周兵斌[1]2004年在《NIDS警报日志分析系统设计与实现》文中指出入侵检测系统是网络安全设施的重要组成部分,已经在网络安全服务中广泛应用。由于入侵检测技术尚不成熟,在应用过程中出现了误报率高,警报量大,对应用者技术要求高等问题,限制了入侵检测系统应用进一步深入。至今还没有令人满意的解决方案。 本文分析了入侵检测系统问题产生的原因,认为NIDS缺乏对网络环境和入侵环境的知识是主要因素。提出对NIDS日志进行分析,以降低误报、减少报警量的方法。该方法采用数据库存储网络环境数据,利用数据挖掘技术对NIDS的历史警报分析,挖掘出攻击模型,根据历史判断未来。据此设计了一个日志分析系统框架,并根据实际的应用需求,在snort入侵检测系统的基础上,提出了一个基于snort的NIDS日志分析系统,并完成了原型设计和部分组件。最后采用来自于DefCon的真实攻击数据,对系统进行了测试,证明该系统对NIDS警报的分析有很好的效果。
钱焜[2]2005年在《基于数据挖掘技术的NIDS警报异常检测系统设计与实现》文中指出入侵检测系统(IDS)作为网络安全的重要组成部分,已得到了越来越广泛的应用。但是在IDS的发展中也面临着新的问题,其中最主要的问题之一就是入侵警报数量的不断增长,误警率居高不下。 数据挖掘(DM)作为近年来出现的一种新型人工智能方法,能够对海量的审计数据进行智能化处理,并从其中挖掘出有用的知识。 本文研究了如何利用数据挖掘技术对入侵检测系统产生的警报进行分析,以期减少入侵警报量、降低误警率。本文主要工作如下: (1) 研究了大量重复警报和误警对入侵检测系统发展带来的不利影响以及它们产生的主要原因。 (2) 研究了数据挖掘技术的相关知识,针对其在从海量数据中挖掘有用知识上的优势,分析了如何将数据挖掘技术应用于入侵警报的精简中。 (3) 设计并实现了一种基于数据挖掘技术的NIDS警报异常检测系统模型,并使用Snort产生的警报数据对该模型进行了模拟实验。实验结果证明:系统能够有效地减少入侵警报量、降低误警率。
陈佩剑[3]2011年在《基于信任度量机制的入侵检测系统研究与实现》文中认为随着互联网技术的不断发展,网络安全问题日益突出。入侵检测技术作为网络安全体系中的一种重要手段正面临严峻挑战:如何及时对海量数据进行分析处理,应对日益流行的大规模协同攻击,减少误报、漏报,提高入侵检测效率等。虽然研究人员在这些方面做出了努力,但还有许多问题亟待解决。本文针对现有分布式入侵检测系统自身检测节点间的安全和信任问题,引入基于投票反馈的节点间信任度量机制。系统中所有协同节点均设定一初始信任值,根据节点的状态和行为信息,信任值将动态增大或者减小。通过比较信任值来去除或者减小恶意节点的有害信息影响,减少系统的漏报和误报。通过典型案例分析发现,引入信任度量机制的分布式入侵检测系统能有效提高检测的准确度,增强检测能力。在研究现有入侵检测系统体系结构的基础上,设计并实现了基于信任度量机制的入侵检测系统。整个系统由具有独立检测功能的主机入侵检测系统、网络入侵检测系统和网络设备组成。主机入侵检测系统、网络入侵检测系统和网络设备作为整个系统的子检测节点,将各自采集到的主机日志数据、主机流量数据、网络流量数据及网络设备日志数据通过统一的日志格式汇总到整个协同检测系统的主控端进行协同分析,用于检测单个子入侵检测系统无法检测到的更为复杂和隐蔽的入侵行为,如协同扫描等。在各个子入侵检测系统节点间加入了信任度量机制,过滤了恶意节点的日志信息,提高了检测的准确度。通过实验分析,基于信任度量机制的入侵检测系统能有效增强系统检测能力。
丁航[4]2014年在《基于黑板结构的警报协同系统》文中研究指明随着网络安全领域的快速发展,入侵检测系统(Intrusion Detection Systems, IDS)成为一种重要的网络安全产品。IDS可以分为基于网络的入侵检测系统(NIDS)和基于主机的入侵检测系统(HIDS)。由于检测范围有限,这两种IDS都不能很好地发现网络中多步入侵的所有特征或是当发现入侵的所有特征时,入侵早已经发生。因此,如何尽早发现网络中多步网络入侵的所有特征成为入侵检测的关键问题。本文在研究警报协同的相关工作以及国内外研究现状的基础上,设计出一种基于黑板结构的警报协同系统。该系统主要包含叁部分:1.针对目前各个IDS独立运行和警报信息不能交互使用的现状,本文提出一种基于IDMEF的警报规范方法。该方法可以通过一个统一的格式管理各个IDS的警报信息,将NIDS和HIDS输出警报通过规范化存储到黑板结构的对应黑板分区中,从而为警报协同系统可以识别各个IDS的警报提供了支持。2.针对目前IDS产生大量冗余警报的现状,本文分别针对HIDS和NIDS提出基于进程号的警报融合方法和基于特征相似度的警报融合方法。这两种方法分别将各个IDS产生的警报信息进行融合,去除大量冗余警报和误警报。将多个由同一攻击引起的警报合并成一个基警报,其中一个基警报代表着一个网络入侵特征,通过这种方式就组成了多步网络入侵的原始特征。并通过实验验证,得出两种融合算法均可以消除大量冗余警报。3.针对各个IDS监测范围有限的现状,本文设计并实现了一种警报协同方法。该方法分为两步,首先由各个IDS协同对应黑板分区的基警报;其次由警报协同系统来协同各个IDS的基警报,并根据基警报的威胁度和可信度选择匹配的多步攻击,以解决单个IDS无法发现网络入侵全部特征的问题。通过在实验环境对网络常用多步攻击的实验数据集DARPA2000进行检测,最终证明基于黑板结构的警报协同系统可以结合Snort和OSSEC的警报,且与其它的入侵报警关联分析系统相比,该系统可以结合更多入侵检测系统警报,从而更全面地发现网络多步入侵。与此同时该系统生成的攻击图比TIAA入侵报警关联分析系统生成的攻击图更简单。基于黑板结构的警报协同系统提供一种基于黑板结构的用于多步网络入侵检测的警报协同系统,通过协同微观上主机的可疑行为信息和宏观上网络中的流量异常信息,对网络可疑行为进行准确判断,从而更准确地判断入侵行为。
朱赟[5]2006年在《Snort入侵检测系统的警报日志分析》文中研究指明网络的飞速发展有目共睹,但是,在网络提供给人类大量信息与快捷方便通信的同时,网络也给人们带了许多不安因素,这些因素往往会引起巨大的经济损失。因此,网络安全变得越来越重要。网络安全防护措施多种多样,有防火墙技术,杀毒技术,系统脆弱性分析等,这些措施都是根据系统存在的各方面漏洞而创建。虽然这些措施能够有效地应对入侵攻击,但是仍然存在不足之处。例如,防火墙技术只能防范来自外部的攻击。因此,动态防护理念随之而生,检测、策略、响应及防护构成了动态防护模型,人们根据此模型概念提出了入侵检测技术以供动态地防护系统,改善传统防护技术的不足之处,提高实时性性能。现今入侵检测技术还处于发展阶段,各方面都不成熟。其中一个较为突出的问题为:误报率高;警报数据量大,危害较大的攻击行为淹没在大量信息中;对管理者技术要求较高。这个问题大大限制了入侵检测技术的发展。本文首先针对此问题做出研究,找出产生此问题的原因之一为缺乏有效的分析工具。然后介绍Snort入侵检测系统及其相关的各种现有数据分析工具。其次研究数据挖掘理论,提出一种警报日志分析系统,主要介绍了数据分析模块和报表模块。数据分析模块运用分类分析理论,以警报数据的源IP地址、目的IP地址、攻击类型及攻击时间为分类分析所用的类,以攻击次数作为分类的依据,完成对庞大的警报数据分析;报表模块以报表形式输出分析后的数据,达到易于观察的目的。然后本文介绍如何实现此系统,最后测试实现的系统并对测试结果做出评价。
陈萍[6]2008年在《网络入侵检测系统的研究与实现》文中研究指明随着计算机网络技术的发展和广泛应用,网络入侵事件的发生越来越频繁,造成的危害也越来越严重,网络安全问题日益突出。由于传统的基于防火墙、身份认证以及加密技术的网络安全防御体系本身存在的缺陷和不足,使得入侵检测技术成为当前网络安全方面研究的热点和重要方向。他改变了以往的被动防御的特点,能够主动地实时跟踪各种危害系统安全的入侵行为,并做出及时的响应。尤其在抵御网络内部的攻击方面,更有独到的特点,成为防火墙之后的又一道安全防线。经调查发现,随着计算机网络的进一步普及和深入,入侵检测技术有着更广泛的发展前途和实际价值。但是,目前存在的现状是:人们对入侵检测了解得还不够,检测技术也不像防火墙那样成熟,因此,开展对入侵检测方面的研究更有深远意义。近几年,计算机网络建设突飞猛进。由于网络规模的扩大,计算机网络应对网内外各种威胁的形式日益严峻。原有基于防火墙的安全模式策略已经远远不能满足人们对网络信息安全的要求,入侵检测预警自然成为网络安全领域研究与开发的新热点。本论文从对当前的网络安全现状入手,对入侵检测的概念,发展历史以及通用入侵检测模型进行了分析。对入侵检测系统的分类,根据检测数据的来源不同,分为主机入侵检测系统和网络入侵检测系统;根据所采用的不同检测方法,将其分为异常入侵检测系统和误用入侵检测系统;根据系统所采用的结构不同,可将其分为集中式入侵检测系统和分布式入侵检测系统。并对各种分类后的检测系统的优缺点进行了详细阐述。在随后的系统分析和设计方面,本文提出了一种层次化协作的混合型分布式入侵检测系统模型。该模型将受保护网络划分成若干个安全管理区,模型由探测代理、监视代理和策略执行代理叁个部分组成。各部分之间角色的分工借鉴了CIDF模型,在每种代理的内部模块的设置上也力求功能完整独立。整个模型在数据来源的分布化、分析检测的分布化、多区域检测的协作化叁个层次上体现分布式入侵检测的特点。在系统的实现中,本文具体讲解了Windows2000平台下网络探测代理与监视代理的实现过程,并详细讲解了数据融合算法的设计思想和实现过程。为了测试网络探测代理的运行效率,在作者现有的网络环境中进行了丢包率测试、CPU负载测试。测试结果表明在正常的网络通信中,系统可以达到有效的运行状态。我们通过测试几种扫描工具的攻击时间和可以检测到的攻击数目来测试系统的检测效率。结果表明,网络探测代理可以在较短时间内检测超过95%以上的扫描行为,并及时地采取响应措施。随后又采用land,Smurf V1.2,udp flooder2.0,synflooder v1.0版,黑色风暴ddos攻击2.1测试版,Kn-ping等分布式拒绝服务攻击工具进行了攻击测试,结果表明系统能在较短时间内发现分布式攻击并且发出报警信号。作为网络安全的一个重要研究领域,分布式入侵检测系统仍然存在着众多的问题和技术难点,本文的最后给出了今后针对该领域的下一步研究方向。
叶震, 钱焜, 白永志[7]2005年在《NIDS警报分析系统模型设计与分析》文中认为网络入侵检测系统(N IDS)是一种检测网络入侵行为的工具,但在实际应用中,警报量多、误警率高,已经严重制约了N IDS的发展。文章分析了其产生的原因,提出了一种基于异常检测技术的N IDS警报分析系统模型;重点讨论了数据挖掘技术在该模型中的应用。
薛治平[8]2008年在《基于动态跟踪的主动防御系统的研究与实现》文中研究说明随着互联网技术的发展,网络已经渗透到了千千万万的用户中。无论是工作还是生活,人们越来越多地使用互联网来传输信息。这样,网络安全就显得非常重要。如今,黑客的攻击日趋频繁,用户被攻击后所遭受的损失也越来越大。传统的网络防御技术,如防火墙、入侵检测系统,已经很难应付黑客的频繁攻击。而且,传统的网络防御技术是被动防御,用户只有在遭受攻击以后才能检测到黑客的行为。这样,防御的一方始终在攻防双方的博弈中处于劣势。本文从网络安全相关技术的研究出发,探讨了一种基于动态跟踪的主动防御系统的研究与实现。本文首先介绍了论文的研究背景,分析了网络安全的相关技术。在网络安全的相关技术中,对常用的黑客攻击方法和传统的被动防御技术作了细致的分析,指出了被动防御技术的若干不足,从而引出了主动防御技术的概念。分析主动防御技术优点的同时,分别对入侵防御系统、蜜罐、蜜网和蜜场的原理作了深入的研究。其次,本文结合信息安全领域中最新的动态跟踪技术,提出了一种新的主动防御系统。该主动防御系统以动态跟踪技术为核心,实现对网络攻击的主动防御。动态跟踪技术是动态地跟踪系统内核行为的一种最新技术,使用该技术能够对系统进行全面跟踪监测。在分析动态跟踪技术的同时,本文详细研究了其在信息安全领域的应用,给出了使用动态跟踪技术实现文件监控、进程跟踪以及击键捕获等功能的具体方法。再次,本文通过对P2DR自适应网络安全模型、有限状态机FSM主动防御系统模型以及DTrace主机安全监控模型的分析,围绕动态跟踪技术,给出了基于动态跟踪的主动防御系统的设计目标和总体构架,并对系统关键模块进行了详细设计。以DTrace动态跟踪技术为核心,结合蜜网、蜜罐和网络入侵防御系统等各项技术的主动防御系统,不但能够防御目前已知的网络攻击,而且还能对未知攻击进行检测。对未知攻击的检测使该主动系统在技术上和功能上领先于传统的蜜网和蜜罐。最后,本文在已有的软硬件环境上,对主动防御系统的关键模块,蜜墙、蜜罐、DTrace安全监控系统、网络入侵防御系统、系统日志、攻击还原以及重定向器的实现作了详细论述,并且对该主动防御系统的一些主要功能进行了测试。本文的研究结果,对网络信息安全具有一定的理论和实践意义,对主动防御技术在操作系统内核级的发展提供了一定的参考价值。
吴闻[9]2003年在《基于IXP2400网络处理器的嵌入式IDS系统的研究与设计》文中研究指明本文以作者参与的国家973项目“高速网络信息的获取与监控”的研究工作为基础,结合作者的实际的研发经验,讨论了网络入侵检测的相关理论和技术、IXP2400网络处理器的硬件体系结构及软件开发技术、基于IXP2400的面向高速网络环境的嵌入式IDS的开发技术。文中对当前网络入侵检测系统的不足进行了深入的分析,认为误报率和漏报率难以同时降低是导致用户对其不满的根本原因,指出:攻击防护系统和入侵分析系统将是入侵检测系统发展的两个主要方向,并对相应的技术要求进行了分析和探讨。Snort是一个轻量级的NIDS系统,在嵌入式IDS系统中的数据包分析检测部份,拟借鉴它的部份原理和技术。基于对它工作原理及部份源码的分析,本文介绍了Snort的规则库的结构、规则树生成方法,分析了其信息收集、解析和规则匹配过程。最后,在对现有软硬件技术进行充分调研的基础上,本文提出了基于IXP2400网络处理器的嵌入式IDS设计模型,给出了详尽的设计方案,着重分析了分流部份的有关实现细节,进行部份微码实现。该系统由若干高性能的IXP2400网络处理器组成,其中一部份负责数据包分流,另一部分进行入侵检测分析。系统面向骨干网络(1Gbps以上)环境,具有高度的可扩展性,灵活调整处理器数量以适应不同的性能要求。
张云鹏[10]2005年在《网络安全与防护技术的研究及应用》文中研究说明本文首先分析了随着网络技术的飞速发展,计算机网络所面临的严峻网络安全形势。然后对几种主流网络安全技术进行了分析,指出了这些技术中存在的不足,重点介绍了目前一些入侵检测的方法。并分析了在新的网络环境中,传统入侵检测方法所面临的困难。 论文的主要工作如下: ●提出一种基于网络平台的快速多模式匹配算法—MCW,实验结果证明,MCW算法和其它两算法相比有较高的效率,并且其内存访问次数也少于其它算法。 ●针对现行入侵检测系统的诸多弊端,提出并实现了基于分布式的网络入侵检测系统—HK_NIDS,它在检测方法上以滥用检测为主,异常检测为辅。实验证明该入侵检测在漏警率、误警率和实时性等方面,对比其它系统有了较大提高。 ●以HK_NIDS系统为应用基础,为SCMIS构建了网络安全防护体系的总体策略和框架,给出了防火墙、入侵检测和防病毒等技术在防护体系中的整体解决方案,并进行了设计与实现。 ●最后,分析并评估了文章研究内容的实际效果,提出下一步将研究的内容。
参考文献:
[1]. NIDS警报日志分析系统设计与实现[D]. 周兵斌. 合肥工业大学. 2004
[2]. 基于数据挖掘技术的NIDS警报异常检测系统设计与实现[D]. 钱焜. 合肥工业大学. 2005
[3]. 基于信任度量机制的入侵检测系统研究与实现[D]. 陈佩剑. 国防科学技术大学. 2011
[4]. 基于黑板结构的警报协同系统[D]. 丁航. 吉林大学. 2014
[5]. Snort入侵检测系统的警报日志分析[D]. 朱赟. 上海交通大学. 2006
[6]. 网络入侵检测系统的研究与实现[D]. 陈萍. 山东大学. 2008
[7]. NIDS警报分析系统模型设计与分析[J]. 叶震, 钱焜, 白永志. 合肥工业大学学报(自然科学版). 2005
[8]. 基于动态跟踪的主动防御系统的研究与实现[D]. 薛治平. 上海交通大学. 2008
[9]. 基于IXP2400网络处理器的嵌入式IDS系统的研究与设计[D]. 吴闻. 福州大学. 2003
[10]. 网络安全与防护技术的研究及应用[D]. 张云鹏. 西北工业大学. 2005
标签:互联网技术论文; 入侵检测系统论文; 网络安全论文; ids论文; 入侵防御系统论文; 网络攻击论文; 网络安全防护论文; 网络模型论文; 测试模型论文; 系统设计论文; 网络行为论文; 协同设计论文; 主动防御论文; ids入侵检测论文;