袁沛沛[1]2008年在《网络安全入侵检测技术》文中研究指明随着网络技术不断提高,计算机网络被广泛应用到人类活动的各个领域,网络安全也越来越受到人们的关注。为了能够需要能及时的发现恶意攻击,并在这种对系统或数据造成破坏之前采取措施,入侵检测系统应运而生。入侵检测系统已经成为网络安全的一道重要屏障。将数据挖掘技术应用于入侵检测系统,主要是用一种以数据为中心的观点,用数据挖掘的技术处理入侵检测系统中的海量数据,以提高整个系统的检测性能,有效的减少整个系统的误报率。入侵检测作为一种有效的信息安全保障措施,弥补了传统安全防护技术的缺陷。数据挖掘作为数据分析的有效手段被引入到入侵检测系统中,基于数据挖掘的入侵检测系统也成为一个新的研究领域。本文以基于数据挖掘方法的入侵检测技术研究为核心,首先对数据挖掘技术和入侵检测技术进行了研究和分析,探讨了用数据挖掘的方法在入侵检测中应用的可行性和必然性。在此基础上,重点研究了数据挖掘中的关联算法Apriori算法和聚类算法K-均值算法,分析其算法的缺点和不足并对两种算法做了适当的改进,使之更加适合用于入侵检测系统中。在本文的最后一章提出了基于数据挖掘技术的入侵检测系统的模型,并采用改进后的数据挖掘算法对其中的一些模块做了设计。数据挖掘用于入侵检测系统,通过分析,理论上是可行的。数据挖掘技术在入侵检测系统中的应用,必定会对入侵检测系统带来非常大的革新。
张顺利[2]2007年在《智能化入侵检测系统的研究与实现》文中研究说明入侵检测是近年来网络安全研究的热点,随着计算机安全问题的日益突出,对入侵检测系统提出了更高的要求,当前IDS的最大问题是不能快速检测出新出现的异常入侵和较高的误报率。人体免疫系统与网络入侵检测系统具有很大的相似功能,它为研究和开发网络入侵检测系统提供了一个自然的模版。我们可以充分利用人体免疫机理的许多优点如多层次、多样性、独特性、动态防护性、自适应性、联想记忆等,提高系统的健壮性、自适应性和动态防护性。另一方面,当前的入侵检测研究大部分都集中在提高检测率、降低误报率、加快检测速度等方面,现在的入侵检测系统在响应模块部分还存在尚待解决的问题:入侵响应模块还是单一地对这些攻击事件进行响应,不具有推测功能,属于一种事后的响应活动;没有考虑到分析引擎存在的误报和漏报的情况;对于精巧而有组织的分布式攻击缺乏统一协同防御,无法实现多系统的系统防御。因此有必要对入侵响应进行分析,使入侵响应模块能够在入侵的不同时刻做出不同的响应,减少人工的干预,实现自适应能力。本文主要的工作是通过分析当前最新的基于免疫的动态入侵检测模型,对其进行改进和实现,并且通过实验证明了改进后的优势。通过分析胸腺和高频变异的生物学理论,将其分别应用于检测器检测过程和检测器生命周期的控制过程。对模型进行的仿真实验表明:这种新型的入侵检测模型较基于免疫的传统动态方法具有更好的适应性。最后实现了一个基于免疫的动态分布式入侵检测系统,且对各个模块进行了详细介绍,然后在实际运行效果的基础上,对当前基于免疫的入侵检测系统的优缺点进行了分析总结。另一方面,通过分析当前入侵响应系统存在的问题,提出了一种基于工作流和作业调度的J2EE框架构建的入侵响应模型,该模型先对所有报警事件进行过滤然后予以响应,并在响应当前报警事件的同时根据报警信息之间的关系,对进一步可能发生的攻击做出在线的预警并产生相应的响应措施。通过实验分析,该模型能够在入侵发生后主动采取措施阻击入侵的延续和降低系统的损失,保护受害系统。另外,通过对Petri网的描述进行扩展,使得Petri网更好的用于对工作流管理模型进行建模。最后给出了对入侵检测系统的一些思考,并对以后在该领域的工作进行了展望。
张前忠[3]2008年在《分布式防火墙与入侵检测系统的联动技术研究》文中研究表明传统的边界防火墙存在单点失效和性能瓶颈的局限性,而且依赖于网络的拓扑结构实施其安全策略。在网络高速发展的今天,传统防火墙的局限性越发显得明显,分布式防火墙正是在这样的背景下产生的。通过将防火墙分布到具体的受保护主机上,分布式防火墙可以解决单点失效和性能瓶颈的问题。然而,分布式防火墙虽然解决了传统防火墙面临的许多问题,但其自身也面临着以下的缺陷:1、传统的基于访问控制点的入侵检测方式难以实施;2、日志文件在各主机和中心策略服务器之间频繁地传送将极大地增加网络通信量;3、未能解决跨平台管理问题、对用户完全透明和即插即用问题,这几个问题的解决才能使得分布式防火墙得到更广泛的应用。分布式入侵检测系统(DIDS,Distributed Intrusion Detection System)是一种自顶向下树状的分级多层次结构,它把各个子系统安排到不同的节点上,各节点充分发挥自身性能、相互协调地完成任务,能够适应网络通信的需要,方便进行扩充与缩减。本文在分析了分布式防火墙和分布式入侵检测系统现状的基础上提出了一个基于分布式防火墙的入侵检测联动系统模型。通过使用代理服务器构建分布式代理防火墙分别对不同的服务器实施保护,防火墙直接从中心策略服务器获取并实施防御策略,而分布式入侵检测系统是一种分布于网络环境的入侵检测系统,用来监视与网络相连的主机及网络自身,关键技术是检测信息的协同处理与入侵攻击的全局信息的提取,然后传送至中心策略服务器,同时,中心策略服务器通过分布式防火墙从联动的入侵检测系统获取制定策略的依据,再通过专家系统或管理员分析配置,形成全局一致的可执行的防御策略,在这个模型中,分布式代理防火墙之间合理的策略协同是保证它能高效运作的基础,分布式防火墙技术与入侵检测技术结合在一起,利用分布式防火墙技术既实现了对入侵检测所需网络数据的获取,又解决了传统入侵检测不能进行主动控制的问题,同时,网络入侵检测的结果也为防火墙的安全管理策略提供了依据,从而大大提高系统的安全防护水平,实现网络安全立体纵深、多层次的防御体系以及智能访问控制能力。本文重点讨论了入侵检测系统与分布式防火墙的协作联动问题。
李宏伟[4]2008年在《基于分层的分布式入侵检测系统研究》文中指出入侵检测系统就是对网络或主机上可疑的访问行为做出识别和反应的网络安全保障系统,它是保证网络系统安全的重要手段。然而,由于入侵检测技术涉及到比较复杂的运算,加之它所监测的数据量庞大,如何提高入侵检测系统的检测效率成为亟待解决的问题。为此,论文以入侵检测系统体系结构为切入点,重点研究一种高效的、基于分层的分布式入侵检测系统。论文将分布式入侵检测系统从功能上分为叁个层次:数据采集层、数据分析层和决策控制层进行研究,目的在于探索一种能够提高入侵检测系统检测效率的方法。论文所做的主要工作如下:在数据采集层,论文分析了传感器的工作原理、安全性问题和报文捕获技术,对传感器分布式部署方案进行了设计。论文特别将基于数据包分析的入侵检测流量负载均衡技术应用到数据采集层,同时研究了它的算法和部署策略。在数据分析层,论文对数据分析模块的体系结构及分布式部署策略进行设计,分析了数据检测过程,并引入了一种字符串模式匹配算法:BM算法,提出了一种基于资源占用的动态入侵检测任务分配方法来解决数据分析层的任务分配问题。在决策控制层,论文主要研究了决策控制层的体系结构及各模块的功能。论文还对基于分层的分布式入侵检测系统的通信机制和协作机制进行了分析与设计,其中包括不同层次之间的通信机制和同一层次各个模块之间的通信机制、协作内容和协作的基本模型。论文使用基于Linux环境下的Snort软件搭建分布式入侵检测系统的测试平台,给出了IDS主机、服务器和分析员控制台的详细配制清单,并进行了模拟攻击与检测实验,最后通过ACID查看检测结果。通过对实验检测结果进行分析,说明该系统是可行的和有效的。
王新留[5]2008年在《构建基于Snort的网络入侵防御系统》文中指出本文构建了一个基于开源IDS-Snort的网络入侵防御系统(NIPS)。在对入侵检测和入侵防御技术做了大量的研究后,作者提出了在入侵检测系统中融入漏洞扫描技术,并实现入侵检测系统和防火墙的智能联动,设计出了一种能动态适应所部署网络环境的、具有实时防御功能的网络入侵防御系统(NIPS)。系统运行在Linux操作系统下,使用着名的开源IDS-Snort作为系统的入侵检测模块,实时检测进出受保护子网的网络流量,使用告警融合、过滤模块对Snort输出的告警进行融合和过滤,提取出针对子网主机系统或服务漏洞的攻击入侵,并由实时防御模块生成防火墙阻塞规则,实时阻断当前的攻击入侵。系统被部署为透明网桥模式的防火墙,以串联的方式连接到网络的关键路径中。由于系统以透明网桥方式工作,在实施时既不需改动原有的网络拓扑结构,也能保证自身的安全。系统的实时防御功能,通过配置系统内核自带的Netfilter防火墙来实现,系统的实时防御模块使用Iptables动态调整系统防火墙阻塞规则来实现受保护子网的安全通信。系统采用模块化设计,有很强的网络环境适应能力,伸缩性也很强。既可以作为网络入侵防御系统(NIPS),也可以简单地作为网络入侵检测系统(NIDS),还可以简化为透明网桥模式的防火墙。
韩运宝[6]2007年在《基于Snort的入侵检测系统的研究与改进》文中认为入侵检测系统作为一种能够自动、实时地保障网络信息安全的动态安全设备,构成对防火墙一类的静态安全设备的必要补充,已经越来越受到人们的重视。但是入侵检测系统单一的入侵检测功能已经不能满足人们的需要,和其它安全产品相结合已经成为入侵检测系统的一个发展趋势。本文就是在这一背景下,在分析入侵检测系统结构和Snort的源代码的基础上,将Snort入侵检测系统和Linux系统下的Netfilter/iptables防火墙相结合,设计并实现了一个联动的安全系统。该联动安全系统在Snort检测到攻击以后,通过向iptables下发规则的方式来阻断攻击源,因此其具备一定的网络防御能力,能对网络入侵做出实时的响应,在一定程度上增强了其对网络的保护能力。为了验证该联动安全系统的有效性,本文在对BT数据流分析的基础上,利用该联动安全系统设计了一个成功限制BT下载的试验。本文还对Snort的分片重组的流程进行了深入的分析,并重点研究了对重迭报文的处理。分析了不同操作系统对重迭报文的处理得不一致性,得出结论:入侵检测系统应该根据被保护系统的目标主机的操作系统的类型来选择处理重迭报文的重组方式。然后将Nmap端口扫描工具和Fragroute分片攻击工具相结合,设计了一个端口扫描攻击的实验,以证明该处理方法的必要性和有效性。最后针对Snort分片报文处理流程的两个不足:(1)对于分片报文重组模块所占用的内存的大小无法预测,并且内存的额外开销较大;(2)延误Snort进行其它处理流程的的时间,提出了一个部分分片重组的方案。该方案改变传统的分片重组处理流程:等所有的分片都到达之后再对报文进行完整的重组,然后再对重组后的完整报文进行规则检测等其它处理流程。而是每到一个分片就和前面已经缓存的分片报文进行重组,随即将重组后的部分报文送入规则检测引擎检测,一旦规则匹配成功就可以中止后续的分片报文重组。这样可以提高Snort检测的实时性并且提高其内存的使用效率。
库宇[7]2008年在《高速网络入侵检测系统的研究与设计》文中研究指明传统的网络安全防护手段(如防火墙)只是静态的网络安全技术,不能适应当前迅速发展的网络环境。入侵检测系统作为一种动态的网络安全技术在近几年得到了快速的发展,已经成为计算机安全中不可缺少的组成部分。随着网络规模的扩大、带宽的增长、技术的进步、用户数量的急剧暴涨,高速网络环境越来越多。当前IDS研究遇到的一个突出问题是数据处理速度受到极大的挑战。现有实用的IDS大多数是基于特征采用模式匹配算法的系统,在高速网络环境下,这类系统的检测引擎面临着较为严重的性能瓶颈问题。因而提高处理速度、解决数据包丢失等问题是提高网络入侵检测系统的性能和效率的关键技术之一。本文首先介绍了入侵检测系统的研究背景和趋势。然后针对当前IDS检测引擎所存在的性能瓶颈问题,设计了一个利用负载均衡技术将前端捕获的高速数据流进行分化的检测引擎。在随后的具体检测过程中,提出利用协议分析技术完成对数据包的一次具体检测。并以最新的Snort系统为例,提出了改进算法,以使其检测速度得到提升,通过实验数据对比说明改进方法确实使检测效率得到提高。最后对全文进行总结,并对进一步的工作提出设想。
崔萌萌[8]2007年在《基于免疫学原理的混合入侵检测系统》文中研究指明计算机系统安全要解决的问题与免疫系统要解决的问题非常类似。免疫系统保护躯体免受病原体的侵害,计算机系统安全保护计算机免遭入侵,将生物免疫学的原理和方法引入计算机安全领域的研究具有重要意义。本文首先对入侵检测系统及其有关技术进行了阐述,对生物免疫系统原理、免疫系统组成、免疫细胞的功能、免疫系统的免疫过程、免疫原理应用于网络入侵检测的可行性和必要性、人工免疫系统的基本概念进行了讨论,重点分析了模型“自体”和“非自体”的界定、检测规则和检测算法,提出了新的NA匹配规则和基于否定选择、克隆选择的新的检测器生成算法,验证了新规则和新算法的有效性。在此基础上给出了基于免疫学的混合入侵检测系统模型,在搭建的实验平台上利用KDDCup99实验数据包对该模型进行了测试,对测试结果进行了对比分析。结果显示本文设计的系统模型在检测性能上表现良好。
陈萍[9]2008年在《网络入侵检测系统的研究与实现》文中研究表明随着计算机网络技术的发展和广泛应用,网络入侵事件的发生越来越频繁,造成的危害也越来越严重,网络安全问题日益突出。由于传统的基于防火墙、身份认证以及加密技术的网络安全防御体系本身存在的缺陷和不足,使得入侵检测技术成为当前网络安全方面研究的热点和重要方向。他改变了以往的被动防御的特点,能够主动地实时跟踪各种危害系统安全的入侵行为,并做出及时的响应。尤其在抵御网络内部的攻击方面,更有独到的特点,成为防火墙之后的又一道安全防线。经调查发现,随着计算机网络的进一步普及和深入,入侵检测技术有着更广泛的发展前途和实际价值。但是,目前存在的现状是:人们对入侵检测了解得还不够,检测技术也不像防火墙那样成熟,因此,开展对入侵检测方面的研究更有深远意义。近几年,计算机网络建设突飞猛进。由于网络规模的扩大,计算机网络应对网内外各种威胁的形式日益严峻。原有基于防火墙的安全模式策略已经远远不能满足人们对网络信息安全的要求,入侵检测预警自然成为网络安全领域研究与开发的新热点。本论文从对当前的网络安全现状入手,对入侵检测的概念,发展历史以及通用入侵检测模型进行了分析。对入侵检测系统的分类,根据检测数据的来源不同,分为主机入侵检测系统和网络入侵检测系统;根据所采用的不同检测方法,将其分为异常入侵检测系统和误用入侵检测系统;根据系统所采用的结构不同,可将其分为集中式入侵检测系统和分布式入侵检测系统。并对各种分类后的检测系统的优缺点进行了详细阐述。在随后的系统分析和设计方面,本文提出了一种层次化协作的混合型分布式入侵检测系统模型。该模型将受保护网络划分成若干个安全管理区,模型由探测代理、监视代理和策略执行代理叁个部分组成。各部分之间角色的分工借鉴了CIDF模型,在每种代理的内部模块的设置上也力求功能完整独立。整个模型在数据来源的分布化、分析检测的分布化、多区域检测的协作化叁个层次上体现分布式入侵检测的特点。在系统的实现中,本文具体讲解了Windows2000平台下网络探测代理与监视代理的实现过程,并详细讲解了数据融合算法的设计思想和实现过程。为了测试网络探测代理的运行效率,在作者现有的网络环境中进行了丢包率测试、CPU负载测试。测试结果表明在正常的网络通信中,系统可以达到有效的运行状态。我们通过测试几种扫描工具的攻击时间和可以检测到的攻击数目来测试系统的检测效率。结果表明,网络探测代理可以在较短时间内检测超过95%以上的扫描行为,并及时地采取响应措施。随后又采用land,Smurf V1.2,udp flooder2.0,synflooder v1.0版,黑色风暴ddos攻击2.1测试版,Kn-ping等分布式拒绝服务攻击工具进行了攻击测试,结果表明系统能在较短时间内发现分布式攻击并且发出报警信号。作为网络安全的一个重要研究领域,分布式入侵检测系统仍然存在着众多的问题和技术难点,本文的最后给出了今后针对该领域的下一步研究方向。
王建忠[10]2007年在《基于Snort的分布式入侵检测系统的研究与设计》文中研究说明随着网络技术的快速发展,随之而来的网络攻击行为也愈来愈严重和复杂化,如何保证网络不受外来入侵行为的破坏已受到人们广泛的重视。而传统的各种静态安全防御策略,如防火墙、身份认证及数据加密技术等,由于其存在着诸多缺陷,仍然不能完全满足当前的网络安全的需求。于是,入侵检测(IntrusionDetection,ID)技术应时而生。入侵检测技术能根据入侵行为的踪迹和规律发现入侵行为,弥补了传统安全技术的不足,是一种动态的网络安全系统,成为了继防火墙之后的又一道安全防线。随着计算机技术和网络技术的不断发展,分布式计算环境的广泛采用,以及Internet上分布式协作攻击(Distributed Denial-of-Service,DDoS)的频繁发生,传统的基于主机的集中式入侵检测系统已经不能够满足日益严峻的系统安全需求。而分布式入侵检测(Distributed Intrusion Detection)系统能较好地解决集中式入侵检测系统的不足,分布式入侵检测逐渐成为入侵检测领域的研究热点之一。本文在这种背景下对安全现状、当前的网络安全技术进行了一定的研究,并针对集中式网络入侵检测系统无法对网络系统提供更加有效保护的问题,分析并设计了一个符合公共入侵检测框架(Common Intrusion Detection Framework,CIDF)的,基于Snort的分布式网络入侵检测系统,并详细介绍了其中的关键技术的解决办法和实现方法。最后指出了系统现存的不足,提出了进一步工作的方向。
参考文献:
[1]. 网络安全入侵检测技术[D]. 袁沛沛. 西安建筑科技大学. 2008
[2]. 智能化入侵检测系统的研究与实现[D]. 张顺利. 太原理工大学. 2007
[3]. 分布式防火墙与入侵检测系统的联动技术研究[D]. 张前忠. 南京理工大学. 2008
[4]. 基于分层的分布式入侵检测系统研究[D]. 李宏伟. 北京交通大学. 2008
[5]. 构建基于Snort的网络入侵防御系统[D]. 王新留. 北京邮电大学. 2008
[6]. 基于Snort的入侵检测系统的研究与改进[D]. 韩运宝. 北京交通大学. 2007
[7]. 高速网络入侵检测系统的研究与设计[D]. 库宇. 吉林大学. 2008
[8]. 基于免疫学原理的混合入侵检测系统[D]. 崔萌萌. 南京信息工程大学. 2007
[9]. 网络入侵检测系统的研究与实现[D]. 陈萍. 山东大学. 2008
[10]. 基于Snort的分布式入侵检测系统的研究与设计[D]. 王建忠. 兰州理工大学. 2007
标签:互联网技术论文; 入侵检测系统论文; 防火墙论文; snort论文; 入侵防御系统论文; 入侵检测技术论文; 防火墙透明模式论文; 网络攻击论文; 网络模型论文; 分布式算法论文; 分布式技术论文; 网络安全防护论文; 分布式部署论文; 代理模式论文; 动态模型论文; 数据挖掘论文; ids入侵检测论文;