网络入侵检测系统研究与实现

网络入侵检测系统研究与实现

王斐[1]2008年在《具有蜜罐诱捕功能的联动入侵检测系统的研究与实现》文中研究指明随着网络技术的快速发展,各种网络应用日益普及,已成为现代社会不可缺少的一部分。然而网络安全问题也日趋显着,网络的安全性和可靠性受到高度重视,已成为当前网络研究和开发的热点。目前网络安全系统所采用的技术基本上是建立在传统防火墙、入侵检测和漏洞扫描等被动防御措施上,已不能满足网络的安全要求。安全产品的融合、协同是网络安全重要的发展方向。本文在对目前入侵检测系统、防火墙、蜜罐等技术深入研究的基础上,设计和实现了一种带有蜜罐诱捕功能的、能够实时检测网络数据流并可与Netfilter/iptables防火墙联动响应控制网络数据的网络入侵检测系统,以提供一种综合的网络安全解决方案。从而弥补传统网络安全防御措施的不足,在一定程度上增强了网络的安全。本文的主要研究内容和所做的工作如下:分析了主流的网络安全模型、入侵检测和事件响应技术,并从动态防御的角度,指出了入侵检测急需解决的问题。研究和分析了蜜罐诱捕的主动防御技术,并在此基础上结合入侵检测技术设计实现了系统的蜜罐诱捕模块。研究和分析了入侵检测技术,并对AC多模式匹配算法加以改进,实现了一种基于NFA的AC多模式匹配算法,并设计实现了入侵检测模块。详细研究了入侵检测与防火墙的联动技术,并利用Libipq技术设计实现了入侵检测模块的联动组件,实现了与防火墙的联动响应功能,加强了对网络数据包的控制。对系统的功能进行测试,并给出相关数据、分析和结论。测试结果表明,该系统能够正确解析网络数据包、有效检测网络中发生的入侵,能够对入侵者进行主动诱捕,并可与防火墙联动响应,从而加强对网络的控制,有效地保护了网络资源。

张宇[2]2018年在《企业信息网网络入侵检测系统设计与实现》文中进行了进一步梳理随着互联网的不断普及以及计算机技术的发展,信息技术已经成为了事关国家,企业稳定运行的重要支柱,但由于目前的信息系统以及网络协议中存在着诸多的漏洞和隐患,同时计算机世界与现实世界的紧密结合,也使许多人基于各种不同的目的对网络世界中的计算机系统发起攻击,获取利益。国内外的安全事件层出不穷,不断有各类网站和企事业单位的信息系统受到攻击,造成的损失也是巨大的,而我们也相信随着互联网的飞速发展,这种安全事件不仅不会减少,相反会同步的增加。因此,信息安全问题越来越受到国家和企业的重视,在这种情况下,如何保障我们的企业信息网络安全,保护我们的数据和设备不会受到恶意破坏,这就成为了当前的一个重要研究课题,而防火墙作为一种只能先挨打才能做出反应的防御机制已经不能应对现在多变的网络问题,网络日趋复杂化,传统防火墙是不足以满足如今复杂多变的网络安全问题,因此需要更有效的方法来保护网络安全,入侵检测系统正好满足了要求,入侵检测系统不但能够为网络提供及时的入侵检测并且采取相对应的防护手段,它还能识别针对计算机的恶意企图和行为,并对这些情况进行处理。本文主要开展了如下的工作:1、理论学习、文献阅读:在研究本课题时,对大量相关文献进行阅读,了解目前国内外入侵检测技术研究的现状和发展。2、技术基础:描述当前入侵检测技术的技术基础,同时指出目前入侵检测系统存在的不足。3、系统需求分析和总体设计:首先对企业信息网的安全性进行分析,指出企业信息网面临的安全威胁,然后提出对企业信息网网络入侵检测系统的功能需求和性能需求。并针对系统进行建模。接下来描述系统设计的原则,提出系统架构设计,设计系统功能设计,描述系统工作流程。4、系统的实现:详细描述系统各功能模块的实现。并且在实现系统过程中,对系统的可扩展性、兼容性于以充分考虑,预留外部接口。5、系统的测试和部署:按照软件测试的要求,对系统进行测试,编写测试用例、执行测试用例。当测试通过后,进行系统部署工作。6、本文的最后,总结了全文工作,并对以后将开展的工作系统予以总结。

王新留[3]2008年在《构建基于Snort的网络入侵防御系统》文中指出本文构建了一个基于开源IDS-Snort的网络入侵防御系统(NIPS)。在对入侵检测和入侵防御技术做了大量的研究后,作者提出了在入侵检测系统中融入漏洞扫描技术,并实现入侵检测系统和防火墙的智能联动,设计出了一种能动态适应所部署网络环境的、具有实时防御功能的网络入侵防御系统(NIPS)。系统运行在Linux操作系统下,使用着名的开源IDS-Snort作为系统的入侵检测模块,实时检测进出受保护子网的网络流量,使用告警融合、过滤模块对Snort输出的告警进行融合和过滤,提取出针对子网主机系统或服务漏洞的攻击入侵,并由实时防御模块生成防火墙阻塞规则,实时阻断当前的攻击入侵。系统被部署为透明网桥模式的防火墙,以串联的方式连接到网络的关键路径中。由于系统以透明网桥方式工作,在实施时既不需改动原有的网络拓扑结构,也能保证自身的安全。系统的实时防御功能,通过配置系统内核自带的Netfilter防火墙来实现,系统的实时防御模块使用Iptables动态调整系统防火墙阻塞规则来实现受保护子网的安全通信。系统采用模块化设计,有很强的网络环境适应能力,伸缩性也很强。既可以作为网络入侵防御系统(NIPS),也可以简单地作为网络入侵检测系统(NIDS),还可以简化为透明网桥模式的防火墙。

张国富[4]2008年在《基于免疫机制的网络入侵检测系统研究》文中指出基于免疫机制的网络入侵检测是目前网络入侵检测的热点研究问题,其特有的特征是利用自然免疫系统的原理、机制与规则来实现入侵的检测与响应。自然免疫系统具有多样性、自适应性、耐受性和鲁棒性等特点,能够很好地满足网络入侵检测技术的实际需要,入侵检测系统的运行机制与生物免疫系统有着天然的相似之处,生物免疫系统成功保护肌体免受各种侵害的机理为研究入侵检测提供了重要的借鉴方法,特别是疫苗注射技术的应用更增强了生物的免疫力。从现有的产品来看,多数商业化的网络入侵检测产品采用简单模式匹配技术,一般适用于比较简单的攻击方式,并且误报率高,只能检测出已知的攻击模式,无法适应目前多变的网络环境。基于免疫机制的网络入侵检测系统模型可以极大地提高网络的安全性,检测出未知的攻击模式,这是原有系统达不到的。CPK认证技术是通过基于组合公钥(CPK)算法实现的标识认证体系。该体系建立在CPK可信逻辑基础上,是一种可信认证技术,以主动防御为主要目标,并通过CPK密钥算法实现;疫苗注射和CPK可信认证的主要目的都是增强系统的免疫力,从这个共同的目标出发,本文在区分自我(self)与非我(nonself)和如何增强免疫力两个方面对CPK可信认证和疫苗注射做了比较;提出了基于免疫机制的网络入侵检测系统模型,将CPK可信认证技术应用到该模型中,提出了特征提取分析方法;设计了基于免疫机制的网络入侵检测系统,利用模拟Nmap和smurf攻击的环境进行了模拟实验,实验结果表明CPK可信认证技术的有效性。论文的创新在于:1、将CPK可信认证技术应用到基于免疫机制的网络入侵检测系统中,增加了系统的免疫力。2、建立了基于免疫机制的网络入侵检测系统模型;设计了以特征元素链为基础的特征提取分析方法。全文共分五章:第一章主要介绍了论文选题的研究背景、国内外研究现状以及主要研究内容;第二章介绍了入侵检测的相关概念、入侵检测系统的分类、网络攻击性质以及网络入侵检测系统的技术介绍等;深入剖析网络攻击的攻击特征,讨论了入侵检测系统的未来的技术发展趋势;第叁章介绍了生物免疫系统以及生物免疫系统的相关理论。包括生物免疫的相关概念、免疫原理、生物免疫机制;生物免疫系统的性质以及生物免疫系统的应用等;讨论了生物免疫系统的组成与功能、生物免疫机制的自我与非我的识别、抗原抗体的多样性、克隆选择与阴性选择、免疫记忆机制、生物免疫的性质,并比照了入侵检测和生物免疫的相似性;第四章建立了基于免疫机制的网络入侵检测系统的层次防护模型,该模型包括数据收集模块、包头分析与特征提取模块、疫苗注射与抗体生成模块、检测报告模块、规则更新模块。重点讨论了如何将CPK认证算法引入到免疫机制网络入侵检测系统中,使得网络入侵检测系统的免疫力增强;第五章分析了模型实现的关键技术问题,采用CPK可信认证算法做了模拟实验,并对实验结果进行了比较分析。

崔文科[5]2015年在《基于聚类算法的入侵检测系统的设计与实现》文中研究指明随着互联网技术的发展和普及,互联网的用途越来越广泛,使用人数越来越多,目前互联网技术已经深深地融入到了人们的工作、生活、娱乐等各个方面。入侵检测系统在保障网络正常运行过程中发挥着重要的作用。入侵检测系统的实质是对网络中的大量数据、行为等进行分析和检测,从而发现异常网络行为的过程。数据挖掘技术作为一种大量数据的处理和分析技术,已经非常成熟,因此数据挖掘技术能够为入侵检测提供可靠的技术支持。论文探讨了一种在高速发展互联网背景下的基于聚类算法的入侵检测系统,系统在一定程度上降低了入侵检测的误报率、提高了入侵检测的效率、提升了对未知网络入侵威胁的检测程度。论文首先介绍了互联网高速发展背景下的网路安全现状,认为当前背景下互联网的安全威胁不容忽视,亟需网络安全相关产品,特别是基于主动防御的入侵检测类安全产品。然后论文研究和分析了入侵检测技术的相关理论,对入侵检测的常用模型、算法等进行了详细的分析,奠定了本文的理论基础。之后探讨了网络入侵检测系统的需求分析,探讨了网络入侵检测系统的总体目标、功能需求、非功能需求等。在需求分析的基础上,论文对基于聚类算法的入侵检测算法进行了详细的分析和设计,对聚类算法中的划分方法、层次方法、密度方法、网格方法、模型方法等进行了详细的分析,最后探讨了本文所使用的聚类算法。之后论文描述了入侵检测系统的设计和实现,对入侵检测系统的总体构架设计、功能设计、数据库设计等进行了详细的描述,之后在前文的基础上对入侵检测系统的关键技术、功能、界面等实现进行了介绍。论文最后是总结和展望。论文通过数据挖掘技术中的聚类分析技术,对网络系统的内部用户行为、外部用户行为进行分析,探讨了相应的聚类分析算法,通过聚类分析算法进一步提高入侵检测系统的检测效率,并进一步降低入侵检测系统的误报率。基于聚类算法的网络入侵检测系统使用数据挖掘方法实现了网络入侵检测,系统在一定程度上降低了入侵检测的误报率,并提高了入侵检测的效率,提升了对网络未知威胁的检测程度,具有重要的实践意义和应用价值。

韩景灵[6]2007年在《基于协议的隐马尔可夫网络入侵检测系统研究》文中进行了进一步梳理在计算机网络迅猛发展的今天,随着黑客入侵事件的日益猖獗,网络安全越来越成为人们关注的焦点。当前的静态防御技术,如防火墙,访问控制和数据加密等,已不能完全确保网络的安全和抵御黑客的攻击。入侵检测技术是继传统安全保护措施后新一代的安全保障技术,它对计算机和网络资源上的恶意使用行为进行识别和响应,它不仅检测来自外部的入侵行为,同时也监督内部用户的未授权活动。同时,这一领域也面临着诸多挑战:如何提高入侵检测系统的检测速度,以适应网络通信的要求;如何减少入侵检测系统的漏报和误报,提高其安全性和准确度;以及如何提高入侵检测系统之间的交互能力,从而提高整个系统的安全性能。本文首先从网络安全的现状出发,讨论了网络安全的关键技术,从而引出了入侵检测系统。接着,介绍了入侵检测系统的发展历史、定义、系统结构以及常用的检测系统类型,并在此基础之上,提出了一种基于协议的隐马尔可夫网络入侵检测系统模型。隐马尔可夫模型(HMM)具有模型研究透彻、算法成熟、效率高、效果好、易于训练等优点,在多个领域有着广泛的应用,如语音识别。目前,基于隐马尔可夫模型的异常入侵检测技术的数据主要来源于主机(如系统调用),并取得了不错的实验结果。但应用在网络入侵检测方面,由于网络数据量的过于庞大与瞬息万变、HMM参数的难以确定,这方面的研究较少。本文基于这样的考虑,把隐马尔可夫模型应用在网络入侵检测方面,可以减小误报率、提高检测率。此外,隐马尔可大学习模块对于正常网络数据流量,能够调整参数,具有自主学习的能力,更具有灵活性。本文通过实验反复比较,在合理确定隐马尔可夫模型观察值之后,设计并实现了一个基于协议的隐马尔可夫模型的网络入侵检测系统。该系统除了具有入侵检测系统中通用的数据收集模块、检测引擎模块和入侵响应模块外,还加入了预处理模块、协议分析模块。通过协议分析模块,可以直接与相应的协议进行模式匹配,或者与建立相应协议的HMM模型进行异常检测,针对性较强,大大减少了匹配的次数。在检测引擎中,采用了模式匹配和异常检测相结合的方式,进行二次检测,有效减小了目标的匹配范围,提高了检测速度,使得系统在整体性能上有了较大的提高。最后的实验结果表明该系统具有较高的检测率、较小的误报率,并且可以检测到未知的攻击。

欧阳广[7]2006年在《基于神经网络BP算法的网络入侵检测系统研究与实现》文中进行了进一步梳理网络与计算机越来越广泛地应用在现今社会,企业、政府和其他组织的工作也越来越依赖于计算机网络系统,因此安全问题也更加突出。入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。然而随着入侵技术的多样化,传统的入侵检测系统(IDS)已不能满足当前网络安全的要求,因此,对于入侵检测的实现手段也要多样化,将智能化技术融入入侵检测系统已是大势所趋。本文从介绍入侵检测的基本概念入手,分析现有IDS模型与IDS产品中的常用入侵检测方法,发现这些方法存在的不足,发现现有的IDS产品难以满足IDS所需要的实时性、适应性和准确性等方面的需求。通过对神经网络的研究表明,神经网络在概念和处理方法上都很适合入侵检测系统的要求,研究与设计基于神经网络的入侵检测系统,将具有重要的理论与实用意义。并对神经网络理论中的BP算法及其改进算法的推演和相关知识进行了描述。在此基础上,本论文提出在IDS模型设计中引入神经网络技术,研究如何将神经网络成功应用于入侵检测,并给出了一个基于神经网络的网络入侵检测系统的模型,阐述了该模型的设计思想、模型原理图,并就系统模型中各模块的原理和实现给予详细的介绍。最后通过训练过程和检测过程对实验的结果进行了比较客观的分析,实验的结果也比较令人满意,说明神经网络在基于网络的入侵检测方面具有很大的优势。

刘棣华[8]2009年在《网络入侵检测系统及其自适应性的研究与实现》文中研究指明随着计算机网络的迅速发展,网络入侵事件频繁发生,人们逐渐认识到只从防御的角度构造安全系统是不够的,仅仅使用防火墙、数据加密等传统安全防护措施已经不能满足对网络安全的需求。入侵检测是新一代安全保障技术,是对传统安全防护措施的必要、有效的补充。入侵检测作为一种积极主动的安全防护技术,它不仅能检测未经授权的对象入侵系统,而且也能监视授权对象对系统资源的非法使用。在收集、分析、整理和总结现有入侵检测技术资料的基础上,论文设计实现了包含控制台级、管理器级和检测代理级的叁级层次结构的分布式网络入侵检测系统。叁级分布式结构使得网络入侵检测系统能够很好地适应大型网络的需要。论文提出了一种新的检测规则表达方法,该方法与现有的检测规则表达方法相比,能更精确地描述检测特征。在网络入侵检测系统内部,检测规则以符号表的形式存储,检测规则的匹配通过符号表的搜索来完成,提高了检测速度。针对在实际网络中不宜进行有干扰性和破坏性的网络攻击实验的情况,论文提出了一种新的离线状态下测试评估网络入侵检测系统的方法,开发了模拟实际网络背景流量的仿真软件,进而对所设计实现的网络入侵检测系统从检测能力、易用性、检测性能和安全性多方面进行了全面测试,测试结果得到了中国国家信息安全评测认证中心东北测试中心的肯定。将理论方法的研究与探讨结果和应用系统的开发与实现紧密相结合是本论文的重要特点。已实现的网络入侵检测系统已在吉林省某部队应用,效果良好。在此基础上,论文进一步将关联规则挖掘、基于决策树的分类以及序列模式挖掘等数据挖掘技术综合应用于入侵检测,提出了一种新的综合应用数据挖掘技术的入侵检测的自适应方法。实验证明,所采用的综合数据挖掘方法能够及时生成新规则,使网络入侵检测系统具有应对不断变化的网络攻击的自适应能力。

刘文涛[9]2003年在《基于TCP/IP协议分析的网络入侵检测系统研究与设计》文中研究说明入侵事件的日益猖獗,人们发现只从防御的角度构造安全系统是不够的。入侵检测系统IDS是继防火墙、数据加密等传统安全保护措施后新一代的安全保障技术。它对计算机和网络资源上的恶意使用行为进行识别和响应,它不仅检测来自外部的入侵行为,同时也监督内部用户的未授权活动,入侵检测技术是一种主动的网络安全防护技术。 本文首先讨论了网络安全问题及其对策,包括网络安全目的、网络现存的威胁、传统的网络安全技术和网络安全模型PPDR。接着对入侵检测系统进行了详细地论述,包括其产生的原因、作用、标准化等各个方面的内容。入侵检测系统根据检测的数据源可以分为基于主机的入侵检测系统和基于网络的入侵检测系统,本文主要探讨了基于网络的入侵检测系统。对入侵检测模型和检测技术,及其发展方向进行了探讨。入侵检测技术主要有异常入侵检测和误用入侵检测两种。接下来分析了基于网络的入侵检测系统的设计原理和体系结构。对入侵检测系统的位置,特别是网络检测器的位置进行了论述。对入侵检测系统中的数据源和响应技术进行了分析。数据源是系统分析的对象,是整个系统能够运转的基础,而响应技术是系统检测到入侵行为后所要采取的措施。 最后在Linux平台下分析研究了基于网络的入侵检测技术及其系统设计,着重对TCP/IP协议分析技术在IDS中的应用进行了深入探讨。作者建立了系统的整体框架,主要包括7个模块:网络数据包捕获模块、网络协议解析模块、规则解析模块、入侵事件检测模块、响应模块、存储模块和界面管理模块。对各个模块进行了设计和实现。在整个设计中作者分析和实现了网络数据包捕获技术、协议分析技术和入侵事件描述语言。在数据包捕获部分设计中主要讨论了Linux下的BPF机制和Libpcap函数库,利用它们实现了Linux下网络数据包的捕获技术,它们使得系统设计具有跨平台性。在协议分析中详细讨论了IP、TCP、UDP、ICMP等协议的解析过程,协议分析得出的结果是入侵检测部分的基础。在入侵事件检测模块设计中对入侵检测方法进行了深入分析,比较了模式匹配技术和协议分析技术。把协议分析技术应用到入侵检测系统中可以提高其检测的准确率和系统效率。存储部分武汉理工大学硕士学位论文利用MySQL数据库来存储网络数据,主要供事后分析所用。在协议分析的基础上建立了入侵事件描述语言,主要对特征选择,规则格式,规则选项,规则的匹配流程进行了分析。入侵事件描述语言的提出可以使入侵事件的定义更加方便,使系统的扩展性更强。

刘静[10]2008年在《基于聚类的网络入侵检测的研究》文中研究表明随着计算机和通信技术的发展,网络已经成为全球信息基础设施的主要组成部分,但是网络安全问题也日益突出。入侵检测技术是继防火墙、数据加密等传统安全保护措施后的一种新的安全保障技术。它是对网络数据或者主机数据的数据分析过程,从中实时检测出基于网络或主机的入侵行为。相对于传统的安全保护措施,入侵检测不是处于被动激发,而是主动的检测,在网络系统受到危害之前拦截和响应入侵,有效的弥补了传统网络安全防护技术的缺陷,已经成为网络信息安全的一个重要研究领域。但是,计算机系统的复杂和网络数据的海量化,为入侵检测带来了极大的困难。数据挖掘技术的出现提供了解决这一问题的有效手段,利用数据挖掘方法作为入侵检测的数据分析技术,可从海量的安全事件中提取尽可能多的隐藏安全信息,从而发现入侵行为。将数据挖掘技术与入侵检测技术相结合,增加了入侵检测系统对海量数据的处理能力,可见,数据挖掘技术在入侵检测中的应用研究具有重大的理论意义和实用价值。数据挖掘中的聚类分析方法是一种典型的无监督学习技术,可以在未标记数据集上直接建立入侵检测模型或者发现异常数据,对于提高入侵检测系统的效率有着重大的研究价值。本文以基于聚类的入侵检测技术研究为核心,首先对入侵检测技术和数据挖掘中的聚类分析方法进行了研究和分析,探讨了聚类算法在入侵检测中的应用,在传统k-means算法的基础上,引入遗传算法对聚类进行优化,提出了一种应用于入侵检测的改进的k-means算法,该方法克服了传统k-means算法需要人为确定k值的问题,得到了更好的聚类结果,并采用KDDCUP 1999数据集中的数据对改进后的算法的聚类效果进行了检测,根据改进后的算法,设计了一个基于该算法的入侵检测模型。算法分析与实验结果表明所改进后的算法具有较好的检测性能,可以获得较高的检测率和较低的误报率。

参考文献:

[1]. 具有蜜罐诱捕功能的联动入侵检测系统的研究与实现[D]. 王斐. 苏州大学. 2008

[2]. 企业信息网网络入侵检测系统设计与实现[D]. 张宇. 电子科技大学. 2018

[3]. 构建基于Snort的网络入侵防御系统[D]. 王新留. 北京邮电大学. 2008

[4]. 基于免疫机制的网络入侵检测系统研究[D]. 张国富. 广东工业大学. 2008

[5]. 基于聚类算法的入侵检测系统的设计与实现[D]. 崔文科. 电子科技大学. 2015

[6]. 基于协议的隐马尔可夫网络入侵检测系统研究[D]. 韩景灵. 山西大学. 2007

[7]. 基于神经网络BP算法的网络入侵检测系统研究与实现[D]. 欧阳广. 东南大学. 2006

[8]. 网络入侵检测系统及其自适应性的研究与实现[D]. 刘棣华. 东华大学. 2009

[9]. 基于TCP/IP协议分析的网络入侵检测系统研究与设计[D]. 刘文涛. 武汉理工大学. 2003

[10]. 基于聚类的网络入侵检测的研究[D]. 刘静. 太原理工大学. 2008

标签:;  ;  ;  ;  ;  ;  ;  ;  ;  ;  

网络入侵检测系统研究与实现
下载Doc文档

猜你喜欢