入侵检测技术的研究

入侵检测技术的研究

高建[1]2008年在《基于多层感知神经网络的入侵检测系统的研究与实现》文中提出面对当前严峻的计算机安全形势,入侵检测技术作为一种主动的安全防护技术,能够动态检测网络状况,及时发现网络安全问题。它是传统安全技术的合理补充,也是当前计算机安全理论研究的一个热点。入侵检测技术中数据的采集与分析是关键的技术。针对这两个问题,本文提出了在高速网络环境下基于多层感知器神经网络的入侵检测系统。在高速网络环境下,传统的捕包技术已经不能满足入侵检测系统的要求,通过引入内存映射和NAPI技术,可以加快网络数据包的捕获速度,减轻操作系统的负担,使其能够将更多运算时间用在对入侵行为的检测上。在此基础上,使用多层感知器神经网络对数据包进行异常检测,为了增强其学习和识别能力,将捕获的网络数据包进行分类,对不同类别的数据包分别构造不同的神经网络进行训练和检测,同时,对标准的反向传播算法进行改进,加快神经网络的收敛速度。本文构建的入侵检测系统分为数据包捕获模块,数据预处理模块,神经网络训练模块和检测模块。数据包捕获模块负责从网络上捕获数据包,实现了内存映射和NAPI技术,并对捕获的数据包进行解析,输出便于分析的包结构。数据包预处理模块对包结构中的属性进行数值化和归一化,提取包中基于时间的特征,并对不同的包进行分类,输出到神经网络训练模块中的对应的神经网络进行训练。检测模块对输入数据包进行检测,判断是正常包还是异常包。本文最后使用MIT林肯实验室入侵检测训练数据集的抽样进行实验,结果证明,使用经过数据包分类且进行算法改进的多层感知器神经网络的入侵检测系统,具有较高的效率,能够降低误报率和漏报率。

袁沛沛[2]2008年在《网络安全入侵检测技术》文中研究表明随着网络技术不断提高,计算机网络被广泛应用到人类活动的各个领域,网络安全也越来越受到人们的关注。为了能够需要能及时的发现恶意攻击,并在这种对系统或数据造成破坏之前采取措施,入侵检测系统应运而生。入侵检测系统已经成为网络安全的一道重要屏障。将数据挖掘技术应用于入侵检测系统,主要是用一种以数据为中心的观点,用数据挖掘的技术处理入侵检测系统中的海量数据,以提高整个系统的检测性能,有效的减少整个系统的误报率。入侵检测作为一种有效的信息安全保障措施,弥补了传统安全防护技术的缺陷。数据挖掘作为数据分析的有效手段被引入到入侵检测系统中,基于数据挖掘的入侵检测系统也成为一个新的研究领域。本文以基于数据挖掘方法的入侵检测技术研究为核心,首先对数据挖掘技术和入侵检测技术进行了研究和分析,探讨了用数据挖掘的方法在入侵检测中应用的可行性和必然性。在此基础上,重点研究了数据挖掘中的关联算法Apriori算法和聚类算法K-均值算法,分析其算法的缺点和不足并对两种算法做了适当的改进,使之更加适合用于入侵检测系统中。在本文的最后一章提出了基于数据挖掘技术的入侵检测系统的模型,并采用改进后的数据挖掘算法对其中的一些模块做了设计。数据挖掘用于入侵检测系统,通过分析,理论上是可行的。数据挖掘技术在入侵检测系统中的应用,必定会对入侵检测系统带来非常大的革新。

朱小远[3]2008年在《可测物元的要素分布状态和适应度的研究》文中指出可拓学是1983年由中国的蔡文教授提出来的。可拓学的目的在于通过从定性与定量两方面研究矛盾本身,解决矛盾的方法。该学科广泛应用于多个领域,已取得了一定的成果。作为信息社会的一个重要发展趋势,工业信息化的主要内容是传统工业应用与信息科学技术的相结合。而在这种结合之中,智能理论技术作为一种解决实际问题的方法,经过不断的成熟和发展,已经成为了计算机技术与工程应用领域相结合的一条有效途径。检测作为人们认识客观世界,获取定量和定性信息的基本方法,已成为信息科学中不可或缺的组成部分。信息的检测是信息处理的前提,因此检测技术属于信息科学范畴,是信息技术叁大支柱之一。在检测技术中应用可拓学的方法便形成了智能检测中的一门新方法——可拓检测。基于可拓学中物元理论的矛盾转化思想,对信息实行检测是和传统检测方法完全不同的新方法。可拓检测利用物元转换实现检测前后的转换,从而使可拓检测可以通过对可测物元的检测,进而求出不可测物元的特征和量值结果,最终解决目前存在的各种信息不能检测或难于检测问题。目前可拓检测方法还处于初步研究阶段,还有待于随着可拓学和检测技术的发展而进一步完善。本文讨论了可拓学以及可拓检测技术的基本理论方法,研究了可拓学理论作为一种智能理论方法的特点和作用。在可测物元的要素求出之后,首先对多个可测物元的结果要素分布状态进行合理性分析和一致性分析,进而对要素状态分布的优劣进行评价。并建立可测物元要素状态的策略和产生式规则,设计可测物元的规则匹配。然后求取多个可测物元对不可测物元的贡献大小和亲和度,构造相应的知识可拓推理,最后求取各个可测物元检测结果的适应度,为实现准确的聚焦做准备。在此基础之上,本文利用入侵检测系统作为实例对可测物元的要素分布状态和适应度进行了研究,讨论了系统中较为重要的检测过程,并对系统结构和功能的进一步扩展提出了一些观点。本课题来源于中国国家自然科学基金项目(60272089)和广东省自然科学基金项目(980406)资助项目。

刘晓亮[4]2008年在《分层式入侵检测技术在入侵防御中的应用与研究》文中研究说明随着网络带宽容量迅速增加,网络设施日益更新,入侵方式也层出不穷。蠕虫等网络入侵攻击不仅对个人计算机、服务器的正常运行造成破坏,甚至会对路由、交换等网络基础设备的正常工作造成影响,大大降低了网络服务的可靠性和性能。如何对付越来越频繁出现的网络攻击和黑客行为,保证网络服务的正常运行,已成为网络安全领域最重要的研究方向之一。本文研究工作主要包括:作者在分析网络安全相关技术(入侵检测技术和响应技术)的基础上,设计了一个网络自防御系统原型。通过研究检测技术特点,针对现有检测系统实时性差、无法检测新攻击的缺点,设计了一个分层式入侵检测模型。该模型综合采用流量异常检测、有效负载异常检测与误用检测方法,按层次分别对网络流量与有效负载进行检测,以提高检测速度,达到对新的与未知攻击的检测。在对流量异常检测方法进行的研究分析工作中,提出了改进的K-means聚类算法,经实验表明具有较好的检测率;在对基于有效负载的异常检测方法进行的研究分析工作中,通过分析网络数据有效负载的字节分布,建立网络数据有效负载正常特征,来达到对入侵攻击的检测,并通过实验验证;在对检测模型整合异常与误用检测技术的检测机制进行了研究分析工作中,提出了一种结合多种检测方法的模型框架,以提高检测的准确性。最后给出了检测到入侵攻击后的响应技术,介绍了自防御系统采用的响应处理模型,通过网络自动重配置实现对入侵攻击的控制及攻击源或感染源的隔离;并采用了一种基于TCP/IP会话劫持技术的实时告警方法,对被隔离用户进行及时告警通知。

张阳[5]2018年在《工业控制系统入侵检测技术研究》文中指出工业控制系统(ICS)作为国家关键基础设施(如发电厂、污水处理系统)的重要组成部分,保证其安全运行具有重大意义。随着计算机技术的飞速发展和“互联网+”、“工业4.0”等思想的普及,原本处于隔离状态下的工控系统开始更多地接入到复杂的外部网络环境中,攻击事件愈演愈烈。对工控系统信息安全问题的研究变得越来越重要,入侵检测技术是其中一个重要研究方向。根据数据来源的不同,工控系统的入侵检测技术主要分为两种:基于网络流量的入侵检测方法和基于系统过程参数的入侵检测方法。在前者的研究中,存在对Modbus串行通信安全性研究不足的问题;而在后者的研究中,由于工控系统要求高实时性,一些采用了机器学习方法的检测算法存在检测效率不够高的问题。本文在前人研究的基础上,就基于网络流量的入侵检测和基于系统过程参数的入侵检测两个方面展开了进一步研究。本文的主要贡献与两个创新点包括:1.将Modbus串行链路上的典型异常行为总结归纳为六个类别:非法协议消息、侦察攻击、潜在的拒绝服务、拒绝服务攻击、响应注入攻击和命令注入攻击,并进一步列举了细化的共计19种异常行为及其可检测特征。然后针对异常行为提出了用于Snort的检测规则模型,并给出了测试结果。2.提出一种计算合适的最近邻数量k值方法,以避免人为错误以及处理效率低的问题。在基于过程参数聚类的工控入侵检测方法中,其评分技术中的最近邻数量k值是通过经验设定的,而本文通过建立数学模型,将此问题转化为求跳跃点的过程,从而计算出更为合适的k值。改进方法使得对正常数据的评分值和异常数据的评分值有更好的区分,正常数据的评分值集中于评分值较小的区间,而异常数据的评分值处于分值较大的区间。也使得划分的微簇半径尽可能大,从而减少了检测规则的数量,提高了检测的实时性。3.提出一种通过重新调整微簇而减少微簇数量的方法,以达到减少检测规则数量的目的,在保障检测准确性的同时,提高检测效率。原有方法采用固定宽度聚类技术来划分微簇并提取检测规则,在选择宽度参数w(即微簇的宽度)的过程中采用的是经验值,可能导致因为宽度选择过小而得到较多的检测规则,需要更长检测时间的问题,与工控系统有限的硬件资源以及高实时性要求的特性相悖。本文对此过程进行了改进,并通过仿真实验验证了改进方法的优越性。

高亮[6]2013年在《数据挖掘中贝叶斯算法在入侵检测中的应用》文中指出伴随着社会的发展、人类文明的进步,网络的发展也是空前绝后的,可以说今天人类社会的发展是离不开网络的。由于Internet的不断发展,导致网络上需要处理的信息量的增加速度是人们难以想象的,网络就像一把双刃剑,在给人们带来利益和方便的同时,也带来了不少负面的影响,网络上的攻击和破坏也是逐年增多。当前网络攻击日益趋向复杂化和智能化,那么,传统的网络安全防御技术(如防火墙、访问权限控制等)手段已显得难以应对。作为保障网络安全的主流技术手段——入侵检测技术(IDS)就变得备受关注。经过多年的发展,该技术领域已经日趋成熟,将数据挖掘中技术应用到入侵检测领域已经成为保障网络安全的研究热点。但是,由于入侵手段的不断发展以及入侵审计数据信息量不断增大,使得传统的经典数据挖掘分类技术在网络入侵检测的应用中已经显得捉襟见肘,无法保证入侵检测系统的检测率、实时性的要求。本文在分析了传统的朴素贝叶斯分类基础上,提出一种改进的贝叶斯分类算法和基于传统贝叶斯分类的入侵检测系统的改进模型,旨在改进传统贝叶斯分类入侵检测系统模型在检测率、检测时间上不足的问题。在此之后,提出了一种基于粗糙集理论依赖度的属性简约方法,以达到降低属性复杂度、删除冗余属性,使整个检测系统的建模时间有所降低。本文的主要研究工作如下:(1)首先对数据挖掘技术、入侵检测技术等进行了分析,分析了当今该领域国内外的发展动态,对入侵检测技术概念、分类作出了说明。(2)对传统贝叶斯分类算法进行了分析,在此基础上提出了一种改进的贝叶斯分类算法以及对基于贝叶斯分类的传统入侵检测系统模型进行了改进,在改进的系统模型中,融入了误用检测技术中的模式匹配方法,虽然在系统模型中增加了新的模块,在构建系统的初期,可能会增加一定工作量,但是通过对传统模型的改进,在入侵检测过程中,可以提高整个系统的检测率,提高检测效率。(3)对基于粗糙集合理论的属性简约方法进行了研究和分析,研究了传统粗糙集合理论中的区分矩阵的方法求解属性的简约,分析了传统区分矩阵方法的缺陷和不足,在此基础上提出一种独立于区分矩阵的属性简约方法——基于依赖度的属性简约方法,并且给出了该方法的具体求解简约过程,最后通过实例的比较,证明了基于依赖度的属性简约方法比传统的区分矩阵方法在时空性能上更为优秀。

张国富[7]2008年在《基于免疫机制的网络入侵检测系统研究》文中提出基于免疫机制的网络入侵检测是目前网络入侵检测的热点研究问题,其特有的特征是利用自然免疫系统的原理、机制与规则来实现入侵的检测与响应。自然免疫系统具有多样性、自适应性、耐受性和鲁棒性等特点,能够很好地满足网络入侵检测技术的实际需要,入侵检测系统的运行机制与生物免疫系统有着天然的相似之处,生物免疫系统成功保护肌体免受各种侵害的机理为研究入侵检测提供了重要的借鉴方法,特别是疫苗注射技术的应用更增强了生物的免疫力。从现有的产品来看,多数商业化的网络入侵检测产品采用简单模式匹配技术,一般适用于比较简单的攻击方式,并且误报率高,只能检测出已知的攻击模式,无法适应目前多变的网络环境。基于免疫机制的网络入侵检测系统模型可以极大地提高网络的安全性,检测出未知的攻击模式,这是原有系统达不到的。CPK认证技术是通过基于组合公钥(CPK)算法实现的标识认证体系。该体系建立在CPK可信逻辑基础上,是一种可信认证技术,以主动防御为主要目标,并通过CPK密钥算法实现;疫苗注射和CPK可信认证的主要目的都是增强系统的免疫力,从这个共同的目标出发,本文在区分自我(self)与非我(nonself)和如何增强免疫力两个方面对CPK可信认证和疫苗注射做了比较;提出了基于免疫机制的网络入侵检测系统模型,将CPK可信认证技术应用到该模型中,提出了特征提取分析方法;设计了基于免疫机制的网络入侵检测系统,利用模拟Nmap和smurf攻击的环境进行了模拟实验,实验结果表明CPK可信认证技术的有效性。论文的创新在于:1、将CPK可信认证技术应用到基于免疫机制的网络入侵检测系统中,增加了系统的免疫力。2、建立了基于免疫机制的网络入侵检测系统模型;设计了以特征元素链为基础的特征提取分析方法。全文共分五章:第一章主要介绍了论文选题的研究背景、国内外研究现状以及主要研究内容;第二章介绍了入侵检测的相关概念、入侵检测系统的分类、网络攻击性质以及网络入侵检测系统的技术介绍等;深入剖析网络攻击的攻击特征,讨论了入侵检测系统的未来的技术发展趋势;第叁章介绍了生物免疫系统以及生物免疫系统的相关理论。包括生物免疫的相关概念、免疫原理、生物免疫机制;生物免疫系统的性质以及生物免疫系统的应用等;讨论了生物免疫系统的组成与功能、生物免疫机制的自我与非我的识别、抗原抗体的多样性、克隆选择与阴性选择、免疫记忆机制、生物免疫的性质,并比照了入侵检测和生物免疫的相似性;第四章建立了基于免疫机制的网络入侵检测系统的层次防护模型,该模型包括数据收集模块、包头分析与特征提取模块、疫苗注射与抗体生成模块、检测报告模块、规则更新模块。重点讨论了如何将CPK认证算法引入到免疫机制网络入侵检测系统中,使得网络入侵检测系统的免疫力增强;第五章分析了模型实现的关键技术问题,采用CPK可信认证算法做了模拟实验,并对实验结果进行了比较分析。

王静[8]2007年在《网上办公系统安全体系研究与应用》文中指出随着Internet的迅速发展,计算机网络给人们的生活和工作带来巨大的改变,人们可以足不出户进行网上娱乐、购物、办公。但是,网络也存在着巨大的隐患,如游戏帐号被盗、电子银行卡口令被窃取、网上办公时信息被窃听、泄密、篡改和伪造等。网络系统的安全性已经迫不及待地摆在了人们的面前。网上办公系统是一种对安全性要求较高的信息系统,对其进行研究具有重要的意义,其目的是构建一种可靠的安全模式,并通过该安全模式在具体生产系统中的应用,为企事业信息系统的安全设计提供了参考。本文从网上办公系统建设的实际出发,对较常用的、成熟的网络安全技术的原理和实现方法进行讨论;再对系统的安全进行总体构划和详细设计,研究出了一种对系统行之有效的安全构架。该安全构架将安全防护分为网络层、系统层和应用层,并在每层采用了多种最新的网络安全技术,将传统的静态性安全技术和动态性安全技术有效结合起来。该构架从总体上实现了网上办公系统安全上的分层保护,整个安全构架紧密结合,从而满足了系统的安全性要求。该安全构架被应用到两个实际的系统中:浙江省电信公司网上办公系统和金华市政府网上办公系统,从试运行的情况来看,基本上满足了安全性的要求,进一步论证了本文提出的安全方案可行。

李超群[9]2012年在《入侵检测和分布式防火墙策略配置研究》文中指出互联网已经毫无争议地成为当今信息社会的基础设施。电子商务、电子政务、信息交流、视频会议等网络应用已经深入到社会生活中的各个行业,但安全风险日益突出。来自于内部职员或外部黑客发动的攻击事件层出不穷,给企业和社会造成极大损失。为了应对频繁出现的分布式、多目标的组合式网络攻击和黑客行为,防火墙技术和入侵检测技术成为了网络安全领域研究的热点。入侵检测技术能够在网络系统中发现并报告入侵等各种违反安全策略的行为。分布式防火墙技术打破了传统防火墙手工制定策略的模式以及防外不防内的弊端,采用安全策略中心集中制定安全策略,进行分布式防御,但也存在着策略控制中心负载过重的问题。智能节点重迭网构建于现有网络层之上,形成3+层,可以在保持原有网络不变的基础上,实现网络承载与控制的分离,为网络注入智能化的认知及管理能力。在演进型智能节点重迭网架构下引入入侵检测和分布式防火墙技术,演进型智能节点上采样流量数据的入侵检测告警,生成相应的分布式防火墙策略,统一分发给防火墙进行分布式防御。在充分利演进型用智能节点的网络认知能力进行入侵检测的同时,减轻了分布式防火墙策略控制中心的负载,扩大分布式防火墙的适用范围,提高网络的安全性。本文的主要工作是在演进型智能节点重迭网架构下进行分布式防火墙策略的配置,同时将改进后的等距映射及参数优化的相关向量机应用到入侵检测系统中。论文在探讨基于模式识别框架的入侵检测技术的基础上,系统研究了特征降维和分类检测方面的相关理论及其在入侵检测中的应用技术。本文取得的主要研究成果包括叁个方面:一、设计了基于智能节点重迭网架构下分布式网络安全的基本框架,分为入侵检测告警模块和分布式防火墙策略配置模块两部分。通过演进型智能节点上采集数据的入侵检测告警,生成相应的防火墙策略并对相应的分布式防火墙进行策略配置。二、在现有的基于地标等距映射的支持向量机入侵检测模型进行了改进,对等距映射算法进行了核Fisher线性判别优化的同时,用深度优先搜索优化参数后相关向量机代替原有的支持向量机。实验结果表明,该模型在保证一定检测率的情况下,误报率低于基于地标等距映射的支持向量机入侵检测模型和传统的主成分分析支持向量机入侵检测模型。叁、在远程计算机上通过SSH调用防火墙的类,进行了分布式防火墙智能IP限速和黑名单添加的策略配置,并获得了较为理想的实验效果。

凌昊[10]2007年在《基于决策树分类算法的网络入侵检测系统的研究》文中提出随着网络技术的飞速发展,安全问题越来越突出。原有的防火墙技术很难保障网络的安全,入侵检测系统开始发挥出越来越重要的作用。传统的基于规则的入侵检测系统资源消耗量大,相对于复杂的网络系统和层出不穷的攻击技术,有着明显的时间和空间上的局限性,因此传统的基于特征的检测技术极易造成漏报和虚警。为了提高检测效率和检测准确率,本文提出了一种基于决策树分类算法的入侵检测系统。本文对于构造入侵检测决策树的过程,采用信息增益率作为分类属性的选择标准,并通过将捕获的网络数据在入侵检测决策树上进行遍历来实现入侵检测。最后通过实验证明该入侵检测系具有较高的检测效率和检测准确率。本文主要内容包括:1.对网络入侵检测技术进行了研究,根据入侵检测不同的分类标准,详细描述了异常检测技术、误用检测技术,以及基于主机和基于网络的入侵检测系统。分析了数据包截获技术,描述了伯克利数据包截获过滤机制,研究了洛仑兹伯克利国家实验室所编写的专用于数据包截获功能的API函数库“Libpcap”。然后对入侵检测中常用的数据挖掘算法进行了阐述。2.描述了决策树算法的选择及它在入侵检测中应用,包括决策树算法的分类、决策树算法的工作流程、以及用决策树进行入侵检测的过程。利用数据挖掘技术在从数据中提取特征与规则方面的优势,结合网络数据捕获及预处理技术和数据挖掘中决策树算法,提出了一种基于决策树分类算法的网络入侵检测系统。3.在对基于决策树算法的入侵检测系统的系统结构设计进行描述之后,给出了数据获取及预处理的实现方法,并利用KDD Cup99的专门用于入侵检测的测试数据对检测准确率、效率进行了测试,记录了测试结果。实验证明系统具有较高的检测效率和检测准确率。

参考文献:

[1]. 基于多层感知神经网络的入侵检测系统的研究与实现[D]. 高建. 南京信息工程大学. 2008

[2]. 网络安全入侵检测技术[D]. 袁沛沛. 西安建筑科技大学. 2008

[3]. 可测物元的要素分布状态和适应度的研究[D]. 朱小远. 广东工业大学. 2008

[4]. 分层式入侵检测技术在入侵防御中的应用与研究[D]. 刘晓亮. 上海交通大学. 2008

[5]. 工业控制系统入侵检测技术研究[D]. 张阳. 电子科技大学. 2018

[6]. 数据挖掘中贝叶斯算法在入侵检测中的应用[D]. 高亮. 兰州交通大学. 2013

[7]. 基于免疫机制的网络入侵检测系统研究[D]. 张国富. 广东工业大学. 2008

[8]. 网上办公系统安全体系研究与应用[D]. 王静. 浙江工业大学. 2007

[9]. 入侵检测和分布式防火墙策略配置研究[D]. 李超群. 重庆大学. 2012

[10]. 基于决策树分类算法的网络入侵检测系统的研究[D]. 凌昊. 湖南大学. 2007

标签:;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  ;  

入侵检测技术的研究
下载Doc文档

猜你喜欢