翁艳彬[1]2004年在《入侵响应控制系统的设计与实现》文中研究指明随着信息社会的迅速发展,越来越多的政府、军队、公司和个人都纷纷连入互联网中,给各大公司的发展带来了无限的契机。但与此同时,人们对网络的高度依赖,信息的全球性共享也意味着我们将面临更大的安全风险,需要采取更大力度的防护措施。入侵检测系统IDS(Intrusion Detection System)正是顺应这一需求而产生的一种积极主动的安全防范技术。它提供了对内部攻击、外部攻击以及误操作的实时保护,并在网络受到危害前拦截和响应入侵。 目前,很多安全研究机构及安全产品公司纷纷将其重心转向了对IDS的研究与开发中来。似是,入侵响应机制一直是IDS开发中的一个难点,至今没有一个产品具有高效实用的响应系统。而一个系统如果在检测到入侵以后不能及时进行响应,对入侵采取相应措施,入侵检测也就失去了存在的价值。因此,随着检测技术的不断提高,人们的研究重点必将转移到对响应机制的研究上来。 基于目前入侵检测产品在响应部分的欠缺,本系统通过深入分析与探讨当前产品的特点与不足,设计并实现了一个入侵响应控制系统。本文通过对入侵检测系统的概要介绍,以及对入侵响应技术的深入研究,重点闸述了该系统的设计与实现的相关问题。考虑到系统的安全性及操作的易用性,本系统采用Win2000平台,使用Java进行系统的开发工作。通过对响应的数据库管理、日志管理、规则库配置管理、告警管理、通信管理等子系统的设计,实现了一个功能齐全的动态入侵响应控制系统。本系统能够进行方便的日志查询、分析,添加自己的入侵规则,并能对入侵行为实施主动响应策略,达到了对各种检测到的入侵事件进行不同级别多种形式的响应的目的。 本系统在具有良好的可移植性、可扩展性、易操作性以及高度的安全性,同时,系统的测试运行也表明系统具备良好的响应功能,完全能达到预期的目标。
欧阳广[2]2006年在《基于神经网络BP算法的网络入侵检测系统研究与实现》文中研究表明网络与计算机越来越广泛地应用在现今社会,企业、政府和其他组织的工作也越来越依赖于计算机网络系统,因此安全问题也更加突出。入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。然而随着入侵技术的多样化,传统的入侵检测系统(IDS)已不能满足当前网络安全的要求,因此,对于入侵检测的实现手段也要多样化,将智能化技术融入入侵检测系统已是大势所趋。本文从介绍入侵检测的基本概念入手,分析现有IDS模型与IDS产品中的常用入侵检测方法,发现这些方法存在的不足,发现现有的IDS产品难以满足IDS所需要的实时性、适应性和准确性等方面的需求。通过对神经网络的研究表明,神经网络在概念和处理方法上都很适合入侵检测系统的要求,研究与设计基于神经网络的入侵检测系统,将具有重要的理论与实用意义。并对神经网络理论中的BP算法及其改进算法的推演和相关知识进行了描述。在此基础上,本论文提出在IDS模型设计中引入神经网络技术,研究如何将神经网络成功应用于入侵检测,并给出了一个基于神经网络的网络入侵检测系统的模型,阐述了该模型的设计思想、模型原理图,并就系统模型中各模块的原理和实现给予详细的介绍。最后通过训练过程和检测过程对实验的结果进行了比较客观的分析,实验的结果也比较令人满意,说明神经网络在基于网络的入侵检测方面具有很大的优势。
张德祥[3]2006年在《网络入侵诱控中虚拟路由技术的研究与实现》文中指出网络入侵诱控技术是一种主动的网络安全防卫技术,它通过建立一个或多个诱骗环境,牵制和转移入侵者的攻击,对入侵方法进行技术分析,对网络入侵进行取证甚至对入侵者进行跟踪。网络入侵诱控技术的引入增加了入侵的成本,使入侵者害怕受到跟踪,暴露自己的身份和攻击方法,从而使其能用于攻击的资源和时间减少,极大地增强了网络的安全性。本文根据入侵诱控技术的思想,结合已有的入侵诱控技术的研究成果,将入侵检测技术、入侵响应技术、蜜罐和蜜网技术和路由技术相结合,提出了一种网络入侵诱控系统模型,通过将多种网络安全技术的结合使用来提高网络入侵诱控系统的效能。该模型包括入侵检测、诱骗决策、入侵诱骗、入侵响应和行为分析五个子系统,重点对入侵诱骗子系统进行了研究,并根据网络入侵诱骗平台HoneyGate模型,重点研究了虚拟路由技术的设计与实现,虚拟路由技术主要应用于HoneyGate模型的欺骗网络模块和欺骗主机模块中。本文主要研究了对地址扫描的欺骗、对路由追踪的欺骗和虚拟路由器的设计与实现。最后,对本文的设计内容进行了测试,对论文的工作进行了总结,同时也指出了今后的改进设想。
曾旭[4]2009年在《千兆网络入侵防御系统(GNIPS)控制平面子系统的研究与实现》文中指出随着计算机网络的飞速发展及社会信息化程度的提高,计算机网络在方便人们生活的同时也带来相当严重的安全问题。入侵防御系统是网络安全领域为弥补防火墙和入侵检测的不足而新兴的信息安全技术,它综合了防火墙和入侵检测系统的优点,能够对保护网络进行主动实时的防御。由于主干网络带宽普遍已经进入了千兆时代,千兆网络入侵防御系统的相关研究与应用成了信息安全领域的热点之一。本文首先分析了目前安全防御技术的一些优缺点,包括防火墙、入侵检测等;然后研究了入侵防御系统的原理、分类、特点以及存在的性能瓶颈。在深入分析了IPS的相关理论的基础上,本文给出了一种高效、高性能的千兆网络入侵防御系统(GNIPS)的解决方案,并分析了其系统原理、工作流程和关键技术。该GNIPS基于专有硬件平台,综合了协议分析、模式匹配、多种检测技术,能够降低入侵防御系统的高误报率和漏报率,深层次对网络入侵进行防御。文中提出的动态防御机制提高了系统主动实时的入侵响应能力,从而提高了网络整体的安全性。GNIPS在硬件方案上选取了OCTEON CN3860多核平台作为GNIPS探针的实现平台。本文考察了现有的多核平台下的软件结构模型,包括AMP、SMP、BMP等,分析了相关模型的优缺点,最终选取了BMP模型作为系统的实现模型,并根据流水线和并行的处理模式设计了该系统的软件体系结构。该软件体系结构能够对网络数据流进行多层次的分流和并行处理,能够较充分地发挥多核平台的能力,全面提升系统的处理性能,满足千兆网络安全处理的需要。网络管理是所有网络应用设备必须提供的功能,本文的GNIPS的探针也是网络设备的一种,其控制平面负责完成对外提供安全的管理接口、完成告警/日志数据的安全交互。本文讨论了流行的SNMP、Web及NETCONF的管理模型,设计了自己的解决方案,并在嵌入式Linux环境下对控制平面进行了实现,包括探针软件控制平面软件系统的设计、构建以及控制平面各个子模块的实现。最后在模拟千兆网络环境下对控制平面子系统进行了功能测试,测试结果表明实现的控制平面满足预期的功能要求。
高成超[5]2017年在《面向城市轨道交通工控系统的入侵检测系统设计》文中研究说明随着城市人口的不断增加,作为人们出行的主要交通工具之一的城市轨道交通系统,已经变得越来越重要。城市轨道交通的安全稳定运行则是由城市轨道交通工控系统来控制的,其运行的安全性直接关系到人民生命财产安全。随着城市轨道交通安全事件的不断发生,城市轨道交通工控系统信息安全问题已经引起了各方的广泛关注,并已然成为人们研究的热点问题。本文基于城市轨道交通工控系统信息安全的现状,在分析攻击者对工控系统的各种可能的入侵之后,针对这些入侵设计出城市轨道交通工控系统入侵检测系统。本文主要内容包括四个部分。(1)根据城市轨道交通工控系统的安全需求、整体框架结构、脆弱性以及入侵途径,得出了城市轨道交通工控系统所面临的信息安全问题,并针对城市轨道交通工控系统中常用的Modbus/TCP协议的脆弱性进行分析,总结得出因Modbus/TCP协议的脆弱性而导致的城市轨道交通工控系统各种可能被入侵的类型。(2)根据城市轨道交通工控系统的不同入侵类型,设计出了与之相对应的Snort入侵检测规则。(3)介绍了用于设计城市轨道交通工控系统入侵检测系统的软件和工具,并设计出了基于Modbus/TCP工控协议的城市轨道交通工控系统入侵检测系统。(4)搭建了城市轨道交通工控系统入侵检测系统测试平台,并采用白盒测试法,测试城市轨道交通工控系统入侵检测系统的可用性以及入侵检测规则的有效性。测试结果表明,本文所设计的城市轨道交通工控系统入侵检测系统可以正常的捕获入侵数据包并在Web网页动态显示其入侵信息,并且所设置的Snort入侵检测规则也满足检测需求。该系统为城市轨道交通的安全运营打下良好的基础。图29幅,表8个,参考文献42篇。
王高飞[6]2006年在《入侵响应系统的研究与实现》文中进行了进一步梳理随着全球网络化、信息化的高速发展,网络与信息安全问题日益严重。网络入侵及安全事件的频繁发生,而且攻击的复杂度和自动化程度不断提高,使得应急响应受到了广泛关注。面对大量网络攻击事件,自动入侵响应系统能够及时采取响应措施阻止攻击的延续并减小系统损失。 本文首先提出一种新的入侵响应分类方法。要对入侵检测做出合理的响应措施,就必须深入的研究入侵事件的性质以及他们之间的内在联系,针对某个入侵事件可以采取一种或几种适当的措施进行响应。本文在总结了国内外前人研究的基础上,并结合本系统的特点,提出了一种新的入侵响应分类法。该分类法是本文对入侵响应的依据,它为提供准确的入侵响应提供了广泛的理论基础。 基于目前入侵检测产品在响应部分的欠缺,本文通过深入分析与探讨当前系统的特点与不足,设计并实现了一个入侵检测与响应系统。木文通过对入侵检测系统的概要介绍,以及对入侵响应技术的深入研究,为系统的架构提供理论参考,最后重点阐述了该系统的设计与实现的相关问题。本系统采用Linux操作系统平台,使用C语言进行系统的主体开发工作。通过对数据库,协议分析,日志以及响应系统的设计,实现了一个功能齐全的入侵响应系统。本系统能够进行方便的数据包的查询、分析,添加并设置自己的入侵规则,达到了对各种检测到的入侵事件进行不同级别多种形式的响应的目的。
苏璞睿[7]2004年在《基于特权进程行为的入侵检测方法研究》文中研究指明入侵检测技术是保护网络系统的重要手段之一,基于主机的入侵检测系统主要用于对重点主机实施防护,具有检测效率高和检测准确性高等优势。特权进程是攻击者入侵系统时的主要攻击目标,本文通过深入分析针对特权进程的各种攻击方法及其造成的进程行为差异,从异常检测和误用检测两方面研究了针对特权进程行为的入侵检测方法,并在自动响应技术方面进行了探讨性研究。 论文主要取得以下成果:第一,对正常进程和入侵进程进行了对比分析,并对不同的异常行为提出了不同的检测方法;第二,提出了新的基于进程行为监控的检测模型,融合了误用检测和异常检测两种检测技术,充分利用了二者优势,弥补了各自的缺陷和不足;第叁,异常检测中,研究了多种检测方法,提出了基于遗传算法的检测模型、基于序列特征提取的检测模型和基于非层次聚类的无监督检测模型,其中基于非层次聚类的无监督检测模型具有对训练数据要求低,生成的正常行为轮廓质量高等优点;第四,首次提出了进程轮廓的实时更新算法,更有利于确保正常行为轮廓与实际应用环境的一致性,改善正常行为轮廓质量;第五,异常检测中,引入了滤噪函数,降低了误报率;第六,提出了新的误用检测算法,提出了一套完整的基于系统调用相关属性的误用描述规则,可详细描述进程异常行为特征,实施误用检测;第七,针对监控特权进程的特殊性,提出了多种可能的响应方法及实现方式,并深入分析了各自的优势和不足;第八,借鉴生物免疫系统原理,设计了一套人工免疫系统,该系统具有自学习功能,可识别自我和非我,并可在运行过程中不断完善,提高检测准确性
吕良成[8]2011年在《铁通NDC网络入侵检测系统的研究与设计》文中进行了进一步梳理随着铁通NDC(铁通互联网数据中心)网络的建设不断扩大,入侵攻击,拒绝服务攻击,网络资源滥用等威胁也如影相形。网络病毒的泛滥,令到整个NDC网络负担大大加重,从而无法保证广大宽带用户正常使用网络。因此需要采用多方位、多样式的手段来保证网络安全。在当前的网络安全技术中,IDS(Intrusion Detection System,入侵检测系统)无疑是最热门的技术之一。入侵检测技术能检测出针对某一系统的入侵或入侵企图,并实时作出反应。本文对铁通NDC网络入侵检测系统的实现开展研究。交换机、路由器等网络设备是构成铁通NDC网络的重要设备,许多网络瘫痪都与这些设备有关。特别是路由器,作为互联网络的核心设备,是网络安全的前沿关口。铁通NDC网络入侵检测系统就是专门加强铁通NDC网络核心部分安全性的一种入侵检测系统。本文设计的铁通NDC网络入侵检测系统模块包括以下六个模块:网络数据包捕获模块、数据处理模块、分类器、分析模块、入侵规则库模块、入侵响应模块。数据包捕获和处理模块主要是获取流经铁通NDC网络的网络流量,包括所有协议端口、所有子网主机的所有交互数据,采用Sniffer技术与NetFlow技术相结合的办法,并以Linux为开发平台、以Perl语言为开发工具、并将所采集网络数据预处理成Netflow格式。分析模块将定时分析采集后所生成的Netflow数据文件,自动生成报表。这些报表主要产生铁通NDC网络中各IP地址的流量和各种应用类型的流量报告;基于流量报告的基础,还可以根据需要做出趋势报告,即特征数据的时序分析。同时,为了保证入侵检测的实时性和准确性,本文提出铁通NDC网络入侵检测系统的检测部分采用分层式数据分析,将第一层的模式匹配分析方法和第二层的数据挖掘技术相结合,来保证入侵检测系统的实时性和准确性。本文在设计入侵响应控制系统时,根据对传统响应系统的分析,提出了相应的改进方案,以适应当前安全技术的发展趋势。
袁卫华[9]2006年在《一种基于协议分析技术的混合型入侵检测系统的研究》文中研究说明网络安全问题已经对计算机网络的应用、管理和发展构成了严重的威胁,网络入侵事件频繁发生,给用户带来了无法估量的损失。为了保障系统的安全性,仅仅做好安全防御工作是不够的,入侵检测系统应运而生,它是继防火墙、数据加密、访问控制等传统安全防护措施之后的新一代安全保障技术;它不仅可以检测到来自外部的入侵行为,同时也监督内部用户的未授权活动,是一种主动的网络安全防护技术。 随着大量高速网络技术的出现,网络入侵检测系统正面临着巨大的挑战:如何保证系统及时、高效地处理、分析大量的数据包,减少甚至避免丢包现象的发生,提高IDS自身抗攻击的能力,尽量降低误报率和漏报率,以及如何提高IDS系统的效率等等。虽然有众多研究人员潜心研究多年,但这些问题仍然没有得到彻底解决。 本文针对入侵检测技术领域中存在的以上诸多问题,研究和分析了入侵检测的相关背景知识、技术发展以及相关的协议框架,主要论述了基于协议分析技术的混合型入侵检测系统。 本文的主要工作如下: 1)综合主机检测器和网络检测器的分布式入侵检测系统体系结构的设计,同时分析来自主机的审计记录,系统日志以及网络原始数据流,更加全面地检测系统的各种入侵攻击现象。在这种体系结构中,底层可以独立地完成相应的入侵检测,可以避免集中式检测时数据包处理效率低下的问题,减轻了主控系统的负担;各个检测子系统独立运行,互不影响,避免了单点失效问题;可灵活部署,可扩展性很好;主控系统从全局对整个系统的运行进行监控,检测针对整个系统的更加复杂的攻击入侵,主控系统失效不会影响其下层各个子系统的入侵检测,某一个子系统失效也不会影响其他子系统和主控系统的运行。 2)可移植的高效的分布式网络数据包采集器的设计与实现,用分布式数据包捕获取代传统的集中式数据收集,提高了数据收集的效率。 3)分布式NIDS子系统的设计与实现,利用基于应用的负载均衡分发技术来进行协议分流,将协议解析后的数据包以应用为单位分配到不同的入侵检测分析引擎进行入侵检测。 ①协议分析引擎的设计与实现,完成了IP分片重组以及TCP流重组,利用协议分析技术来提高数据包解析效率,提高了检测效率。 ②分布式入侵检测分析引擎的设计与实现。在协议解析基础上对网络数据流进行分布式入侵检测。首先改进了基于应用的负载均衡分发算法,对其处理流程进行了改进,增加了算法所能处理的数据范围,提出了基于应用根据UDP数据包所属协议类型为其分配检测引擎进行入侵检测的思想;以TCP连接事件的建立过程为参考,提出了建立UDP“连接事件”的思想;并且根据数据包所属协议类型及其实现特点,分别设计了TCP连接事件和UDP“连接事件”的建立流程和入侵检测流程。 ③系统检测流程的改进:数据包在由负载均衡分发器分发到各入侵检测分析引擎进行入侵检测的同时,系统利用方差分析算法进行异常数据流的检测。分配到各个入侵检测分析引擎的数据包,首先进行数据包合法性检查,然后根据其所属协议类型分别建立TCP连接事件和UDP“连接事件”,然后根据我们设计的TCP和UDP“连接事件”的建立和入侵检测流程,运用各种异常和误用检测技术,进一步检测是否存在包含网络连接中的各种入侵攻击现象。 4)HIDS子系统的设计。本系统中我们提出了在HIDS中分析到达本机的原始数据流的检测思想,提高了HIDS检测子系统的应用范围,实时性和效率。 5)主控系统的设计与实现。底层各个入侵检测分析引擎将检测到的入侵数据格式化后送到主控模块,主控模块运用相关算法进一步检测针对整个系统的各种入侵现象。 最后在局域网环境下作了相应的实验,并对实现结果进行了分析对比,证明了系统的高
张顺利[10]2007年在《智能化入侵检测系统的研究与实现》文中研究说明入侵检测是近年来网络安全研究的热点,随着计算机安全问题的日益突出,对入侵检测系统提出了更高的要求,当前IDS的最大问题是不能快速检测出新出现的异常入侵和较高的误报率。人体免疫系统与网络入侵检测系统具有很大的相似功能,它为研究和开发网络入侵检测系统提供了一个自然的模版。我们可以充分利用人体免疫机理的许多优点如多层次、多样性、独特性、动态防护性、自适应性、联想记忆等,提高系统的健壮性、自适应性和动态防护性。另一方面,当前的入侵检测研究大部分都集中在提高检测率、降低误报率、加快检测速度等方面,现在的入侵检测系统在响应模块部分还存在尚待解决的问题:入侵响应模块还是单一地对这些攻击事件进行响应,不具有推测功能,属于一种事后的响应活动;没有考虑到分析引擎存在的误报和漏报的情况;对于精巧而有组织的分布式攻击缺乏统一协同防御,无法实现多系统的系统防御。因此有必要对入侵响应进行分析,使入侵响应模块能够在入侵的不同时刻做出不同的响应,减少人工的干预,实现自适应能力。本文主要的工作是通过分析当前最新的基于免疫的动态入侵检测模型,对其进行改进和实现,并且通过实验证明了改进后的优势。通过分析胸腺和高频变异的生物学理论,将其分别应用于检测器检测过程和检测器生命周期的控制过程。对模型进行的仿真实验表明:这种新型的入侵检测模型较基于免疫的传统动态方法具有更好的适应性。最后实现了一个基于免疫的动态分布式入侵检测系统,且对各个模块进行了详细介绍,然后在实际运行效果的基础上,对当前基于免疫的入侵检测系统的优缺点进行了分析总结。另一方面,通过分析当前入侵响应系统存在的问题,提出了一种基于工作流和作业调度的J2EE框架构建的入侵响应模型,该模型先对所有报警事件进行过滤然后予以响应,并在响应当前报警事件的同时根据报警信息之间的关系,对进一步可能发生的攻击做出在线的预警并产生相应的响应措施。通过实验分析,该模型能够在入侵发生后主动采取措施阻击入侵的延续和降低系统的损失,保护受害系统。另外,通过对Petri网的描述进行扩展,使得Petri网更好的用于对工作流管理模型进行建模。最后给出了对入侵检测系统的一些思考,并对以后在该领域的工作进行了展望。
参考文献:
[1]. 入侵响应控制系统的设计与实现[D]. 翁艳彬. 中南大学. 2004
[2]. 基于神经网络BP算法的网络入侵检测系统研究与实现[D]. 欧阳广. 东南大学. 2006
[3]. 网络入侵诱控中虚拟路由技术的研究与实现[D]. 张德祥. 青岛大学. 2006
[4]. 千兆网络入侵防御系统(GNIPS)控制平面子系统的研究与实现[D]. 曾旭. 电子科技大学. 2009
[5]. 面向城市轨道交通工控系统的入侵检测系统设计[D]. 高成超. 北京交通大学. 2017
[6]. 入侵响应系统的研究与实现[D]. 王高飞. 哈尔滨工程大学. 2006
[7]. 基于特权进程行为的入侵检测方法研究[D]. 苏璞睿. 中国科学院研究生院(软件研究所). 2004
[8]. 铁通NDC网络入侵检测系统的研究与设计[D]. 吕良成. 北京邮电大学. 2011
[9]. 一种基于协议分析技术的混合型入侵检测系统的研究[D]. 袁卫华. 贵州大学. 2006
[10]. 智能化入侵检测系统的研究与实现[D]. 张顺利. 太原理工大学. 2007
标签:互联网技术论文; 入侵检测系统论文; ids论文; 入侵防御系统论文; 网络攻击论文; 网络模型论文; 信息安全论文; 网络行为论文; ids入侵检测论文;