入侵检测论文范例6篇

前言:中文期刊网精心挑选了入侵检测论文范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。

入侵检测论文

入侵检测论文范文1

关键词入侵检测;通用入侵检测对象;通用入侵描述语言;语义标识符

1引言

计算机网络在我们的日常生活中扮演着越来越重要的角色,与此同时,出于各种目的,它正日益成为犯罪分子攻击的目标,黑客们试图使用他们所能找到的方法侵入他人的系统。为此,我们必须采取有效地对策以阻止这类犯罪发生。开发具有严格审计机制的安全操作系统是一种可行方案,然而综合考虑其实现代价,在许多问题上作出少许让步以换取减少系统实现的难度却又是必要的。因此,在操作系统之上,再加一层专门用于安全防范的应用系统成为人们追求的目标。入侵检测技术即是这样一种技术,它和其它安全技术一道构成计算机系统安全防线的重要组成部分。自从DorothyE.Denning1987年提出入侵检测的理论模型后[1],关于入侵检测的研究方法就层出不穷[5-7],基于不同检测对象及不同检测原理的入侵检测系统被研制并投放市场,取得了显著成效,然而,遗憾的是这些产品自成一体,相互间缺少信息交流与协作,而作为防范入侵的技术产品,这势必削弱了它们的防范能力,因而如何使不同的入侵检测系统构件能够有效地交流合作,共享它们的检测结果是当前亟待解决的一个问题。入侵检测系统框架的标准化,数据格式的标准化[2]为解决这一问题作了一个有益的尝试。本文主要针对入侵检测数据格式的标准化——通用入侵检测对象进行分析应用,并通过一个实际例子介绍了我们的具体实践过程。

入侵检测是指“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图”[2-4]。从技术上划分,入侵检测有两种模型[2,4]:①异常检测模型(AnomalyDetection);②误用检测模型(MisuseDetection)。按照检测对象划分有:基于主机、基于网络及混合型三种。

入侵检测过程主要有三个部分[4]:即信息收集、信息分析和结果处理。

2通用入侵检测对象(GIDO)

为解决入侵检测系统之间的互操作性,国际上的一些研究组织开展了标准化工作,目前对IDS进行标准化工作的有两个组织:IETF的IntrusionDetectionWorkingGroup(IDWG)和CommonIntrusionDetectionFramework(CIDF)。CIDF早期由美国国防部高级研究计划局赞助研究,现在由CIDF工作组负责,是一个开放组织。CIDF规定了一个入侵检测系统应包括的基本组件。CISL(CommonIntrusionSpecificationLanguage,通用入侵规范语言)是CIDF组件间彼此通信的语言。由于CIDF就是对协议和接口标准化的尝试,因此CISL就是对入侵检测研究的语言进行标准化的尝试[8]。

CISL语言为了实现自定义功能,以S-表达式表示GIDO(GeneralizedIntrusionDetectionObjectis),S-表达式以各类语义标识符(SemanticIdentifeers)为标记,分别有动作SID、角色SID、属性SID、原子SID、连接SID、指示SID和SID扩展名等类型。其范式如下:

<SExpression>::=’(<SID><Data>’)’

<Data>::=<SimpleAtom>

<Data>::=<ArrayAtom>

<Data>::=<SExpressionList>

<SExpressionList>::=<SExpression>

<SExpressionList>::=<SExpression><SExpressionList>

入侵检测组件交流信息时,以GIDO为标准数据格式传输内容,GIDO所包含的内容常来自于各类审计日志,网络数据包,应用程序的跟踪信息等。

CISL对S-表达式编码规则遵循递归原则,具体如下:

<SExpression>::=’(<SID><Data>’)’

E[Sexpression]=length_encode(sid_encode(SID)E[Data])

sid_encode(SID)E[Data]

<Data>::=<SimpleAtom>

E[Data]=Simple_encode(SimpleAtom)

<Data>::=<ArrayAtom>

E[Data]=Array_encode(ArrayAtom)

<Data>::=<SExpressionList>

E[Data]=E[SExpressionList]

<SExpressionList>::=<SExpression>

E[SExpressionList]::=E[SExpression]

<SExpressionList>::=<SExpression><SExpressionList>

E[SExpressionList]::=E[SExpression]e[SExpressionList]

对于每一个GIDO的基本成份SID,CISL都有规定的编码,通过这些编码本身的信息可知这些SID是原子SID还是非原子SID。原子SID在编码中不能继续分解,而是直接带有具体的值。值有简单类型和数组类型[8]。

GIDO以各类SID为标志,组成树形结构,根结点为该GIDO的标志SID,各子树的根结点为相应的对该GIDO所描述的事件起关键作用的SID。编码时,每棵子树的根结点前附加该子树所有孩子结点编码的总长度,以递归方式完成GIDO编码,一个详细的实例可参考文献[8]。3通用入侵检测对象的应用

我们以Linux环境为例,在检测口令猜测攻击中,系统的日志文件会产生以LOGIN_FAILED为标志的日志记录[9-10]。在IDS的事件产生器中,读取日志文件中含有LOGIN_FAILED的记录生成GIDO。

例:Jul3108:57:45zd213login[1344]LOGIN_FAILED1from192.168.0.211FORJohnAuthenticationfailure。相应的GIDO为:

{Login

{Outcome

{ReturnCodeACTION_FAILED}

)

(When

(BeginTimeJul3108:57:43)

)

(Initiator

(IPV4Address192.168.0.211)

(UsernameJohn)

)

(Receiver

(Hostnamezd213)

))

其编码过程除了遵循前面所描述的规则外,还使用了文献[2]所建议的各类API。它们分别用于生成存放GIDO的空树、向空树附加根结点、附加数据、附加子树及对整个树编码。

当一个GIDO由事件产生器完成编码后,便发送至事件分析器按一定的规则分析所接收的GIDOs以便确定是否有入侵发生,若有则将有关信息发至控制台。对口令猜测攻击的GIDO,一个可行的处理流程如图1所示。

假定系统检测到30秒内发生了三次或以上登录失败,认为系统受到入侵,便发出相应报警信息。则本例输出结果(从不同终端登录)如图2所示。

图1对口令猜测攻击事件产生的GIDO的处理流程

图2一个口令猜测攻击的模拟检测结果

4结束语

本文在深入分析入侵检测基本原理及入侵检测说明语言CISL基础上,对入侵检测对象GIDO的编码进行了详细说明。在系统设计的实践过程中,分别使用了入侵检测标准化组织提出的草案中包含的有关接口。但在本文中也只是针对一类特定入侵的事件说明如何生成并编码GIDOs。事实上,入侵检测系统各构件之间的通信本身也需要安全保障,这一点参考文献[8],可利用GIDO的附加部分来实现,其中所用技术(诸如签名,加密等)可借鉴目前一些较成熟的安全通信技术。

参考文献

[1]DorothyE.DenningAnIntrusion-DetectionModel[J].IEEETransactionsonsoftwareEngineering,1987,13(2):222-232

[2]蒋建春,马恒太等网络入侵检测综述[J].软件学报2000.11(11):1460-1466

[3]GB/T18336,信息技术安全技术安全性评估标准[S]。

[4]蒋建春,冯登国。网络入侵检测原理与技术[M],国防工业出版社,北京,2001

[5]KumarS,SpaffordEH,AnApplicationofPatterMatchinginIntrusionDetection[R],TechnicalReportCSD-7r-94-013,DepartmentofComputerScience,PurdueUniversity,1994。

[6]JstinDoak.IntrusionDetection:TheApplicationofaFeatureSelection-AComparisonofAlgorithmsandtheApplicationofWideAreaNetworkAnalyzer[R].DepartmentofComputerScience,Universityofcolifornia,Davis1992.

[7]DusanBulatovic,DusanVelasevi.AdistributedIntrusionDetectionSystem[J],JournalofcomputerSecurity.1999,1740:219-118

[8]http://gost.isi.edu/cidf

入侵检测论文范文2

参考文献是说论文在写作过程当中引用的文献资料,是有准确的收藏地点的文本和档案等,论文中引用的顺序用阿拉伯数字加方括号依次书写在论文的末尾。下面是学术参考网的小编整理的关于信息化论文参考文献,供大家阅读借鉴。

信息化论文参考文献:

[1]边志新.管理会计信息化探讨[J].经济研究导刊,2012

[2]康世瀛,刘淑蓉.信息化时代现代管理会计的发展的若干重要问题[J].华东经济管理,2001

[3]彭炳华,信息化在管理会计中的作用.当代经济,2015(6).

[4]李红光,信息化环境下的管理会计探讨.管理观察,2012(7):p.213-214

[5]张继德,刘向芸.我国管理会计信息化发展存在的问题与对策[J].会计之友旬刊,2014,

[6]毕克新,等.制造业企业信息化与工艺创新互动关系影响因素研究[J].中国软科学,2012(10).

[7]赵迪.浅析信息时代设计的特点[J].吉林工程技术师范学院学报,2013(04).

信息化论文参考文献:

[1]陈娅娜,鞠颂东.敏捷供应链下库存管理的财务影响[J].物流科技,2008.5.

[2]张琪.基于供应链管理的会计信息系统的设想[J].会计之友(下旬刊),2008.4.

[3]曹军.论供应链管理下新会计信息系统的构建[J].天津财经大学学报,2007.10.

[4]周学广等.信息安全学.北京:机械工业出版社,2003.3

[5](美)MandyAndress著.杨涛等译.计算机安全原理.北京:机械工业出版社,2002.1

[6]曹天杰等编著.计算机系统安全.北京:高等教育出版社,2003.9

[7]刘衍衍等编著.计算机安全技术.吉林:吉林科技技术出版社.1997.8

[8](美)BruceSchneier著,吴世忠等译.应用密码学-协议、算法与C语言源程序.北京:机械工业出版社,2000.1

[9]赖溪松等著.计算机密码学及其应用.北京:国防工业出版社.2001.7

[10]陈鲁生.现代密码学.北京:科学出版社.2002.7

[11]王衍波等.应用密码学.北京:机械工业出版社,2003.8

信息化论文参考文献:

[1]石志国等编著.计算机网络安全教程.北京:清华大学出版社,2004.2

[2]周海刚,肖军模.一种基于移动的入侵检测系统框架,电子科技大学学报.第32卷第6期2003年12月

[3]刘洪斐,王灏,王换招.一个分布式入侵检测系统模型的设计,微机发展.第13卷,第1期,2003年1月.

[4]张然等.入侵检测技术研究综述.小型微型计算机系统.第24卷第7期2003年7月

[5]吕志军,黄皓.高速网络下的分布式实时入侵检测系统,计算机研究与发展.第41卷第4期2004年4月

[6]韩海东,王超,李群.入侵检测系统实例剖析北京:清华大学出版社2002年5月

[7]熊华,郭世泽.网络安全——取证与蜜罐北京:人民邮电出版社2003年7月

[8]陈健,张亚平,李艳.基于流量分析的入侵检测系统研究.天津理工学院学报,2008。

入侵检测论文范文3

1.课程设置作为物联网工程专业高年级开设的一门限选课,入侵检测技术既不能像信息安全专业开设的专业基础课那么深入详尽,也不能像普及式的任选深度,课程设置采用40课时,其中教学课时30课时,实验课时为10课时。

2.教学内容和实验内容的设计和实施物联网安全较之传统互联网安全涵盖的范围更广,但是其“源科学”是计算机科学,因此本课程的授课内容仍以IP网络中的入侵检测技术和计算机安全为主,增加了无线传感器网络WSN和射频识别技术RFID技术的安全问题,再加上异种网络互联互通产生的新安全问题及技术作为物联网安全的主体内容。秉承实验是这门课程获得良好教学效果的关键思想,本节将不同阶段的重要知识点和对应的实验内容设计详述如下。

2.1传统IP网络的入侵检测技术“入侵检测技术”这门课程主要涉及到的重要知识点包括:入侵检测的基本概念、入侵方法与手段、入侵检测系统数据源、基于主机的入侵检测系统、基于网络的入侵检测系统、检测引擎、告警与响应、入侵检测系统的评估、入侵检测系统的应用等。其中原理性、理论性的内容主要体现在入侵检测的原理、检测算法、评估的指标体系等。图1是标准化组织提出的IDS的总体框架,该图分三个检测阶段(检测前、检测中、检测后),囊括了上述所有重要的知识点。(1)入侵前涉及入侵检测的基本概念、入侵方法与手段、入侵检测系统数据源等知识点。重点讲授基于网络的入侵检测的数据采集技术,引入实验1——网络数据包的捕获及协议的简单分析。(2)入侵中知识点涉及IDS的各种检测原理与方法。检测方法分为误用检测、异常检测和其它检测方法。重点讲授滥用检测普遍采用的利用特征串匹配的方法、各种异常检测模型也是很重要的辅助检测方法,比如数学模型(方差模型、均方差模型、)马尔科夫链和模糊逻辑。检测又分为基于主机的检测、基于网络的检测和分布式检测。为了呈现不同原理、不同检测方法的效果,设计了实验2——审计日志的获取和简单分析,对比实验1有利于学生体会基于主机的检测方法和基于网络的检测方法的不同。(3)入侵后涉及IDS的警报响应、警报冗余消除、警报后处理技术和意图识别技术等知识点。重点讲授对于几种典型攻击,IDS的攻击报警信息和警报后处理技术,让学生认识警报含义、不同的报警格式和方式。至此,学生应该对IDS的整个工作流程有了全面的认识。为了让学生融会贯通所有知识点,设计了实验3——Snort开源IDS的构建和使用。让学生在指定的实验室环境下安装,使用IDS,老师在实验室局域网与公网断开时,运行若干典型的攻击脚本,确保Snort能抓取到攻击实例,让学生利用所学的安全知识,模拟安全管理员分析攻击态势。对于传统IP网络上的入侵检测技术的教授,可以让学生牢记图1,有助于理清各阶段的重要知识点,在相关实验中体会攻击理论性知识的应用,是这门课程获得良好教学效果的关键。

2.2物联网安全技术物联网涵盖内容非常宽泛。实际上目前物联网的构成除了传统IP网络外,各式各样的无线传感器网络WirelessSensorNetwork(WSN)构成了物联网的主体。与传统IP网络不同,WSN因其特点导致其相同的安全需求有着完全不通的安全技术。重点知识点按WSN的分层协议体系结构讲授每一层上存在的安全问题以及典型攻击。比如,物理层:各种物理破坏以及导致的信息泄露和各种拥塞攻击;数据链路层:各种耗尽攻击和碰撞攻击;网络层:各种路由攻击、泛洪攻击、女巫攻击;应用层:污水池攻击、蠕虫洞攻击等。为了使学生了解和掌握不同的攻击的原理、攻击过程和方式,设计了实验4——WSN上的各种攻击实验演示。

2.3物联网互通产生的安全问题和安全技术由于此部分内容还属于当前研究热点,在课程中将作为物联网的全新内容介绍。重点抓住一些典型攻击案例讲述互联互通中产生的安全问题及解决方法。为此设计了实验5作为典型案例。实验5——跨网络的DDoS攻击,展示了在IP网络中已经克服的DDoS攻击,互通后的残余DDos攻击流量仍然超出WSN能够承受的范围,会导致WSN网络服务质量下降,甚至耗尽WSN宝贵的能量和带宽资源。

3.实验内容设计(1)设计型实验实验1——网络数据包的捕获及协议的简单分析。网络数据包是基于网络的入侵检测系统的重要数据源,网络数据包的捕获是基于网络的入侵检测系统实现的第一步。通过该实验,使学生了解和掌握基于Socket和libpcap的网络数据包的捕获方法,理解和掌握基于网络入侵检测系统的源数据的捕获、协议分析的基本原理和实现方法。同时使学生熟悉在Linux下的C语言开发技能。实验2——主机审计日志的获取和简单分析。主机审计日志数据是基于主机入侵检测系统的重要数据源,审计数据获取的质量和数量,决定了入侵检测的有效程度。通过该实验使学生了解Linux系统的日志系统和基于主机的入侵检测系统的原理。(2)综合型实验实验3——Snort开源IDS的构建和使用。让学生根据校园网实验室环境下的需求搭建,利用Snort及第三方软件搭建一个真实的入侵检测系统。根据需求选择已有的预处理插件、检测规则,最后有针对性地完成几个相应规则的编写,并进行正确性测试。断网后在运行几个典型攻击脚本,让学生分析Snort抓获的攻击警报,做出安全态势汇报。(3)验证型实验实验4——WSN上的各种攻击实验。学生利用一些攻击类软件工具和硬件设施完成一些可能的攻击。攻击的罗列使学生了解和掌握不同的攻击的原理、攻击过程和方式,加深对入侵检测的必要性的理解;实验5——跨网络的DDoS攻击。将传统IP网络通过特定网关与实验室特定的无线传感器网络相连,在IP网络中发起DDoS攻击,将目标锁定在传感器网络内。在IP网络上安装流量观测器,让学生直观地看到攻击流量的路径。然后在网关上启动DDoS攻击检测,过滤掉98%的攻击流量,让学生观察此时无线传感器网络的性能情况,比较两种情况,得出实验结论。

4.考核体系该课程的考核采用平时成绩和期末考核成绩加权平均的方式。考虑到课程的宗旨在于加强学生动手能力,同时为了减轻学生的学习负担,平时成绩强调考核动手能力,平时作业紧扣五个实用性实验,均为实验为铺垫和准备,实际上5个综合实验成绩占50%,期末的理论考核以开放式论文形式让学生根据自己对IDS的了解和兴趣选择和IDS相关的题目撰写论文,占50%。

二、结语

入侵检测论文范文4

关键词:网络安全;防火墙;入侵检测系统;校园网

中图分类号:TP393.08

对于高校而言,校园网在教学、科研、管理以及对外交流等过程中起到了不可替代的作用。近年来,随着校园网建设规模的不断壮大,校园网存在安全问题也逐渐突显。我们在享受网络信息资源的便捷性的同时,也面临着网络安全带来的困扰。

当前网络安全技术包括两种,一种是以防火墙技术为例的静态安全技术,另一种是以入侵检测系统技术为例的动态安全技术。两种网络安全技术各有优势和不足之处,为实现有效的保障校园网的网络安全,最好的方式就是实现防火墙与入侵检测系统的结合应用。

1 防火墙与入侵检测系统的区别和联系

防火墙技术是网络静态安全技术的代表,是一种被动的防御技术。防火墙技术建立在现代通信网络技术与信息安全技术基础上。防火墙技术作为不同网络与网络安全域之间信息唯一的出入口,主要用于控制出入网络的数据,不过防火墙技术不能防范内部的非法访问行为。另外防火墙技术还有一个缺陷,不能够主动跟踪入侵者,只能依赖人工实施与维护。

与防火墙技术相对的入侵检测系统则是动态安全技术的代表,在网络安全中是一种主动的防御手段,可以对网络中容易受到威胁和攻击的点击存在安全漏洞的地方主动检测,通常对于危险行为的检测要比人工快,并且实现对网络内部通信信息的实时分析,对入侵行为、企图即使检测,并提前发出警报,一边及早采取措施应对,最大限度的保障网络安全。

总之,防火墙技术与入侵检测系统作为两种不同的网络安全防范手段,两者各具优势也各有不足。防火墙技术对新协议和新服务的支持,不能进行动态扩展,从而无法提供个性化服务。而入侵检测系统虽然能够收集、分析信息,对网络中的安全问题进行检测,对而已攻击提供主动、实时的保护,有效做到网络安全防范。因而,入侵检测系统能够弥补防火墙技术的不足之处,对防火墙技术起到补充作用,最终提高了校园网网络信息的安全性,两者有区别的同时,又在功能上起到了互补关系。

2 防火墙与入侵检测系统结合应用的优势

校园网中,防火墙技术不能直接控制内部网络行为,无法对通信过程中的内容数据进行监控。防火墙技术对于一些安全威胁依然难以防范。入侵检测系统则以绝对的主动权对防火墙技术的不足之处进行弥补。

在校园网中,防火墙与入侵检测系统结合应用优点多,入侵检测系统能够提前发现威胁网络安全的攻击行为,并提供入侵信息给防火墙,由防火墙技术针对威胁调整安全策略,对不合法的信息进行阻断和处理。两者的结合应用大大提高了网络系统的防御性能。

3 校园网络所面临的威胁

当前校园网络的安全问题,主要面临三个方面的威胁:

3.1 物理安全

校园网络安全的前提,就是保证计算机网络系统各种设备的物理安全。其所表现的数据传输、数据存储以及数据访问安全都是在物理介质层次之上。网络运行的环境,诸如温度、湿度、电源等也威胁到计算机网络安全。

物理安全,保护的就是计算机的网络设备、网络设施,以及避免其他媒体在自然灾害或者认为事故中所遭到破坏。是对计算机系统、服务器、打印机等硬件的保护。

3.2 自然因素的威胁

校园网面临的自然威胁,是指自然原因带来的安全问题,如雷击、火灾、水灾、地震等自然灾害;正行情况下使用过程中的设备损坏;设备运行环境等方面,损坏网络设备硬件,影响网络的正常运行,对校园网网络安全带来威胁。

3.3 人为因素的威胁

校园网中,网络系统安全面临的人为因素的威胁,分为故意人为威胁、无意人为威胁两种形式,都严重威胁着计算机网络的安全。人为故意威胁涵盖搭线连接获取网络数据信息、窃取口令密钥来获取信息资源、盗割网络通信线缆,以及破坏网络设备等类型。无意人为威胁是指操作人员虽然拥有合法和技术,但操作过程中因为失误或者疏忽,对网络安全运行带来的不良影响或者重大损失。

4 校园网中防火墙与入侵检测系统的结合应用

首先,选择入侵检测系统的位置。入侵检测系统可放在防火墙之内,也可以放在防火墙之外。但依据两者不同的功能优势,入侵检测可及时检测异常、攻击行为,而由防火墙对非法入侵进行控制。将入侵检测系统放置在防火墙的后面,不合法信息在经过防火墙的技术过滤,对计算机网络起到一定的保护。将入侵检测系统放在防火墙的内部,在最大限度阻止“幼稚脚本”的攻击同时,让入侵检测系统去发现网络中的攻击行为。

其次,校园网中防火墙与入侵检测系统的结合模型设计,两者并非只是简单的叠加,而是具体的分析两者的功能、优势以及缺点,经过研究后建立的一种由简单的入侵检测系统辅助防火墙技术的安全系统。

最后,防火墙与入侵检测系统的接口。两者通过两种方式实现互动。一种是将入侵检测系统嵌入到防火墙技术中,实现两者的紧密结合。这种情况下,入侵检测系统的数据来源于流经防火墙的数据流。防火墙不仅要验证这些数据,还要对其是否具有攻击性进行判断,从而对攻击行为进行阻断。但入侵检测系统作为一个庞大的系统,为实施带来了一定的难度。另一种个互动方式就是通过开发借口来实现。防火墙技术、入侵检测系统,它们各自开放一个接口,提供给对方使用,双方按事先协商的方式进行信息的传输。这种互动方式灵活,对防火墙技术、入侵检测系统的性能都不会造成影响。

一般系统越复杂,其自身的安全问题也就愈加难解决,通过比较,将防火墙技术与入侵检测系统通过开放接口实现互通,比将两者紧密结合的效果好。防火墙与入侵检测系统的原理、方法、手段等各不相同,但是他们都是为了保护计算机网络信息的安全,两者有着共同的目的,而且面临的威胁也相同,因此,两者的结合应用为校园网的安全防范带来切实可行的方法和手段。

5 结束语

本篇论文将以防火墙技术为代表的静态技术与以入侵检测系统为代表的动态技术结合应用,并非单纯的将两个系统通过设定标准接口简单物理结合,而是将两种技术手段各自独有的功能在新的系统中展现,有力的保障校园网网络系统的安全性,有效提高了网络的防御能力。未来,防火墙与入侵检测系统的结合应用,为计算机网络安全技术提供了广阔的发展空间。在计算机网络安全防范过程里,防火墙技术与入侵检测系统的结合应用,将取长补短为保护计算机网络安全增加一重保障。

参考文献:

[1]徐也.防火墙与入侵检测在校园网中的应用[J].职业技术,2009(04).

入侵检测论文范文5

论文摘要:网络的入侵取证系统是对网络防火墙合理的补充,是对系统管理员安全管理的能力的扩展,可使网络安全的基础结构得到完整性的提高。通过采集计算机网络系统的相关一系列关键点信息,并系统分析,来检测网络是否存在违反了安全策略行为及遭到袭击的现象。随着计算机的普及,有计算机引发的案件也越发频繁,该文即针对计算机基于网络动态的网络入侵取证作进一步的探讨。

计算机网络的入侵检测,是指对计算机的网络及其整体系统的时控监测,以此探查计算机是否存在违反安全原则的策略事件。目前的网络入侵检测系统,主要用于识别计算机系统及相关网络系统,或是扩大意义的识别信息系统的非法攻击,包括检测内部的合法用户非允许越权从事网络非法活动和检测外界的非法系统入侵者的试探行为或恶意攻击行为。其运动的方式也包含两种,为目标主机上的运行来检测其自身通信的信息和在一台单独机器上运行从而能检测所有的网络设备通信的信息,例如路由器、Hub等。

1 计算机入侵检测与取证相关的技术

1.1 计算机入侵检测

入侵取证的技术是在不对网络的性能产生影响的前提下,对网络的攻击威胁进行防止或者减轻。一般来说,入侵检测的系统包含有数据的收集、储存、分析以及攻击响应的功能。主要是通过对计算机的网络或者系统中得到的几个关键点进行信息的收集和分析,以此来提早发现计算机网络或者系统中存在的违反安全策略行为以及被攻击迹象。相较于其他的一些产品,计算机的入侵检测系统需要更加多的智能,需要对测得数据进行分析,从而得到有用的信息。

计算机的入侵检测系统主要是对描述计算机的行为特征,并通过行为特征对行为的性质进行准确判定。根据计算机所采取的技术,入侵检测可以分为特征的检测和异常的检测;根据计算机的主机或者网络,不同的检测对象,分为基于主机和网络的入侵检测系统以及分布式的入侵检测系统;根据计算机不同的工作方式,可分为离线和在线检测系统。计算机的入侵检测就是在数以亿记的网络数据中探查到非法入侵或合法越权行为的痕迹。并对检测到的入侵过程进行分析,将该入侵过程对应的可能事件与入侵检测原则规则比较分析,最终发现入侵行为。按照入侵检测不同实现的原来,可将其分为基于特征或者行为的检测。

1.2 计算机入侵取证

在中国首届计算机的取证技术峰会上指出,计算机的入侵取证学科是计算机科学、刑事侦查学以及法学的交叉学科,但由于计算机取证学科在我国属于新起步阶段,与发达国家在技术研究方面的较量还存在很大差距,其中,计算机的电子数据的取证存在困难的局面已经对部分案件的侦破起到阻碍作用。而我国的计算机的电子数据作为可用证据的立法项目也只是刚刚起步,同样面临着计算机的电子数据取证相关技术不成熟,相关标准和方法等不足的窘境。

计算机的入侵取证工作是整个法律诉讼过程中重要的环节,此过程中涉及的不仅是计算机领域,同时还需满足法律要求。因而,取证工作必须按照一定的即成标准展开,以此确保获得电子数据的证据,目前基本需要把握以下几个原则:实时性的原则、合法性的原则、多备份的原则、全面性的原则、环境原则以及严格的管理过程。

2 基于网络动态的入侵取证系统的设计和实现

信息科技近年来得到迅猛发展,同时带来了日益严重的计算机犯罪问题,静态取证局限着传统计算机的取证技术,使得其证据的真实性、及时性及有效性等实际要求都得不到满足。为此,提出了新的取证设想,即动态取证,来实现网络动态状况下的计算机系统取证。此系统与传统取证工具不同,其在犯罪行为实际进行前和进行中开展取证工作,根本上避免取证不及时可能造成德证据链缺失。基于网络动态的取证系统有效地提高了取证工作效率,增强了数据证据时效性和完整性。

2.1 计算机的入侵取证过程

计算机取证,主要就是对计算机证据的采集,计算机证据也被称为电子证据。一般来说,电子证据是指电子化的信息数据和资料,用于证明案件的事实,它只是以数字形式在计算机系统中存在,以证明案件相关的事实数据信息,其中包括计算机数据的产生、存储、传输、记录、打印等所有反映计算机系统犯罪行为的电子证据。

就目前而言,由于计算机法律、技术等原因限制,国内外关于计算机的取证主要还是采用事后取证方式。即现在的取证工作仍将原始数据的收集过程放在犯罪事件发生后,但计算机的网络特性是许多重要数据的存储可能在数据极易丢失的存储器中;另外,黑客入侵等非法网络犯罪过程中,入侵者会将类似系统日志的重要文件修改、删除或使用反取证技术掩盖其犯罪行径。同时,2004年FBI/CSI的年度计算机报告也显示,企业的内部职员是计算机安全的最大威胁,因职员位置是在入侵检测及防火墙防护的系统内的,他们不需要很高的权限更改就可以从事犯罪活动。

2.2 基于网络动态的计算机入侵取证系统设计

根据上文所提及的计算机入侵的取证缺陷及无法满足实际需要的现状,我们设计出新的网络动态状况下的计算机入侵的取证系统。此系统能够实现将取证的工作提前至犯罪活动发生之前或者进行中时,还能够同时兼顾来自于计算机内、外犯罪的活动,获得尽可能多的相关犯罪信息。基于网络动态的取证系统和传统的取证系统存在的根本差别在于取证工作的开展时机不同,基于分布式策略的动态取证系统,可获得全面、及时的证据,并且可为证据的安全性提供更加有效的保障。

此外,基于网络动态的入侵取证系统在设计初始就涉及了两个方面的取证工作。其一是攻击计算机本原系统的犯罪行为,其二是以计算机为工具的犯罪行为(或说是计算机系统越权使用的犯罪行为)。系统采集网络取证和取证两个方面涉及的这两个犯罪的电子证据,并通过加密传输的模块将采集到的电子证据传送至安全的服务器上,进行统一妥善保存,按其关键性的级别进行分类,以方便后续的分析查询活动。并对已获电子证据以分析模块进行分析并生成报告备用。通过管理控制模块完成对整个系统的统一管理,来确保系统可稳定持久的运行。

2.3 网络动态状况下的计算机入侵取证系统实现

基于网络动态计算机的入侵取证系统,主要是通过网络取证机、取证、管理控制台、安全服务器、取证分析机等部分组成。整个系统的结构取证,是以被取证机器上运行的一个长期服务的守护程序的方式来实现的。该程序将对被监测取证的机器的系统日志文件长期进行不间断采集,并配套相应得键盘操作和他类现场的证据采集。最终通过安全传输的方式将已获电子数据证据传输至远程的安全服务器,管理控制台会即刻发送指令知道操作。

网络取证机使用混杂模式的网络接口,监听所有通过的网络数据报。经协议分析,可捕获、汇总并存储潜在证据的数据报。并同时添加“蜜罐”系统,发现攻击行为便即可转移进行持续的证据获取。安全服务器是构建了一个开放必要服务器的系统进行取证并以网络取证机将获取的电子证据进行统一保存。并通过加密及数字签名等技术保证已获证据的安全性、一致性和有效性。而取证分析机是使用数据挖掘的技术深入分析安全服务器所保存的各关键类别的电子证据,以此获取犯罪活动的相关信息及直接证据,并同时生成报告提交法庭。管理控制台为安全服务器及取证提供认证,以此来管理系统各个部分的运行。

基于网络动态的计算机入侵取证系统,不仅涉及本网络所涵盖的计算机的目前犯罪行为及传统计算机的外部网络的犯罪行为,同时也获取网络内部的、将计算机系统作为犯罪工具或越权滥用等犯罪行为的证据。即取证入侵系统从功能上开始可以兼顾内外部两方面。基于网络动态的计算机入侵取证系统,分为证据获取、传输、存储、分析、管理等五大模块。通过各个模块间相互紧密协作,真正良好实现网络动态的计算机入侵取证系统。

3 结束语

随着信息科学技术的迅猛发展,给人们的生活和工作方式都带来了巨大的变化,也给犯罪活动提供了更广阔的空间和各种新手段。而基于网络动态的计算机入侵取证系统,则通过解决传统计算机的入侵取证系统瓶颈技术的完善,在犯罪活动发生前或进行中便展开电子取证工作,有效弥补了计算机网络犯罪案件中存在的因事后取证导致的证据链不足或缺失。全面捕获证据,安全传输至远程安全服务器并统一妥善保存,且最终分析获得结论以报告的形式用于法律诉讼中。但是作为一门新兴的学科,关于计算机取证的具体标准及相关流程尚未完善,取证工作因涉及学科多且涵盖技术项目广,仍需不断的深入研究。

参考文献:

[1] 魏士靖.计算机网络取证分析系统[D].无锡:江南大学,2006.

[2] 李晓秋.基于特征的高性能网络入侵检测系统[D].郑州:中国信息工程大学,2003.

[3] 史光坤.基于网络的动态计算机取证系统设计与实现[D].长春:吉林大学,2007.

入侵检测论文范文6

关键词:网络安全;入侵检测;数据挖掘;Apriori算法

网络安全从其本质上讲就是网络上的信息安全,指网络系统的硬件、软件及数据受到保护,不遭受偶然的或者恶意的破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。《中国互联网网络安全报告(2008年上半年)》指出“2008年,网络攻击的频次、种类和复杂性均比往年大幅增加,遭入侵和受控计算机数量巨大,潜在威胁和攻击力继续增长,信息数据安全问题日益突出,网络安全形势依旧严峻。”可见,网络安全已经成为一个人们不得不采取有力措施来维护的一项重要任务,基于当前的网络安全现状,社会各界都对网络安全提出了更高的要求,采取有效措施,建设安全、可靠、便捷的网络应用环境,维护国家、企业和个人的信息安全,成为社会信息化进程中亟待解决的问题。

一、网络安全入侵检测技术

入侵检测是通过监视各种操作,分析、审计各种数据和现象来实时检测入侵行为的过程,它是一种积极的和动态的安全防御技术。入侵检测系统指的是一种硬件或者软件系统,该系统对系统资源的非授权使用能够做出及时的判断、记录和报警。它能检测系统中的非正常行为,并且对这些行为进行识别以判断是否是入侵行为。目前,入侵检测方法主要分为两类:误用检测、异常检测。传统信息安全机制的重要防护手段是防火墙。防火墙是一种静态安全手段,需要人工来实施和维护,它不能主动跟踪入侵者。而入侵检测能在不影响系统性能的情况下对系统进行监测,为系统提供对内部攻击、外部攻击和误操作的有效保护,能弥补防火墙的不足起着主动防御的作用,是信息安全中的极其重要的部分。

二、数据挖掘技术

数据挖掘是指从海量的数据中,抽取潜在的、有价值的知识的过程。也就是对海量数据进行分析和探索,揭示其中隐含的规律,并进一步将其模式化的技术过程。数据挖掘是知识发现(KDD)过程中的一个重要步骤,是数据库知识发现的核心部分。

三、基于数据挖掘的入侵检测系统

(一)入侵检测系统的功能

一个入侵检测系统至少应该能够完成以下五个功能:(1)监测、分析用户和系统的活动;(2)检查系统漏洞;(3)评估系统关键资源和数据文件的完整性;(4)发现入侵企图或异常现象;(5)记录、报警和主动响应。

(二)数据挖掘在入侵检测系统中的作用

数据挖掘在入侵检测系统中的作用有如下几点:(1)分析网络审计数据;(2)从网络数据和审计数据中提取可以区分正常活动和入侵活动的特征;(3)识别出长时间的、正在进行的攻击活动;(4)从已知攻击和正常活动中归纳检测模型;(5)减少误报率,提高检测入侵行为的准确性。

(三)基于数据挖掘的入侵检测系统的基本框架

基于数据挖掘的入侵检测系统主要由传感器、数据收集器、数据库、数据挖掘、规则库、检测器和特征提取器七个部分组成。上述系统的各模块功能如下:(1)传感器接收网络审计数据,将数据传送到数据接收器。(2)数据接收器收集来自传感器的数据,并对数据进行分析过滤等预处理,将处理后的数据存入数据库。(3)数据库存储经过数据接收器预处理的数据。(4)数据挖掘器利用数据挖掘技术对数据库中的数据进行分析学习,从中提取数据“特征”,建立检测模型,存入规则库中。(5)特征提取器采用数据挖掘技术对当前用户行为进行分析,提取当前用户特征。(6)检测分析器分析特征数据响应入侵。

(四)算法实现

(1)经典的Apriori算法。Apriori算法由Rakesh Agrawal和Rnamakrishnan Srikant在1994年提出,它是目前频繁集发现算法的核心。Rakesh Agrawal等人设计了一个基本算法,算法如下:先求出D中满足最小支持度minsup的所有频繁集。再利用频繁集生成满足最小可信度minconf的所有关联规则。Apriori算法使用一种称为逐层迭代的方法,频繁k――项集用于搜索频繁(k+1)――项集。首先,找出频繁1-项集的集合,该集合记作L1。L1用于找出频繁2-项集的集合L2,而L2用于找出L3,如此下去,直到找不到频繁k-项集。找每一个Lk需要扫描一遍数据库。

(2)改进的Apriori算法。经典的Apriori算法的缺点是:1)由频繁k-1项集进行自连接生成的候选频繁k项集数量巨大。2)找每一个Lk需要扫描一遍数据库。根据第二个缺点,对经典Apriori算法改进如下:在每次计算Ck支持度计数对数据库进行扫描时,对将来生成频繁项集不需要的事务,将其加上删除标记。

结束语:将数据挖掘技术应用到入侵检测系统中,可以增强入侵检测的健壮性和自适应性。本文在前人研究的基础上,对数据挖掘技术在网络入侵检测中的应用进行了相关的研究。结合入侵检测及数据挖掘的实际,对Apriori算法进行了改进,减少了扫描数据库的次数,提高了算法的效率。

作者单位:中国海洋大学

参考文献: