网络入侵的研究与发展

2024-05-02

网络入侵的研究与发展(精选十篇)

网络入侵的研究与发展 篇1

1 入侵检测技术

入侵检测可定义为:“识别那些未经授权而使用计算机系统的非法用户和那些对系统有访问权限但滥用其特权的用户”。入侵检测技术是为保证系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机系统、网络系统或更广泛意义上的的信息系统中违反安全策略行为的技术。由于入侵检测需要依据跟踪数据进行推理以决定这个系统是否遭受袭击,因此它要求用户和系统的行为是可观察的,更重要的是,系统正常行为和异常行为的特征要有明显的区别。

入侵检测技术是监视系统中违背系统安全策略行为的过程,可以规范地划分为3个功能模块:数据源、分析引擎和响应。数据源提供用于系统监视的记录流;分析引擎用于对数据源提供的数据进行分析,发现入侵或异常行为;响应根据分析引擎的输出结果,产生适当的反应。

根据跟踪数据类型的不同,IDS(Intrusion Detection Systems:入侵检测系统)可分为基于主机的IDS和基于网络的IDS;根据数据分析组件的数目和所在位置不同,IDS可分为集中式IDS和分布式IDS;根据入侵响应方式不同,IDS可分为主动型IDS和被动型IDS。

目前,基于网络的分布式主动响应IDS(NIDS)是入侵检测系统发展的趋势所在。根据袭击检测方法不同,IDS可分为基于模式的IDS和基于异常的IDS[2]。其中,基于模式的IDS具有较高的告警检测率和较低的错误告警率,告警包括丰富的诊断信息,但其中袭击模式的分析和构造非常耗时,袭击模式也须时常更新,无法检测模式库中未收录的新型袭击类型,且存在不同系统间袭击模式描述的通用性问题;而基于异常的IDS能检测出新型袭击,具有良好的通用性,独立于具体的操作系统和应用,但它有较高的错误告警率,配置和实现也相对困难。

1.1 Ad Hoc网络中IDS的挑战

有线网络上发展起来的入侵检测系统已经相当成熟,对保护网络发挥着很大的作用。但有线网络的入侵检测系统结构很难应用到移动自组网,原因在于这两种网络之间存在的巨大差异,这也使移动自组网中入侵检测系统结构的研究面临很多问题。要实现移动自组网真正的安全,必须面对以下诸多挑战:

(1)无线信道使移动自组网很容易受到被动窃听、主动入侵、信息阻塞、信息假冒等各种方式的攻击。并且由于无线信道带宽有限,CPU的计算能力较低,无法在入侵检测系统中实现比较复杂的监控算法,这就要求监控算法既要适应多种威胁又要具有较低的资源利用率。

(2)在攻击方环境里漫游的节点,物理保护相对比较弱,因此Ad hoc网络中的入侵检测系统不应只考虑网络外部的恶意攻击,还应该考虑来自网络内部背叛节点的攻击。

(3)由于移动自组网没有集中实体,Ad hoc网络中的入侵检测系统往往无法收集到整个系统的全面信息,必须依赖局部信息判断入侵行为,这就增加了入侵检测的判断难度。

(4)与有线网络相比,Ad hoc网络中的节点数量、网络拓扑等经常发生变化,Ad hoc网络中的入侵检测系统需要能够区别由于正常网络变化所产生的异常,如路由失效等和由于恶意入侵所产生的网络异常。

1.2 Ad hoc网络IDS体系结构

由于Ad hoc网络无中心节点的特殊结构,必然要求入侵检测系统采用分布式结构,其体系结构可分为以下三种:

(1)孤立IDS在这种体系结构中,每个主机都有IDS,且它们独立检测攻击,节点之间不通过相互协作,所有的决定都是依靠本地节点。这种体系结构虽然不是很有效,但它能应用在不是所有节点都能运行IDS的环境中。

(2)分布式协作IDS在这种体系结构中,每个节点有一个IDSAgent并作本地检测。同时,所有节点参与全局的入侵检测,这种结构更适合于平面的Adhoc网络。

(3)层次IDS该结构适合于多层Ad hoc网络系统。在多层Ad hoc网络系统中,族头节点为该族所有节点集中,提供路由和支持安全措施,包括IDS。另外,族头节点也检测来自拜占庭节点对虚拟骨干网络的攻击,这在Ad hoc网络中尤为重要。

2 现有入侵检测方案分析

Yongguang Zhang和Weeke Lee提出了一个基于Agent的分布式协作入侵检测方案[3]。在该方案中IDS Agent运行于网络中每一个节点上,拥有六大功能模块,分为数据收集、本地检测、合作检测、本地入侵响应、全局入侵响应、安全通信。图1为IDSAgent由六大功能模块组成的示意图。其过程为首先执行本地数据收集和检测。如果本地节点能够确定入侵已发生,则直接告警。如果只是怀疑有入侵行为,本地节点能够激发多节点的协作检测,进一步确定是否发生了入侵。如果确定有入侵则激发全网的入侵响应。同时提出了一个检测路由进攻的异常检测模型,通过提取正常网络运行时的数据,进行分类训练,实现对路由入侵的检测。为了提高检测效率,入侵检测并不局限于网络层,而是多层综合检测。

上述方案的优势有两点:其一,提出了分布式协作入侵检测的架构,利用分布在每个节点的IDS Agent独立完成本地检测,合作完成全局检测,适合于移动Ad hoc网络自组织的特点;其二,采用多层综合入侵检测,提高了检测效率。缺点也有两点:其一,采用异常检测模式,要事先采样数据进行训练,不适合移动Ad hoc网络多变的应用场合;其二,每个节点都运行有A-gent,占用过多的内存和计算资源。

Oleg Kachirski和Ratan Guha提出了基于移动A-gent的入侵检测方案[4]。他们认为Yongguang Zhang的方案每个节点都有Agent,过于占用网络资源,为了节省资源,只是在某些节点上驻留有监视网络的Agent,并且Agent的数量可按要求进行增减。这种结构具有较好的扩展性,如果IDS需要在新的审计日志下工作,只要合并另外的监控新的审计日志Agent。但是这种结构IDS的性能还没有人通过实验来证实。

Chin Yang Tseng等人提出了基于规范(specification based)入侵检测方案[5]。该方案利用分布在网络中的检测点,合作监视在AODV路由查询过程中,被监视节点是否按路由规范进行操作。如果发现不一致则报警。检测过程为:监听节点把对查询报文的处理过程记录下来形成转发表和操作树,然后用规范形成的有限状态机进行检查,输出为正常状态、怀疑状态、入侵状态三种结果,再分别进行不同的处理。该方案优点在于采用了基于规范入侵检测,既不需要事先提取入侵行为特征,也不需要数据进行训练,有较高的检测率和较低的误报率。缺点为占用节点较多的计算资源。

易平等人[6~7]提出一种基于时间自动机的入侵检测算法。其算法为:将整个网络划分为一个个区域,每个区域随机选出一个节点作为监视节点,然后,按照路由协议构筑节点正常行为和入侵行为的时间自动机,监视节点收集其邻居节点的行为信息,利用时间自动机分析节点的行为,从而确定入侵者。该方案的优点是不需要训练数据,缺点是算法较为复杂,对系统资源占用较多。表1是以上几种入侵检测方案的比较结果。

移动Ad hoc网络作为新出现的网络类型,不同的Ad hoc网络在网络规模、通信能力、通信距离、业务流量、移动性和所面临的安全威胁方面都有很大的差距,因此我们在选择入侵检测方案时需要根据具体网络情况和方案的优缺点进行具体分析。

3 总结与展望

本文分析了Ad hoc网络在安全性能方面的特点以及在网络中采用入侵检测系统的必要性,介绍了移动Ad hoc网络入侵检测的几种体系结构,并对目前提出的几种主要入侵检测方案进行了比较,总结出了它们的应用条件。同时也对它们存在的问题进行了分析,为Ad hoc网络中入侵检测技术的进一步研究提供了较好的依据。移动Ad hoc网络入侵检测技术的未来研究包括应以下几个方面:

(1)目前提出的几种入侵检测方案仍然不能很好适应Ad hoc网络的特点,未来应根据移动Ad hoc网络自身的特点,如无线信道、动态拓扑、节点能力有限且移动频繁等,设计一个更适合自组织和移动特性的无线网络的IDS体系结构。

(2)由于Ad hoc网络中检测信息的部分性和局部性的特点,网络中没有统一的检测点,任何节点收集到的信息都是不完全的。如果各节点间通过信息交流获取全局信息,又会给Ad hoc网络造成较大的通信负担,因此,在异常检测时,必须寻找一种能有效处理检测信息数据的方法,使入侵检测具有全局性,从而降低误警率和提高检测率。

(3)Ad hoc网络结构变化较快,容易将正常的变化误作入侵,需要寻找一种能有效地从正常数据流中鉴别出攻击数据流的方法,特别是在正常数据看起来是异常时,否则将导致较高地误警率。

以上这些都是Ad hoc网络入侵检测技术研究的重要方向。为了提高检测准确率,还可以在Ad hoc网络入侵检测系统中引进了一些新的概念和方法,主要有协议分析技术,专家系统,神经网络、数据挖掘等。这些方法的引入可以增强IDS的学习能力,使其更好地适应Ad hoc网络的特点。

摘要:随着Ad hoc网络的发展,无线网络安全问题愈加突出。由于移动Ad hoc网络与有线网络存在很大差别,针对有线网络开发的入侵检测系统很难适用于移动Ad hoc网络。文章分析了移动Adhoc网络中入侵检测所面临的挑战,对现有的几种典型Ad hoc网络入侵检测方案进行了综合的比较和研究。对移动Ad hoc中入侵检测技术的选择和下一步的研究方向提出了建议。

关键词:Ad hoc网络,入侵检测,安全,分布式

参考文献

[1]易平,蒋嶷川,张世永,钟亦平:移动Ad hoc网络安全综述[J].电子学报,2005(,05):893-898;

[2]蒋廷耀,杨景华,李庆华:移动Ad hoc网络安全技术研究进展[J].计算机应用研究,2005,25(2):1-4;

[3]Yongguang Zhang,Wenke Lee.Intrusion detection in wireless Ad Hoc networks[C],Proc of The Sixth Inter-national Conference on Mobile Computing and Networking(MobiCom 2000),Boston,MA,2000:275-283.

[4]Oleg Kachirski,Ratan Guha.Intrusion detection using mobile agents in wireless Ad Hoc networks[C],IEEE Workshop on Knowledge Media Networking(KMN02).Kyoto,JAPAN,2002:153-158.

[5]Chin Yang Tseng,Poornima Balasubramanyam,et al.A specification based intrusion Detection system for AODV[C].2003 ACM Workshopon Security of Ad Hoc and Sensor Networks(SASN03).Fairfax,VA,USA,October 2003.

[6]Huang Y,Fan W,Lee W,et al.Cross-feature Analysis for Detecting Ad-hoc Routing Anomalies[C].Proceedings of the 23rd International Conference on Distributed Computing Systems.2003,478-487.

网络入侵与反入侵 篇2

1 企业常遭遇的攻击手段分析

2 如何对黑客进行追踪

3 服务器蜜罐制造

本文涉及软件

X-Sniffergui嗅探工具

http://www.xp90.com/soft/123144.html

UltraEdit32编辑器

http://www.onlinedown.net/soft/7752.htm

地点:微创集团服务器机房

情报:凌晨1点,黑客再次访问WEB服务器进行信息窃取,工程师马青对黑客留下的后门程序进行监视,工程师孙佳兴根据黑客入侵IP进行反入侵追查。由于日志显示入侵IP地址为日本,可以猜测黑客有可能使用代理服务器或者跳板服务器,为了探测到入侵者的真实IP地址,我们的工程师在黑客留下的后门中增加了一个自动执行的网页木马程序,希望能记录下入侵者的真实IP。

时间:2007年9月12日凌晨

负责工程师:马青、孙佳兴

发现黑客后门

★本段掌握技能:后门查找

“这次挑战不小啊,完成安全隐患排查不算,还要获取黑客入侵的证据!黑客老大,今天晚上你可一定要来啊。”工程师马青发着牢骚,“好好干你的活,我尽量找找,看是否能找到对方留下的后门程序,咱们重新加载一个反弹后门程序,争取利用木马反侦察对方的真实IP地址和相关资料。”老孙比较稳健。

老孙在服务器上运行cmd.exe(在开始菜单→运行中输入“cmd”)输入Tasklist,对系统启动的进程进行浏览式分析:

C:Documents and Settingsaa>Tasklist

图像名PID 会话名 会话#内存使用

=====================================================

……

services.exe 704 Console04,448 K

Apache.exe 1796 Console0 1146,268 K

soundman.exe 2616 Console0 3,164 K

shstat.exe2624 Console0 660 K

可以发现Apache.exe进程比较可疑 (占用系统内存过大,很多后门程序在出现异常访问时都会出现占用系统内存过大的现象)。

继续利用tasklist命令查询:Tasklist/svc

C:Documents and Settingsaa>Tasklist/svc

图像名PID 服务

=====================================================

……

spoolsv.exe 1420 Spooler

explorer.exe 1664 暂缺

Apache.exe 1796 serverpost

FrameworkService.exe 1828 McAfeeFramework

Apache.exe 启用的服务很可能是后门程序

用十六进制编辑器打开可疑程序,查找关键词:(password、user、psd、mail)等敏感信息,发现此程序中含有黑客后门特征:管理程序用户名和密码。(见图1)

(1)

可以确信:黑客是利用Apache.exe程序做后门了!

构架探测性蜜罐

★本段掌握技能:如何探测蜜罐存在

老孙决定采用了X-Sniffergui监听工具对黑客后门程序进行监视,运行“XsnifferGUI”可执行程序后,会弹出“图形化”操作界面(见图2),由于需要采取“监听”模式,单击在软件框下方“开始监听”按钮,程序就会立即监听本机目前所有“账户”的信息流动情况。X-Sniffergui会将账户操作信息保存在以Pass.log为名的文档内,位置就在X-Sniffergui安装目录下。当黑客连接到后门Apache.exe程序完成操作后,查找pass.log文档中所有关联Apache.exe程序的操作就可以找出黑客的攻击行迹。(黑客攻击分类和分析方法参见基础资料)

(2)

老孙构造了一个与黑客后门进行触发式关联的嗅探程序,当黑客连接自己留下的后门时候,嗅探木马将自动植入黑客的计算机。完成此步骤,一个简单的探测性蜜罐就此完成。

小知识:蜜罐的类型

探测性蜜罐

此类蜜罐被称为(honeypot)是一种故意设计存在缺陷的虚拟系统,欺骗黑客对系统进行攻击操作,从而发现并记录黑客的攻击手段和过程。

报复性蜜罐

此类蜜罐是发现黑客攻击后利用黑客后门重新构架的陷阱程序,当黑客再次连接到受害服务器后发起反击(一般为加载后门或病毒等手段)。

反入侵黑客跳板服务器

★本段掌握技能:获得IP地址

凌晨1点,“ 老孙,这家伙还真准时,看来今天晚上咱们不会白熬夜了!”马青看到服务上传来的黑客攻击情况兴奋起来。

“监视系统显示嗅探木马在入侵者连接服务器时已经运行,木马无法返回管理权限,但可以向本地监视系统发送消息,很有可能是对方服务器的防火墙做了端口限制,导致木马无法回传管理权限。我刚访问了他的连接IP地址,发现是一家日本企业网站服务器,99%的情况是同样被黑客入侵的受害者,木马在服务器上监视到一个国内IP地址:218.99.1XX.1利用3389端口(Windows 2000/2003服务器默认远程程序端口)对服务器进行管理。并在ftp日志中有此IP地址下载微创集团的数据库文件的记录。可以确定攻击者是来自北京的IP(见图3),有这些证据就可以上报公安机关进行处理了。

(3)

黑客常见攻击方式

1.拒绝服务攻击

(即dos攻击和ddos分布式攻击,详细请参见电脑爱好者2007年第21期)

黑客向网站(服务器、路由器)发送数据包,致使网站无法提供(网络接入)正常服务,甚至直接导致崩溃。

特点:攻击难度低(攻击者可采用傻瓜黑客工具完成攻击),防御难度大,出现于企业竞争中的非正当商业进攻手段。

2.窃取性入侵攻击

黑客利用网站漏洞,或者采用各种入侵手段和工具,侵入网站系统或者后台,改写网站页面或者盗窃数据库。

特点:攻击难度大(要求攻击者对网络安全有相当程度的认识),防御难度也大,出现于同行业(同地区)竞争对手窃取机密信息的非正常商业攻击手段。

3.破坏性入侵攻击

4.殃及池鱼攻击

判断黑客攻击的类型

★本段掌握技能:攻击类型分类

1.拒绝服务攻击

当服务器出现短时间内连续当机日志或外网访问公司网站出现速度过慢甚至无法打开,利用命令行执行netstat 工具查看TCP连接情况如下:

# netstat -n -p TCP

tcp0 0 10.11.11.11:23124.173.152.8:25882

tcp0 0 10.11.11.11:23236.15.133.204:2577

tcp0 0 10.11.11.11:23127.160.6.129:51748

……

此类情况在排除网络线路问题后依旧出现可以判断为DOS/DDOS拒绝服务攻击。

2.入侵性攻击

服务器出现:(数据丢失、无故自动重起、未知管理账号、可疑进程、网站目录中出现可执行文件.exe .bat .vbs等)情况,服务器日志有相当时间内残缺内容。出现以上情况可判断为黑客入侵性攻击。(见图4、图5)

(4)

(5)

图4:正常日志

网络入侵的研究与发展 篇3

关键词:遗传算法,入侵检测,染色体

0 引言

随着Internet的普及,许多企业将大量日常事务的处理转移到Web中进行,Web的开放性和资源的共享性,极大地方便了使用者,大大提高了企业的工作效率和工作质量;同时,由于数据存储的网络化,对系统的安全性也提出了更高的要求。因此,访问控制是保证系统安全必不可少的一个环节。传统的web访问控制通常和防火墙技术结合,利用防火墙技术,能够在内外网之间提供安全的网络保护,降低网络安全的风险;但防火墙背后可能有敞开的后门、不能阻止内部袭击以及不能防范病毒。所以,传统的web访问控制不能有效地保证网络的安全,入侵检测系统(Intrusion Detection System)是在这种背景下因运而生的新型网络安全技术。它可以和访问控制结合在一起,弥补防火墙的不足,为访问控制系统提供实时的入侵检测并采取相应的防护措施[1]。

本文介绍了一种基于遗传算法的入侵检测步骤,使用这种入侵检测技术能有效地提高网络系统的访问安全性。

1 遗传算法的主要步骤

一般的遗传算法包括下面的步骤:(1)编码:GA在进行搜索之前先将解空间的解数据表示成遗传空间的基因型串结构数据,这些串结构数据的不同的组合便构成了不同的点。(2)初始种群的生成:随机产生N个初始串结构数据,每个串结构数据称为一个个体,N个个体构成了一个群体。GA以这N个串结构数据作为初始点开始迭代。(3)适应性值评估检测:适应性函数表明或解的优劣性。对于不同的问题,适应性函数的定义方式也不同。(4)选择:选择的目的是为了从当前群体中选出优良的个体,使它们有机会作为父代为下一代繁殖子孙。遗传算法通过选择过程体现这一思想,进行选择的原则是适应性强的个体为下一代贡献一个或多个后代的概率大。选择实现了达尔文的适者生存的原则。(5)交叉:交叉操作是遗传算法中最主要的遗传操作。通过交叉操作可以得到新一代个体,新个体组合了其父辈个体的特性。交叉体现了信息交换的思想。(6)变异:变异首先在群体中随机选择一个个体,对于选中的个体以一定的概率随机地改变串结构数据中的某个串的值。同生物界一样,GA中变异发生的概率很低,通常取值在0.001~0.01之间。变异为新个体的产生提供了机会。

实际上,遗传算法有两类运算:

遗传运算:交叉和变异;进化运算:选择。

遗传算法模拟了基因在每一代中创造新后代的繁殖过程,进化运算则是种群迭代更新的过程。交叉是最主要的遗传运算,它同时对两个染色体操作,组合两者的特性产生新的后代。交叉的最简单方法是在双亲(两个父辈的个体)的染色体上随机地选择一个断点,将断点的右端互相交换,从而形成两个新的后代。这种方法对于二进制表示最为合适。遗传算法的进化功能在很大程度上取决于采用的交叉运算的性能。变异则是一种基本运算,他在染色体上自发地产生随机的变化。一种简单的变异方法是替换一个或多个基因。在遗传算法中,变异可以提供初始种群不含有的基因,或找回选择过程丢失的基因,为种群提供新的内容。

2 基于遗传算法的入侵路径的检测

2.1 染色体编码

简单的入侵检测主要包括3部分:捕捉数据,分析数据,并且做出反映。因为分析引擎的需要和入侵检测问题的复杂性,根据强大的启发式搜索系统设计了网络入侵数据分析引擎:改进遗传算法,需要用Winpcap(Windows Packet Capture)来从计算机连接的网络中捕获大量的数据包,以收集足够的历史数据,包括正常和异常的网络数据,这些数据通过嗅探器分析,经过改进遗传算法数据分析引擎产生规则这些规则被存储在规则库中,入侵检测可以随时使用。遗传算法能产生针对网路流量的简单规则。

这些规则能转换为遗传算法的染色体。染色体编码有二进制编码和符号编码等形式,实数编码是符号的特例。由于在入侵检测中选择算法中的基因是网络中的节点,而这些节点正好是我们要检测的入侵路径,所以我在本文中采取的是实数编码方式[4]。

我们知道,染色体中的基因由两个因素表征:基因点,在染色体结构中基因所处的位置;基因值:基因携带的值。基因的位置可以代表网络中的节点,基因值代表候选网络节点作为入侵路径的权值的大小。这种编码就是权值编码。对应于给定的染色体的入侵路径有一系列始于网络节点1终于网络节点n的相继节点组成。在每一步中,通常有几个网络节点,但只有权值最高的节点加入入侵路径中。

我们可以考虑将一个网络转换为一个无向图。假设我们要寻求的入侵路径在网络节点1到网络节点10之间的路径。开始,我们试图寻找与网络节点1的下一个网络节点,然后判断其是否可能为入侵路径中的节点,在这个过程中发现,网络节点2和3都是合适的,因为它们的入侵权值分别为3和4,网络节点4具有更高的入侵权值,因此网络节点4被纳入到入侵路径中。然后我们得到了下一位的可行节点集,从中选择入侵权值更高的一条。重复这些步骤,直到得到一套完整的入侵路径(1,3,6,7,8,10)。

那我们的入侵权值是如何确定的呢?我们还是以n个节点的网络为例。令是包含1到n的整数集合,即Ω={1,2,…,n};pi表示节点i的入侵权值,它是一个Ω重的随机整数。所以节点的入侵权值满足下列条件:

因而,基于入侵权值的编码形式上可以定义为:

但实际上,编码与入侵路径之间的映射是多对一的,这意味着不同的染色体可能对应着同一条入侵路径。但是很容易证明出现多对一的概率是很低的。因此,大多数的情况下,不存在有编码相关的无关重要的遗传操作。也很容易证明:任何顺序的编码对应着一条入侵路径。因此,绝大多数已有的遗传操作可以轻易地在这种编码上运行。同样,任何一条入侵路径拥有相应的编码。因此,遗传搜索能到达解空间中的任意一点[5]。

2.2 适应度函数的定义

入侵路径选择算法的目的是找到一个给定网络的任意两个网络节点之间可能的入侵路径,并将其屏蔽。我们用一个大于网络中所有连通节点的权值和的数MAX表示不连通的节点之间的路阻。定义g为从节点O到节点D所经过的路段的路阻之和:

入侵路径选择算法的目的是要求得网络节点对间所有路径中目标函数函数值最小的路径,即我们找到的最可能的一条入侵路径。

2.3 染色体解码成入侵路径

我们这里的入侵路径是由染色体产生的,所以就要用到一个概念。路径生长(Path Growth)过程。这一过程的基本思想是:通过不断地添加符合条件的边到入侵路径中,产生从初始节点1到n的路径。在每一步中,通常有几条边可供参考。添加到局部入侵路径中的边始终是与当前节点相连接的具有最高优先权节点的边,这就从端点延长了局部路径。这其中有一个非常棘手的问题,就是找到一个合格的边集。

我们可以令G=(V,E)是定义在E上的具有实数赋权的连通无向图。Ptk是在生长中的局部路径,它包含k+1个节点,以t为端点。如果一条边可以延长路径,但不与Ptk中的边构成回路,则这条边对于路径是合格的。

令Vp∈V是局部路径Ptk中的节点集合,Vq=V-Vp是Vp的补集,令是图的割集,是与端点t相关联的边的集合。对于给定的局部路径Ptk,合格边集如下给出:

现在,我们考虑如何寻找Eqt集,对于连通无向图G=(V,E),邻接矩阵A是如下定义的n×n矩阵:

对于给定局部路径Ptk,可以定义如下的网络矩阵M(k):

然后对于给定的局部路径Ptk,可以定义新的邻接矩阵A(k)。

对于给定的局部路径Ptk的动态邻接矩阵A(k)由下面的布尔矩阵交集给出:

我们将看到动态邻接矩阵A(k)移去了所有与局部路径Ptk上的节点相关联的边。也就是说,它仅包含有关局部路径Ptk的邻接关系。因为,这样的邻接关系随着Ptk的生长而变化,所以我们称其为动态邻接矩阵。

根据路径Ptk,可以进一步定义矩阵U(k):

然后,我们有关于网络矩阵的有如下的递归方程和第k步的邻接矩阵:

令E(k)={(t,j)襔aij(k)=1,坌j∈V},我们有:

从A(k)很容易得到集合E(k),A(k)采用递归的形式,容易编程实现。路径生长过程的基本思想是每一步通过增加一条集合E(k)中的新边延伸路径Ptk。运用这种方法生长的路径有可能会在某一点悬挂住,也就是说,从这一点我们不能到达最终节点n。

对于给定局部路径Ptk,当且仅当:(1)E(k)≠0;(2)t≠n时,端点t是悬挂点。事实上,在Vq中存在这样一些特殊点,它们根本无法达到终点n。如果这样的点被加入局部路径中的话,他必定会将误导路径至悬挂节点。那我们又如何区分这些悬挂节点呢?

给定t≠n的局部路径Ptk,对于某节点i∈Vq,令P(i)表示从节点i到终点n的所有可能路径,Vli是包含在路径li中的节点集合。如果:Vp∩Vli≠Φ,坌li∈P(i)(10)

则节点i是死点。即,如果从该节点到节点n的任一条可能路径至少包含Vp中的一个节点,则这个节点就是死点。

利用可达矩阵可以判别死点。令A是给定图G=(V,E)的相邻矩阵。A的k阶相邻矩阵可由如下的布尔乘法定义:

k阶矩阵描述了节点i和j之间的关系:两者不直接相邻,但可以通过长度为k-1的路径从节点i到达节点j。如果akij=1,则节点i与节点j是k阶相邻的。

令Ep={(t,j)|∈Vp,j∈V}为与Ptk上所有节点相关联的边的集合。我们可以定义图G(k)=(V-Vp,E-Ep)是除去Vp中所有节点及与之相连的边的图G的子图。图G(k)的可达矩阵R(k)定义如下:

其中,I是单位矩阵,A(k)是路径Ptk的动态连接矩阵。可达矩阵描述了任意两点间的关系,即它们是至多n-k-2相邻的。

理论上,当程序进行到每一步时,我们都可以根据(1)式来检验某个节点是否是死点,并从集合V中除去所有的死点。对于规模大的问题,这样的检验需要消耗大量的计算成本。我们知道进化计算的优势在于:它利用惩罚机制允许不可行的染色体进入种群,与可行的染色体一起进化。在进化过程中不可行的染色体可能提供一些有用的基因,因此,不必每步都检验死点,而只是简单地通过或轻或重的惩罚,在终端死点和终点n之间建立一种虚拟连接。下面的路径生长过程就是基于这些考虑的。

第1步:初始化。令k←0,Vpk←{1},A(k)←1。

第2步:执行终止测试。如果tk=n,执行第9步;否则,继续。

第3步:确定合格边集。根据动态邻接矩阵A(k)得到边集E(k)。

第4部:执行悬挂节点测试。如果E(k)=Φ,令tk+1←n,Vpk+1←Vpk∪{n},给出虚拟连接(tk,n)的惩罚,执行第9步;否则,继续。

第5步:延伸路径。从Vpk中选择优先权最高的tk+1,满足(tk,tk+1)∈E(k)。

第6步:执行mesh矩阵更新。新的mesh矩阵M(k+1)←M(k)∩U(k+1)。

第7步:执行动态邻接矩阵更新。令A(k+1)←A(k)∩M(k+1)

第8步:执行迭代标记更新。k←k+1,执行第2步。

第9步:返回完整的路径。

3 结论

随着互联网规模的日益扩大,网络安全问题也变得越来越尖锐。如何提高网络入侵检测技术也成为一个业界重点课题。本文主要分析了遗传算法在网络入侵检测中的应用。

本文主要讲网络中的节点转换为遗传算法中的染色体,通过对染色体的分析,找到网络中最可能为入侵路径中的节点。

参考文献

[1]陈国良,王煦法.遗传算法及其应用[M].北京:人民邮电出版社,1999.

[2](日)玄光男,程润伟.遗传算法与工程设计[M].北京:科学出版社,2000.

[3]Marcus Goncalves.防火墙技术指南[M].机械工业出版社,2000,11,161-184.

网络信息理入侵检测技术研究论文 篇4

(2)现阶段入侵检测技术的主要流程。通常情况下,入侵检测技主要可以分为两个阶段。第一个阶段便是信息采集,主要便是对于用户的各种信息使用行为和重要信息进行收集,这些信息的收集主要是通过对于重点信息部位的使用信息进行查询得出的,所以说在现代应用之中,入侵检测技术一方面应用了现代的检测技术,另外一方面也对于多种信息都进行了收集行为,保证了收集信息的准确性;第二个阶段便是处理相关信息,通过将收集的信息和过往的信息进行有效对比,然后如果对比出相关错误便进行判断,判断使用行为是否违背了网络安全管理规范,如果判断结果为肯定,那么便可以认定其属于入侵行为,对于使用用户进行提醒,帮助用户对于入侵行为进行清除。

2现阶段入侵检测技术的使用现状

(1)网络信息管理中入侵检测系统的问题。入侵检测技术作为一种网络辅助软件去,其本身在现阶段并不是完善的,自身也存在漏洞。所以说很多非法分子的入侵不仅仅是面对系统的,很多先通过入侵技术的漏洞来进行。针对现阶段的使用过程而言,入侵检测技术仍然存在自身的漏洞危险,也存在主要使用风险。在现阶段存在危险的方面主要有两个方面。一方面便是由于入侵检测系统存在漏洞;另外一方面便是现代计算机技术的发展。无论是相关的检测系统亦或是相关病毒,都是现代编程人员利用C语言进行编程,伴随着相关编程水平的不断提高,两种技术同样得到了自我发展,所以说很多hacker高手在现代的入侵行为之中,已经不能以旧有的眼光来进行相关分析。所以说新的时期,入侵检测技术也应该得到自我的发展,同样针对于应用网络的相关企业做好安全保证,保证信息技术在现代之中的发展。

网络入侵检测技术分析及应用研究 篇5

关键词:入侵检测;网络安全;计算机应用;信息;程序设计;VC

中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2010) 03-0026-01

Network Intrusion Detection Technology Analysis and Applied Research

Lu Li,Lu Yi

(Changsha City Health School,Changsha 410100,China)

Abstract:Firstly thesis analyse the concept of intrusion detection, pointing out the development of intrusion detection, with data analysis view, point out its basic classification. As a practice,finally gives a basic network intrusion detection program implementation, in order to play a reference role in program development

Keywords:Intrusion detection;Network security;Computer applications;Information;Program design;VC

一、入侵检测技术综述

(一)入侵检测的技术分类

当前入侵检测技术,从数据分析角度不同,可以分为误用模型的入侵检测以及异常入侵检测系统两种。前者做一个基本假设:一切来自网络及本地的安全入侵都可以按某种方式被精确地编码,并通过对已知的各种入侵形式进行相应的编码,来构成入侵模式库。这种方式通过采样网络安全相关的特征数据,而且与入侵模式库中的模式进行匹配来实现。异常检测系统首先通过对宿主计算机系统中的一组与安全相关的特征属性的取值进行统计和分析,为系统正常运行状态下的行为建立起一个特征轮廓印。然后不断监测这些安全相关特征属性的实时取值,与正常行为特征轮廓出现大的差异时检测入侵。

二、入侵检测的程序实践

(一)系统总体设计

本系统将实现为一个基于网络的入侵检测系统,本系统采用误用检测技术。与普通的采用误用检测技术的入侵检测系统相比,该系统内部并没有设置复杂的特征库,所有的入侵模式都要用户自己设置,然后依据这些模式对入侵行为进行拦截或放行。

(二)系统功能模块

1.网络数据收集及检测引擎

本部分采用应用层截包方案,即在驱动程序中截包,然后送到应用层处理的工作模式。在应用层工作,改变了工作模式,每当驱动程序截到数据,送到应用层处理后再次送回内核,再向上传递到IP协议。综合考虑各种因素,本部分决定采用应用层的截包方案。

2.驱动程序拦截网络数据包的方式

利用驱动程序拦截网络数据包的方式很多,本系统采用Win2k Filter-Hook Driver拦截数据包。在win2000设备程序开发包(DDK)中,微软包含一个新的命名为Filter-Hook Driver的网络驱动程序。本程序采用 DrvFltIp.sys 驱动程序实现IP协议过滤。其中回调函数是这类驱程的主体部分。DrvFltIp.sys IP过滤驱动程序使用这个过滤钩子来判断IP数据包的处理方式。所注册的过滤钩子是用PacketFilterExtensionPtr数据类型定义的。Filter-Hook使用该I/O控制码建立一个IRP,并将其提交给IP过滤驱动程序。该控制码向IP过滤驱动程序注册过滤钩子回调函数,当有数据包发送或者接收时,IP过滤驱动程序调用这些回调函数。在本系统中定义了四种设备控制代码。分别是开始过滤、停止过滤、添加过滤规则、清除过滤规则:

#define START_IP_HOOKCTL_CODE(FILE_DEVICE_DRVFLTIP,

DRVFLTIP_IOCTL_INDEX,METHOD_BUFFERED, FILE_ANY_ACCESS)

#define STOP_IP_HOOKCTL_CODE(FILE_DEVICE_DRVFLTIP,

DRVFLTIP_IOCTL_INDEX+1,METHOD_BUFFERED,FILE_ANY_ACCE SS)

#define ADD_FILTERCTL_CODE(FILE_DEVICE_DRVFLTIP,

DRVFLTIP_IOCTL_INDEX+2,METHOD_BUFFERED,FILE_WRITE_ACC ESS)

#define CLEAR_FILTERCTL_CODE(FILE_DEVICE_DRVFLTIP,

DRVFLTIP_IOCTL_INDEX+3,METHOD_BUFFERED,FILE_ANY_ACCES S)

3.SCM管理器

程序通过SCM管理器创建或打开服务。首先通过语句OpenSCManager(NULL, NULL, SC_MANAGER_ALL_ACCESS);打开SCM管理器,然后通过CreateService(m_hSCM, IpFltDrv,SERVIC E_AL L_ACCESS,SERVICE_KERNEL_DRIVER,SERVICE_DEMAND_START, SERVIC E_ERROR_NORMAL, IpFltDrv.sys, NULL, 0, NULL, NULL, NULL)启动IP过滤驱动;启动IP过滤驱动后,要启动IP过滤钩子驱动,其中驱动程序收到上层发过来的控制代码后即按照注册的钩子函数进行入侵检测。

4.攻击模式库

该部分由用户自己设置。针对特定的攻击,设置攻击的源IP,端口,及子网掩码,目的IP,端口,及子网掩码,然后选择要拦截或放行的协议类型。每一次设置相当于一条记录,可以设置多条记录,攻击模式库即由这些记录共同构成。

三、总结

驱动程序会按照用户的选择对拦截的数据包进行处理,在报警及响应过程完毕后,点击菜单项的ShowReport选项,会对遭受的攻击及处理的结果作出响应。该系统可以较好的完成入侵检测的功能,保证网络的安全。

参考文献:

[1]Paxson,V.Bro:A system for detecting network intruders in real-time[J].Computer Networks, 1999,31(23):2435-2463

网络入侵的研究与发展 篇6

入侵检测技术是一种主动保护自己免受攻击的网络安全技术。作为防火墙的合理补充,入侵检测系统IDS(Intrusion Detection System)能够帮助系统应对网络攻击,扩展系统管理员的安全管理能力,提高信息安全基础结构的完整性。当前的入侵检测系统主要采用简单的数据包模式匹配的检测方法,该方法分析网络中数据包的特征,并将这些特征与入侵行为模式进行匹配来检测入侵活动。但是,简单数据包模式匹配方法所需计算量较大,检测效率相对较低。随着网络流量的不断激增,也进一步限制了这种方法的应用。

在这种背景下,提出了网络协议分析技术。该技术利用网络协议的高度规则性对数据包中的协议信息进行分析,只检测能够体现出入侵行为特征的字段。由于协议分析技术只搜索数据包特定的部分而不是整个数据包,所以能够减少搜索空间,有效地提高入侵检测效率。随着网络流量的增大和入侵种类的增多,数据挖掘技术被引入了入侵检测系统[1]。决策树[2]方法作为数据挖掘技术的一种,能够通过训练大量样本数据,生成简单有效的预测模型,使得检测的结果更加准确、高效。决策树方法可以用于对现有的入侵检测系统检测规则进行优化,从而有效减少手工分析入侵行为和入侵模型编码的工作量,提高了入侵检测的效率。

1 网络协议分析的入侵检测模型

1.1 数据流模型

文献[3]提出了Sketch模型用于描述数据流。该模型将数据流中的每个数据包概化为一个二元组(i,v),其中i为该数据包的索引,它的取值可以是数据包的源地址、目的地址、端口号等;v为需要保存的数据包的相关特征值,如数据包的字节数。经证明使用sketch方法能够快速高效地对数据流行进行分析,节省大量的存储空间,且更适用于数据流的分析与研究[4,5]。

本文采用sketch的方法对数据流进行分析。

定义1 sketch

sketch结构定义为:I=α1,α2,…,为逐项到达的数据包。每一项αi=(pi,ui),其中pi为代表数据包的协议类型,编码如表1所示,ui代表数据包的字节数。

针对上述sketch结构的定义,给出sketch的具体操作:

定义2 sketch操作

(1)Update(S,Snew):S(ps,us)=Snew(pnew,unew)

(2)Estimate1(S,Snew):对数据包S和Snew的索引项进行比对并返回值pest=ps-pnew

(3)Estimate2(S,Snew):对数据包S和Snew的数据项进行比对并返回值uest=us-unew

1.2 网络协议分析

协议分析就是通过分析网络上的数据包,确认数据包的网络层协议、传输层协议和应用层协议的类型,以便使用相应的入侵检测模块来检测数据包。若通过分析发现连续的两个数据包具有相同的协议,则数据包直接进入入侵检测模块,这样避免了重复的算法选择计算。若连续两个数据报的协议类型和大小都相同,则直接进入判定模块,给出相同的判定结果。协议分析有效地利用了网络协议的层次性和相关协议的知识,能快速、准确地判断攻击特征是否存在。

使用sketch对数据包进行概化后,p代表了该数据包的协议类型,这样有利于进行数据包协议分析。首先利用Estimate1函数来对比当前数据包与上一个到达的数据包,若返回pest值不为0,则数据包进入算法选择模块;若返回pest值为0,则利用Estimate2函数来对比两个数据包,若返回uest值为0,则数据包直接进入判定模块;若返回uest值不为0,则数据包进入入侵检测模块。当分析完成后,对协议分析器中保存的数据包sketch模型进行更新。网络协议分析算法如下:

1.3 入侵检测模型

本文给出了一种新型的网络协议分析的入侵检测模型,如图1所示。该模型主要由四个部件组成:(1)协议分析器:对网络传入的数据包进行协议分析,并将分析结果,即该数据包的协议类型,传递给算法选择器;(2)算法选择器:根据数据包的协议类型,确定出恰当的决策树入侵检测算法;(3)入侵检测引擎:利用算法选择器所确定的相应算法,对数据包进行检测分析,判断是否为入侵行为,并将检测结果传递给判定模块;(4)判定模块:给出数据包的判定结果。其中入侵检测模块和判定模块具有记忆功能,即在没有新的指令(“选择算法”,“检测结果”)传送到对应模块时,则默认执行上次的指令。

2 决策树挖掘算法研究

常用的决策树挖掘算法包括:分类回归树C&RT(Classification and regression tree),卡方自动交叉检验CHAID(Chi-squared automatic interaction detection)以及C5.0算法。

2.1 C&RT算法

C&RT算法是Breiman等人提出的一种基于二叉树的统计模型[6],它采用二分递归分割的方法,根据不同的预测变量重复地将当前样本集合划分为两个样本子集。然后通过Gini、二分法、顺序二分法(ordered towing)等评价方法,来选择最佳的预测变量。C&RT的目的是生成一个与目标变量尽可能相似的数据子集。

Gini不纯度评价:

在节点t上的Gini指数被定义为。其中,i和j代表目标变量的类别。Gini指数也可以定义为。因此,当节点上的样本均匀的分配到各分组时,Gini指数取最大值1-(1/k),其中k是目标变量分组的数量;当该节点上的所有样本都属于同一分组时,Gini指数为0。如果误分类的消耗是指定的,那么Gini指数为-,其中C(i|j)表示属于分组j中的样本属于分组i的误分类概率。节点t上拆分s的Gini判别函数为Φ(s,t)=g(t)-pLg(tL)-pRg(tR),其中pL、pR分别表示节点t的左右子节点的样本概率。拆分s选取Φ(s,t)的最大值。

2.2 卡方自动交叉检验算法

Kass于1980年提出了基于χ2交叉检验的决策树算法,称为CHAID算法[7]。该算法生成的CHAID树以整个数据集为原点,然后利用迭代的方法将空间子集划分为2以上的子节点[8]。

为了确定哪一个节点为最佳的分割,任意一对允许的预测变量分组可以相互结合,直到这对分组对于目标变量没有统计上的显著特征。CHAID方法一般用来处理独立变量之间的关联。

CHAID算法只接受离散的数据,对于连续型的数据,必须先对数据进行离散化处理。对于每一个预测变量X,合并不显著的分类。若X被用来分割节点,则X的每一个最终分类将出现在一个孩子节点上。具体方法如下:

(1)如果X只有1个分组,则停止,并将p值调整为1。

(2)如果X有2个分组,跳转到(8)。

(3)如果X的分组超过2个,那么,找到一对允许的X分组(一对允许的分类是指,如果是连续型变量,则为相邻的两个类别,如果是类别型变量,则为任意两个类别),这对分类至少具有显著性差异。最为相似的一对分类即这对分类的测试统计量赋予因变量Y的p值最大。

(4)对于具有最大p值的一对分组,检验p值是否大于用户定义的α值。如果大于α,则将这两个分组合并为新的分组,如果小于α,则跳转到(7)。

(5)如果新合并的分组中包含了3个以上的原始分组,那么,在该分组中找到p值最小的最佳二元拆分。若p值不大于α,则执行这个二元拆分。

(6)跳转到(2)。

(7)具有较少样本(相较于用户定义的最小段空间)的分组是否和与其最相似的其他分组合并取决于最大p值。

(8)应用Bonferroni校正系数来计算调整的p值,以进行分组的合并[9,10,11]。

2.3 C5.0算法

在决策树的各种算法中,最具影响是ID3(Iterative Dichotomic Version3)算法[12]。ID3算法是由Quinlan于1986年提出的,他将Shannon的信息论引入到了决策树算法中,把信息熵作为选择测试属性的标准,对训练实例集进行分类并构造决策树来进行预测。C5.0算法是在ID3算法的基础上对连续值、未知特征值、决策树剪枝及规则派生等处理方法进行了改进,并添加了Boosting迭代思想的新型决策树算法。

2.3.1 ID3算法

ID3算法中,决策属性信息增益的计算方法如下:设S是训练样本数据集,S中类别表示属性有m个独立的取值,即定义了m个类Ci,i=1,2,…,m;Ri为数据集S中属于Ci类的子集,用ri表示子集Ri中元组的数量。集合S在分类中的期望信息量如下:

式中pi是表示任意样本属于Ci类的概率,pi=ri/|S|。|S|为训练样本数据集中的元组数量。

假设属性A共有v个不同的取值{a1,a2,…,av},则通过属性A的取值可将数据集划分为v个子集,其中,sj表示在数据集S中属性A的取值为aj的子集,j=1,2,…,v。如果A被选为决策属性,则这些子集将对应该节点的不同分枝。如果用sij表示sj子集中Ci属于类的元组的数量,则属性A对于分类Ci(i=1,2,…,m)的熵为:

令,则wj为sj子集的权重,表示sj子集在数据集S中的比重,而属性A的每个取值对分类Ci的期望信息量I(s1j,…,smj)为:

式中,pij=sij/|sj|,它表示在sj子集中属于Ci的类的比重。通过上述计算准备,可得到对属性A作为决策分类属性的度量值(称为信息增益)为:

该算法需要计算每个决策属性的信息增益,具有最大信息增益的属性被选择为给定数据集S的决策属性节点。ID3是通过自顶向下构造决策树来进行学习的,搜索的每一步都使用当前的所有训练样本。

2.3.2 C5.0算法

C5.0算法[13]是应用增益率生成一棵决策树,而增益率是熵的一种度量。在C5.0算法中,应用上述公式(1)~(4)计算出信息增益Grain(S,v)。由于信息增益在把数据集划分为更小的子集时,对于变量的取值存在一定的偏差。为了减少这种偏差,利用以下公式计算得到:

从而可以得到熵的度量:

C5.0算法是通过分散的数据集来构建一棵决策树,并且使增益率最大化。

3 实证研究

本文的实证研究采用了KDD Cup 1999数据集中10%的数据。该数据集包括大约490000条数据记录,每条都是从军方网络环境中模拟攻击所得的原始网络数据中根据设定的41个特征提取出来的,它们都是描述网络连接统计信息的特征向量,其中包含有五类数据:Do S,Probe,R2L,U2R这4类攻击数据(共包含24种攻击类型)以及正常数据。本文随机将数据集分为二个部分,分别作为训练集和测试集。

试验平台使用Windows XP操作系统,1G内存,在协议分析的基础上,分别对每种协议检测器建立C5.0、CART、CHAID等三种决策树模型,对数据集进行训练、测试。测试结果如图2所示。

当网络数据的传输层协议为TCP时,使用CART算法检测ftp、SMTP应用层协议数据的准确率较高,使用CHAID检测telnet应用层协议的准确率较高,使用C5.0算法检测http及其他应用层协议的数据正确率较高;当传输层协议为UDP时,C5.0算法检测private类型的应用层协议数据正确率较高,CART检测其他应用层协议数据正确率较高;当应用层协议为ICMP时,使用C5.0算法的正确率较高。通过测试,可以选取最佳的决策树算法作为入侵检测的检测器。每种检测器都采用最佳算法时,总的错误数为103。

根据实证研究结果,可设计基于网络协议分析和决策树挖掘的入侵检测算法如下:

算法首先使用get Packet()函数来获取网络上的IP数据包,并使用sketch结构进行概化。通过数据包的索引来选择恰当的协议类型。

在不采用协议分析方法的情况下,分别使用三种算法进行建模,结果如图3所示。最佳算法为C5.0算法,正确率为99.95%,错误数为115个。

由此可见,网络协议分析和决策树挖掘的入侵检测模型,相较于传统的基于单一决策树算法的入侵检测模型,具有更高的准确率。

4 结束语

网络入侵的研究与发展 篇7

随着全球信息化步伐的加快,网络安全变得越来越重要。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。随着科学经济和信息时代的到来,网络与信息安全问题易发与经济发展和社会稳定密切相关,研究和开发高效实用的信息安全技术产品已成为当务之急。目前应用的安全技术,如信息加密、防火墙等可以作为保护网络的第一道防线,但仅有上述技术是不够的,比如目前广泛使用的防火墙技术不能阻止内部攻击,不能提供实时检测等,人们由此提供了网络安全的第二道防线——入侵检测技术[1]。入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。目前的各种安全防护措施是被动和静态的过程,入侵检测成为整个安全系统中的第二道防线,尤其在防护失效的情况下更体现出其作用的重大。

1 入侵检测技术

入侵检测(Intrusion Detection)技术是安全审核中的核心技术之一,是网络安全防护的重要组成部分。入侵检测是对入侵行为的检测、是用来检测违反安全规范的一种机制[2]。它通过收集和分析网络行为、安全日志、审计数据、其它络网上可以获得的信息以及计算机系统中若干关键点的信息,来检查网络或系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。

入侵检测通过执行以下任务来实现:监视、分析用户及系统活动;系统构造和弱点的审计;识别反映已知进攻的活动模式并向相关人士报警;异常行为模式的统计分析;评估重要系统和数据文件的完整性;操作系统的审计跟踪管理,并识别用户违反安全策略的行为。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。违反安全策略的行为有:入侵——非法用户的违规行为;滥用——合法用户的违规行为。利用审核记录,入侵检测系统能够识别出任何不希望有的活动,从而达到限制这些活动以保护系统安全的目的。应用入侵检测系统,能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中,能减少入侵攻击所造成的损失。在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,填入知识库内,以增强系统的防范能力。

2 入侵检测的分类

入侵检测按检测的时间可分为实时入侵检测和事后入侵检测两种;入侵检测按照分析方法通常可分为误用检测和异常检测两大类;通常依据待分析的数据来源将入侵检测分为基于主机(Host-based)和基于网络(Network-based) 的两类;按系统结构上可分为集中式入侵检测和分布式入侵检测两种;按照工作方式上可分为离线检测和在线检测。

3 入侵检测系统的定义、工作原理及工作流程

(1)入侵检测系统的定义[3]

入侵检测系统(Intrusion Detection System,简称IDS)指的是用来对各种入侵行为进行检测的系统,是网络安全体系的重要组成部分,通过对网络和计算机系统的运行状态进行监视,发现各种攻击企图、攻击行为或者攻击结果,然后及时地发出报警或做出相应的响应,以保证系统资源的机密性、完整性与可用性。入侵检测系统作为抵御网络入侵攻击的重要手段已经得到广泛的应用和研究

(2)入侵检测系统的工作原理

入侵检测系统是一个典型的“窥探设备”。他不跨接多个物理网段(通常只有一个监听端口),无需转发任何流量,而只需要在网络上被动的、无声息的收集它所关心的报文即可。在收集上来的报文基础上,入侵检测系统提取相应的流量统计特征值,并利用内置的入侵知识库,与这些流量特征进行智能分析比较匹配。根据预设的阈值,匹配耦合度较高的报文流量将被认为是进攻,入侵检测系统将根据相应的配置惊醒报警或进行有限度的反击。

(3)入侵检测系统的工作流程大致分为以下几个步骤

①信息收集。

入侵检测的第一是信息收集,内容包括网络流量的内容、用户连接活动的状态和行为。

②信号分析。

对上述收集到的信息,一般通过3种技术手段进行分析:模式匹配,统计分析和完整性分析。其中前两种方法用于实时的入侵检测,而完整性分析则用于事后分析。

③实时记录、报警或有限度反击。

IDS根本的任务是要对入侵行为作出适当的反应,这些反应包括详细日志记录、实时报警和有限度的反击攻击源。识别入侵行为的只要技术方法有:用户特征、入侵者特征和基于活动。

基于数据挖掘的入侵检测系统结构如图1所示。

4 入侵检测技术方法

常用的入侵检测技术方法有:基于审计信息的入侵检测技术;基于神经网络的入侵检测技术;基于专家系统的入侵检测技术;基于模型推理的入侵检测技术;基于数据挖掘的入侵检测技术。

目前,数据挖掘技术在国内外的各个领域应用得比较广泛。数据挖掘指从大量数据中挖掘提取知识,数据挖掘技术应用于入侵检测系统,可以从大的审计数据中提取入侵行为模式。数据挖掘技术通常包括:分类分析、关联分析、序列模式分析等[4]。将数据挖掘技术应用于入侵检测能够广泛地审计数据来得到模型,从而精确地捕获实际的入侵和正常行为模式。这种自动化的方法无需再手工分析和编码入侵模式,同时在创建正常用户数据库时不再像以前一样凭经验来选择统计方法。它更主要的优点是相同的数据挖掘工具可应用于多个数据流,从而有利于建造适应性强的入侵检测系统。

5 入侵检测的发展方向

近年来,无论从规模与方法上入侵技术都发生了飞速的变化,入侵的手段与技术也有了进步与发展。基于孤立点挖掘是研究入侵检测技术的一个重要方向,孤立点挖掘是从大量复杂的数据中挖掘出存在于小部分异常数据中新颖的、与常规数据模式显著不同的数据模式。孤立点挖掘的往往是夹杂在大量高维数据中的异常数据,这些异常数据会带来严重的后果。目前在入侵检测研究领域中,不少学者将聚类分析应用于异常检测[5]。但通过对入侵特点的分析,可以认为,孤立点挖掘技术相比聚类技术更适合于完成基于异常的入侵检测工作。因为,正常行为和异常行为存在明显差别;还有在现实应用中,异常行为的数量要远低于正常行为的数量。入侵行为相对于整个网络行为来说,属于少数异常数据,可以将其视为数据集中的孤立点来处理,这更能反映入侵的本质。因此,可以将入侵检测的问题转换为网络行为数据集中孤立点的挖掘问题,相对于其他异常检测技术,基于孤立点挖掘的异常检测技术不需要训练的过程,因此,克服了目前异常检测中所面临的由训练样本中正常模式不完备所带来的误报率高的问题。

本文基于相似度和对孤立点挖掘算法进行描述[6]。

Step1:输入数据集。

nm列的矩阵表示n条入侵检测原始网络记录集中每条记录都有m个特征属性。设论域X={x1,x2,…,xn}为要检测的对象,每个对象有m指标,即xi={xi1,xi2,…,xim},i=(1,2,…,n),用数据矩阵形式表示为:

X=(x11Κx1mΜΟΜxn1Lxnm)

Step2:求出n个对象中的孤立点集。

为了判断x中各对象的离散程度,先计算各对象两两之间的相似系数rij,并构成相似系数矩阵,即:

R=(r11Κr1nΜΟΜrn1Lrnn)rij=1-1nk=1m(xik-xjk)2pi=j=1nrij

其中,pi是相对系数矩阵第i行的和,该值越小,就说明对象i与其他对象的距离越远,即就是孤立点集的后选项。

λi=pmax-pipmax×100%

其中,λ为阈值,λiλ的对象则被认为是孤立点集。

(1)基于相似度和的孤立点分析方法的异常入侵检测系统。

异常入侵检测系统是获取系统的审计数据,并把它们作为入侵检测的数据源和用户行为特征的原始数据值,然后使用相似度和的孤立点分析方法把原始数据值分为正常数据集和孤立点数据集,进而来确定是否受到攻击。

(2)基于相似度和的孤立点分析方法的异常入侵检测的系统结构。

它是由收集器、分析器、报警器和用户数据库组成。其结构图如图2所示。

(3)工作原理。

①数据收集器主要收集原始审计数据,然后把数据传输给数据分析器。

②数据分析器具有数据传输和数据分析功能,一方面接收定性数据发出的报警信息,并把该信息向报警器传送,另一方面数据分析器把定量数据传输给用户数据库。

③用户数据库使用基于相似度和的孤立点挖掘算法,把定量数据分为正常数据集和孤立点数据集。然后把这两部分数据集再传输给分析器。

④分析器接受孤立点数据集发出的警报信息,并把该信息向警报器传送,接着把正常数据集传输给用户数据库。

⑤用户数据库把传输来的正常数据集进行更新处理,以使入侵检测系统中的用户数据库能够准确描述用户行为特征。

其入侵检测的算法描述。

Step1:获取当前的用户某一时刻使用资源情况的原始数据xi

Step2:计算X中各对象的离散程度,即:计算各个对象两两之间的相似系数rij

Step3:计算相似系数矩阵第i行的Pi和与λi

Step4:如果λiλ的对象,则被认为是孤立点集,则说明有异常行为并报警,否则属于正常用户行为,并对用户数据库进行更新处理。

算法分析。

从时间消耗来看,主要是距离的比较,尽管孤立点挖掘的异常检测技术比基于聚类的异常检测技术增加了额外的时间和空间消耗,但是也提高了算法的性能,提高了入侵攻击的检测率。

6 结束语

随着网络安全问题的日益突出,入侵检测技术的研究愈来愈受到人们的关注。本文分析了入侵检测的分类、入侵检测技术的方法、以及入侵检测系统的工作原理及流程图,在此基础上对基于数据挖掘入侵检测技术的深入研究,给出了基于孤立点数据挖掘的入侵检测算法,孤立点挖掘技术可以完成异常检测工作,而且当异常数据要远小于正常数据时,其检测结果要优于基于聚类的异常检测技术,而在一般情况下,网络数据中异常和正常行为的统计分布基本符合孤立点挖掘的使用条件。

网络安全问题一直以来都是人们关注的问题,随着网络的进一步发展以及黑客攻击手段的多样化,仍有大量的研究工作和挑战性问题亟待解决。

摘要:随着计算机网络技术的发展,网络安全成为一个突出的问题。文中介绍了网络安全的概念和现状,分析网络安全的防范技术,着重探讨了入侵检测技术。入侵检测是网络安全和信息系统安全中的重要技术手段。本文对该技术的概念、分类和主要技术方法进行了分析,给出了入侵检测系统的概念及工作流程。对目前比较热门的基于数据挖掘的入侵检测技术进行了深入的研究,并给出了基于相似度和孤立点挖掘算法的描述。

关键词:网络安全,入侵检测技术,入侵检测系统,数据挖掘,孤立点挖掘

参考文献

[1]LI Yang.Application of K-means Clustering Algorithm in Intrusion De-tection detection systems[J].Computer Engineering,2007(7).

[2]Bierman E,cloete E,venter LM.A comparison of intrusion detectionsystems[J].Computers&Security,2001,20(8):676-683.

[3]Lee W,Miller M,Stolfe s,et al.Towardcost-sensitive modeling for in-trusion detection[C].Computer Sciece,Columbia University,2000.

[4]WUZ.hifeng,CHEN Dongxia,JI Genlin.Security Rules Mining from IDSBased on Rough Set[J].Computer Engineering&Science,2005(6).

[5]郝忠孝.关系数据库理论新进展[M].北京:机械工业出版社,1998.

网络入侵的研究与发展 篇8

1 基于BP神经网络的入侵检测系统简介

针对计算机网络安全问题中的信息泄露与信息窃取, 计算机的入侵检测功能主要作用是检测计算机系统自身或者是来自于计算机网络的入侵行为动作, 其主要的检测方式包括数据的采集与聚类;数据行为的判断与分析;对入侵动作的响应及报警等。

BP神经网络结构包括输入、输出层以及隐含层, 其中隐含层可以是由单个神经元或者是多个神经元组成。这种网络的突出特点表现在各个同等水平层次上的神经元仅仅与相邻层的神经元存在连接;同层内部神经元之间不存在连接;层间神经元不存在反馈连接。BP网络的输入信号首先会传递至隐结点, 在隐结点内进行函数变换后, 将输出信息传送至输出结点, 最后由输出结点解译并输出结果。

在该神经系统网络的检测数据源来自网络中传输的数据包, 经网络相应协运算后, 具有入侵特征的数据将被写入神经网络模块, 该模块再经数据的预处理将数据变为可识别的输入向量, 最后根据此输入向量进行智能的计算、分析、识别最后断定是否为入侵行为, 若为入侵行为, 还会将此行为写入报警模块与日志模块留待后续使用[1]。

2 基于BP神经网络入侵检测系统的基本应用实现以及缺陷分析

BP算法是目前计算机网络模型中最流行的一种, 它的基本实现步骤解释如下:

(1) 选取n个学习实例输入 () , k=1, 2, 3……, n;

(2) 开始建立BP神经网络结构:根据上一步骤中给出的学习实例的输入向量Xk的长度值m决定该网络的输出层中结点数量为m;确定不小于3的网络层数L以及各个层的结点数量, 并定义第l层的结点数量为n (l) , 同时n (l) =n、n (L) =m;接下来定义用于层间连接权的矩阵, 比如, 第l层与其接下来的l+1层的矩阵为, ,

最后需要初始化各矩阵的元素值;

(3) 根据网络建设需要确定信息传输过程中的允许误差和网络的学习率, 确定学习实例编号k=1, 初始化迭代计算次数t=1;

(4) 从上述定义的学习实例中选取第k个实例 (Xk, Yk) , Xk= (xlk, x2k, ……xnk) , Yk*= (y1k*, y2k*, ……ymk*) ;

(5) 对Xk计算其正向传播:输入层内各结点的输出为:O (jkl) =f (xjk) , 其中j=1, 2, 3……, n

接下来逐层计算层内结点的输出和输入为:

(6) 计算第L层, 也即输出层的各个输出结点的误差值:

(7) 选取输入的n个学习实例中的任意一学习实例K的值, 若Ejk的值在j=1, 2, 3……m时小于等于, 那么学习过程终止;否则将会令误差反向传播至连接权矩阵并做修改。

(8) 在误差进行反向传播计算时, 修改本层隐层直至输出层 (即下一层) 的连接权矩阵;接下来反向地逐层修改隐含层连接权矩阵, 其修改方式本文不做详细解释。

(9) 当k=k+1 (modN) 时, t=t+1, 跳至第四步[2]。

根据上述对BP神经网络系统的入侵检测实施步骤的分析, 不难发现该系统在针对误差进行的反向传播计算权值与阈值修改过程使用的方式为梯度下降, 这种方式的缺点在于, 学习过程中较易产生如下问题:

(1) 激活函数的过程存在过饱和区间, 在该区间内的误差曲面过于平坦, 因此梯度较小, 在这种情况下, 迭代次数将大大增加, 同时占用更多的时间, 也由此减低了该算法的运算速度, 最终造成入侵检测的实时时间消耗过多;

(2) 因为误差函数的曲面复杂性强, 极可能存在若干极小点, 使得梯度下降算法所得函数陷入局部最小点, 并最终产生入侵检测精确度降低的后果。

然而根据我们对入侵检测系统的需求分析可知, 该系统的运用最重要的在于算法响应时间短、精确度高, 进而可以在较短时间内准确地发现并警报入侵动作, 因此本文提出一种BP网络入侵检测的改进算法, 以达到减少响应时间并有效提高入侵检测准确度的效果。

3 基于改进BP神经网络入侵系统的检测研究

针对上述分析所得的BP神经网络入侵系统的缺陷, 结合需要改进的思路, 提出一种新型的算法——遍历局部最小值进行逃逸的算法。该算法的中心思想是先搜寻判断出局部一个最小点位置, 再逃逸这个最小点, 在遍历所有局部最小点之后, 选择出最优点, 最终实现缩减检测响应时间的效果。该过程的示意图如下:

从上图可知, D点为实际全局最低点, B点、F点为局部的最小点, 当初始权值位于前部的任意一点A时, 网络根据传统算法收敛于前部最低点B, 而非实际最低点D。为解决此问题, 可在传统算法的基础上, 将收敛点返回至A点, 并增大学习步长, 使A点跳至C点, 即可逃出局部最小点B, 最终达到整体最小点D。

根据上述分析, 我们首要做出判定局部最小点的规则:

上述算式中的Ek代表的是第k个样本数据的训练误差, △Ek代表的是任意两个连续样本数据训练误差的差值, E代表误差的平均值, 当下式成立时, 所取的n个样本的最小方差E就是所求的局部最小点。

判定局部最低点是否成功的规则为:|E-Emin|>

但是, 根据上图所示, 我们逃逸后所得的收敛点仅仅是已逃逸部分的局部最低点, 那么次规则将是无效的, 此时需要终止该算法。

据此分析, 我们可将计算隐含层各神经元的输入值部分进行改进:

第一步:输入样本实例数据, 导入可调函数:f (x) =1/ (1+e-x/) , 求出网络输出值lt, 再根据本结点中可调元素的调整原则对可调元素实施调整, 最终解决函数层面平坦问题;

第二步:计算该次实例的学习误差Ek, 根据上述的判定局部最小点的规则判断是否位于局部最低点, 若前面点已经是最低点, 则结束算法, 否则, 调整权值, 增大步长, 对最低点前面一点重新训练数据, 直至根据逃逸判断算式所得结果为局部最小点逃逸成功为止, 并转入神经元的矫正误差计算, 否则循环本步骤;

第三步:根据梯度计算算法, 计算网络隐含层和输出层的梯度;

第四步:结合第三步所求得的梯度, 利用下面算式分别求出隐含层与输出层的权值:

第五步:将实例样本数增加1;

第六步:检查是否所有实例数据均以学习完毕, 若是, 则运行第七步, 若不是, 则返回第一步重新执行;

第七步:验证实例的学习误差值E是否比期望误差小, 若是, 则算法终止, 若不是, 则返回第一步重新执行, 最终将所有的实例数据进行下一轮学习。

根据上述的算法, 将所有的实例数据输入BP网络并进行训练, 将训练误差值定位0.5, 则下图给出了传统的BP算法与改进后的BP算法训练次数对比图:

从上图可知, 改进后的BP算法对数据的训练次数缩减近8000次, 明显将网络的学习效率提升, 可见, 本文所提出的改进算法的确可以缩短对入侵数据的检测响应时间。

参考文献

[1]夏淑华.基于BP神经网络的入侵检测系统设计[J].计算机与现代化, 2011 (4)

[2]黄绍斌.基于改进BP神经网络的入侵检测系统的研究与实现[J].制造业自动化, 2011

网络入侵的研究与发展 篇9

计算机联网后,人们关注的首要问题是网络安全问题。21世纪以来,网络安全问题愈演愈烈。网络上随处可见垃圾邮件、无处不在的病毒等肆无忌惮的在网上搞破坏。比如“冲击波病毒”就曾经在全球泛滥,无数企业为此经济严重受创,人们可谓是谈病毒就色变。网络安全漏洞无法避免,互联网网民极度缺乏安全感,需要网络安全感的呼声越来越高,于是,发明了入侵检测技术。

1 入侵检测系统的概念及应用范围

通过计算机网络或者系统里面的多个关键点收集信息,分析后检查网络和系统中是否存在违反安全策略的行为,是否有遭受攻击的迹象,随后给出适当反应的过程,就是入侵检测技术的工作原理。本质上它就是一种动态的安全防护技术,完成这一任务的相关组合,叫做Intrusion Detection System,简称IDS,中文名叫入侵检测系统。发现异常和匹配模式是入侵检测常用的分析技术手段。

1.1 发现异常

发现异常又被叫做检测异常或者统计分析,用统计来分析流量,识别系统的正常行为模式,设定一个系统正常情况下的阈值,接着拿系统运行时的数值和正常值作比较,会有一个系统是否被攻击的结论,选择异常阈值和特征是其中的关键步骤。异常检测的优点是能够检测出比较复杂的入侵以及未知的入侵,缺点是会导致误报和漏报率高,因为不是所有入侵都表现出异常;其次,系统的轨迹也很难更新和计算,用户突然改变正常行为的话,会不适应。

1.2 匹配模式

将搜集来的信息和已知的网络入侵及系统错误模式数据库做比较,发现里面不符合完全策略的入侵行为,此过程就是匹配模式。将全部入侵手段以及其变种,表述成某种模式或特征,设立一个入侵模式库,是匹配模式的关键点。检测时,重要在于判断,计算机主机和收集来的数据特征是否在入侵模式库中出现?可以是复杂的运用正规数学表达式说明安全情况的变化,简单的匹配字符串也可能是另一种表现。这项技术的优点是系统占用少,仅需要搜集相关数据的集合,有很高的准确率、误报率也很低,总体已发展得很成熟。需要用户频繁的升级,才能对付不停出现的新型攻击技术,否则面对没碰到过的攻击手段不能检测到,是其主要缺点。

2 系统两大分类

因为搜集的数据源不同,所以入侵检测系统就不同,分为两类:网络基础上的入侵检测系统、主机基础上的入侵检测系统。

2.1 网络基础上的入侵检测系统

“网络包”是NIDS的分析数据源,监视常用一个混合模式下的网卡来实现,解析经过网络的数据流,通常使用的技术检测攻击行为是统计分析、模式匹配等。如果存在攻击行为,响应模块就会快速做出相应的响应,比如切断相关用户网络连接或者报警等。

成本相对较低是NIDS的最大优点,其次,它不需要安装软件在被检测的主机上面,几个关键访问点上给予设置安全策略,就能保护很多主机和服务器的安全,方便安装和维护。其缺点是不同网段的网络包它无法主动检测,只能是与它直接连接网段的通信。另外,NIDS的检测结果不是很准确,出错机率较大,除此之外,不断增大的网络流量,也大大增加了它处理峰值流量的难度,网络入侵检测系统处理加密的过程中,通信会话表现得并不顺畅。

2.2 主机基础上的入侵检测系统(HIDS)

HIDS安装代理在受保护系统中,操作系统内核及服务密切捆绑,智能分析和判断主机的系统审计日志和网络连接,监控每个系统事件。比如采取启动API和内核来防御攻击的方法,日志化此类事件,轮流监控特意设定的重要文件及文件夹等。HIDS对检测出入侵事件、行为的反应很积极,包括封杀账户、断掉链接、关闭进程。

HIDS的优点明显,判断隐藏的攻击行为的效果显著,缺点是如果操作系统不一样,主机代理也不能相同,花费自然较高,如遇到系统升级,主机代理也要随之升级,所以安装和维护起来不算方便。

3 新型技术手段

3.1 分析协议

目前最新的入侵检测系统捕捉攻击的主流技术是分析协议,网络协议的高规则性帮助迅速发现潜在的威胁。此技术的特点是准确度高、检测速度快、资源消耗很少。协议分析有以下优势:

(1)确认协议和捕捉碎片攻击

分析协议是入侵检测系统的首要步骤,可以解析任何协议。如果发现存在I P碎片设置,先是重新装配数据包,然后解析潜在的攻击行为。此行为的目的是保证系统可检测到用IDS来逃避的攻击手段。完整解析协议后,还可以确认协议的完整性。

(2)命令字符串解析

解析器作为URL的第一个字节,是一个命令解析的程序,最新一代的IDS入侵检测引擎拥有不止70 个不同的命令解析器,就算上层应用协议不一样,都能够做到详细分析每一个用户命令。

(3)减少误报发生

解析协议还有大大减少模式匹配入侵检测系统里面常有的误报现象的作用。有了命令解析器,就能确保一个特征串的实际含义被真正理解,分辨特征串是不是可疑的,有没有攻击性。

3.2 移动代理

移动代理是一个了不起的程序,代理人或其它程序执行系统分配的任务,它能自主实现从一台主机到另一台主机的转移,不管网络系统多复杂。移动的时间和地点,该程序也能作出选择。移动时,还可以做到按要求挂起运行,并且转移到网络上其它地方,继续执行或者重新开始,最后将消息返回。移动代理技术的优点包括:提供实时的远程监控、节约网络带宽、提供平台不相关性、支持离线计算、提高应用稳定性等。在各项操作系统里运行移动代理虚拟机,可以封杀硬件和操作系统平台的细节,获得统一界面。还可在此基础上进一步实现虚拟机之间的自由迁移,无需终止执行程序就可以完成移动代理。除此,移动代理同时具备虚拟机系统的通信机制,多代理合作的特点,由此实现多个代理之间的合作。

入侵检测系统中移动代理技术的应用,不但可实现全网范围内的入侵检测,而且占用较少主机和网络系统的资源,有非常好的可移植性,移动代理增强了分布式协同入侵检测的灵活度,不大可能出现网络瓶颈。

3.3 互操作

入侵检测技术里面的互操作体现在两个方面:信息的交换,存在于每个入侵检测系统相互之间;另一方面是互动,存在于其他安全设备和系统之间。比如和防火墙的互动,当入侵检测技术捕捉到应该阻断的入侵时,启动联动机制的速度很快,紧接着开放接口自动联络防火墙,封堵攻击源,以此来起到保障整体安全的作用。

4 入侵检测技术未来的发展趋势

最近几年,入侵者的手段层出不穷,也在不断“创新”,为了更好的检测出威胁计算机网络安全的一切入侵行为,减少入侵攻击带来的风险和损失,笔者预测入侵检测技术未来会朝以下三个方向发展:

(1)分布式的入侵检测:一是应付分布式的网络攻击的检测手段,技术要点在于提取入侵攻击的全局信息和信息的协同处理。二是运用分布式的方法来捕捉分布式的攻击。

(2)安全防御方案的全面化:应对网络安全这一问题要启用安全工程风险管理的思维和技术,要认识到网络安全是一个整体工程。从防火墙、病毒的防护、通道加密、网络结构以及入侵检测多方面整体评估所关注的网络,之后再给出方案,彻底全面解决问题。

(3)入侵检测的智能化:入侵检测离不开智能化的手段。所谓的智能化手段,目前应用中的手段有遗传算法、神经网络、免疫原理和模糊技术等,它们通常用于辨识与泛化入侵特征。

5 结束语

不可否认,入侵检测技术的出现及应用很大程度上保障了我们的网络安全,但是入侵检测技术实际应用起来,仍然不够完善,比如常见的漏警的问题、及时响应能力的欠缺等等。当代计算机科学技术日新月异,入侵检测技术必然会进一步创新提高,会成为保卫计算机网络安全的中坚技术。

参考文献

[1]石利平.浅谈网络安全中的入侵检测技术[J].福建电脑,2011.

[2]隋新,刘莹.入侵检测技术的研究[J].科技通报,2014.

[3]柴平暄,龚向阳,程时端.分布式入侵检测技术的研究[J].北京邮电大学学报,2012.

网络入侵的研究与发展 篇10

论文关键词:计算机网络安全 入侵检测技术

一、入侵检测系统的分类

在计算机网络中,入侵检测通常可以分为两大类,即入侵检测和入侵防御。入侵检测是指在网络中,用其特定的安全方案,对网络的操作进行及时的检测和控制,如果有恶意的程序对其发起攻击,要能及时的发现并进行阻止,从而提高网络监测的安全性、保密性和完整性。但是随着计算机网络的不断发展,越来越多的黑客来时蓄意破坏网站,盗取资料,安全隐患也越来越大,我们使用的传统的入侵检测技术和防火墙已经应付不了目前存在的很多安全问题,所以就诞生了新的入侵防御系统,它通过对经过的数据进行检测来了解其中存在的潜在的危险,从而摒弃那些存在危险或者有可能存在危险的数据和文件,从根源阻断它们对系统带来的威胁从而保护网络的安全性和保密性。

入侵监测系统和入侵防御系统两者之间也存在很明显的区别,入侵检测系统只是对网络进行一个“体检”,找出可能存在问题的地方,但是不能对整个网络作出防御措施;而入侵防御系统无法自身识别出存在危险的数据和文件,它需要入侵检测系统的相互合作,通过入侵检测系统检测出存在危险的数据,及时阻止这些数据的扩散,把它们拦在门外,保证网络的安全性。

二、入侵检测技术在维护计算机网络安全中的应用

2.1 基于网络的入侵检测

基于网络的入侵检测有两种基本形式,即软件的和硬件的,但是这两种形式的检测方式在工作流程上有着异曲同工之处。为了将整个网络的数据进行实时的检测和控制,就必须把网络接口设置为混杂模式,这样就可以在数据流过的时候对经过的数据进行控制分析,将这些数据和那些具备攻击性质的数据作比较,找出那些存在攻击性或者存在潜在危险的数据,将这些数据拦截下来,保障网络的安全运行,对于拦截下的存在问题的数据,要做好及时的记录,作为以后遇到问题可以参考的依据。

2.1.1 入侵检测的体系结构

网络入侵检测主要由Agent、Console以及Manager三个部分组成。其中Agent是用来对经过的数据作出检测,找出那些存在威胁的数据,并及时把这些数据发送到管理器;Console主要是搜集信息和数据,显示那些存在危险的数据,并从现实的这些数据中找出真正有攻击性的数据并把它们发送到管理器上;Manager主要是给警告信息发出的信号给予响应,同时Manager也执行从控制台发来的指令,再把接收来的警告信息发送到控制台。

2.1.2 入侵检测的工作模式

基于网络的入侵检测,在整个网络中要布置多个入侵检测代理,一般都是部署在每个网段的中部,而且不同的网络结构也不一样,所以自然网络连接形式也不一样。如果在网段中连接方式是总线式集线器,那么就把代理和集线器力的任何一个端口连接;如果是太网交换机,因为交换机自身存在一定的缺陷,是无法实现资源的共享的,所以在整个网段中只安排一个代理是不可行的,因此,可以把入侵检测系统和交换机中用于调试的端口进行连接,也可以把它放在数据流经过的关键地段,这样就可以取得经过的全部数据。

2.1.3 攻击响应及升级攻击特征库、自定义攻击特征

入侵检测系统响应恶意文件的方式有很多种,如发送邮件、查杀进程、通知管理员、记录日志、把用户的账号自动注销、把正在进行的会话切断、建立一个报告并发送等等。堆攻击特征库进行升级时可以自动从相关网站或者是地址中把有用的信息下载下来,在把这些信息反馈给控制台,由控制台把这些信息添加带攻击特征库中。对网络进行管理的人员可以按照自身的设备条件和资源状况来自定义设定特征库,对单位的网络系统和整体资源进行全面的保护。

2.2 对于主机的入侵检测

对公司主机的入侵检测一般不会对所有电脑全部进行,而是从中挑选重点检测的主机,分析和判断该主机在日志审核系统、网络连接上存在的问题。一旦发现可疑情况,那么入侵检测系统就会对主机上存在问题的部分采取相应的措施来保护网络系统。基于主机的入侵检测系统具有以下功能:全程监控用户在网络上的一切操作;对阵个系统进行持续的评估,保持数据的完整性;及时更新特征库的数据,建立全新的安全维护系统;对未经允许的操作或者是存在危险的数据做出及时的警报;将有用的信息收集起来,作为以后的参考资料。基于主机的入侵检测系统全面细致的主机进行了保护,提高了网络的安全性和保密性,节约了资源,节省了成本。

三、入侵检测技术存在的问题

虽然入侵检测系统既有很大的优势,但是在很多方面它还存在很多的缺陷,主要是体现在以下几个方方面:

第一:虽然网络入侵检测系统可以对网段里的数据进行检测和控制,发现存在的问题,但是如果不在这一网段,那么该系统就无法检测出来,所如期能检测系统的检测范围有一定的局限性,无法对全局作出检测,但是如果增加传感器的数量,就势必会增加成本。

第二:入侵检测系统的检测方法一般是通过对数据进行特征分析,这种检测方法对一般普通的问题成效较为明显,但是有一些复杂的难以识别的问题,检测系统就可能无法分辨,这就造成存在一定的安全隐患。

第三:入侵检测系统在网络上数据检测时需要进行大量的数据分析,这也可能会影响网络的质量和性能。

第四:网络入侵检测技术在处理会话加密问题上存在一定的困难,因为由于现阶段的技术,对加密通道的攻击较少,但是随着社会发展,这类问题会越来越多。

第五:虽然入侵检测系统可以检测网络上存在的问题,但是它自身的防御能力却很弱,如果它一旦受到恶意数据的攻击,那么就很难抵抗,但是它可以与防火墙进行联动,那些攻击文件通过防火墙,防火墙就会立即采取隔离措施,这样也能达到保护自身的目的。

四、总结

虽然现在入侵检测系统已经得到广泛的应用,但是它自身还是存在很多局限性,所以在发展上还不是很成熟,很多单位在入侵检测系统的选择上都是采用了基于主机和网络相结合的方式。但是这会在发展,所以入侵检测系统也在不断的发展,在数据收集和检测、网络异常的检测、专家系统滥用检测以及贝叶斯推理异常检测等等检测技术上发展的越来越成熟。总之,提高计算机网络的安全性不仅仅需要自身技术的发展,同时还需要政府以及企业进行维护和管理,只有这样我国的计算机网络事业才能发展的更好,才能给人们的生活带来更多的方便。

参考文献:

[1]胥琼丹.入侵检测技术在计算机网络安全维护中的应用[J].电脑知识与技术,2010,11

[2]刘明.试析计算机网络入侵检测技术及其安全防范[J].计算机与网络,2011,1

上一篇:文本资料整理下一篇:山区高速公路总体设计