新型网络入侵检测系统的研究

新型网络入侵检测系统的研究

谢康[1]2016年在《基于神经网络的入侵检测相关技术研究》文中指出随着互联网规模的日渐增大,网络新兴服务逐步影响着人们的日常生活,同时,网络安全问题也倍受人们关注。面对攻击行为日益复杂化的发展趋势,入侵检测系统可以通过实时分析获取的计算机系统、网络和用户的事件信息,来评估计算机系统和网络的安全性。传统环境下的入侵检测技术一直都是各研究机构的研究热点,如何提高入侵检测系统的检测性能至关重要。同时,云计算作为新的计算模式,改变了传统计算机体系架构,但是其虚拟化、分布式和超大规模的特点给计算机系统、网络和用户带来了巨大的安全挑战。为了有效应对这些新的挑战,研究云环境下的入侵检测系统同样具有重要的现实意义。神经网络具有自学习、联想记忆和可高速并行计算的特点,使其在很多应用领域都取得了显着的效果。将神经网络技术应用于入侵检测领域,已经引起了国内外相关学者的普遍关注。本文利用神经网络理论,对传统环境和云环境下的入侵检测系统相关问题进行了研究。本文首先针对传统环境下的分布式入侵检测系统存在中央节点负载大,易造成单点失效等问题,研究可高速并行计算,易于硬件实现,检测精度高的完全分布式协同入侵检测系统(第二章)。然后为弥补传统环境下的入侵检测系统普遍存在缺乏主动防御能力的缺点,研究在目标主机或操作系统遭到破坏之前,可预测即将发生攻击行为的入侵预防系统(第叁章)。随着云计算的发展,传统环境下的入侵检测系统在海量入侵数据检测率和检测速度方面都存在着局限性,已经不能满足云环境下入侵检测系统的需求,因此本文研究了可自主学习、动态拓展的基于网络的云入侵检测系统(第四章)。云计算的核心是虚拟化技术,针对虚拟机在迁移过程中容易因为系统存在的漏洞或后门缺陷遭受病毒或黑客攻击,造成虚拟机异常迁移等安全问题,本文最后研究了虚拟机迁移调度监控系统,保障虚拟计算环境的安全(第五章)。本文的主要创新工作如下:(1)通过对分布式入侵检测系统的研究提出了一种基于离散细胞神经网络(DTCNN)和状态控制细胞神经网络(SCCNN)的完全分布式协同入侵检测系统。其中,基于DTCNN的多层检测模型作为本地节点检测分类器,基于改进SCCNN的一维环形检测模型作为全局检测器。每个本地节点检测器负责独立地检测本地网络入侵行为,然后周期性地发送检测消息与其相邻节点交换本地检测信息,构成全局检测器。针对本地节点检测器的模板参数,提出了基于改进粒子群算法的参数选择算法,通过能量函数约束法构造新的适应度函数来避免粒子群算法陷入早熟收敛并寻找到参数最优解。针对全局检测器,提出了一种基于求解线性矩阵不等式的模板参数求解方法,使系统达到理想的稳定输出,实现检测应用。仿真实验结果表明本检测系统与其他分布式入侵检测系统相比具有更高的检测率。(2)通过对入侵预测系统的研究提出了基于神经网络改进时序分析方法的入侵预测模型。为降低入侵预测系统的误报率和漏报率,提高入侵预测模型预测精度,提出了基于灰色神经网络改进ARIMA的网络入侵预测模型,采用BP网络映射灰色预测模型的微分方程解,构造出新的灰色神经网络,对基于ARIMA的网络入侵预测模型预测残差进行修正。此外,为提高多尺度网络流量时序的预测精度,本文还提出基于小波分解和改进最小复杂度回声状态网络的网络入侵预测模型(IMCESN-WD),首先对原始网络流量时序进行小波分解预处理,然后对分解后的各个尺度子序列建立最小均方误差和误差变化率改进最小复杂度回声状态网络的预测模型,最后利用权值因子将子序列预测结果进行整合。仿真实验证实上述方法可通过对网络流量数据进行建模来衡量网络的安全状况,对入侵行为进行预警,预测精度较高。(3)通过对基于网络的云入侵预测系统的研究提出了一种基于改进生长自组织神经网络的云网络入侵检测系统。该系统利用映射规约主成分分析算法对海量入侵数据进行降维,并将降维后的数据利用改进的生长自组织神经网络算法进行动态更新检测,利用遗传算法对基于生长自组织神经网络检测模型拓展出的自组织神经网络子网中的连接权值进行优化,加速检测网络收敛。仿真实验表明本方法可以实现对海量入侵数据的实时检测和新型攻击的扩展检测,检测算法与其他算法相比有较高的有效性和可拓展性。(4)通过对虚拟机迁移监控系统的研究提出了基于改进细胞神经网络的虚拟机迁移调度方法。迁移调度过程可等价于旅行商问题,通过改进细胞神经网络的能量函数使输出的平衡点为实时网络期望的特征值,系统达到稳定状态。本文在迁移调度局部规则和全局规则的基础上确定了参数关系,该网络模型参数关系可以转化为求解约束优化问题。然后,基于冒泡排序粒子群算法优化模板参数,避免求解参数过程陷入局部最优。仿真实验表明本文的方法可以制定出有效的虚拟机迁移调度策略,减少了迁移持续时间和迁移数据量。

闫巧[2]2003年在《基于免疫机理的入侵检测系统研究》文中提出入侵检测系统在保障网络系统安全中起着关键作用。本文在深入分析了当前入侵检测技术研究状况的基础上,提出并建立了一个完整的基于免疫机理的入侵检测系统。该系统利用了自然免疫机理的许多优点如多层次、多样性、独特性、动态防护性、自适应性、联想记忆等,提高了系统的检测性能,增加了系统的健壮性、自适应性和动态防护性。首先提出了基于免疫机理的入侵检测系统的总体设计方案,从理论上证明了根据该方案建立的系统具有比传统的单层防护的入侵检测系统更好的检测性能以及具有健壮性、自适应性和动态防护性等优点,并基于自然免疫系统的多层次、多样性机理提出了基于免疫机理的入侵检测系统的多子系统、多代理、多组件的体系架构。基于免疫机理的入侵检测系统包括四个子系统即:基于免疫机理的主机入侵检测子系统、基于免疫机理的网络入侵检测子系统、基于免疫机理的网络节点入侵检测子系统和控制台。在基于免疫机理的主机入侵检测子系统中类比自然免疫系统的多样性机理,提出了包括完整性代理、可用性代理、保密性代理和系统调用代理的多代理结构,使得子系统具有良好的灵活性和健壮性。重点提出了基于隐马尔可夫模型的系统调用异常检测方法,该方法使得正常轮廓库具有比同类方法更简洁、更稳定的优点,特别是在训练数据不完整的情况下也能得到较完备的正常轮廓,从而能够改善系统的检测性能。我们在现有的工具Install Watch Pro,WINDOWS 2000的性能日志和警报工具以及EventCombMT工具的基础上实现了完整性、可用性和保密性代理,提出了类似自然免疫系统的T协助淋巴细胞的工作机理的一种新型协同信号机制,利用所建立的检测代理给其它子系统提供协同信号。在基于免疫机理的网络入侵检测子系统中提出了包括数据收集、包头解析和特征提取组件、抗体生成与检测组件、协同和报告组件、规则优化组件的多层次结构。在包头解析和特征提取组件中根据扫描攻击和拒绝服务攻击的特点新定义了基于连接的统计特征。在抗体生成与检测组件类比自然免疫系统自适应免疫的两种免疫类型即被动免疫和自动免疫提出了被动免疫抗体(PAb)和自动免疫抗体(AAb)的概念,并重点提出了记忆自动免疫抗体(MANAb)和模糊自动免疫抗体(FANAb)的实现方法。在协同和报告组件中根据T协同淋巴细胞的工作机理提出了新型的协同信号机制以减少虚警,并增加检测系统对正常变化的自适应能力。在规则优化组件中基于克隆选择原理引入了规则适应度的概念并提出了记忆规则优化的算法,从而使规则库中的规则能够根据当前的入侵自适应调节并维护相对小的规则库。最后通过两个实验证明该子系统具有较高的检测新型攻击的能力和<WP=5>较低的虚警。在基于免疫机理的网络节点入侵检测子系统中提出了阴性抗体和阳性抗体的概念和具体实现方法,利用协议分析技术和多代理技术使得该子系统能够检测基于应用层的攻击,并避免各种入侵检测逃避技术,同时还具有良好的灵活性和健壮性。

张宇[3]2018年在《企业信息网网络入侵检测系统设计与实现》文中进行了进一步梳理随着互联网的不断普及以及计算机技术的发展,信息技术已经成为了事关国家,企业稳定运行的重要支柱,但由于目前的信息系统以及网络协议中存在着诸多的漏洞和隐患,同时计算机世界与现实世界的紧密结合,也使许多人基于各种不同的目的对网络世界中的计算机系统发起攻击,获取利益。国内外的安全事件层出不穷,不断有各类网站和企事业单位的信息系统受到攻击,造成的损失也是巨大的,而我们也相信随着互联网的飞速发展,这种安全事件不仅不会减少,相反会同步的增加。因此,信息安全问题越来越受到国家和企业的重视,在这种情况下,如何保障我们的企业信息网络安全,保护我们的数据和设备不会受到恶意破坏,这就成为了当前的一个重要研究课题,而防火墙作为一种只能先挨打才能做出反应的防御机制已经不能应对现在多变的网络问题,网络日趋复杂化,传统防火墙是不足以满足如今复杂多变的网络安全问题,因此需要更有效的方法来保护网络安全,入侵检测系统正好满足了要求,入侵检测系统不但能够为网络提供及时的入侵检测并且采取相对应的防护手段,它还能识别针对计算机的恶意企图和行为,并对这些情况进行处理。本文主要开展了如下的工作:1、理论学习、文献阅读:在研究本课题时,对大量相关文献进行阅读,了解目前国内外入侵检测技术研究的现状和发展。2、技术基础:描述当前入侵检测技术的技术基础,同时指出目前入侵检测系统存在的不足。3、系统需求分析和总体设计:首先对企业信息网的安全性进行分析,指出企业信息网面临的安全威胁,然后提出对企业信息网网络入侵检测系统的功能需求和性能需求。并针对系统进行建模。接下来描述系统设计的原则,提出系统架构设计,设计系统功能设计,描述系统工作流程。4、系统的实现:详细描述系统各功能模块的实现。并且在实现系统过程中,对系统的可扩展性、兼容性于以充分考虑,预留外部接口。5、系统的测试和部署:按照软件测试的要求,对系统进行测试,编写测试用例、执行测试用例。当测试通过后,进行系统部署工作。6、本文的最后,总结了全文工作,并对以后将开展的工作系统予以总结。

常瑞[4]2008年在《IPv6网络中的入侵检测系统研究与实现》文中研究说明虽然IPv6协议提供了更加丰富的地址空间、方便的网络配置以及优良的可扩展性,同时还提供良好的QoS、安全性和移动性支持。但是在IPv6网络中,仍然有很多安全隐患以及网络攻击等诸多安全问题没有得到很好的解决,而入侵检测系统作为一种有效的网络安全工具,依然能够在IPv6环境下发挥极其重要的作用,因此对于IPv6网络入侵检测系统的研究仍然十分必要。本文在深入分析IPv4网络中的入侵检测系统的基础上,通过对IPv6网络攻击,以及IPv6仍需面临的网络威胁的研究,并结合IPv6协议分析、分布式入侵检测以及基于规则的特征匹配等入侵检测技术,提出了分布式IPv6网络入侵检测系统的总体设计方案。本文重点研究设计并实现了总体方案中的终端级IPv6网络入侵检测系统。该系统是以分析开源的轻量级网络入侵检测系统——Snort为基础,并在Snort系统中加入基于IPv6协议分析技术和基于IPv6规则的特征匹配技术的原理上设计实现的。随后针对终端级IPv6入侵检测系统的设计框图,对IPv6数据包的捕获模块、IPv6协议解析模块、IPv6预处理模块、IPv6规则解析与IPv6特征检测匹配模块等六大模块进行了详细研究、设计与实现。最后针对IPv4/IPv6网络过渡机制,分别给出了IPv4/IPv6双栈过渡机制中的IDS设计方案,以及隧道过渡机制中的IDS设计方案。并针对IDS不能处理IPSec协议中使用AH、ESP加密数据包的情况,设计了一种能够处理AH、ESP协议的IPv6网络入侵检测系统。本文设计并实现了IPv6网络中的入侵检测系统,经实际测试,该系统能够检测IPv6网络攻击并输出报警,本文为IPv6网络入侵检测技术的进一步深入奠定了基础。

谷保平[5]2008年在《基于聚类算法的网络入侵检测研究》文中进行了进一步梳理随着计算机技术和通信技术的迅猛发展,计算机应用日趋广泛与深入,同时也使网络安全问题更加突出和复杂,它关系到商业利益、个人隐私乃至国家机密。现有的各种安全技术和产品可以保证信息系统具有一定的安全性,但由于它们自身的脆弱性,无法保证绝对的安全。因此,如何对计算机系统和网络中的各种非法行为进行主动防御和有效抑制,成为当今网络安全有待解决的重要问题。尽管广泛应用了各种传统安全产品,如识别/认证、访问控制、审计、加密、防火墙等,但由于安全系统的不完备性,计算机系统和网络仍然会遭到入侵者的攻击。因此需要进一步引入入侵检测技术。入侵检测不能阻止入侵和攻击,但它能够寻找漏洞,并在非法入侵者攻击系统时,及时将它们捕获。因此引入侵检测技术是目前保证计算机安全的必要手段。入侵检测系统是实时监视系统中的活动,检测是否有入侵发生的系统。它通过监视系统的动态特征,确定是否发生入侵。入侵检测系统是任何一个完整的网络安全系统中必不可缺的部分。目前,商用的入侵检测系统所采用的检测方法大多是基于规则的,这种基于规则的方法首先是从各种不同的审计数据流中提取特征,然后和己有的由专家提供的规则进行比较来判断入侵。这样就造成了它们只能够对某一些特定的或已知的入侵行为取得比较好的结果。尽管现在有很多采用数据挖掘和机器学习等方法来进行检测入侵的研究,这些方法能够得到比较好的检测效果也能够检测一些未知入侵。但是这些方法一般都要求训练数据集中数据样本是洁净的,或者要求数据样本是有类标的数据,而实际上,要为系统的学习收集一个洁净数据集往往不太容易,而且在网络环境中数据量是非常巨大的,用人工的方法来对其标类的代价非常高。因此寻找一个对数据集要求不高的可用的入侵检测方法对建立一个实用的入侵检测系统是至关重要的。本文就是基于上述的研究背景,开展了基于聚类技术的入侵检测的研究,以提高检测算法对未知入侵的检测有效性为目标,从检测率和误报率两个重要指标出发,将传统的K均值算法应用在入侵检测上,发现其存在的空聚类和局部最优值问题,然后提出两种改进的算法:改进的K均值算法和基于粒子群优化的K均值(PSO-K均值)算法,并进行了计算机仿真实验,实验结果证明两种改进的算法是可行的。论文综述了入侵检测的发展现状,详细介绍了己有的入侵检测的体系结构及方法,介绍并分析了传统聚类方法在入侵检测领域中的优势和不足,并将两种改进的算法用于入侵检测,对KDDCup99数据集的实验表明,提出的改进算法取得明显效果。

蒋卫华[6]2003年在《智能网络入侵检测与安全防护技术研究》文中研究说明“9.11”恐怖事件所带来的影响波及全球。如果网络世界尤其是政府网、军用网及金融网等专用敏感网络出现这种灾难性事件,那将给国家安全带来的致命性的打击。要维护国家安全,网络信息安全是当务之急,重中之重。网络世界将成为现代高科技战争的网络边防。如何规划或构建信息安全防护体系,铸就坚强而有力的网络边防的任务已提上重要日程。 网络安全防护与入侵检测技术领域的发展日新月异。但是,该领域的研究工作因存在着检测目的不明确,检测方法落后,检测理论急待完善和增强,防护手段仍处在被动式静态防御技术层面,以及系统存在着“漏洞(Vunlerabilities)”和“后门”不严实等弊端而面临巨大的考验。入侵检测系统的误报率和漏报率仍然居高不下,不能预测新漏洞,无法防范未知攻击;新型攻击方式(如分布式拒绝服务攻击等)的出现,为未来网络安全防护和入侵检测技术研究提出新的挑战。为此,本文在仔细分析和深入研究上述问题的基础上,提出了一种新的层次化检测模型和分布式安全防护策略,主要研究成果及创新点如下: 1.首先对网络入侵特征的描述及提取方法进行了分析,即从入侵者的角度对入侵行为进行了详细分析,其中包括网络扫描与嗅探、欺骗攻击、缓冲区溢出攻击、拒绝服务攻击、木马等等。通过上述分析,明确指出了现有入侵分析方法的一些不足,在理论和实践上,提出了可以有效解决入侵检测系统所面临问题的办法,诸如对付隐蔽扫描的方法、针对IP欺骗攻击的检测策略、基于流量的缓冲区溢出攻击识别算法等等。 2.从分析入侵检测策略入手,对IDS误报和漏报的网络安全问题域模型进行了研究,提出了新的层次化入侵检测模型。该模型可以充分利用主机和网络两种数据源,将异常检测和误用检测结合起来,有效地降低入侵检测系统的误报和漏报率。

崔萌萌[7]2007年在《基于免疫学原理的混合入侵检测系统》文中研究指明计算机系统安全要解决的问题与免疫系统要解决的问题非常类似。免疫系统保护躯体免受病原体的侵害,计算机系统安全保护计算机免遭入侵,将生物免疫学的原理和方法引入计算机安全领域的研究具有重要意义。本文首先对入侵检测系统及其有关技术进行了阐述,对生物免疫系统原理、免疫系统组成、免疫细胞的功能、免疫系统的免疫过程、免疫原理应用于网络入侵检测的可行性和必要性、人工免疫系统的基本概念进行了讨论,重点分析了模型“自体”和“非自体”的界定、检测规则和检测算法,提出了新的NA匹配规则和基于否定选择、克隆选择的新的检测器生成算法,验证了新规则和新算法的有效性。在此基础上给出了基于免疫学的混合入侵检测系统模型,在搭建的实验平台上利用KDDCup99实验数据包对该模型进行了测试,对测试结果进行了对比分析。结果显示本文设计的系统模型在检测性能上表现良好。

曹冰[8]2013年在《基于Tile64多核网络入侵检测系统的研究与设计》文中研究说明网络全光化进程的加速以及网络技术的演进,扩展了传统数据业务以外的多业务模式。这些业务对网络数据访问的需求量以每年成倍的速度在增涨,随之而来的网络安全工作成为了前所未有的挑战。高速网络环境下进行网络入侵检测工作,在网络安全领域也就越来越受到关注。由于以往提出的线速处理和易管理需求已经使得传统的网络设备不堪重荷,因此新型网络设备更需要具备高性能的处理能力,以满足多业务对数据承载能力的高需求。目前,基于多内核和并行处理结构的多核处理器,在采用了多个低频的简单处理组件后已经能够在处理性能和功耗上得以提升和改善,从而在中高端网络应用中逐渐成为一种发展趋势。通用网络入侵检测系统在高速网络环境下,性能瓶颈主要在于网络数据包的完整捕获和入侵检测数据正确分析。本文首先呈现了在多核Tile64平台上网络数据接收核并行处理的体系架构,分析在高吞吐量10Gbps的网络应用中获取高捕获率的关键点。结合这种网络数据处理模型,将通用网络数据捕获库Libpcap实现并行化,以支持多核上的网络应用。为了应对网络数据复杂多变的数据处理负载均衡问题,并行化捕获库提供分发策略配置接口,根据不同的网络状态设计对应的分发策略。最后使用多线程的编程方法,在多核处理器Tile64平台上,采用管道分解和协议流分发技术实现了并行化Snort网络入侵检测系统。该系统具有很强的可扩展性,整体性能能够随着分配核数的增加而线性提升。

孙军帅[9]2005年在《无线Ad hoc网络的入侵检测系统研究》文中研究表明Ad hoc技术起源于20世纪70年代的美国军事领域,它是在美国国防部资助研究的“战场环境中的无线分组数据网”项目中产生的一种新型的网络构架技术。 无线Ad hoc网络具有动态的网络拓扑结构、有限的无线传输带宽、移动终端的有限性(移动用户终端内存小、CPU处理能力低、供电能力有限)、网络的分布式等特点。对无线网络的入侵检测的研究已经广泛地层开。在结合该领域和相关领域当前研究成果的基础上,本文提出了一种高效的可生存性入侵检测系统体系结构,该方案最大限度地满足了上述无线Ad hoc网络的特点。 本文提出的叁层体系结构由驱动层、控制层和执行层组成;驱动层主要负责对攻击进行识别和对系统进行恢复等;控制层主要是动态的对各种代理进行管理,诸如代理的生成,挂起以及杀死等;执行层面向整个无线网络,协调移动代理的运行。 群头组成了整个无线Ad hoc网络的实际中心,群中成员依靠群头节点进行决策,故群头选择的好坏对网络的效率以及可生存性有重大的影响。本文提出的群头选择算法以图论为理论背景,使用Kruskal算法求出无线Ad hoc网络的网络拓扑结构的最小生成树,在最小生成树上生成群,确保了群内结点间通讯的代价保持在一个较低的水平。该算法采取的负载平衡措施最大限度地延长了群头的生命周期,并在新老群头交替时保持了整个网络的稳定性。仿真实验证明了该算法的良好性能。

寇帅[10]2014年在《物理隔离网络下分布式无线入侵检测系统的研究》文中进行了进一步梳理当前,物理隔离技术已成为网络安全保密体系中不可或缺的重要手段。然而美国国防部提出的“离线攻击”技术,让与互联网物理隔离的局域网系统不再高枕无忧。稳定安全的物理隔离网络入侵检测系统是保密工作者迫切需要的,对于网络安全保密体系也具有重要的理论与实际意义。本文通过分析入侵检测等已有的网络防护技术的不足以及对新型“离线攻击”手段进行了分析和研究,提出了通过对关键主机节点及周边通信链路数据包流量、无线电频谱等数据的监测,建立一种新型的分布式无线入侵检测系统。首先,本文引入无线电多频点监测干扰网络,将其部署在物理隔离网络外围,起到外层监测以及后期干扰作用。其次,引入关键节点概念,文中设计方案中对物理隔离网络中各节点量化后按照重要性采取不同的策略,提出新的监测算法策略,对攻击行为进行等级划分,计算出潜在损失值,而本方案将监测重点放在关键节点上,能够在收集到更有针对性数据的同时降低自身能耗。最后,论文将通过仿真技术验证双层网络中基于关键节点监测的分布式入侵检测方案具有更高的检测正确率,很好地实现了对网络攻击监测的功能。

参考文献:

[1]. 基于神经网络的入侵检测相关技术研究[D]. 谢康. 山东大学. 2016

[2]. 基于免疫机理的入侵检测系统研究[D]. 闫巧. 西安电子科技大学. 2003

[3]. 企业信息网网络入侵检测系统设计与实现[D]. 张宇. 电子科技大学. 2018

[4]. IPv6网络中的入侵检测系统研究与实现[D]. 常瑞. 西安电子科技大学. 2008

[5]. 基于聚类算法的网络入侵检测研究[D]. 谷保平. 广东工业大学. 2008

[6]. 智能网络入侵检测与安全防护技术研究[D]. 蒋卫华. 西北工业大学. 2003

[7]. 基于免疫学原理的混合入侵检测系统[D]. 崔萌萌. 南京信息工程大学. 2007

[8]. 基于Tile64多核网络入侵检测系统的研究与设计[D]. 曹冰. 西安电子科技大学. 2013

[9]. 无线Ad hoc网络的入侵检测系统研究[D]. 孙军帅. 西安电子科技大学. 2005

[10]. 物理隔离网络下分布式无线入侵检测系统的研究[D]. 寇帅. 西安电子科技大学. 2014

标签:;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  

新型网络入侵检测系统的研究
下载Doc文档

猜你喜欢