基于智能的分布式网络入侵检测系统

基于智能的分布式网络入侵检测系统

吴晓南[1]2003年在《基于智能的分布式网络入侵检测系统》文中研究说明随着计算机网络技术的发展和应用的广泛,网络入侵事件发生的越来越频繁,造成的危害也越来越严重,网络安全问题日益突出。因此,入侵检测已经成为网络安全领域研究与开发的新热点。网络入侵检测系统是当前确保系统或网络资源完整性和可获得性的最重要的工具之一,其主要任务是识别和围堵各种各样基于网络的入侵攻击。 本文首先从数据来源、数据处理周期、数据收集和分析、入侵检测方法、系统运行平台等七个方面对当前较具有影响力的24种入侵检测系统或原型进行了详细的比较,分析了现有入侵检测系统在系统平台的异构性、系统检测方法的效率、入侵数据分析的智能性、面临新的入侵方法时的适应性和网络配置发生变化时的可扩展性等方面的不足和问题。 针对这些不足和问题,本文提出了一个新的网络入侵检测系统模型。该模型结合专家系统和数据挖掘两种智能信息处理技术,以增强模型分析的智能性和对新入侵的适应性。专家系统技术用于误用入侵的检测,具有实时性好、检测结果准确率高等优点,弥补了数据挖掘技术实时性较差的缺点。而利用数据挖掘技术能够自动提取模式的特点进行异常检测,能够自动发现未知模式的入侵,降低了专家系统对知识库中规则的依赖性。 该模型扩展了现有网络入侵检测系统分布性的概念,不但具有数据收集和数据分析的分布性,还具有入侵检测方法的分布性。这种分布性能够很好地平衡系统负载,明显地减少大型网络入侵检测系统中分散的检测点与管理点之间的通信量,显着提高系统运行效率。同时该模型还充分利用CORBA技术的运行平台、实现语言无关性和面向对象的特点,具有很好网络环境异构性、可扩展性、分布性和安全性。 在这个模型的基础之上,实现了一个基于智能的网络入侵检测系统INIDS(Intelligent Network Intrusion Detection System)。论文详细讨论了该模型的体系结构、通信模型和对象模型,给出了系统中关键对象的IDL描述和关键处理过程的时序图。并分别研究了利用专家系统和数据挖掘技术实现入侵检测的关键问基于智能的分布式网络入侵检测系统题,例如入侵特征的规则描述、数据挖掘建立的叁种模型以及模型可用性的评估等。 取IDS系统结构清晰,智能性、可扩展性和异构性好,对于目前复杂的网络结构具有良好的应用前景。 本文以我们承担的“国家信息关防与网络安全持续发展项目”《XXX》(绝密)为背景完成,作者参与项目分析、设计、实现和测试等全过程。该项目己于2002年12月顺利通过了国家网络安全管理中心的严格测试和验收。

闵莹[2]2014年在《分布式认知无线电网络入侵检测机制研究》文中研究表明认知无线电网络通过感知并伺机利用空闲频谱为频谱紧缺问题提供了有效的解决途径。然而,认知无线电网络的频谱感知、动态频谱接入、允许网络重构等特性也为其带来了新的安全威胁。传统的无线网络安全机制不适用于认知无线电网络。因此,安全性已成为认知无线电网络亟待解决的问题,是推进认知无线电网络走向实际应用的重要环节,也是认知无线电网络解决频谱短缺问题的重要保障。入侵检测机制能够通过检测网络中的恶意行为,识别恶意用户,从而保障网络运行的可靠性,尤其是在无中心设施的分布式认知无线电网络中更为重要。本文参考无线自组织网络的入侵检测模型与方法,充分考虑分布式认知无线电网络的认知性、频谱动态性、网络动态性等特性,针对分布式认知无线电网络的特有安全威胁与安全需求,提出了一种基于智能代理的具有跨层、动态性、双向性的入侵检测机制。基于本文提出的入侵检测机制,为认知无线电网络中的狮子攻击设计了一种检测方案,并对该方案进行仿真分析,结果表明该方案能够有效的检测狮子攻击,同时也验证了本文提出的入侵检测机制的有效性与可行性。

谢康[3]2016年在《基于神经网络的入侵检测相关技术研究》文中指出随着互联网规模的日渐增大,网络新兴服务逐步影响着人们的日常生活,同时,网络安全问题也倍受人们关注。面对攻击行为日益复杂化的发展趋势,入侵检测系统可以通过实时分析获取的计算机系统、网络和用户的事件信息,来评估计算机系统和网络的安全性。传统环境下的入侵检测技术一直都是各研究机构的研究热点,如何提高入侵检测系统的检测性能至关重要。同时,云计算作为新的计算模式,改变了传统计算机体系架构,但是其虚拟化、分布式和超大规模的特点给计算机系统、网络和用户带来了巨大的安全挑战。为了有效应对这些新的挑战,研究云环境下的入侵检测系统同样具有重要的现实意义。神经网络具有自学习、联想记忆和可高速并行计算的特点,使其在很多应用领域都取得了显着的效果。将神经网络技术应用于入侵检测领域,已经引起了国内外相关学者的普遍关注。本文利用神经网络理论,对传统环境和云环境下的入侵检测系统相关问题进行了研究。本文首先针对传统环境下的分布式入侵检测系统存在中央节点负载大,易造成单点失效等问题,研究可高速并行计算,易于硬件实现,检测精度高的完全分布式协同入侵检测系统(第二章)。然后为弥补传统环境下的入侵检测系统普遍存在缺乏主动防御能力的缺点,研究在目标主机或操作系统遭到破坏之前,可预测即将发生攻击行为的入侵预防系统(第叁章)。随着云计算的发展,传统环境下的入侵检测系统在海量入侵数据检测率和检测速度方面都存在着局限性,已经不能满足云环境下入侵检测系统的需求,因此本文研究了可自主学习、动态拓展的基于网络的云入侵检测系统(第四章)。云计算的核心是虚拟化技术,针对虚拟机在迁移过程中容易因为系统存在的漏洞或后门缺陷遭受病毒或黑客攻击,造成虚拟机异常迁移等安全问题,本文最后研究了虚拟机迁移调度监控系统,保障虚拟计算环境的安全(第五章)。本文的主要创新工作如下:(1)通过对分布式入侵检测系统的研究提出了一种基于离散细胞神经网络(DTCNN)和状态控制细胞神经网络(SCCNN)的完全分布式协同入侵检测系统。其中,基于DTCNN的多层检测模型作为本地节点检测分类器,基于改进SCCNN的一维环形检测模型作为全局检测器。每个本地节点检测器负责独立地检测本地网络入侵行为,然后周期性地发送检测消息与其相邻节点交换本地检测信息,构成全局检测器。针对本地节点检测器的模板参数,提出了基于改进粒子群算法的参数选择算法,通过能量函数约束法构造新的适应度函数来避免粒子群算法陷入早熟收敛并寻找到参数最优解。针对全局检测器,提出了一种基于求解线性矩阵不等式的模板参数求解方法,使系统达到理想的稳定输出,实现检测应用。仿真实验结果表明本检测系统与其他分布式入侵检测系统相比具有更高的检测率。(2)通过对入侵预测系统的研究提出了基于神经网络改进时序分析方法的入侵预测模型。为降低入侵预测系统的误报率和漏报率,提高入侵预测模型预测精度,提出了基于灰色神经网络改进ARIMA的网络入侵预测模型,采用BP网络映射灰色预测模型的微分方程解,构造出新的灰色神经网络,对基于ARIMA的网络入侵预测模型预测残差进行修正。此外,为提高多尺度网络流量时序的预测精度,本文还提出基于小波分解和改进最小复杂度回声状态网络的网络入侵预测模型(IMCESN-WD),首先对原始网络流量时序进行小波分解预处理,然后对分解后的各个尺度子序列建立最小均方误差和误差变化率改进最小复杂度回声状态网络的预测模型,最后利用权值因子将子序列预测结果进行整合。仿真实验证实上述方法可通过对网络流量数据进行建模来衡量网络的安全状况,对入侵行为进行预警,预测精度较高。(3)通过对基于网络的云入侵预测系统的研究提出了一种基于改进生长自组织神经网络的云网络入侵检测系统。该系统利用映射规约主成分分析算法对海量入侵数据进行降维,并将降维后的数据利用改进的生长自组织神经网络算法进行动态更新检测,利用遗传算法对基于生长自组织神经网络检测模型拓展出的自组织神经网络子网中的连接权值进行优化,加速检测网络收敛。仿真实验表明本方法可以实现对海量入侵数据的实时检测和新型攻击的扩展检测,检测算法与其他算法相比有较高的有效性和可拓展性。(4)通过对虚拟机迁移监控系统的研究提出了基于改进细胞神经网络的虚拟机迁移调度方法。迁移调度过程可等价于旅行商问题,通过改进细胞神经网络的能量函数使输出的平衡点为实时网络期望的特征值,系统达到稳定状态。本文在迁移调度局部规则和全局规则的基础上确定了参数关系,该网络模型参数关系可以转化为求解约束优化问题。然后,基于冒泡排序粒子群算法优化模板参数,避免求解参数过程陷入局部最优。仿真实验表明本文的方法可以制定出有效的虚拟机迁移调度策略,减少了迁移持续时间和迁移数据量。

王丽苹[4]2004年在《自适应的分布式网络入侵检测及防御系统的研究与实现》文中研究指明随着网络技术的完善,网络经济和网络应用不断发展,互联网络已逐渐成为现代社会必不可少的组成部分。然而层出不穷的黑客攻击和网络病毒事件使得网络安全问题突显出来。因此,网络安全已经成为当前计算机网络研究和开发的热点。事实证明,单一功能的产品已不能满足安全的需求,安全产品的融合、协同、统一管理是网络安全重要的发展方向。本文以建立一个实时检测、动态防御的安全系统为目标,对入侵检测技术以及防御决策技术进行了深入的研究。主要工作包括以下几个方面: 1)分析了主流的网络安全模型、入侵检测和事件响应技术,并从网络动态防御的角度,指出了入侵检测中急需解决的问题;论述了在网络安全防御系统中引入自适应性的必要性。探讨了利用分布式对象技术和数据挖掘技术来解决网络安全系统自适应性的研究思路。 2)提出了一个自适应的入侵检测及防御系统(AID&DS)的模型。详细讨论了模型的体系结构,阐明了模型所具有的平台无关性、良好的适应性、扩展性和支持多层次数据分析以及动态防御决策的特点。 3)研究了基于神经网络的程序异常检测方法,提出了利用多层前馈网络的预测功能和异常区域判定法检测系统异常的方法。在AID&DS中引入了基于Snort的误用入侵检测系统,证明了模型的扩展性及其对成熟的网络安全软件的集成能力。 4)研究了分布式环境下的全局事件分析方法。提出了基于改进的关联分析算法(Apriori)和序列分析算法(AprioriAll)的全局事件分析技术。并针对上述方法的不足之处,提出利用模型推理来完成规则的归纳与合并。 5)研究了复杂攻击行为的防御决策方案。提出了利用有穷自动机分析前后关联的攻击序列的方法。定义了基于代价分析的防御决策模型,并提出了一种基于谓词逻辑的防御知识表示方法。 实验证明,本文提出的系统具有良好的自适应性和开放式结构,有效结合了入侵检测和防御决策等功能。该项研究有助于推动网络信息安全技术和产品向全方位的立体防护方向发展,并对国家的信息安全防御有重要意义。

陈云芳[5]2008年在《分布式入侵检测系统关键技术研究》文中研究说明入侵检测系统在计算机网络系统安全中起着关键作用。本文在深入分析了当前入侵检测技术研究现状的基础上,提出并构建了一个完整的基于移动代理的分布式入侵检测系统。该系统具有比传统入侵检测系统更好的检测性能以及具有可靠性、健壮性和自适应性等优点。本文所提出的分布式入侵检测系统关键技术包括一个平台和叁个子系统即:基于移动代理的入侵检测平台、基于主机系统调用序列分析的入侵检测子系统、基于主机用户行为关联分析的入侵检测子系统、基于网络数据包免疫分析的入侵检测子系统。本文首先界定了分布式入侵检测系统的基本特征和关键技术要素,然后描述了移动代理平台的基本特性,分析了智能移动代理在分布式入侵检测系统的关键性平台作用。接着提出了一种移动代理的位置透明性方案,该方案有效解决移动代理平台位置管理和消息传递的基础问题。最后提出一种基于移动代理的入侵检测平台,给出系统的体系结构,阐述实现的关键技术,并进行了相关测试。大部分入侵行为都必须通过系统调用来达到它们破坏系统的目的。基于特定程序的系统调用序列具有一定稳定性的原理,本文提出一种系统调用序列分析的系统模型以及详细设计方案。采用将运行于核心态的调用信息拷贝到用户缓冲区中,提取所需的系统调用信息。然后在无入侵的情况下,经过海量的正常的系统调用序列训练得到正常模式库。最后将实时监测到的特定程序的系统调用序列与正常的系统调用模式库进行匹配,采用汉明距离计算出他们的最大相似度,以判定是否出现入侵异常。最后对系统调用序列分析检测模块在移动代理平台下的实现进行了相关测试。有许多入侵行为都是合法用户的非正常操作来达到破坏系统的目的。与系统调用序列分析不同的是,用户行为分析主要涉及到合法用户的非法或误操作模式。基于普通用户的操作行为具有前后的关联性原理,本文提出一种基于用户行为关联分析的系统模型以及详细的设计方案。首先定义了主机合法用户的行为特征和行为模式,采用静态和动态相结合的方式进行用户行为模型的建立,然后根据操作系统日志信息,针对用户的每次登陆会话产生用户行为特征数据,采用递归式相关函数算法来对关联序列进行相似度的计算,以判定是否出现非常行为。最后对用户行为关联分析检测模块在移动代理平台下的实现进行了相关测试。网络数据包分析可以对某个网段的网络数据流进行大规模的分析处理,可以有效监控大规模的计算机网络。由于免疫系统天然的分布性,非常契合入侵检测系统的需求。本文提出一种移动代理平台下的网络数据包免疫分析系统模型以及详细的设计方案。采用最简单的二进制方式表达网络数据包的自我特征;特征之间的距离采用欧拉距离的计算方式;检测器的初始产生采用简单的r连续匹配穷举法,各个检测子节点均可以自主产生属于自己的检测器集合;设置一个总体检测集合库,用于存放源自于各个检测节点所带来的经过初选的检测集,并通过基于克隆选择的二次精英机制产生后代种群。经过各个节点的自体首次免疫耐受,再经过总检测库基于克隆选择的二次精英机制搜索产生优化种群,可以使得系统的各个节点和总控节点都在不断的进化当中,使得检测器所产生的无效检测漏洞概率大大降低。最后自主设计并实现了一个基于移动代理的分布式入侵检测系统原型系统,实验表明移动代理的平台完全能够作为分布式入侵检测系统的可靠的、安全的平台,运行其上的系统调用序列分析、用户行为关联分析、网络数据包免疫分析完全能够达到了预期目标。

王兴柱, 楼新远[6]2005年在《基于智能的分布式网络入侵检测系统》文中指出针对现有入侵检测系统存在系统平台的异构性、入侵数据分析的智能性、面临新的入侵方法时的适应性,以及网络配置发生变化时的可扩展性等方面的不足和问题,本文提出了一个新的结合:CORBA方法和数据挖掘的网络入侵检测系统模型,并详细讨论了该模型的体系结构和工作过程。

李安宁[7]2008年在《基于移动Agent的分布式网络入侵检测系统研究》文中认为入侵检测作为一种积极主动的网络安全防护技术,已经成为网络安全体系中不可或缺的重要组成部分。移动Agent技术有很多优点适合于入侵检测系统,特别是分布式入侵检测系统。目前国内外对移动Agent应用于入侵检测的研究尚处于起步阶段,许多理论和实践问题还没有得到很好地解决。首先,本文结合入侵检测系统的相关理论,以移动Agent技术为基础,设计了一个基于移动Agent的完全对等分布式网络入侵检测系统模型。模型中各入侵检测Agent在平等的协作模式下进行沟通和协作,避免了系统关键节点的处理“瓶颈”,能有效地检测分布式入侵行为。其次,对系统中入侵检测Agent、系统通信和报警信息日志等关键模块进行了详细设计,并对系统进行了初步仿真实验。系统以开源程序Snort为内核、以文中构造的数据表存放入侵报警信息日志、以一种新设计的协议进行通信。实验结果表明,本文设计的模型具有较好的可扩展性、较快的响应速度和较高的检测识别率。此外,文中对传统的BM算法在匹配顺序和坏字符启发两个方面进行了改进,并将改进后的算法作为系统检测机制中字符串匹配的核心算法,提高了系统的检测效率。本系统模型虽然在理论设计上能较好地实现分布式入侵检测功能,但仍需在管理智能化、响应实时化、检测方式多样化等方面做更进一步的研究工作。

张亚平[8]2005年在《基于分布智能代理的自保护系统研究》文中提出随着信息技术的发展,网络安全日益成为全社会关注的重大问题。本文对网络安全模型、分布式拒绝服务攻击防御技术、聚类算法在异常检测中的应用、信息加密技术及自动响应技术等网络安全中的关键问题进行了系统、深入和较为全面的研究。本文的主要创新之处在于:在现有环境下,融合当前网络安全技术,提出了基于智能代理技术的自保护系统模型,并对自保护系统的构成和工作模式进行了详细的描述。分布式拒绝服务攻击是Internet所面临的最严峻的挑战之一,目前提出的防御方法在DDoS攻击特征随机变化时无法有效区分正常流量和攻击流,本文提出了一种动态分流选择通过的DDoS防御方法,在检测到DDoS攻击时动态变更路由信息,将发送到受害主机的正常业务流和攻击流转移到分流器,然后利用攻击数据包IP和端口的随机性阻挡攻击流,保证正常网络业务的顺利进行。借助数据挖掘技术对网络中海量数据进行分析发现入侵行为是异常检测研究的重点,本文提出了一种改进的围绕中心点的分割算法IPAM(ImprovedPartitioning Around Medoids),并通过实验证明了IPAM算法能够有效的检测真实网络数据中的入侵行为。加密技术是最基本的网络安全技术,被誉为信息安全的核心,本文运用序列密码和分组密码相互融合和渗透的思想,提出了一种基于传统分组加密算法的伪序列密码加密算法,即以分组加密算法为核心,通过S盒和反馈等方式变换分组加密模块每次加密时所使用的明文和密钥,生成随机密钥流,从而提高了信息传输的安全性。自动响应是保障网络安全的重要环节,本文提出了基于可信度的成本敏感模型;提出了基于多源数据关联的自动响应技术,将动态检测与静态防御技术相结合,提高了系统的主动防御能力。

潘镭[9]2006年在《基于数据挖掘技术的分布式入侵检测系统的设计和开发》文中研究表明入侵检测是计算机安全领域的一个重要技术,也是当前计算机安全理论研究的一个热点。但是在入侵检测的发展中也面临着新的问题,其中最主要的问题之一就是入侵告警数量的不断增长,误警率居高不下。本文首先阐述了入侵检测的概念和相关技术、入侵检测系统的研究现状,然后分析了数据挖掘技术在入侵检测系统中的应用。论文讨论了Apriori数据挖掘算法及其扩展算法。为减小入侵检测系统的误报率,提出了在Apriori算法中使用可变最小支持度和置信度,并给出了调整最小支持度和置信度的策略。设计了基于可变最小支持度和置信度的数据挖掘算法,并对该算法进行了优化。本系统采用分布式的层次结构进行总体设计,以适应部门层次多、地理分布广的应用环境,同时提高了ABCIDS系统对分布协同入侵的检测能力。文章对ABCIDS系统总体以及探测器子系统、检测分析子系统、数据库子系统、控制台子系统进行了详细设计与实现。系统引入了分布式CORBA中间件技术,利用CORBA的“软件总线”的特点,很好地解决了系统平台的异构性、适应性问题。论文还讨论了CORBA技术的安全性问题。基于CORBA良好的实时性,提出在分布检测系统的检测方法上,结合数据挖掘技术,增强系统分析的智能性和检测新入侵的适应性。论文详细讨论了基于CORBA的分布式网络入侵检测系统ABCIDS的体系结构、通信模型、功能模型、系统构成等方面,并且给出了系统通信中关键对象的IDL程序描述。

蒋卫华[10]2003年在《智能网络入侵检测与安全防护技术研究》文中指出“9.11”恐怖事件所带来的影响波及全球。如果网络世界尤其是政府网、军用网及金融网等专用敏感网络出现这种灾难性事件,那将给国家安全带来的致命性的打击。要维护国家安全,网络信息安全是当务之急,重中之重。网络世界将成为现代高科技战争的网络边防。如何规划或构建信息安全防护体系,铸就坚强而有力的网络边防的任务已提上重要日程。 网络安全防护与入侵检测技术领域的发展日新月异。但是,该领域的研究工作因存在着检测目的不明确,检测方法落后,检测理论急待完善和增强,防护手段仍处在被动式静态防御技术层面,以及系统存在着“漏洞(Vunlerabilities)”和“后门”不严实等弊端而面临巨大的考验。入侵检测系统的误报率和漏报率仍然居高不下,不能预测新漏洞,无法防范未知攻击;新型攻击方式(如分布式拒绝服务攻击等)的出现,为未来网络安全防护和入侵检测技术研究提出新的挑战。为此,本文在仔细分析和深入研究上述问题的基础上,提出了一种新的层次化检测模型和分布式安全防护策略,主要研究成果及创新点如下: 1.首先对网络入侵特征的描述及提取方法进行了分析,即从入侵者的角度对入侵行为进行了详细分析,其中包括网络扫描与嗅探、欺骗攻击、缓冲区溢出攻击、拒绝服务攻击、木马等等。通过上述分析,明确指出了现有入侵分析方法的一些不足,在理论和实践上,提出了可以有效解决入侵检测系统所面临问题的办法,诸如对付隐蔽扫描的方法、针对IP欺骗攻击的检测策略、基于流量的缓冲区溢出攻击识别算法等等。 2.从分析入侵检测策略入手,对IDS误报和漏报的网络安全问题域模型进行了研究,提出了新的层次化入侵检测模型。该模型可以充分利用主机和网络两种数据源,将异常检测和误用检测结合起来,有效地降低入侵检测系统的误报和漏报率。

参考文献:

[1]. 基于智能的分布式网络入侵检测系统[D]. 吴晓南. 西北大学. 2003

[2]. 分布式认知无线电网络入侵检测机制研究[D]. 闵莹. 西安电子科技大学. 2014

[3]. 基于神经网络的入侵检测相关技术研究[D]. 谢康. 山东大学. 2016

[4]. 自适应的分布式网络入侵检测及防御系统的研究与实现[D]. 王丽苹. 西北大学. 2004

[5]. 分布式入侵检测系统关键技术研究[D]. 陈云芳. 苏州大学. 2008

[6]. 基于智能的分布式网络入侵检测系统[J]. 王兴柱, 楼新远. 现代计算机(专业版). 2005

[7]. 基于移动Agent的分布式网络入侵检测系统研究[D]. 李安宁. 西安电子科技大学. 2008

[8]. 基于分布智能代理的自保护系统研究[D]. 张亚平. 天津大学. 2005

[9]. 基于数据挖掘技术的分布式入侵检测系统的设计和开发[D]. 潘镭. 苏州大学. 2006

[10]. 智能网络入侵检测与安全防护技术研究[D]. 蒋卫华. 西北工业大学. 2003

标签:;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  

基于智能的分布式网络入侵检测系统
下载Doc文档

猜你喜欢