公務員期刊網(wǎng) 精選范文 入侵檢測論文范文

入侵檢測論文精選(九篇)

前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的入侵檢測論文主題范文,僅供參考,歡迎閱讀并收藏。

入侵檢測論文

第1篇:入侵檢測論文范文

事實上,數(shù)據(jù)挖掘的產(chǎn)生是有其必然性的。隨著信息時代的到來,各種數(shù)據(jù)收集設備不斷更新,相應的數(shù)據(jù)庫技術也在不斷地成熟,使得人們積累的信息量不斷增加,為了提高效率,當務之急就是要從海量的數(shù)據(jù)中找出最有用的信息,這就催生了數(shù)據(jù)挖掘技術。

2網(wǎng)絡入侵檢測的重要性與必要性分析

網(wǎng)絡入侵檢測,就是對網(wǎng)絡入侵行為的發(fā)覺。與其他安全技術相比而言,入侵檢測技術并不是以建立安全和可靠的網(wǎng)絡環(huán)境為主,而是以分析和處理對網(wǎng)絡用戶信息構成威脅的行為,進而進行非法控制來確保網(wǎng)絡系統(tǒng)的安全。它的主要目的是對用戶和系統(tǒng)進行檢測與分析,找出系統(tǒng)中存在的漏洞與問題,一旦發(fā)現(xiàn)攻擊或威脅就會自動及時地向管理人員報警,同時對各種非法活動或異?;顒舆M行識別、統(tǒng)計與分析。

3數(shù)據(jù)挖掘在網(wǎng)絡入侵檢測中的應用分析

在使用數(shù)據(jù)挖掘技術對網(wǎng)絡入侵行為進行檢測的過程中,我們可以通過分析有用的數(shù)據(jù)或信息來提取用戶的行為特征和入侵規(guī)律,進而建立起一個相對完善的規(guī)則庫來進行入侵檢測。該檢測過程主要是數(shù)據(jù)收集——數(shù)據(jù)預處理——數(shù)據(jù)挖掘,以下是在對已有的基于數(shù)據(jù)挖掘的網(wǎng)絡入侵檢測的模型結構圖進行闡述的基礎上進行一些優(yōu)化。

3.1綜合了誤用檢測和異常檢測的模型

為改進前綜合誤用檢測和異常檢測的模型。從圖2可以看出,它是綜合利用了誤用檢測和異常檢測模型而形成的基于數(shù)據(jù)挖掘的網(wǎng)絡入侵檢測模型。其優(yōu)點在于通過結合誤用檢測器和異常檢測器,把所要分析的數(shù)據(jù)信息減少了很多,大大縮小了數(shù)據(jù)范圍。其劣勢在于當異常檢測器檢測到新的入侵檢測后,僅僅更新了異常檢測器,而沒有去及時地更新誤用檢測器,這就無形中增加了工作量。對于這一不足之處,筆者提出了以下改進意見。

3.2改進后的誤用檢測和異常檢測模型

筆者進行了一些改進,以形成一種更加有利的基于數(shù)據(jù)挖掘的入侵檢測模型,基礎上進行了一定的優(yōu)化。一是把從網(wǎng)絡中獲取的網(wǎng)絡數(shù)據(jù)包發(fā)送到數(shù)據(jù)預處理器中,由它進行加工處理,然后使用相應的關聯(lián)規(guī)則找出其中具有代表性的規(guī)則,放入關聯(lián)規(guī)則集中,接下來用聚類規(guī)則將關聯(lián)規(guī)則所得的支持度和可信度進行聚類優(yōu)化。此后,我們可根據(jù)規(guī)定的閾值而將一部分正常的數(shù)據(jù)刪除出去,這就大大減少了所要分析的數(shù)據(jù)量。此時可以把剩下的那些數(shù)據(jù)發(fā)送到誤用檢測器中進行檢測,如果誤用檢測器也沒有檢測到攻擊行為,則把該類數(shù)據(jù)發(fā)送到異常檢測器中再次進行檢測,與上面的例子一樣,這個異常檢測器實際上也起到了一個過濾的作用,以此來把海量的正常數(shù)據(jù)過濾出去,相應地數(shù)據(jù)量就會再一次變少,這就方便了后期的挖掘。這一模型系統(tǒng)的一大特點就是為了避免重復檢測,利用對數(shù)據(jù)倉庫的更新來完善異常檢測器和誤用檢測器。也就是說,根據(jù)異常檢測器的檢測結果來對異常檢測器和誤用檢測器進行更新,若測得該行為是正常行為,那么就會更新異常檢測器,若測得該行為是攻擊行為,那么就更新誤用檢測器來記錄該次的行為,從而方便下次進行重復的檢測。

4結束語

第2篇:入侵檢測論文范文

關鍵詞:入侵檢測,Snort,三層結構,校園網(wǎng),關聯(lián)規(guī)則

 

0 前言

隨著互聯(lián)網(wǎng)的飛速發(fā)展,信息網(wǎng)絡已經(jīng)進入千家萬戶,各國都在加速信息化建設的進程,越來越多的電子業(yè)務正在網(wǎng)絡上開展,這加速了全球信息化的進程,促進了社會各個領域的發(fā)展,與此同時計算機網(wǎng)絡也受到越來越多的惡意攻擊[1],例如網(wǎng)頁內(nèi)容被篡改、消費者網(wǎng)上購物信用卡帳號和密碼被盜、大型網(wǎng)站被黑客攻擊無法提供正常服務等等。

入侵檢測作為傳統(tǒng)計算機安全機制的補充[2],它的開發(fā)與應用擴大了網(wǎng)絡與系統(tǒng)安全的保護縱深,成為目前動態(tài)安全工具的主要研究和開發(fā)的方向。隨著系統(tǒng)漏洞不斷被發(fā)現(xiàn),攻擊不斷發(fā)生,入侵檢測系統(tǒng)在整個安全系統(tǒng)中的地位不斷提高,所發(fā)揮的作用也越來越大。無論是從事網(wǎng)絡安全研究的學者,還是從事入侵檢測產(chǎn)品開發(fā)的企業(yè),都越來越重視入侵檢測技術。

本文在校園網(wǎng)的環(huán)境下,提出了一種基于Snort的三層入侵檢測系統(tǒng),詳細介紹了該系統(tǒng)的體系結構,各個模塊的具體功能以及如何實現(xiàn),并最終將該系統(tǒng)應用于校園網(wǎng)絡中進行檢測網(wǎng)絡安全論文,確保校園網(wǎng)絡的安全。

1 Snort入侵檢測系統(tǒng)介紹

Snort[3]是一種基于網(wǎng)絡的輕量級入侵檢測系統(tǒng),建立在數(shù)據(jù)包嗅探器上。它能實時分析網(wǎng)絡上的數(shù)據(jù)包,檢測來自網(wǎng)絡的攻擊。它能方便地安裝和配置在網(wǎng)絡的任何一節(jié)點上,而且不會對網(wǎng)絡運行產(chǎn)生太大的影響,同時它還具有跨系統(tǒng)平臺操作、最小的系統(tǒng)要求以及易于部署和配置等特征,并且管理員能夠利用它在短時間內(nèi)通過修改配置進行實時的安全響應。它能夠實時分析數(shù)據(jù)流量和日志IP網(wǎng)絡數(shù)據(jù)包,能夠進行協(xié)議分析,對內(nèi)容進行搜索/匹配。其次它還可以檢測各種不同的攻擊方式,對攻擊進行實時警報??偟膩碚f,Snort具有如下的優(yōu)點:

(1)高效的檢測和模式匹配算法,使性能大大提升。

(2)良好的擴展性,它采用了插入式檢測引擎,可以作為標準的網(wǎng)絡入侵檢測系統(tǒng)、主機入侵檢測系統(tǒng)使用;與Netfilter結合使用,可以作為網(wǎng)關IDS(Gateway IDS,GIDS);與NMAP等系統(tǒng)指紋識別工具結合使用,可以作為基于目標的TIDS(Target-basedIDS)。

(3)出色的協(xié)議分析能力,Snort能夠分析的協(xié)議有TCP,UDP和ICMP。將來的版本,將提供對ARP.ICRP,GRE,OSPF,RIP,ERIP,IPX,APPLEX等協(xié)議的支持。它能夠檢測多種方式的攻擊和探測,例如:緩沖區(qū)溢出,CGI攻擊,SMB檢測,端口掃描等等中國期刊全文數(shù)據(jù)庫。

(4)支持多種格式的特征碼規(guī)則輸入方式,如數(shù)據(jù)庫、XML等。

Snort同時遵循GPL(公用許可License),任何組織或者個人都可以自由使用,這是商業(yè)入侵檢測軟件所不具備的優(yōu)點。基于以上的特點,本文采用了Snort作為系統(tǒng)設計的基礎,自主開發(fā)設計了三層結構的入侵檢測系統(tǒng)。

2 入侵檢測三層體系結構

Snort入侵檢測系統(tǒng)可采用單層或多層的體系結構,對于單層[4]的結構來說,它將入侵檢測的核心功能和日志信息混合放在同一層面上,這樣的系統(tǒng)設計與實現(xiàn)均比較簡單,但它的缺點是交互性比較差,擴展性不好,操作管理比較繁瑣,系統(tǒng)的升級維護比較復雜。為了設計一個具有靈活性、安全性和可擴展性的網(wǎng)絡入侵檢測系統(tǒng),本文的系統(tǒng)采用了三層體系結構,主要包括網(wǎng)絡入侵檢測層、數(shù)據(jù)庫服務器層和日志分析控制臺層。系統(tǒng)的三層體系結構如圖4.1所示。

圖4.1 三層體系結構圖

(1)網(wǎng)絡入侵檢測層主要實現(xiàn)對網(wǎng)絡數(shù)據(jù)包的實時捕獲,監(jiān)控和對數(shù)據(jù)進行分析以找出可能存在的入侵。

(2)數(shù)據(jù)庫服務器層主要是從入侵檢測系統(tǒng)中收集報警數(shù)據(jù),并將它存入到關系數(shù)據(jù)庫中網(wǎng)絡安全論文,以便用戶進行復雜的查詢,和更好地管理報警信息。

(3)日志分析控制臺層是數(shù)據(jù)顯示層,網(wǎng)絡管理員可通過瀏覽器本地的Web服務器,訪問關系數(shù)據(jù)庫中的數(shù)據(jù),對報警日志信息進行查詢與管理,提供了很好的人機交互界面。

2.1 網(wǎng)絡入侵檢測層

網(wǎng)絡入侵檢測層是整個系統(tǒng)的核心所在,主要負責數(shù)據(jù)的采集、分析、判斷是否存在入侵行為,并通過Snort的輸出插件將數(shù)據(jù)送入數(shù)據(jù)庫服務器中。Snort沒有自己的數(shù)據(jù)采集工具,它需要外部的數(shù)據(jù)包捕獲程序庫winpcap[4],因此本部分主要包括兩個組件:winpcap和Snort。winpcap是由伯克利分組捕獲庫派生而來的分組捕獲庫,它在Windows操作平臺上實現(xiàn)底層包的截取過濾,它提供了Win32應用程序提供訪問網(wǎng)絡底層的能力。通過安裝winpcap和Snort兩個開源軟件,搭建了一個基本的入侵檢測層,基本上完成了一個簡單的單層入侵檢測系統(tǒng)。

2.2 數(shù)據(jù)庫服務器模塊

數(shù)據(jù)庫服務器層主要是從入侵檢測系統(tǒng)中收集報警數(shù)據(jù),并將它存入到關系數(shù)據(jù)庫中。除了將報警數(shù)據(jù)寫入關系數(shù)據(jù)庫,Snort還可以用其他方式記錄警報,如系統(tǒng)日志syslog[5],統(tǒng)一格式輸出unified等。利用關系數(shù)據(jù)庫對數(shù)據(jù)量相當大的報警數(shù)據(jù)進行組織管理是最實用的方法。報警存入關系數(shù)據(jù)庫后能對其進行分類,查詢和按優(yōu)先級組織排序等。在本系統(tǒng)中我們采用MySQL數(shù)據(jù)庫。MySQL是一個快速的客戶機/服務器結構的SQL數(shù)據(jù)庫管理系統(tǒng),功能強大、靈活性好、應用編程接口豐富并且系統(tǒng)結構精巧。MySQL數(shù)據(jù)庫采用默認方式安裝后,設置MySQL為服務方式運行。然后啟動MySQL服務,進入命令行狀態(tài),創(chuàng)建Snort運行必需的存放系統(tǒng)日志的Snort庫和Snort_archive庫。同時使用Snort目錄下的create_mysql腳本建立Snort運行所需的數(shù)據(jù)表,用來存放系統(tǒng)日志和報警信息,數(shù)據(jù)庫服務器模塊就可以使用了。

2.3 日志分析控制臺

日志分析控制臺用來分析和處理Snort收集的入侵數(shù)據(jù),以友好、便于查詢的方式顯示日志數(shù)據(jù)庫發(fā)送過來的報警信息,并可按照不同的方式對信息進行分類統(tǒng)計,將結果顯示給用戶。本文所設計的警報日志分析系統(tǒng)采用上面所述的中心管理控制平臺模式,在保護目標網(wǎng)絡中構建一個中心管理控制平臺,并與網(wǎng)絡中架設的Snort入侵檢測系統(tǒng)及MySQL數(shù)據(jù)庫通信,達到以下一些目的:

(1)能夠適應較大規(guī)模的網(wǎng)絡環(huán)境;

(2)簡化規(guī)則配置模式,便于用戶遠程修改Snort入侵檢測系統(tǒng)的檢測規(guī)則;

(3)降低警報數(shù)據(jù)量,通過多次數(shù)據(jù)分類分析,找出危害重大的攻擊行為;

(4)減少Snort的警報數(shù)據(jù)在MySQL數(shù)據(jù)庫中的存儲量,降低運行系統(tǒng)的負擔;

(5)將分析后的警報數(shù)據(jù)制成報表形式輸出,降低對于管理員的要求。

為了完成以上所述的目的,提高Snort入侵檢測系統(tǒng)的使用效率,本子系統(tǒng)主要分為以下三個模塊:規(guī)則配置模塊網(wǎng)絡安全論文,數(shù)據(jù)分析模塊,報表模塊。本子系統(tǒng)框架如圖4.4所示:

圖4.4 Snort警報日志系統(tǒng)框架

(1)規(guī)則配置模塊:起到簡化用戶配置Snort檢測規(guī)則的作用。此模塊主要與Snort運行主機系統(tǒng)上的一個守護程序通信,修改Snort的配置文件――Snort.conf,從而完成改變檢測規(guī)則的目。中心控制管理平臺在本地系統(tǒng)上備份snort.conf文件以及所有規(guī)則文件,當需要修改某個Snort入侵檢測系統(tǒng)的規(guī)則配置時,就可以通過平臺接口首先修改本地對應的snort.conf文件以及所有規(guī)則文件,然后通過與Snort運行系統(tǒng)中守護程序通信,將本地系統(tǒng)上修改后的snort.conf文件以及所有規(guī)則文件傳輸?shù)絊nort運行系統(tǒng)中并且覆蓋掉運行系統(tǒng)中的原配置文件和原規(guī)則文件集,然后重新啟動Snort,達到重新配置Snort檢測規(guī)則的目的。

(2)數(shù)據(jù)分析模塊:主要利用改進的Apriori算法對數(shù)據(jù)庫的日志進行分析,通過關聯(lián)規(guī)則挖掘,生成一些新的檢測規(guī)則用來改進snort本身的檢測規(guī)則,分析警報數(shù)據(jù),降低輸出的警報數(shù)據(jù)量,集中顯示危害較為嚴重的入侵行為。數(shù)據(jù)分析模塊是整個中心管理控制中心的核心模塊。本模塊通過挖掘保存在Mysql數(shù)據(jù)庫中Snort異常日志數(shù)據(jù)來發(fā)現(xiàn)這些入侵數(shù)據(jù)之間的關聯(lián)關系,通過發(fā)現(xiàn)入侵數(shù)據(jù)的強關聯(lián)規(guī)則來發(fā)現(xiàn)新的未知入侵行為,建立新的Snort檢測規(guī)則,進一步優(yōu)化Snort系統(tǒng)的規(guī)則鏈表中國期刊全文數(shù)據(jù)庫。具體的步驟如下:

先對Snort異常日志進行數(shù)據(jù)預處理。數(shù)據(jù)預處理中先計算出每個網(wǎng)絡特征屬性的信息增益值,然后取出前面11個重要的網(wǎng)絡特征,把原來要分析的多個網(wǎng)絡特征減少到11個重要的網(wǎng)絡特征,這樣就大大減小了整個算法的復雜度,也有利提高檢測速度。歷史日志經(jīng)過預處理之后,我們就可以采用改進的Apriori算法求出所有頻繁項集。在產(chǎn)生頻繁項集之前,我們需要設定最小支持度,最小支持度設置得越低,產(chǎn)生的頻繁項集就會越多,反之就會越少。通常,最小支持度的設定有賴于領域專家的分析和實驗數(shù)據(jù)分析兩種手段。經(jīng)過反復實驗,最終采用模擬仿真的攻擊數(shù)據(jù)進行規(guī)則推導,設定最小支持度10%、可信度80%。訓練結束時頭100條質量最好的規(guī)則作為最終的檢測規(guī)則。把關聯(lián)規(guī)則中與Snort規(guī)則頭相關的項放在一起充當規(guī)則頭,與Snort規(guī)則選項相關的項放在一起充當規(guī)則選項,然后把規(guī)則頭與規(guī)則選項合并在一起形成Snort入侵檢測規(guī)則。

(3)報表模塊:將分析后的數(shù)據(jù)庫中的警報數(shù)據(jù)制成報表輸出,降低對于管理員的要求。報表模塊是為了簡化管理員觀察數(shù)據(jù),美觀輸出而創(chuàng)建,通過.net的報表編寫完成。報表是高彈性的報表設計器,用于報表的數(shù)據(jù)可以從任何類型的數(shù)據(jù)源獲取,包含字符列表,BDE數(shù)據(jù)庫網(wǎng)絡安全論文,ADO數(shù)據(jù)源(不使用BDE),Interbase(使用IBO),Pascal數(shù)組和記錄,以及一些不常用的數(shù)據(jù)源。

該系統(tǒng)采用Microsoft Visual Studio 2008進行開發(fā),語言采用C#。具體如下圖:

圖4.5 日志分析控制臺

 

3 系統(tǒng)實際運行效果

集美大學誠毅學院作為一個獨立學院,為了更好的滿足學院師生對信息資源的需求,部署了自己的web服務器,ftp服務器,英語網(wǎng)絡自主學習等教學平臺,有了豐富的網(wǎng)絡信息資源。學院隨著網(wǎng)絡應用的不斷展開,使用者越來越多,網(wǎng)絡安全狀況也出現(xiàn)很多問題,比如學院的web服務器曾經(jīng)出現(xiàn)掛馬事件,ftp服務器被入侵等事件也相繼出現(xiàn)。為了解決該問題,部署屬于自己的網(wǎng)絡入侵檢測系統(tǒng),用來檢測入侵事件,提高校園網(wǎng)絡的安全情況就成為必須要解決的問題。該系統(tǒng)目前已經(jīng)在集美大學誠毅學院使用,檢測效果很好,有效的防范了網(wǎng)絡安全事件的發(fā)生,能夠及時對攻擊事件進行檢測,從而采取相對應的防范措施。

[參考文獻]

[1]RobFliCkenger.LinnxServerHaeks.北京:清華大學出版社,2004.5, 132-135

[2]蔣建春,馮登國.網(wǎng)絡入侵監(jiān)測原理與技術.北京:國防工業(yè)出版社,2001.

[3]ForrestS,HofmeyrS,SomayajiA.Computerimmunology.Communicationsof the ACM,1997.40(10).88-96.

[4]Jack Koziol著.吳溥峰,孫默,許誠等譯.Snort入侵檢測實用解決方案.北京:機械工業(yè)出版社.2005.

[5]韓東海,王超,李群.入侵檢測系統(tǒng)實例剖析.清華大學出版社,2002

第3篇:入侵檢測論文范文

引言

近年來,隨著信息和網(wǎng)絡技術的高速發(fā)展以及政治、經(jīng)濟或者軍事利益的驅動,計算機和網(wǎng)絡基礎設施,非凡是各種官方機構的網(wǎng)站,成為黑客攻擊的熱門目標。近年來對電子商務的熱切需求,更加激化了這種入侵事件的增長趨向。由于防火墻只防外不防內(nèi),并且很輕易被繞過,所以僅僅依靠防火墻的計算機系統(tǒng)已經(jīng)不能對付日益猖獗的入侵行為,對付入侵行為的第二道防線——入侵檢測系統(tǒng)就被啟用了。

1 入侵檢測系統(tǒng)(IDS)概念

1980年,James P.Anderson 第一次系統(tǒng)闡述了入侵檢測的概念,并將入侵行為分為外部滲透、內(nèi)部滲透和不法行為三種,還提出了利用審計數(shù)據(jù)監(jiān)視入侵活動的思想[1。即其之后,1986年Dorothy E.Denning提出實時異常檢測的概念[2并建立了第一個實時入侵檢測模型,命名為入侵檢測專家系統(tǒng)(IDES),1990年,L.T.Heberlein等設計出監(jiān)視網(wǎng)絡數(shù)據(jù)流的入侵檢測系統(tǒng),NSM(Network Security Monitor)。自此之后,入侵檢測系統(tǒng)才真正發(fā)展起來。

Anderson將入侵嘗試或威脅定義為摘要:潛在的、有預謀的、未經(jīng)授權的訪問信息、操作信息、致使系統(tǒng)不可靠或無法使用的企圖。而入侵檢測的定義為[4摘要:發(fā)現(xiàn)非授權使用計算機的個體(如“黑客”)或計算機系統(tǒng)的合法用戶濫用其訪問系統(tǒng)的權利以及企圖實施上述行為的個體。執(zhí)行入侵檢測任務的程序即是入侵檢測系統(tǒng)。入侵檢測系統(tǒng)也可以定義為摘要:檢測企圖破壞計算機資源的完整性,真實性和可用性的行為的軟件。

入侵檢測系統(tǒng)執(zhí)行的主要任務包括[3摘要:監(jiān)視、分析用戶及系統(tǒng)活動;審計系統(tǒng)構造和弱點;識別、反映已知進攻的活動模式,向相關人士報警;統(tǒng)計分析異常行為模式;評估重要系統(tǒng)和數(shù)據(jù)文件的完整性;審計、跟蹤管理操作系統(tǒng),識別用戶違反平安策略的行為。入侵檢測一般分為三個步驟摘要:信息收集、數(shù)據(jù)分析、響應。

入侵檢測的目的摘要:(1)識別入侵者;(2)識別入侵行為;(3)檢測和監(jiān)視以實施的入侵行為;(4)為對抗入侵提供信息,阻止入侵的發(fā)生和事態(tài)的擴大;

2 入侵檢測系統(tǒng)模型

美國斯坦福國際探究所(SRI)的D.E.Denning于1986年首次提出一種入侵檢測模型[2,該模型的檢測方法就是建立用戶正常行為的描述模型,并以此同當前用戶活動的審計記錄進行比較,假如有較大偏差,則表示有異?;顒影l(fā)生。這是一種基于統(tǒng)計的檢測方法。隨著技術的發(fā)展,后來人們又提出了基于規(guī)則的檢測方法。結合這兩種方法的優(yōu)點,人們設計出很多入侵檢測的模型。通用入侵檢測構架(Common Intrusion Detection Framework簡稱CIDF)組織,試圖將現(xiàn)有的入侵檢測系統(tǒng)標準化,CIDF闡述了一個入侵檢測系統(tǒng)的通用模型(一般稱為CIDF模型)。它將一個入侵檢測系統(tǒng)分為以下四個組件摘要:

事件產(chǎn)生器(Event Generators)

事件分析器(Event analyzers)

響應單元(Response units)

事件數(shù)據(jù)庫(Event databases)

它將需要分析的數(shù)據(jù)通稱為事件,事件可以是基于網(wǎng)絡的數(shù)據(jù)包也可以是基于主機的系統(tǒng)日志中的信息。事件產(chǎn)生器的目的是從整個計算機環(huán)境中獲得事件,并向系統(tǒng)其它部分提供此事件。事件分析器分析得到的事件并產(chǎn)生分析結果。響應單元則是對分析結果做出反應的功能單元,它可以做出切斷連接、修改文件屬性等強烈反應。事件數(shù)據(jù)庫是存放各種中間和最終數(shù)據(jù)的地方的通稱,它可以是復雜的數(shù)據(jù)庫也可以是簡單的文本文件。

3 入侵檢測系統(tǒng)的分類摘要:

現(xiàn)有的IDS的分類,大都基于信息源和分析方法。為了體現(xiàn)對IDS從布局、采集、分析、響應等各個層次及系統(tǒng)性探究方面的新問題,在這里采用五類標準摘要:控制策略、同步技術、信息源、分析方法、響應方式。

按照控制策略分類

控制策略描述了IDS的各元素是如何控制的,以及IDS的輸入和輸出是如何管理的。按照控制策略IDS可以劃分為,集中式IDS、部分分布式IDS和全部分布式IDS。在集中式IDS中,一個中心節(jié)點控制系統(tǒng)中所有的監(jiān)視、檢測和報告。在部分分布式IDS中,監(jiān)控和探測是由本地的一個控制點控制,層次似的將報告發(fā)向一個或多個中心站。在全分布式IDS中,監(jiān)控和探測是使用一種叫“”的方法,進行分析并做出響應決策。

按照同步技術分類

同步技術是指被監(jiān)控的事件以及對這些事件的分析在同一時間進行。按照同步技術劃分,IDS劃分為間隔批任務處理型IDS和實時連續(xù)性IDS。在間隔批任務處理型IDS中,信息源是以文件的形式傳給分析器,一次只處理特定時間段內(nèi)產(chǎn)生的信息,并在入侵發(fā)生時將結果反饋給用戶。很多早期的基于主機的IDS都采用這種方案。在實時連續(xù)型IDS中,事件一發(fā)生,信息源就傳給分析引擎,并且馬上得到處理和反映。實時IDS是基于網(wǎng)絡IDS首選的方案。

按照信息源分類

按照信息源分類是目前最通用的劃分方法,它分為基于主機的IDS、基于網(wǎng)絡的IDS和分布式IDS?;谥鳈C的IDS通過分析來自單個的計算機系統(tǒng)的系統(tǒng)審計蹤跡和系統(tǒng)日志來檢測攻擊?;谥鳈C的IDS是在關鍵的網(wǎng)段或交換部位通過捕捉并分析網(wǎng)絡數(shù)據(jù)包來檢測攻擊。分布式IDS,能夠同時分析來自主機系統(tǒng)日志和網(wǎng)絡數(shù)據(jù)流,系統(tǒng)由多個部件組成,采用分布式結構。

按照分析方法分類

按照分析方法IDS劃分為濫用檢測型IDS和異常檢測型IDS。濫用檢測型的IDS中,首先建立一個對過去各種入侵方法和系統(tǒng)缺陷知識的數(shù)據(jù)庫,當收集到的信息和庫中的原型相符合時則報警。任何不符合特定條件的活動將會被認為合法,因此這樣的系統(tǒng)虛警率很低。異常檢測型IDS是建立在如下假設的基礎之上的,即任何一種入侵行為都能由于其偏離正?;蛘咚谕南到y(tǒng)和用戶活動規(guī)律而被檢測出來。所以它需要一個記錄合法活動的數(shù)據(jù)庫,由于庫的有限性使得虛警率比較高。

按照響應方式分類

按照響應方式IDS劃分為主動響應IDS和被動響應IDS。當特定的入侵被檢測到時,主動IDS會采用以下三種響應摘要:收集輔助信息;改變環(huán)境以堵住導致入侵發(fā)生的漏洞;對攻擊者采取行動(這是一種不被推薦的做法,因為行為有點過激)。被動響應IDS則是將信息提供給系統(tǒng)用戶,依靠管理員在這一信息的基礎上采取進一步的行動。

4 IDS的評價標準

目前的入侵檢測技術發(fā)展迅速,應用的技術也很廣泛,如何來評價IDS的優(yōu)缺點就顯得非常重要。評價IDS的優(yōu)劣主要有這樣幾個方面[5摘要:(1)準確性。準確性是指IDS不會標記環(huán)境中的一個合法行為為異?;蛉肭帧?2)性能。IDS的性能是指處理審計事件的速度。對一個實時IDS來說,必須要求性能良好。(3)完整性。完整性是指IDS能檢測出所有的攻擊。(4)故障容錯(fault tolerance)。當被保護系統(tǒng)遭到攻擊和毀壞時,能迅速恢復系統(tǒng)原有的數(shù)據(jù)和功能。(5)自身反抗攻擊能力。這一點很重要,尤其是“拒絕服務”攻擊。因為多數(shù)對目標系統(tǒng)的攻擊都是采用首先用“拒絕服務”攻擊摧毀IDS,再實施對系統(tǒng)的攻擊。(6)及時性(Timeliness)。一個IDS必須盡快地執(zhí)行和傳送它的分析結果,以便在系統(tǒng)造成嚴重危害之前能及時做出反應,阻止攻擊者破壞審計數(shù)據(jù)或IDS本身。

除了上述幾個主要方面,還應該考慮以下幾個方面摘要:(1)IDS運行時,額外的計算機資源的開銷;(2)誤警報率/漏警報率的程度;(3)適應性和擴展性;(4)靈活性;(5)管理的開銷;(6)是否便于使用和配置。

5 IDS的發(fā)展趨

隨著入侵檢測技術的發(fā)展,成型的產(chǎn)品已陸續(xù)應用到實踐中。入侵檢測系統(tǒng)的典型代表是ISS(國際互聯(lián)網(wǎng)平安系統(tǒng)公司)公司的RealSecure。目前較為聞名的商用入侵檢測產(chǎn)品還有摘要:NAI公司的CyberCop Monitor、Axent公司的NetProwler、CISCO公司的Netranger、CA公司的Sessionwall-3等。國內(nèi)的該類產(chǎn)品較少,但發(fā)展很快,已有總參北方所、中科網(wǎng)威、啟明星辰等公司推出產(chǎn)品。

人們在完善原有技術的基礎上,又在探究新的檢測方法,如數(shù)據(jù)融合技術,主動的自主方法,智能技術以及免疫學原理的應用等。其主要的發(fā)展方向可概括為摘要:

(1)大規(guī)模分布式入侵檢測。傳統(tǒng)的入侵檢測技術一般只局限于單一的主機或網(wǎng)絡框架,顯然不能適應大規(guī)模網(wǎng)絡的監(jiān)測,不同的入侵檢測系統(tǒng)之間也不能協(xié)同工作。因此,必須發(fā)展大規(guī)模的分布式入侵檢測技術。

(2)寬帶高速網(wǎng)絡的實時入侵檢測技術。大量高速網(wǎng)絡的不斷涌現(xiàn),各種寬帶接入手段層出不窮,如何實現(xiàn)高速網(wǎng)絡下的實時入侵檢測成為一個現(xiàn)實的新問題。

(3)入侵檢測的數(shù)據(jù)融合技術。目前的IDS還存在著很多缺陷。首先,目前的技術還不能對付練習有素的黑客的復雜的攻擊。其次,系統(tǒng)的虛警率太高。最后,系統(tǒng)對大量的數(shù)據(jù)處理,非但無助于解決新問題,還降低了處理能力。數(shù)據(jù)融合技術是解決這一系列新問題的好方法。

(4)和網(wǎng)絡平安技術相結合。結合防火墻,病毒防護以及電子商務技術,提供完整的網(wǎng)絡平安保障。

6 結束語

在目前的計算機平安狀態(tài)下,基于防火墻、加密技術的平安防護固然重要,但是,要根本改善系統(tǒng)的平安目前狀況,必須要發(fā)展入侵檢測技術,它已經(jīng)成為計算機平安策略中的核心技術之一。IDS作為一種主動的平安防護技術,提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。隨著網(wǎng)絡通信技術平安性的要求越來越高,入侵檢測技術必將受到人們的高度重視。

參考文獻摘要:

[1 Anderson J P. Computer security threat monitoring and surveillance [P . PA 19034,USA, 1980.4

[2Denning D E .An Intrusion-Detection Model [A . IEEE Symp on Security %26amp; Privacy[C ,1986.118-131

[3 張杰,戴英俠,入侵檢測系統(tǒng)技術目前狀況及其發(fā)展趨向[J,計算機和通信,2002.6摘要:28-32

[4 曾昭蘇,王鋒波,基于數(shù)據(jù)開采技術的入侵檢測系統(tǒng)[J,自動化博覽,2002,8摘要:29-31

第4篇:入侵檢測論文范文

關鍵詞:計算機網(wǎng)絡應用;安全性問題;防護策略

中圖分類號:TP393.08文獻標識碼:A文章編號:1007-9599 (2012) 03-0000-02

The Security Research on the Application of Computer Network

Han Yingchun

(Lishui University,Lishui323000,China)

Abstract:In today's technological advances,the rapid economic development has also led to the continued rapid development of network technology,widely used in major areas (military,economic and political).In a wide range of computer network technology application situation,the security issues will be gradually exposed,causing widespread concern within the industry.Therefore,security issues in the network application analysis and exploration is an urgent task.This paper first discusses the most common applications of several major security issues,as well as its safety protection strategy.

Keywords:Computer network applications;Security issues;Protection strategies

21世紀是一個網(wǎng)絡化信息化的時代,計算機網(wǎng)絡技術不斷伴隨著高科技的發(fā)展而發(fā)展,已經(jīng)滲透于經(jīng)濟、貿(mào)易、軍事等領域中。計算機網(wǎng)絡技術也逐漸的進入到人們的生活中,提高了人們工作的效率,促進了人們的生活水平。人們對于網(wǎng)絡技術已不再陌生。在網(wǎng)絡技術不斷發(fā)展的同時,它的安全性問題也就日益的突顯出重要性,對于其隱藏安全風險人們也加倍的重視起來。計算機網(wǎng)絡的特點也就是其自由開放的網(wǎng)絡(IP/TCP架構),正是這些自由開放的空間才使得黑客的攻擊以及入侵有機可乘。通過計算機的網(wǎng)絡使得一般傳統(tǒng)的病毒傳播的速度加快,而且病毒針對計算機的應用程序或是網(wǎng)絡協(xié)議存在的漏洞上,很多種新型的攻擊入侵的方法也不斷出現(xiàn)并日益革新。所以網(wǎng)絡應用的安全性已經(jīng)成為計算機技術中重要的部分,目前面臨的最大問題也就是對其的研究以及解決方案。

一、對于計算機的網(wǎng)絡技術應用中的常見的安全性問題進行論述與分析

我們知道計算機網(wǎng)絡性特征包括無邊界、大跨度以及分布式等主要特征,而這些明顯的特征也方便了網(wǎng)絡上黑客的入侵或攻擊。而且其行為主體的身份具有隱藏性,以及網(wǎng)絡信息具有隱蔽性,這些都為網(wǎng)絡應用里一些惡意的侵入或攻擊行為提供了有利的條件,可以更加肆無忌憚的放大惡。我們對于計算機網(wǎng)絡應用里常出現(xiàn)的安全性問題進行總結,有如下五大類:

第一,在計算機網(wǎng)絡的操作系統(tǒng)中,通過有些服務的開放端口來進行侵入或攻擊。存在這種方式的攻擊原因主要是因為該系統(tǒng)軟件中的函數(shù)拾針和邊界的條件等一些方面在設計上不當或是缺少條件限制,進而就產(chǎn)生一種漏洞(地址空間出現(xiàn)錯誤)。比如在該系統(tǒng)的軟件里,沒有及時處理某些特定類型的請求或是報文,進而也就使得軟件在碰到這些類型的報文時就出現(xiàn)其運行不正常,致使軟件系統(tǒng)發(fā)生崩潰現(xiàn)象。這種攻擊病毒中典型的像OOB攻擊,它是利用Windons系統(tǒng)的TCP端口(139)對其傳送隨機數(shù)來達到對操作系統(tǒng)的攻擊目的的,進而就使得CPU(中央處理器)始終維持在系統(tǒng)繁忙的狀態(tài)。

第二,就是通過傳輸?shù)膮f(xié)議這種途徑對其進行侵入或攻擊的。惡意的行為者找到其某些的傳輸協(xié)議制定當中的漏洞,接著發(fā)起攻擊,具體是利用請求資源(惡性)促發(fā)系統(tǒng)服務上出現(xiàn)超載,使得目標系統(tǒng)不能正常的運行,甚至導致其癱瘓現(xiàn)象。像這類中典型性的有借助IP或是TCP協(xié)議里的“三次握手”這個系統(tǒng)漏洞,對其進行(SYN Flood)攻擊;或者是通過大量的傳輸垃圾數(shù)據(jù)包,達到接受端口資源全部耗盡的目的,最終讓其系統(tǒng)出現(xiàn)癱瘓現(xiàn)象。像這類攻擊方法典型的有ICMP Flood、Connetction Floa。

第三,借用偽裝技術來對其進行攻擊入侵。這種攻擊方法具體的比如可對IP地址進行偽造,以及DNS解析地址和路由條目都可造假,為了讓要攻擊的服務器對這些請求不能正確的辨別,或者是不能對這些請求正常響應,以致最終導致緩沖區(qū)出現(xiàn)阻塞甚至死機的情況;還有一種,在局域網(wǎng)里中,對其中某臺計算機IP地址進行設置成網(wǎng)關地址,這樣就使得網(wǎng)絡里的數(shù)據(jù)包轉發(fā)不能正常實行,導致某一網(wǎng)段出現(xiàn)癱瘓。

第四,利用木馬病毒對其發(fā)起攻擊入侵。木馬對于喜歡玩電腦的人來說是再熟悉不過的,它是一種能夠遠程控制的黑客入侵工具,特點鮮明,具有非授權以及隱蔽性的特征,當某臺主機被木馬成功植入的話,那么該目標主機就會讓黑客完全的控制住,使其變成黑客的超級用戶。因木馬程序他能夠對系統(tǒng)里的重要信息(如密碼、帳號以及口令等)進行收集,因此也就使得用戶信息保密出現(xiàn)嚴重不安全性。

第五種,將嗅探器(Sniffer)或掃描最為信息窺探的工具,得到用戶重要信息。這里掃描是遍歷的搜索網(wǎng)絡以及系統(tǒng)的行為(主要針對系統(tǒng)漏洞而言),而漏洞是普遍都存在的,因此就有隱蔽采用或是惡意的使用掃描的手段,來對主機的重要信息進行窺探,這是為達到更深的入侵或是攻擊做好準備。Sniffer它是一種技術,是通過計算機上的網(wǎng)絡接口來進行截獲目的地,使其成為別的計算機中的數(shù)報文這樣的一種技術。這種網(wǎng)絡的嗅探器通常是處于被動的探測監(jiān)聽網(wǎng)絡中通信以及分析數(shù)據(jù),非法的來獲取口令以及密碼和用戶名等有效的用戶信息,因它的特點是非干擾性以及被動性,故對網(wǎng)絡安全應用上存在很大的威脅,他具有超強的隱蔽性,一般探測盜用了網(wǎng)絡信息是不易被用戶知曉的。

二、對于計算機網(wǎng)絡應用的安全性問題所做出的防護策略進行論述分析

首先用戶要對重要有效的信息數(shù)據(jù)實行加密策略,使其得到保護?,F(xiàn)在存在很多修改或是惡意探測監(jiān)聽網(wǎng)絡中發(fā)送的數(shù)據(jù)這種危險情況,針對這種形勢,常用的局勢對重要的數(shù)據(jù)實行加密措施,讓數(shù)據(jù)變成密文。我們知道就算別人竊取了數(shù)據(jù),但如果不知道其密鑰的話,他還是沒有辦法是竊取的數(shù)據(jù)還原,這也就在很大程度上對數(shù)據(jù)進行保護。加密可有非對稱和對稱加密,何為對稱加密體制?它是加密的密鑰與其解密的密鑰一樣的機制。對其最常使用的算法是DES,而其數(shù)據(jù)的加密標準就是依據(jù)ISO。那何為非對稱加密?相對應也就是它的加密和解密的密鑰是不同的。每個用戶擁有兩個密鑰,一個最為公開密鑰,這個密鑰是用來加密密鑰設置的,而另一個就是秘密密鑰,也就是又來解密時所用的密鑰,它是需要用戶自己嚴加保密的。個人根據(jù)實際需要來選擇自己使用的加密方法。

其次就是使用病毒防護技術來進行預防危險問題。對于計算機網(wǎng)絡應用的安全問題上,常見的主要病毒防護技術有如下幾種:第一個是智能引擎的防護技術。這種引擎技術對于特征碼掃描法中的優(yōu)點繼承并且進行了發(fā)展,將掃描方法中存在的不足進行了改進,進而在病毒掃描中,其掃描的速度不會受到病毒庫不斷增加的影響的;第二就是未知病毒查殺防護技術。這種防護技術在虛擬執(zhí)行技術基礎之上的又突破的病毒技術,它是人工智能技術與虛擬技術的組合體,能夠對未知的病毒進行有效準確的查殺;第三是病毒免疫技術。對與這種病毒的免疫技術,反病毒專家一直對其保持著高度研究興趣。這種技術主要是對自主的訪問控制進行加強,以及對磁盤進行禁寫保護區(qū)的設置,通過這種途徑來實現(xiàn)病毒免疫的;第四,嵌入式的殺毒技術。這中殺毒技術主要針對經(jīng)常性的遭到病毒的入侵攻擊的對象或應用程序,該技術對此實行重點保護??山柚鋺贸绦蛑械膬?nèi)部接口或是操作系統(tǒng)來實現(xiàn)殺毒,這種技術為應用軟件(范圍使用廣以及頻率使用高的)提供了被動形式煩人防護措施。這種應用軟件有Outlook/IE/NetAnt等,對其實行被動式的殺毒;第五,壓縮智能的還原技術。這種防護技術是通過打包或壓縮文件在內(nèi)存里進行還原技術,這樣讓病毒完全的顯露出來。

再次就是使用入侵檢測技術。何為入侵檢測技術?它的設計是針對計算機系統(tǒng)的安全而來的,它能夠及早的檢測到系統(tǒng)里出現(xiàn)異常現(xiàn)象或是未授權情況,它是對于網(wǎng)絡里違反其安全策略的行為進行檢測的一種技術。這種檢測技術的好處就是在系統(tǒng)被攻擊出現(xiàn)危害前,其就會檢測出存在的攻擊入侵,同時還可通過防護報警系統(tǒng)對攻擊入侵進行排除。在病毒攻擊當中可以有效的降低遭到攻擊而帶來的損失。這種技術可在攻擊系統(tǒng)之后對攻擊的相關信息進行收集,增加防護系統(tǒng)的知識,并將其輸入入庫,來提高系統(tǒng)的防護能力。

對于這種檢測技術而言,它的入侵檢測系統(tǒng)可劃分為兩種:異常檢測和誤用檢測。誤用檢測它主要是依照預先定義好的攻擊入侵模式庫(對于入侵行為的特征、排列以及條件和事件之間的關聯(lián)有所描述),因此在檢測時就可在系統(tǒng)里收集到的信息與入侵的模式描述進行對比,查看有沒有被入侵的行為。因此這種入侵檢測的準確性在很大程度上與入侵模式的完整可靠性有很大的關系,對于出現(xiàn)一些新的或是變體入侵行為(在入侵模式庫中沒描述的),該誤用檢測是存在漏報的情況的。對于異常檢測技術來說,其檢測是對審計蹤跡里存在的特征性數(shù)據(jù)的提取來對用戶的行為進行描述的,它是根據(jù)典型的網(wǎng)絡活動形成的輪廓模型來進行檢測的,在檢測的過程中是把輪廓模型和此檢測的行為模式來對比,用一個確定的值來進行判斷,當兩者的差異值大于這個值那就被判定屬于入侵行為。這種異常的檢測技術典型的主要包括機器學習、統(tǒng)計分析的技術法以及數(shù)據(jù)挖掘技術。這兩種(誤用檢測和異常檢測)檢測技術都有其缺點和優(yōu)點。誤用檢測技術對于新的入侵行為時就比較不能檢測出來這樣也就存在漏報的情況,但它能夠對已知的入侵行為準確的檢測出來,其誤報率也就比較低。而異常檢測對于新的入侵行為能夠進行檢測出來,不存在漏報現(xiàn)象,可是卻不能準確的確定出其具體入侵攻擊行為。現(xiàn)在高科技的日新月異,網(wǎng)絡安全入侵檢測技術的發(fā)展呈現(xiàn)出協(xié)同化、綜合化等發(fā)展方向,現(xiàn)在就有將以上兩種檢測技術結合的綜合性系統(tǒng),比如Haystack、NIDES等。包含兩者的優(yōu)點這樣使得檢測更具有全面可靠性。

三、總結

以上通過對計算機網(wǎng)絡應用的安全性問題的論述與分析,更深層次的了解到網(wǎng)絡安全技術以及常見的網(wǎng)絡安全問題等。社會是一個不斷向前發(fā)展的社會,經(jīng)濟技術上也會不斷的革新發(fā)展,當然網(wǎng)絡安全問題也會越來越復雜化、多變化,針對這些也會對相關的防護技術策略進行改進與創(chuàng)新。

參考文獻:

[1]李紅,黃道穎,李勇.計算機網(wǎng)絡安全的三種策略[A].全國ISNBM學術交流會暨電腦開發(fā)與應用創(chuàng)刊20周年慶祝大會論文集[C].2005

[2]姜明輝,蔣耀平,王海偉.中美網(wǎng)絡空間安全環(huán)境比較及美國經(jīng)驗借鑒[A].全國網(wǎng)絡與信息安全技術研討會'2005論文集(下冊)[C].2005

[3]范曉嵐,姜建國,曾啟銘.BO網(wǎng)絡入侵的實時檢測[A].中國工程物理研究院科技年報(1999)[C].1999

第5篇:入侵檢測論文范文

論文關鍵詞:網(wǎng)絡動態(tài)網(wǎng)絡入侵網(wǎng)絡入侵取證系統(tǒng)

計算機網(wǎng)絡的入侵檢測,是指對計算機的網(wǎng)絡及其整體系統(tǒng)的時控監(jiān)測,以此探查計算機是否存在違反安全原則的策略事件。目前的網(wǎng)絡入侵檢測系統(tǒng),主要用于識別計算機系統(tǒng)及相關網(wǎng)絡系統(tǒng),或是擴大意義的識別信息系統(tǒng)的非法攻擊,包括檢測內(nèi)部的合法用戶非允許越權從事網(wǎng)絡非法活動和檢測外界的非法系統(tǒng)入侵者的試探行為或惡意攻擊行為。其運動的方式也包含兩種,為目標主機上的運行來檢測其自身通信的信息和在一臺單獨機器上運行從而能檢測所有的網(wǎng)絡設備通信的信息,例如路由器、Hub等。

1計算機入侵檢測與取證相關的技術

1.1計算機入侵檢測

入侵取證的技術是在不對網(wǎng)絡的性能產(chǎn)生影響的前提下,對網(wǎng)絡的攻擊威脅進行防止或者減輕。一般來說,入侵檢測的系統(tǒng)包含有數(shù)據(jù)的收集、儲存、分析以及攻擊響應的功能。主要是通過對計算機的網(wǎng)絡或者系統(tǒng)中得到的幾個關鍵點進行信息的收集和分析,以此來提早發(fā)現(xiàn)計算機網(wǎng)絡或者系統(tǒng)中存在的違反安全策略行為以及被攻擊跡象。相較于其他的一些產(chǎn)品,計算機的入侵檢測系統(tǒng)需要更加多的智能,需要對測得數(shù)據(jù)進行分析,從而得到有用的信息。

計算機的入侵檢測系統(tǒng)主要是對描述計算機的行為特征,并通過行為特征對行為的性質進行準確判定。根據(jù)計算機所采取的技術,入侵檢測可以分為特征的檢測和異常的檢測;根據(jù)計算機的主機或者網(wǎng)絡,不同的檢測對象,分為基于主機和網(wǎng)絡的入侵檢測系統(tǒng)以及分布式的入侵檢測系統(tǒng);根據(jù)計算機不同的工作方式,可分為離線和在線檢測系統(tǒng)。計算機的入侵檢測就是在數(shù)以億記的網(wǎng)絡數(shù)據(jù)中探查到非法入侵或合法越權行為的痕跡。并對檢測到的入侵過程進行分析,將該入侵過程對應的可能事件與入侵檢測原則規(guī)則比較分析,最終發(fā)現(xiàn)入侵行為。按照入侵檢測不同實現(xiàn)的原來,可將其分為基于特征或者行為的檢測。

1.2計算機入侵取證

在中國首屆計算機的取證技術峰會上指出,計算機的入侵取證學科是計算機科學、刑事偵查學以及法學的交叉學科,但由于計算機取證學科在我國屬于新起步階段,與發(fā)達國家在技術研究方面的較量還存在很大差距,其中,計算機的電子數(shù)據(jù)的取證存在困難的局面已經(jīng)對部分案件的偵破起到阻礙作用。而我國的計算機的電子數(shù)據(jù)作為可用證據(jù)的立法項目也只是剛剛起步,同樣面臨著計算機的電子數(shù)據(jù)取證相關技術不成熟,相關標準和方法等不足的窘境。

計算機的入侵取證工作是整個法律訴訟過程中重要的環(huán)節(jié),此過程中涉及的不僅是計算機領域,同時還需滿足法律要求。因而,取證工作必須按照一定的即成標準展開,以此確保獲得電子數(shù)據(jù)的證據(jù),目前基本需要把握以下幾個原則:實時性的原則、合法性的原則、多備份的原則、全面性的原則、環(huán)境原則以及嚴格的管理過程。

2基于網(wǎng)絡動態(tài)的入侵取證系統(tǒng)的設計和實現(xiàn)

信息科技近年來得到迅猛發(fā)展,同時帶來了日益嚴重的計算機犯罪問題,靜態(tài)取證局限著傳統(tǒng)計算機的取證技術,使得其證據(jù)的真實性、及時性及有效性等實際要求都得不到滿足。為此,提出了新的取證設想,即動態(tài)取證,來實現(xiàn)網(wǎng)絡動態(tài)狀況下的計算機系統(tǒng)取證。此系統(tǒng)與傳統(tǒng)取證工具不同,其在犯罪行為實際進行前和進行中開展取證工作,根本上避免取證不及時可能造成德證據(jù)鏈缺失?;诰W(wǎng)絡動態(tài)的取證系統(tǒng)有效地提高了取證工作效率,增強了數(shù)據(jù)證據(jù)時效性和完整性。

2.1計算機的入侵取證過程

計算機取證,主要就是對計算機證據(jù)的采集,計算機證據(jù)也被稱為電子證據(jù)。一般來說,電子證據(jù)是指電子化的信息數(shù)據(jù)和資料,用于證明案件的事實,它只是以數(shù)字形式在計算機系統(tǒng)中存在,以證明案件相關的事實數(shù)據(jù)信息,其中包括計算機數(shù)據(jù)的產(chǎn)生、存儲、傳輸、記錄、打印等所有反映計算機系統(tǒng)犯罪行為的電子證據(jù)。

就目前而言,由于計算機法律、技術等原因限制,國內(nèi)外關于計算機的取證主要還是采用事后取證方式。即現(xiàn)在的取證工作仍將原始數(shù)據(jù)的收集過程放在犯罪事件發(fā)生后,但計算機的網(wǎng)絡特性是許多重要數(shù)據(jù)的存儲可能在數(shù)據(jù)極易丟失的存儲器中;另外,黑客入侵等非法網(wǎng)絡犯罪過程中,入侵者會將類似系統(tǒng)日志的重要文件修改、刪除或使用反取證技術掩蓋其犯罪行徑。同時,年FBI/CSI的年度計算機報告也顯示,企業(yè)的內(nèi)部職員是計算機安全的最大威脅,因職員位置是在入侵檢測及防火墻防護的系統(tǒng)內(nèi)的,他們不需要很高的權限更改就可以從事犯罪活動。

2.2基于網(wǎng)絡動態(tài)的計算機入侵取證系統(tǒng)設計

根據(jù)上文所提及的計算機入侵的取證缺陷及無法滿足實際需要的現(xiàn)狀,我們設計出新的網(wǎng)絡動態(tài)狀況下的計算機入侵的取證系統(tǒng)。此系統(tǒng)能夠實現(xiàn)將取證的工作提前至犯罪活動發(fā)生之前或者進行中時,還能夠同時兼顧來自于計算機內(nèi)、外犯罪的活動,獲得盡可能多的相關犯罪信息。基于網(wǎng)絡動態(tài)的取證系統(tǒng)和傳統(tǒng)的取證系統(tǒng)存在的根本差別在于取證工作的開展時機不同,基于分布式策略的動態(tài)取證系統(tǒng),可獲得全面、及時的證據(jù),并且可為證據(jù)的安全性提供更加有效的保障。

此外,基于網(wǎng)絡動態(tài)的入侵取證系統(tǒng)在設計初始就涉及了兩個方面的取證工作。其一是攻擊計算機本原系統(tǒng)的犯罪行為,其二是以計算機為工具的犯罪行為(或說是計算機系統(tǒng)越權使用的犯罪行為)。系統(tǒng)采集網(wǎng)絡取證和取證兩個方面涉及的這兩個犯罪的電子證據(jù),并通過加密傳輸?shù)哪K將采集到的電子證據(jù)傳送至安全的服務器上,進行統(tǒng)一妥善保存,按其關鍵性的級別進行分類,以方便后續(xù)的分析查詢活動。并對已獲電子證據(jù)以分析模塊進行分析并生成報告?zhèn)溆?。通過管理控制模塊完成對整個系統(tǒng)的統(tǒng)一管理,來確保系統(tǒng)可穩(wěn)定持久的運行。

2.3網(wǎng)絡動態(tài)狀況下的計算機入侵取證系統(tǒng)實現(xiàn)

基于網(wǎng)絡動態(tài)計算機的入侵取證系統(tǒng),主要是通過網(wǎng)絡取證機、取證、管理控制臺、安全服務器、取證分析機等部分組成。整個系統(tǒng)的結構取證,是以被取證機器上運行的一個長期服務的守護程序的方式來實現(xiàn)的。該程序將對被監(jiān)測取證的機器的系統(tǒng)日志文件長期進行不間斷采集,并配套相應得鍵盤操作和他類現(xiàn)場的證據(jù)采集。最終通過安全傳輸?shù)姆绞綄⒁勋@電子數(shù)據(jù)證據(jù)傳輸至遠程的安全服務器,管理控制臺會即刻發(fā)送指令知道操作。

網(wǎng)絡取證機使用混雜模式的網(wǎng)絡接口,監(jiān)聽所有通過的網(wǎng)絡數(shù)據(jù)報。經(jīng)協(xié)議分析,可捕獲、匯總并存儲潛在證據(jù)的數(shù)據(jù)報。并同時添加“蜜罐”系統(tǒng),發(fā)現(xiàn)攻擊行為便即可轉移進行持續(xù)的證據(jù)獲取。安全服務器是構建了一個開放必要服務器的系統(tǒng)進行取證并以網(wǎng)絡取證機將獲取的電子證據(jù)進行統(tǒng)一保存。并通過加密及數(shù)字簽名等技術保證已獲證據(jù)的安全性、一致性和有效性。而取證分析機是使用數(shù)據(jù)挖掘的技術深入分析安全服務器所保存的各關鍵類別的電子證據(jù),以此獲取犯罪活動的相關信息及直接證據(jù),并同時生成報告提交法庭。管理控制臺為安全服務器及取證提供認證,以此來管理系統(tǒng)各個部分的運行。

基于網(wǎng)絡動態(tài)的計算機入侵取證系統(tǒng),不僅涉及本網(wǎng)絡所涵蓋的計算機的目前犯罪行為及傳統(tǒng)計算機的外部網(wǎng)絡的犯罪行為,同時也獲取網(wǎng)絡內(nèi)部的、將計算機系統(tǒng)作為犯罪工具或越權濫用等犯罪行為的證據(jù)。即取證入侵系統(tǒng)從功能上開始可以兼顧內(nèi)外部兩方面?;诰W(wǎng)絡動態(tài)的計算機入侵取證系統(tǒng),分為證據(jù)獲取、傳輸、存儲、分析、管理等五大模塊。通過各個模塊間相互緊密協(xié)作,真正良好實現(xiàn)網(wǎng)絡動態(tài)的計算機入侵取證系統(tǒng)。

第6篇:入侵檢測論文范文

摘要:采用確定的有限狀態(tài)自動機理論對復雜的網(wǎng)絡攻擊行為進行形式化描述,建立了SYN-Flooding等典型攻擊的自動機識別模型。通過這些模型的組合可以表示更為復雜的網(wǎng)絡攻擊行為,從而為研究網(wǎng)絡入侵過程提供了一種更為直觀的形式化手段。

關鍵詞:計算機網(wǎng)絡;有限狀態(tài)自動機;網(wǎng)絡攻擊

隨著計算機網(wǎng)絡的普及應用,網(wǎng)絡安全技術顯得越來越重要。入侵檢測是繼防火墻技術之后用來解決網(wǎng)絡安全問題的一門重要技術。該技術用來確定是否存在試圖破壞系統(tǒng)網(wǎng)絡資源的完整性、保密性和可用性的行為。這些行為被稱之為入侵。隨著入侵行為的不斷演變,入侵正朝著大規(guī)模、協(xié)同化方向發(fā)展。面對這些日趨復雜的網(wǎng)絡入侵行為,采用什么方法對入侵過程進行描述以便更為直觀地研究入侵過程所體現(xiàn)出的行為特征已成為入侵檢測技術所要研究的重要內(nèi)容。顯然,可以采用自然語言來描述入侵過程。該方法雖然直觀,但存在語義不確切、不便于計算機處理等缺點。Tidwell提出利用攻擊樹來對大規(guī)模入侵建模,但攻擊樹及其描述語言均以攻擊事件為主體元素,對系統(tǒng)狀態(tài)變化描述能力有限[1,2]。隨著系統(tǒng)的運行,系統(tǒng)從一個狀態(tài)轉換為另一個狀態(tài);不同的系統(tǒng)狀態(tài)代表不同的含義,這些狀態(tài)可能為正常狀態(tài),也可能為異常狀態(tài)。但某一時刻,均存在某種確定的狀態(tài)與系統(tǒng)相對應。而系統(tǒng)無論如何運行最終均將處于一種終止狀態(tài)(正常結束或出現(xiàn)故障等),即系統(tǒng)的狀態(tài)是有限的。系統(tǒng)狀態(tài)的轉換過程可以用確定的有限狀態(tài)自動機(DeterministicFiniteAutomation,DFA)進行描述。這種自動機的圖形描述(即狀態(tài)轉換圖)使得入侵過程更為直觀,能更為方便地研究入侵過程所體現(xiàn)出的行為特征。下面就采用自動機理論來研究入侵過程的形式化描述方法。

1有限狀態(tài)自動機理論

有限狀態(tài)自動機M是一種自動識別裝置,它可以表示為一個五元組:

2入侵過程的形式化描述

入侵過程異常復雜導致入侵種類的多種多樣,入侵過程所體現(xiàn)出的特征各不相同,采用統(tǒng)一的形式化模型進行描述顯然存在一定的困難。下面采用有限狀態(tài)自動機對一些典型的入侵過程進行描述,嘗試找出它們的特征,以尋求對各種入侵過程進行形式化描述的方法。

下面采用有限狀態(tài)自動機理論對SYN-Flooding攻擊等一些典型的入侵過程進行形式化描述。

2.1SYN-Flooding攻擊

Internet中TCP協(xié)議是一個面向連接的協(xié)議。當兩個網(wǎng)絡節(jié)點進行通信時,它們首先需要通過三次握手信號建立連接。設主機A欲訪問服務器B的資源,則主機A首先要與服務器B建立連接,具體過程如圖1所示。首先主機A先向服務器B發(fā)送帶有SYN標志的連接請求。該數(shù)據(jù)包內(nèi)含有主機A的初始序列號x;服務器B收到SYN包后,狀態(tài)變?yōu)镾YN.RCVD,并為該連接分配所需要的數(shù)據(jù)結構。然后服務器B向主機A發(fā)送帶有SYN/ACK標志的確認包。其中含有服務器B的連接初始序列號y,顯然確認序列號ACK為x+1,此時即處于所謂的半連接狀態(tài)。主機A接收到SYN/ACK數(shù)據(jù)包后再向服務器B發(fā)送ACK數(shù)據(jù)包,此時ACK確認號為y+1;服務器B接收到該確認數(shù)據(jù)包后狀態(tài)轉為Established,至此,連接建立完畢。這樣主機A建立了與服務器B的連接,然后它們就可以通過該條鏈路進行通信[4]。

上面為TCP協(xié)議正常建立連接的情況。但是,如果服務器B向主機A發(fā)送SYN/ACK數(shù)據(jù)包后長時間內(nèi)得不到主機A的響應,則服務器B就要等待相當長一段時間;如果這樣的半連接過多,則很可能消耗完服務器B用于建立連接的資源(如緩沖區(qū))。一旦系統(tǒng)資源消耗盡,對服務器B的正常連接請求也將得不到響應,即發(fā)生了所謂的拒絕服務攻擊(DenialofService,DoS)。這就是SYN-Flooding攻擊的基本原理。

SYN-Flooding攻擊的具體過程如下:攻擊者Intruder偽造一個或多個不存在的主機C,然后向服務器B發(fā)送大量的連接請求。由于偽造的主機并不存在,對于每個連接請求服務器B因接收不到連接的確認信息而要等待一段時間,這樣短時間內(nèi)出現(xiàn)了大量處于半連接狀態(tài)的連接請求,很快就耗盡了服務器B的相關系統(tǒng)資源,使得正常的連接請求得不到響應,導致發(fā)生拒絕服務攻擊。下面采用有限狀態(tài)自動機描述SYN-Floo-ding攻擊過程。

2.2IP-Spoofing入侵過程

攻擊者想要隱藏自己的真實身份或者試圖利用信任主機的特權以實現(xiàn)對其他主機的攻擊,此時攻擊者往往要偽裝成其他主機的IP地址。假設主機A為服務器B的信任主機,攻擊者Intruder若想冒充主機A與服務器B進行通信,它需要盜用A的IP地址。具體過程[5]如下:

(1)攻擊者通過DoS等攻擊形式使主機A癱瘓,以免對攻擊造成干擾。

(2)攻擊者將源地址偽裝成主機A,發(fā)送SYN請求包給服務器B要求建立連接。

(3)服務器B發(fā)送SYN-ACK數(shù)據(jù)包給主機A,此時主機A因處于癱瘓狀態(tài)已不能接收服務器B的SYN-ACK數(shù)據(jù)包。

(4)攻擊者根據(jù)服務器B的回應消息包對后續(xù)的TCP包序列號y進行預測。

(5)攻擊者再次偽裝成主機A用猜測的序列號向服務器B發(fā)送ACK數(shù)據(jù)包,以完成三次握手信號并建立連接。

分別表示Land攻擊、SYN-Flooding攻擊和DDoS攻擊。通信函數(shù)表示為Communication(Res-h(huán)ost,Des-h(huán)ost,Syn-no,Ack-no)。其中Res-h(huán)ost、Des-h(huán)ost分別為源節(jié)點和目的節(jié)點地址,Syn-no、Ack-no分別為同步和應答序列號。通信及其他函數(shù)集具體定義如下:

2.3IP分片攻擊

數(shù)據(jù)包在不同的網(wǎng)絡上傳輸時,由于各種網(wǎng)絡運行的協(xié)議可能有所差異,不同物理網(wǎng)絡的最大傳輸單元MTU(即最大包長度)可能不同;這樣當數(shù)據(jù)包從一個物理網(wǎng)絡傳輸?shù)搅硪粋€物理網(wǎng)絡時,如果該網(wǎng)絡的MTU不足以容納完整的數(shù)據(jù)包,那么就需要利用數(shù)據(jù)包分解的方法來解決。這樣大的數(shù)據(jù)包往往分解成許多小的數(shù)據(jù)包分別進行傳輸。攻擊者常常利用這一技術將其攻擊數(shù)據(jù)分散在各個數(shù)據(jù)包中,從而達到隱蔽其探測或攻擊行為的目的[6]。

對于Teardrop等典型的IP分片攻擊,其特征是IP包中的ip_off域為IP_MF,而且IP包經(jīng)過計算,其長度域ip_len聲明的長度與收到包的實際長度不同。這樣被攻擊者在組裝IP包時,可能把幾個分片的部分重疊起來,某些有害的參數(shù)可能被加了進去,從而引起系統(tǒng)狀態(tài)的異常。

第7篇:入侵檢測論文范文

關鍵詞:大數(shù)據(jù)時代;人工智能;計算機網(wǎng)絡技術;應用價值

21世紀以來,世界都已經(jīng)進入大數(shù)據(jù)發(fā)展時代,人工智能的應用與居民生活息息相關。人工智能就是模仿人類的行為方式和思維模式進行工作處理,它比計算機技術更加具有實用價值。所以,為了迅速提高我國大數(shù)據(jù)時代人工智能在計算機網(wǎng)絡技術中的應用,論文基于此展開詳細分析探討,深入研究人工智能在計算機網(wǎng)絡技術中的應用價值。以下主要針對于人工智能計算機的基本內(nèi)容展開簡單分析與探討:

一、人工智能計算機的概況

利用計算機技術來模仿人類的行為方式和思維模式就叫做人工智能。人工智能,技術的涵蓋內(nèi)容廣泛,且創(chuàng)新性高、挑戰(zhàn)力度大,它的發(fā)展與各學科知識包括信息與計算科學、語言學、數(shù)學、心理學等都有關聯(lián)。人工智能的發(fā)展目標是通過計算機技術讓本該由人工操作的危險或復雜的工作由人工智能機器代替,從而額實現(xiàn)節(jié)約勞動力、減少事故危害發(fā)生的情況,進而提高工作效率和工作質量。人工智能的發(fā)展形式多樣。第一,人工智能可以幫助完善某些較為復雜的問題或是當前還無法解決的問題,若是發(fā)生由計算機運算都還無法獲得正確模型的情況,此時就可利用人工智能來對該項問題進行有效解決,針對模糊的問題和內(nèi)容,利用人工智能模式來不斷提高網(wǎng)絡使用質量。第二,人工智能可以將簡單的東西或知識復雜化,得到人們想要的高級程序和數(shù)據(jù),從而節(jié)約實現(xiàn),提高工作效率。

二、大數(shù)據(jù)時代人工智能在計算機網(wǎng)絡技術中的應用

(一)數(shù)據(jù)挖掘技術在計算機網(wǎng)絡技術中的應用數(shù)據(jù)挖掘技術在近幾年來越來越受到人們的重視,因為數(shù)據(jù)挖掘技術是大數(shù)據(jù)時展的關鍵技術。利用人工智能技術可研究外界不安全因素的入侵頻率,并在網(wǎng)絡安全運行的前提下結合網(wǎng)絡存貯狀態(tài),將研究結果記錄保存。之后的工作中,若計算機處于運行情況時發(fā)生安全問題,系統(tǒng)會立即給予警告提示,并及時攔截入侵對象。數(shù)據(jù)挖掘技術其實從根本上來看,就是由人工智能技術和大數(shù)據(jù)技術的綜合發(fā)展而來,模仿人類處理數(shù)據(jù)信息的特征和方式,讓計算機實現(xiàn)對數(shù)據(jù)的批量處理。此外,數(shù)據(jù)挖掘技術還可與各種傳感器融合工作,從而實現(xiàn)技術功效的最大潛力,不斷增強計算機系統(tǒng)的功效和實用價值。

(二)入侵檢測技術在計算機網(wǎng)絡技術中的應用現(xiàn)展迅速,網(wǎng)絡科技已成為人們?nèi)粘I钪兄陵P重要的組成成分,給人們的生活工作帶來極大便利,但是其中也潛存很多不穩(wěn)定因素。所以,網(wǎng)絡安全技術的發(fā)展是保證網(wǎng)絡使用正常工作的重要前提。當前,已經(jīng)有很多網(wǎng)絡機制被運用到保護網(wǎng)絡安全的工作中,但是在對網(wǎng)絡安全管理時發(fā)現(xiàn)仍舊有很多不穩(wěn)定因素的存在,尤其是現(xiàn)在網(wǎng)絡技術的發(fā)展迅速,很多手機支付等網(wǎng)絡支付方式中會存在支付密碼泄露的情況?;诖?,在網(wǎng)絡計算機安全使用過程中起到良好作用的是入侵檢測技術。該技術被使用時,可以對網(wǎng)絡中潛存的安全隱患信息及時偵查處理,對其數(shù)據(jù)信息進行檢測,最后將檢測結果的分析報告反饋給用戶,實現(xiàn)有效檢測。入侵檢測技術的不斷發(fā)展和完善,讓計算機網(wǎng)絡的安全運行得到極大保障,在對計算機網(wǎng)絡進行安全檢測的條件下,防止網(wǎng)絡受到外界環(huán)境的干擾。人工智能技術中還可結合人工神經(jīng)系統(tǒng)高和專家系統(tǒng)網(wǎng)絡,實現(xiàn)對實時變化信息的即時監(jiān)控,切實保障計算機網(wǎng)絡技術的安全發(fā)展。

(三)防火墻技術在計算機網(wǎng)絡技術中的應用計算機的硬件與軟件相結合才能讓防火墻技術發(fā)揮功效,為計算機的安全運行構建一個完整的保護盔甲。防火墻技術的應用是針對整個計算機網(wǎng)絡的使用安全,極大的降低了由于外界非法入侵帶來的不穩(wěn)定因素,讓計算機的安全得到保障。尤其是在現(xiàn)在大數(shù)據(jù)時代的發(fā)展背景下,防火墻技術的優(yōu)點更加明顯,防止計算機被非法入侵是防火墻技術的最重要功效。當前,人們每天都會收到很多封垃圾郵件和短信,部分郵件和短信還攜帶有危害性質的病毒,一旦點開這些垃圾信息和短信就會造成病毒入侵,讓計算機中原本的私人信息遭到泄露。因此,需要人工智能技術來幫助人們進行信息識別,掃描郵件中是否有不安全因素的存在,找出后還可立即進行排除,防止安全事故的發(fā)生。根據(jù)以上內(nèi)容的分析得出,在當前的計算機網(wǎng)絡系統(tǒng)應用過程中,人工智能技術已成為主導技術之一,它能夠結合其他任何智能技術實現(xiàn)創(chuàng)新發(fā)展和進步,以促進計算機網(wǎng)絡系統(tǒng)的安全使用,讓計算機網(wǎng)絡系統(tǒng)高效、安全的發(fā)展,這也讓人們的生活、工作水平進一步提高。

第8篇:入侵檢測論文范文

關鍵字 入侵檢測;數(shù)據(jù)挖掘;異常檢測;誤用檢測;分類算法;關聯(lián)規(guī)則;序列規(guī)則;聚類算法

0 引言

隨著網(wǎng)絡技術的發(fā)展,現(xiàn)在越來越多的人通過豐富的網(wǎng)絡資源學會各種攻擊的手法,通過簡單的操作就可以實施極具破壞力的攻擊行為,如何有效的檢測并阻止這些攻擊行為的發(fā)生成了目前計算機行業(yè)普遍關注的一個問題。

用于加強網(wǎng)絡安全的手段目前有很多,如加密,VPN ,防火墻等,但這些技術都是靜態(tài)的,不能夠很好的實施有效的防護。而入侵檢測(Intrusion Detection)技術是一種動態(tài)的防護策略,它能夠對網(wǎng)絡安全實施監(jiān)控、攻擊與反攻擊等動態(tài)保護,在一定程度上彌補了傳統(tǒng)靜態(tài)策略的不足。

1 入侵檢測中數(shù)據(jù)挖掘技術的引入

1.1 入侵檢測技術介紹

入侵檢測技術是對(網(wǎng)絡)系統(tǒng)的運行狀態(tài)進行監(jiān)視,發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結果,以保證系統(tǒng)資源的機密性、完整性與可用性。

從檢測數(shù)據(jù)目標的角度,我們可以把入侵檢測系統(tǒng)分為基于主機、基于網(wǎng)絡、基于內(nèi)核和基于應用等多種類型。本文主要分析基于網(wǎng)絡的入侵檢測系統(tǒng)的構造。

根據(jù)數(shù)據(jù)分析方法(也就是檢測方法)的不同,我們可以將入侵檢測系統(tǒng)分為兩類:

(1) 誤用檢測(Misuse Detection)。又稱為基于特征的檢測,它是根據(jù)已知的攻擊行為建立一個特征庫,然后去匹配已發(fā)生的動作,如果一致則表明它是一個入侵行為。它的優(yōu)點是誤報率低,但是由于攻擊行為繁多,這個特征庫會變得越來越大,并且它只能檢測到已知的攻擊行為。

(2) 異常檢測(Anomaly Detection)。又稱為基于行為的檢測,它是建立一個正常的特征庫,根據(jù)使用者的行為或資源使用狀況來判斷是否入侵。它的優(yōu)點在于與系統(tǒng)相對無關,通用性較強,可能檢測出以前從未出現(xiàn)過的攻擊方法。但由于產(chǎn)生的正常輪廓不可能對整個系統(tǒng)的所有用戶行為進行全面的描述,況且每個用戶的行為是經(jīng)常改變的,所以它的主要缺陷在于誤檢率很高。

將這兩種分析方法結合起來,可以獲得更好的性能。異常檢測可以使系統(tǒng)檢測新的、未知的攻擊或其他情況;誤用檢測通過防止耐心的攻擊者逐步改變行為模式使得異常檢測器將攻擊行為認為是合法的,從而保護異常檢測的完整性。

入侵檢測的數(shù)據(jù)源可以通過一些專用的抓包工具來獲取,在Windows系統(tǒng)一下,一般采用Winpcap來抓獲數(shù)據(jù)包,在Unix系統(tǒng)下,可以通過Tcpdump和Arpwatch來獲取。在數(shù)據(jù)分析階段將會用到我們這里重點要介紹的是數(shù)據(jù)挖掘技術,響應部分分為主動響應和被動響應。

1.2 數(shù)據(jù)挖掘技術

數(shù)據(jù)挖掘(Data Mining)技術是一個從大量的數(shù)據(jù)中提取人們感興趣的模式的過程。挖掘的對象不僅是數(shù)據(jù)源、文件系統(tǒng),也包括諸如Web資源等任何數(shù)據(jù)集合;同時數(shù)據(jù)挖掘的過程并不是一個直線型的過程,而是一個螺旋上升、循環(huán)往復的多步驟處理過程。

數(shù)據(jù)挖掘通過預測未來趨勢及行為,做出預測性的、基于知識的決策。數(shù)據(jù)挖掘的目標是從數(shù)據(jù)庫中發(fā)現(xiàn)隱含的、有意義的知識,按其功能可分為以下幾類:

(1)關聯(lián)分析

關聯(lián)分析能尋找數(shù)據(jù)庫中大量數(shù)據(jù)的相關聯(lián)系,常用的2種技術為關聯(lián)規(guī)則和序列模式。關聯(lián)規(guī)則是發(fā)現(xiàn)一個事物與其他事物間的相互關聯(lián)性或相互依賴性,可用于如分析客戶在超市買牙刷的同時又買牙膏的可能性;序列模式分析將重點放在分析數(shù)據(jù)之間的前后因果關系,如買了電腦的顧客則會在3個月內(nèi)買殺毒軟件。

(2)聚類

輸入的數(shù)據(jù)并無任何類型標記,聚類就是按一定的規(guī)則將數(shù)據(jù)劃分為合理的集合,即將對象分組為多個類或簇,使得在同一個簇中的對象之間具有較高的相似度,而在不同簇中的對象差別很大。

(3)自動預測趨勢和行為

數(shù)據(jù)挖掘自動在大型數(shù)據(jù)庫中進行分類和預測,尋找預測性信息,自動地提出描述重要數(shù)據(jù)類的模型或預測未來的數(shù)據(jù)趨勢。

(4)概念描述

對于數(shù)據(jù)庫中龐雜的數(shù)據(jù),人們期望以簡潔的描述形式來描述匯集的數(shù)據(jù)集。概念描述就是對某類對象的內(nèi)涵進行描述并概括出這類對象的有關特征。

(5)偏差檢測

偏差包括很多潛在的知識,如分類中的反常實例、不滿足規(guī)則的特例、觀測結果與模型預測值的偏差、量值隨時間的變化等。

數(shù)據(jù)挖掘技術是最新引入到入侵檢測的技術。它的優(yōu)越之處在于可以從大量的網(wǎng)絡數(shù)據(jù)以及主機的日志數(shù)據(jù)中提取出人們需要的、事先未知的知識和規(guī)律。利用數(shù)據(jù)挖掘技術實現(xiàn)網(wǎng)絡安全在國內(nèi)外都屬于一種新的嘗試。目前,對數(shù)據(jù)挖掘算法的研究已比較成熟,而數(shù)據(jù)挖掘本身是一個通用的知識發(fā)現(xiàn)技術。在入侵檢測領域,我們將入侵檢測看作是一個數(shù)據(jù)的分析過程,對大量的安全數(shù)據(jù)應用特定的數(shù)據(jù)挖掘算法,以達到建立一個具有自適應性以及良好的擴展性能的入侵檢測系統(tǒng)。目前,應用到入侵檢測上的數(shù)據(jù)挖掘算法主要集中在關聯(lián)、序列、分類和聚類這四個基本模型之上。

2.算法在入侵檢測中的具體使用 2.1 基于誤用的檢測模型

誤用檢測中的基本思路是:

首先我們從網(wǎng)絡或是主機上獲取原始二進制的數(shù)據(jù)文件,再把這些數(shù)據(jù)進行處理,轉換成ASCII碼表示的數(shù)據(jù)分組形式。再經(jīng)過預處理模塊將這些網(wǎng)絡數(shù)據(jù)表示成連接記錄的形式,每個連接記錄都是由選定的特征屬性表示的,比如連接建立的時間,所使用的端口服務,連接結束的狀態(tài)等等數(shù)據(jù)特征。再進行完上面的工作后,對上述的由特征屬性組成的模式記錄進行處理,總結出其中的統(tǒng)計特征,包括在一時間段內(nèi)與目標主機相同的連接記錄的次數(shù)、發(fā)生SYN錯誤的連接百分比、目標端口相同的連接所占的百分比等等一系列的統(tǒng)計特征。最后,我們就可以進行下面的檢測分析工作,利用分類算法,比如RIPPER 、C4.5等建立分類模型。當然,在這其中,統(tǒng)計特征以及分類特征的選擇和構建都是我們必須要反復總結的過程,最后才能根據(jù)各種不同的攻擊方式或是不同的網(wǎng)絡服務確定最終的分類數(shù)據(jù)。只有這樣才能建立一個實用性較強、效果更好的分類模型。

·ID3、C4.5算法

ID3算法是一種基本的決策樹生成算法,該算法不包括規(guī)則剪除部分。C4.5算法作為ID3算法的后繼版本,就加入了規(guī)則剪除部分,使用訓練樣本來估計每個規(guī)則的準確率。也是分類模型的主要運用算法。

對于已知的攻擊類型的檢測,分類模型具有較高的檢準率,但是對于未知的、新的攻擊,分類模型效果就不是很理想。這個是由誤用檢測本身的特點所決定的,誤用檢測誤報率低,但是它在對已知攻擊模式特征屬性構建和選取上往往要花費大量的精力,這也是分類檢測的難點所在。所以這種檢測模型只能有限的檢測已知的攻擊,而要更好的檢測未知的攻擊,就要使用到異常檢測技術,但是,異常檢測卻比誤用檢測負責的多,因為對于系統(tǒng)正常使用模式的構建本身就是一件非常復雜的事情。

2.2 基于異常的入侵模型

異常檢測的主要工作就是通過構造正?;顒蛹?,然后利用得到的一組觀察數(shù)值的偏離程度來判斷用戶行為的變化,以此來覺得是否屬于入侵的一種檢測技術。異常檢測的優(yōu)點在于它具有檢測未知攻擊模式的能力,不論攻擊者采用什么樣的攻擊策略,異常檢測模型依然可以通過檢測它與已知模式集合之間的差異來判斷用戶的行為是否異常。

在異常檢測中主要用到的兩個算法就是模式比較和聚類算法

(1) 模式比較

在模式比較算法中首先通過關聯(lián)規(guī)則和序列規(guī)則建立正常的行為模式,然后通過模式比較算法來區(qū)別正常行為和入侵行為。

·關聯(lián)規(guī)則

關聯(lián)規(guī)則挖掘是數(shù)據(jù)挖掘最為廣泛應用的技術之一,也是最早用于入侵檢測的技術。關聯(lián)規(guī)則分析是發(fā)現(xiàn)所有支持度和可信度均超過規(guī)定域值的方法,它主要經(jīng)過兩步過程:首先識別所有支持度不低于用戶規(guī)定的最小支持度域值的項目集,即頻繁項目集;然后從得到的頻繁項目集中構造出可信度不低于用戶規(guī)定的最小可信度域值的規(guī)則?,F(xiàn)在已有多種關聯(lián)規(guī)則算法如Apriori算法等用于入侵檢測。

·序列分析

序列規(guī)則和關聯(lián)規(guī)則相似,其目的也是為了挖掘出數(shù)據(jù)之間的聯(lián)系,它們的不同之處在于前者加入了時間的概念。序列模式挖掘有幾個重要的參數(shù),如時間序列的持續(xù)時間,事件重疊窗口和被發(fā)現(xiàn)的模式中時間之間的時間間隔。還可以在要挖掘的序列模式上指定約束,方法是提供“模式模板“,其形式可以是系列片段(Serial Episode),并行片段(Parallel Episode),或正則表達式。序列分析使用于發(fā)現(xiàn)分布式攻擊和插入噪聲的攻擊。由于各種攻擊方法的規(guī)模的擴大和時間持久,序列分析變得越來越重要。

(2)聚類算法

聚類分析的基本思想主要源于入侵與正常模式上的不同及正常行為數(shù)目應遠大于入侵行為數(shù)目的條件,因此能夠將數(shù)據(jù)集劃分為不同的類別,由此分辨出正常和異常行為來檢測入侵。數(shù)據(jù)挖掘中常用的聚類算法有K-means、模糊聚類、遺傳聚類等?;诰垲惖娜肭謾z測是一種無監(jiān)督的異常檢測算法,通過對未標識數(shù)據(jù)進行訓練來檢測入侵。該方法不需要手工或其他的分類,也不需要進行訓練。因此呢功能發(fā)現(xiàn)新型的和未知的入侵類型。

3.結論

入侵檢測中數(shù)據(jù)挖掘技術方面的研究已經(jīng)有很多,發(fā)表的論文也已經(jīng)有好多,但是應用難點在于如何根據(jù)具體應用的要求,從用于安全的先驗知識出發(fā),提取出可以有效反映系統(tǒng)特性的屬性,并應用合適的算法進行數(shù)據(jù)挖掘。另一技術難點在于如何將數(shù)據(jù)挖掘結果自動應用到實際IDS中。

入侵檢測采用的技術有多種類型,其中基于數(shù)據(jù)挖掘技術的入侵檢測技術成為當前入侵檢測技術發(fā)展的一個熱點,但數(shù)據(jù)挖掘還處于發(fā)展時期,因此有必要對它進行更深入的研究。

參考文獻

[1] 張銀奎,廖麗,宋俊等.數(shù)據(jù)挖掘原理[M].北京:機械工業(yè)出版社,2003 : 93-105

[2] 戴英俠,連一峰,王航等.系統(tǒng)安全與入侵檢測[M].北京:清華大學出版社,2002 : 99-137

[3] 許卓群.數(shù)據(jù)結構[M].北京:中國廣播電視大學出版社,2001 : 260- 272.

[4] 劉莘,張永平,萬艷麗.決策樹算法在入侵檢測中的應用分析及改進[J].計算機工程與設計.2006

[5] 張翰帆.基于數(shù)據(jù)挖掘的入侵檢測系統(tǒng).南京工業(yè)大學,2004.

第9篇:入侵檢測論文范文

論文摘要:檔案信息化進程的加快為檔案事業(yè)帶來了無限發(fā)展的空間,同時,檔案信息安全問題也遇到了前所未有的挑戰(zhàn)。本文對幾種常用的欺騙技術在檔案信息化工作中的應用進行了分析,對構建檔案信息網(wǎng)絡安全系統(tǒng)有一定的參考作用。

網(wǎng)絡欺騙就是使網(wǎng)絡入侵者相信檔案信息系統(tǒng)存在有價值的、可利用的安全弱點,并具有一些值得攻擊竊取的資源,并將入侵者引向這些錯誤的實際上是偽造的或不重要的資源。它能夠顯著地增加網(wǎng)絡入侵者的工作量、人侵難度以及不確定性,從而使網(wǎng)絡入侵者不知道其進攻是否奏效或成功。它允許防護者跟蹤網(wǎng)絡入侵者的行為,在網(wǎng)絡入侵者之前修補系統(tǒng)可能存在的安全漏洞。理論上講,每個有價值的網(wǎng)絡系統(tǒng)都存在安全弱點,而且這些弱點都可能被網(wǎng)絡人侵者所利用。網(wǎng)絡欺騙的主要作用是:影響網(wǎng)絡入侵者使之遵照用戶的意志、迅速檢測到網(wǎng)絡入侵者的進攻并獲知進攻技術和意圖、消耗網(wǎng)絡入侵者的資源。下面將分析網(wǎng)絡欺騙的主要技術。

一、蜜罐技術和蜜網(wǎng)技術

1.蜜罐技術。網(wǎng)絡欺騙一般通過隱藏和安插錯誤信息等技術手段實現(xiàn),前者包括隱藏服務、多路徑和維護安全狀態(tài)信息機密件,后者包括重定向路由、偽造假信息和設置圈套等。綜合這些技術方法,最早采用的網(wǎng)絡欺騙是蜜罐技術,它將少量的有吸引力的目標放置在網(wǎng)絡入侵者很容易發(fā)現(xiàn)的地方,以誘使入侵者上當。這種技術目的是尋找一種有效的方法來影響網(wǎng)絡入侵者,使得網(wǎng)絡入侵者將攻擊力集中到蜜罐技術而不是其他真正有價值的正常系統(tǒng)和資源中。蜜罐技術還可以做到一旦入侵企圖被檢測到時,迅速地將其重定向。

盡管蜜罐技術可以迅速重定向,但對高級的網(wǎng)絡入侵行為,該技術就力不從心了。因此,分布式蜜罐技術便應運而生,它將欺騙散布在網(wǎng)絡的正常系統(tǒng)和資源中,利用閑置的服務端口來充當欺騙通道,從而增大了網(wǎng)絡入侵者遭遇欺騙的可能性。分布式蜜罐技術有兩個直接的效果,首先是將欺騙分布到更廣范圍的lp地址和端口空間中,其次是增大了欺騙在整個網(wǎng)絡中的比例,使得欺騙比安全弱點被網(wǎng)絡入侵者發(fā)現(xiàn)的可能性增大。

分布式蜜罐技術也不是十全十美的,它的局限性體現(xiàn)在三個方面:一是它對整個空間搜索的網(wǎng)絡掃描無效;二是只提供了質量較低的欺騙;三是只相對使整個搜索空間的安全弱點減少。而且,這種技術的一個更為嚴重的缺陷是它只對遠程掃描有效。如果入侵已經(jīng)部分進入到檔案信息網(wǎng)絡系統(tǒng)中,真正的網(wǎng)絡服務對網(wǎng)絡入侵者已經(jīng)透明,那么這種欺騙將失去作用。

蜜罐技術收集的資料可能是少量的,但往往都具有很高的價值,它免除了在大量的無關信息中尋找有價值信息的繁雜度,這在研究網(wǎng)絡安全時是一大優(yōu)勢?,F(xiàn)在互聯(lián)網(wǎng)應用的發(fā)展速度很快,用戶每時每刻所面對的都是海量的垃圾信息。如何在大量的信息和資料中找到所需要的部分,越來越成為人們關注的問題。蜜罐技術的一個最大優(yōu)點,就是能使用戶簡單快速地收集到最關鍵的信息,并對問題進行最直接的分析和理解。

許多安全工具在應用時往往會受到網(wǎng)絡帶寬和存儲容量的限制。丑志服務器也很難收集所有的系統(tǒng)日志,而會流失一些有用的日志記錄。蜜罐技術則沒有這個問題,因為它僅僅去截取與陷阱網(wǎng)絡和系統(tǒng)有密切關系的行為,并且可以自由設置檢測和記錄對象,所以更為靈活和易用。

但是蜜罐技術的一個缺點是消息收集點不能太多。如果蜜罐技術設置了一個很大的系統(tǒng)漏洞,但如果沒有黑客進行攻擊,蜜罐技術一點價值都沒有了。另外,蜜罐技術也無法得知任何未授權的行為。再有,蜜罐技術也可能為用戶招致風險,可能被高明的黑客作為另外——次攻擊的平臺。所以在檔案系統(tǒng)網(wǎng)絡管理工作中合理設定和利用蜜罐技術也是至關重要的。

2.蜜網(wǎng)技術。蜜網(wǎng)技術是一個故意設計的存在缺陷的系統(tǒng),可以用來對檔案信息網(wǎng)絡入侵者的行為進行誘騙,以保護檔案信息的安全。傳統(tǒng)的蜜罐技術用來模擬系統(tǒng)一些常見漏洞,而蜜網(wǎng)技術則有所不同,它是一個學習的工具,是一個網(wǎng)絡系統(tǒng),并非是一臺單一主機,這一網(wǎng)絡系統(tǒng)隱藏在防火墻的后面,所有進出的資料都受到監(jiān)控、捕獲及控制。這些被捕獲的資料用于研究分析檔案網(wǎng)絡入侵者所使用的工具、方法及動機。在蜜網(wǎng)技術中,一般都安裝使用了各種不同的操作系統(tǒng),如linux和windows nt等。這樣的網(wǎng)絡環(huán)境看上去更加真實可怕,不同的系統(tǒng)平臺運行著不同的服務,如linux運行dns服務,windows nt上運行webserver,而solaris運行ftp server,用戶可以學習不同的工具以及不同的安全策略。在蜜網(wǎng)技術中所有的系統(tǒng)都是標準的配置,上面運行的都是完整的操作系統(tǒng)及應用程序.并不去刻意地模仿某種環(huán)境或故意使系統(tǒng)不安全。蜜網(wǎng)技術是一個用來研究如何入侵系統(tǒng)的工具,是一個設計合理的實驗網(wǎng)絡系統(tǒng)。蜜網(wǎng)技術第一個組成部分是防火墻,它記錄了所有與本地主機的聯(lián)接并且提供nat服務和dos保護、入侵偵測系統(tǒng)(ids)。ids和防火墻有時會放置在同一個位置,用來記錄網(wǎng)絡上的流量且尋找攻擊和入侵的線索。第二個組成部分是遠程日志主機,所有的入侵指令能夠被監(jiān)控并且傳送到通常設定成遠程的系統(tǒng)日志。這兩個部分為檔案系統(tǒng)安全的防護和治理都起著不可忽視的作用。

蜜網(wǎng)技術是一個很有價值的研究、學習和教育工具,借著這個工具,使人們能更好地理解入侵者的攻擊方式,以便準確及時地檢測到入侵行為。分析從蜜網(wǎng)技術收集的信息,可以監(jiān)視并預測攻擊發(fā)生和發(fā)展的趨勢,從而可以早做預防,避免更大的損失。

二、空間欺騙技術

空問欺騙技術是通過增加搜索空間來顯著增加檔案系統(tǒng)網(wǎng)絡入侵者的工作量,從而達到安全防護的目的。該技術運用的前提是計算機系統(tǒng)可以在一塊網(wǎng)卡上實現(xiàn)具有眾多ip地址,每個lp地址都具有自己的mac地址。這項技術可用于建立填充一大段地址空間的欺騙,且花費極低。這樣許許多多不同的欺騙,就可以在一臺計算機上實現(xiàn)。當網(wǎng)絡入侵者的掃描器訪問到網(wǎng)絡系統(tǒng)的外部路由器并探測到這一欺騙服務時,還可將掃描器所有的網(wǎng)絡流量重定向到欺騙上,使得接下來的遠程訪問變成這個欺騙的繼續(xù)。當然,采用這種欺騙時,網(wǎng)絡流量和服務的切換必須嚴格保密,因為一旦暴露就將招致入侵,從而導致入侵者很容易將任一個已知有效的服務和這種用于測試網(wǎng)絡入侵者的掃描探測及其響應的欺騙區(qū)分開來。

三、信息迷惑技術

1 .網(wǎng)絡信息迷惑技術:網(wǎng)絡動態(tài)配置和網(wǎng)絡流量仿真。產(chǎn)生仿真流量的目的是使流量分析不能檢測到欺騙的存在。在欺騙系統(tǒng)中產(chǎn)生仿真流量有兩種方法。一種方法是采用實時方式或重現(xiàn)方式復制真正的網(wǎng)絡流量,這使得欺騙系統(tǒng)與真實系統(tǒng)十分相似,因為所有的訪問鏈接都被復制。第二種方法是從遠程產(chǎn)生偽造流量,使網(wǎng)絡入侵者可以發(fā)現(xiàn)和利用。面對網(wǎng)絡入侵技術的不斷提高,一種網(wǎng)絡欺騙技術肯定不能做到總是成功,必須不斷地提高欺騙質量,才能使網(wǎng)絡入侵者難以將合法服務和欺騙服務進行區(qū)分。

真實的檔案信息網(wǎng)絡是隨時間而改變的,是不斷地發(fā)生著信息接收和傳遞的,如果欺騙是靜態(tài)的,那么在入侵者長期監(jiān)視的情況下就會導致欺騙無效。因此,需要動態(tài)配置欺騙網(wǎng)絡以模擬正常的網(wǎng)絡行為,使欺騙網(wǎng)絡也和真實網(wǎng)絡一樣隨時間而改變。為使之有效,欺騙特性也應該盡可能地反映出真實系統(tǒng)的特性。例如,計算機在下班之后關機,那么欺騙計算機也應該同時關機。其他如周末等特殊時刻也必須考慮,否則人侵者將很可能發(fā)現(xiàn)被欺騙。

精選范文推薦