入侵检测技术的研究与应用

入侵检测技术的研究与应用

尚文利, 安攀峰, 万明, 赵剑明, 曾鹏[1]2017年在《工业控制系统入侵检测技术的研究及发展综述》文中研究说明针对工控系统入侵检测技术的研究与应用,分别从检测特征、算法设计、应用环境等角度对目前的研究工作进行总结,介绍入侵检测在保障系统安全运行中的实际应用,讨论了工控入侵检测技术研究的关键问题。为提高工控入侵检测技术的异常行为防御能力,根据工控系统环境的复杂性和入侵检测的特殊性,对相关研究中存在的问题与不足进行分析,并结合工业控制系统网络化与信息化的发展现状和不断增强的安全防御要求,对工控入侵检测研究进行展望,提出了与大数据处理融合、智能化检测系统等的发展方向。

高建[2]2008年在《基于多层感知神经网络的入侵检测系统的研究与实现》文中进行了进一步梳理面对当前严峻的计算机安全形势,入侵检测技术作为一种主动的安全防护技术,能够动态检测网络状况,及时发现网络安全问题。它是传统安全技术的合理补充,也是当前计算机安全理论研究的一个热点。入侵检测技术中数据的采集与分析是关键的技术。针对这两个问题,本文提出了在高速网络环境下基于多层感知器神经网络的入侵检测系统。在高速网络环境下,传统的捕包技术已经不能满足入侵检测系统的要求,通过引入内存映射和NAPI技术,可以加快网络数据包的捕获速度,减轻操作系统的负担,使其能够将更多运算时间用在对入侵行为的检测上。在此基础上,使用多层感知器神经网络对数据包进行异常检测,为了增强其学习和识别能力,将捕获的网络数据包进行分类,对不同类别的数据包分别构造不同的神经网络进行训练和检测,同时,对标准的反向传播算法进行改进,加快神经网络的收敛速度。本文构建的入侵检测系统分为数据包捕获模块,数据预处理模块,神经网络训练模块和检测模块。数据包捕获模块负责从网络上捕获数据包,实现了内存映射和NAPI技术,并对捕获的数据包进行解析,输出便于分析的包结构。数据包预处理模块对包结构中的属性进行数值化和归一化,提取包中基于时间的特征,并对不同的包进行分类,输出到神经网络训练模块中的对应的神经网络进行训练。检测模块对输入数据包进行检测,判断是正常包还是异常包。本文最后使用MIT林肯实验室入侵检测训练数据集的抽样进行实验,结果证明,使用经过数据包分类且进行算法改进的多层感知器神经网络的入侵检测系统,具有较高的效率,能够降低误报率和漏报率。

王静[3]2007年在《网上办公系统安全体系研究与应用》文中认为随着Internet的迅速发展,计算机网络给人们的生活和工作带来巨大的改变,人们可以足不出户进行网上娱乐、购物、办公。但是,网络也存在着巨大的隐患,如游戏帐号被盗、电子银行卡口令被窃取、网上办公时信息被窃听、泄密、篡改和伪造等。网络系统的安全性已经迫不及待地摆在了人们的面前。网上办公系统是一种对安全性要求较高的信息系统,对其进行研究具有重要的意义,其目的是构建一种可靠的安全模式,并通过该安全模式在具体生产系统中的应用,为企事业信息系统的安全设计提供了参考。本文从网上办公系统建设的实际出发,对较常用的、成熟的网络安全技术的原理和实现方法进行讨论;再对系统的安全进行总体构划和详细设计,研究出了一种对系统行之有效的安全构架。该安全构架将安全防护分为网络层、系统层和应用层,并在每层采用了多种最新的网络安全技术,将传统的静态性安全技术和动态性安全技术有效结合起来。该构架从总体上实现了网上办公系统安全上的分层保护,整个安全构架紧密结合,从而满足了系统的安全性要求。该安全构架被应用到两个实际的系统中:浙江省电信公司网上办公系统和金华市政府网上办公系统,从试运行的情况来看,基本上满足了安全性的要求,进一步论证了本文提出的安全方案可行。

李秦[4]2005年在《Snort平台下检测插件技术的研究与实现》文中研究说明入侵检测就是发现或确定入侵行为的动作,它是一种信息识别与检测技术。Snort作为一种轻型入侵检测工具以其巧妙的插件式功能模块的管理方式,允许不同的用户根据自身特定的需求在Snort平台上实现具体的入侵检测。 如果从以数据为中心的观点看,入侵检测本身就是一个数据分析过程。在许多相关的领域,如欺诈检测和故障管理中,数据挖掘已经取得了成功的应用。于是,研究数据挖掘方法在入侵检测领域中的应用,自然就成为一个热门话题。 本文首先概要地介绍和分析了数据挖掘领域中频繁模式挖掘算法的实现、现状及面临的问题,在此基础上应用了频繁项目表的概念,并实现了一种有效的快速的频繁模式挖掘算法;利用此频繁模式挖掘算法对拒绝服务攻击的入侵检测插件通过对网络流量实时跟踪,检测出无可匹配特征的异常网络流量,进而发现黑客的扫描行动;通过研究Sendmail各进程中的系统调用号之间的关联关系,建立正常以及异常行为序列库,利用该频繁模式挖掘算法对各序列库进行频繁模式挖掘,以关联规则的形式获得能区分正常进程与异常进程的典型模式,继而找出所有满足置信度的分类规则,达到检测进程序列中的入侵行为的目的。

高亮[5]2013年在《数据挖掘中贝叶斯算法在入侵检测中的应用》文中指出伴随着社会的发展、人类文明的进步,网络的发展也是空前绝后的,可以说今天人类社会的发展是离不开网络的。由于Internet的不断发展,导致网络上需要处理的信息量的增加速度是人们难以想象的,网络就像一把双刃剑,在给人们带来利益和方便的同时,也带来了不少负面的影响,网络上的攻击和破坏也是逐年增多。当前网络攻击日益趋向复杂化和智能化,那么,传统的网络安全防御技术(如防火墙、访问权限控制等)手段已显得难以应对。作为保障网络安全的主流技术手段——入侵检测技术(IDS)就变得备受关注。经过多年的发展,该技术领域已经日趋成熟,将数据挖掘中技术应用到入侵检测领域已经成为保障网络安全的研究热点。但是,由于入侵手段的不断发展以及入侵审计数据信息量不断增大,使得传统的经典数据挖掘分类技术在网络入侵检测的应用中已经显得捉襟见肘,无法保证入侵检测系统的检测率、实时性的要求。本文在分析了传统的朴素贝叶斯分类基础上,提出一种改进的贝叶斯分类算法和基于传统贝叶斯分类的入侵检测系统的改进模型,旨在改进传统贝叶斯分类入侵检测系统模型在检测率、检测时间上不足的问题。在此之后,提出了一种基于粗糙集理论依赖度的属性简约方法,以达到降低属性复杂度、删除冗余属性,使整个检测系统的建模时间有所降低。本文的主要研究工作如下:(1)首先对数据挖掘技术、入侵检测技术等进行了分析,分析了当今该领域国内外的发展动态,对入侵检测技术概念、分类作出了说明。(2)对传统贝叶斯分类算法进行了分析,在此基础上提出了一种改进的贝叶斯分类算法以及对基于贝叶斯分类的传统入侵检测系统模型进行了改进,在改进的系统模型中,融入了误用检测技术中的模式匹配方法,虽然在系统模型中增加了新的模块,在构建系统的初期,可能会增加一定工作量,但是通过对传统模型的改进,在入侵检测过程中,可以提高整个系统的检测率,提高检测效率。(3)对基于粗糙集合理论的属性简约方法进行了研究和分析,研究了传统粗糙集合理论中的区分矩阵的方法求解属性的简约,分析了传统区分矩阵方法的缺陷和不足,在此基础上提出一种独立于区分矩阵的属性简约方法——基于依赖度的属性简约方法,并且给出了该方法的具体求解简约过程,最后通过实例的比较,证明了基于依赖度的属性简约方法比传统的区分矩阵方法在时空性能上更为优秀。

张阳[6]2018年在《工业控制系统入侵检测技术研究》文中提出工业控制系统(ICS)作为国家关键基础设施(如发电厂、污水处理系统)的重要组成部分,保证其安全运行具有重大意义。随着计算机技术的飞速发展和“互联网+”、“工业4.0”等思想的普及,原本处于隔离状态下的工控系统开始更多地接入到复杂的外部网络环境中,攻击事件愈演愈烈。对工控系统信息安全问题的研究变得越来越重要,入侵检测技术是其中一个重要研究方向。根据数据来源的不同,工控系统的入侵检测技术主要分为两种:基于网络流量的入侵检测方法和基于系统过程参数的入侵检测方法。在前者的研究中,存在对Modbus串行通信安全性研究不足的问题;而在后者的研究中,由于工控系统要求高实时性,一些采用了机器学习方法的检测算法存在检测效率不够高的问题。本文在前人研究的基础上,就基于网络流量的入侵检测和基于系统过程参数的入侵检测两个方面展开了进一步研究。本文的主要贡献与两个创新点包括:1.将Modbus串行链路上的典型异常行为总结归纳为六个类别:非法协议消息、侦察攻击、潜在的拒绝服务、拒绝服务攻击、响应注入攻击和命令注入攻击,并进一步列举了细化的共计19种异常行为及其可检测特征。然后针对异常行为提出了用于Snort的检测规则模型,并给出了测试结果。2.提出一种计算合适的最近邻数量k值方法,以避免人为错误以及处理效率低的问题。在基于过程参数聚类的工控入侵检测方法中,其评分技术中的最近邻数量k值是通过经验设定的,而本文通过建立数学模型,将此问题转化为求跳跃点的过程,从而计算出更为合适的k值。改进方法使得对正常数据的评分值和异常数据的评分值有更好的区分,正常数据的评分值集中于评分值较小的区间,而异常数据的评分值处于分值较大的区间。也使得划分的微簇半径尽可能大,从而减少了检测规则的数量,提高了检测的实时性。3.提出一种通过重新调整微簇而减少微簇数量的方法,以达到减少检测规则数量的目的,在保障检测准确性的同时,提高检测效率。原有方法采用固定宽度聚类技术来划分微簇并提取检测规则,在选择宽度参数w(即微簇的宽度)的过程中采用的是经验值,可能导致因为宽度选择过小而得到较多的检测规则,需要更长检测时间的问题,与工控系统有限的硬件资源以及高实时性要求的特性相悖。本文对此过程进行了改进,并通过仿真实验验证了改进方法的优越性。

严长虹[7]2009年在《基于流连接密度的DDoS攻击检测与防御技术的研究与实现》文中指出随着信息技术的飞速发展,全球范围的Internet网络得到空前的发展,Internet的应用越来越广泛和深入,同时网络安全问题也越来越突出,网络攻击事件不断出现,特别是分布式拒绝服务攻击(DDoS,Distributed Denial of Service)对网络服务器的破坏,使受害主机无法及时处理所有正常请求,从而造成合法用户不能访问或使用该资源,给计算机和网络带来极大的危害。因此,如何检测和防御DDoS攻击成为网络安全研究的重要内容之一。为了保证网络安全,防范分布式拒绝服务攻击(DDoS),必须先对分布式拒绝服务攻击(DDoS)进行入侵检测(ID)的研究,以防御分布式拒绝服务攻击(DDoS)。本文在深入研究DDoS攻击检测机制的基础上,首先分析了DDoS攻击的原理、DDoS攻击的分类与分析和DDoS攻击的检测技术路线;接着分析了DDoS攻击检测中的数据包获取方法与分析技术,在此基础上设计了基于流连接密度的DDoS攻击检测算法,并给出了基于流连接密度时间序列分析的DDoS攻击防御模型,并在该模型的基础上实现一个原型系统。实验证明,该模型能够对网络数据包进行有效的过滤,实现有效地DDoS攻击检测和防御功能。

陈晓平[8]2012年在《基于分类器选择集成的入侵检测方法研究》文中认为随着计算机网络技术的迅速发展,计算机网络已经渗透到各个领域,给人们的生活和学习带来了极大的便利,但是随之而来的是网络的安全问题,网络安全问题现已经成为各国政府、企业和人民重点关注的问题。入侵检测技术是网络安全领域的研究重点,入侵检测系统是由软件或者软硬件结合构成的系统,放置在计算机网络环境中,通过对计算机网络中的关键点收集信息,然后对所采集的信息进行分析检测,从而可以识别出对来自外部或者内部对计算机网络产生威胁的行为。入侵检测系统是对传统安全技术的有效补充。然而目前的入侵检测系统普遍存在检测率低的缺点,本文将模式识别中的分类器集成技术应用到入侵检测系统,以提高检测模块的检测率。模式识别技术应用于入侵检测模块,主要通过攻击特征对网络数据包进行检测识别。传统的模式识别系统一般只采用一个分类器对样本进行识别,但是单个的分类器无法做到对所有的样本都能正确地识别,多分类器系统能够显着提高识别率。但是,当分类器数量很大时,集成所有的分类器不仅占用过多的系统资源,而且还可能造成识别率下降。通过一定的选择策略,仅对部分分类器进行集成,往往能得到更好的分类效果。选择策略需要综合考虑参与集成的分类器的准确率和差异性。本文首先介绍了入侵检测的发展历程和研究背景,对入侵检测的定义、原理做了比较详细的介绍,分析比较了各种不同入侵检测技术的优缺点。然后对分类器集成以及分类器集成的中的差异性进行了介绍,提出了一种分类器差异性度量方法。利用该差异度并综合考虑基分类器的准确率,提出了一种分类器选择集成方法,将此方法应用到入侵检测系统的检测模块,通过在入侵检测领域比较权威的测试数据KDD cup’99上的实验证明,能有效提高检测的正确率,并由于对分类器的选择集成,参与集成的分类器数目大大减少,检测模块占用更少的系统资源。

张红杰[9]2010年在《基于神经网络的入侵检测系统研究与实现》文中研究表明随着Internet的迅速发展和广泛应用,计算机及计算机网络逐渐成为计算机犯罪的攻击目标,计算机及网络的安全成为研究焦点。入侵检测作为一种积极主动的安全防护技术,是传统静态防御技术的必要与合理补充,近年来得到深入研究和广泛应用。智能性是目前入侵检测领域的研究热点,其中机器学习理论在入侵检测领域得到广泛应用。本文将智能化的人工神经网络技术应用于入侵检测,以提高检测效率和对未知类型攻击的检测能力。主要内容分为如下四部分。(1)对入侵检测技术、神经网络技术进行了分析,重点研究了标准BP算法存在的缺陷。针对BP算法收敛速度慢、训练过程易陷入局部极小值的问题,采用了加入动量因子和自适应调整学习率相结合的改进算法,并将此算法用于入侵检测神经网络中。(2)分析了KDDCUP 99入侵检测权威数据集。利用PCA方法对数据集进行了降维处理。通过MATLAB利用降维后的数据集对改进BP神经网络进行设计并进行实验分析。实验结果表明改进BP网络能克服标准BP网络的不足,在检测效率上有明显提高。(3)研究了改进BP网络对未知类型攻击和分类攻击的检测能力,实验表明改进BP网络对未知类型的攻击具有很好的检测能力;对已知类型DOS攻击和Probing攻击的检测能力更优于其它类型。(4)利用VC6.0,通过TCP/IP协议解析,设计实现了基于改进BP神经网络入侵检测的原型系统。经在LAN中测试,该系统性能良好。最后,总结了全文的工作,并指出下一步的研究方向。

康振勇[10]2006年在《网络入侵检测系统Snort的研究与改进》文中认为入侵检测是网络安全体系中新兴的一门技术,它是一种主动的防御技术,也是网络安全所关注的焦点。本文介绍了入侵检测的相关技术,对开放源代码的网络入侵检测系统Snort进行了研究,并对其检测模型,检测原理、检测引擎工作流程、系统整体架构以及系统插件机制等方面进行了深入分析,在此基础上针对Snort系统模式匹配算法和日志警报文件的不足之处进行了以下两方面的研究和改进。首先,在研究经典BM算法及其改进算法的基础上提出了基于特征的模式匹配算法,提高了入侵检测的效率和速度,满足了高速网络对入侵检测系统的要求。其次,设计和实现了日志警报管理系统,该系统采用数据库中间件技术,屏蔽了不同数据库之间的差异,具有良好的可移植性,同时提供了查询、分析、统计等功能,提高了网络管理员对日志警报的分析和监控能力。

参考文献:

[1]. 工业控制系统入侵检测技术的研究及发展综述[J]. 尚文利, 安攀峰, 万明, 赵剑明, 曾鹏. 计算机应用研究. 2017

[2]. 基于多层感知神经网络的入侵检测系统的研究与实现[D]. 高建. 南京信息工程大学. 2008

[3]. 网上办公系统安全体系研究与应用[D]. 王静. 浙江工业大学. 2007

[4]. Snort平台下检测插件技术的研究与实现[D]. 李秦. 河海大学. 2005

[5]. 数据挖掘中贝叶斯算法在入侵检测中的应用[D]. 高亮. 兰州交通大学. 2013

[6]. 工业控制系统入侵检测技术研究[D]. 张阳. 电子科技大学. 2018

[7]. 基于流连接密度的DDoS攻击检测与防御技术的研究与实现[D]. 严长虹. 苏州大学. 2009

[8]. 基于分类器选择集成的入侵检测方法研究[D]. 陈晓平. 河南理工大学. 2012

[9]. 基于神经网络的入侵检测系统研究与实现[D]. 张红杰. 石家庄铁道学院. 2010

[10]. 网络入侵检测系统Snort的研究与改进[D]. 康振勇. 西安电子科技大学. 2006

标签:;  ;  ;  ;  ;  ;  ;  ;  ;  ;  

入侵检测技术的研究与应用
下载Doc文档

猜你喜欢