谭强[1]2004年在《基于分层结构体的分布式入侵检测系统的研究与实现》文中指出随着计算机网络的发展和普及,人们在享受了网络带来的便利的同时也对网络本身的安全呈现出越来越多的关注。入侵检测(Intrusion Detection)虽然被称为网络安全的第二道防线,但由于其能够主动识别入侵行为并能够按照既定的策略进行响应,可以有效地弥补传统安全防护技术的缺陷,已经成为了网络安全系统的必不可少的部分。 本文的研究目的是结合本课题的应用背景,对入侵检测系统的现状和发展进行了研究,提出一种适合本课题应用背景的入侵检测系统体系结构——基于分层结构体的分布式入侵检测系统(Based Layered Structures Distributed Intrusion Detection System,BaLaSDIDS)的体系结构,并设计和实现系统原型。BaLaSDIDS由分层的结构体(Structures)组成,每一结构体都能够独立完成一定的检测和响应任务。此外,更高层次的结构体还可以综合分析其下属的结构体的报告信息,以发现和检测到更大范围和更为复杂的攻击行为。 文章还研究了系统设计和实现的几个关键问题:针对集中式和分散式这两种分布式系统的不足,提出了一种“兼收”的通信机制,即上级结构体可以同时兼收到其下属结构体的接收通信信息,较好解决了这一难点;针对常用的Boyer-Moore算法的不足,提出了一种高效的规则匹配检测算法,并将该算法扩展为多模式匹配检测,实现了算法的并行化,通过一次有回溯的搜索就可以同时完成对多个模式的匹配检测,大大提高了系统的检测速度和效率;实现了一种使用数据挖掘技术对网络数据流进行分类处理的入侵特征规则提取方法;最后,本文对BaLaSDIDS的实现技术进行了研究,并指出了下步的研究重点。 本文提出的基于分层结构体的分布式入侵检测系统体系结构结合了具体的应用环境,该系统的层次结构、通信和协作机制思路给分布式系统的设计提供了很好的参考。另外,高效的模式匹配算法和对网络数据流进行分类处理的方法也在解决各自的问题上具有较好的优越性。实验表明,基于分层结构体的分布式入侵检测系统能够实现对入侵的检测、处理和响应的分布化和智能化。
谭强, 沈雁[2]2003年在《基于分层结构体的分布式入侵检测系统》文中研究指明入侵检测系统已成为目前网络安全的必不可少的防护手段,本文在分析当前入侵检测系统的基础上,提出了结构体和通信兼收的概念,较好地解决了当前分布式入侵检测系统的一些不足,并给出了基于分层结构体的分布式入侵检测系统(BALASDIDS)的体系结构。
李宏伟[3]2008年在《基于分层的分布式入侵检测系统研究》文中研究说明入侵检测系统就是对网络或主机上可疑的访问行为做出识别和反应的网络安全保障系统,它是保证网络系统安全的重要手段。然而,由于入侵检测技术涉及到比较复杂的运算,加之它所监测的数据量庞大,如何提高入侵检测系统的检测效率成为亟待解决的问题。为此,论文以入侵检测系统体系结构为切入点,重点研究一种高效的、基于分层的分布式入侵检测系统。论文将分布式入侵检测系统从功能上分为叁个层次:数据采集层、数据分析层和决策控制层进行研究,目的在于探索一种能够提高入侵检测系统检测效率的方法。论文所做的主要工作如下:在数据采集层,论文分析了传感器的工作原理、安全性问题和报文捕获技术,对传感器分布式部署方案进行了设计。论文特别将基于数据包分析的入侵检测流量负载均衡技术应用到数据采集层,同时研究了它的算法和部署策略。在数据分析层,论文对数据分析模块的体系结构及分布式部署策略进行设计,分析了数据检测过程,并引入了一种字符串模式匹配算法:BM算法,提出了一种基于资源占用的动态入侵检测任务分配方法来解决数据分析层的任务分配问题。在决策控制层,论文主要研究了决策控制层的体系结构及各模块的功能。论文还对基于分层的分布式入侵检测系统的通信机制和协作机制进行了分析与设计,其中包括不同层次之间的通信机制和同一层次各个模块之间的通信机制、协作内容和协作的基本模型。论文使用基于Linux环境下的Snort软件搭建分布式入侵检测系统的测试平台,给出了IDS主机、服务器和分析员控制台的详细配制清单,并进行了模拟攻击与检测实验,最后通过ACID查看检测结果。通过对实验检测结果进行分析,说明该系统是可行的和有效的。
陈秀芳[4]2009年在《基于snort的分布式入侵检测系统的研究》文中研究说明入侵检测系统就是对网络或主机上可疑的访问行为做出识别和反应的网络安全保障系统,它是保证网络系统安全的重要手段。然而,由于入侵检测技术涉及到比较复杂的运算,加之它所监测的数据量庞大,如何提高入侵检测系统的检测效率成为亟待解决的问题。为此,论文以入侵检测系统体系结构为切入点,重点研究一种高效的、基于snort技术的分布式入侵检测系统。论文将分布式入侵检测系统从功能上分为叁个层次:数据采集层、数据分析层和决策控制层进行研究,目的在于探索一种能够提高入侵检测系统检测效率的方法。论文所做的主要工作如下:在数据采集层,论文分析了传感器的工作原理、安全性问题和报文捕获技术,对传感器分布式部署方案进行了设计。论文特别将基于数据包分析的入侵检测流量负载均衡技术应用到数据采集层,同时研究了它的算法和部署策略。在数据分析层,论文对数据分析模块的体系结构及分布式部署策略进行设计,分析了数据检测过程,并引入了一种字符串模式匹配算法:BM算法,提出了一种基于资源占用的动态入侵检测任务分配方法来解决数据分析层的任务分配问题。在决策控制层,论文主要研究了决策控制层的体系结构及各模块的功能。论文分析并设计了一个符合公共入侵检测框架(Common Intrusion DetectionFramework,CIDF)的,基于Snort的分布式网络入侵检测系统,并详细介绍了其中的关键技术的解决办法和实现方法。使用基于Linux环境下的Snort软件搭建分布式入侵检测系统的测试平台,给出了IDS主机、服务器和分析员控制台的详细配制清单,并进行了模拟攻击与检测实验,最后通过ACID查看检测结果。通过对实验检测结果进行分析,说明该系统是可行的和有效的。
李芳[5]2006年在《基于多智能体的分布式入侵防御系统的设计》文中认为关于多智能体的分布式入侵防御系统是目前信息安全领域研究的一个热门话题。智能体所具有的自治性、连续执行性、个性化、语言语义表达丰富、学习和适应性等特点使其特别适用于具有多信息和多处理特征的实际应用。关于智能体的分布式入侵防御系统是多智能体系统MAS的重要应用之一。本文完成了“基于多智能体的分布式入侵防御系统”的设计,并以本系统为背景,对系统中所涉及的关键技术进行了研究。主要研究内容包括以下内容:1.一种基于XML语言的智能体语义通信研究智能体之间良好的通讯机制是基于多主体技术的分布式入侵防御系统IPS正常运行的前提保证。目前智能体之间的通信主要是基于KQML规范。KQML的内容语言可以有许多种,目前比较流行的是KIF。但是KIF表达语义能力不强。如果将其应用于基于智能体Agent的分布式入侵防御系统中智能体之间的通信,会导致智能体之间由于语义通信能力差而难以沟通和协作等问题。为了解决这一问题,本文设计并实现了一种基于XML语言的入侵防御Agent通信机制。通过将XML语言作为智能体KQML通信语言的内容语言来提高入侵防御系统中智能体Agent之间语义通信的能力。2.一种基于多智能体技术的分布式入侵防御系统自动协商是基于智能体的入侵防御系统研究的热点之一。当前绝大多数基于智能体的入侵防御系统仅支持静态运行,很少有系统实现自动协商部分。为了提高基于智能体入侵防御系统的效率,这里本文提出以基于XML通信机制、自动协商智能体Agent模型,基于主机的入侵防御系统和基于网络的入侵防御系统为基础,设计并实现了一种基于多智能体技术的分布式入侵防御系统。
车明明[6]2013年在《入侵防御系统关键技术的研究》文中指出与传统的由入侵检测系统和防火墙所构建的安全防护方案相比,入侵防御系统能够提供主动实时的防护功能。随着网络流量的增加,提高入侵防御系统的实时在线吞吐量、提高入侵防御系统的结构灵活性和可扩展性具有深远意义。网络攻击手段越来越多,攻击行为也越来越隐蔽,提高入侵检测算法的检测率同时降低误报率始终是网络安全研究的热点。本文以提高入侵防御系统结构的灵活性、可扩展性、系统性能、算法检测效率为目的,设计并实现了一个入侵防御系统,主要内容包括以下几个方面:1.研究了目前网络安全的现状、防火墙和入侵检测系统,对入侵防御系统进行了概述,分析目前入侵防御系统的发展趋势与面临的问题。2.研究分析了拒绝服务攻击检测技术,根据网络自适应性原理,结合概率统计算法和自适应阀值算法,提出了一种综合多级评估的基于概率统计的自适应阀值算法,能够有效降低检测的耗时,提高了检测准确度。3.研究分析了异常攻击检测技术,研究了目前主要的异常检测算法,对比分析了各种算法,总结了各种异常检测算法的优缺点,使用了一种基于精简特征的异常检测算法,完成了入侵防御系统中异常检测的功能。4.研究了Octeon CN3860网络处理器的特性、工作原理;研究了软件体系结构中的插件结构,在硬件平台上完成了系统整体结构的设计,并把插件结构引入到系统之中,设计了入侵响应缓存机制,使用并发和缓存原理来提高系统的处理性能。本文通过使用多种网络安全测试设备,在四川省信息安全重点实验室里搭建了测试环境,完成了对系统及算法的验证,经测试分析表明:系统设计的缓存机制可以有效提高系统的处理性能,论文利用网络自相似性原理设计的基于概率统计的自适应阀值算法可以提高检测的准确度,而使用的异常检测算法相对于其它算法拥有不错的检测效果。
吴昊[7]2008年在《基于数据挖掘的入侵检测系统研究》文中提出随着网络的普及和网络技术的飞速发展,网络安全问题日益严峻,时常爆发的网络安全事件已经造成了巨大的损失。现有的以防火墙和杀毒软件为主的安全防范体系已经不能适应当前网络的发展状况,入侵检测作为一个新兴的技术,成为原有的计算机安全体系很好的补充,正吸引越来越多的人参与到其研究中来。本文将数据挖掘技术引入到入侵检测系统。首先介绍入侵检测技术的概念、主流技术、研究现状和入侵检测系统的分类,然后对数据挖掘技术做了详细的阐述,讨论了多种相关算法。在此基础上,提出一种基于Agent的分布式入侵检测系统框架。本系统利用代理之间相对独立、有独自检测能力的特点,将其分布在网络的各个节点上,执行不同的检测任务。各代理之间相互协作,反馈信息到中央控制台,汇总后交由数据处理中心再处理,形成新的策略补充到各个代理上去。利用数据挖掘方法构建策略库,减少了对专家知识的依赖,同时增加自动建模的能力。采用混合检测的方式,对未知类型数据的检测能力有一定的提高。本文重点对应用于入侵检测的数据挖掘模型进行探讨。对审计数据的处理包括数据预处理、规则挖掘、模式比较和分类挖掘等。从海量的网络数据中提取多种类型数据的行为模式,形成规则,存储到策略库中,实验证明取得了相对较好的检测效果。
刘涛庆[8]2007年在《基于Linux的网络入侵检测系统的研究与设计》文中研究表明入侵检测作为一种积极主动的安全防护技术,它不仅能检测未经授权的对象对系统的入侵,而且也能监视授权对象对系统资源的非法使用。随着因特网应用的日益普及,基于网络的入侵检测也越来越受到重视。但是基于网络的入侵检测系统也面临着诸多挑战,例如:如何提高入侵检测系统的检测速度,以适应网络通信的要求;如何减少入侵检测系统的漏报和误报来提高其安全性和准确度等。本文首先讨论了网络安全问题及其对策,包括网络安全目的、网络现存的威胁、传统的网络安全技术和网络安全模型PPDR。接着对入侵检测系统进行了详细地论述,包括其产生的原因、作用、标准化等各个方面的内容。入侵检测系统根据检测的数据源可以分为基于主机的入侵检测系统和基于网络的入侵检测系统,本文主要探讨了基于网络的入侵检测系统。对入侵检测模型和检测技术,及其发展方向进行了探讨。入侵检测技术主要有异常入侵检测和误用入侵检测两种。接下来分析了基于网络的入侵检测系统的设计原理和体系结构。然后,建立了系统的整体框架,主要包括7个模块:网络数据包捕获模块、网络协议解析模块、规则解析模块、入侵事件检测模块、响应模块、存储模块和界面管理模块。设计了系统的顶层数据流图、功能流图以及体系结构,并且对各个模块进行设计,分析和实现了网络数据包捕获技术、协议分析技术、规则解析技术以及入侵检测技术,对传统的入侵检测系统作如下改进:首先,针对传统模式匹配检测技术存在的计算量大、误报警率高等问题,提出了一种基于协议分析的检测技术。该检测技术充分利用了TCP/IP协议技术的高度规则性来探测攻击的存在,从而大大地缩减了检测的计算量。在协议分析中,完成了对IP, ARP, TCP, UDP, ICMP协议的解析工作。其次,针对入侵规则库难以更新的问题,设计了本系统的入侵事件描述语言,可以使用该语言来建立新的规则,用新的规则描述新的攻击方式,可以动态添加入侵规则库,使整个系统变得短小精悍。
王水军[9]2009年在《基于Snort的分布式入侵检测系统研究与实现》文中认为随着网络技术的快速发展,保证网络的安全也显得越来越重要。入侵检测系统通过收集和分析系统日志或者网络数据来检查系统或网络中是否存在违反安全策略的行为和被攻击的迹象。入侵检测系统提供了对系统和网络的实时保护,是安全防御体系中必不可少的一个组成部份。本文首先介绍了入侵检测的一些相关概念和入侵检测技术的发展趋势,并对分布式入侵检测系统的一些不同的体系结构进行了分析,然后对开源入侵检测项目Snort-2.8.0.1进行源代码分析,重点分析Snort的初始化过程,Snort的插件机制,检测报警过程,告警日志过程,Snort规则引擎及快速匹配引擎部分的源代码。在此基础上,设计并实现了一个基于Snort的分布式入侵检测系统。即在Snort-2.8.0.1的基础上,添加了规则生成模块,多播传递模块和动态添加规则模块。规则生成模块对事先从攻击主机收集到的攻击包,运用apriori算法进行分析,找出这些攻击包的相同特征,并转换成相应的Snort规则。多播模块将生成的规则以多播的方式传递给其他的Snort进程,当这些主机上的多播接收端接收到规则信息后,就将该规则放到消息队列中。动态添加规则模块从消息队列中读取到该规则,进行解析及规则冲突检查后,如果不存在冲突就动态添加到Snort的规则引擎中,使它们也能检测这种攻击。最后,本文对该分布式入侵检测系统进行了测试与验证,针对3种攻击工具分别生成相应的规则,并通过多播的方式传递给其他的Snort。通过实验证明了在该系统中各个Snort进程之间相互协作的实时性和有效性。同时也通过多次的比较实验,验证了多播传递规则的方式比用单播的方式传递效率高。
杨旭阳[10]2016年在《卫星通信网络入侵检测技术研究》文中研究说明随着通信技术的发展,卫星通信因其覆盖面积大、受地理环境影响小等优势得到了广泛的应用。与之而来的就是卫星通信网络的安全问题,非法的入侵行为会对卫星通信网络安全造成严重的危害。入侵检测技术在互联网上的应用较为广泛,而在卫星通信网络上使用较少,卫星通信网对入侵检测技术的实时性、检测效率要求较高,因此对卫星通信网络入侵检测技术的研究显得尤为重要。论文研究了卫星通信网的分布式入侵检测系统,设计了卫星节点入侵检测模块和地球站节点入侵检测模块。卫星节点因在空间中所受约束较大、处理能力有限,因此卫星通信网络的入侵检测技术的主要处理部分放在地球站节点。卫星节点入侵检测模块主要包括数据采集模块、响应模块和通信模块。地球站节点采用分层结构,分为传感器层、数据分析层、表达层,分别对每层进行模块设计。采用基于误用的入侵检测机制,同时允许扩展各种入侵检测规则。利用规则库对数据包进行匹配检测,判断是否为入侵行为。入侵检测的核心是模式匹配。针对卫星通信网络数据流量大、实时性高等特点和现有模式匹配BM算法的不足,模式匹配从两边交替进行,提高了入侵检测的匹配效率。同时采用协议分析的方法减少模式匹配的数据量,最后利用Snort对卫星通信网入侵检测系统进行仿真设计,通过仿真实验验证改进技术的可行性与有效性。
参考文献:
[1]. 基于分层结构体的分布式入侵检测系统的研究与实现[D]. 谭强. 清华大学. 2004
[2]. 基于分层结构体的分布式入侵检测系统[C]. 谭强, 沈雁. 第十八次全国计算机安全学术交流会论文集. 2003
[3]. 基于分层的分布式入侵检测系统研究[D]. 李宏伟. 北京交通大学. 2008
[4]. 基于snort的分布式入侵检测系统的研究[D]. 陈秀芳. 江南大学. 2009
[5]. 基于多智能体的分布式入侵防御系统的设计[D]. 李芳. 北京邮电大学. 2006
[6]. 入侵防御系统关键技术的研究[D]. 车明明. 电子科技大学. 2013
[7]. 基于数据挖掘的入侵检测系统研究[D]. 吴昊. 南京信息工程大学. 2008
[8]. 基于Linux的网络入侵检测系统的研究与设计[D]. 刘涛庆. 电子科技大学. 2007
[9]. 基于Snort的分布式入侵检测系统研究与实现[D]. 王水军. 南京理工大学. 2009
[10]. 卫星通信网络入侵检测技术研究[D]. 杨旭阳. 河北科技大学. 2016
标签:互联网技术论文; 入侵检测系统论文; snort论文; 入侵防御系统论文; 入侵检测技术论文; 分布式算法论文; 智能算法论文; 网络攻击论文; 网络分层论文; 分布式技术论文; 分布式部署论文; 网络安全防护论文; 通信论文; ids入侵检测论文;