入侵检测论文优选九篇

引言：易发表网凭借丰富的文秘实践，为您精心挑选了九篇入侵检测论文范例。如需获取更多原创内容，可随时联系我们的客服老师。

第1篇

论文摘要:随着计算机的飞速发展以及网络技术的普遍应用，随着信息时代的来临，信息作为一种重要的资源正得到了人们的重视与应用。因特网是一个发展非常活跃的领域，可能会受到黑客的非法攻击，所以在任何情况下，对于各种事故，无意或有意的破坏，保护数据及其传送、处理都是非常必要的。计划如何保护你的局域网免受因特网攻击带来的危害时，首先要考虑的是防火墙。防火墙的核心思想是在不安全的网际网环境中构造一个相对安全的子网环境。本文介绍了防火墙技术的基本概念、系统结构、原理、构架、入侵检测技术及VPN等相关问题。

Abstract:Alongwiththefastcomputerdevelopmentandtheuniversalapplicationofthenetworktechnology,alongwithinformationtimescomingupon,Informationisattractingtheworld’sattentionandemployedasakindofimportantresources.Internetisaveryactivelydevelopedfield.Becauseitmaybeillegallyattackedbyhackers,Itisverynecessaryfordata’sprotection,deliveryandprotectionagainstvariousaccidents,intentionalorwantdestroyunderanycondition.FirewallisthefirstconsiderationwhenplanhowtoprotectyourlocalareanetworkagainstendangersbroughtbyInternetattack.Thecorecontentoffirewalltechnologyistoconstructarelativelysafeenvironmentofsubnetinthenot-so-safenetworkenvironment.Thispaperintroducesthebasicconceptionandsystemstructureoffire-walltechnologyandalsodiscussestwomaintechnologymeanstorealizefire-wall:Oneisbasedonpacketfiltering,whichistorealizefire-wallfunctionthroughScreeningRouter;andtheotherisProxyandthetypicalrepresentationisthegatewayonapplicationlevel.....

第一章绪论

§1.1概述

随着以Internet为代表的全球信息化浪潮的来临，信息网络技术的应用正日益广泛，应用层次正在深入，应用领域也从传统的、小型业务系统逐渐向大型、关键业务系统扩展，其中以党政系统、大中院校网络系统、银行系统、商业系统、管理部门、政府或军事领域等为典型。伴随网络的普及，公共通信网络传输中的数据安全问题日益成为关注的焦点。一方面，网络化的信息系统提供了资源的共享性、用户使用的方便性，通过分布式处理提高了系统效率和可靠性，并且还具备可扩充性。另一方面，也正是由于具有这些特点增加了网络信息系统的不安全性。

开放性的网络，导致网络所面临的破坏和攻击可能是多方面的，例如:可能来自物理传输线路的攻击，也可以对网络通信协议和实现实施攻击，可以是对软件实施攻击，也可以对硬件实施攻击。国际性的网络，意味着网络的攻击不仅仅来自本地网络的用户，也可以来自linternet上的任何一台机器，也就是说，网络安全所面临的是一个国际化的挑战。开放的、国际化的Internet的发展给政府机构、企事业单位的工作带来了革命性的变革和开放，使得他们能够利用Internet提高办事效率、市场反应能力和竞争力。通过Internet，他们可以从异地取回重要数据，同时也面临Internet开放所带来的数据安全的挑战与危险。如何保护企业的机密信息不受黑客和工业间谍的入侵，己成为政府机构、企事业单位信息化建设健康发展所要考虑的重要因素之一。广泛分布的企业内部网络由公共网络互联起来，这种互联方式面临多种安全威胁，极易受到外界的攻击，导致对网络的非法访问和信息泄露。防火墙是安全防范的最有效也是最基本的手段之一。

虽然国内己有许多成熟的防火墙及其他相关安全产品，并且这些产品早已打入市场，但是对于安全产品来说，要想进入我军部队。我们必须自己掌握安全测试技术，使进入部队的安全产品不出现问题，所以对网络安全测试的研究非常重要，具有深远的意义。

§1.2本文主要工作

了解防火墙的原理、架构、技术实现

了解防火墙的部署和使用配置

熟悉防火墙测试的相关标准

掌握防火墙产品的功能、性能、安全性和可用性的测试方法

掌握入侵检测与VPN的概念及相关测试方法

第二章防火墙的原理、架构、技术实现

§2.1什么是防火墙？

防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。

§2.2防火墙的原理

随着网络规模的扩大和开放性的增强，网络上的很多敏感信息和保密数据将受到很多主动和被动的人为攻击。一种解决办法是为需要保护的网络上的每个工作站和服务器装备上强大的安全特征(例如入侵检测)，但这几乎是一种不切合实际的方法，因为对具有几百个甚至上千个节点的网络，它们可能运行着不同的操作系统，当发现了安全缺陷时，每个可能被影响的节点都必须加以改进以修复这个缺陷。另一种选择就是防火墙(Firewall)，防火墙是用来在安全私有网络(可信任网络)和外部不可信任网络之间安全连接的一个设备或一组设备，作为私有网络和外部网络之间连接的单点存在。防火墙是设置在可信任的内部网络和不可信任的外部网络之间的一道屏障，它可以实施比较广泛的安全策略来控制信息流，防止不可预料的潜在的入侵破坏.DMZ外网和内部局域网的防火墙系统。

§2.3防火墙的架构

防火墙产品的三代体系架构主要为：

第一代架构：主要是以单一cpu作为整个系统业务和管理的核心，cpu有x86、powerpc、mips等多类型，产品主要表现形式是pc机、工控机、pc-box或risc-box等；

第二代架构：以np或asic作为业务处理的主要核心，对一般安全业务进行加速，嵌入式cpu为管理核心，产品主要表现形式为box等；

第三代架构：iss（integratedsecuritysystem）集成安全体系架构，以高速安全处理芯片作为业务处理的主要核心，采用高性能cpu发挥多种安全业务的高层应用，产品主要表现形式为基于电信级的高可靠、背板交换式的机架式设备，容量大性能高，各单元及系统更为灵活。

§2.4防火墙的技术实现

从Windows软件防火墙的诞生开始，这种安全防护产品就在跟随着不断深入的黑客病毒与反黑反毒之争，不断的进化与升级。从最早期的只能分析来源地址，端口号以及未经处理的报文原文的封包过滤防火墙，后来出现了能对不同的应用程序设置不同的访问网络权限的技术；近年来由ZoneAlarm等国外知名品牌牵头，还开始流行了具有未知攻击拦截能力的智能行为监控防火墙；最后，由于近来垃圾插件和流氓软件的盛行，很多防火墙都在考虑给自己加上拦截流氓软件的功能。综上，Windows软件防火墙从开始的时候单纯的一个截包丢包，堵截IP和端口的工具，发展到了今天功能强大的整体性的安全套件。

第三章防火墙的部署和使用配置

§3.1防火墙的部署

虽然监测型防火墙安全性上已超越了包过滤型和服务器型防火墙，但由于监测型防火墙技术的实现成本较高，也不易管理，所以目前在实用中的防火墙产品仍然以第二代型产品为主，但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑，用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求，同时也能有效地控制安全系统的总拥有成本。

实际上，作为当前防火墙产品的主流趋势，大多数服务器（也称应用网关）也集成了包过滤技术，这两种技术的混合应用显然比单独使用具有更大的优势。由于这种产品是基于应用的，应用网关能提供对协议的过滤。例如，它可以过滤掉FTP连接中的PUT命令，而且通过应用，应用网关能够有效地避免内部网络的信息外泄。正是由于应用网关的这些特点，使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。

----那么我们究竟应该在哪些地方部署防火墙呢？

----首先,应该安装防火墙的位置是公司内部网络与外部Internet的接口处，以阻挡来自外部网络的入侵；其次，如果公司内部网络规模较大，并且设置有虚拟局域网(VLAN)，则应该在各个VLAN之间设置防火墙；第三，通过公网连接的总部与各分支机构之间也应该设置防火墙，如果有条件，还应该同时将总部与各分支机构组成虚拟专用网(VPN)。

----安装防火墙的基本原则是：只要有恶意侵入的可能，无论是内部网络还是与外部公网的连接处，都应该安装防火墙。

§3.2防火墙的使用配置

一、防火墙的配置规则：

没有连接的状态(没有握手或握手不成功或非法的数据包)，任何数据包无法穿过防火墙。(内部发起的连接可以回包。通过ACL开放的服务器允许外部发起连接)

inside可以访问任何outside和dmz区域。

dmz可以访问outside区域。

inside访问dmz需要配合static(静态地址转换)。

outside访问dmz需要配合acl(访问控制列表)。

二、防火墙设备的设置步骤：

1、确定设置防火墙的部署模式；

2、设置防火墙设备的IP地址信息（接口地址或管理地址（设置在VLAN1上））；

3、设置防火墙设备的路由信息；

4、确定经过防火墙设备的IP地址信息（基于策略的源、目标地址）；

5、确定网络应用（如FTP、EMAIL等应用）；

6、配置访问控制策略。

第四章防火墙测试的相关标准

防火墙作为信息安全产品的一种，它的产生源于信息安全的需求。所以防火墙的测试不仅有利于提高防火墙的工作效率，更是为了保证国家信息的安全。依照中华人民共和国国家标准GB/T18019-1999《信息技术包过滤防火墙安全技术要求》、GB/T18020-1999《信息技术应用级防火墙安全技术要求》和GB/T17900-1999《网络服务器的安全技术要求》以及多款防火墙随机提供的说明文档，中国软件评测中心软件产品测试部根据有关方面的标准和不同防火墙的特点整理出以下软件防火墙的测试标准：

4.1规则配置方面

要使防火墙软件更好的服务于用户，除了其默认的安全规则外，还需要用户在使用过程中不断的完善其规则；而规则的设置是否灵活方便、实际效果是否理想等方面，也是判断一款防火墙软件整体安全性是否合格的重要标准。简单快捷的规则配置过程让防火墙软件具备更好的亲和力，一款防火墙软件如果能实施在线检测所有对本机的访问并控制它们、分别对应用程序、文件或注册表键值实施单独的规则添加等等，这将成为此款软件防火墙规则配置的一个特色。

§4.2防御能力方面

对于防火墙防御能力的表现，由于偶然因素太多，因此无法从一个固定平等的测试环境中来得出结果。但是可以使用了X-Scan等安全扫描工具来测试。虽然得出的结果可能仍然有一定的出入，但大致可以做为一个性能参考。

§4.3主动防御提示方面

对于网络访问、系统进程访问、程序运行等本机状态发生改变时，防火墙软件一般都会有主动防御提示出现。这方面主要测试软件拦截或过滤时是否提示用户做出相应的操作选择。

§4.4自定义安全级别方面

用户是否可以参照已有安全级别的安全性描述来设置符合自身特殊需要的规则。防火墙可设置系统防火墙的安全等级、安全规则，以防止电脑被外界入侵。一般的防火墙共有四个级别：

高级：预设的防火墙安全等级，用户可以上网，收发邮件；l

中级：预设的防火墙安全等级，用户可以上网，收发邮件，网络聊天，FTP、Telnet等；l

低级：预设的防火墙安全等级，只对已知的木马进行拦截，对于其它的访问，只是给于提示用户及记录；l

自定义：用户可自定义防火墙的安全规则，可以根据需要自行进行配置。l

§4.5其他功能方面

这主要是从软件的扩展功能表现、操作设置的易用性、软件的兼容性和安全可靠性方面来综合判定。比如是否具有过滤网址、实施木马扫描、阻止弹出广告窗口、将未受保护的无线网络“学习”为规则、恶意软件检测、个人隐私保护等丰富的功能项，是否可以满足用户各方面的需要。

§4.6资源占用方面

这方面的测试包括空闲时和浏览网页时的CPU占用率、内存占有率以及屏蔽大量攻击时的资源占用和相应速度。总的来是就是资源占用率越低越好，启动的速度越快越好。

§4.7软件安装方面

这方面主要测试软件的安装使用是否需要重启系统、安装过程是不是方便、安装完成后是否提示升级本地数据库的信息等等。

§4.8软件界面方面

软件是否可切换界面皮肤和语言、界面是否简洁等等。简洁的界面并不代表其功能就不完善，相反地，简化了用户的操作设置项也就带来了更智能的安全防护功能。比如有的防护墙安装完成后会在桌面生成简单模式和高级模式两个启动项，这方便用户根据不同的安全级别启动相应的防护

第五章防火墙的入侵检测

§5.1什么是入侵检测系统？

入侵检测可被定义为对计算机和网络资源上的恶意使用行为进行识别和响应的处理过程，它不仅检测来自外部的入侵行为，同时也检测内部用户的未授权活动。

入侵检测系统(IDS)是从计算机网络系统中的若干关键点收集信息，并分析这些信息，检查网络中是否有违反安全策略的行为和遭到袭击的迹象。IDS被公认为是防火墙之后的第二道安全闸门，它作为一种积极主动的安全防护技术，从网络安全立体纵深、多层次防御的角度出发，对防范网络恶意攻击及误操作提供了主动的实时保护，从而能够在网络系统受到危害之前拦截和响应入侵

§5.2入侵检测技术及发展

自1980年产生IDS概念以来，已经出现了基于主机和基于网络的入侵检测系统，出现了基于知识的模型识别、异常识别和协议分析等入侵检测技术，并能够对百兆、千兆甚至更高流量的网络系统执行入侵检测。

入侵检测技术的发展已经历了四个主要阶段：

第一阶段是以基于协议解码和模式匹配为主的技术，其优点是对于已知的攻击行为非常有效，各种已知的攻击行为可以对号入座，误报率低;缺点是高超的黑客采用变形手法或者新技术可以轻易躲避检测，漏报率高。

第二阶段是以基于模式匹配+简单协议分析+异常统计为主的技术，其优点是能够分析处理一部分协议，可以进行重组;缺点是匹配效率较低，管理功能较弱。这种检测技术实际上是在第一阶段技术的基础上增加了部分对异常行为分析的功能。

第三阶段是以基于完全协议分析+模式匹配+异常统计为主的技术，其优点是误报率、漏报率和滥报率较低，效率高，可管理性强，并在此基础上实现了多级分布式的检测管理;缺点是可视化程度不够，防范及管理功能较弱。

第四阶段是以基于安全管理+协议分析+模式匹配+异常统计为主的技术，其优点是入侵管理和多项技术协同工作，建立全局的主动保障体系，具有良好的可视化、可控性和可管理性。以该技术为核心，可构造一个积极的动态防御体系，即IMS——入侵管理系统。

新一代的入侵检测系统应该是具有集成HIDS和NIDS的优点、部署方便、应用灵活、功能强大、并提供攻击签名、检测、报告和事件关联等配套服务功能的智能化系统§5.3入侵检测技术分类

从技术上讲，入侵检测技术大致分为基于知识的模式识别、基于知识的异常识别和协议分析三类。而主要的入侵检测方法有特征检测法、概率统计分析法和专家知识库系统。

(1)基于知识的模式识别

这种技术是通过事先定义好的模式数据库实现的，其基本思想是：首先把各种可能的入侵活动均用某种模式表示出来，并建立模式数据库，然后监视主体的一举一动，当检测到主体活动违反了事先定义的模式规则时，根据模式匹配原则判别是否发生了攻击行为。

模式识别的关键是建立入侵模式的表示形式，同时，要能够区分入侵行为和正常行为。这种检测技术仅限于检测出已建立模式的入侵行为，属已知类型，对新类型的入侵是无能为力的，仍需改进。

(2)基于知识的异常识别

这种技术是通过事先建立正常行为档案库实现的，其基本思想是：首先把主体的各种正常活动用某种形式描述出来，并建立“正常活动档案”，当某种活动与所描述的正常活动存在差异时，就认为是“入侵”行为，进而被检测识别。

异常识别的关键是描述正常活动和构建正常活动档案库。

利用行为进行识别时，存在四种可能：一是入侵且行为正常;二是入侵且行为异常;三是非入侵且行为正常;四是非入侵且行为异常。根据异常识别思想，把第二种和第四种情况判定为“入侵”行为。这种检测技术可以检测出未知行为，并具有简单的学习功能。

以下是几种基于知识的异常识别的检测方法：

1)基于审计的攻击检测技术

这种检测方法是通过对审计信息的综合分析实现的，其基本思想是：根据用户的历史行为、先前的证据或模型，使用统计分析方法对用户当前的行为进行检测和判别，当发现可疑行为时，保持跟踪并监视其行为，同时向系统安全员提交安全审计报告。

2)基于神经网络的攻击检测技术

由于用户的行为十分复杂，要准确匹配一个用户的历史行为和当前的行为是相当困难的，这也是基于审计攻击检测的主要弱点。

而基于神经网络的攻击检测技术则是一个对基于传统统计技术的攻击检测方法的改进方向，它能够解决传统的统计分析技术所面临的若干问题，例如，建立确切的统计分布、实现方法的普遍性、降低算法实现的成本和系统优化等问题。

3)基于专家系统的攻击检测技术

所谓专家系统就是一个依据专家经验定义的推理系统。这种检测是建立在专家经验基础上的，它根据专家经验进行推理判断得出结论。例如，当用户连续三次登录失败时，可以把该用户的第四次登录视为攻击行为。

4)基于模型推理的攻击检测技术

攻击者在入侵一个系统时往往采用一定的行为程序，如猜测口令的程序，这种行为程序构成了某种具有一定行为特征的模型，根据这种模型所代表的攻击意图的行为特征，可以实时地检测出恶意的攻击企图，尽管攻击者不一定都是恶意的。用基于模型的推理方法人们能够为某些行为建立特定的模型，从而能够监视具有特定行为特征的某些活动。根据假设的攻击脚本，这种系统就能检测出非法的用户行为。一般为了准确判断，要为不同的入侵者和不同的系统建立特定的攻击脚本。

使用基于知识的模式识别和基于知识的异常识别所得出的结论差异较大，甚至得出相反结论。这是因为基于知识的模式识别的核心是维护一个入侵模式库，它对已知攻击可以详细、准确地报告出攻击类型，但对未知攻击却无能为力，而且入侵模式库必须不断更新。而基于知识的异常识别则是通过对入侵活动的检测得出结论的，它虽无法准确判断出攻击的手段，但可以发现更广泛的、甚至未知的攻击行为。

§5.4入侵检测技术剖析

1）信号分析

对收集到的有关系统、网络、数据及用户活动的状态和行为等信息，一般通过三种技术手段进行分析：模式匹配、统计分析和完整性分析。其中前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。

2）模式匹配

模式匹配就是将收集到的信息与已知的网络入侵和系统已有模式数据库进行比较，从而发现违背安全策略的行为。该过程可以很简单（如通过字符串匹配以寻找一个简单的条目或指令），也可以很复杂（如利用正规的数学表达式来表示安全状态的变化）。一般来讲，一种进攻模式可以用一个过程（如执行一条指令）或一个输出（如获得权限）来表示。该方法的一大优点是只需收集相关的数据集合，显著减少系统负担，且技术已相当成熟。它与病毒防火墙采用的方法一样，检测准确率和效率都相当高。但是，该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法，不能检测到从未出现过的黑客攻击手段。

3）统计分析

统计分析方法首先给系统对象（如用户、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。在比较这一点上与模式匹配有些相象之处。测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常值范围之外时，就认为有入侵发生。例如，本来都默认用GUEST帐号登录的，突然用ADMINI帐号登录。这样做的优点是可检测到未知的入侵和更为复杂的入侵，缺点是误报、漏报率高，且不适应用户正常行为的突然改变。具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法，目前正处于研究热点和迅速发展之中。

4）完整性分析

完整性分析主要关注某个文件或对象是否被更改，这经常包括文件和目录的内容及属性，它在发现被更改的、被特咯伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制，称为消息摘要函数（例如MD5），它能识别哪怕是微小的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵，只要是成功的攻击导致了文件或其它对象的任何改变，它都能够发现。缺点是一般以批处理方式实现，用于事后分析而不用于实时响应。尽管如此，完整性检测方法还应该是网络安全产品的必要手段之一。例如，可以在每一天的某个特定时间内开启完整性分析模块，对网络系统进行全面地扫描检查。

§5.5防火墙与入侵检测的联动

网络安全是一个整体的动态的系统工程，不能靠几个产品单独工作来进行安全防范。理想情况下，整个系统的安全产品应该有一个响应协同，相互通信，协同工作。其中入侵检测系统和防火墙之间的联动就能更好的进行安全防护。图8所示就是入侵检测系统和防火墙之间的联动，当入侵检测系统检测到入侵后，通过和防火墙通信，让防火墙自动增加规则，以拦截相关的入侵行为，实现联动联防。

§5.6什么是VPN?

VPN的英文全称是“VirtualPrivateNetwork”，翻译过来就是“虚拟专用网络”。顾名思义，虚拟专用网络我们可以把它理解成是虚拟出来的企业内部专线。它可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路。这就好比去电信局申请专线，但是不用给铺设线路的费用，也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一，目前在交换机，防火墙设备或Windows2000等软件里也都支持VPN功能，一句话，VPN的核心就是在利用公共网络建立虚拟私有网。

虚拟专用网（VPN）被定义为通过一个公用网络（通常是因特网）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。虚拟专用网是对企业内部网的扩展。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。虚拟专用网可用于不断增长的移动用户的全球因特网接入，以实现安全连接；可用于实现企业网站之间安全通信的虚拟专用线路，用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。

§5.7VPN的特点

1.安全保障虽然实现VPN的技术和方式很多，但所有的VPN均应保证通过公用网络平台传输数据的专用性和安全性。在安全性方面，由于VPN直接构建在公用网上，实现简单、方便、灵活，但同时其安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问。

2.服务质量保证（QoS）

VPN网应当为企业数据提供不同等级的服务质量保证。不同的用户和业务对服务质量保证的要求差别较大。在网络优化方面，构建VPN的另一重要需求是充分有效地利用有限的广域网资源，为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低，在流量高峰时引起网络阻塞，使实时性要求高的数据得不到及时发送；而在流量低谷时又造成大量的网络带宽空闲。QoS通过流量预测与流量控制策略，可以按照优先级分实现带宽管理，使得各类数据能够被合理地先后发送，并预防阻塞的发生。

3.可扩充性和灵活性

VPN必须能够支持通过Intranet和Extranet的任何类型的数据流，方便增加新的节点，支持多种类型的传输媒介，可以满足同时传输语音、图像和数据等新应用对高质量传输以及带宽增加的需求。

4.可管理性

从用户角度和运营商角度应可方便地进行管理、维护。VPN管理的目标为：减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实上，VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS管理等内容。

§5.8VPN防火墙

VPN防火墙就是一种过滤塞（目前你这么理解不算错），你可以让你喜欢的东西通过这个塞子，别的玩意都统统过滤掉。在网络的世界里，要由VPN防火墙过滤的就是承载通信数据的通信包。

最简单的VPN防火墙是以太网桥。但几乎没有人会认为这种原始VPN防火墙能管多大用。大多数VPN防火墙采用的技术和标准可谓五花八门。这些VPN防火墙的形式多种多样：有的取代系统上已经装备的TCP/IP协议栈；有的在已有的协议栈上建立自己的软件模块；有的干脆就是独立的一套操作系统。还有一些应用型的VPN防火墙只对特定类型的网络连接提供保护（比如SMTP或者HTTP协议等）。还有一些基于硬件的VPN防火墙产品其实应该归入安全路由器一类。以上的产品都可以叫做VPN防火墙，因为他们的工作方式都是一样的：分析出入VPN防火墙的数据包，决定放行还是把他们扔到一边。

所有的VPN防火墙都具有IP地址过滤功能。这项任务要检查IP包头，根据其IP源地址和目标地址作出放行/丢弃决定。看看下面这张图，两个网段之间隔了一个VPN防火墙，VPN防火墙的一端有台UNIX计算机，另一边的网段则摆了台PC客户机。

当PC客户机向UNIX计算机发起telnet请求时，PC的telnet客户程序就产生一个TCP包并把它传给本地的协议栈准备发送。接下来，协议栈将这个TCP包“塞”到一个IP包里，然后通过PC机的TCP/IP栈所定义的路径将它发送给UNIX计算机。在这个例子里，这个IP包必须经过横在PC和UNIX计算机中的VPN防火墙才能到达UNIX计算机。

现在我们“命令”（用专业术语来说就是配制）VPN防火墙把所有发给UNIX计算机的数据包都给拒了，完成这项工作以后，比较好的VPN防火墙还会通知客户程序一声呢！既然发向目标的IP数据没法转发，那么只有和UNIX计算机同在一个网段的用户才能访问UNIX计算机了。

还有一种情况，你可以命令VPN防火墙专给那台可怜的PC机找茬，别人的数据包都让过就它不行。这正是VPN防火墙最基本的功能：根据IP地址做转发判断。但要上了大场面这种小伎俩就玩不转了，由于黑客们可以采用IP地址欺骗技术，伪装成合法地址的计算机就可以穿越信任这个地址的VPN防火墙了。不过根据地址的转发决策机制还是最基本和必需的。另外要注意的一点是，不要用DNS主机名建立过滤表，对DNS的伪造比IP地址欺骗要容易多了。

后记：

入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。入侵检测系统面临的最主要挑战有两个：一个是虚警率太高，一个是检测速度太慢。现有的入侵检测系统还有其他技术上的致命弱点。因此，可以这样说，入侵检测产品仍具有较大的发展空间，从技术途径来讲，除了完善常规的、传统的技术（模式识别和完整性检测）外，应重点加强统计分析的相关技术研究。

但无论如何，入侵检测不是对所有的入侵都能够及时发现的，即使拥有当前最强大的入侵检测系统，如果不及时修补网络中的安全漏洞的话，安全也无从谈起。

同样入侵检测技术也存在许多缺点，IDS的检测模型始终落后于攻击者的新知识和技术手段。主要表现在以下几个方面：

1)利用加密技术欺骗IDS;

2)躲避IDS的安全策略;

3)快速发动进攻，使IDS无法反应;

4)发动大规模攻击，使IDS判断出错;

5)直接破坏IDS;

6)智能攻击技术，边攻击边学习，变IDS为攻击者的工具。

我认为在与防火墙技术结合中应该注意扩大检测范围和类别、加强自学习和自适应的能力方面发展。

参考文献：

1..MarcusGoncalves著。宋书民，朱智强等译。防火墙技术指南[M]。机械工业出版社

2.梅杰，许榕生。Internet防火墙技术新发展。微电脑世界.

第2篇

关键词入侵检测；通用入侵检测对象；通用入侵描述语言；语义标识符

1引言

计算机网络在我们的日常生活中扮演着越来越重要的角色，与此同时，出于各种目的，它正日益成为犯罪分子攻击的目标，黑客们试图使用他们所能找到的方法侵入他人的系统。为此，我们必须采取有效地对策以阻止这类犯罪发生。开发具有严格审计机制的安全操作系统是一种可行方案，然而综合考虑其实现代价，在许多问题上作出少许让步以换取减少系统实现的难度却又是必要的。因此，在操作系统之上，再加一层专门用于安全防范的应用系统成为人们追求的目标。入侵检测技术即是这样一种技术，它和其它安全技术一道构成计算机系统安全防线的重要组成部分。自从DorothyE.Denning1987年提出入侵检测的理论模型后[1]，关于入侵检测的研究方法就层出不穷[5-7]，基于不同检测对象及不同检测原理的入侵检测系统被研制并投放市场，取得了显著成效，然而，遗憾的是这些产品自成一体，相互间缺少信息交流与协作，而作为防范入侵的技术产品，这势必削弱了它们的防范能力，因而如何使不同的入侵检测系统构件能够有效地交流合作，共享它们的检测结果是当前亟待解决的一个问题。入侵检测系统框架的标准化，数据格式的标准化[2]为解决这一问题作了一个有益的尝试。本文主要针对入侵检测数据格式的标准化——通用入侵检测对象进行分析应用，并通过一个实际例子介绍了我们的具体实践过程。

入侵检测是指“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图”[2-4]。从技术上划分，入侵检测有两种模型[2，4]：①异常检测模型(AnomalyDetection)；②误用检测模型(MisuseDetection)。按照检测对象划分有：基于主机、基于网络及混合型三种。

入侵检测过程主要有三个部分[4]：即信息收集、信息分析和结果处理。

2通用入侵检测对象(GIDO)

为解决入侵检测系统之间的互操作性，国际上的一些研究组织开展了标准化工作，目前对IDS进行标准化工作的有两个组织：IETF的IntrusionDetectionWorkingGroup(IDWG)和CommonIntrusionDetectionFramework(CIDF)。CIDF早期由美国国防部高级研究计划局赞助研究，现在由CIDF工作组负责，是一个开放组织。CIDF规定了一个入侵检测系统应包括的基本组件。CISL(CommonIntrusionSpecificationLanguage，通用入侵规范语言)是CIDF组件间彼此通信的语言。由于CIDF就是对协议和接口标准化的尝试，因此CISL就是对入侵检测研究的语言进行标准化的尝试[8]。

CISL语言为了实现自定义功能，以S-表达式表示GIDO(GeneralizedIntrusionDetectionObjectis)，S-表达式以各类语义标识符(SemanticIdentifeers)为标记，分别有动作SID、角色SID、属性SID、原子SID、连接SID、指示SID和SID扩展名等类型。其范式如下：

<SExpression>：：=’(<SID><Data>’)’

<Data>：：=<SimpleAtom>

<Data>：：=<ArrayAtom>

<Data>：：=<SExpressionList>

<SExpressionList>：：=<SExpression>

<SExpressionList>：：=<SExpression><SExpressionList>

入侵检测组件交流信息时，以GIDO为标准数据格式传输内容，GIDO所包含的内容常来自于各类审计日志，网络数据包，应用程序的跟踪信息等。

CISL对S-表达式编码规则遵循递归原则，具体如下：

<SExpression>：：=’(<SID><Data>’)’

E[Sexpression]=length_encode(sid_encode(SID)E[Data])

sid_encode(SID)E[Data]

<Data>：：=<SimpleAtom>

E[Data]=Simple_encode(SimpleAtom)

<Data>：：=<ArrayAtom>

E[Data]=Array_encode(ArrayAtom)

<Data>：：=<SExpressionList>

E[Data]=E[SExpressionList]

<SExpressionList>：：=<SExpression>

E[SExpressionList]：：=E[SExpression]

<SExpressionList>：：=<SExpression><SExpressionList>

E[SExpressionList]：：=E[SExpression]e[SExpressionList]

对于每一个GIDO的基本成份SID，CISL都有规定的编码，通过这些编码本身的信息可知这些SID是原子SID还是非原子SID。原子SID在编码中不能继续分解，而是直接带有具体的值。值有简单类型和数组类型[8]。

GIDO以各类SID为标志，组成树形结构，根结点为该GIDO的标志SID，各子树的根结点为相应的对该GIDO所描述的事件起关键作用的SID。编码时，每棵子树的根结点前附加该子树所有孩子结点编码的总长度，以递归方式完成GIDO编码，一个详细的实例可参考文献[8]。3通用入侵检测对象的应用

我们以Linux环境为例，在检测口令猜测攻击中，系统的日志文件会产生以LOGIN_FAILED为标志的日志记录[9-10]。在IDS的事件产生器中，读取日志文件中含有LOGIN_FAILED的记录生成GIDO。

例：Jul3108：57：45zd213login[1344]LOGIN_FAILED1from192.168.0.211FORJohnAuthenticationfailure。相应的GIDO为：

{Login

{Outcome

{ReturnCodeACTION_FAILED}

)

(When

(BeginTimeJul3108：57：43)

)

(Initiator

(IPV4Address192.168.0.211)

(UsernameJohn)

)

(Receiver

(Hostnamezd213)

))

其编码过程除了遵循前面所描述的规则外，还使用了文献[2]所建议的各类API。它们分别用于生成存放GIDO的空树、向空树附加根结点、附加数据、附加子树及对整个树编码。

当一个GIDO由事件产生器完成编码后，便发送至事件分析器按一定的规则分析所接收的GIDOs以便确定是否有入侵发生，若有则将有关信息发至控制台。对口令猜测攻击的GIDO，一个可行的处理流程如图1所示。

假定系统检测到30秒内发生了三次或以上登录失败，认为系统受到入侵，便发出相应报警信息。则本例输出结果(从不同终端登录)如图2所示。

图1对口令猜测攻击事件产生的GIDO的处理流程

图2一个口令猜测攻击的模拟检测结果

4结束语

本文在深入分析入侵检测基本原理及入侵检测说明语言CISL基础上，对入侵检测对象GIDO的编码进行了详细说明。在系统设计的实践过程中，分别使用了入侵检测标准化组织提出的草案中包含的有关接口。但在本文中也只是针对一类特定入侵的事件说明如何生成并编码GIDOs。事实上，入侵检测系统各构件之间的通信本身也需要安全保障，这一点参考文献[8]，可利用GIDO的附加部分来实现，其中所用技术(诸如签名，加密等)可借鉴目前一些较成熟的安全通信技术。

参考文献

[1]DorothyE.DenningAnIntrusion-DetectionModel[J].IEEETransactionsonsoftwareEngineering，1987，13(2)：222-232

[2]蒋建春，马恒太等网络入侵检测综述[J].软件学报2000.11(11)：1460-1466

[3]GB/T18336，信息技术安全技术安全性评估标准[S]。

[4]蒋建春，冯登国。网络入侵检测原理与技术[M]，国防工业出版社，北京，2001

[5]KumarS，SpaffordEH，AnApplicationofPatterMatchinginIntrusionDetection[R]，TechnicalReportCSD-7r-94-013，DepartmentofComputerScience，PurdueUniversity，1994。

[6]JstinDoak.IntrusionDetection：TheApplicationofaFeatureSelection-AComparisonofAlgorithmsandtheApplicationofWideAreaNetworkAnalyzer[R].DepartmentofComputerScience，Universityofcolifornia，Davis1992.

[7]DusanBulatovic，DusanVelasevi.AdistributedIntrusionDetectionSystem[J]，JournalofcomputerSecurity.1999，1740：219-118

[8]http：//gost.isi.edu/cidf

第3篇

关键字网格；虚拟组织；入侵检测

1入侵检测系统分析

表1分析了入侵检测系统结构变化。

表1IDS出现的问题及结构的变化

IDS发展解决的问题结构特征

基于主机单一主机的安全各部分运行在单节点上

基于网络局域网的安全采集部分呈现分布式

分布式单一分析节点的弱势分析部分呈现分布式

网格的运行是由用户发起任务请求，然后寻找资源搭配完成任务，这样形成的团体称为虚拟组织(VO)，网格入侵检测系统是为其他VO提供服务的VO[1]，目前其面临的主要问题如下：

(1)分布性：包括资源分布和任务分解。

(2)动态部署：系统是为VO提供服务的，其部署应是动态的。

(3)动态形成：系统本身也是一VO，是动态形成的。

(4)最优方案选择：本系统需多种网格资源协同进行，要选择一个最优方案。

(5)协同计算：保证按照入侵检测流程顺利运行。

(6)动态改变：防止资源失效。

目前关于网格入侵检测系统的研究[2]只能说解决了分布性、动态形成、协同计算。而对于动态部署[1]、动态改变[3]仍处于研究中。

2VGIDS系统模型

VGIDS基于开放网格服务（OGSA）思想提出了一个公共服务——GIDSService来解决目前网格入侵检测系统面临的问题。整个VGIDS结构如图1所示。

(1)VO-Based：网格是一个虚拟组织的聚集，本系统提出一虚拟组织目录(VOL)。用户向GIDSService提交请求并将被检测VO代号作为参数。GIDSSevvice查找VOL获取VO信息。当VOL数量减为一就成为单一网格应用，可由网格管理(GM)将VO信息传给GIDSServic。

图1VGIDS系统结构

(2)GIDSService：负责资源发现，调度。具体包括：

RI（RequestInterface）：服务接口，负责服务请求及VO信息获取。同VOL解决动态部署。

DA（DelegationAgent）：委托。同用户交互获得用户委托授权。

DD（DistributedData）：分布式数据。存储VGIDS需要的资源信息。解决分布问题。

RQ（ResourceQuery）：资源查询。当获得用户授权后便由RQ根据DD描述向资源目录(RL)查找资源。解决分布问题。

PC（PlanChoose）：最优方案选择。当从RL获得可用资源后PC根据AM(任务管理)要求选择一个最优方案。本文称为多维最优路径选择问题。

AM(AssignmentManage)：任务管理。首先根据DD存储所需资源的调度信息，当VGIDS形成后，根据PC的方案选择及DD存储的资源信息进行任务的调度和协同各分布资源的交互，解决协同计算。

IR(IntrusionReaction)：入侵响应。

SN(SecurityNegotiate)：安全协商。同资源和用户的安全协商。

DI(DynamicInspect)：动态检查。负责检查资源失效向RQ发起重新查找资源请求。解决动态改变问题。

LB(LoadBalance)：负载平衡。主要根据DD信息解决网格资源调度的负载平衡问题。

3VGIDS服务描述

本系统是一动态虚拟组织，在系统运行之前必须以静态网格服务的形式部署于网格之上，当用户申请时再动态形成。

定义1：VGIDS的静态定义如下：VGIDS=<Base，Resource，Role，Task，Flow，Relation>

Base为VGIDS基本描述，Base=<ID，Power，IO，Inf，log，goal，P>。ID为虚拟组织编号；Power为获得的授权；IO为被检测对象；Inf为监控VGIDS获得的信息文件；log为系统日志；goal为VGIDS目标，包括调度算法所估计的系统效率及用户要求；P为系统交互策略，需同网格资源进行交互，授予资源角色和相关权利并同时分配相关任务。

Resource为VGIDS的所有资源，Resource=<IP，Property，Serve，Power，P>。

IP为资源地址；Property为资源属性(存储、分析)，方便角色匹配；Serve为资源可提供的服务指标；Power为使用资源所要求的授权；P为资源交互策略。

Role为存在的角色类型，Role=<ID，Tas，Res，Power>。ID为角色的分类号，按照工作流分为5类角色分别对应VGIDS的5个环节；Tas为角色任务；Res为角色需要的资源类型；Power为角色所获得的权利。

Task为工作流任务集合。Task＝<ID，Des，Res，Role，P>。ID为任务标号；Des为任务描述；Res为需要的资源种类；Role为任务匹配的角色；P为Task执行策略。

Flow为工作流描述文件，Flow=<Role，Seq，P>。Role为角色集合，Seq为角色执行序列，P为对于各个角色的控制策略。

Relation为已确定资源Resource和Role之间的关系。Relation=<Res，Role，Rl>。Res为资源集合，Role为角色集合，Rl为对应关系。

4多维最优路径选择

4.1问题描述

将图1抽象为图2模型定义2：Graph=(U、D、A、{Edge})。

U为所有被检测对象的集合，Un=(Loadn、Pn)，Loadn为Un单位时间所要求处理的数据，Pn为Un在被检测VO中所占权重，如果P为空，则按照Load大小作为权重。

D为存储服务集合，Dn=(Capn、Qosdn)，Capn为Dn提供的存储容量。Qosdn为Dn提供的服务质量，近似为数据吞吐率。

A为分析服务集合，An=（Classn、Qosan），Classn为An处理的数据种类，如系统日志或网络流量。Qosan为An提供的服务质量，近似为处理速率。

Edge为边的集合，有网络传输速度加权v。

图2VGIDS调度模型

定义3：Qos定义为一个多维向量，可用一个性能度量指标的集合表示：

{M1(t)、M2(t)，…，Mn(t)}

Mn(t)为一个与网格服务质量有关的量，如CPU的主频、网络速度、内存。服务的执行过程体现出来的性能参数是一条n维空间的轨迹M，这个n维空间的每一维代表一个性能指标

M=R1*R2*…*Rn

其中，Rn是性能指标Mn(t)的取值范围。在本系统中存在两类Qos，分别为D和A。本系统强调实时性，所以CPU、RAM和网络速度占很大权重，Qos计算公式如下：

Wcpu表示CPU的权重；CPUusage表示当前CPU使用率；CPUspeed表示CPU的实际速度；CPUmin表示要求的CPU速率的最小值。Wram表示RAM的权重；RAMusage表示当前RAM使用率；RAMsize表示RAM的实际大小；RAMmin表示要求的RAM的最小值。Wnet表示网络传输的权重；NETusage表示当前网络负载；NETspeed表示网络的实际速度；NETmin表示要求的网络传输速率的最小值。

资源调度就是利用对各个资源的量化，为每一检测对象选择一条数据传输路径。本系统目标是使整个VO获得快速的检测，而不是对个别对象的检测速率很高。

定义4：对于任意一个被检测VO的检测对象，如果能够为其构造一条检测路径，称系统对于此对象是完备的。

定义5：对于VO，如果能够为其所有的检测对象构造检测路径，则称系统对于被检测VO是完备的。

本调度算法的目的便是在满足被检测VO和入侵检测工作流要求下，按照所选网格资源提供的能力为整个VO构造VGIDS，使所有被检测对象检测效率之和最高。这是一非典型的线性规划问题，如下定义：

X1，…Xn是n个独立变量，表示VGIDS所选路径；公式<5>表示最大耗费时间；公式<6>—<8>表示所有对于Xn的约束条件。由于Xn变量难以确定并且约束条件种类较多所以难以将上述问题标准化为公式<5>—<8>。

4.2算法描述

本文利用贪心选择和Dijkstra算法进行调度。

按照用户给出的U的权值P从大到小进行排序，if（P==NULL），则按Load从大到小进行排序得到排序后的对象数组和负载数组为

U[i]（0<i≤n，n为U的大小）；Load[i]（0<i≤n，n为U的大小）

for(i=0；i<=n；i++)，循环对U和Load执行以下操作：

（1）对于所有边，定义其权值为网络传输时间t=Load[i]/v，对于所有服务D和A定义其处理数据时间为t1=Load[i]/Qos，将t1加到每一个服务的入边上得到最终各边权值，如果两点之间没有边相连则t[j]为∞。

（2）定义Capmin[i]为U[i]对于数据存储能力的最低要求，Qosdmin为U[i]对于D中服务质量的最低要求，Qosamin为U[i]对于A中服务质量的最低要求。对于所有D中Cap<Capmin[i]或者Qosd<Qosdmin的节点以及A中Qosa<Qosamin[i]的节点，将其所有输入和输出边的t设为∞。

（3）设所有点集合为V，V0为检测对象，边Edge定义为<Vi，Vj>。用带权连接矩阵arcs[i][j]表示<Vi，Vj>的权值。定义向量D表示当前所找到的从起点V0到终点Vi的最短路径，初始化为若V0到Vi有边，则D[i]为边的权值，否则置D[i]为∞。定义向量P来保存最短路径，若P[v][w]为TRUE，则W是从V0到V当前求得最短路径上的顶点。

（4）for(v=0；v<v.number；v++)

{

final[v]=false；

D[v]=arcs[v0][v]；

for(w=0；w<v.number；++w)P[v][w]=false；

//设空路径

if(D[v]<INFINITY){P[v][v0]=true；P[v][v]=true；}}

D[v0]=0；final[v0]=true；//初始化，V0顶点属于已求得最短路径的终点集合

for(i=1；i<v.number；++i){

min=INFINITY；

for(w=0；w<v.number；++w)

if(!final[w])

if(D[w]<min){v=w；min=D[w]；}

final[v]=true；

for(w=0；w<v.number；++w)//更新当前最短路径及距离；

if(!final[w]&&(min+arcs[v][w]<D[w])){

D[w]=min+arcs[v][w]；

P[w]=P[v]；P[w][w]=true；

}}}

扫描A中各点，选取其中D[i](Vi∈A)最小的一点X，然后从P中选取从V0到X的路径便为所选一条VGIDS路径。

（5）将所选路径上的边的速率改为V＝V－Load[i]，D的Cap改为Cap＝Cap-Capmin，D的Qosd改为Qosd=Qosd-Qosdmin，A的Qosa改为Qosa=Qosa-Qosamin。

（6）++i，回到步骤(1)重新开始循环。

5系统开发

本项目主要利用Globus工具包外加CoGKits开发工具。Globus作为一个广泛应用的网格中间件其主要是针对五层沙漏结构，并利用GridService技术逐层对五层沙漏提出的功能单源进行实现[5]，表2简单叙述VGIDS实现的各层功能及Globus中对应服务调用。

实验时VGIDS部署在Linux系统上，采用基于Linux核心的数据采集技术及Oracle10g作为数据库系统解决分布式存储问题，数据分析技术仍采用现有的基于规则的入侵检测技术。系统试验平台如图3所示。

表2系统功能划分及调用接口

五层结构VGIDSGlobus

应用层GridService无

汇聚层资源发现、证书管理、目录复制、复制管理、协同分配元目录服务MDS，目录复制和复制管理服务，在线信任仓储服务，DUROC协同分配服务

资源层访问计算、访问数据、访问系统结构与性能信息提供GRIP、GRRP、基于http的GRAM用于分配资源和监视资源，提供GridFtp数据访问管理协议及LDAP目录访问协议。Globus定义了这些协议的C和Java实现

连接层通信、认证、授权提供GSI协议用于认证、授权、及通信保密

构造层数据采集、数据存储、数据分析提供缺省和GARA资源预约

图3系统试验平台

本平台共8台机器，一台网格目录服务和CA认证中心，一台部署VGIDS服务。两台机器作为被检测对象，相互之间可实现简单网格协作，本试验两台机器之间通过GridFtp服务传输数据。其余四台机器分别实现两个存储服务和两个分析服务。

6总结和展望

目前网格入侵检测系统主要是针对某一特定网格应用静态执行。而本文所提出的VGIDS则是针对网格运行模式——虚拟组织所提出的通用网格入侵检测服务。本系统事先进行静态定义，然后当有服务请求时动态解析定义文件，动态形成可执行的网格入侵检测系统。本系统解决目前网格入侵检测系统面临的动态部署、动态形成、最优方案选择、动态改变等问题。

对于网格入侵检测系统同样还面临着如何解决数据异构，如何发现分布式协同攻击，如何保障自身的安全等问题，本模型有待进一步完善。

参考文献

[1]OngTianChoonandAzmanSamsudin.Grid-basedIntrusionDetectionSystem.SchoolofComputerSciencesUniversitySainsMalaysia，IEEE，2003.1028-1032

[2]AlexandreSchulterandJúlioAlbuquerqueReis.AGrid-worksandManagementLaboratoryFederalUniversityofSantaCatarina，ProceedingsoftheInternationalConferenceonNetworking，InternationalConferenceonSystemsandInternationalConferenceonMobileCommunicationsandLearningTechnologies.IEEE，2006

[3]TolbaMF，Abdel-WahabMS，TahaIA，etal，“GIDA：TowardEnablingGridIntrusionDetectionSystems”，CCGrid，11thMay，2005

第4篇

关键字贝叶斯；核密度；入侵检测；分类

1前言

在入侵检测系统中，为了提高系统的性能，包括降低误报率和漏报率，缩短反应时间等，学者们引入了许多方法，如专家系统、神经网络、遗传算法和数据挖掘中的聚类，分类等各种算法。例如：Cooper&Herkovits提出的一种基于贪心算法的贝叶斯信念网络，而Provan&SinghProvan，G.M&SinghM和其他学者报告了这种方法的优点。贝叶斯网络说明联合条件概率分布，为机器学习提供一种因果关系的图形，能有效的处理某些问题，如诊断：贝叶斯网络能正确的处理不确定和有噪声的问题，这类问题在任何检测任务中都很重要。

然而，在分类算法的比较研究发现，一种称作朴素贝叶斯分类的简单贝叶斯算法给人印象更为深刻。尽管朴素贝叶斯的分类器有个很简单的假定，但从现实数据中的实验反复地表明它可以与决定树和神经网络分类算法相媲美[1]。

在本文中，我们研究朴素贝叶斯分类算法，用来检测入侵审计数据，旨在开发一种更有效的，检验更加准确的算法。

2贝叶斯分类器

贝叶斯分类是统计学分类方法。它们可以预测类成员关系的可能性，如给定样本属于一个特定类的概率。

朴素贝叶斯分类[2]假定了一个属性值对给定类的影响独立于其它属性的值，这一假定称作类条件独立。

设定数据样本用一个n维特征向量X={x1，x2，，xn}表示，分别描述对n个属性A1，A2，，An样本的n个度量。假定有m个类C1，C2，，Cm。给定一个未知的数据样本X（即没有类标号），朴素贝叶斯分类分类法将预测X属于具有最高后验概率（条件X下）的类，当且仅当P(Ci|X)>P(Cj|X)，1≤j≤m，j≠i这样，最大化P(Ci|X)。其中P(Ci|X)最大类Ci称为最大后验假定，其原理为贝叶斯定理：

公式(1)

由于P(X)对于所有类为常数，只需要P(X|Ci)P(Ci)最大即可。并据此对P(Ci|X)最大化。否则，最大化P(X|Ci)P(Ci)。如果给定具有许多属性的数据集，计算P(X|Ci)P(Ci)的开销可能非常大。为降低计算P(X|Ci)的开销，可以做类条件独立的朴素假定。给定样本的类标号，假定属性值相互条件独立，即在属性间，不存在依赖关系，这样，

公式(2)

概率，可以由训练样本估值：

(1)如果Ak是分类属性，则P(xk|Ci)=sik/si其中sik是Ak上具有值xk的类Ci的训练样本数，而si是Ci中的训练样本数。

(2)如果Ak是连续值属性，则通常假定该属性服从高斯分布。因而

公式(3)

其中，给定类Ci的训练样本属性Ak的值，是属性Ak的高斯密度函数，而分别为平均值和标准差。

朴素贝叶斯分类算法(以下称为NBC)具有最小的出错率。然而，实践中并非如此，这是由于对其应用假定（如类条件独立性）的不确定性，以及缺乏可用的概率数据造成的。主要表现为：

①不同的检测属性之间可能存在依赖关系，如protocol_type，src_bytes和dst_bytes三种属性之间总会存在一定的联系；

②当连续值属性分布是多态时，可能产生很明显的问题。在这种情况下，考虑分类问题涉及更加广泛，或者我们在做数据分析时应该考虑另一种数据分析。

后一种方法我们将在以下章节详细讨论。

3朴素贝叶斯的改进：核密度估计

核密度估计是一种普便的朴素贝叶斯方法，主要解决由每个连续值属性设为高斯分布所产生的问题，正如上一节所提到的。在[3]文中，作者认为连续属性值更多是以核密度估计而不是高斯估计。

朴素贝叶斯核密度估计分类算法（以下称K-NBC）十分类似如NBC，除了在计算连续属性的概率时：NBC是使用高斯密度函数来评估该属性，而K-NBC正如它的名字所说得一样，使用高斯核密度函数来评估属性。它的标准核密度公式为

公式(4)

其中h=σ称为核密度的带宽，K=g（x,0,1），定义为非负函数。这样公式（4）变形为公式（5）

公式(5)

在K-NBC中采用高斯核密度为数据分析，这是因为高斯密度有着更理想的曲线特点。图1说明了实际数据的概率分布更接近高斯核密度曲线。

图1两种不同的概率密度对事务中数据的评估，其中黑线代表高斯密度，虚线为核估计密度并有两个不同值的带宽朴素贝叶斯算法在计算μc和σc时，只需要存储观测值xk的和以及他们的平方和，这对一个正态分布来说是已经足够了。而核密度在训练过程中需要存储每一个连续属性的值（在学习过程中，对名词性属性只需要存储它在样本中的频率值，这一点和朴素贝叶斯算法一样）。而为事例分类时，在计算连续值属性的概率时，朴素贝叶斯算法只需要评估g一次，而核密度估计算法需要对每个c类中属性X每一个观察值进行n次评估，这就增加计算存储空间和时间复杂度，表1中对比了两种方法的时间复杂度和内存需求空间。

4实验研究与结果分析

本节的目标是评价我们提出核密度评估分类算法对入侵审计数据分类的效果，主要从整体检测率、检测率和误检率上来分析。

表1在给定n条训练事务和m个检测属性条件下，

NBC和K-NBC的算法复杂度

朴素贝叶斯核密度

时间空间时间空间

具有n条事务的训练数据O(nm)O(m)O(nm)O(nm)

具有q条事务的测试数据O(qm)O(qnm)

4.1实验建立

在实验中，我们使用NBC与K-NBC进行比较。另观察表1两种算法的复杂度，可得知有效的减少检测属性，可以提高他们的运算速度，同时删除不相关的检测属性还有可以提高分类效率，本文将在下一节详细介绍对称不确定方法[4]如何对入侵审计数据的预处理。我们也会在实验中进行对比分析。

我们使用WEKA来进行本次实验。采用KDDCUP99[5]中的数据作为入侵检测分类器的训练样本集和测试样本集，其中每个记录由41个离散或连续的属性(如：持续时间，协议类型等)来描述，并标有其所属的类型(如：正常或具体的攻击类型)。所有数据分类23类，在这里我们把这些类网络行为分为5大类网络行为（Normal、DOS、U2R、R2L、Probe）。

在实验中，由于KDDCUP99有500多万条记录，为了处理的方便，我们均匀从kddcup.data.gz中按照五类网络行为抽取了5万条数据作为训练样本集，并把他们分成5组，每组数据为10000条，其中normal数据占据整组数据中的98.5%，这一点符合真实环境中正常数据远远大于入侵数据的比例。我们首

先检测一组数据中只有同类的入侵的情况，共4组数据（DOS中的neptune，Proble中的Satan，U2R中的buffer_overflow，R2l中的guess_passwd），再检测一组数据中有各种类型入侵数据的情况。待分类器得到良好的训练后，再从KDD99数据中抽取5组数据作为测试样本，分别代表Noraml-DOS，Normal-Probe，Normal-U2R，Normal-R2L，最后一组为混后型数据，每组数据为1万条。

4.2数据的预处理

由于朴素贝叶斯有个假定，即假定所有待测属性对给定类的影响独立于其他属性的值，然而现实中的数据不总是如此。因此，本文引入对称不确定理论来对数据进行预处理，删除数据中不相关的属性。

对称不确定理论是基于信息概念论，首先我们先了解一下信息理论念，属性X的熵为：

公式(6)

给定一个观察变量Y，变量X的熵为:

公式(7)

P(xi)是变量X所有值的先验概率，P(xi|yi)是给定观察值Y，X的后验概率。这些随着X熵的降低反映在条件Y下，X额外的信息，我们称之为信息增益，

公式(8)

按照这个方法，如果IG(X|Y)＞IG(X|Y)，那么属性Y比起属性Z来，与属性X相关性更强。

定理：对两个随机变量来说，它们之间的信息增益是对称的。即

公式(9)

对测量属性之间相关性的方法来说，对称性是一种比较理想的特性。但是在计算有很多值的属性的信息增益时，结果会出现偏差。而且为了确保他们之间可以比较，必须使这些值离散化，同样也会引起偏差。因此我们引入对称不确定性，

公式(10)

通过以下两个步骤来选择好的属性：

①计算出所有被测属性与class的SU值，并把它们按降序方式排列；

②根据设定的阈值删除不相关的属性。

最后决定一个最优阈值δ，这里我们通过分析NBC和K-NBC计算结果来取值。

4.3实验结果及分析

在试验中，以记录正确分类的百分比作为分类效率的评估标准，表2为两种算法的分类效率。

表2对应相同入侵类型数据进行检测的结果

数据集

算法DOS

(neptune)Proble

(satan)R2L

(guess_passwd)U2R

(buffer_overflow)

检测率误检率整体检测率检测率误检率整体检测率检测率误检率整体检测率检测率误检率整体检测率

NBC99.50.299.7998.30.199.8497.30.899.2951.898.21

K-NBC99.50.299.9698.3099.9697.30.299.81710.199.76

SU+NBC99.5099.9698.30.199.85980.799.2491.198.84

SU+K-NBC99.5099.9698.3099.9698.70.299.76850.199.81

根据表2四组不同类别的入侵检测结果，我们从以下三个方面分析：

（1）整体检测率。K-NBC的整体检测率要比NBC高，这是因为K-NBC在对normal这一类数据的检测率要比NBC高，而normal这一类数据又占整个检测数据集数的95%以上，这也说明了在上一节提到的normal类的数据分布曲线更加接近核密度曲线。

（2）检测率。在对DOS和PROBLE这两组数据检测结果，两个算法的检测率都相同，这是因为这两类入侵行为在实现入侵中占绝大部分，而且这一类数据更容易检测，所以两种算法的检测效果比较接近；针对R2L检测，从表2可以看到，在没有进行数据预处理之前，两者的的检测率相同，但经过数据预处理后的两个算法的检测率都有了提高，而K-NBC的效率比NBC更好点；而对U2R的检测结果，K-NBC就比NBC差一点，经过数据预处理后，K-NBC的检测率有一定的提高，但还是比NBC的效果差一些。

（3）误检率。在DOS和Proble这两种组数据的误检率相同，在其他两组数据的中，K-NBC的误检率都比NBC的低。

根据表3的结果分析，我们也可以看到的检测结果与表2的分组检测的结果比较类似，并且从综合角度来说，K-NBC检测效果要比NBC的好。在这里，我们也发现，两种算法对R2L和U2L这两类入侵的检测效果要比DOS和Proble这两类入侵的差。这主要是因为这两类入侵属于入侵行为的稀有类，检测难度也相应加大。在KDD99竞赛中，冠军方法对这两类的检测效果也是最差的。但我们可以看到NBC对这种稀有类的入侵行为检测更为准确一点，这应该是稀有类的分布更接近正态分布。

从上述各方面综合分析，我们可以证明K-NBC作为的入侵检测分类算法的是有其优越性的。

表3对混合入侵类型数据进行检测的结果

数据集

算法整体检测分类检测

NormalDosProbleR2LU2R

检测率误检率检测率误检率检测率误检率检测率误检率检测率误检率检测率误检率

NBC98.141.898.20.899.8099.8090086.71.8

K-NBC99.780.299.82.399.8099.8096073.30.1

SU+NBC97.992.0980.899.8099.8090086.71.9

SU+K-NBC99.790.299.81.999.8099.80960800.1

5结论

在本文中，我们用高斯核密度函数代替朴素贝叶斯中的高斯函数，建立K-NBC分类器，对入侵行为进行检测，另我们使用对称不确定方法来删除检测数据的中与类不相关的属性，从而进一步改进核密度朴素贝叶斯的分类效率，实验表明，对预处理后的审计数据，再结合K-NBC来检测，可以达到更好的分类效果，具有很好的实用性。同时我们也注意到，由于入侵检测的数据中的入侵行为一般为稀有类，特别是对R2L和U2R这两类数据进行检测时，NBC有着比较理想的结果，所以在下一步工作中，我们看是否能把NBC和K－NBC这两种分类模型和优点联合起来，并利用对称不确定理论来删除检测数据与类相关的属性中的冗余属性，进一步提高入侵检测效率。

参考文献

[1]Langley.P.，Iba，W.&Thompson，K.AnanalysisofBayesianclassifiers[A]，in“ProceedingsoftheTenthNationalConferenceonArtificialIntelligence”[C]MenloPark，1992.223-228

[2]HanJ.，KamberM..数据挖掘概念与技术[M].孟小峰，等译.北京：机械工业出版社.2005.196201

[3]JohnG.H..EnhancementstotheDataMiningProcess[D].Ph.D.Thesis，ComputerScienceDept.，StanfordUniversity，1997

第5篇

参考文献是说论文在写作过程当中引用的文献资料，是有准确的收藏地点的文本和档案等，论文中引用的顺序用阿拉伯数字加方括号依次书写在论文的末尾。下面是学术参考网的小编整理的关于信息化论文参考文献，供大家阅读借鉴。

信息化论文参考文献：

[1]边志新.管理会计信息化探讨[J].经济研究导刊，2012

[2]康世瀛，刘淑蓉.信息化时代现代管理会计的发展的若干重要问题[J].华东经济管理，2001

[3]彭炳华，信息化在管理会计中的作用.当代经济，2015(6).

[4]李红光，信息化环境下的管理会计探讨.管理观察，2012(7)：p.213-214

[5]张继德，刘向芸.我国管理会计信息化发展存在的问题与对策[J].会计之友旬刊，2014，

[6]毕克新，等.制造业企业信息化与工艺创新互动关系影响因素研究[J].中国软科学，2012（10）.

[7]赵迪.浅析信息时代设计的特点[J].吉林工程技术师范学院学报，2013（04）.

信息化论文参考文献：

[1]陈娅娜，鞠颂东.敏捷供应链下库存管理的财务影响[J].物流科技，2008.5.

[2]张琪.基于供应链管理的会计信息系统的设想[J].会计之友(下旬刊)，2008.4.

[3]曹军.论供应链管理下新会计信息系统的构建[J].天津财经大学学报，2007.10.

[4]周学广等.信息安全学.北京：机械工业出版社，2003.3

[5](美)MandyAndress著.杨涛等译.计算机安全原理.北京：机械工业出版社，2002.1

[6]曹天杰等编著.计算机系统安全.北京：高等教育出版社，2003.9

[7]刘衍衍等编著.计算机安全技术.吉林：吉林科技技术出版社.1997.8

[8]（美）BruceSchneier著，吴世忠等译．应用密码学-协议、算法与C语言源程序．北京：机械工业出版社，2000.1

[9]赖溪松等著.计算机密码学及其应用.北京：国防工业出版社.2001.7

[10]陈鲁生.现代密码学.北京：科学出版社.2002.7

[11]王衍波等.应用密码学.北京：机械工业出版社，2003.8

信息化论文参考文献：

[1]石志国等编著.计算机网络安全教程.北京：清华大学出版社，2004.2

[2]周海刚，肖军模.一种基于移动的入侵检测系统框架，电子科技大学学报.第32卷第6期2003年12月

[3]刘洪斐，王灏，王换招.一个分布式入侵检测系统模型的设计，微机发展.第13卷，第1期，2003年1月.

[4]张然等.入侵检测技术研究综述.小型微型计算机系统.第24卷第7期2003年7月

[5]吕志军，黄皓.高速网络下的分布式实时入侵检测系统，计算机研究与发展.第41卷第4期2004年4月

[6]韩海东，王超，李群.入侵检测系统实例剖析北京：清华大学出版社2002年5月

[7]熊华，郭世泽.网络安全——取证与蜜罐北京：人民邮电出版社2003年7月

[8]陈健，张亚平，李艳.基于流量分析的入侵检测系统研究.天津理工学院学报，2008。

第6篇

 

关键词：入侵检测异常检测误用检测

 

在网络技术日新月异的今天，基于网络的计算机应用已经成为发展的主流。政府、教育、商业、金融等机构纷纷联入Internet，全社会信息共享已逐步成为现实。然而，近年来，网上黑客的攻击活动正以每年10倍的速度增长。因此，保证计算机系统、网络系统以及整个信息基础设施的安全已经成为刻不容缓的重要课题。

1 防火墙

目前防范网络攻击最常用的方法是构建防火墙。

防火墙作为一种边界安全的手段，在网络安全保护中起着重要作用。其主要功能是控制对网络的非法访问，通过监视、限制、更改通过网络的数据流，一方面尽可能屏蔽内部网的拓扑结构，另一方面对内屏蔽外部危险站点，以防范外对内的非法访问。然而，防火墙存在明显的局限性。

(1)入侵者可以找到防火墙背后可能敞开的后门。如同深宅大院的高大院墙不能挡住老鼠的偷袭一样，防火墙有时无法阻止入侵者的攻击。

(2)防火墙不能阻止来自内部的袭击。调查发现，50％的攻击都将来自于网络内部。

(3)由于性能的限制，防火墙通常不能提供实时的入侵检测能力。毕业论文 而这一点，对于层出不穷的网络攻击技术来说是至关重要的。

因此，在Internet入口处部署防火墙系统是不能确保安全的。单纯的防火墙策略已经无法满足对安全高度敏感部门的需要，网络的防卫必须采用一种纵深的、多样化的手段。

由于传统防火墙存在缺陷，引发了入侵检测IDS(Intrusion Detection System)的研究和开发。入侵检测是防火墙之后的第二道安全闸门，是对防火墙的合理补充，在不影响网络性能的情况下，通过对网络的监测，帮助系统对付网络攻击，扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)，提高信息安全基础结构的完整性，提供对内部攻击、外部攻击和误操作的实时保护。现在，入侵检测已经成为网络安全中一个重要的研究方向，在各种不同的网络环境中发挥重要作用。

2 入侵检测

2．1 入侵检测

入侵检测是通过从计算机网络系统中的若干关键点收集信息并对其进行分析，从中发现违反安全策略的行为和遭到攻击的迹象，并做出自动的响应。其主要功能是对用户和系统行为的监测与分析、系统配置和漏洞的审计检查、重要系统和数据文件的完整性评估、已知的攻击行为模式的识别、异常行为模式的统计分析、操作系统的审计跟踪管理及违反安全策略的用户行为的识别。入侵检测通过迅速地检测入侵，在可能造成系统损坏或数据丢失之前，识别并驱除入侵者，使系统迅速恢复正常工作，并且阻止入侵者进一步的行动。同时，收集有关入侵的技术资料，用于改进和增强系统抵抗入侵的能力。

入侵检测可分为基于主机型、基于网络型、基于型三类。从20世纪90年代至今，英语论文 已经开发出一些入侵检测的产品，其中比较有代表性的产品有ISS(Intemet Security System)公司的Realsecure，NAI(Network Associates，Inc)公司的Cybercop和Cisco公司的NetRanger。

2．2 检测技术

入侵检测为网络安全提供实时检测及攻击行为检测，并采取相应的防护手段。例如，实时检测通过记录证据来进行跟踪、恢复、断开网络连接等控制；攻击行为检测注重于发现信息系统中可能已经通过身份检查的形迹可疑者，进一步加强信息系统的安全力度。入侵检测的步骤如下：

收集系统、网络、数据及用户活动的状态和行为的信息

入侵检测一般采用分布式结构，在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息，一方面扩大检测范围，另一方面通过多个采集点的信息的比较来判断是否存在可疑现象或发生入侵行为。

入侵检测所利用的信息一般来自以下4个方面：系统和网络日志文件、目录和文件中的不期望的改变、程序执行中的不期望行为、物理形式的入侵信息。

(2)根据收集到的信息进行分析

常用的分析方法有模式匹配、统计分析、完整性分析。模式匹配是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。

统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述，统计正常使用时的一些测量属性。测量属性的平均值将被用来与网络、系统的行为进行比较。当观察值超出正常值范围时，就有可能发生入侵行为。该方法的难点是阈值的选择，阈值太小可能产生错误的入侵报告，阈值太大可能漏报一些入侵事件。

完整性分析主要关注某个文件或对象是否被更改，包括文件和目录的内容及属性。该方法能有效地防范特洛伊木马的攻击。

3 分类及存在的问题

入侵检测通过对入侵和攻击行为的检测，查出系统的入侵者或合法用户对系统资源的滥用和误用。工作总结 根据不同的检测方法，将入侵检测分为异常入侵检测(Anomaly Detection)和误用人侵检测(Misuse Detection)。

3．1 异常检测

又称为基于行为的检测。其基本前提是：假定所有的入侵行为都是异常的。首先建立系统或用户的“正常”行为特征轮廓，通过比较当前的系统或用户的行为是否偏离正常的行为特征轮廓来判断是否发生了入侵。此方法不依赖于是否表现出具体行为来进行检测，是一种间接的方法。

常用的具体方法有：统计异常检测方法、基于特征选择异常检测方法、基于贝叶斯推理异常检测方法、基于贝叶斯网络异常检测方法、基于模式预测异常检测方法、基于神经网络异常检测方法、基于机器学习异常检测方法、基于数据采掘异常检测方法等。

采用异常检测的关键问题有如下两个方面：

(1)特征量的选择

在建立系统或用户的行为特征轮廓的正常模型时，选取的特征量既要能准确地体现系统或用户的行为特征，又能使模型最优化，即以最少的特征量就能涵盖系统或用户的行为特征。(2)参考阈值的选定

由于异常检测是以正常的特征轮廓作为比较的参考基准，因此，参考阈值的选定是非常关键的。

阈值设定得过大，那漏警率会很高；阈值设定的过小，则虚警率就会提高。合适的参考阈值的选定是决定这一检测方法准确率的至关重要的因素。

由此可见，异常检测技术难点是“正常”行为特征轮廓的确定、特征量的选取、特征轮廓的更新。由于这几个因素的制约，异常检测的虚警率很高，但对于未知的入侵行为的检测非常有效。此外，由于需要实时地建立和更新系统或用户的特征轮廓，这样所需的计算量很大，对系统的处理性能要求很高。

第7篇

关键词：校园网络；黑客攻击；入侵技术

1 校园网络安全现状

随着网络应用的普及，电子商务！电子银行和电子政务等网络服务的大力发展，网络在人们日常生活中的应用越来越多重要性越来越大，网络攻击也越来越严重。有一些人专门利用他们掌握的信息技术知识从事破坏活动，入侵他人计算机系统窃取！修改和破坏重要信息，给社会造成了巨大的损。随着攻击手段的变化，传统的以身份验证、加密、防火墙为主的静态安全防护体系已经越来越难以适应日益变化的网络环境，尤其是授权用户的滥用权利行为，几乎只有审计才能发现园网是国内最大的网络实体，如何保证校园网络系统的安全，是摆在我们面前的最重要问题。

因此，校园网对入侵检测系统也有着特别的需求校园网的特点是在线用户比率高、上网时间长、用户流量大、对服务器访问量大，这种情况下，校园网络面临着许多安全方面的威胁：

（1）黑客攻击，特别是假冒源地址的拒绝服务攻击屡有发生攻击者通过一些简单的攻击工具，就可以制造危害严重的网络洪流，耗尽网络资源或使主机系统资源遭到攻击同时，攻击者常常借助伪造源地址的方法，使网络管理员对这种攻击无可奈何。

（2）病毒和蠕虫，在高速大容量的局域网络中，各种病毒和蠕虫，不论新旧都很容易通过有漏洞的系统迅速传播扩散"其中，特别是新出现的网络蠕虫，常常可以在爆发初期的几个小时内就闪电般席卷全校，造成网络阻塞甚至瘫痪。

（3）滥用网络资源，在校园网中总会出现滥用带宽等资源以致影响其他用户甚至整个网络正常使用的行为如各种扫描、广播、访问量过大的视频下载服务等等。入侵检测系统（IntrusionDeteetionSystem，IDS）的出现使得我们可以主动实时地全面防范网络攻击N工DS指从网络系统的若干节点中搜集信息并进行分析，从而发现网络系统中是否有违反安全策略的行为，并做出适当的响应"它既能检测出非授权使用计算机的用户，也能检测出授权用户的滥用行为。

IDS按照功能大致可划分为主机入侵检测（HostIDS，HIDS）网络入侵检测（NetworkIDS，NIDS）分布式入侵检测（DistributedIDS，DIDS）其中，网络入侵检测的特点是成本低，实时地检测和分析，而且可以检测到未成功的攻击企图"从分析方法的角度可分为异常检测（Anomaly DeteCtion）和误用检测（MISuseDeteCtion）其中误用检测是指定义一系列规则，符合规则的被认为是入侵其优点是误报率低、开销小、效率高Snort作为IDS的经典代表，是基于网络和误用检测的入侵检测系统入侵检测技术自20世纪80年代早起提出以来，在早期的入侵检测系统中，大多数是基于主机的，但是在过去的10年间基于网络的入侵检测系统占有主要地位，现在和未来的发展主流将是混合型和分布式形式的入侵检测系统。

2 入侵检测研究现状

国外机构早在20世纪80年代就开展了相关基础理论研究工作。经过20多年的不断发展，从最初的一种有价值的研究想法和单纯的理论模型，迅速发展出种类繁多的各种实际原型系统，并且在近10年内涌现出许多商用入侵检测系统，成为计算机安全防护领域内不可缺少的一种安全防护技术。Anderson在1980年的报告“Computer Seeurity Threat Monitoring and Surveillance”中，提出必须改变现有的系统审计机制，以便为专职系统安全人员提供安全信息，此文被认为是有关入侵检测的最早论述；1984一1986年，Dorothy E.Denning和Peter G.Neumann联合开发了一个实时IDES（Intrusion DeteCtion Expert System），IDES采用统计分析，异常检测和专家系统的混合结构，Delming1986年的论文“An Intrusion Deteetion Modelo”，被公认为是入侵检测领域的另一开山之作"。1987年，Dorothy Denning发表的经典论文AnIntursion Deteetion Modelo中提出了入侵检测的基本模型，并提出了几种可用于入侵检测的统计分析模型。Dnening的论文正式启动了入侵检测领域的研究工作，在发展的早期阶段，入侵检测还仅仅是个有趣的研究领域，还没有获得计算机用户的足够注意，因为，当时的流行做法是将计算机安全的大部分预算投入到预防性的措施上，如：加密、身份验证和访问控制等方面，而将检测和响应等排斥在外。到了1996年后，才逐步出现了大量的商用入侵检测系统。从20世纪90年代到现在，入侵检测系统的研发呈现出百家争鸣的繁荣局面，并在智能化和分布式两个方向取得了长足的进展。其中一种主要的异常检测技术是神经网络技术，此外，如基于贝叶斯网络的异常检测方法，基于模式预测的异常检测方法，基于数据挖掘的异常检测方法以及基于计算机免疫学的检测方法也相继出现，对于误用入侵检测也有多种检测方法，如专家系统（expert system），特征分析（Signature analysis），状态转移分析（State transition analysis）等.

入侵检测系统的典型代表是ISSInc（国际互联网安全系统公司）Rea1Secure产品。较为著名的商用入侵检测产品还有：NAJ公司的CyberCoPMoitor、Axent公司的Netprowler、CISCO公司的Netranger、CA公司的SeSSionwall-3等。目前，普渡大学、加州大学戴维斯分校、洛斯阿拉莫斯国家实验室、哥伦比亚大学、新墨西哥大学等机构在这些方面的研究代表了当前的最高水平。随着计算机系统软、硬件的飞速发展，以及网络技术、分布式计算！系统工程！人工智能等计算机新兴技术与理论的不断发展与完善，入侵检测理论本身也处于发展变化中，但还未形成一个比较完整的理论体系。

在国内，随着上网的关键部门、关键业务越来越多，更需要具有自主版权的入侵检测产品。我国在这方面的研究相对晚，国内的该类产品较少，但发展较快，己有总参北方所、中科网威、启明星辰，H3C等公司推出产品。至今日入侵检测技术仍然改变了以往被动防御的特点，使网络管理员能够主动地实时跟踪各种危害系统安全的入侵行为并做出及时的响应，尤其在抵御网络内部人员的破坏时更有独到的特点，因而成为了防火墙之后的又一道安全防线。

随着互联网的进一步普及和深入，入侵检测技术有着更广泛的发展前途和实际价值。尽管问题尚存，但希望更大，相信目前正在研究的大规模分布式入侵检测系统、基于多传感器的数据融合、基于计算机免疫技术、基于神经网络及基于遗传算法等的新一代入侵检测系统一定能够解决目前面临到种种问题，更好地完成抵御入侵的任务。

3 未来和展望

随着网络规模和复杂程度的不断增长，如何在校园网多校区乃至异构网络环境下收集和处理分布在网络各处的不同格式信息！如何进行管理域间的合作以及保证在局部入侵检测失效的情况下维持系统整体安全等"同时，伴随着大量诸如高速/超高速接入手段的出现，如何实现高速/超高速网络下的实时入侵检测。降低丢包率也成为一个现实的问题，面对G级的网络数据流量，传统的软件结构和算法都需要重新设计；开发和设计适当的专用硬件也成为研究方向之一"时至今日，入侵检测系统的评估测试方面仍然不成熟，如何对入侵检测系统进行评估是一个重要而敏感的话题。

参考文献

[1]董明明，巩青歌.Snort规则集的优化方法.计算机安全.2009.8：35-37

第8篇

1.课程设置作为物联网工程专业高年级开设的一门限选课，入侵检测技术既不能像信息安全专业开设的专业基础课那么深入详尽，也不能像普及式的任选深度，课程设置采用40课时，其中教学课时30课时，实验课时为10课时。

2.教学内容和实验内容的设计和实施物联网安全较之传统互联网安全涵盖的范围更广，但是其“源科学”是计算机科学，因此本课程的授课内容仍以IP网络中的入侵检测技术和计算机安全为主，增加了无线传感器网络WSN和射频识别技术RFID技术的安全问题，再加上异种网络互联互通产生的新安全问题及技术作为物联网安全的主体内容。秉承实验是这门课程获得良好教学效果的关键思想，本节将不同阶段的重要知识点和对应的实验内容设计详述如下。

2.1传统IP网络的入侵检测技术“入侵检测技术”这门课程主要涉及到的重要知识点包括：入侵检测的基本概念、入侵方法与手段、入侵检测系统数据源、基于主机的入侵检测系统、基于网络的入侵检测系统、检测引擎、告警与响应、入侵检测系统的评估、入侵检测系统的应用等。其中原理性、理论性的内容主要体现在入侵检测的原理、检测算法、评估的指标体系等。图1是标准化组织提出的IDS的总体框架，该图分三个检测阶段（检测前、检测中、检测后），囊括了上述所有重要的知识点。（1）入侵前涉及入侵检测的基本概念、入侵方法与手段、入侵检测系统数据源等知识点。重点讲授基于网络的入侵检测的数据采集技术，引入实验1——网络数据包的捕获及协议的简单分析。（2）入侵中知识点涉及IDS的各种检测原理与方法。检测方法分为误用检测、异常检测和其它检测方法。重点讲授滥用检测普遍采用的利用特征串匹配的方法、各种异常检测模型也是很重要的辅助检测方法，比如数学模型（方差模型、均方差模型、）马尔科夫链和模糊逻辑。检测又分为基于主机的检测、基于网络的检测和分布式检测。为了呈现不同原理、不同检测方法的效果，设计了实验2——审计日志的获取和简单分析，对比实验1有利于学生体会基于主机的检测方法和基于网络的检测方法的不同。（3）入侵后涉及IDS的警报响应、警报冗余消除、警报后处理技术和意图识别技术等知识点。重点讲授对于几种典型攻击，IDS的攻击报警信息和警报后处理技术，让学生认识警报含义、不同的报警格式和方式。至此，学生应该对IDS的整个工作流程有了全面的认识。为了让学生融会贯通所有知识点，设计了实验3——Snort开源IDS的构建和使用。让学生在指定的实验室环境下安装，使用IDS，老师在实验室局域网与公网断开时，运行若干典型的攻击脚本，确保Snort能抓取到攻击实例，让学生利用所学的安全知识，模拟安全管理员分析攻击态势。对于传统IP网络上的入侵检测技术的教授，可以让学生牢记图1，有助于理清各阶段的重要知识点，在相关实验中体会攻击理论性知识的应用，是这门课程获得良好教学效果的关键。

2.2物联网安全技术物联网涵盖内容非常宽泛。实际上目前物联网的构成除了传统IP网络外，各式各样的无线传感器网络WirelessSensorNetwork（WSN）构成了物联网的主体。与传统IP网络不同，WSN因其特点导致其相同的安全需求有着完全不通的安全技术。重点知识点按WSN的分层协议体系结构讲授每一层上存在的安全问题以及典型攻击。比如，物理层：各种物理破坏以及导致的信息泄露和各种拥塞攻击；数据链路层：各种耗尽攻击和碰撞攻击；网络层：各种路由攻击、泛洪攻击、女巫攻击；应用层：污水池攻击、蠕虫洞攻击等。为了使学生了解和掌握不同的攻击的原理、攻击过程和方式，设计了实验4——WSN上的各种攻击实验演示。

2.3物联网互通产生的安全问题和安全技术由于此部分内容还属于当前研究热点，在课程中将作为物联网的全新内容介绍。重点抓住一些典型攻击案例讲述互联互通中产生的安全问题及解决方法。为此设计了实验5作为典型案例。实验5——跨网络的DDoS攻击，展示了在IP网络中已经克服的DDoS攻击，互通后的残余DDos攻击流量仍然超出WSN能够承受的范围，会导致WSN网络服务质量下降，甚至耗尽WSN宝贵的能量和带宽资源。

3.实验内容设计(1)设计型实验实验1——网络数据包的捕获及协议的简单分析。网络数据包是基于网络的入侵检测系统的重要数据源，网络数据包的捕获是基于网络的入侵检测系统实现的第一步。通过该实验，使学生了解和掌握基于Socket和libpcap的网络数据包的捕获方法，理解和掌握基于网络入侵检测系统的源数据的捕获、协议分析的基本原理和实现方法。同时使学生熟悉在Linux下的C语言开发技能。实验2——主机审计日志的获取和简单分析。主机审计日志数据是基于主机入侵检测系统的重要数据源，审计数据获取的质量和数量，决定了入侵检测的有效程度。通过该实验使学生了解Linux系统的日志系统和基于主机的入侵检测系统的原理。(2)综合型实验实验3——Snort开源IDS的构建和使用。让学生根据校园网实验室环境下的需求搭建，利用Snort及第三方软件搭建一个真实的入侵检测系统。根据需求选择已有的预处理插件、检测规则，最后有针对性地完成几个相应规则的编写，并进行正确性测试。断网后在运行几个典型攻击脚本，让学生分析Snort抓获的攻击警报，做出安全态势汇报。(3)验证型实验实验4——WSN上的各种攻击实验。学生利用一些攻击类软件工具和硬件设施完成一些可能的攻击。攻击的罗列使学生了解和掌握不同的攻击的原理、攻击过程和方式，加深对入侵检测的必要性的理解；实验5——跨网络的DDoS攻击。将传统IP网络通过特定网关与实验室特定的无线传感器网络相连，在IP网络中发起DDoS攻击，将目标锁定在传感器网络内。在IP网络上安装流量观测器，让学生直观地看到攻击流量的路径。然后在网关上启动DDoS攻击检测，过滤掉98%的攻击流量，让学生观察此时无线传感器网络的性能情况，比较两种情况，得出实验结论。

4.考核体系该课程的考核采用平时成绩和期末考核成绩加权平均的方式。考虑到课程的宗旨在于加强学生动手能力，同时为了减轻学生的学习负担，平时成绩强调考核动手能力，平时作业紧扣五个实用性实验，均为实验为铺垫和准备，实际上5个综合实验成绩占50%，期末的理论考核以开放式论文形式让学生根据自己对IDS的了解和兴趣选择和IDS相关的题目撰写论文，占50%。

二、结语

第9篇

论文关键词：计算机网络安全　入侵检测技术

论文摘要：随着计算机与网络技术的不断发展，网络安全也日益受到人们越来越多的关注。防范网络入侵、加强网络安全防范的技术也多种多样，其中入侵检测技术以其低成本、低风险以及高灵活性得到了广泛的应用，并且有着广阔的发展前景。本文就入侵检测技术在计算机网络安全维护过程中的有效应用提出探讨。

一、入侵检测系统的分类

入侵检测系统可以分为入侵检测、入侵防御两大类。其中入侵检测系统是根据特定的安全策略，实时监控网络及系统的运行状态，尽量在非法入侵程序发起攻击前发现其攻击企图，从而提高网络系统资源的完整性和保密性。而随着网络攻击技术的日益提高，网络系统中的安全漏洞不断被发现，传统的入侵检测技术及防火墙技术对这些多变的安全问题无法全面应对，于是入侵防御系统应运而生，它可以对流经的数据流量做深度感知与检测，丢弃恶意报文，阻断其攻击，限制滥用报文，保护带宽资源。入侵检测系统与入侵防御系统的区别在于：入侵检测只具备单纯的报警作用，而对于网络入侵无法做出防御；而入侵防御系统则位于网络与防火墙的硬件设备中间，当其检测到恶意攻击时，会在这种攻击开始扩散前将其阻止在外。并且二者检测攻击的方法也不同，入侵防御系统对入网的数据包进行检查，在确定该数据包的真正用途的前提下，再对其是否可以进入网络进行判断。

二、入侵检测技术在维护计算机网络安全中的应用

（一）基于网络的入侵检测

基于网络的入侵检测形式有基于硬件的，也有基于软件的，不过二者的工作流程是相同的。它们将网络接口的模式设置为混杂模式，以便于对全部流经该网段的数据进行时实监控，将其做出分析，再和数据库中预定义的具备攻击特征做出比较，从而将有害的攻击数据包识别出来，做出响应，并记录日志。

1.入侵检测的体系结构

网络入侵检测的体系结构通常由三部分组成，分别为Agent、Console以及Manager。其中Agent的作用是对网段内的数据包进行监视，找出攻击信息并把相关的数据发送至管理器；Console的主要作用是负责收集处的信息，显示出所受攻击的信息，把找出的攻击信息及相关数据发送至管理器；Manager的主要作用则是响应配置攻击警告信息，控制台所的命令也由Manager来执行，再把所发出的攻击警告发送至控制台。

2.入侵检测的工作模式

基于网络的入侵检测，要在每个网段中部署多个入侵检测，按照网络结构的不同，其的连接形式也各不相同。如果网段的连接方式为总线式的集线器，则把与集线器中的某个端口相连接即可；如果为交换式以太网交换机，因为交换机无法共享媒价，因此只采用一个对整个子网进行监听的办法是无法实现的。因此可以利用交换机核心芯片中用于调试的端口中，将入侵检测系统与该端口相连接。或者把它放在数据流的关键出入口，于是就可以获取几乎全部的关键数据。

3.攻击响应及升级攻击特征库、自定义攻击特征

如果入侵检测系统检测出恶意攻击信息，其响应方式有多种，例如发送电子邮件、记录日志、通知管理员、查杀进程、切断会话、通知管理员、启动触发器开始执行预设命令、取消用户的账号以及创建一个报告等等。升级攻击特征库可以把攻击特征库文件通过手动或者自动的形式由相关的站点中下载下来，再利用控制台将其实时添加至攻击特征库中。而网络管理员可以按照单位的资源状况及其应用状况，以入侵检测系统特征库为基础来自定义攻击特征，从而对单位的特定资源与应用进行保护。

（二）对于主机的入侵检测

通常对主机的入侵检测会设置在被重点检测的主机上，从而对本主机的系统审计日志、网络实时连接等信息做出智能化的分析与判断。如果发展可疑情况，则入侵检测系统就会有针对性的采用措施。基于主机的入侵检测系统可以具体实现以下功能：对用户的操作系统及其所做的所有行为进行全程监控；持续评估系统、应用以及数据的完整性，并进行主动的维护；创建全新的安全监控策略，实时更新；对于未经授权的行为进行检测，并发出报警，同时也可以执行预设好的响应措施；将所有日志收集起来并加以保护，留作后用。基于主机的入侵检测系统对于主机的保护很全面细致，但要在网路中全面部署成本太高。并且基于主机的入侵检测系统工作时要占用被保护主机的处理资源，所以会降低被保护主机的性能。

三、入侵检测技术存在的问题

尽管入侵检测技术有其优越性，但是现阶段它还存在着一定的不足，主要体现在以下几个方面：

第一：局限性：由于网络入侵检测系统只对与其直接连接的网段通信做出检测，而不在同一网段的网络包则无法检测，因此如果网络环境为交换以太网，则其监测范围就会表现出一定的局限性，如果安装多台传感器则又增加了系统的成本。

第二：目前网络入侵检测系统一般采有的是特征检测的方法，对于一些普通的攻击来说可能比较有效，但是一些复杂的、计算量及分析时间均较大的攻击则无法检测。

第三：监听某些特定的数据包时可能会产生大量的分析数据，会影响系统的性能。

第四：在处理会话过程的加密问题时，对于网络入侵检测技术来说相对较难，现阶段通过加密通道的攻击相对较少，但是此问题会越来越突出。

第五：入侵检测系统自身不具备阻断和隔离网络攻击的能力，不过可以与防火墙进行联动，发现入侵行为后通过联动协议通知防火墙，让防火墙采取隔离手段。

四、总结

现阶段的入侵检测技术相对来说还存在着一定的缺陷，很多单位在解决网络入侵相关的安全问题时都采用基于主机与基于网络相结合的入侵检测系统。当然入侵检测技术也在不断的发展，数据挖掘异常检测、神经网络异常检测、贝叶斯推理异常检测、专家系统滥用检测、状态转换分析滥用检测等入侵检测技术也越来越成熟。总之、用户要提高计算机网络系统的安全性，不仅仅要靠技术支持，还要依靠自身良好的维护与管理。

参考文献：

[1]胥琼丹.入侵检测技术在计算机网络安全维护中的应用[J].电脑知识与技术，2010，11