前言:中文期刊网精心挑选了基于网络的入侵检测范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
基于网络的入侵检测范文1
Abstract: Network security is the hot topics dedicated to analysis and research of the network experts. In this paper, from the concept, method and classification of network intrusion detection, the current available intrusion detection systems and related technologies are analyzed and summarized, shortcomings of the intrusion detection system are pointed out, and finally its direction of development is discussed.
关键词: 网络安全;入侵检测;入侵检测技术;入侵检测系统
Key words: network security;intrusion detection;intrusion detection technology;intrusion detection system
中图分类号:TP39 文献标识码:A 文章编号:1006-4311(2012)20-0215-02
0 引言
人们的生活方式、工作方式以及学习方式随着计算机网络技术的快速发展得到了极大地改变。近年来网络攻击行为越来越严重,安全问题成之为最热门话题之一,随后计算机网络系统中存在的硬件存储的重要信息被大范围应用,计算机系统的网络安全问题也显得越来越紧迫。入侵检测系统(Intrusion Detection System,IDS)就应运而生。网络入侵检测技术,是对网络或计算机系统中某些关键点的信息展开收集和分析,从期中检测到网络或系统可能存在的各式各样的不合法攻击、破坏、误操作等反安全策略的行为或痕迹,并达到有效的防范。因此对于网络入侵检测系统,其研究显的尤为重要。
1 网络入侵检测
随着计算机网络技术的不断发展,单独依靠主机审计信息进行其中,入侵检测不容易得到适应网络安全的需要。IDS被认为是防火墙之后的第二道安全闸门。人们提出了以网络入侵检测系统(NIDS)为基础的体系结构,这是一种根据网络流量、网络数据包和协议来分析检测入侵的检测系统。在入侵检测系统的发展过程中经历了三个阶段:经历集中式、层次式和集成式,这三个阶段的入侵检测系统的基本模型,对入侵检测模型、管理式入侵检测模型、层次化入侵检测模型是分别通用的,下面我们以入侵检测模型为例来进行解说,如图1所示。
2 入侵检测技术概述
在现代计算机网络入侵检测的原理就是:从一组数据中要检测出符合有一定特点的数据。攻击者进行攻击的时候会留下一些可以查询的痕迹。这些痕迹和计算机系统的正常运行时候能和产生的数据混在一起。检测的任务就是从这个一系列的数据中找出是否有入侵的痕迹。如果有入侵的痕迹系统就报警有入侵事件的发生。根据这一原理, 计算机网络入侵检测系统有两个重要部分:获取数据和检测技术。很多计算机网络入侵检测系统可能的分类就是依据这两部分来划分而来的。计算机网络入侵检测系统的大量数据是系统和计算机网络运行时候产生的数据流。计算机网络入侵检测系统的主要任务是研究哪些数据最有可能反映入侵事件的发生、哪些检测技术最适应于这些数据。根据计算机网络入侵检测的发生时间前后可将其分为两种:实时入侵检测和事后入侵检测。
网络入侵检测技术是通过计算机网络、计算机系统中的几个着重点采集信息对其进行系统分析,从中发现有没有违反网络安全策略的做法和受遭网络攻击的对象,计算机网络或系统中能分析并做出相关的响应。我们可以把入侵检测技术作为一种发现内外部攻击的合法用户滥用特权的方法。在网络连接过程中能开展实时入侵检测和事后入侵检测,系统也根据用户存储的历史行为,计算机网络中的专家知识库及经网络模型能对用户的网络操作进行评析。就入侵迹象立即收集相关证据和相关数据恢复工作。
3 攻击检测技术
3.1 基于专家系统的攻击检测技术是这样一种网络专家系统,它是根据网络安全专家对不可靠的行为的分析经验所形成一套推理规则。这样所实现的一个基于规则的专家系统是一个知识工程问题,由专家系统自动对出现到的入侵行为进行分析、处理。这个问题功能应可以在其经验不断积累的基础上并其自学习能力进行规则扩充和修正。同时,要阐明的是基于规则的专家系统或推理系统也存在其不全面性。这类系统的推理规则,则主要是来自我们不了解的安全漏洞。当然这样的能力得在网络专家的指导、参与下才能达到目标,否则可能同样会导致许多的不正确报道的现象。
基于网络的入侵检测范文2
关键词: 智能优化算法; 网络入侵检测; 支持向量机; 入侵行为; 特征选择
中图分类号: TN915.08?34; TP391 文献标识码: A 文章编号: 1004?373X(2016)23?0086?04
Network intrusion detection based on selection feature of
intelligent optimization algorithm
ZHAO Yuepin1, 2, SUN Jieli1
(1. Hebei University of Economics and Business, Shijiazhuang 050061, China; 2. Hebei Jiaotong Vocational and Technical College, Shijiazhuang 050091, China)
Abstract: In order to improve the effect of network intrusion detection, a network intrusion detection model based on selection feature of intelligent optimization algorithm is proposed. The intelligent optimization algorithm is used to select the network intrusion features to obtain the important contribution feature for the detection result, and remove the invalid features. The support vector machine is employed to establish the classifier of intrusion detection. The KDD99 dataset is adopted to analyze the model performance. The results show that the model can improve the accuracy of network intrusion detection, and its detection speed can meet the requirement of network security practical application.
Keywords: intelligent optimization algorithm; network intrusion detection; support vector machine; intrusion behavior; feature selection
0 引 言
随着互联网应用的日益广泛,网络的安全性、可靠性引起了人们的广泛关注[1]。由于互联网络的开放性,人们网络安全意识淡薄,网络入侵十分频繁,再加上网络入侵手段的多样化,因此如何提高网络入侵的检测率,保证网络正常通信和数据传输安全成为网络管理领域研究中的重大课题[2?3]。
许多研究人员对网络安全问题中的入侵检测技术进行了一系列探索,提出了大量的网络入侵检测模型[3]。当前网络入侵检测模型主要有两类:传统方法和现代方法。传统网络入侵检测模型基于专家系统等实现[3?5],它们属于线性的网络入侵检测分析模型,对于小规模网络有效,然而当前网络向大规模、超大规模方向发展,网络入侵行为日益复杂,入侵行为的类型与特征间呈现出十分复杂的变化关系,传统模型无法准确描述网络入侵行为变化的特点,网络入侵检测率急剧下降,而且入侵检测结果也不可靠,没有太大的实际应用价值[6]。现代网络入侵检测方法主要基于非线性理论建立网络入侵检测模型,主要有神经网络、支持向量机等,相对于神经网络,支持向量机可以更好地拟合入侵行为与特征间的联系,在网络入侵检测应用中最为广泛[7]。在网络入侵检测建模过程中,原始网络状态特征维数相当高,若直接输入到支持向量机进行学习,那么支持向量机的输入向量维数易出现“维数灾”现象,同时,原始网络特征中存在一些无用或者冗余特征,它们会对网络入侵检测的建模效率和检测结果均带来不利影响。为了解决网络入侵检测建模过程征优化和选择问题,有学者提出了采用遗传算法、粒子群优化算法等原始网络特征进行搜索和求解,选择一些对网络入侵检测结果有重要贡献的特征作为支持向量机的输入向量,在一定程度上降低了特征维数,加快了网络入侵的建模速度,但这些算法自身存在一些不可克服的缺陷,如收敛速度慢、易获得局部最优的网络特征等[8?10]。
搜索者算法(Seeker Optimization Algorithm,SOA)是一种新型的智能优化算法,模拟人群搜索行为对问题进行求解,全局搜索性能好,搜索效率高,为了提高网络入侵的检测率,针对当前网络特征优化和选择的难题,提出一种基于SOA算法的网络入侵检测特征选择策略,并采用支持向量机设计网络入侵检测模型,结果表明,本文模型能够描述网络工作状态,提高网络入侵检测率,为网络入侵检测提供了一种新的研究工具。
4 结 语
为了获得更优的网络入侵检测结果,针对当前网络入侵检测建模过程中的特征选择难题,提出采用SOA选择网络状态特征,利用支持向量机设计网络入侵行为的分类器,KDD99数据集的测试结果表明,通过SOA对原始网络状态进行筛选,可以从中找到一些对网络入侵检测的重要特征,去除无用特征对网络入侵检测结果的干扰,网络入侵检测的效率高,可以实现网络入侵的在线检测,而且网络入侵检测率高,可以保证网络的安全。
在网络入侵检测的建模过程中,支持向量机参数对检测结果同样有影响,因此下一步将考虑同时对参数和特征进行选择,以获取更佳的网络入侵检测效果。
参考文献
[1] 马传香,李庆华,王卉.入侵检测研究综述[J].计算机工程,2005,31(3):4?6.
[2] 余生晨,王树,高晓燕,等.网络入侵检测系统中的最佳特征组合选择方法[J].计算机工程,2008,34(1):150?153.
[3] 杨辉华,王行愚,王勇,等.基于KPLS的网络入侵特征抽取及检测方法[J].控制与决策,2005,20(3):251?256.
[4] 孙宁青.基于神经网络和CFS特征选择的网络入侵检测系统[J].计算机工程与科学,2010,32(6):37?39.
[5] 牟琦,毕孝儒,库向阳.基于GQPSO算法的网络入侵特征选择方法[J].计算机工程,2011,37(14):103?105.
[6] 陈友,程学旗,李洋,等.基于特征选择的轻量级入侵检测系统[J].软件学报,2007,18(7):1639?1651.
[7] 张雪芹,顾春华.一种网络入侵检测特征提取方法[J].华南理工大学学报(自然科学版),2010,38(1):81?85.
[8] 何敏.基于数据挖掘的网络实时入侵检测体系结构的研究[J].计算机与现代化,2011(9):134?136.
[9] 小沛,汪厚祥,聂凯,等.面向入侵检测的基于IMGA和MKSVM的特征选择算法[J].计算机科学,2012,39(7):96?100.
[10] 姜春茂,张国印,李志聪.基于遗传算法优化SVM的嵌入式网络系统异常入侵检测[J].计算机应用与软件,2011,28(2):287?289.
基于网络的入侵检测范文3
【关键词】无线网络 入侵检测系统 概念 设计Libpcap
在网络尚未如今天这般普及时,网络环境较为安全,通常简单的网络系统保护只需加密、认证等措施即可保障网络的安全性。不过,伴随网络系统复杂性的逐步加大,以及各种网络入侵技术的增多与成熟,网络系统的安全性受到了更大的威胁,尤其是还未成熟的无线网络更是被列为主要的入侵对象。针对这种情况,基于无线网络的入侵检测系统、技术成为广大网络技术员探究的重要方向。
1 入侵检测系统的概念
IDS,即为入侵检测系统,一种网络安全技术,是对防火墙的合理补充,其能主动保护系统免受恶性攻击,以及帮助系统对付网络攻击。因此,人们将入侵检测称为第二道安全闸门,与防火墙有机结合共同维护网络系统的安全。入侵检测系统IDS从计算机网络系统中的部分关键点上进行信息收集,在不影响网络性能的情况下进行网络监测、信息分析、安全审计、攻击识别等,充分扩展了系统管理员的安全管理能力。
2 基于无线网络的入侵检测系统设计
2.1 入侵检测系统的模块构成
本文所探究的无线网络入侵检测系统设计的主要依据是无线网络自身传送数据的特征,结合协议分析树的理论,金玉无线网络的入侵检测系统的模块构成主要包括3大块,具体如图1所示。(1)包捕获模块,其主要负责数据包捕获的任务;(2)协议处理模块,其主要功能是完成协议解码、协议分析;(3)日志记录模块,其具备统计数据包与数据包协议、操作日志等功能。
2.2 包捕获模块的设计
直接式、广播式是无线网卡的缺省工作模式,其揭示了无线网卡的接收工作特点,即只接收传送给自己的帧、广播帧。无线网的这种工作模式存在局限性,不利于接收所有流过网卡的帧,为此在基于无线网的入侵检测系统设计中需要将无线网卡设置成混杂模式来弥补不足。而在该系统的包捕获模块设计中,本文将以伯克利实验室所写的Libpcap为平台,运用libpcap库文件来完成包捕获模块的设计,其可实现对网卡数据包的直接获取,从而减少开发人员再去了解与平台无关的数据链路层等细节。其具体的设计程序包括:
(1)pcap_lookupdev:选择数据包捕获设备。
(2)pcap_lookupnet:获取网络地址和子网掩码。
(3)pcap_open_ live:打开设备。
(4)pcap_compile:编译数据包过滤规则。
(5)pcap_setfilter:设置数据包过滤规则。
(6)pcap_loop:捕捉数据包诬分发数据包到指定的回调函数系统,从Libpcap接收到的数据结构:
typedef struct_packet {
u_char pkt_data[1514]
}SNFPACKET。
在系统包捕获模块的数据结构中,为提高系统的工作效率,我们可以调用libpcap库中的信息过滤机制来删除用户不需要的数据包。
2.3 协议处理模块的设计
在基于无线网络的入侵检测系统当中,协议处理模块是系统的关键部分,由协议解码、协议分析两个子模块构成。其中,协议解码模块主要负责将已捕获数据包实行解码、预处理的操作,而后由协议分析模块对其提交的数据进行比较分析,分析过程需采用攻击模式中的匹配算法、特征库进行对比,以此来判断是否存在入侵现象。在实现中,协议分析模块依据解码所了解的帧类型来选择处理模块,系统中802.11b的MAC帧主要分为管理帧、控制帧、数据帧3种类型。协议分析模块在进行操作时,各个模块需要经历初始化的读入检测函数及依据权重位的大小来组装成检测函数链表,先进行包格式的检查,而后进行相关的攻击检测。同时,在协议处理模块的设计中还添加了响应报警模块,一旦系统对入侵行为确认后该模块就会采取相应的响应。
2.4 日志记录模块的设计
系统中的日志记录模块应用一个输出插件来实现,其需要满足操作日志与统计的作用,从而为网络分析提供依据。与其他模块的插件不同,日志记录模块中的输出插件拥有不止一个入口,从而实现不同模块在不同阶段应用到输出插件。记录日志的形式多样,如Web页、数据库、记事本等,可根据应用单位的系统环境来选择,为防止非法访问,在日志文件传送与访问过程中需进行身份认证。同时,为了满足高速网络环境中的工作效率,在日志记录模块中可设计只记录关键信息以减少存储量,进而避免因数据存储量大而降低系统的记录效率。
3 总结
鉴于无线网络还是一种新兴的通信技术,相关方面的保护措施还在完善,所以为尽可能提高无线网络的安全性,本文结合已有的协议分析入侵检测技术进行基于无线网络的入侵检测系统设计研究。当然,研究与开发能够兼容其他智能化的入侵检测方法并应用在无线网络中实现协同工作,这是无线网络入侵检测需进一步引起相关人士重视的主要问题。
参考文献
[1]崔贯勋,李梁,王柯柯,倪伟,苟光磊.基于改进Apriori算法的入侵检测系统研究[J].计算机工程与科学,2011,33(4).
[2]赵建华,刘宁.基于Agent的无线传感器网络入侵检测系统[J].计算机技术与发展,2011,21(7).
基于网络的入侵检测范文4
关键词:Snort;IPv6;入侵检测系统
中图分类号:TP393.08文献标识码:A文章编号:1007-9599 (2010) 13-0000-02
Snort-based IPv6 Network Intrusion Detection System Design and Implementation
Xiao Lihua1,Fu Yu2
(1.Hanzhong 96501 Troops,Hanzhong723000,China;2.Beijing 96602 Troops,Beijing102401,China)
Abstract:Based on Snort architecture,designed a system for IPv6 intrusion detection system,the system belongs to the functional modules are analyzed,and presented a detailed design.
Keywords:Snort;IPv6;Intrusion detection system
一、引言
随着IPv6的部署和网络技术的发展,一些基于新型攻击方式的网络入侵的事件也开始出现,因此,部署有效的网络安全技术,开发针对IPv6网络的入侵检测系统就变得非常重要。由于IPv6在IPv4的基础上做出了比较大的调整和改善,它在协议特性、地址格式和报文结构等方面均有比较大的变化,这就需要在入侵检测系统的开发上进行详细的设计。本文拟实现基于snort的IPv6网络入侵检测系统。
二、Snort系统概述
Snort入侵检测系统是一个模块化设计的应用最为广泛的一个入侵检测产品,对捕获的数据包进行分析,匹配入侵行为的特征。一旦发现入侵的迹象,便会触发预警或记录。其功能涵盖了内容检索、协议分析、侦测缓冲溢出、隐秘端口扫描、内容匹配,等多个方面的检测,因此适用于复杂的网络环境。
三、入侵检测系统总体设计
(一)系统总体结构
本文所设计的入侵检测系统遵循了Snort系统的模块化思想,以Snort系统的主体结构作为模块的架构,并在原有基础上为模块增加了IPv6的协议支持。系统的整体结构包含以下几个部分,如图所示:
图中,数据包捕获模块的功能是提供数据信息,抓取IPv4/IPv6数据包;双协议栈解析模块的功能是对数据包捕获模块抓取的数据包进行详细的协议分析,以搜索入侵检测行为;数据包预处理模块的功能是对数据包进行数据包重组、TCP流重组等处理,提供完整的IP数据包给检测引擎处理模块;规则解析模块的功能是维护检测规则库;检测引擎处理模块的功能是对网络入侵攻击事件进行实时检测。
(二)系统工作流程
由于本系统要检测的是基于IPV6的网络入侵,因此采用双协议栈技术来使得IPv6节点与IPv4节点兼容。下图所示为双协议栈的结构,IPv6和IPv4两者都以相同的平台进行承载。
在双协议栈的平台上,将支持IPv6协议的内容引入Snort系统原有结构,检测系统首先进行各个模块的初始化;然后从网络上捕获原始数据包,这些数据包处理后送到协议解码模块进行解码,然后送往预处理模块对数据包进行规范化处理。之后,由检测引擎处理模块对数据包进行规则匹配检测,判断入侵行为的存在。
四、入侵检测系统详细设计
(一)数据包捕获模块的设计
Snort系统为实现数据包的捕获,引入了Libpcap库函数,从系统的数据链路层快速捕获数据包。随着网络技术的持续发展,当数据包流量较大时,Libpcap库函数也会出现难以对高速的网络流量进行及时有效的处理的情况,这会导致大量的数据包在数据包流量较大时被丢弃。针对这种情况,在应用Libpcap实现抓包的基础上,IPv6入侵检测系统还引入了其他技术,包括内存映射技术、NAPI技术来实现数据包捕获的效率的提升。
(二)协议解析模块的设计
结合网络协议的高度规则性,在数据包的报头的固定位置进行取值,结合提取数值的属性来决定下一步的动作。由于摒弃了简单的模式匹配,入侵检测的效率明显提高了,入侵检测的应用范围也得到了扩展,同时提升了准确率。具体实现方法是:将IPv6解析部分嵌入到Snort系统统原有的IPv4解析模块中,实现IPv4/IPv6双协议解析功能。考虑到原始数据包的网络协议格式是多种多样的,协议解析模块采用协议分析技术,以协议层次自下而上的顺序进行解码。协议层次包括:数据链路层、网络层、传输层及其上层。
(三)数据包预处理模块的设计
数据包预处理模块的功能是对数据包进行前期的处理,以便于下一步骤的检测模块处理。在Snort原有预处理器基础上,为了能够支持IPv6协议的入侵检测,还需引入IPv6重组预处理器以及端口扫描预处理器。IPv6分片重组预处理器会在系统内存里开辟缓冲区以将先期到达的分片包存存储其中,只有所有的数据分片全部到达,才会开始对分片进行重组,并将重组之后的分片数据重新组装为一个IPv6数据包,传输至检测引擎处理模块进行下一步的操作。IPv6端口扫描预处理器是对IPv6端口扫描进行探测和发现。这是由于对一个攻击者来说,攻击的前奏是端口扫描。
(四)规则解析模块的设计
由于基于SNORT的IPv6入侵检测系统是基于特征匹配技术而实现的,入侵的特征在系统中是以规则的形式体现的,因此,网络中的攻击类型就以一条规则来表示。如果检测到有数据包和规则库中的规则匹配,就可以判断有入侵发生。具体的做法是,采用Snort系统链表结构,并在其基础上增加支持IPv6技术的规则链表,包括IPv6、ICMPv6等。这样的模式为系统带来了更好的组织方式和比较优化的结构。由于基于Snort的入侵检测系统应用十分广泛,IPv4的检测规则也为数众多,因此基于IPv6入侵检测也需要对相关的检测规则进行编写,并存入系统规则库中。
(五)检测引擎处理模块的设计
检测引擎处理模块结合具体的入侵规则对IPv4/IPv6入侵事件进行检测。通过将系统内部的入侵特征库与预处理模块提供的数据包相匹配,来判定是否有入侵攻击行为发生。具体的工作流程为:将规则树与解码后的数据报文进行匹配的,假如探测到条与规则匹配的报文,则判定为一个攻击,假如没有找到匹配的规则,就表示这是一个安全的报文。此模块以Snort系统模式匹配算法为基础,用port group技术来行规则的匹配。
(六)告警输出模块的设计
在对数据包进行检测之后,需要记录和显示检测的结果。系统的响应模块根据管理员的具体配置能够进行日志记录、发送入侵通知邮件、记录入侵记录、对阻断入侵等操作。基于Snort的IPv6入侵检测系统根据网络安全实际需求对改造了原有的快速报警模块,使之支持IPv6信息的输出,并使用到输出插件进行数据包协议解析。
五、结束语
本文在对Snort系统进行简单分析的基础上,对其工作原理和系统结构进行了梳理。并基于Snort系统,结合网络入侵的安全防护需求,设计了一个针对IPv6体系的入侵检测系统,对系统总体结构进行了详细设计,并介绍了系统主体流程,对系统所属的各功能模块进行了分析,提出了详细的设计方案。
参考文献:
[1]褚玲瑜,吴学智,齐文娟.IPv6的安全问题探讨[J].微计算机信息,2006,22,1:10-12
[2]张岳公,李大兴.IPv6下的网络攻击和入侵分析[J].计算机科学,2006,33,2:100-102
[3]崔丽丽.互联网协议IPv6技术概述及其在中国市场的发展前景[J].怀化学院学报,2006,25,8:92-94
基于网络的入侵检测范文5
关键词:集成性;协同性;计算机网络入侵
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)15-20ppp-0c
Based on the Synergistic Integration of the Computer Network Intrusion Detection System Module Study
HU Rong1, ZHANG Yong2
(1.Guizhou Institute of Finance and Economics Network Center,Guiyang 550004,China;2.Guizhou Institute of Finance and Economics Institute of Information,Guiyang 550004,China)
Abstract:Intrusion Detection as a proactive security protection technology, provides an internal attacks, external attacks and misuse of real-time protection, the network system at risk and respond to intercept before the invasion. In order to improve the performance of intrusion detection system, the paper will be integrated and coordinated to achieve optimal thinking into the intrusion detection system in the realization.
Key words:integrated; Coordinated;Computer network invasion
1 引言
入侵检测系统(Intrusion Detection System,简称IDS)作为一种主动的信息安全保障措施,是对防火墙的必要补充,它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。本文在对现有的入侵检测系统进行分析和研究的基础上,在入侵检测系统中立足于方法和机制上的集成性、协同性,从而达到优化的思想引入到入侵检测系统中,也就是基于多种检测方法的入侵检测系统,对不同的检测方法进行优化、集成和协同,从而尽可能的使入侵检测系统保持健壮性、容错性、适应性、可扩展性,使网络系统真正获得较佳的结果。
2 网络入侵检测系统分析模块
协议分析模块主要是针对特定的攻击行为所表现出来的网络特征进行分析的。协议分析利用网络协议的高度有序性,并结合了高速数据包捕捉、协议分析和命令解析,来快速检测某个攻击特征是否存在。协议分析大大减少了计算量,即使在高负载的高速网络上,也能逐个分析所有数据包。采用协议分析技术的 IDS 能够理解不同协议的原理,由此分析这些协议的流量,来寻找可疑的或不正常行为。对每一种协议,分析不仅仅基于协议标准,还基于协议的具体实现,因为很多协议的实现偏离了协议标准。协议分析技术观察并验证所有的流量,当流量不是期望值时,IDS 就发出告警。协议分析具有寻找任何偏离标准或期望值的行为的能力,因此能够检测到己知和未知攻击方法。状态协议分析就是在常规协议分析技术的基础上,加入状态特性分析,即不仅仅检测单一的连接请求或响应,而是将一个会话的所有流量作为一个整体来考虑。有些网络攻击行为仅靠检测单一的连接请求或响应是检测不到的,因为攻击行为包含在多个请求中,此时状态协议分析技术就显得十分必要。
协议分析和状态协议分析技术与模式匹配技术相比,具有如下的优点:①性能提高:协议分析利用己知结构的通信协议,与模式匹配系统中传统的穷举分析方法相比,在处理数据帧和连接时更迅速、有效。②准确性提高:与非智能化的模式匹配相比,协议分析减少了误警和漏警,命令解析和协议解码技术相结合,在命令字符串到达操作系统或应用程序之前,模拟命令字符串便执行,以确定它是否具有恶意。基于状态的分析能做到当协议分析入侵检测系统引擎评估某个数据包时,需要考虑在这之前相关的数据。特别是对于多包(包的序列)的攻击,可以做到较好的检测。下面为协议分析流程:
3 网络入侵检测系统响应模块
响应就是当入侵检测系统检测到入侵行为时所做出的反应动作。入侵检测系统的响应分为主动响应和被动响应两种类型。主动响应时,系统自动地或以用户设置的方式来阻断攻击过程或以其它方式影响攻击过程。它能够阻止正在进行的攻击,使得攻击者不能够继续访问。主动的响应是入侵检测系统在检测到攻击时会对攻击者进行反击。被动响应为用户提供入侵信息,由系统管理员采取适当措施。这种响应是根据紧急程度来向用户提交信息的,虽然实时性较主动响应差,但是它比较安全,而且数据更容易维护。系统设计结合主动响应与被动响应的优点,对于那些模式库中己经存在的较常见的攻击类型,系统根据预先设计的动作,进行主动响应处理,对于通过异常算法检测到的那些模式库中没有存在的攻击,系统将该连接数据保存起来,做进一步处理。
4 模块间的通信
在这个模块中,主要采用多线程技术和进程间的套接字通信机制。模块间的通信原理图如下所示。
日志服务程序其实是起着一个转发的功能,有点类似于“”。日志服务程序与入侵检测模块都设计在sensor上,它们之间采用域套接字进行本地通信。由于日志服务程序与入侵检测模块是本机的两个进程,所以可以不用考虑通信的加密问题。日志服务程序与数据中心之间由于是远程通信,所以采用可靠的面向连接的TCP套接字。如同服务端与管理中心之间的通信,日志服务程序与数据中心之间的通信也需要加密,保护日志、报警等敏感信息不被窃取和篡改,提高系统的安全性。从“模块间的通信原理图”中,可以看出,服务程序既要接收入侵检测模块发出的报警信息,还要将报警信息转送到远程的数据中心,这里将涉及到通信同步的问题。域套接字是本机进程间通信的一种很好的方案,具有速度快的优点。而服务程序与远程数据中心采用TCP套接字进行通信的速度要慢些。所以,必须考虑这个“快慢”的问题,也就是通信的同步问题。采用“报警队列”可解决这个问题。由于这个“报警队列”是个临界资源,接收报警信息和发送报警信息都要访问并操作队列,在设计时采用线程互斥锁解决这个问题。
总之,入侵检测系统是一种重要的安全辅助系统,是PPDR模型的重要组成部分。入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。从网络安全立体纵深、多层次防御的角度出发,入侵检测逐渐受到人们的高度重视。
参考文献:
[1] 王文奇.入侵检测与安全防御协同控制研究[D].西北工业大学,2007.
[2] 赵铁山.时间序列模型在入侵检测系统中的应用研究[J].计算机工程与设计,2005(05).
[3] 范荣真.基于信息融合入侵检测技术研究[D].浙江工业大学,2004.
[4] 党瑞,李伟华.入侵检测和蜜罐的联动技术研究[D].西北工业大学,2004.
基于网络的入侵检测范文6
【关键词】图书馆 网络入侵检测系统 设计与实现
随着图书馆信息化建设的不断深入,使得人们将更多的目光投向了图书馆网络安全形势问题上。发展图书馆计算机网络保护系统对保证图书馆工作的正常开展具有重要意义,它保证了图书馆内部的重要核心数据以及各类信息资源的安全性,保证了图书馆向公众以及科研、教学提供可靠的信息服务。在图书馆网络入侵检测系统的设计和实现中,占主体地位的就是包含防治网络病毒、防火墙系统以及入侵检测系统等在内的各种网络安全技术。关于防火墙,尽管它拥有较为强大的功能,但是对于内部各主机之间的攻击行为以及网络内部的主动连接,它却不能起到良好的阻止作用。继防火墙之后,第二道网络安全系统安全阀门是入侵检测系统,它能够提供实时保护,有效处理内部攻击、外部攻击以及错误操作等等。图书馆作为公共信息的集散地,比较多的运用网络技术为公众提供信息、文献服务。这就尤其凸显网络安全在图书馆的日常安全管理工作中的重要性。而网络入侵检测系统的设计和实现更是这一工作的技术保证。本文中,笔者就图书馆中入侵检测系统的应用进行了详细的阐述。
1 入侵检测基本概述
1.1 入侵检测的概念
入侵就是指一些未取得许可或未获得授权的信息操作,显然入侵检测,就是通过监视实时保护网络系统运行状态,及时发现一些企图人侵、正在人侵和已经入侵的行为。入侵检测系统(简称为IDS),结合了软件和硬件对入侵行为实施检测。它实现检测功能是根据网络流量原理,利用监视和记录等手段,将主机网卡到网线上的流量与固定的标准和规则进行过滤和对比,从而实现实时报警的作用。传统网络安全技术与新型网络安全技术不同的是,它一般具有被动防御型的特点,例如密码技术以及防火墙技术等等。而一旦有入侵行为出现,其弊端便会逐渐显现出来。而入侵检测系统就实现了对这一缺陷的良好弥补,其对入侵行为能够执行精准而及时的识别,在最早的时间内发现不正常的入侵行为,进而对该行为做出相应的判断和处理,就降低了网络系统遭受损失的发生概率。
1.2 入侵检测的重要性
入侵检测的重要性是不言而喻的,通过检测和记录违法犯规行为能够有效打击犯罪,降低网络入侵事件的发生率,进而达到对一些不法事件进行遏制的目的;它还具有预先警报的功能,能够提前检测出黑客的攻击行为;对网络或计算机系统中的安全威胁进行监测和报告;根据相关攻击信息,能够为管理员提供网络中安全弱点等信息,便于他们进行整个系统的安全修补维护工作。综上所述,在图书馆计算机网络的布置中使用入侵检测系统,能够对图书馆网络安全管理工作的质量以及网络安全性能起到良好的提高作用。
2 入侵检测技术的分类
一般根据结构的不同,我们可以将入侵检测系统分为信息源、分析引擎以及响应模块这三个部分。三者的工作状态为,由信息源向分析引擎提供原始数据,分析引擎对异常行为进行检测和判断,将由分析引擎处理的结果传入响应模块,再由响应模块对获得的结果信息进行合理的处理,才能最终达到降低组织损害系统情况的发生率。对各项事件进行分析并发现其中的安全问题是入侵检测系统的核心功能,之后合理处理这些问题及行为。
一般根据入侵检测技术的分类,我们可以将入侵检测技术分为基于标志和基于正常情况。利用基于表述的检测技术,对各类存在违背安全策略的时间特征进行分析,例如提取网络数据包的某些信息。综上所述,这种检测技术的工作原理有点像杀毒软件,两者都是将一个知识库作为整个检测技术的核心。入侵检测还有一种方法就是,首先定义一组正常情况下的数值(CPU利用率、内存利用率以及文件校验)等,将这些值对位标量和各项监测数据进行对比,目的在于判断是否有入侵行为存在。使用上述两种检测技术所获得的结论差异是较大的,前者能够判别更广泛、未发觉的入侵,但是却缺乏精准地对攻击手法的判断。后者能够较为精确、详细地报告出已知攻击的具体信息,但是需要保持知识库的时刻更新,否则在判断未知攻击上会十分受限。
3 入侵检测系统的设计
3.1 入侵检测的基础知识
以原始数据的来源作为分类标准,我们一般将入侵检测系统分为,基于网络的入侵检测系统和基于主机的入侵检测系统。两者分别是针对数据包进行网络攻击行为的探查和通过检查主机或操作系统级的有关信息来探测入侵行为。最常见的一种攻击手段称为DOS(拒绝服务攻击),这种攻击手段是使目标主机资源访问或者停止服务。
3.2 拒绝服务攻击
图书馆网络大量的主机资源以及宽带资源是其遭入侵的主要原因,因为这些为黑客提供了良好的环境条件。由于缺乏可靠安全的系统,图书馆网络中的网络设备以及主机经常容易受到入侵和攻击。分析图书馆网络的安全特点,我们不难看出图书馆网络是存在拒绝服务攻击的可能性的,除此之外考虑到网络垃圾数据多、网络拒绝服务攻击多等实际情况,对图书馆网络进行入侵检测的研究是极为有必要的。
3.3 系统设计思想
对入侵检测系统进行分析时,一般只是从一组用户或者单个用户的行为对整个入侵事件进行检测,而缺乏宏观角度上的对整个网络流量异常的分析。从宏观的角度看,设计整个入侵检测系统需要对拒绝服务攻击引起的网络流量异常变化进行准确的监控。
对网络流量的长时间检测曲线进行观察和分析,我们不难发现网络流量变化不是单一的,而是突发特征与周期性特征项并存。如果不考虑网络流量异常,针对拒绝服务攻击等入侵行为对网络流量异常造成的影响,正常情况下我们发现网络流量曲线是呈现出连续的变化的,即便出现波动也只是因为一些入侵行为而造成的振幅。由此可见,稳定也是网络流量的所具有的特征之一,针对这一原型进行设计时需要注意两点,分别为假设和规律,假设是指正常的网络流量一段时间段内是连续变化的,而规律是指在一天中网络流量呈现出的变化如上所述。
4 图书馆入侵检测系统的功能实现和算法分析
本次研究的对象就是图书馆,此次研究所提出的系统主要是应用于图书馆的,对整个网络入侵检测系统进行实时监测网络状态。对所捕获的数据包进行重组和分析,专用语句重组和分析所捕获的数据包,将其转换为用户能够识别的信息。由此可见,数据的采集模块是以核心部分状态在整个检测系统中使用的。
笔者认为想要对网络底层进行编程是十分困难的,这是由于windows环境自身存在的一定的封装性,面对这一问题,只能够通过对windows进行监听的方式解决,一般监听所使用的开发包为Winpcap。一般在网络入侵检测系统中使用较多的数据采集方法就是利用以太网介质共享,将探针(Probe)放置在局域网中,选用混杂模式的网络适配器。一般对Windows进行数据包采集的具体方法如下:1.打开网卡,将网络适配器设置选择为混杂模式。2.当有监听命令出现时,监听的数据包会被传送给过滤程序。3.一旦数据包被过滤程序所接受,分组驱动程序便被调用起来,调用者是NDIS中间驱动程序,其目的是将数据分别传递到每一个参与进程的分组过滤程序中,对其再进行更深一步的分析。4.数据包是被丢弃还是被接受现在分成了两派。5.最后,这次考试没被过滤掉的数据包将会被提交给核心缓冲区,在系统缓冲区满后再将数据包复制到用户缓冲区。根据上述所说的监听流程,里面所捕获的数据包能够根据用户缓冲区读取出来。
统计分析模块和算法一直是整个入侵检测系统的核心,并且在异常入侵检测中被运用得较多。统计分析模块的具体步骤明天教你。首先以对象、文件、用户以及设备为研究对象,先创建一个统计描述,需要注意的是这里所指的描述是指对正常使用时的一些属性进行统计,包括访问次数、操作失败以及延时等因素都应当统计出来。流量数据的计算是根据统计分析模块实现的,在此过程中需要将其他因素引起的特殊流量峰值利用综合分析模块排除掉,最后在进行最终判断是否有流量异常情况存在。解析模块在判断流量是否异常时,具体可以根据统计模块传输的数据,通过使用下面的办法来判断。具体为:当频繁收到五个连续报警,且报警对象为同一个时,进行流量异常判断;当收到两个连续报警,报警对象为同一对,且这两个警报所报告的流量均在警报网值的2倍或以上时,则能确定流量存在异常,对该异常情况进行合理地报警处理。
尽管入侵检测系统具有许多的好处, 但是其也存在一定的缺陷,基于网络的入侵检测系统处理加密的会话过程较困难,虽然目前通过加密通道的攻击图书馆网络的案例尚不多, 但是这个问题会逐渐体现出来。经过合理设计的图书馆网络入侵检测系统,在实现对异常流量检测的功能时,能够对系统管理中有关抵抗服务攻击之类的入侵行为产生良好的检测效果。笔者认为,随着图书馆在计算机技术运用方面的深度和广度的扩大,其入侵检测技术也会不断发展和深入。在不久的将来,随着公众对个人信息以及文献信息安全的重视度的加强,图书馆在入侵检测系统这一方面的应用会越来越广泛和深入。
参考文献
[1]陈漫红.浅谈图书馆网络安全技术[J].河北科技图苑,2010(23).
[2]Depren O, Topallar M, Anarim E, et al. An intelligent intrusion detection system (IDS) for anomaly and misuse detection in computer networks[J]. Expert systems with Applications, 2005, 29(4): 713-722.
[3]鲁鹏.网络入侵检测技术在图书馆网络中的应用[J].科技创新导报,2009(11).
[4]郑杰.入侵检测系统在图书馆网络安全中的应用[J].科技信息,2009(05).
[5]姜桂芳.NDIS在数字图书馆网络安全防御体系中的应用[J].情报技术,2004(4).
作者简介
许群毅,浙江省镇海人,现工作于上海市浦东新区陆家嘴图书馆,助理馆员,研究方向为图书馆自动化。
