姚灏[1]2002年在《基于模式匹配的网络入侵检测系统——MIDS的设计与实现》文中认为随着计算机网络的不断发展,全球信息化已成为人类发展的大趋势,计算机及网络信息的安全和保密随之成为一个重要的问题。对于军用自动化指挥网络、C~3I系统和银行等传输敏感数据的计算机网络系统而言,其信息的安全和保密显得尤为重要。 因此,为保证计算机系统的安全,我们需要一种能及时发现入侵,成功阻止入侵,并在事后对入侵进行分析,查明系统漏洞的网络安全技术,这就是入侵检测系统。 本论文分析了计算机系统及网络安全研究现状,讨论了目前常见的入侵手段,指出了入侵检测在军事领域应用的重要意义;在对入侵检测技术及其系统进行深入分析的基础上,提出了一种基于模式匹配的网络入侵检测系统的体系结构,研究了构成基本框架的各个子系统在整个入侵检测体系中的作用及其相互关系,并给出了各自的具体实现方法。同时,结合入侵检测系统的特点,在对传统模式匹配算法进行细致研究分析的基础上,论文提出了一种新颖的、有针对性的、高效率的精确模式匹配算法,并将其应用于入侵检测系统之中,使整个系统的性能得到了令人满意的提高。
文峰[2]2006年在《基于移动Agent的入侵检测系统的研究与实现》文中提出随着计算机和网络技术的普及和应用,计算机安全变得越来越重要。入侵检测是计算机安全体系结构中的一个重要的组成部分,入侵检测技术是对系统或者网络审计数据进行检测分析来发现入侵企图并采取保护措施的一种技术。但面对日益更新的网络环境和层出不穷的攻击方法,传统构建入侵检测系统的方法显得缺乏一定的有效性、适应性和可扩展性。本文基于移动Agent技术,在将Agent技术引入入侵检测领域方面做出探索,提出了基于移动Agent的分布式入侵检测系统MIDS。该系统中将现在比较流行的轻量级入侵检测系统Snon与IBM的Aglet移动代理平台相结合,实现检测任务的分担,使系统具有较好的性能和灵活性:同时力求将基于主机与基于网络的入侵检测技术结合在一起,增强系统的检测能力。本论文首先对入侵检测系统和移动Agent技术分别进行了总结和分析,以及一个移动Agent平台的搭建过程,再在这个基础上,借鉴已有的一些研究成果,提出了基于移动Agent的分布式入侵检测系统的体系结构,之后对MIDS系统的设计与实现进行详细的阐述。在对MIDS系统的阐述过程中,首先提出了设计思想,从整体进行了MIDS的网络拓扑结构设计和系统功能设计,然后简要概括了系统两大组成部分——控制服务器和受检测主机的基本功能。通过对MIDS的整体认识,依次详细阐述了控制服务器和受检测主机的组成结构及各个模块的功能,重点介绍了系统核心部分——核心控制代理(CCA);并根据移动代理固有的安全性问题,提出了可能的解决方案以及MDS维护更新机制。最后通过对MIDS系统进行总结,简要分析了其特色,并提出了未来研究的方向。在本论文中,做了移动代理检测远端主机端口信息试验和MIDS规则库更新试验,来验证将移动Agent技术引入入侵检测领域的可行性。
张喆[3]2006年在《基于模式匹配和统计分析的入侵检测系统设计与研究》文中指出随着网络技术的日益发展,尤其是Internet的日益普及,网络安全问题受到越来越多的人关注。IDS(入侵检测系统)是继防火墙、数据加密等传统安全保护措施后新一代的安全保障技术,得到了越来越多的应用。单单依靠传统的基于模式匹配的入侵检测技术已经不能适应入侵检测系统发现新入侵行为的需要,而统计分析是基于建立网络行为的正常行为轮廓,能够发现新的入侵行为,两者之间各有所长,具有一定的互补性。所以将两种检测技术结合起来的方案越来越多的应用于IDS中。 本文首先分析当前网络安全问题的现状,即入侵检测系统的漏报率和误报率高一直是困扰IDS用户的主要问题,指出了研究和发展入侵检测系统具有非常重要的意义;接着介绍了入侵检测的概念、常用技术、分类以及标准化等;并重点研究了误用型检测技术模式匹配和异常型检测技术统计分析;最后提出了基于统计的异常检测技术和基于模式匹配的误用检测技术相结合的IDS模型,该系统具有高效性、准确性高等的优点,从而达到减少入侵检测系统的漏报率和误报率的目的,提高系统的安全性。
潘志松[4]2003年在《基于神经网络的入侵检测研究》文中认为随着网络的广泛应用,特别是政府信息和军事数据在网络上的传输给网络安全提出了很高的要求。网络攻击方法层出不穷,入侵手段也不断更新,使得目前的防火墙等被动的网络安全机制对许多攻击难以检测。入侵检测作为一种主动防御技术,弥补了传统安全技术的不足。其主要通过监控网络与系统的状态、用户行为以及系统的使用情况,来检测系统用户的越权使用以及入侵者利用安全缺陷对系统进行入侵的企图,并对入侵采取相应的措施。 入侵检测系统智能性研究是目前网络安全领域的研究热点,其中模式识别及数据挖掘等技术在入侵检测上的应用得到了广泛的关注。人工神经网络作为模式识别的重要方法,具有自组织、自学习和推广能力,将人工神经网络方法应用于入侵检测系统中,将使系统既可以对已知攻击有较好的识别能力,又具有检测未知攻击的能力。 本论文首先在分析了入侵原理的基础上,对现有的入侵检测的模型和方法进行了分析;继而针对入侵检测中的几个关键问题,综合利用数据挖掘、人工免疫、灰色系统等理论和技术,提出了基于人工神经网络的入侵检测模型,并对传统的神经网络模型进行改进,然后对其在入侵检测中的效果进行了验证。 本文的主要工作如下: 分析了目前常用的几类攻击方法,使后面的系统设计更加有的放矢。重点对入侵检测系统的概念、分类、模型和技术等进行了综述,详细分析了目前的入侵检测方法及其优缺点,并指出了入侵检测的发展方向。 根据第叁届国际知识发现和数据挖掘竞赛(KDDCUP'99)标准,对截获的网络数据包进行41维特征抽取,并采用混合数值编码方法,使这些特征转化为能被神经网络处理的数值形式。 建立了基于反向传播网络BP和决策树相结合的误用检测模型。采用BP网络对入侵数据包进行检测时,其对拒绝服务(DOS)和探测(Probing)类的攻击有较好的检测率,但对远程到本地(R2L)以及对超级用户(U2R)非授权访问类攻击的检测率较低。通过实验我们发现,决策树算法根据信息增益的原理,可以精确地从这两类攻击的内容特征中提取攻击规则,因此对R2L和U2R类攻击有较高的检测率。基于BP网络和C4.5决策树相结合的误用检测模型结合了两种模型的优势,使整个入侵检测系统针对各类攻击的平均检测率提高,同时降低了误报警率。利用国际标准数据集DARPA入侵检测评估数据,我们用实验验证了该模型的高性能和高可靠性。 提出了基于一般化的灰色自组织特征映射模型并应用于DOS类攻击检测。自组织特征映射理论(SOM)具有聚类、自组织、自学习以及可视化的功能,已广泛的应用于模式识基于神经网络的入侵检测研究别、故障诊断、异常检测等领域。自组织特征映射权值的调整仅考虑了学习率及输入模式与邻域内权值之间的关系,忽略了输入模式分量与全体参与竞争的神经元权值向量间的某种相关关系。灰关系系数(GRC)的描述方法可以显式地刻画断中关系。尽管如此但GRC仍忽略了输入模式与所有参与竞争的神经元权值间的整体描述关系。本文是在GRC中加入该整体关系的同时,提出了一个更一般化的灰关系模型JSOM,进而侧重就叁种特殊的函数关系进行了通用模型的性能评估。将JsOM应用于Dos攻击的检测中,JsoM可以充分考虑DOS类攻击数据之间的内在相关性,通过实验验证了口soM对Dos类攻击的有效性。 将核方法引入SOM中,设计了原空间的核SOM分类器,并提出了基于核SOM分类器的异常检测模型。由于SOM模型的整个学习过程是在输入样本空间内进行,并以欧氏距离为度量。浏各导致当输入样本分布结构呈高度非线性时,其分类能力下降。本文采用核方法为原输入空间诱导出了一类不同于欧氏距离的新的距离度量,该方法即通过核映射榭氏维输入空间中的非线性问题变换为高维特征空间中可能的线性可分问题,又可以确保对原输入空间聚类中心的直观刻画。而核的灵活性可诱导出在原空间中不同度量的分类器,并使该分类器具有鲁棒胜和高可靠胜。在通丈对Benchi爪田火验证了该分类器的性能后,将其应用到异常检测中,核SOM分类器不仅育树己知的DOS和P旧b吨攻击有较好的检测性能,也可以检测未知的这类攻击。检测的结果同时说明基于网络数据包的特征提取方法不能很好的对UZR和RZL这两类攻击进行异常检测,需要利用主机审计信息作为数据源来解决这个问题。 设计和实现了单类SOM分类器,用于解决入侵检测中的单类问题。由于攻击数据难以获取,单类分类器只育蹄日用正常环境下的网络数据和主机审计信息建立正常模式,将偏离了正常模式的用户活动判断为入侵。利用传统的SOM模型建立了单类分类器,并对其进行了改进,在对基于网络和基于系统调用执行迹的入侵检测上取得了较好的检测性能。 利用了单类SOM分类器的优良胜能,运用人工免疫学原理建立分布式的入侵检测框架,给出了一个基于人工免疫和神经网络相结合的入侵检测系统模型和相关算法,使系统具有分布式、自组织、高效的特性,为建立分布式的入侵检测提出一种新的思路。 设计和实现了一个基于专家系统的入侵检测系统软件,并详细介绍了实现技才坏?
石云[5]2008年在《混合型入侵检测系统中联合分析与数据融合技术研究》文中进行了进一步梳理随着信息技术和互联网的迅速发展,计算机网络与信息系统所面临的安全问题越来越严重。传统的安全技术大都属于静态机制,局限于防护环节,难以满足网络安全的需求。入侵检测技术作为动态安全模型P2DR中检测部分的主要技术手段,能主动对网络和网络上的主机行为进行有效地识别和响应,从而检测外部入侵和内部误用,为网络提供安全保护。本文针对当前入侵检测系统误警率和漏检率较高的问题,对数据融合技术在入侵检测系统中的应用进行了进一步研究工作。论文主要内容如下:①在研究混合型入侵检测理论的基础上,对前期项目——网络入侵检测系统进行了改进,设计了一种混合型入侵检测系统的结构。②对网络入侵检测系统的数据分析模块进行了改进,采用两层结构,在协议分析层之上,增加了联合分析层。联合分析层运用数据融合技术,采用改进型D-S证据理论作为数据融合算法,对上一层的报警信息进行融合和关联,以降低误报率和漏报率。③采用插件方式,分叁个子系统——数据采集子系统、数据分析子系统和响应子系统进行研制,最终在Windows平台上实现了一个混合型入侵检测系统。对研制的混合型入侵检测系统进行功能测试和性能测试,并使用相同的测试数据集对原有的入侵检测系统进行测试,从实验结果对比后看出,具有两层结构的混合型入侵系统的检测能力有所提高,其检出率和误报率都优于原有系统。
胡佳明[6]2006年在《网络安全中混合型入侵检测系统设计》文中进行了进一步梳理随着信息技术和互联网的迅速发展,计算机网络与信息系统所面临的安全问题越来越严重。传统的安全技术大都属于静态机制,局限于防护环节,难以满足网络安全的需求。入侵检测技术作为动态安全模型P~2DR中检测部分的主要技术手段,能主动对网络和网络上的主机行为进行有效地识别和响应,从而检测外部入侵和内部误用,为网络提供安全保护。 目前国内外研究的入侵检测系统大多存在误报率高、检测效率低等问题,其主要原因是分析信息源和分析手段单一,系统结构简单。入侵检测系统从数据来源上可以分为基于网络和基于主机两大类,其检测方法主要基于异常检测技术或误用检测技术,而目前的入侵检测系统大多则是纯粹采用一种数据来源和单一的检测手法。针对这一问题,本文提出了一种构架灵活的混合型入侵检测系统,其特点是在数据源上结合网络和关键主机数据,在检测方法上结合异常分析技术和误用分析技术并提出了二层混合分析方法,同时在系统体系构架上可灵活扩展以适用于不同的网络环境。论文在研究混合型入侵检测理论的基础上,给出了混合型入侵检测系统的系统构架和功能结构,并详细介绍了几个关键模块的理论、设计和部分算法,联合分析模块根据信息融合理论采用可信度方法分析,通过已有专家知识,建立联合分析规则库,解析网络数据和主机信息特征。多样的信息源提高了混合型入侵检测系统的检测能力,而联合分析和数据融合技术保证了检测的准确性。论文最后说明了混合型入侵检测系统的测试方案和测试部署,为混合型入侵检测系统的实用性提供测试依据。混合型入侵检测系统经过不同环境的测试应用,表现了良好的稳定性。
尹凯[7]2005年在《入侵检测系统互操作性通用模型及其应用研究》文中指出信息及网络技术的飞速发展给人们的日常生活及工作带来了巨大的便利,企业的运转也越来越依赖信息及网络技术。在网络的地位越来越重要的同时,也给人们及企业带来了安全性问题。随着攻击工具的增加与攻击手段的增多,入侵事件呈现越来越多的趋势。传统的安全手段以单一的防火墙技术建立的被动防御措施己经不能满足人们对现代网络安全的需求,入侵检测系统以其主动防御的特点有效地弥补了防火墙的不足。在对大量的入侵检测技术研究的基础上,分析比较了各种入侵检测技术的优劣,研究了snort 的运行原理,参考国际化标准组织的通用模型,提出了入侵检测系统互操作性通用模型,并设计实现了一个分布式、基于snort 技术、可以集中管理的混合型入侵检测系统。本系统设计实现了如下各个模块:攻击检测模块、攻击检测管理模块、数据包统计分析分析模块、路由控制模块、日志管理模块、与检测卡进行联系的PCI 管理服务模块以及其他的扩展模块。各模块之间为松耦合关系,不仅提高了开发效率,而且方便了以后对系统功能扩展及进行二次开发。在系统的核心——检测引擎部分采用比较成熟的源代码公开的snort 技术,并针对本系统的具体应用情况,对其进行了功能扩展,加入了与其它模块进行消息传递的通信部分。模块化的设计,利用成熟的开源软件进行软件复用,使得本入侵检测系统解决方案具有开发快速、高效,良好的可扩展性、灵活性等特性,遵循国际化标准使本系统提供了与其他系统的互操作性。本系统应用在日本某大型电力公司的企业网络中,达到了预期的设计要求。
邹美群[8]2009年在《基于包头和负载特征分析的异常检测技术研究》文中指出随着互联网的日益开放和网络技术的快速发展,网络安全问题日益严峻。入侵检测系统(Intrusion Detection System,IDS)能根据入侵行为的踪迹和规律来发现入侵,成为防火墙、数据加密等静态安全技术的有效补充。误用检测具有准确率高的特点,但是对新型攻击和未知攻击无能为力;异常检测通过构建正常模型,能够检测到未知攻击,弥补了误用检测的不足,因此成为近年来的研究热点。本文旨在扩大IDS的检测范围,并实现检测的准确性和快速性。研究内容主要包括以下几个方面:1.对IDS的分类进行了系统性的研究,分析了IDS的国内外研究现状及发展趋势,剖析了各种攻击的特点,并着重对异常检测技术的流量检测模型和应用层检测模型进行了分析比较。2.为应对复杂的网络环境中攻击的多样性,提出了一种面向混合攻击的异常检测方法。重点改进了异常检测的特征提取和特征建模过程。特征提取力求全面、准确并简洁,提取了数据包头部若干字段及应用层的相关信息。检测模型要具有推断能力,因此将连续型特征和离散型特征根据各自的特点分开处理。实验表明:在保持较低误报率的情况下,提高了对多种攻击的综合检测率。3.为了提高检测的准确性和快速性,在异常检测的基础上,结合误用检测方法,构建了一个分层式混合入侵检测系统(HH-IDS)。第一层采用快速的流量统计技术,对数据包头部字段进行异常检测,将数据划分为正常和异常;第二层采用准确性较高的模式匹配方法对第一层的异常数据进行再次检测,以降低误报率,而将第一层的正常数据和模式匹配未检测到的数据进行有效负载异常检测,以检测基于内容的攻击。另外,详细分析了包捕获技术和检测分析技术,并利用模拟流量实现了系统的流量统计模块和模式匹配模块,为IDS的设计提供了思路。
唐东海[9]2003年在《分布式入侵检测系统的设计》文中提出随着计算机技术与通信技术的飞速发展,传统的安全模型已不能满足网络安全的需要,因此动态安全模型P2DR模型也就随之产生。入侵检测系统是P2DR模型的一个重要组成部分。它从检测入侵所使用的分析技术来说可分为基于异常行为的入侵检测和基于特征的入侵检测(也叫误用检测);而从数据来源及配置上又可分为基于主机的入侵检测系统和基于网络的入侵检测系统。它们各有其优缺点。当前大多的商用入侵检测系统还处于第叁代的水平:基于协议分析和命令解析的模式匹配的入侵检测系统,它们所使用的主要是分析方式是基于特征的入侵检测。 本文首先介绍了入侵检测的产生和发展,分析了入侵检测的现状,随后提出了一种新的分布式入侵检测系统模型,并对其各个功能模块进行了设计以及最后完成了一些相关的测试。该系统模型既综合了基于异常行为的入侵检测和基于特征的入侵检测技术,在配置上又采用主机配置和网络配置相互配合的方式。在实际的分布式入侵检测系统模型的设计中,系统下各子系统并发运行,分工合作。网络子系统以基于特征的入侵检测为主;主机子系统以基于异常行为的入侵检测为主;响应模块采用与Iptables联动的方式来抵制入侵,并且在设计处理SYN_FLOOD同步淹没拒绝服务攻击时,提出了一种全新的防范SYN_FLOOD拒绝服务攻击的机制——首次SYN请求延迟处理机制。
巨小微[10]2010年在《多Agent架构下基于本体的入侵报警关联分析技术研究》文中认为在当今的社会中,互联网通过将信息共享给我们的生产和生活带来了极大的便利,但随着它的普及和开放其自身的安全问题也日益严重。使用有效的入侵检测就成了保证信息系统安全的一种重要手段。入侵检测作为一种积极的主动的动态安全措施,能够在网络安全的多层次防御和立体纵深的角度上,在网络系统受到破坏之前对外部攻击行为或内部非授权行为进行检测。但是传统的入侵检测系统存在如下问题:(1)它通常关注和发现低层次的告警和异常,发出孤立的告警信息,而不能发现其中的逻辑关联和入侵攻击策略。(2)会产生大量的误告警,并混合在真实告警之中,不能区分。为了解决上述问题,首先,本文采用本体技术构建入侵报警知识库,结合了基于攻击序列模板的关联和基于攻击发生的前提后果的这两种关联技术,构建了包含基本概念和关系的攻击知识框架,定义了4层17个基本类和多个对象属性和数据属性,使用本体工具RacerPro1.90和程序进行关联推理并用实验进行了验证。然后,本文提出了一个分布式的基于自治代理通信机制的混合入侵检测模型,综合了基于主机和基于网络的入侵检测系统的优势,对初始报警信息依据报警知识库进行入侵报警关联,消除误报和识别漏报从而确认真正攻击方法和行为,发掘协同的高层次的报警信息。本系统采用适用于分布式环境的基于自治代理的通信机制,采用订阅的思想并与树形结构相结合达到实时高效传播报警信息和响应动作的目的。最后,对上述模型进行了仿真实验,说明本文的入侵检测报警模型及其构建方法是合理而且有效的。
参考文献:
[1]. 基于模式匹配的网络入侵检测系统——MIDS的设计与实现[D]. 姚灏. 电子科技大学. 2002
[2]. 基于移动Agent的入侵检测系统的研究与实现[D]. 文峰. 电子科技大学. 2006
[3]. 基于模式匹配和统计分析的入侵检测系统设计与研究[D]. 张喆. 河北大学. 2006
[4]. 基于神经网络的入侵检测研究[D]. 潘志松. 南京航空航天大学. 2003
[5]. 混合型入侵检测系统中联合分析与数据融合技术研究[D]. 石云. 重庆大学. 2008
[6]. 网络安全中混合型入侵检测系统设计[D]. 胡佳明. 浙江大学. 2006
[7]. 入侵检测系统互操作性通用模型及其应用研究[D]. 尹凯. 华中科技大学. 2005
[8]. 基于包头和负载特征分析的异常检测技术研究[D]. 邹美群. 中南大学. 2009
[9]. 分布式入侵检测系统的设计[D]. 唐东海. 西南交通大学. 2003
[10]. 多Agent架构下基于本体的入侵报警关联分析技术研究[D]. 巨小微. 华北电力大学. 2010
标签:互联网技术论文; 入侵检测系统论文; 模式匹配论文; 入侵检测技术论文; 网络模型论文; 网络攻击论文; 网络行为论文; 网络安全防护论文; 信息发展论文; 分类器论文; ids入侵检测论文;