公務(wù)員期刊網(wǎng) 精選范文 基于網(wǎng)絡(luò)的入侵檢測范文

基于網(wǎng)絡(luò)的入侵檢測精選(九篇)

前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的基于網(wǎng)絡(luò)的入侵檢測主題范文,僅供參考,歡迎閱讀并收藏。

基于網(wǎng)絡(luò)的入侵檢測

第1篇:基于網(wǎng)絡(luò)的入侵檢測范文

關(guān)鍵詞:入侵檢測;免疫原理;r連續(xù)位匹配;檢測集生成

中圖分類號:TP18文獻標識碼:A文章編號:1009-3044(2012)26-6348-03

Network Intrusion Detection Based on Immune Theory

WU Xiang1, HAN Liang2

(1.Naval Headquarters, Beijing 100841, China; 2.The East China Sea Fleet of Navy, Ningbo 315122, China)

Abstract: After analysis of the immune algorithm characteristics, the metaphor mechanism which is associated with the intrusion detection is extracted and studied in-depth. And then on the basis of artificial immune system, intrusion Detection system based on immune mechanism is built and the definition of system self and system non-self, immune matching rules set, and also the generation and life cycle of the immune detector are explained. Finally, the model is validated by the simulation experiments. The establishment of the immune intrusion detection system and the simulation work is the cornerstone of this research.

Key words: intrusion detection; immune theory; r contiguous bits matching; detector set generation

人體的免疫系統(tǒng)功能是通過大量不同類型的細胞之間的相互作用實現(xiàn)的[1-2]。在這些不同類型的細胞主要作用是區(qū)分“自體”和“非自體”。“自體”是指人體自身的細胞,而“非自體”是指病原體、毒性有機物和內(nèi)源的突變細胞或衰老細胞。淋巴細胞能對“非自體”成分產(chǎn)生應(yīng)答,以消除它們對機體的危害;但對“自體”成分,則不產(chǎn)生應(yīng)答,以保持內(nèi)環(huán)境動態(tài)穩(wěn)定,維持機體健康。

可以看出入侵檢測系統(tǒng)和免疫系統(tǒng)具有一定程度的相似性。對于一個入侵檢測系統(tǒng),特別是網(wǎng)絡(luò)入侵檢測系統(tǒng),免疫系統(tǒng)的組成、結(jié)構(gòu)、特征、免疫機理、算法等都為入侵檢測系統(tǒng)設(shè)計有著重要的借鑒意義。它們要解決的問題都可以被描述為:識別“自體”和“非自體”,并消除“非自體”。

1自體和非自體的定義

計算機安全的免疫系統(tǒng)保護的是計算機系統(tǒng)的數(shù)據(jù)文件,所以將“自體”定義為計算機中合法的數(shù)據(jù),這些數(shù)據(jù)包括合法用戶、授權(quán)活動、原始源代碼、未被欺詐的數(shù)據(jù)等;將“非自體”定義為其它一切非法數(shù)據(jù),這些數(shù)據(jù)包括自身遭受非法篡改的數(shù)據(jù)、病毒感染的數(shù)據(jù)以及外來數(shù)據(jù)等。

2免疫匹配規(guī)則

在計算機中,所有的數(shù)據(jù)都是以二進制來表示的,這就表明在進行仿真的過程中,使用免疫匹配規(guī)則的對象都應(yīng)該是針對二進制字符串的,因此需要采用二進制的匹配算法。采用何種二進制字符串的匹配算法,這是一個十分關(guān)鍵的問題,因為只有采用了合適的匹配算法,才能有效的構(gòu)造免疫檢測器集[4]。目前有很多的近似匹配算法,如r連續(xù)位的匹配算法、海明距離匹配算法等。r連續(xù)位匹配規(guī)則能更好地反映抗體綁定的真實提取,即能更真實地反映檢測器字符串與被檢測字符串的匹配情況,所以它比海明匹配規(guī)則更常用,因此文章采用r連續(xù)位的匹配算法。

r連續(xù)位的匹配規(guī)則可以描述如下:對于任意的兩個字符串x,y,如果兩個字符串x,y在相應(yīng)位置上至少連續(xù)r位相同,那么這兩個字符串是r連續(xù)位匹配的,即Match(x,y)|r=true。例如,如果設(shè)定r=5,字符串x=“10111010”和字符串y=“11011010”,由于它們在相應(yīng)位置4-8位上都為“11010”,因此這兩個字符串是匹配的。

在訓(xùn)練階段,首先隨機生成候選檢測器集合,然后讓候選檢測器與自體集進行匹配,這個過程也叫陰性選擇過程。在匹配的過程中,那些與與自體集相匹配的候選檢測器就被丟棄,而不與自體集匹配的候選檢測器則作為成熟檢測器,存儲于檢測器集合中。

[1] Oscar A,Fabio A G, Fernando N,et al.Search and Optimization:A Solution Concept for Artificial Immune Networks: A Coevo? lutionary Perspective [C].Proceedings of 6th international conference on Artificial Immune systems,Brazil,2007:26-29.

[2] Hofmeyr, S, Forrest, S. Immunity by Design: An Artificial Immune System[C]//Proceedings of the 1999 Genetic and Evolution? ary Computation Conference,1999:1289-1296.

[3]楊進,劉曉潔,李濤,等.人工免疫中匹配算法研究[J].四川大學學報:工程科學版,2008,40(3):126-131.

[4]馬莉.基于免疫原理的網(wǎng)絡(luò)入侵檢測器生成算法的研究[D].南京:南京理工大學碩士論文, 2006.

[5]卿斯?jié)h,蔣建春,馬恒太,等.入侵檢測技術(shù)研究綜述[J].通信學報,2004,25(7):19-29.

[6]焦李成,杜海峰,劉芳,等.免疫優(yōu)化計算、學習與識別[M].北京:科學出版社, 2006.

[7] Dasgupta D,Gonzalez F.An Immunity-Based Technique to Characterize Intrusions in, Computer Networks [J].Special Issue on Artificial Immune Systems of the Journal IEEE Transactions on Evolutionary Comput- ation.2002,6(3):281-291.

第2篇:基于網(wǎng)絡(luò)的入侵檢測范文

【關(guān)鍵詞】 網(wǎng)絡(luò)運行 安全 入侵檢測技術(shù)

隨著計算機網(wǎng)絡(luò)運行安全問題的日益凸顯,入侵檢測技術(shù)作為一個新型的主動防御網(wǎng)絡(luò)攻擊安全技術(shù)成為保護網(wǎng)絡(luò)運行安全的重要措施之一。入侵檢測技術(shù)雖然利用傳統(tǒng)手段訪問者進行檢查,但是可以進一步擴展系統(tǒng)管理員的安全管理能力,提高網(wǎng)絡(luò)系統(tǒng)安全基礎(chǔ)結(jié)構(gòu)的完整性,同時與防火墻合用還可彌補防火墻的缺陷,可共同抵御外網(wǎng)攻擊,保護網(wǎng)絡(luò)系統(tǒng)能夠正常運行。

一、入侵檢測技術(shù)基本概念

入侵檢測技術(shù)主要針對非法或者未授權(quán)情況下的入侵行為進行檢測,并對計算機網(wǎng)絡(luò)或者網(wǎng)絡(luò)系統(tǒng)中若干關(guān)鍵點的信息進行全面采集、分析,并對計算機系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)中的違法安全策略行為或者被攻擊跡象進行全面檢查[1]。如果在一個計算機系統(tǒng)或者網(wǎng)絡(luò)系統(tǒng)中安裝了入侵檢測系統(tǒng)(IDS),便可對系統(tǒng)中某些特定范圍實現(xiàn)實時監(jiān)控,當系統(tǒng)受到外網(wǎng)攻擊時可迅速檢測并作出響應(yīng)。具體的入侵檢測/響應(yīng)流程如圖1。

二、計算機網(wǎng)絡(luò)運行安全中入侵檢測技術(shù)應(yīng)用策略

2.1 采集入侵信息策略

數(shù)據(jù)是入侵檢測技術(shù)發(fā)揮作用的重要因素之一,常規(guī)情況下檢測數(shù)據(jù)源主要涵蓋:系統(tǒng)、網(wǎng)絡(luò)日志、文件以及目錄中保密事項、執(zhí)行程序中的限制操作行為、入侵物理形式信息等等。

在計算機網(wǎng)絡(luò)應(yīng)用進程中,入侵檢測技術(shù)若需要采集所有相關(guān)信息,則需要在每個網(wǎng)段中部署一個以上的IDS,并根據(jù)對應(yīng)的網(wǎng)絡(luò)結(jié)構(gòu)特征運用多樣連接形式的數(shù)據(jù)采集方式;同時,可在交換機內(nèi)部或者防火墻的數(shù)據(jù)流入口或者出口處設(shè)置入侵檢測系統(tǒng),這樣便可以有效采集相應(yīng)的關(guān)鍵核心數(shù)據(jù)。

若需要采集網(wǎng)絡(luò)系統(tǒng)中不同類別的關(guān)鍵信息,一方面需要根據(jù)檢測對象合理擴大檢測的范圍、設(shè)置截取網(wǎng)絡(luò)數(shù)據(jù)包;另一方面則需要對網(wǎng)絡(luò)系統(tǒng)中的薄弱環(huán)節(jié)進行重點分析。而對于整個計算機網(wǎng)絡(luò)系統(tǒng)而言,產(chǎn)生入侵行為相對較少,只需要建一個數(shù)據(jù)群進行集中處理即可,重點應(yīng)加強對入侵行為的針對性分析能力。

2.2 分析、檢測入侵信息策略

在計算機網(wǎng)絡(luò)運行安全保護中,入侵檢測系統(tǒng)可對各類系統(tǒng)漏洞、網(wǎng)絡(luò)協(xié)議等進行全面分析,且在安全策略、原則基礎(chǔ)上利用自身的異常檢測、濫用檢測模型進行分析過程模擬,科學辨識異?;蛘呙黠@的攻擊行為,最終構(gòu)建一個分析結(jié)果形成報警信息發(fā)送至管理控制中心。對于TCP/IP 協(xié)議網(wǎng)絡(luò)則運用探測引擎技術(shù),利用旁路偵聽方式對流經(jīng)網(wǎng)絡(luò)的所有數(shù)據(jù)包實現(xiàn)動態(tài)監(jiān)測,并根據(jù)用戶設(shè)置的相關(guān)安全策略進行分析檢測,可有效辨識各類網(wǎng)絡(luò)安全事件,并將相關(guān)定位、報警信息發(fā)送至管理控制中心。

2.3 響應(yīng)入侵信息策略

對于入侵報警信息,入侵檢測系統(tǒng)將采取積極的響應(yīng)措施,主要操作包含:告警網(wǎng)絡(luò)引擎、告知管理控制平臺、給安全管理人員發(fā)生郵件、向控制中心通報實時對話情況,詳細記錄現(xiàn)場事件日志,并根據(jù)安全策略設(shè)置合理調(diào)整網(wǎng)絡(luò)配置,并終止不良入侵行為,對于部分特定用戶的相關(guān)程序仍然給予執(zhí)行[2]。同時,在防御外網(wǎng)攻擊中還可以結(jié)合防火墻的優(yōu)勢,構(gòu)建一個協(xié)調(diào)模型以及網(wǎng)絡(luò)完全防御體系。當計算機網(wǎng)絡(luò)正常運行時,防火墻的過濾機制可對流經(jīng)的數(shù)據(jù)包進行對比,對非授信數(shù)據(jù)包采取過濾處理,而對于繞過防火墻的數(shù)據(jù)包則可以利用入侵檢測技術(shù)及時對網(wǎng)絡(luò)攻擊行為進行檢測并迅速作出響應(yīng),從而實現(xiàn)有效防御各類網(wǎng)絡(luò)攻擊行為。

三、結(jié)語

計算機網(wǎng)絡(luò)運行安全防范屬于是一個整體的系統(tǒng)行為,其涉及多個層次的多項防御策略、技術(shù),雖然入侵檢測技術(shù)作為現(xiàn)代計算機網(wǎng)絡(luò)安全的防御體系中一個重要的組成部分,但是其主要功能在于發(fā)現(xiàn)計算機網(wǎng)絡(luò)運行中的安全問題。因此,在計算機網(wǎng)絡(luò)運行安全保護中,入侵檢測技術(shù)仍然需要聯(lián)合其他安全技術(shù),相互配合、協(xié)作,以此來增強自身的安全事件動態(tài)監(jiān)測與響應(yīng)能力,從而為企業(yè)提供一個更為安全的網(wǎng)絡(luò)運行環(huán)境。

參考文獻

第3篇:基于網(wǎng)絡(luò)的入侵檢測范文

關(guān)鍵詞:模糊神經(jīng)Petri網(wǎng);入侵檢測;神經(jīng)網(wǎng)絡(luò);知識學習

中圖分類號:TP393.08

隨著網(wǎng)絡(luò)在人們的日常生活中應(yīng)用不斷增多,網(wǎng)絡(luò)入侵的風險性和機會也越來越多,網(wǎng)絡(luò)安全成為了人們無法回避的問題。入侵檢測技術(shù)已經(jīng)成為一項非常重要的技術(shù),得到越來越多的重視。目前,傳統(tǒng)的入侵檢測方法都是基于模式匹配的入侵檢測方法、基于統(tǒng)計分析的入侵檢測方法等,但它們都存在靈活性和適應(yīng)性差[1,2],檢測效率不高,尤其是對未知的入侵行為檢測存在困難。

針對上述問題,作者提出基于模糊神經(jīng)Petri網(wǎng)(fuzzyneuralPetrinets,F(xiàn)NPN)的網(wǎng)絡(luò)入侵檢測方法,將類似于神經(jīng)網(wǎng)絡(luò)的學習功能引入FPN中。利用FNPN的并行推理能力解決傳統(tǒng)檢測方法靈活性和適應(yīng)性差的問題,實驗結(jié)果表明,本方法具有更高的檢測準確率和更快的檢測速度。

1 基本概念

Petri網(wǎng)是對離散并行系統(tǒng)的數(shù)學表示。Petri網(wǎng)是1960年由Karl?A?Petri發(fā)明的,適合于描述異步的、并發(fā)的計算機系統(tǒng)模型。Petri網(wǎng)既有嚴格的數(shù)學表述方式,也有直觀的圖形表達方式,既有豐富的系統(tǒng)描述手段和系統(tǒng)行為分析技術(shù),又為計算機科學提供堅實的概念基礎(chǔ)[3]。

2 基于FNPN的網(wǎng)絡(luò)入侵檢測方法

基于FNPN的入侵檢測原理如圖1所示:首先利用專家知識建立攻擊知識的初始FNPN模型,然后通過現(xiàn)實網(wǎng)絡(luò)環(huán)境采集含有入侵信息的數(shù)據(jù),利用學習算法對知識模型的參數(shù)進行自動調(diào)整,以提高知識模型的準確度。將調(diào)整好后的模型作為模糊推理的知識,通過模糊推理得到某攻擊發(fā)生的可能性。

基于FNPN的模糊推理過程是攻擊知識的FNPN模型從初始標志開始,所有滿足條件的變遷按順序并行激發(fā)的過程。該過程與基于神經(jīng)網(wǎng)絡(luò)的推理過程相似,是一種并行推理過程,避免了傳統(tǒng)誤用入侵檢測(基于產(chǎn)生式規(guī)則推理)中的推理沖突、組合爆炸等問題,因此具有較高的推理效率;同時,該方法中引入學習算法對初始知識的FNPN模型的參數(shù)進行動態(tài)調(diào)整,以提高知識模型的準確度,從而提高系統(tǒng)的入侵檢測率[6]。

圖1 基于FNPN的入侵檢測原理

2.1 模糊規(guī)則的FNPN表示

一條模糊產(chǎn)生式‘與’規(guī)則對應(yīng)FNPN中的一個變遷,而一條模糊產(chǎn)生式‘或’規(guī)則對應(yīng)一組變遷。同樣一條模糊產(chǎn)生式非規(guī)則對應(yīng)FNPN中的一個變遷,規(guī)則中的命題與FNPN中的庫所一一對應(yīng),規(guī)則中的模糊命題的當前隸屬度值為庫所中的標記值,規(guī)則的信任度對應(yīng)變遷的一個映射函數(shù)[5]。

2.2 FNPN的訓(xùn)練算法

第1步:初始化,根據(jù)專家經(jīng)驗輸入各權(quán)值和變遷信任度的初始值,并把輸入命題和中間命題的總個數(shù)送n,變遷的總個數(shù)送m,樣本總數(shù)N,i和j分別送1,學習步長送δ。

第2步:計算初始誤差,根據(jù)初始權(quán)值和信任度及前面的引發(fā)規(guī)則計算出一組系統(tǒng)可靠度,并根據(jù)計算出初始誤差值。判斷其是否小于規(guī)定的誤差限,若小于的話直接結(jié)束,否則進入下一步。

第3步:依據(jù)學習步長對部件i的權(quán)值進行調(diào)整,并判斷是否每個值都大于等于零,若都大于等于零,則進行下一步,否則轉(zhuǎn)第6步。

第4步:計算出當前系統(tǒng)的誤差值fi與fi-1比較,若fi

第5步:重新調(diào)回原權(quán)值,說明上一步的調(diào)整方向不正確。

第6步:令i=i+1,并判斷其是否大于n,若不大于n,轉(zhuǎn)第3步進行下一部件的權(quán)值調(diào)整,否則進入下一步。

第7步:判斷這時的fi是否小于等于要求的誤差限,若已達到規(guī)定的誤差限,則結(jié)束訓(xùn)練;否則,判斷訓(xùn)練次數(shù)是否超過規(guī)定權(quán)值訓(xùn)練次數(shù),若不超過,則把fi的值賦給f0并重新使i=1轉(zhuǎn)第3步,開始下一輪訓(xùn)練;若已超過權(quán)值訓(xùn)練次數(shù),則進入下一步。

第8步:對信任度進行訓(xùn)練,逐個調(diào)整信任度值但不能超過1,并逐次計算fj并判斷是否小于等于規(guī)定的誤差限,若已經(jīng)達到誤差限,則結(jié)束訓(xùn)練,否則,一直調(diào)整信任度直至達到規(guī)定的信任度訓(xùn)練次數(shù)為止。此時,若還達不到要求的誤差限,則修改模糊規(guī)則,然后返回第一步重新學習。

2.3 FNPN的入侵檢測模型

通過專家知識得到FNPN的最優(yōu)初始權(quán)值,利用最優(yōu)初始權(quán)值的FNPN對入侵檢測數(shù)據(jù)進行學習和訓(xùn)練,得到最優(yōu)的網(wǎng)絡(luò)入侵檢測模型。然后采用這個最優(yōu)網(wǎng)絡(luò)入侵模型對網(wǎng)絡(luò)上采集數(shù)據(jù)進行在線檢測,對檢測結(jié)果進行分析和判斷,最后根據(jù)分析結(jié)果進行相應(yīng)的處理。

3 實例分析

為了對上述方法進行效果分析,本文對BackDoS、BufferOverflow、Guess-Passwd、Imap、IpsweepProbe、Land攻擊、SYNFlooding攻擊共7類攻擊進行基于FNPN和NN的對比識別實驗[7]。

取其中100條包含有以上7類攻擊的記錄,80條作為訓(xùn)練,20條作為測試。其中正常連接19個,攻擊連接81個。

令FNPN和NN的參數(shù)相同學習速率均為0.10,動力因子為0.075,f(x)=1/(1+e-x)。

FNPN的初始權(quán)值和變遷信任度由專家系統(tǒng)根據(jù)其經(jīng)驗的所得。用圖5所示的專家系統(tǒng)的FNPN模型作為網(wǎng)絡(luò)的入侵檢測模型,用所述的學習算法,用Matlab編制程序,并在假設(shè)專家知識的情況下給出一組初值:w11=w21=w31=w41=w51=w61=w71=w81=w91=wa1=0,w12=w22=w32=w42=w52=w62=w72=w82=w92=wa2=1,所有的信任度都取1,步長選為0.0001,用樣本中的80組數(shù)據(jù)對權(quán)值和信任度進行訓(xùn)練。經(jīng)過179次學習后,達到規(guī)定的誤差范圍(

將FNPN和NN的訓(xùn)練結(jié)果對比如圖2所示。表明FNPN的最小平均誤差比NN的最小平均誤差小,且學習速度快。

圖2 FNPN和NN的訓(xùn)練曲線

最后,對訓(xùn)練好的參數(shù)用樣本中的其余20組數(shù)據(jù)進行測試,平均誤差為0.0000154,表1為測試中所有攻擊的識別率統(tǒng)計。結(jié)果表明,基于FNPN的識別方法比基于相同結(jié)構(gòu)的NN對攻擊具有更高的識別率[9]。

表1 基于FNPN和NN的檢測率比較

攻擊類型 檢測率/%

FNPN NN

BackDoS 90.3 84.2

BufferOverflow 86.5 82.4

GuessPasswd 79.9 75.1

Imap 83.7 81.2

IpsweepProbe 88.6 85.8

Land 91.2 87.7

SYNFlooding 85.2 82.7

4 結(jié)論

本文提出的適合于網(wǎng)絡(luò)入侵檢測的模糊神經(jīng)Petri網(wǎng),既具有模糊Petri網(wǎng)自動模糊推理的能力,又具有神經(jīng)網(wǎng)絡(luò)的學習能力。由于采用了基于專家經(jīng)驗的系統(tǒng)結(jié)構(gòu),省去對實際系統(tǒng)建模的困難。與直接用神經(jīng)網(wǎng)絡(luò)進行入侵檢測相比需要訓(xùn)練的參數(shù)更少,節(jié)省了存儲空間,且各參數(shù)具有明確的物理意義。該方法適用于基于結(jié)構(gòu)模糊推理的網(wǎng)絡(luò)入侵檢測。

參考文獻:

[1]危勝軍,胡昌振,高秀峰.基于學習Petri網(wǎng)的網(wǎng)絡(luò)入侵檢測方法[J].兵工學報,2006,27(2):269-272.

[2]趙俊閣,付鈺,劉玲艷.網(wǎng)絡(luò)系統(tǒng)可靠性評估的模糊神經(jīng)Petri網(wǎng)方法[J].火力與指揮控制,2010,35(3):55-57.

[3]ChenSM,KeJS,ChangJF.KnowledgeRepresentationUsingFuzzyPetriNets[J].IEEETransonKnowledgeDataEnergy,1990,2(3):311-319.

[4]原菊梅,侯朝楨,王小藝.復(fù)雜系統(tǒng)可靠性估計的模糊神經(jīng)Petri網(wǎng)方法[J].控制理論與應(yīng)用,2006,23(5):687-691.

[5]KoriemSM.AfuzzyPetriNetToolforModelingandVerificationofKnowledge-basedSystems[J].TheComputerJournal,2000,43(3):206-223.

[6]傅學彥,尹滄濤.神經(jīng)網(wǎng)絡(luò)在網(wǎng)絡(luò)入侵檢測中的應(yīng)用[J].計算機仿真,2010,27(12):152-155.

[7]原菊梅,侯朝楨,王小藝.復(fù)雜系統(tǒng)可靠性估計的模糊神經(jīng)Petri網(wǎng)方法[J].控制理論與應(yīng)用,2006,23(5):687-691.

[8]危勝軍,胡昌振,孫明謙.基于模糊Petri網(wǎng)的誤用入侵檢測方法[J].北京理工大學學報,2007,27(4):312-317.

[9]張白一,崔尚森.基于規(guī)則推理的FPN誤用入侵檢測方法[J].計算機工程,2006,32(14):119-121.

[9]李玲娟,翟雙燦,郭立瑋.用支持向量機預(yù)測中藥水提液膜分離過程[J].計算機與應(yīng)用化學,2010,27(2):149-154.

第4篇:基于網(wǎng)絡(luò)的入侵檢測范文

【 關(guān)鍵詞 】 網(wǎng)絡(luò)安全;入侵檢測技術(shù);數(shù)據(jù)挖掘;孤立點

Intrusion Detection Technology Application in Network Security based on outlier Mining Technology

Li Jun

(Shantou Economic Trade Secondary Vocational and Technical School GuangdongShantou 515041)

【 Abstract 】 The computer network system faces different safety risks in actually using of process. Take the necessary security measures on the computer network system is very important. The article first introduced the intrusion detection technology, and then presented the concept of intrusion detection systems and working principle. Then investigated the intrusion detection system based on data mining technology, and gave a description of the mining algorithm based on similarity and isolated points.

【 Keywords 】 network security; intrusion detection; data mining; isolated point

0 引言

隨著計算機網(wǎng)絡(luò)的發(fā)展,網(wǎng)絡(luò)復(fù)雜性不斷增加,異構(gòu)性越來越高,計算機網(wǎng)絡(luò)面臨的安全性問題越來越嚴峻。惡意程序的種類和數(shù)量的爆發(fā)性增加,嚴重破壞了網(wǎng)絡(luò)運行秩序,因此,關(guān)于網(wǎng)絡(luò)安全的問題已經(jīng)被越來越廣泛地研究。

網(wǎng)絡(luò)安全是一門涉及多種學科的綜合性學科,當網(wǎng)絡(luò)的用戶來自社會各個階層與部門時,大量在網(wǎng)絡(luò)中存儲和傳輸?shù)臄?shù)據(jù)就需要保護,確保網(wǎng)絡(luò)中硬件、軟件資源及各種信息受到保護,避免遭到惡意的篡改、截獲和偽造,使網(wǎng)絡(luò)服務(wù)正常,系統(tǒng)可靠運行。

網(wǎng)絡(luò)安全的研究實質(zhì)上就是針對保密通信、安全協(xié)議的設(shè)計和訪問控制三項內(nèi)容的相關(guān)理論和技術(shù)的研究??梢酝ㄟ^流量分析檢測網(wǎng)絡(luò)流量的異常并做出有效的響應(yīng)來確保網(wǎng)絡(luò)的正常運行?,F(xiàn)在應(yīng)用于網(wǎng)絡(luò)安全方面的技術(shù)有數(shù)字簽名、數(shù)據(jù)加密、防火墻等,這些技術(shù)作為保護網(wǎng)絡(luò)是有效的,但是有其自身的局限性,比如防火墻技術(shù)可以阻止外部攻擊但阻止不了內(nèi)部攻擊且不能提供實時監(jiān)測等。所以,建立一個基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)異常入侵檢測技術(shù)是有必要的,它可以作為防火墻的補充提供流量分析,能有效避免網(wǎng)絡(luò)黑客入侵,從多個方面準確分析系統(tǒng)漏洞且采取措施處理。因而基于數(shù)據(jù)挖掘的入侵檢測系統(tǒng)的研究可以有效保證網(wǎng)絡(luò)的安全運行。

1 入侵檢測技術(shù)

1.1 概念

入侵檢測技術(shù)是一種用來檢測是否有入侵行為的一種技術(shù),它是入侵檢測系統(tǒng)(Intrusion Detection System, IDS)的核心技術(shù),可以抵抗來自網(wǎng)絡(luò)的入侵行為,保護自己免受攻擊,保證計算機系統(tǒng)的安全。入侵檢測技術(shù)通過將入侵行為的過程與網(wǎng)絡(luò)會話數(shù)據(jù)特征匹配,可以檢測到計算機網(wǎng)絡(luò)中的違反安全策略的行為并做出響應(yīng),采取相關(guān)措施應(yīng)對網(wǎng)絡(luò)攻擊。入侵檢測在網(wǎng)絡(luò)系統(tǒng)受到危害之前就對內(nèi)部攻擊、外部攻擊和誤操作等進行攔截并響應(yīng)入侵,它作為一種積極主動地安全防護技術(shù),為計算機系統(tǒng)提供實時保護。

1.2 入侵檢測技術(shù)的內(nèi)容

入侵檢測技術(shù)的任務(wù)執(zhí)行主要包括以下內(nèi)容:

(1)對重要的文件和系統(tǒng)資源進行完整性評估和檢測;

(2)檢查系統(tǒng)構(gòu)造,評估系統(tǒng)是否存在漏洞,不斷檢測、監(jiān)視和分析用戶和系統(tǒng)的活動;

(3)對檢測的網(wǎng)絡(luò)攻擊行為進行報警,便于用戶或管理者采取相應(yīng)的措施;

(4)對日常行為和異常行為進行統(tǒng)計,并將這兩種行為模式對比和分析;

(5)跟蹤管理操作系統(tǒng)日志,識別違反安全策略的用戶行為。

入侵檢測技術(shù)是安全審核的核心技術(shù)之一,可檢測出計算機網(wǎng)絡(luò)中破壞網(wǎng)絡(luò)運行秩序的行為,這項技術(shù)可以及時檢測到系統(tǒng)中的異常行為和未授權(quán)的現(xiàn)象。對網(wǎng)絡(luò)正常運行的破壞行為通常分為兩種,一種是非法用戶的違規(guī)入侵,另一種是合法用戶的濫用行為。通過對記錄的審核,入侵檢測系統(tǒng)可以識別并限制所有不希望存在的行為,保證系統(tǒng)的安全和網(wǎng)絡(luò)的正常運行。在系統(tǒng)受到入侵攻擊時,入侵檢測系統(tǒng)可以像管理者報警驅(qū)逐入侵攻擊,進而保護系統(tǒng)免受傷害,并且在系統(tǒng)被入侵攻擊之后,入侵檢測系統(tǒng)可以對攻擊信息進行收集和分析,將信息填充到系統(tǒng)特征庫,升級系統(tǒng)的防范能力。

1.3 入侵檢測技術(shù)的分類

第5篇:基于網(wǎng)絡(luò)的入侵檢測范文

關(guān)鍵詞:計算機網(wǎng)絡(luò)安全;入侵檢測

中圖分類號:TP393.08 文獻標識碼:A 文章編號:1674-7712 (2012) 12-0100-01

一、入侵檢測技術(shù)在維護計算機網(wǎng)絡(luò)安全中的應(yīng)用

(一)網(wǎng)絡(luò)入侵檢測

網(wǎng)絡(luò)入侵檢測有基于硬件和軟件的,二者的工作流程是基本相同的。需將網(wǎng)絡(luò)接口的模式設(shè)置為混雜模式,以便對流經(jīng)該網(wǎng)段的全部數(shù)據(jù)進行實時的監(jiān)控,做出分析,再和數(shù)據(jù)庫中預(yù)定義的具備攻擊特征屬性做出比較,從而把有害的攻擊數(shù)據(jù)包識別出來,進行響應(yīng),并記錄日志[1]。

1.體系結(jié)構(gòu)。網(wǎng)絡(luò)入侵檢測的體系結(jié)構(gòu)通常由三大部分組成,分別為Agent、Console以及Manager。其中,Agent的作用是對網(wǎng)段以內(nèi)的數(shù)據(jù)包進行監(jiān)視,發(fā)現(xiàn)攻擊信息并把相關(guān)的數(shù)據(jù)發(fā)送到管理器;Console的主要作用是負責收集處信息,顯示所受攻擊信息,把攻擊信息及相關(guān)數(shù)據(jù)發(fā)送到管理器;Manager的作用則主要是響應(yīng)配置攻擊警告信息,控制臺所的命令也由Manager來執(zhí)行,再把所發(fā)出的攻擊警告發(fā)送至控制臺。

2.工作模式。網(wǎng)絡(luò)入侵檢測,每個網(wǎng)段都部署多個入侵檢測的,按網(wǎng)絡(luò)拓撲結(jié)構(gòu)的不同,的連接形式也不相同。利用交換機核心芯片中的調(diào)試端口,將入侵檢測系統(tǒng)與該端口相連接。或者把它放在數(shù)據(jù)流的關(guān)鍵點上,就可以獲取幾乎全部的關(guān)鍵數(shù)據(jù)。

3.攻擊響應(yīng)及升級攻擊特征庫、自定義攻擊特征。入侵檢測系統(tǒng)檢測到惡意攻擊信息,響應(yīng)方式多種多樣,比如發(fā)送電子郵件、切斷會話、通知管理員、記錄日志、通知管理員、查殺進程、啟動觸發(fā)器以及開始執(zhí)行預(yù)設(shè)命令、取消用戶賬號以及創(chuàng)建報告等等[2]。升級攻擊特征庫是把攻擊特征庫文件通過手動或者自動的形式從相關(guān)站點中下載下來,再利用控制臺實時添加進攻擊特征庫。

(二)主機入侵檢測

主機入侵檢測會設(shè)置在被重點檢測的主機上,從而對本主機的系統(tǒng)審計日志、網(wǎng)絡(luò)實時連接等信息并做出智能化的分析與判斷。如果發(fā)展可疑情形,則入侵檢測系統(tǒng)就會有針對性的采用措施?;谥鳈C的入侵檢測系統(tǒng)可以具體實現(xiàn)以下功能:對操作系統(tǒng)及其所做的所有行為進行全程監(jiān)控;持續(xù)評估系統(tǒng)、應(yīng)用以及數(shù)據(jù)的完整性,并進行主動的維護;創(chuàng)建全新的安全監(jiān)控策略,實時更新;對于未經(jīng)授權(quán)的行為進行檢測,并發(fā)出報警,同時也可以執(zhí)行預(yù)設(shè)好的響應(yīng)措施;將所有日志收集起來并加以保護,留作后用。主機入侵檢測系統(tǒng)對于主機的保護很全面細致,但要在網(wǎng)絡(luò)中全面部署則成本太高。并且主機入侵檢測系統(tǒng)工作時要占用被保護主機的CPU處理資源,所以可能會降低被保護主機的性能[3]。

二、高校網(wǎng)絡(luò)環(huán)境的入侵檢測方案的問題

(一)高校網(wǎng)絡(luò)環(huán)境入侵檢測方案

伴隨網(wǎng)絡(luò)技術(shù)的高速發(fā)展,網(wǎng)絡(luò)安全已經(jīng)成為不能不考慮的問題。入侵檢測方案正是利用網(wǎng)絡(luò)平臺,通過與遠程服務(wù)器交換,將終端數(shù)據(jù)庫分布實現(xiàn)入侵檢測監(jiān)控。設(shè)計應(yīng)盡量符合人的感知和認知。多數(shù)高校網(wǎng)絡(luò)環(huán)境采用基于WEB的數(shù)據(jù)庫的轉(zhuǎn)換和數(shù)據(jù)交換監(jiān)控,數(shù)據(jù)庫相對簡單,入侵檢測方式單一,但可靠性低。面對平臺和數(shù)據(jù)容量的增加,客觀上要求基于自動檢測,要對數(shù)據(jù)庫進行分析、聚類、糾錯的高效網(wǎng)絡(luò),才能處理,實現(xiàn)用戶交互,優(yōu)化平臺數(shù)據(jù)的可擴展性[4]。

(二)高校網(wǎng)絡(luò)環(huán)境入侵檢測的關(guān)鍵點

高校網(wǎng)絡(luò)環(huán)境的入侵檢測方案的關(guān)鍵點就是要充分利用高校網(wǎng)絡(luò)資源平臺,整合數(shù)據(jù)庫、角色管理的安全模型、校園無縫監(jiān)控、多方位反饋與應(yīng)對系統(tǒng)等資源,預(yù)測或?qū)崟r處理高校網(wǎng)絡(luò)入侵時間的發(fā)生。

三、高校網(wǎng)絡(luò)環(huán)境的入侵檢測方案思考

(一)建立適合高校網(wǎng)絡(luò)環(huán)境的檢測系統(tǒng)平臺

高校網(wǎng)絡(luò)環(huán)境的入侵檢測,可采納“云計算技術(shù)”,實現(xiàn)檢測方案系統(tǒng)。利用其高速傳輸能力,將計算、存儲、軟件、服務(wù)等資源從分散的個人計算機或服務(wù)器移植到互聯(lián)網(wǎng)中集中管理的大規(guī)模分布的高性能計算機、個人計算機、虛擬計算機中,從而使用戶像使用電能一樣使用這些資源。大量計算資源構(gòu)成資源池,用于動態(tài)創(chuàng)建高度虛擬化的資源提供用戶使用。改變了資源提供商需要獨立、分散建造機房、運營系統(tǒng)、維護安全的困難,降低了整體的能源消耗。

(二)入侵檢測機制

入侵檢測體系結(jié)構(gòu)須依據(jù)網(wǎng)絡(luò)NIDS模塊,構(gòu)建檢測管理平臺:模塊組成主要有:應(yīng)用任務(wù)模塊;入侵檢測與分析模塊;數(shù)據(jù)庫交換模塊(負責數(shù)據(jù)包的嗅探、數(shù)據(jù)包預(yù)處理過濾和固定字段的模式匹配)。實現(xiàn)實時的流量分析與入侵檢測功能。針對硬件邏輯和核心軟件邏輯采用高效的檢測策略規(guī)則。檢測模型包括三個主要流程步驟:

1.調(diào)度平臺從用戶的請求隊列中首先取出優(yōu)先級最高的用戶請求R。R讀取元數(shù)據(jù)庫,根據(jù)請求的硬件資源判斷是否能被當前空閑資源滿足。如果滿足,轉(zhuǎn)向步驟2;如果不滿足,判斷是否可以通過平臺虛擬機的遷移,釋放相關(guān)資源;如果可以,則執(zhí)行遷移操作,轉(zhuǎn)步驟2;如果遷移也無法完成,則退出,并報告無法完成請求。

2.如果資源請求可以滿足,調(diào)度服務(wù)器可從存儲結(jié)點中選擇與用戶請求相對應(yīng)的虛擬機模板T(新建立的虛擬機)或虛擬機鏡像I。

3.調(diào)度服務(wù)器將I遷入相對應(yīng)的物理機,并創(chuàng)建相對應(yīng)的虛擬機實例V。

四、總結(jié)

要提高計算機網(wǎng)絡(luò)系統(tǒng)的安全性,不但要靠技術(shù)支持,更需要依靠高校自身良好的維護與管理。高校網(wǎng)絡(luò)環(huán)境的入侵檢測方案的思考,適應(yīng)高校檢測環(huán)境的發(fā)展要求,必須把握其發(fā)展方向和關(guān)鍵技術(shù),實現(xiàn)高效入侵檢測。

參考文獻:

[1]胥瓊丹.入侵檢測技術(shù)在計算機網(wǎng)絡(luò)安全維護中的應(yīng)用[J].電腦知識與技術(shù),2010,11

[2]劉明.試析計算機網(wǎng)絡(luò)入侵檢測技術(shù)及其安全防范[J].計算機與網(wǎng)絡(luò),2011,1

第6篇:基于網(wǎng)絡(luò)的入侵檢測范文

關(guān)鍵詞: 網(wǎng)絡(luò)入侵; 信號檢測; 譜分析; 經(jīng)驗?zāi)B(tài)分解

中圖分類號: TN911.23?34; TP393 文獻標識碼: A 文章編號: 1004?373X(2017)03?0058?04

Design and optimization of signal detection system after network intrusion

LI Wei, GU Hailin, HUANG Xing

(Information and Communication Engineering Center, Information Communication Branch Company of

State Grid Liaoning Electric Power Co., Ltd., Shenyang 110006, China)

Abstract: Since the accuracy of the current network intrusion anomaly detection is low, the optimization design for the abnormal signal detection system after network intrusion was performed, and the network intrusion abnormal signal detection algorithm based on higher?order time?spectrum analysis is proposed. The improvement design for the signal detection algorithm was conducted, and the network intrusion signal model was constructed to decompose the non?stationary signal empirical mode and extract the higher?order time?spectrum feature of the network anomaly signal after network intrusion. The signal detection system was developed, and its performance was test with simulation experiment. The simulation results show that the signal detection system can accurately detect the abnormal signal after network intrusion, and its accurate detection probability is higher than that of the traditional method.

Keywords: network intrusion; signal detection; spectrum analysis; empirical mode decomposition

0 引 言

S著計算機技術(shù)和網(wǎng)絡(luò)技術(shù)的快速發(fā)展,網(wǎng)絡(luò)運行的速度不斷增快,網(wǎng)絡(luò)傳輸和處理的數(shù)據(jù)信息不斷增多,網(wǎng)絡(luò)安全受到管理者和用戶的重視[1?2]。網(wǎng)絡(luò)安全主要包括網(wǎng)絡(luò)的物理安全、網(wǎng)絡(luò)拓撲結(jié)構(gòu)安全、網(wǎng)絡(luò)系統(tǒng)安全等。網(wǎng)絡(luò)入侵通過病毒植入,實現(xiàn)非法存取、拒絕服務(wù)和網(wǎng)絡(luò)資源非法占用等,達到攻擊用戶私密信息的目的。網(wǎng)絡(luò)被入侵后會出現(xiàn)異常信號,通過對網(wǎng)絡(luò)被入侵后的入侵信號進行檢測,保障網(wǎng)絡(luò)安全,研究相關(guān)的信號檢測算法和系統(tǒng)受到人們的極大關(guān)注[3?4]。

針對當前對網(wǎng)絡(luò)入侵異常檢測精度不高的問題,提出基于高階時頻譜分析的網(wǎng)絡(luò)入侵異常信號檢測算法,并通過仿真實驗進行性能測試。

1 算法設(shè)計

1.1 信號模型構(gòu)建與分析

首先對網(wǎng)絡(luò)被入侵后的異常信號模型進行構(gòu)建和特征分析,網(wǎng)絡(luò)被入侵后的數(shù)據(jù)傳輸節(jié)點分布為一個寬平穩(wěn)的隨機信道模型,異常信號分布在一個多徑時變的非平穩(wěn)傳輸信道中,采用短時傅里葉變換構(gòu)建網(wǎng)絡(luò)被入侵后的異常信號傳輸?shù)男诺滥P兔枋鰹閇5?6]:

[x(t)=Rean(t)e-j2πfcτn(t)slt-τn(t)e-j2πfct] (1)

式中:網(wǎng)絡(luò)被入侵后異常信號的加窗函數(shù)[x(t)]在時間[t]的短時傅里葉變換就是[x(t)]乘上一個以[t]為中心的“分析窗”,由于短時傅里葉變換,在所有窗函數(shù)里建立時間窗。

當短時傅里葉變換為一種線性變換,輸出的信號沖激響應(yīng)為[γ*(t-t),]根據(jù)網(wǎng)絡(luò)被入侵后異常信號的時頻分辨率不變性,信號短時譜定義為:

[STFT(γ)x(t, f)=-∞∞[x(t)γ*(t-t)]e-j2πftdt] (2)

采用短時傅里葉變換使得網(wǎng)絡(luò)入侵信號的短時傅里葉基數(shù)STFT保持信號[x(t)]的頻移特性,網(wǎng)絡(luò)被入侵的時間尺度脈沖響應(yīng)為:

[c(τ,t)=nan(t)e-j2πfcτn(t)δ(t-τn(t))] (3)

式中:[an(t)]是第[n]條網(wǎng)絡(luò)傳輸信道上的異常信號的單分量主頻特征;[τn(t)]為第[n]條垂直無窮長窗函數(shù)的時延;[fc]為網(wǎng)絡(luò)被入侵的信道調(diào)制頻率。

設(shè)網(wǎng)絡(luò)被入侵數(shù)據(jù)傳輸節(jié)點的傳遞路徑有[P]條,采用頻率分辨率調(diào)制濾波[7],得到網(wǎng)絡(luò)被入侵后的異常信號傳輸?shù)亩鄰叫诺纻鬟f函數(shù)為:

[h(t)=i=1Paip(t-τi)] (4)

式中:[ai]和[τi]分別是時間分辨率和傳播損失。

網(wǎng)絡(luò)被入侵后數(shù)據(jù)傳輸?shù)男诺捞卣鞣植己瘮?shù)為:

[y(t)=x(t-t0)?Wy(t,v)=Wx(t-t0,v)y(t)=x(t)ej2πv0t?Wy(t,v)=Wx(t,v-v0)] (5)

對于兩個能量相同的信號,定義窗函數(shù)的時寬[Δt]為:

[Δt2=t2G(t)2dtG(t)2dt] (6)

通過時頻伸縮,可得網(wǎng)絡(luò)被入侵后異常信號的頻譜特征為:

[y(t)=kx(kt), k>0,Wy(t,v)=Wx(kt,vk)] (7)

式中:[k]表示時間分辨采樣頻率;[v]表示網(wǎng)絡(luò)被入侵后輸出信道的帶寬;[Wx]為時間窗口函數(shù),式(7)表示網(wǎng)絡(luò)被入侵的信道中的時域和頻域的伸縮尺度。時間分辨率和頻率分辨率在頻譜寬度一致性特征的情況下,構(gòu)建網(wǎng)絡(luò)入侵的異常信號模型為:

[z(t)=x(t)+iy(t)=a(t)eiθ(t)] (8)

式中:[z(t)]表示入侵后的異常信號;[x(t)]表示殘余函數(shù);[y(t)]表示網(wǎng)絡(luò)入侵后異常信號的殘余量;[a(t)]表示非線性、非平穩(wěn)的多分量信號的上下包絡(luò)線;[θ(t)]表示入侵偏移相位。

通過單分量信號的尺度分解將原始信號分解為多個低頻分量之和,得到網(wǎng)絡(luò)入侵后的異常信號的包絡(luò)特征為:

[a(t)=x2(t)+y2(t), θ(t)=arctany(t)x(t)] (9)

式中:[a(t)]和[θ(t)]分別是網(wǎng)絡(luò)被入侵后異常信號的高頻特征分量的包絡(luò)和相位。

1.2 信號檢測算法實現(xiàn)

定義[D=(dγ)γ∈Γ]為網(wǎng)絡(luò)入侵異常信號分布特征空間[H]中的入侵數(shù)據(jù)向量組成的基函數(shù)集,在對受到強雜波背景干擾下入侵后的網(wǎng)絡(luò)異常信號[x(t)]進行經(jīng)驗?zāi)B(tài)分解,每層分解的誤差分量表示為:

[xmin, j=maxxmin, j,xg, j-ρ(xmax, j-xmin, j)] (10)

[xmax, j=minxmax, j,xg, j+ρ(xmax, j-xmin, j)] (11)

入侵特征檢測的偏移量頻譜區(qū)間在[[xmin, j,xmax, j]]內(nèi)構(gòu)成局部時間尺度分量的滑動時間窗口,[ρ]為網(wǎng)絡(luò)入侵異常信號屬性特征調(diào)整系數(shù),定義為:

[ρ=o∈Nk-dist(p)lrdk(o)lrdk(p)Nk-dist(p)] (12)

采用頻率調(diào)制對信號進行高階譜特征提取,以過零點定義的IMF函數(shù)為一個采樣特征區(qū)間,表示為:[Yk=yk1,yk2,…,ykj,…,ykJ, k=1,2,…,N] (13)

通過頻率調(diào)制去除網(wǎng)絡(luò)被入侵后異常信號的虛假分量,在對網(wǎng)絡(luò)入侵后異常信號的局部均值進行后置聚焦檢測后,采用時頻特征分析方法進行網(wǎng)絡(luò)被入侵后的異常信號的時域特征分解,得到頻譜偏移量為:

[fi(n)=ln[λi(n)]2πΔt] (14)

式中[Δt]表示信號采樣時間間隔。

由此計算網(wǎng)絡(luò)被入侵后異常信號的穩(wěn)態(tài)概率:

[WDx(t,f)=xt+τ2x*t-τ2e-j2πftdτ] (15)

式中:[f]表示異常信號的頻域瞬態(tài)函數(shù);[x*]表示υ始信號取卷積。

選擇時間?頻率聯(lián)合特征匹配方法,得到網(wǎng)絡(luò)被入侵后的異常信號差異函數(shù)[f]和基[dγ0]之間的匹配程度為:

[λn(dγ0)=-∞+∞f(t)d*γ0(t)dt] (16)

采用自適應(yīng)級聯(lián)濾波方法進行信號濾波,得到異常信號檢測的一組極大線性無關(guān)組,[dγ]的邊緣特性解向量[L2(R)]是稠密的,得到網(wǎng)絡(luò)入侵后的異常信號的能量密度滿足:

[f,dγ0≥asupγ∈Γf,dγ] (17)

準確檢測概率滿足:

[f=f,dγ0dγ0+Rf] (18)

2 系統(tǒng)硬件設(shè)計與軟件開發(fā)

2.1 信號檢測系統(tǒng)的硬件設(shè)計

系統(tǒng)的模塊化設(shè)計主要包括濾波電路模塊、信號采樣A/D電路模塊、DSP集成處理主控模塊和檢測輸出模塊等,首先構(gòu)建信號濾波器電路,進行網(wǎng)絡(luò)被入侵后異常信號的檢測濾波,濾波結(jié)構(gòu)模型如圖1所示。

以網(wǎng)絡(luò)被入侵后異常信號的A/D數(shù)據(jù)采集作為原始輸入,給出級聯(lián)自適應(yīng)濾波器形式為:

[H(z)=N(z)D(z)] (19)

式中:[N(z)]是異常信號檢測系統(tǒng)的低通信道函數(shù),它的零點在[z=e±jω0]處;[D(z)]為盲源分離狀態(tài)函數(shù)。

由濾波器的控制篩分參數(shù)[a]和帶寬參數(shù)[r]確定自適應(yīng)級聯(lián)濾波器的階數(shù)和調(diào)制頻率,初始頻率為:

[ω0=arccos(-a2)] (20)

在前饋放大約束下,通過抽頭加權(quán)得到入侵后的異常信號檢測濾波器低通響應(yīng)特征函數(shù)為:

[ejπ=V(ejω0)=sinθ2+sinθ1(1+sinθ2)ejω0+ej2ω01+sinθ1(1+sinθ2)ejω0+sinθ2ej2ω0] (21)

網(wǎng)絡(luò)被入侵后異常信號檢測系統(tǒng)的信號濾波器的傳遞函數(shù)為:

[H(z)=121+V(z)V(ejω)+ejΦ(ω)] (22)

根據(jù)濾波傳遞函數(shù),采用DSP信號處理器和PCI總線進行電路設(shè)計,得到濾波電路設(shè)計如圖2所示。

信號采樣A/D電路模塊實現(xiàn)網(wǎng)絡(luò)入侵后的異常信號檢測原始數(shù)據(jù)采樣和數(shù)模轉(zhuǎn)換功能,采用16位定點DSP作為控制芯片,采用FLASH中的應(yīng)用程序bootloader自動調(diào)整系統(tǒng)的放大倍數(shù),從片內(nèi)ROM的0FF80H起執(zhí)行程序,控制A/D轉(zhuǎn)換器進行正常采樣,得到信號檢測系統(tǒng)的信號采樣A/D電路設(shè)計如圖3所示。

DSP集成處理主控模塊是網(wǎng)絡(luò)被入侵后異常信號檢測系統(tǒng)的核心模塊,主控模塊的時鐘頻率為33 MHz或66 MHz,DSP集成處理環(huán)境下異常信號處理程序是在CCS 2.20開發(fā)平臺下進行,DSP通過雙端口RAM(IDT70V28)進行數(shù)據(jù)通信,DSP信號處理器設(shè)計主要包括5409A引腳設(shè)置、JTAG設(shè)計,地址總線LA[16:1],檢測輸出模塊選擇引腳、時鐘信號輸入引腳,通過CPLD編程ADM706SAR進行系統(tǒng)復(fù)位,得到主控模塊的DSP接口連線如圖4所示。

2.2 系統(tǒng)的軟件開發(fā)實現(xiàn)

網(wǎng)絡(luò)被入侵后異常信號檢測系統(tǒng)的軟件開發(fā)處理程序在CCS 2.20開發(fā)平臺下進行。采用C5409A XDS510 Emulator仿真器進行檢測算法編程設(shè)計,采用程序加載電路進行異常信號檢測算法的寫入和數(shù)據(jù)讀取,處理程序都是用ASM語言編寫,與VB,VC等可視化開發(fā)平臺進行匯編,鏈接生成.out文件,代碼設(shè)計時把應(yīng)用程序轉(zhuǎn)Q成.hex格式代碼,把loader和用戶程序都燒寫到FLASH中,在0FF81H處寫loader程序的入口地址,得到網(wǎng)絡(luò)被入侵后異常信號檢測系統(tǒng)的程序設(shè)計流程如圖5所示。

3 性能的測試

首先對SPCR1(串口接收控制寄存器)和SPCR2(串口發(fā)送控制寄存器)進行復(fù)位串口配置,配置PCR(串口控制引腳寄存器)的FSXM=1,進行網(wǎng)絡(luò)入侵采樣,采樣的樣本數(shù)為1 024,采用網(wǎng)絡(luò)爬蟲技術(shù)進行病毒入侵的數(shù)據(jù)爬取,爬取次數(shù)為100 598次,啟動串口0的采樣率,得到兩個幀同步之間的異常信號。網(wǎng)絡(luò)入侵異常信號的中心采用頻率為[f0=1 000]Hz,接收器和發(fā)送器的激活頻率為[fs=10] kHz,信號的采樣帶寬[B=1 000]Hz,其調(diào)頻率[k=BT=13.8] Hz,信號檢測過程中的干擾信噪比為-30 dB,根據(jù)上述仿真環(huán)境和參數(shù)設(shè)定,進行網(wǎng)絡(luò)被入侵后的異常信號檢測仿真,得到采樣的原始網(wǎng)絡(luò)信號如圖6所示。

以上述采樣信號為測試對象,輸入到本文設(shè)計的異常信號檢測系統(tǒng)中,得到檢測輸出的高階時頻譜如圖7所示。

從圖7可見,本文設(shè)計的信號檢測系統(tǒng)能準確檢測到異常信號的頻譜特征,對低頻干擾信號的抑制性能較好,檢測輸出的峰度聚焦性較好,展示了較高的檢測性能,為了對比,采用本文方法和傳統(tǒng)方法,以準確檢測概率為測試指標,得到的結(jié)果如圖8所示。從圖8可見,采用本文系統(tǒng)進行網(wǎng)絡(luò)入侵后異常信號檢測的準確檢測概率較高,且性能優(yōu)于傳統(tǒng)方法。

4 結(jié) 語

網(wǎng)絡(luò)被入侵后會出現(xiàn)異常信號,通過對網(wǎng)絡(luò)被入侵后的入侵信號檢測,保障網(wǎng)絡(luò)安全。本文提出基于高階時頻譜分析的網(wǎng)絡(luò)入侵異常信號檢測算法,仿真結(jié)果表明,本文算法的準確檢測概率高于傳統(tǒng)方法,具有較高的應(yīng)用價值。

參考文獻

[1] 陸興華,陳平華.基于定量遞歸聯(lián)合熵特征重構(gòu)的緩沖區(qū)流量預(yù)測算法[J].計算機科學,2015,42(4):68?71.

[2] 楊雷,李貴鵬,張萍.改進的Wolf一步預(yù)測的網(wǎng)絡(luò)異常流量檢測[J].科技通報,2014,30(2):47?49.

[3] 周煜,張萬冰,杜發(fā)榮,等.散亂點云數(shù)據(jù)的曲率精簡算法[J].北京理工大學學報,2010,30(7):785?790.

[4] MERNIK M, LIU S H, KARABOGA M D, et al. On clarifying misconceptions when comparing variants of the Artificial Bee Colony Algorithm by offering a new implementation [J]. Information sciences, 2015, 291(C): 115?127.

[5] 沈淵.基于入侵關(guān)聯(lián)跟蹤的P2P網(wǎng)絡(luò)入侵檢測方法[J].科技通報,2013,29(6):32?34.

第7篇:基于網(wǎng)絡(luò)的入侵檢測范文

Abstract: Network intrusion detection and early warning technology are the reasonable add to firewall which help the system work against network attacks and provide the real-time guard for internal and external attacks and misuse. Based on this system's design and implementation, the paper gives the detailed discussion.

關(guān)鍵詞:入侵檢測系統(tǒng);設(shè)計;實現(xiàn)

Key words: intrusion detection system;designing;realization

中圖分類號:TP30 文獻標識碼:A文章編號:1006-4311(2010)24-0166-01

0引言

入侵檢測系統(tǒng)(Intrus Jon Detection system,IDS)為計算機系統(tǒng)的完整性??捎眯约翱尚判蕴峁┓e極主動的保護,并在計算機系統(tǒng)受到危害之前進行攔截防衛(wèi)。IDS對網(wǎng)絡(luò)的控制手段有:黑名單斷開、灰名單報警、阻塞HTTP請求、通知防火墻阻斷和通過SN-MPTrap報警等。

1技術(shù)的分析

1.1 異常。異常發(fā)現(xiàn)技術(shù)的前提是假定所有入侵行為都是與正常行為不同的。首先通過訓(xùn)練過程建立起系統(tǒng)正常行為的軌跡,然后在實際運用中把所有與正常軌跡不同的系統(tǒng)狀態(tài)視為可疑。

但異常發(fā)現(xiàn)技術(shù)的缺點是并非所有的入侵都表現(xiàn)為異常。

1.2 誤用。誤用發(fā)現(xiàn)技術(shù)的入侵檢測是指通過預(yù)先精確定義的入侵模式,對觀察到的用戶行為和資源使用情況進行檢測。如入侵簽名說明了導(dǎo)致誤用事件弱點的特征、條件、序列和關(guān)系,還包含系統(tǒng)狀態(tài)。

1.3 模式。假定所有入侵行為和手段都能夠表達為一種模式或特征,那么所有已知的入侵方法都可以用匹配發(fā)現(xiàn)。模式發(fā)現(xiàn)的關(guān)鍵是如何表達入侵的模式,定義發(fā)現(xiàn)入侵的規(guī)則庫,把真正的入侵與正常行為區(qū)分開來。

2入分檢測系統(tǒng)的設(shè)計與實現(xiàn)

2.1 實驗系統(tǒng)的整體設(shè)計。本實驗系統(tǒng)界面部分主要在Visual 2005開發(fā)環(huán)境中完成。實驗系統(tǒng)使用的是其中Visual C#語言開發(fā) Web 應(yīng)用程序的方法。

將實驗系統(tǒng)的實現(xiàn)主要分為9個子模塊,包括網(wǎng)絡(luò)安全實驗系統(tǒng)歡迎和登陸、入侵檢測方式選擇、入侵檢測實驗系統(tǒng)總體介紹、局域網(wǎng)的指定網(wǎng)段中正在嗅探主機程序流程圖的展現(xiàn)、檢測局域網(wǎng)的指定網(wǎng)段中正在嗅探主機的詳細信息、WinPcap驅(qū)動介紹、局域網(wǎng)中正在進行端口掃描主機程序流程圖展現(xiàn)、檢測局域網(wǎng)中正在進行端口掃描主機的詳細信息、Libnids開發(fā)包介紹。

2.2 網(wǎng)絡(luò)嗅探檢測。

2.2.1 基本原理。下面以Windows系統(tǒng)為例說明。

FF-FF-FF-FF-FF-FF:這個是一個正規(guī)的廣播地址,不管是正常模式還是其他模式,都會被網(wǎng)卡接收并傳遞給系統(tǒng)核心。

FF-FF-FF-FF-FF-FE:這個地址對于網(wǎng)卡來說,不是一個廣播地址,在正常模式下會被網(wǎng)卡拋棄,但是系統(tǒng)核心是認為這個地址同F(xiàn)F-FF-FF-FF-FF-FF是完全一樣的。如果處于混雜模式,將被系統(tǒng)核心接收,并認為是一個廣播地址。所有的Windows操作系統(tǒng)都是如此。

FF-FF-00-00-00-00:Windows核心只對前面兩字節(jié)作判斷,核心認為這是一個同F(xiàn)F-FF-FF-FF-FF-FF一樣的廣播地址。這就是為什么FF-FF-FF-FF-FF-00也是廣播地址的原因。

FF-00-00-00-00-00:對于Win9x或WinME,則是檢查前面的一個字節(jié)。因此會認為這個是一個廣播地址。

所以,目的就要讓正常模式的網(wǎng)卡拋棄掉探測包,而讓混雜模式的系統(tǒng)核心能夠處理探測。發(fā)送一個目的地址為FF-FF-FF-FF-FF-FE(系統(tǒng)會認為屬于廣播地址)的ARP請求,對于普通模式(廣播等)的網(wǎng)卡,這個地址不是廣播地址,就會直接拋棄,而如果處于混雜模式,那么ARP請求就會被系統(tǒng)核心當作廣播地址處理,然后提交給嗅探器程序。系統(tǒng)核心就會應(yīng)答這個ARP請求。

2.2.2 主要數(shù)據(jù)結(jié)構(gòu)和函數(shù)。使用到WinPcap中的主要數(shù)據(jù)結(jié)構(gòu)和自定義的數(shù)據(jù)結(jié)構(gòu)PACKET、ETHDR、ARPHDR、IPHDR。

2.3 端口掃描檢測。

2.3.1 基本原理。一個端口掃描被定義為在T秒時間內(nèi)對目標系統(tǒng)超過P個端口的TCP連接請求,或者是對應(yīng)的UDP數(shù)據(jù)包。因此可以采用異常檢測技術(shù)來檢測端口掃描,即定義為在TCP連接過程中,如果檢測到相同源地址掃描TCP端口的數(shù)目大于閾值就認為發(fā)生了端口掃描攻擊,根據(jù)TCP的標志位判斷掃描類型。在本實驗系統(tǒng)中該部分功能的實現(xiàn)主要由Libnids開發(fā)包中默認函數(shù)syslog()完成。本系統(tǒng)可以根據(jù)TCP的標志位判斷掃描類型,可以檢測SYN、NULL、FIN三種標志位變化的掃描。

2.3.2 主要數(shù)據(jù)結(jié)構(gòu)和函數(shù)。使用到的主要數(shù)據(jù)結(jié)構(gòu)有檢測掃描用的相關(guān)信息SCAN、HOST、IP_HDR、TCP_HDR。

2.4 短信發(fā)送通知。短信貓是一種內(nèi)嵌GSM無線通信模塊,插入移動運營商的手機SIM卡后,可以通過PC連接使計算機應(yīng)用系統(tǒng)與移動運營商的短信中心建立無線連接以實現(xiàn)自由的對外短信收發(fā)。

通過短信貓二次開發(fā)數(shù)據(jù)庫接口,使用者幾乎不需要了解任何有關(guān)數(shù)據(jù)通信方面的知識,就可實現(xiàn)手機短信的收發(fā)等功能。在本實驗系統(tǒng)的設(shè)計中,使用短信貓二次開發(fā)接口通過Access數(shù)據(jù)庫實現(xiàn)短信發(fā)送功能。

3結(jié)果分析

對系統(tǒng)進行全面測試后,從以下兩方面分析系統(tǒng)性能。

3.1 系統(tǒng)的有效性。通過測試,系統(tǒng)在以下兩方面有效:①該系統(tǒng)可以檢測出共享式局域網(wǎng)中將網(wǎng)卡設(shè)為混雜模式的嗅探攻擊;②該系統(tǒng)可以檢測出共享式局域網(wǎng)正存在的以下三種正常速度的TCP端口掃描:SYN、NULL、FIN。

3.2 系統(tǒng)的局限性。通過測試,該系統(tǒng)也存在一些局限性:①除將網(wǎng)卡設(shè)為混雜模式的嗅探攻擊,該系統(tǒng)對其他種類的嗅探攻擊不起任何作用,該功能還有待完善;②由于該系統(tǒng)檢測端口掃描所使用算法(統(tǒng)計閾值檢測法)的局限性,掃描方如果采用慢速掃描,掃描時間間隔拉得夠長,低于所設(shè)的門限值,就會漏報。

參考文獻:

[1]孫國梓,俞超,陳丹偉.一種入侵檢測實驗系統(tǒng)的設(shè)計與實現(xiàn)[Z].

第8篇:基于網(wǎng)絡(luò)的入侵檢測范文

關(guān)鍵詞入侵檢測異常檢測誤用檢測

在網(wǎng)絡(luò)技術(shù)日新月異的今天,寫作論文基于網(wǎng)絡(luò)的計算機應(yīng)用已經(jīng)成為發(fā)展的主流。政府、教育、商業(yè)、金融等機構(gòu)紛紛聯(lián)入Internet,全社會信息共享已逐步成為現(xiàn)實。然而,近年來,網(wǎng)上黑客的攻擊活動正以每年10倍的速度增長。因此,保證計算機系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)以及整個信息基礎(chǔ)設(shè)施的安全已經(jīng)成為刻不容緩的重要課題。

1防火墻

目前防范網(wǎng)絡(luò)攻擊最常用的方法是構(gòu)建防火墻。

防火墻作為一種邊界安全的手段,在網(wǎng)絡(luò)安全保護中起著重要作用。其主要功能是控制對網(wǎng)絡(luò)的非法訪問,通過監(jiān)視、限制、更改通過網(wǎng)絡(luò)的數(shù)據(jù)流,一方面盡可能屏蔽內(nèi)部網(wǎng)的拓撲結(jié)構(gòu),另一方面對內(nèi)屏蔽外部危險站點,以防范外對內(nèi)的非法訪問。然而,防火墻存在明顯的局限性。

(1)入侵者可以找到防火墻背后可能敞開的后門。如同深宅大院的高大院墻不能擋住老鼠的偷襲一樣,防火墻有時無法阻止入侵者的攻擊。

(2)防火墻不能阻止來自內(nèi)部的襲擊。調(diào)查發(fā)現(xiàn),50%的攻擊都將來自于網(wǎng)絡(luò)內(nèi)部。

(3)由于性能的限制,防火墻通常不能提供實時的入侵檢測能力。寫作畢業(yè)論文而這一點,對于層出不窮的網(wǎng)絡(luò)攻擊技術(shù)來說是至關(guān)重要的。

因此,在Internet入口處部署防火墻系統(tǒng)是不能確保安全的。單純的防火墻策略已經(jīng)無法滿足對安全高度敏感部門的需要,網(wǎng)絡(luò)的防衛(wèi)必須采用一種縱深的、多樣化的手段。

由于傳統(tǒng)防火墻存在缺陷,引發(fā)了入侵檢測IDS(IntrusionDetectionSystem)的研究和開發(fā)。入侵檢測是防火墻之后的第二道安全閘門,是對防火墻的合理補充,在不影響網(wǎng)絡(luò)性能的情況下,通過對網(wǎng)絡(luò)的監(jiān)測,幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊,擴展系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視、進攻識別和響應(yīng)),提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性,提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護?,F(xiàn)在,入侵檢測已經(jīng)成為網(wǎng)絡(luò)安全中一個重要的研究方向,在各種不同的網(wǎng)絡(luò)環(huán)境中發(fā)揮重要作用。

2入侵檢測

2.1入侵檢測

入侵檢測是通過從計算機網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點收集信息并對其進行分析,從中發(fā)現(xiàn)違反安全策略的行為和遭到攻擊的跡象,并做出自動的響應(yīng)。其主要功能是對用戶和系統(tǒng)行為的監(jiān)測與分析、系統(tǒng)配置和漏洞的審計檢查、重要系統(tǒng)和數(shù)據(jù)文件的完整性評估、已知的攻擊行為模式的識別、異常行為模式的統(tǒng)計分析、操作系統(tǒng)的審計跟蹤管理及違反安全策略的用戶行為的識別。入侵檢測通過迅速地檢測入侵,在可能造成系統(tǒng)損壞或數(shù)據(jù)丟失之前,識別并驅(qū)除入侵者,使系統(tǒng)迅速恢復(fù)正常工作,并且阻止入侵者進一步的行動。同時,收集有關(guān)入侵的技術(shù)資料,用于改進和增強系統(tǒng)抵抗入侵的能力。

入侵檢測可分為基于主機型、基于網(wǎng)絡(luò)型、基于型三類。從20世紀90年代至今,寫作英語論文已經(jīng)開發(fā)出一些入侵檢測的產(chǎn)品,其中比較有代表性的產(chǎn)品有ISS(IntemetSecuritySystem)公司的Realsecure,NAI(NetworkAssociates,Inc)公司的Cybercop和Cisco公司的NetRanger。

2.2檢測技術(shù)

入侵檢測為網(wǎng)絡(luò)安全提供實時檢測及攻擊行為檢測,并采取相應(yīng)的防護手段。例如,實時檢測通過記錄證據(jù)來進行跟蹤、恢復(fù)、斷開網(wǎng)絡(luò)連接等控制;攻擊行為檢測注重于發(fā)現(xiàn)信息系統(tǒng)中可能已經(jīng)通過身份檢查的形跡可疑者,進一步加強信息系統(tǒng)的安全力度。入侵檢測的步驟如下:

收集系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為的信息

入侵檢測一般采用分布式結(jié)構(gòu),在計算機網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(不同網(wǎng)段和不同主機)收集信息,一方面擴大檢測范圍,另一方面通過多個采集點的信息的比較來判斷是否存在可疑現(xiàn)象或發(fā)生入侵行為。

入侵檢測所利用的信息一般來自以下4個方面:系統(tǒng)和網(wǎng)絡(luò)日志文件、目錄和文件中的不期望的改變、程序執(zhí)行中的不期望行為、物理形式的入侵信息。

(2)根據(jù)收集到的信息進行分析

常用的分析方法有模式匹配、統(tǒng)計分析、完整性分析。模式匹配是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進行比較,從而發(fā)現(xiàn)違背安全策略的行為。

統(tǒng)計分析方法首先給系統(tǒng)對象(如用戶、文件、目錄和設(shè)備等)創(chuàng)建一個統(tǒng)計描述,統(tǒng)計正常使用時的一些測量屬性。測量屬性的平均值將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進行比較。當觀察值超出正常值范圍時,就有可能發(fā)生入侵行為。該方法的難點是閾值的選擇,閾值太小可能產(chǎn)生錯誤的入侵報告,閾值太大可能漏報一些入侵事件。

完整性分析主要關(guān)注某個文件或?qū)ο笫欠癖桓?,包括文件和目錄的?nèi)容及屬性。該方法能有效地防范特洛伊木馬的攻擊。

3分類及存在的問題

入侵檢測通過對入侵和攻擊行為的檢測,查出系統(tǒng)的入侵者或合法用戶對系統(tǒng)資源的濫用和誤用。寫作工作總結(jié)根據(jù)不同的檢測方法,將入侵檢測分為異常入侵檢測(AnomalyDetection)和誤用人侵檢測(MisuseDetection)。

3.1異常檢測

又稱為基于行為的檢測。其基本前提是:假定所有的入侵行為都是異常的。首先建立系統(tǒng)或用戶的“正?!毙袨樘卣鬏喞?,通過比較當前的系統(tǒng)或用戶的行為是否偏離正常的行為特征輪廓來判斷是否發(fā)生了入侵。此方法不依賴于是否表現(xiàn)出具體行為來進行檢測,是一種間接的方法。

常用的具體方法有:統(tǒng)計異常檢測方法、基于特征選擇異常檢測方法、基于貝葉斯推理異常檢測方法、基于貝葉斯網(wǎng)絡(luò)異常檢測方法、基于模式預(yù)測異常檢測方法、基于神經(jīng)網(wǎng)絡(luò)異常檢測方法、基于機器學習異常檢測方法、基于數(shù)據(jù)采掘異常檢測方法等。

采用異常檢測的關(guān)鍵問題有如下兩個方面:

(1)特征量的選擇

在建立系統(tǒng)或用戶的行為特征輪廓的正常模型時,選取的特征量既要能準確地體現(xiàn)系統(tǒng)或用戶的行為特征,又能使模型最優(yōu)化,即以最少的特征量就能涵蓋系統(tǒng)或用戶的行為特征。

(2)參考閾值的選定

由于異常檢測是以正常的特征輪廓作為比較的參考基準,因此,參考閾值的選定是非常關(guān)鍵的。

閾值設(shè)定得過大,那漏警率會很高;閾值設(shè)定的過小,則虛警率就會提高。合適的參考閾值的選定是決定這一檢測方法準確率的至關(guān)重要的因素。

由此可見,異常檢測技術(shù)難點是“正常”行為特征輪廓的確定、特征量的選取、特征輪廓的更新。由于這幾個因素的制約,異常檢測的虛警率很高,但對于未知的入侵行為的檢測非常有效。此外,由于需要實時地建立和更新系統(tǒng)或用戶的特征輪廓,這樣所需的計算量很大,對系統(tǒng)的處理性能要求很高。

3.2誤用檢測

又稱為基于知識的檢測。其基本前提是:假定所有可能的入侵行為都能被識別和表示。首先,寫作留學生論文對已知的攻擊方法進行攻擊簽名(攻擊簽名是指用一種特定的方式來表示已知的攻擊模式)表示,然后根據(jù)已經(jīng)定義好的攻擊簽名,通過判斷這些攻擊簽名是否出現(xiàn)來判斷入侵行為的發(fā)生與否。這種方法是依據(jù)是否出現(xiàn)攻擊簽名來判斷入侵行為,是一種直接的方法。

常用的具體方法有:基于條件概率誤用入侵檢測方法、基于專家系統(tǒng)誤用入侵檢測方法、基于狀態(tài)遷移分析誤用入侵檢測方法、基于鍵盤監(jiān)控誤用入侵檢測方法、基于模型誤用入侵檢測方法。誤用檢測的關(guān)鍵問題是攻擊簽名的正確表示。

誤用檢測是根據(jù)攻擊簽名來判斷入侵的,根據(jù)對已知的攻擊方法的了解,用特定的模式語言來表示這種攻擊,使得攻擊簽名能夠準確地表示入侵行為及其所有可能的變種,同時又不會把非入侵行為包含進來。由于多數(shù)入侵行為是利用系統(tǒng)的漏洞和應(yīng)用程序的缺陷,因此,通過分析攻擊過程的特征、條件、排列以及事件間的關(guān)系,就可具體描述入侵行為的跡象。這些跡象不僅對分析已經(jīng)發(fā)生的入侵行為有幫助,而且對即將發(fā)生的入侵也有預(yù)警作用。

誤用檢測將收集到的信息與已知的攻擊簽名模式庫進行比較,從中發(fā)現(xiàn)違背安全策略的行為。由于只需要收集相關(guān)的數(shù)據(jù),這樣系統(tǒng)的負擔明顯減少。該方法類似于病毒檢測系統(tǒng),其檢測的準確率和效率都比較高。但是它也存在一些缺點。

3.2.1不能檢測未知的入侵行為

由于其檢測機理是對已知的入侵方法進行模式提取,對于未知的入侵方法就不能進行有效的檢測。也就是說漏警率比較高。

3.2.2與系統(tǒng)的相關(guān)性很強

對于不同實現(xiàn)機制的操作系統(tǒng),由于攻擊的方法不盡相同,很難定義出統(tǒng)一的模式庫。另外,誤用檢測技術(shù)也難以檢測出內(nèi)部人員的入侵行為。

目前,由于誤用檢測技術(shù)比較成熟,多數(shù)的商業(yè)產(chǎn)品都主要是基于誤用檢測模型的。不過,為了增強檢測功能,不少產(chǎn)品也加入了異常檢測的方法。

4入侵檢測的發(fā)展方向

隨著信息系統(tǒng)對一個國家的社會生產(chǎn)與國民經(jīng)濟的影響越來越大,再加上網(wǎng)絡(luò)攻擊者的攻擊工具與手法日趨復(fù)雜化,信息戰(zhàn)已逐步被各個國家重視。近年來,入侵檢測有如下幾個主要發(fā)展方向:

4.1分布式入侵檢測與通用入侵檢測架構(gòu)

傳統(tǒng)的IDS一般局限于單一的主機或網(wǎng)絡(luò)架構(gòu),對異構(gòu)系統(tǒng)及大規(guī)模的網(wǎng)絡(luò)的監(jiān)測明顯不足,再加上不同的IDS系統(tǒng)之間不能很好地協(xié)同工作。為解決這一問題,需要采用分布式入侵檢測技術(shù)與通用入侵檢測架構(gòu)。

4.2應(yīng)用層入侵檢測

許多入侵的語義只有在應(yīng)用層才能理解,然而目前的IDS僅能檢測到諸如Web之類的通用協(xié)議,而不能處理LotusNotes、數(shù)據(jù)庫系統(tǒng)等其他的應(yīng)用系統(tǒng)。許多基于客戶/服務(wù)器結(jié)構(gòu)、中間件技術(shù)及對象技術(shù)的大型應(yīng)用,也需要應(yīng)用層的入侵檢測保護。

4.3智能的入侵檢測

入侵方法越來越多樣化與綜合化,盡管已經(jīng)有智能體、神經(jīng)網(wǎng)絡(luò)與遺傳算法在入侵檢測領(lǐng)域應(yīng)用研究,但是,這只是一些嘗試性的研究工作,需要對智能化的IDS加以進一步的研究,以解決其自學習與自適應(yīng)能力。

4.4入侵檢測的評測方法

用戶需對眾多的IDS系統(tǒng)進行評價,評價指標包括IDS檢測范圍、系統(tǒng)資源占用、IDS自身的可靠性,從而設(shè)計出通用的入侵檢測測試與評估方法與平臺,實現(xiàn)對多種IDS的檢測。

4.5全面的安全防御方案

結(jié)合安全工程風險管理的思想與方法來處理網(wǎng)絡(luò)安全問題,將網(wǎng)絡(luò)安全作為一個整體工程來處理。從管理、網(wǎng)絡(luò)結(jié)構(gòu)、加密通道、防火墻、病毒防護、入侵檢測多方位全面對所關(guān)注的網(wǎng)絡(luò)作全面的評估,然后提出可行的全面解決方案。

綜上所述,入侵檢測作為一種積極主動的安全防護技術(shù),提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護,使網(wǎng)絡(luò)系統(tǒng)在受到危害之前即攔截和響應(yīng)入侵行為,為網(wǎng)絡(luò)安全增加一道屏障。隨著入侵檢測的研究與開發(fā),并在實際應(yīng)用中與其它網(wǎng)絡(luò)管理軟件相結(jié)合,使網(wǎng)絡(luò)安全可以從立體縱深、多層次防御的角度出發(fā),形成人侵檢測、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)監(jiān)控三位一體化,從而更加有效地保護網(wǎng)絡(luò)的安全。

參考文獻

l吳新民.兩種典型的入侵檢測方法研究.計算機工程與應(yīng)用,2002;38(10):181—183

2羅妍,李仲麟,陳憲.入侵檢測系統(tǒng)模型的比較.計算機應(yīng)用,2001;21(6):29~31

3李渙洲.網(wǎng)絡(luò)安全與入侵檢測技術(shù).四川師范大學學報.2001;24(3):426—428

4張慧敏,何軍,黃厚寬.入侵檢測系統(tǒng).計算機應(yīng)用研究,2001;18(9):38—4l

第9篇:基于網(wǎng)絡(luò)的入侵檢測范文

關(guān)鍵詞:網(wǎng)絡(luò)入侵檢測;BP算法;入侵攻擊

中圖分類號:TP393.08 文獻標識碼:A 文章編號:1006-8937(2012)11-0083-02

隨著計算機網(wǎng)絡(luò)技術(shù)與網(wǎng)絡(luò)通信產(chǎn)業(yè)的高速發(fā)展,信息技術(shù)和網(wǎng)絡(luò)對當今社會的科教、經(jīng)濟、文化和電子商務(wù)等各個領(lǐng)域具有非常大的貢獻。然而隨著社會對計算機網(wǎng)絡(luò)的依賴越來越大,出現(xiàn)了越來越多關(guān)于影響計算機網(wǎng)絡(luò)安全的事件,目前有計算機殺毒軟件、木馬防御軟件以及網(wǎng)絡(luò)防火墻等軟件,都起到一定的防御作用,但是在新的網(wǎng)絡(luò)入侵攻擊方式下,卻常常無能為力。所以近些年來,計算機網(wǎng)絡(luò)入侵檢測技術(shù)越來越受到歡迎,它可以適應(yīng)主動性攻擊,有自主學習能力,能夠更新入侵攻擊規(guī)則庫等功能。

網(wǎng)絡(luò)入侵檢測技術(shù)的應(yīng)用,的確可以彌補防火墻、殺毒軟件的缺陷,提高計算機網(wǎng)絡(luò)安全的性能。但是傳統(tǒng)的網(wǎng)絡(luò)入侵檢測技術(shù)存在一些問題,例如漏/誤報率高、網(wǎng)絡(luò)實時檢測能力不高、檢測的速率較低等問題。

如何解決以上提出的問題,就需要對傳統(tǒng)的網(wǎng)絡(luò)入侵檢測技術(shù)進行改進,提高新的網(wǎng)絡(luò)入侵檢測方法。本文提出了基于BP神經(jīng)網(wǎng)絡(luò)算法的網(wǎng)絡(luò)入侵檢測技術(shù),它是能夠很好適應(yīng)當前海量數(shù)據(jù)檢測,較低入侵檢測漏/誤報率的方法。

1 傳統(tǒng)入侵檢測技術(shù)的模型與不足

1.1 傳統(tǒng)入侵檢測的發(fā)展

20世紀70年代后,隨著計算機網(wǎng)絡(luò)技術(shù)的發(fā)展,計算機的大規(guī)模及超大規(guī)模集成電路的高速發(fā)展,計算機的性能變高體積變小,在社會上應(yīng)用計算機的用戶也越來越多,遍布全世界。傳統(tǒng)的防火墻開始不能夠滿足計算機安全的新需求,于是入侵檢測技術(shù)也登上了應(yīng)用舞臺。它的發(fā)展主要包括幾個時期,分別是:早期研究、基于主機入侵檢測系統(tǒng)研究、基于網(wǎng)絡(luò)入侵檢測系統(tǒng)研究和基于智能網(wǎng)絡(luò)入侵檢測系統(tǒng)研究。

早期研究主要是1983年,(Stanford Research Institue)用統(tǒng)計方法分析IBM大型機的 (System Management Facility)記錄,這就是網(wǎng)絡(luò)入侵檢測的雛形。

基于主機的入侵檢測系統(tǒng)出現(xiàn)在20世紀80年代初期,那時網(wǎng)絡(luò)規(guī)模還比較小,而且網(wǎng)絡(luò)之間也沒有完全互連。在此網(wǎng)絡(luò)環(huán)境下,檢查可疑行為的審計記錄相對比較容易,也比較簡單,通過對攻擊的事后分析就可以防止隨后的攻擊。

基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)需要原始的網(wǎng)絡(luò)數(shù)據(jù)源,它把服務(wù)器的網(wǎng)卡設(shè)為混雜模式,該服務(wù)器的主機能夠?qū)崟r接收和分析網(wǎng)絡(luò)中數(shù)據(jù)包,進而能夠檢測是否存在入侵行為,基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)需要隨機模式下的網(wǎng)絡(luò)適配器來實時檢測并分析通過網(wǎng)絡(luò)的所有的網(wǎng)絡(luò)通信業(yè)務(wù)數(shù)據(jù)。

基于智能網(wǎng)絡(luò)入侵檢測系統(tǒng)研究主要包括,神經(jīng)網(wǎng)絡(luò)、數(shù)據(jù)挖掘技術(shù)、人工免疫、容錯技術(shù)等不斷滲透或融入到智能的入侵檢測技術(shù)中,將網(wǎng)絡(luò)入侵檢測系統(tǒng)的發(fā)展提高到一個新的臺階。

1.2 傳統(tǒng)入侵檢測的過程

傳統(tǒng)的入侵檢測的過程可以分為三個階段,網(wǎng)絡(luò)數(shù)據(jù)收集階段、數(shù)據(jù)分析處理階段及檢測響應(yīng)階段。

①網(wǎng)絡(luò)數(shù)據(jù)收集階段。從入侵檢測系統(tǒng)的信息源中收集網(wǎng)絡(luò)數(shù)據(jù),收集到的數(shù)據(jù)內(nèi)容包括網(wǎng)絡(luò)用戶活動的行為和日志情況等。數(shù)據(jù)收集的網(wǎng)絡(luò)數(shù)據(jù)范圍廣,入侵檢測系統(tǒng)的檢查范圍也變得越大。一般情況下,基于網(wǎng)絡(luò)的入侵檢測的數(shù)據(jù)源,屬于多源數(shù)據(jù)源,數(shù)據(jù)量較大,而基于主機的入侵檢測系統(tǒng)的數(shù)據(jù)源屬于單一,數(shù)據(jù)量比較小。

②數(shù)據(jù)分析處理。入侵檢測系統(tǒng)從信息源中收集到大量的網(wǎng)絡(luò)包數(shù)據(jù),每秒鐘都有源源不斷的網(wǎng)絡(luò)包,從海量的網(wǎng)絡(luò)數(shù)據(jù)中,通過定好規(guī)則庫,把大量的屬于正常的網(wǎng)絡(luò)數(shù)據(jù)包給過濾掉,剩下的小部分疑似網(wǎng)絡(luò)攻擊的異常行為的數(shù)據(jù)信息。因此如何快速處理數(shù)據(jù),是當今入侵檢測技術(shù)需要解決的熱點問題。

③檢測響應(yīng)。當發(fā)現(xiàn)到網(wǎng)絡(luò)包里面包含異常事件時,入侵檢測系統(tǒng)就會及時對攻擊情況作出類型判斷,采取相應(yīng)的響應(yīng)來處理。常見的響應(yīng)方式有:自動終止攻擊、終止用戶連接、記錄事件的相關(guān)信息、向安全管理人員發(fā)出提示性電子郵件等。

1.3 傳統(tǒng)入侵檢測技術(shù)的特點

傳統(tǒng)的通用入侵檢測模型比較適合基于主機的入侵檢測系統(tǒng),對應(yīng)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)來說,存在著許多問題:

①誤/漏報率高。由于傳統(tǒng)的入侵檢測系統(tǒng)在處理網(wǎng)絡(luò)數(shù)據(jù)包時,檢測的方法比較傳統(tǒng),只能按照現(xiàn)有的規(guī)則來判斷是否是異常事件,但是一遇到基于網(wǎng)絡(luò)的入侵檢測系統(tǒng),檢測海量數(shù)據(jù)包,就不是那么得心應(yīng)手了,有限的時間,要處理好大量的數(shù)據(jù),方法單一,使得最終檢測出來的結(jié)果誤/漏報率高。

②網(wǎng)絡(luò)實時檢測能力不高。傳統(tǒng)的入侵檢測技術(shù)方法比較單一,沒有比較靈活的檢查算法,所以在檢測的時候,很難及時把結(jié)果處理出來,因此在一定程度下,實時檢測性較差,影響了檢測效果。

③檢測的速率較低。傳統(tǒng)入侵檢測技術(shù)方法相關(guān)產(chǎn)品已不能適應(yīng)交換技術(shù)和高帶寬環(huán)境的發(fā)展,在大流量沖擊、多IP分片情況下都可能造入侵檢測系統(tǒng)的崩潰或丟包,所以檢測的速率也不是很理想。

2 BP神經(jīng)網(wǎng)絡(luò)算法概述

2.1 BP神經(jīng)網(wǎng)絡(luò)算法

人工神經(jīng)網(wǎng)絡(luò)是一種應(yīng)用類似于大腦神經(jīng)突觸聯(lián)接的結(jié)構(gòu)進行信息處理的數(shù)學模型。神經(jīng)網(wǎng)絡(luò)是一種運算模型,由大量的節(jié)點(或稱神經(jīng)元)和之間相互聯(lián)接構(gòu)成。

輸入:給定訓(xùn)練集Xtrain,其中每一個訓(xùn)練樣本都是由一組輸入和一組輸出構(gòu)成,所有的輸入和輸出都是[0,1]之間的浮點數(shù)據(jù)(如果不是,要首先通過數(shù)據(jù)變換把它們映射到[0,1]區(qū)間);神經(jīng)網(wǎng)絡(luò)結(jié)構(gòu):隱含層節(jié)點數(shù)目;神經(jīng)網(wǎng)絡(luò)每個節(jié)點的、參數(shù)化了的特征函數(shù)。

輸出:神經(jīng)網(wǎng)絡(luò)每個節(jié)點特征函數(shù)的參數(shù)。

①按照有序?qū)?shù)計算公式計算總體誤差對于每個參數(shù)的有序?qū)?shù)公式(函數(shù))。

②任意選擇一組數(shù)據(jù)作為初始參數(shù),一般選?。?,0,…,0),把這組初始參數(shù)作為當前參數(shù)。

③根據(jù)當前參數(shù)和總體誤差計算公式計算總體誤差,如果誤差足夠小,就把當前參數(shù)作為輸出,退出;否則,繼續(xù)下面的步驟。

④根據(jù)參數(shù)調(diào)整公式和當前參數(shù)數(shù)值,計算總體誤差對于各參數(shù)的有序?qū)?shù)數(shù)值。

⑤計算各個參數(shù)的調(diào)整大小,并計算調(diào)整后的參數(shù)大小。把調(diào)整后的參數(shù)作為當前參數(shù),回到第三步。

2.2 神經(jīng)網(wǎng)絡(luò)計算過程

BP神經(jīng)網(wǎng)絡(luò)算法在工作過程中,首先對神經(jīng)網(wǎng)絡(luò)的參數(shù)進行初始化處理,然后計算出隱藏層單元的個數(shù)、計算輸出層單元的輸出個數(shù)、計算輸出層單元出現(xiàn)的誤差,當誤差在允許范圍內(nèi),則結(jié)束,輸出相應(yīng)的結(jié)果;如果誤差不在允許范圍內(nèi),則要調(diào)整中間層到輸出層連接的權(quán)值和輸出層單元,再調(diào)整輸入層到中間層的連接權(quán)值和輸出單元,同時更新學習的次數(shù),當學習次數(shù)大于上限值,則結(jié)束,輸出結(jié)果;如果還沒到上限值,則反復(fù)地進行誤差調(diào)整,直至滿足算法的誤差要求。最終輸出結(jié)果。

3 網(wǎng)絡(luò)入侵檢測的結(jié)果

該設(shè)計方案已經(jīng)在廣東省潮州市某大型企業(yè)中應(yīng)用,具體實驗情況包括以下幾個方面。

3.1 實驗環(huán)境

該實驗在真實網(wǎng)絡(luò)入侵環(huán)境下進行檢測。該應(yīng)用平臺的硬件包括由1臺服務(wù)器和25臺客戶機構(gòu)成。

入侵檢測時,以25臺主機同時對企業(yè)的內(nèi)部財務(wù)系統(tǒng)進行訪問,對公司的服務(wù)器進行。

3.2 實驗結(jié)果

改進前和改進后的實驗結(jié)果如下表1所示。

通過實驗的結(jié)果比較,改過后的入侵檢測系統(tǒng)比改進前入侵檢測系統(tǒng),提高了準確率,同時也降低了誤報率和漏報。結(jié)論證明改進后的基于BP神經(jīng)網(wǎng)絡(luò)入侵檢測系統(tǒng)達到預(yù)期目標。

4 結(jié) 語

本文從實際出發(fā),通過科學改進,設(shè)計開發(fā)出一種基于BP算法網(wǎng)絡(luò)入侵檢測技術(shù)的有效方法,充分地利用了算法設(shè)計思想,并應(yīng)用到實際項目中,最終達到預(yù)期的效果??傮w來說,入侵檢測在網(wǎng)絡(luò)安全應(yīng)用中是越來越廣泛的,但是隨著海量網(wǎng)絡(luò)數(shù)據(jù)的發(fā)展,入侵檢測技術(shù)要不斷的更新檢測算法,來適應(yīng)網(wǎng)絡(luò)對技術(shù)的要求。

參考文獻:

[1] 李秀改,候媛彬.基于神經(jīng)網(wǎng)絡(luò)BP算法的模糊自適應(yīng)控制器的研究與實現(xiàn)[J].電氣傳動自動化,2000,(4).

[2] 周川,董秀成.基于神經(jīng)網(wǎng)絡(luò)模型母線保護的運用研究[J].成都紡織高等??茖W校學報,2007,(3).