入侵检测系统的理论研究与实现

入侵检测系统的理论研究与实现

赵伟[1]2007年在《基于SVM的入侵检测研究》文中认为入侵检测系统是网络安全研究中的一个重要方向,作为防火墙之后的第二道安全防线,入侵检测系统能够发现网络入侵行为,和防火墙一起组成立体防御体系。入侵检测技术分为误用检测和异常检测两类,由于异常检测必须跟踪和更新系统或用户的行为特征,因此计算量大。通常采用机器学习的方法解决异常检测的计算量较大的问题,本文采用支持向量机方法,支持向量机是一种基于结构风险最化的分类和预测算法。入侵检测问题本质上是一个分类问题,如果把多类分类问题转化为多个两类分类问题,我们就可以应用支持向量机解决攻击分类。本文在分析现有入侵检测、支持向量机技术基础上,对基于支持向量机的纠错输出编码多类分类方法进行了研究,并对基于支持向量机的入侵检测系统进行了设计,取得了以下成果:●结合Hadamard矩阵和支持向量机,使用纠错编码输出方法解决入侵检测的多类分类,并给出了具体实现算法。●参考通用入侵检测框架,设计了一个基于支持向量机的入侵检测系统模型,并实现了部分模块。●实现了多种多类分类方法,针对KDDCUP 99数据集进行了测试实验,实验结果表明,基于Hadamard矩阵的纠错编码输出方法具有比较好的分类效果。

张顺利[2]2007年在《智能化入侵检测系统的研究与实现》文中指出入侵检测是近年来网络安全研究的热点,随着计算机安全问题的日益突出,对入侵检测系统提出了更高的要求,当前IDS的最大问题是不能快速检测出新出现的异常入侵和较高的误报率。人体免疫系统与网络入侵检测系统具有很大的相似功能,它为研究和开发网络入侵检测系统提供了一个自然的模版。我们可以充分利用人体免疫机理的许多优点如多层次、多样性、独特性、动态防护性、自适应性、联想记忆等,提高系统的健壮性、自适应性和动态防护性。另一方面,当前的入侵检测研究大部分都集中在提高检测率、降低误报率、加快检测速度等方面,现在的入侵检测系统在响应模块部分还存在尚待解决的问题:入侵响应模块还是单一地对这些攻击事件进行响应,不具有推测功能,属于一种事后的响应活动;没有考虑到分析引擎存在的误报和漏报的情况;对于精巧而有组织的分布式攻击缺乏统一协同防御,无法实现多系统的系统防御。因此有必要对入侵响应进行分析,使入侵响应模块能够在入侵的不同时刻做出不同的响应,减少人工的干预,实现自适应能力。本文主要的工作是通过分析当前最新的基于免疫的动态入侵检测模型,对其进行改进和实现,并且通过实验证明了改进后的优势。通过分析胸腺和高频变异的生物学理论,将其分别应用于检测器检测过程和检测器生命周期的控制过程。对模型进行的仿真实验表明:这种新型的入侵检测模型较基于免疫的传统动态方法具有更好的适应性。最后实现了一个基于免疫的动态分布式入侵检测系统,且对各个模块进行了详细介绍,然后在实际运行效果的基础上,对当前基于免疫的入侵检测系统的优缺点进行了分析总结。另一方面,通过分析当前入侵响应系统存在的问题,提出了一种基于工作流和作业调度的J2EE框架构建的入侵响应模型,该模型先对所有报警事件进行过滤然后予以响应,并在响应当前报警事件的同时根据报警信息之间的关系,对进一步可能发生的攻击做出在线的预警并产生相应的响应措施。通过实验分析,该模型能够在入侵发生后主动采取措施阻击入侵的延续和降低系统的损失,保护受害系统。另外,通过对Petri网的描述进行扩展,使得Petri网更好的用于对工作流管理模型进行建模。最后给出了对入侵检测系统的一些思考,并对以后在该领域的工作进行了展望。

潘镭[3]2006年在《基于数据挖掘技术的分布式入侵检测系统的设计和开发》文中指出入侵检测是计算机安全领域的一个重要技术,也是当前计算机安全理论研究的一个热点。但是在入侵检测的发展中也面临着新的问题,其中最主要的问题之一就是入侵告警数量的不断增长,误警率居高不下。本文首先阐述了入侵检测的概念和相关技术、入侵检测系统的研究现状,然后分析了数据挖掘技术在入侵检测系统中的应用。论文讨论了Apriori数据挖掘算法及其扩展算法。为减小入侵检测系统的误报率,提出了在Apriori算法中使用可变最小支持度和置信度,并给出了调整最小支持度和置信度的策略。设计了基于可变最小支持度和置信度的数据挖掘算法,并对该算法进行了优化。本系统采用分布式的层次结构进行总体设计,以适应部门层次多、地理分布广的应用环境,同时提高了ABCIDS系统对分布协同入侵的检测能力。文章对ABCIDS系统总体以及探测器子系统、检测分析子系统、数据库子系统、控制台子系统进行了详细设计与实现。系统引入了分布式CORBA中间件技术,利用CORBA的“软件总线”的特点,很好地解决了系统平台的异构性、适应性问题。论文还讨论了CORBA技术的安全性问题。基于CORBA良好的实时性,提出在分布检测系统的检测方法上,结合数据挖掘技术,增强系统分析的智能性和检测新入侵的适应性。论文详细讨论了基于CORBA的分布式网络入侵检测系统ABCIDS的体系结构、通信模型、功能模型、系统构成等方面,并且给出了系统通信中关键对象的IDL程序描述。

王景新[4]2002年在《基于神经网络技术的网络入侵检测系统研究与实现》文中提出入侵检测系统是当前网络安全领域的研究热点,在保障网络安全方面起着重要的作用。但由于传统的入侵检测技术存在着规则库难于管理、统计模型难以建立以及较高的误报率和漏报率等诸多问题,制约了入侵检测系统在实际应用中的效果。 在这种背景下,我们提出了将神经网络技术应用到网络入侵检测系统中来的解决思路。之所以将神经网络技术引入到网络入侵检测系统中来,是基于这样两个考虑:其一,网络入侵检测问题本质上是对网络数据流进行分析,以判断是正常的还是非正常的,在这个意义上,入侵检测问题可以理解为模式识别问题;其二,神经网络技术在模式识别领域的应用取得了良好的效果。利用神经网络技术的自学习能力、联想记忆能力和模糊运算能力,在一定程度上应该可以解决入侵检测系统存在的某些问题。 基于这个思路,我们设计并实现了一个基于神经网络技术的网络入侵检测系统原型。对该原型系统的测试结果表明,我们将神经网络技术引入到网络入侵检测系统中来的思路是可行的,在实践中是有较好效果的。在研究工作中,我们也发现了存在的一些问题,在以后的工作中,我们会逐步解决这些问题,继续探讨将神经网络技术应用到入侵检测系统中来的有效途径。

彭国星[5]2008年在《分布式关联规则算法和分布式决策树算法的对比研究》文中研究指明随着计算机技术,网络技术的飞速发展以及广泛采用的分布式计算环境,DDOS网络攻击的行为也越来越多,入侵检测已经是非常重要的防御基础设施中的一种方式。但随着呈指数级增长的数据,传统的方式不能解决目前大规模分布式环境下的网络安全问题。数据挖掘,能够从大量的网络检测数据中找到隐含的有用的知识,与入侵检测技术结合,可有效地提高入侵数据的分析、判断效率和精度。本文阐述了分布式关联规则算法(FDM)、分布式分类决策树算法(SPRINT)。对这两种算法的特点作了详细的分析和比较,指出了它们各自的优势和不足。并参考这两种算法作者提出了在分布式入侵检测环境下的改进型的分布式关联规则算法(TFDM)、改进型的分布式决策树算法(TSPRINT)。算法使用Microsoft Visual C++6.0开发。试验数据用XML统一格式。通过对算法性能的比较和实验结果表明:TFDM算法优于FDM算法,TSPRINT算法优于SPRINT算法,对分布式的大数据集的挖掘TFDM算法优于TSPRINT算法。

叶振新[6]2008年在《防火墙与入侵检测系统联动模型的研究》文中指出网络的迅猛发展在给人们带来巨大的便利的同时,也给人们带来了众多的烦恼。网络上各种攻击手段层出不穷,网络安全问题日趋严重。面对当前不断变化的网络环境,急需动态和全面的防御体系来应对。防火墙与入侵检测的联动,使安全防御体系由静态防御升级为动态防御,提高了网络的整体防御能力,体现了网络安全的整体性和动态性,具有重要的研究意义和实用价值。本文在深入研究和分析现有联动模型的基础上,结合它们的优点,并考虑联动系统的可实现性、易用性和可扩展性,设计并实现了NSS(Netfilter-Snort-Stunnel)防火墙与入侵检测联动模型。本文首先介绍了课题研究的背景,分析了防火墙技术和入侵检测技术各自的优缺点及对两种技术进行联动的必要性,并对目前代表性的联动技术进行了研究。接着根据联动系统的功能组成,分别分析了防火墙技术、入侵检测技术和联动技术,为NSS防火墙与入侵检测联动模型的设计与实现打下了坚实的理论基础。其次,本文从功能角度详细描述了NSS联动模型各模块的详细设计和具体实现,包括各主要模块的设计思想、体系结构和具体软件配置及接口实现等。其中着重介绍了基于Stunnel的联动安全通信的实现方案,并对该方案的安全性、扩展性和实时性进行了讨论分析。该方案有效的解决了防火墙与入侵检测通信的安全性问题。对防火墙模块的动态规则处理模块,本文也进行了详细的阐述,在动态规则添加过程中引入规则的异常冲突检测,以防止产生冗余的动态规则而影响防火墙的性能及安全性,并采用IP Sets工具具体实现动态规则的添加与超时失效。最后,本文结合所参加的项目,研究了防火墙与入侵检测联动系统的应用场景。一方面是基于实际网络环境的应用,研究分析了联动系统与陷阱网络及漏洞扫描技术相整合,构建更加全面的纵深防御体系;另一方面针对当前人们网络安全意识淡薄这一现状,分析了NSS联动模型在网络安全教学实践的应用前景,并对基于NSS联动模型的防火墙与入侵检测联动实验系统的提出了初步的设计。文章末对本文所做的工作进行了总结,并对未来工作的进行了展望。

肖政宏[7]2012年在《无线传感器网络异常入侵检测技术研究》文中认为无线传感器网络(Wireless Sensor Networks, WSNs)涉及的技术有传感器技术、嵌入式计算技术、网络技术、无线通信技术、分布式信息处理技术等,能够通过各种集成化的微型传感器协作的实时监测、感知各种环境或监测对象的信息,可广泛用于国防军事、国家安全、环境监测、交通管理、医疗卫生、制造业、反恐抗灾等领域,也是物联网获取信息的主要方式。由于无线传感器网络缺乏基础设施以及在空间上的开放性,使得攻击者可以很容易地窃听、拦截、伪造、篡改数据信息。由于传感器节点部署区域的特殊性,攻击者可能对被俘节点本身进行破坏或破解。无线传感器网络中高速动态变化的路由拓扑使得其正常与异常操作间没有明确的界限,发出错误信息的节点,可能是被俘节点,也可能是由于正在快速移动而暂时失去同步的节点,一般入侵检测系统很难识别出是真正的入侵还是系统的暂时性故障。无线传感器网络中的节点能量有限,使得WSNs易受到资源消耗型攻击。因此无线传感器网络需要有效的安全机制来阻止和预防各种网络攻击保证数据的机密性、完整性和可用性。本文针对无线传感器网络的特点,以异常入侵检测为主要研究内容,重点针对网络流量预测技术、统计分析技术、安全路由攻击检测技术,数据挖掘和智能处理技术在异常入侵检测中的应用进行分析、研究,提出有效的检测方案,本文的研究工作与主要成果包括:首先,针对现有方案仅仅通过监控节点(传感器节点、邻居节点、簇头节点)流量的变化来判断网络是否受到攻击的误判风险,提出了一种将流量预测和相关系数矩阵相结合基于阀值的异常入侵检测方法,该方法通过比较连续m个相关系数来进行异常检测。同时对叁种典型的流量预测模型:自回归滑动平均模型、Kalman滤波、混沌时间序列分析方法在无线传感器网络异常入侵检测系统中的应用进行了比较,仿真结果表明本节所提出的方案在流量攻击的程度较弱时,具有较高的检测率第二,统计分析技术是异常入侵检测中常用的技术之一,具有计算复杂度低,容易部署等特点。然而无论是均值与标准差模型、卡方检验方法、累积和(CUSUM)方法,门限参数的确定依然是比较困难的。针对CUSUM算法单一检测门限引起的检测延迟较长,检测率偏低的问题。提出了一种适用于WSNs的Multi-CUSUM算法,该算法首先根据流量序列均值的大小选择具有不同门限参数的CUSUM算法,对门限参数的优化选择一种随流量序列个数增多而增大的方式。理论分析与实验结果表明基于Multi-CUSUM算法的异常检测方案对于WSNs来说是一个比较理想的检测方案,该方案与当前典型的WSNs入侵检测方案相比较具有更优越的性能。第叁,安全路由协议是无线传感网络感知数据正确传输的保证。然而无线传感器网络中各种典型路由协议在设计时只对网络的应用进行了尽可能的完善并没有充分考虑路由安全方面的问题。基于异构无线传感器网络体系结构,提出了一种具有异常入侵检测功能的安全路由协议SRPAD。为优化路由选择,利用一种改进的蚁群算法搜索从簇头节点到基站节点的优化路由,提出了安全路由协议中根据节点流量、能量消耗的均值和方差变化检测异常攻击的方法。理论分析和仿真实验证明了本节所提出的SRPAD协议的可行性和有效性。从异常入侵检测的角度为无线传感器网络安全路由协议的研究提供了一种思路。第四,提出了基于贝叶斯(Bayes)分类的分布式入侵检测方案,为满足无线传感器网络轻量级计算的特点,该方案提出了基于K最近邻算法的WSNs分簇方法,并证明了WSNs中节点的K最近邻分簇是唯一的。方案中贝叶斯分类方法被用来进行簇内节点的异常检测,平均概率的方法被用来进行簇头节点异常行为的检测。通过模拟不同数据传输率下的攻击流量,构建了基于规则的检测策略。仿真结果和分析说明了提出的基于Bayes分类算法的入侵检测方法是适合WSNs特点的有效检测方案。第五,智能处理算法的一些特征如适应性、容错、高计算速度和差错恢复适合入侵检测系统的特性。基于“同类相近”的思想,提出了K-means-SVM异常入侵检测算法,同时从理论上分析了该算法的推广能力。该方法首先利用K-means算法对传感器网络中的节点进行聚类,对该算法难以解决的初始聚类参数K的问题,提出了一种带自调节参数K的计算方法,通过改进K-means算法初始聚类点的选择,克服了K-means算法初始聚类点选择的随机性和盲目性,有效的提高聚类的效率,在此基础上通过选择Multi-SVM算法来提高对不同类型攻击的异常检测效率,实验表明本文所提方法和WSNs中一些典型的异常检测方法相比具有更高的检测率和更低的误检率。

李柏生[8]2007年在《基于贝叶斯网络的入侵检测模型分析与研究》文中指出随着计算机技术的发展和Internet的普及,网络安全具有越来越重要的意义。入侵检测管理的主要目标是保障所有计算机系统、网络系统及整个信息基础设施的安全。贝叶斯网络既是一种基于概率的不确定性推理方法,也是处理不确定性信息的主要工具。本文应用贝叶斯网络的特点,对入侵检测问题进行研究。本文首先分析了朴素贝叶斯网络(NB),该方法把训练样本中所有的属性作为根结点的子节点,子节点之间是相互独立,在贝叶斯网络结构已经给定的情况下,网络参数只要通过训练样本计算节点的概率及在类节点下属性节点的条件概率的值就可获得,并能有效地提高了入侵检测效率。虽然NB对入侵有较高的检测率,但存在属性作用相同的缺点。因此,本文在原有的朴素贝叶斯网络的基础上,提出了一个基于卡方检验的贝叶斯网络入侵检测模型。该模型考虑朴素贝叶斯网络属性作用不同,只考虑关键属性对入侵安全的影响,删除属性作用小的冗余属性,从而不必关心冗余属性,简化了朴素贝叶斯网络结构,由此提高系统入侵检测的效率,保证正确获得数据特征属性,同时又减少了计算量,提高了分类的效率,使入侵检测具有更好的有效性和适应性。最后,本文对改进的NB系统性能进行了实验分析。结果表明:改进的系统具有高可靠性、高检测率的优点。

裴凯[9]2007年在《基于免疫原理的入侵检测模型及算法研究》文中研究指明网络的安全问题越来越受到人们的重视。研究人员围绕如何有效检测出系统和网络中的异常行为进行了大量深入性的探讨。由于生物免疫系统承担着与入侵检测系统类似的任务并且能够比较圆满地完成检测异常、保护生物体正常工作的任务,因而研究如何将生物免疫原理应用于入侵检测从而设计出高性能的入侵检测系统具有一定的理论价值和很重要的实际意义。这也使得基于免疫原理的入侵检测成为近年来入侵检测领域的一个研究热点,它的突出特点就是利用生物体免疫系统的原理、规则和机制来实现对入侵行为的检测和反应。本文首先介绍了网络安全以及入侵检测的国内外现状和发展趋势,接着阐述了生物免疫系统及其免疫学的基础知识,在此基础上,结合理论分析与仿真实验对生物免疫系统的正选择算法和负选择算法进行了对比研究。理论分析和仿真实验结果都表明,在抽样集很大的情况下,负选择算法具有较高的性价比。入侵检测需要处理网络中的海量数据,因此负选择方法适用于基于免疫学的入侵检测系统的研究。论文对入侵检测问题的负选择方法进行了全面、系统的形式化描述,针对负选择方法检测效率不如正选择方法的问题,首次提出结合马氏距离,改进负选择方法来提高检测效率。先从理论上分析此方法的可行性,然后利用仿真实验来证明。自主设计并实现了一个基于免疫学的入侵检测系统原型,并从数据收集、特征提取、模式构造、检测入侵、报告响应、系统优化等方面阐述了相应的实现思想。论文采用实际网络环境中收集的数据集对原型系统进行了测试。实验结果表明,此系统可以很好地检测出网络中的异常行为,达到了预期目标。

赵鑫玺[10]2010年在《数字图书馆环境下的网络入侵检测研究》文中认为数字图书馆是集成了多种硬件技术和软件技术的开放性信息资源平台。它将先进的网络通信技术、信息资源管理技术和面向用户的服务实现技术结合在一起,以期为广大数字图书馆用户提供实时、有效、可靠的知识服务,从而使数字图书馆的核心价值得到体现。然而,随着信息技术的蓬勃发展,各种危害网络信息安全的问题层出不穷地凸现出来。那么如何才能使数字图书馆的各种网络信息服务在这复杂的网络环境中安全稳定地运行呢?本课题即围绕该问题逐步展开。数字图书馆网络服务的安全不仅是重要的技术实现问题,同时也是重要的理论前沿问题,因此,对其做系统深入的研究有着重大的理论和实践意义。本课题在结合国内外相关研究成果的基础上,对网络入侵检测技术应用于数字图书馆体系进行了深入研究,并对其可行性和应用效果进行了实证分析。本论文内容分为五部分,第一章,绪论主要阐述了数字图书馆网络服务的安全现状,存在的问题和本课题研究的意义;第二章,入侵检测与SNORT,通过深入研究网络入侵检测的工作原理和技术特点,探求了该技术在数字图书馆系统中的适用性;第叁章,数字图书馆网站网络数据流特点,基于数据流的自身特征,采用数据挖掘的技术和方法,在对数字图书馆的网络服务数据流进行概念分解、重新定义、数学抽象的基础上,从数字图书馆网站运行日志的统计数据中抽样,并通过聚类分析,数据统计比较等方法对样本做了深入分析,以获取可以表征数字图书馆网站网络服务正常运行的特征数据;第四章,数字图书馆网站中网络入侵检测系统的应用研究,通过对开源入侵检测软件SNORT的结构进行优化,利用成熟的BP神经网络技术对其检测算法进行改进,使得其在检测率、虚警率和误警率方面都有较大程度改善,并在此基础上进一步构建了基于数字图书馆网站的智能型入侵检测模型;第五章,总结与展望,对全文做出概括和总结,指出了本研究的创新点、局限性和下一步的研究方向。本研究的创新之处在于以客观的方法从全新的角度对数字图书馆网站网络服务数据流进行了深入研究,在对其特征规律进行总结的基础上探寻了网络入侵检测技术的适用性,并最终提出了针对数字图书馆网站的联动式智能型入侵检测模型。该模型既有对同类研究成果的借鉴,也有适当的改进和完善。

参考文献:

[1]. 基于SVM的入侵检测研究[D]. 赵伟. 北京交通大学. 2007

[2]. 智能化入侵检测系统的研究与实现[D]. 张顺利. 太原理工大学. 2007

[3]. 基于数据挖掘技术的分布式入侵检测系统的设计和开发[D]. 潘镭. 苏州大学. 2006

[4]. 基于神经网络技术的网络入侵检测系统研究与实现[D]. 王景新. 中国人民解放军国防科学技术大学. 2002

[5]. 分布式关联规则算法和分布式决策树算法的对比研究[D]. 彭国星. 中南大学. 2008

[6]. 防火墙与入侵检测系统联动模型的研究[D]. 叶振新. 上海交通大学. 2008

[7]. 无线传感器网络异常入侵检测技术研究[D]. 肖政宏. 中南大学. 2012

[8]. 基于贝叶斯网络的入侵检测模型分析与研究[D]. 李柏生. 湖南大学. 2007

[9]. 基于免疫原理的入侵检测模型及算法研究[D]. 裴凯. 浙江工业大学. 2007

[10]. 数字图书馆环境下的网络入侵检测研究[D]. 赵鑫玺. 曲阜师范大学. 2010

标签:;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  

入侵检测系统的理论研究与实现
下载Doc文档

猜你喜欢