗透操作,应该作为高级别告警对待。例子告诉我们告警融合技术可以发出早期攻击警告,如果没有这种技术,需要安全管理员来判断一系列低级别告警是否是随后更高级别攻击的先兆;而通过设置元警告相关性规则,安全管理员可以把精力都集中在高级别警告的处理上。元警告相关性规则中定义参数包括时间窗、事件数量、事件类型IP地址、端口号、事件顺序。

4降低IDS漏报率方法研究

4.1特征模式匹配方法分析

模式匹配是入侵检测系统中常用的分析方法,许多入侵检测系统如大家熟知的snort等都采用了模式匹配方法。

单一的模式匹配方法使得IDS检测慢、不准确、消耗系统资源,并存在以下严重问题:

(1)计算的负载过大,持续该运算法则所需的计算量极其巨大。

(2)模式匹配特征搜索技术使用固定的特征模式来探测攻击,只能探测明确的、唯一的攻击特征,即便是基于最轻微变换的攻击串都会被忽略。

(3)一个基于模式匹配的IDS系统不能智能地判断看似不同字符串/命令串的真实含义和最终效果。在模式匹配系统中,每一个这样的变化都要求攻击特征数据库增加一个特征记录。这种技术攻击运算规则的内在缺陷使得所谓的庞大特征库实际上是徒劳的,最后的结果往往是付出更高的计算负载,而导致更多的丢包率,也就产生遗漏更多攻击的可能,特别是在高速网络下,导致大量丢包,漏报率明显增大。

可见传统的模式匹配方法已不能适应新的要求。在网络通信中,网络协议定义了标准的、层次化、格式化的网络数据包。在攻击检测中,利用这种层次性对网络协议逐层分析,可以提高检测效率。因此,在数据分析时将协议分析方法和模式匹配方法结合使用,可以大幅度减少匹配算法的计算量,提高分析效率,得到更准确的检测结果。超级秘书网

4.2协议分析方法分析

在以网络为主的入侵检测系统中,由于把通过网络获得的数据包作为侦测的资料来源,所以数据包在网络传输中必须遵循固定的协议才能在电脑之间相互沟通,因此能够按照协议类别对规则集进行分类。协议分析的原理就是根据现有的协议模式,到固定的位置取值(而不式逐一的去比较),然后根据取得的值判断其协议连同实施下一步分析动作。其作用是非类似于邮局的邮件自动分捡设备,有效的提高了分析效率,同时还能够避免单纯模式匹配带来的误报。

根据以上特点,能够将协议分析算法用一棵协议分类树来表示,如图2所示。这样,当IDS进行模式匹配时,利用协议分析过滤许多规则,能够节省大量的时间。在任何规则中关于TCP的规则最多,大约占了50%以上,因此在初步分类后,能够按照端口进行第二次分类。在两次分类完成后,能够快速比较特征库中的规则,减少大量不必要的时间消耗。如有必要,还可进行多次分类,尽量在规则树上分叉,尽可能的缩减模式匹配的范围。

每个分析机的数据结构中包含以下信息:协议名称、协议代号以及该协议对应的攻击检测函数。协议名称是该协议的唯一标志,协议代号是为了提高分析速度用的编号。为了提高检测的精确度,可以在树中加入自定义的协议结点,以此来细化分析数据,例如在HTTP协议中可以把请求URL列入该树中作为一个结点,再将URL中不同的方法作为子节点。

分析机的功能是分析某一特定协议的数据,得出是否具有攻击的可能性存在。一般情况下,分析机尽可能的放到树结构的叶子结点上或尽可能的靠近叶子结点,因为越靠近树根部分的分析机,调用的次数越多。过多的分析机聚集在根部附近会严重影响系统的性能。同时叶子结点上的协议类型划分越细,分析机的效率越高。

因此,协议分析技术有检测快、准确、资源消耗少的特点,它利用网络协议的高度规则性快速探测攻击的存在。

5结束语

本文对几种降低IDS误报率和漏报率的方法进行分析研究,通过将这几种方法相互结合,能有效提高入侵检测系统的运行效率并能大大简化安全管理员的工作,从而保证网络安全的运行。由于方法论的问题,目前IDS的误报和漏报是不可能彻底解决的。因此,IDS需要走强化安全管理功能的道路,需要强化对多种安全信息的收集功能,需要提高IDS的智能化分析和报告能力,并需要与多种安全产品形成配合。只有这样,IDS才能成为网络安全的重要基础设施。

参考文献:

[1]张杰,戴英侠.入侵检测系统技术现状及其发展趋势[J].计算机与通信,2002(6):28-32.

[2]唐洪英,付国瑜.入侵检测的原理与方法[J].重庆工学院学报,2002(4):71-73.

[3]戴连英,连一峰,王航.系统安全与入侵检测技术[M].北京:清华大学出版社,2002(3).

[4]郑成兴.网络入侵防范的理论与实践[M].北京:机械工业出版社,2006:48-56.

入侵检测论文篇4

关键词：入侵检测，计算机网络，分布式

1. 入侵检测系统概述入侵检测，就是对网络或者系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性和可用性。简单说就是对入侵行为的发觉。入侵检测系统(Intrusion Detection System，简称IDS)是一个能够对网络或计算机系统的活动进行实时监测的系统，它能够发现并报告网络或系统中存在的可疑迹象，为网络安全管理员及时采取对策提供有价值的信息。

2.入侵检测系统的历史研究与现状入侵检测系统从开始研究到目前的商业产品，已经有20多年的历史了。最早研究入侵检测的是James Anderson，他在1980年首先提出了入侵检测的概念，将入侵尝试或威胁定义为：潜在的、有预谋的、未经授权的访问信息、操作信息、致使系统不可靠或无法使用的企图。Anderson提出审计追踪可应用于监视入侵威胁。

国外入侵检测系统已经进入相对成熟期，目前比较成功的商业系统大都是混合使用多种技术，而且很多系统不只是具有入侵检测和响应功能，还具有很强的网络管理和网络通信统计的功能。比如：ISS公司的RealSecure、Axcent公司的Intruder Alert、Cisco公司的Cisco Secure IDS、Network Flight Recorder公司的NID、NetworkIce公司的BlackIce Defender、NAI公司的CyberCop Intrusion Protection等产品。

国内对入侵检测系统的研究起步较晚，无论理论研究还是实践创新都落后于国外，目前处于对国外技术的跟踪研究状态。。近年来有一些单位如：中科院、清华大学、国防科技大学、中联绿盟、金诺网安、启明星辰等都开展了入侵检测系统的理论研究和产品开发研制工作。

3.入侵检测系统的分类随着入侵检测技术的发展，目前已经出现了很多入侵检测系统，不同的入侵检测系统具有不同的特征。根据不同的分类标准，入侵检测系统可分为不同的类别。

1.按照数据来源划分，入侵检测系统分为基于主机的入侵检测系统（HIDS）和基于网络的入侵检测系统（NIDS）。

1)基于主机的入侵检测系统

它检测的目标主要是主机系统和系统本地用户。检测的原理是根据主机的审计数据和系统的日志发现可疑事件，检测系统可以运行在被检测的主机或单独的主机上。此系统依赖于审计数据或系统日志的准确性和完整性以及安全事件的定义。

2)基于网络的入侵检测系统

它通过在共享网段上对通信数据进行侦听，采集数据，分析可疑现象，系统根据网络流量、协议分析、简单网络管理协议信息等检测入侵。

2.按照目前国内外的入侵检测技术IDS主要分为两类：基于异常的入侵检测和基于误用的入侵检测。

1)基于异常的入侵检测

首先总结正常操作应该具有的特征，例如特定用户的操作习惯与某些操作的频率等；在得出正常操作的模型之后，对后续的操作进行监视，一旦发现偏离正常统计学意义上的操作模式，即进行报警。

2)基于误用的入侵检测

收集非正常操作也就是入侵行为的特征，建立相关的特征库；在后续的检测过程中，将收集到的数据与特征库中的特征代码进行比较，得出是否是入侵的结论。当前流行的系统基本上采用了这种模型。

3.按照目前IDS的发展趋势来分，IDS分为集中式和分布式两种。

1)集中式IDS

所谓集中式是指整合基于主机的IDS和基于网络的IDS的各自优点，将HIDS和NIDS这两种检测技术很好地集成起来，提供集成化的攻击签名、检测、报告和事件关联功能。

2)分布式IDS

对分布式而言有两层含义，一是针对分布式网络攻击的检测方法；第二层含义即使用分布式的方法来检测分布式的攻击。这其中的关键技术为检测信息的协同处理与入侵攻击的全局信息的提取。。

4.入侵检测技术的发展方向目前入侵检测系统面临的最主要挑战有两个：一是误警率太高，二是检测速度太慢。针对这些挑战和入侵手段的不断进步，今后的入侵检测技术大致将朝以下几个方向发展。

1.分布式入侵检测与通用入侵检测架构

传统的IDS一般局限于单一的主机或网络架构，对异构系统及大规模的网络的监测明显不足。同时不同的IDS系统之间不能协同工作，为解决这一问题，需要分布式入侵检测技术与通用入侵检测架构。

2.应用层入侵检测

许多入侵的语义只有在应用层才能理解，而目前的IDS仅能检测如WEB之类的通用协议，而不能处理如Lotus Notes、数据库系统等其他的应用系统。许多基于客户、服务器结构与中间件技术及对象技术的大型应用，需要应用层的入侵检测保护。

3.智能化的入侵检测

入侵方法越来越多样化与综合化，已经有模糊技术、神经网络与遗传算法在入侵检测领域的应用研究，这些方法常用于入侵特征的辨识与泛化，需对智能化的IDS做进一步的研究以解决其自学习与自适应能力，来完善系统模型，提高检测的效率和准确性。

4.入侵检测的评测方法

用户需对众多的IDS系统进行评价，设计通用的入侵检测测试与评估方法与平台，实现对多种IDS系统的检测已成为当前IDS的另一重要研究与发展领域。

5.综合性检测系统

与其它的网络安全技术 (包括硬件技术) 相结合，形成综合的检测系统，解决传统方法检测对象单一、检测攻击形式简单的问题和一些难以解决的问题。

6.宽带高速网络的实时入侵检测技术

大量高速网络技术近年来不断出现，在此背景下的各种宽带接入手段层出不穷，如何实现高速网络环境的入侵检测已成为一个现实问题。这需要考虑两个方面，首先，入侵检测系统的软件结构和算法需要重新设计，以适应高速网络的新环境，重点是提高运行速度和效率。另一方面是，随着高速网络技术的不断进步和成熟，新的高速网络协议的设计也成为未来的一个发展趋势，现有的入侵检测系统如何适应和利用未来新的网络协议结构是一个全新的问题。

从信息安全角度出发，入侵检测理应受到人们的高度重视，从国外入侵检测产品市场的蓬勃发展可以看出这一点。。在国内，随着国家重要部门的关键业务逐渐增多，迫切需要具有自主版权的入侵检测产品。但目前的入侵检测仅停留在研究和实验样品（缺乏升级和服务）阶段，或者是防火墙中集成较为初级的入侵检测模块。可见，入侵检测产品仍具有较大的发展空间，从技术途径来讲，除了完善常规的、传统的技术（模式识别和完整性分析）外，应重点加强统计分析的相关技术研究。

入侵检测论文篇5

关键词：入侵检测，计算机网络，分布式

1.按照数据来源划分，入侵检测系统分为基于主机的入侵检测系统（HIDS）和基于网络的入侵检测系统（NIDS）。

1)基于主机的入侵检测系统

2)基于网络的入侵检测系统

它通过在共享网段上对通信数据进行侦听，采集数据，分析可疑现象，系统根据网络流量、协议分析、简单网络管理协议信息等检测入侵。

2.按照目前国内外的入侵检测技术IDS主要分为两类：基于异常的入侵检测和基于误用的入侵检测。

1)基于异常的入侵检测

2)基于误用的入侵检测

3.按照目前IDS的发展趋势来分，IDS分为集中式和分布式两种。

1)集中式IDS

2)分布式IDS

1.分布式入侵检测与通用入侵检测架构

2.应用层入侵检测

3.智能化的入侵检测

4.入侵检测的评测方法

用户需对众多的IDS系统进行评价，设计通用的入侵检测测试与评估方法与平台，实现对多种IDS系统的检测已成为当前IDS的另一重要研究与发展领域。

5.综合性检测系统

与其它的网络安全技术 (包括硬件技术) 相结合，形成综合的检测系统，解决传统方法检测对象单一、检测攻击形式简单的问题和一些难以解决的问题。

6.宽带高速网络的实时入侵检测技术

入侵检测论文篇6

关键词：云计算；演化博弈；分布式入侵检测；趋势预测

中图分类号：TP183 文献标识码：A 文章编号：1009-3044（2016）10-0178-03

Abstract： For the lack of distributed IDS behavior analysis method in cloud computing environment， this paper proposes a model based on evolutionary game theory for distributed IDS in cloud behavior analysis and prediction， depict strategy selection trend of participator behavior with replicator dynamics equation， describe convergence trend of dynamic situation with evolutionary stable strategy， and analyse the effect on IDS behavior on different profit and loss condition. Then the paper gives out a reasonable security management suggestion for manager consider. Finally， an experiment is designed over analysis for the model to show the effectiveness of the proposed method.

Key words： cloud computing； evolutionary game； distributed intrusion detection system； trend prediction

1 概述

近年来，随着云计算的蓬勃发展，云计算的新技术、新应用正慢慢延伸到人们的日常工作和生活中，发挥着越来越重要的作用。云计算技术的进步在给人们带来方便和好处的同时，也对人们的信息安全工作提出了新的要求。云计算环境下的安全技术主要包括云资源访问控制、密文处理、数据可用性、隐私保护、虚拟安全技术等[1]。其中，对云资源的访问控制的研究仍然是一大研究热点。学者们对云资源访问控制的研究主要包括安全审计、等级保护、访问控制、入侵检测、信任评估等。其中，入侵检测技术以其主动性、全面性、智能性等优势备受青睐。然而，随着云环境的异构性与复杂性不断增强，传统网络下的入侵检测技术方案并不再能很好适应云计算日趋智能化、系统化、综合化的环境。

针对云环境日益扩大化、复杂化以及单一设备的负载过于集中等问题，学者们纷纷提出适用于云环境下的新型入侵检测模型：Dermott等[2]提出一种基于DS证据理论的协作式跨域云入侵检测系统，Akramifard等[3]则从用户行为模式分类的角度出发，提出一种基于多级模糊神经网的云入侵检测系统。其中，云环境下的分布式入侵检测系统以其独立性、灵活性、可扩展性、错误扩散小、协作性等[4]的优势越来越受到学者们的关注。Li、Kumar等[5-6]提出了一种基于云理论的分布式入侵检测系统，Li[7]提出了一种基于人工神经网的云分布式入侵检测系统，Zhang等[8]提出了一种基于粗糙集的云分布式入侵检测系统。

虽然学者们在云环境下的入侵检测技术研究做了较多工作，但很少有学者对云分布式入侵检测系统行为趋势分析、系统行为发展预测进行深入研究。本文将演化博弈理论应用于云环境下的分布式入侵检测系统行为趋势分析预测，从参与人有限理性的立场出发，提出一种基于演化博弈理论的云分布式入侵检测系统行为分析预测模型，分析讨论不同损益条件对检测系统行为的影响，得出合理的安全管理方案。最后，通过实验验证该模型的理论以及预测结果的正确性。

2 基于演化博弈理论的行为分析预测模型

本文将全部云分布式入侵检测系统看作一个种群，云中的所有分布式入侵检测系统个体是该种群的个体。各个检测系统彼此独立、对等，通过相互之间交换信息，并结合自身现状，作出是否协同工作的决定。种群中有不同比例的群体选取特定行动，将采用不同行动的入侵检测系统抽象成不同“类型”的博弈方，“类型”会随着博弈方策略而改变。执行特定行动的种群个体随机配对，组成参与人组合，也即不同策略选取组合的搭配。

3 基于演化博弈模型的云入侵检测系统行为预测

模型中的入侵检测系统作为思维有限理性的角色，对所处环境、信息并不能做到全完掌握，或可能由于自身原因做出错误决策，使得博弈结果不能总达到最佳。

从检测系统博弈的复制动态方程的鞍点来看，由于，复制动态具备稳健性的演化趋向为和，和都是稳定的演化趋向，也都是检测系统可能的策略选择。若C为定值，当协同工作带来的额外收益（G）与规避风险的保守工作带来的收益（H）之差越大，值越偏向于0，部分面积越大，代表检测系统选取协同工作策略的概率越大；相反，若部分为定值，若协同工作的成本（C）越大，值越偏向于1，代表检测系统拒绝协作、单干的概率越大。例如一般的基础设施即服务（IaaS）设备协同工作的成本（C）一般都不会改变，为提高检测系统协同工作的概率，可尝试减少回避协作带来的收益，或增大协同工作带来的额外收益，以保证云服务设备能够得到更大的保障。

4 实验分析

4.1 数据设定与模拟

本文对模型中的变量进行赋值：取H=10；G=6；C=3，实验结果如图3所示。

4.2 实验结果分析

图3描绘出了随着云入侵检测系统之间的长期博弈过程的进行，检测系统之间博弈策略选取趋势的总体相位图。由图中可观察到，检测系统存在协作与独立工作的可能，如前文分析，即便选择协作的检测系统数量高达70%，也会渐渐趋向于选择独立工作。此时若依前文结论，将协同工作的成本（C）减小为1.9，检测系统之间策略选取趋势的相位图将如图4所示，检测系统独立工作的可能性减少，而与其他检测系统协同工作的可能性增大，由此说明减小检测系统协同工作成本确实有助于增大检测系统协同工作的可能，从而验证了前文的结论。同理将回避收益（H）减少时也将有同样效果。

5 结束语

本文应用基于过程分析的演化博弈理论提出一种云分布式入侵检测系统行为分析预测博弈模型，这种有限理性的演化博弈更符合现实客观条件，通过归纳检测系统的策略收敛方向，以及不同损益对检测系统行为策略趋势造成的影响，实现了对系统的安全分析，为安全方案规划提供参考依据。通过实验验证了该方法的理论，以及预测结果的正确性。然而，由于演化稳定策略本身存在无法描述系统受到随机效应影响时的长期稳态的局限，博弈模型本身还有待完善，未来进一步的工作将研究可应对随机性问题的安全分析演化博弈模型，使分析的结论更准确完善。

参考文献：

[1] 冯登国，张敏，张妍，等. 云计算安全研究[J]. 软件学报， 2011， 22（1）：71-83.

[2] ?ine MacDermott， Qi Shi， Kashif Kifayat. Collaborative Intrusion Detection in Federated Cloud Environments[J]. Journal of Computer Sciences and Applications， 2015， 3（3A）： 10-20.

[3] Akramifard H， Mohammad Khanli L， Balafar M A，et al. Intrusion Detection in the Cloud Environment Using Multi-Level Fuzzy Neural Networks[C]//Proceedings of the International Conference on Security and Management （SAM）. The Steering Committee of The World Congress in Computer Science， Computer Engineering and Applied Computing （WorldComp）， 2015： 75.

[4] 马恒太，蒋建春，陈伟锋. 基于Agent的分布式入侵检测系统模型[J].软件学报， 2000， 11（10）：1312-1319.

[5] Han Li， Qiu-xin Wu. A Distributed Intrusion Detection Model based on Cloud Theory[C]//Cloud Computing and Intelligent Systems （CCIS）， 2012 IEEE 2nd International Conference on. IEEE， 2012， 1： 435-439.

[6] Manish Kumar. Distributed Intrusion Detection System Scalability Enhancement using Cloud Computing[J]. Computer Science & Telecommunications， 2014， 41（1）.

[7] Zhe Li. A Neural Network based Distributed Intrusion Detection System on Cloud Platform[D]. The University of Toledo. 2013.

入侵检测论文篇7

关键词：计算机；网络安全；入侵检测技术

1引言

当今世界计算机网络的运用十分广泛，人们通过互联网进行商品买卖、社交以及娱乐，企业利用互联网进行交易，甚至能够危及到国家安全的机密信息也在计算机网络中沟通流动，因此计算机网络安全影响着社会各个层次、各个方面。计算机网络安全问题成为全世界共同关注的问题，如果不能有效地解决，将会严重制约信息化的发展进程。随着网络专家的不懈努力，找到了一个有效的解决途径就是入侵检测技术。入侵检测系统可以弥补防火墙的不足，在不影响网络性能的情况下对网络进行检测，从而提供对内部攻击、外部攻击和误操作的实时保护。

2入侵检测技术相关理论概述

2.1定义

入侵检测技术是一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术，是一种为保证计算机系统的安全而设计与配置的技术。入侵检测系统(IntrusionDetectionSystem，简称IDS)是进行入侵检测的软件与硬件的组合。入侵检测系统(IDS)可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的系统。包括系统外部的入侵和内部用户的非授权行为，是一种用于检测计算机网络中违反安全策略行为的技术。入侵检测系统在发现入侵后，会及时作出响应，包括切断网络连接、记录事件和报警等。入侵检测技术从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。

2.2分类

（1）按照检测时间分类：入侵检测按检测的时间可分为实时入侵检测和事后入侵检测两种；（2）按照分析方法分类：入侵检测按照检测分析方法一般被分为误用检测和异常检测两大类；（3）按照数据来源分类：入侵检测依据待分析的数据来源通常可分为基于主机的检测系统和基于网络的检测系统两类；（4）按照系统结构分类：入侵检测按系统结构的划分可分为集中式入侵检测和分布式入侵检测两种；（5）按照工作方式分类：入侵检测按照工作方式的区别可分为离线检测和在线检测两种。

2.3工作流程

入侵检测技术的工作流程基本上可以归纳为以下3个步骤：（1）信息收集：信息收集是入侵检测的第一步，信息收集的内容主要包括系统、网络、数据及用户活动的行为和状态。收集信息的工作是由放置在不同网段的传感器或不同主机的来完成，包括非正常的目录和文件改变、非正常的程序执行以及系统和网络日志文件、网络流量的信息。（2）信息分析：收集到的有关系统、网络、数据及用户活动的状态和行为等信息，被送到检测引擎，检测引擎驻留在传感器中，一般通过3种技术手段进行分析：统计分析、完整性分析和模式匹配。其中模式匹配和统计分析用于实时的入侵检测，而完整性分析则用于事后的检测分析。当检测到某种误用模式时，就会产生一个告警并发送给控制台。（3）问题处理：控制台收到告警后，会按照告警产生预先定义的响应采取相应措施，可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性，也可以只是简单的告警。识别告警的方法主要有：活动特征、告警特征和用户特征。

3应用安全

入侵检测技术在计算机网络安全中的应用主要体现在基于主机的入侵检测系统和基于网络的入侵检测系统两个方面。

3.1基于主机的入侵检测系统

基于主机的入侵检测系统是把主机作为对计算机的重点检测对象，对主机进行入侵检测的设置，根据主机的运行情况来判断并检测主机是否出现了受到攻击的行为。主机入侵检测系统能够全面实时地监控计算机网络用户的操作行为，当网络出现网络异常情况时会进行预警，全面及时地保护网络安全。基于主机的入侵检测系统能够对攻击行为是否成功进行判断，并为主机作出决策提供充足的依据。基于主机分入侵检测系统还可以对文件访问、文件执行等指定的特定的系统部位进行监控。

3.2基于网络的入侵检测系统

基于网络的入侵检测系统又被称为基于行为的入侵检测系统，它在检测设置时无需在主机上进行安装，并且可以设置多个安全点，能够同时对多个网络通信进行监控，因此有着检测成本相对较低、检测速度快的优点。基于网络的入侵检测系统能够及时发现计算机在网络运行过程中受到的攻击，并及时向检测系统发送检测结果报告，提高发现计算机网络安全入侵的速度，方便快捷，并且大大缩短了计算机受到网络攻击的时间。基于网络的入侵检测系统由于采取对计算机的多处网络安全点和网络通信进行监控和观察，并且安装方便，因此检测效果高；监测系统一旦发现问题之后，可以直接利用网络进行报告，无论何时何地，都能做出快捷地反应和解决措施，提高了计算机网络安全检测技术的水平和检测效率，确保了计算机在安全网络环境下的正常运行，为计算机用户带来了便利。

4存在问题

4.1入侵检测技术相对落后

目前国内在入侵检测技术的研究起步比较晚，与发达国家相比差距还比较大。在网络安全技术发展的同时，网络入侵技术也在不断地升级，如果计算机网络安全入侵检测技术相对落后的话，当比较复杂高级的计算机网络入侵行为发生时，入侵检测技术是难以有效地解决威胁网络安全的因素的。在网络环境下，计算机对于网络安全的依赖性比较高，网络安全的入侵检测技术也存在一定的缺陷，安全检测存在局限性，在相同的网段能够进行计算机网络系统的局部检测与分析，一旦计算机网络系统处于不同的网段，其检测的全面性与有效性是难以保证的，由此可见，计算机网络安全的检测技术仍然有待提高，其存在的局限性与不完整性是非常明显。

4.2入侵检测技术方式单一

计算机网络安全的入侵检测系统主要采取的方式是特征检测，特征检测的适用范围是那些比较简单的入侵攻击行为，在单一的主机或网络构架下的检测效果很好，对异构系统以及大规模的网络监控就显得力不从心。当出现比较复杂的入侵行为时，入侵检测需要大量的计算和分析时间，这时入侵特征检测就无法发挥作用。另外，当入侵检测系统对网络系统进行监控时，会产生数量巨大的分析数据，分析数据会对系统性能造成较大压力。

4.3入侵检测技术加密处理困难

（1）计算机网络安全入侵检测技术在处理会话过程的加密问题上有很大的困难，就目前的发展趋势来看，这个问题会越来越突出。（2）入侵检测系统自身无法对网络攻击行为进行阻断，必须通过计算机内部防火墙的联合机制才能更好地完成入侵检测，自身的功能存在缺陷明显，作用也无法得到充分的发挥。（3）人们在日常生活中对计算机的广泛应用，计算机触及到用户越来越多的隐私，因而计算机内存储的网络数据也具有一定的隐私性，在计算机受到网络安全的威胁后，计算机网络安全的入侵检测系统自身无法完成对计算机系统的全面检测，检测技术并不能保证计算机网络数据的安全性和隐私性，加之网络检测需要同计算机内部防火墙联合，这样便会对计算机内部网络数据造成一定的暴露，不能对其做到科学全面的加密处理，在一定程度上对用户的个人隐私造成威胁。

5发展趋势

5.1分布式入侵检测

在如今高速发展的信息网络时代，传统的入侵检测技术缺乏协同并且过于单一，在应对高级复杂的网络安全入侵时显得力不从心，因此分布式的协作机制就显得更有优势。分布式入侵检测核心的技术体现在全局的入侵信息提取与多个入侵检测协同处理，主要体现在收集数据、入侵信息的分析和及时的自动响应等方面。它在系统资源方面的优势远大于别的方式，将是将来主要的发展方向之一。

5.2智能化入侵检测

目前的安全入侵方式越来越智能化和多样化，因此入侵技术的智能化发展也变得顺理成章。智能化入侵检测技术包含了模糊技术、神经网络、遗传算法、免疫原理等方法，能够更有效地识别与分析入侵威胁因素，提高网络安全入侵检测技术水平。智能化入侵检测可以将入侵的特点更具有广泛识别性和辨识性，因此可以在解决出现的故障时，识别和隔离可疑攻击，并不干涉正常运行的程序，以确保计算机的运行效率。

5.3一体化全方位防御方案

根据目前的网络安全入侵情况来看，入侵方式越来越智能化和多样化，仅仅某一方面的入侵检测方式很难应对，因此针对这种情况，网络安全入侵检测系统很可能实现一体化的发展趋势，这样入侵检测的结果将会更加全面和科学准确，打造网络安全入侵检测平台，最大化地利用计算机资源，增强入侵检测的可靠性，全方位地确保计算机的网络安全。

6结语

作为一种积极主动地计算机网络安全防护技术，入侵检测为计算机网络安全提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和解决入侵威胁，对保护网络安全的作用十分重要。面对日益复杂的网络安全形势，必需正视自己在入侵检测技术上与发达国家的差距，加大研究力度，提升我国计算机网络安全的入侵检测技术水平，为计算机网络安全提供有力保障。

参考文献

[1]毛晓仙.试论计算机网络安全的入侵检测技术[J].网络安全技术与应用,2014,08:63+65.

[2]唐锐.基于频繁模式的离群点挖掘在入侵检测中的应用[D].重庆大学,2013.

[3]宋彦京.计算机网络入侵检测系统与技术措施分析[J].网络安全技术与应用,2014,11:51-52.

入侵检测论文篇8

网络攻击已经成为严重威胁网络安全的重要手段，识别和防范网络攻击已经成为网络安全研究的重要趋势。例如TCP SYN拒绝服务攻击、ICMP洪水攻击和UDP洪水攻击等多种攻击方式，因此针对网络攻击识别与防范已经成为网络研究人员的一个重要的研究领域。本文就是以Snort入侵检测系统作为基础，利用网络规划识别技术进行网络攻击行为监测系统结构研究。

【关键词】网络攻击入侵检测规划识别结构研究

网络安全对于网络用户来说至关重要，它关系到个人隐私安全、个人数据安全，而网络与人们日常生活紧密相关，因此对于网络安全研究也逐渐成为研究的重点内容。网络安全研究从传输数据加密到网络攻击防范与预防等经历的不同发展阶段。当前主要采用的网络安全技术就是入侵检测技术，也就是通过监听在网络传输中的数据包，利用相关算法或技术发现网络中可能存在的攻击行为。本文是以网络规划识别作为研究理论，将其应用到基于Snort入侵检测系统中，从而利用统计与智能方式来搜索或获得攻击行为，达到有效的防范和预防措施。

1 入侵检测与规划识别简介

1.1 入侵检测

入侵检测对网络安全来说是至关重要，检测过程和检测结果如何关系到防范和预测网络攻击效果。在当前较多的入侵检测技术中，频繁使用的入侵检测技术是基于Snort入侵检测技术及其系统。Snort检测体系结构主要是由嗅探器、数据包预处理、检索引擎和规则库等多个模块来构成。其中，嗅探器的作用是来捕获网络中传输的数据包和数据流；数据包预处理模块则是对捕获到的数据进行预处理分析，如采用统计分析方式、专家系统方式等；检索引擎作用则是利用预处理后得到的数据特征等相关信息与规则库中的数据特征进行比对根据其比对结果来评判数据是否具有攻击性。

1.2 网络规划识别简介

在1978年由Schmidt、Sridharan和Goodson提出规划识别用于推理其它智能体的规划及目标，到2003年，Yin MingHao在Hong Jun的目标图为基础上提出了利用回归图进行的规划识别。在规划发展过程中主要出现如下几种规划识别方法，即基于Kautz理论的规划识别、基于逻辑的规划识别和基于概率方法的规划识别等方法。经过40多年的发展，规划识别已经成为人工智能研究领域中重要的研究内容。

网络规划识别就是以规划识别作为理论基础，然后将其运用在网络上的一种技术。其主要内容是从网络中传输数据包或数据流中通过特征提取方式来获得特征数据信息，利用规划识别推导出智能目标或规划过程。其推导过程为首先收集来自于网络中的传输数据，然后利用规划识别原理对传输数据进行推导，最后计算出该数据攻击可能的最大概率。

2 基于规划识别的入侵检测结构研究

2.1 规划识别的贝叶斯网络模型结构分析

网络攻击往往会给用户带来极大的麻烦或损失，因此组建较好的入侵检测结构对于网络攻击预防是至关重要的环节。当遭受网络攻击时候，往往需要识别攻击者的意图，因此本文以规划识别与贝叶斯算法结合建立一个入侵过程分析与模拟建模，即通过检索数据包中的数据特征来发现攻击对象和攻击过程。也就是将攻击者最终意图作为根节点，攻击节点之间采用“与”、“或”等逻辑运算来进行节点之间关系建立，然后发现最终目标。在入侵检测系统中，攻击者会实施相关攻击过程且具有顺序性，利用贝叶斯网络就可以推理入侵者意图，即对接受数据包进行关联分析，从而发现攻击目标和攻击意图。

2.2 贝叶斯二次回归规划识别在入侵检测中的结构研究

基于Snort入侵检测系统是当前正在使用的一种检测系统，在进行攻击者进行网络入侵过程中，由Snort在检测中产生相应的数据包信息，将得到的数据信息进行数据关联分析，从而就会得到两种分析结果：一是有攻击意图；二是无攻击意图或无法判断攻击意图。而入侵过程中Snort对数据进行规划识别与采用贝叶斯算法设计的智能网络结构相似，因此可以考虑将贝叶斯理论引入到入侵检测中，然后在此基础上进行二次回归来具体判断攻击者是否发生攻击以及攻击的目标和路径。其基本结构如图1所示。

3 结束语

通过对以往入侵检测系统、网络规划识别技术分析与研究，在本文中提出了一种以原有的贝叶斯网络攻击入侵检测模型为基础，进行了二次回归的网络攻击入侵检测模型及其算法的改进，并且对此结构进行分析。

参考文献

[1]谷文祥，李丽，李丹丹.规划识别的研究及其应用[J].智能系统学报，2007.

[2]李伟生，王宝树.实现规划识别的一种贝叶斯网络[J].西安电子科技大学学报，2002.

作者简介

常大俊（1976-），男，现为长春建筑学院电气信息学院讲师。主要研究方向为计算机软件与理论。

推荐范文

入侵检测论文

推荐期刊

生物安全学报

刊号：35-1307/Q

级别：北大期刊