入侵检测论文范文第1篇

关键词入侵检测；通用入侵检测对象；通用入侵描述语言；语义标识符

1引言

计算机网络在我们的日常生活中扮演着越来越重要的角色，与此同时，出于各种目的，它正日益成为犯罪分子攻击的目标，黑客们试图使用他们所能找到的方法侵入他人的系统。为此，我们必须采取有效地对策以阻止这类犯罪发生。开发具有严格审计机制的安全操作系统是一种可行方案，然而综合考虑其实现代价，在许多问题上作出少许让步以换取减少系统实现的难度却又是必要的。因此，在操作系统之上，再加一层专门用于安全防范的应用系统成为人们追求的目标。入侵检测技术即是这样一种技术，它和其它安全技术一道构成计算机系统安全防线的重要组成部分。自从DorothyE.Denning1987年提出入侵检测的理论模型后[1]，关于入侵检测的研究方法就层出不穷[5-7]，基于不同检测对象及不同检测原理的入侵检测系统被研制并投放市场，取得了显著成效，然而，遗憾的是这些产品自成一体，相互间缺少信息交流与协作，而作为防范入侵的技术产品，这势必削弱了它们的防范能力，因而如何使不同的入侵检测系统构件能够有效地交流合作，共享它们的检测结果是当前亟待解决的一个问题。入侵检测系统框架的标准化，数据格式的标准化[2]为解决这一问题作了一个有益的尝试。本文主要针对入侵检测数据格式的标准化——通用入侵检测对象进行分析应用，并通过一个实际例子介绍了我们的具体实践过程。

入侵检测是指“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图”[2-4]。从技术上划分，入侵检测有两种模型[2，4]：①异常检测模型(AnomalyDetection)；②误用检测模型(MisuseDetection)。按照检测对象划分有：基于主机、基于网络及混合型三种。

入侵检测过程主要有三个部分[4]：即信息收集、信息分析和结果处理。

2通用入侵检测对象(GIDO)

为解决入侵检测系统之间的互操作性，国际上的一些研究组织开展了标准化工作，目前对IDS进行标准化工作的有两个组织：IETF的IntrusionDetectionWorkingGroup(IDWG)和CommonIntrusionDetectionFramework(CIDF)。CIDF早期由美国国防部高级研究计划局赞助研究，现在由CIDF工作组负责，是一个开放组织。CIDF规定了一个入侵检测系统应包括的基本组件。CISL(CommonIntrusionSpecificationLanguage，通用入侵规范语言)是CIDF组件间彼此通信的语言。由于CIDF就是对协议和接口标准化的尝试，因此CISL就是对入侵检测研究的语言进行标准化的尝试[8]。

CISL语言为了实现自定义功能，以S-表达式表示GIDO(GeneralizedIntrusionDetectionObjectis)，S-表达式以各类语义标识符(SemanticIdentifeers)为标记，分别有动作SID、角色SID、属性SID、原子SID、连接SID、指示SID和SID扩展名等类型。其范式如下：

<SExpression>：：=’(<SID><Data>’)’

<Data>：：=<SimpleAtom>

<Data>：：=<ArrayAtom>

<Data>：：=<SExpressionList>

<SExpressionList>：：=<SExpression>

<SExpressionList>：：=<SExpression><SExpressionList>

入侵检测组件交流信息时，以GIDO为标准数据格式传输内容，GIDO所包含的内容常来自于各类审计日志，网络数据包，应用程序的跟踪信息等。

CISL对S-表达式编码规则遵循递归原则，具体如下：

<SExpression>：：=’(<SID><Data>’)’

E[Sexpression]=length_encode(sid_encode(SID)E[Data])

sid_encode(SID)E[Data]

<Data>：：=<SimpleAtom>

E[Data]=Simple_encode(SimpleAtom)

<Data>：：=<ArrayAtom>

E[Data]=Array_encode(ArrayAtom)

<Data>：：=<SExpressionList>

E[Data]=E[SExpressionList]

<SExpressionList>：：=<SExpression>

E[SExpressionList]：：=E[SExpression]

<SExpressionList>：：=<SExpression><SExpressionList>

E[SExpressionList]：：=E[SExpression]e[SExpressionList]

对于每一个GIDO的基本成份SID，CISL都有规定的编码，通过这些编码本身的信息可知这些SID是原子SID还是非原子SID。原子SID在编码中不能继续分解，而是直接带有具体的值。值有简单类型和数组类型[8]。

GIDO以各类SID为标志，组成树形结构，根结点为该GIDO的标志SID，各子树的根结点为相应的对该GIDO所描述的事件起关键作用的SID。编码时，每棵子树的根结点前附加该子树所有孩子结点编码的总长度，以递归方式完成GIDO编码，一个详细的实例可参考文献[8]。3通用入侵检测对象的应用

我们以Linux环境为例，在检测口令猜测攻击中，系统的日志文件会产生以LOGIN_FAILED为标志的日志记录[9-10]。在IDS的事件产生器中，读取日志文件中含有LOGIN_FAILED的记录生成GIDO。

例：Jul3108：57：45zd213login[1344]LOGIN_FAILED1from192.168.0.211FORJohnAuthenticationfailure。相应的GIDO为：

{Login

{Outcome

{ReturnCodeACTION_FAILED}

)

(When

(BeginTimeJul3108：57：43)

)

(Initiator

(IPV4Address192.168.0.211)

(UsernameJohn)

)

(Receiver

(Hostnamezd213)

))

其编码过程除了遵循前面所描述的规则外，还使用了文献[2]所建议的各类API。它们分别用于生成存放GIDO的空树、向空树附加根结点、附加数据、附加子树及对整个树编码。

当一个GIDO由事件产生器完成编码后，便发送至事件分析器按一定的规则分析所接收的GIDOs以便确定是否有入侵发生，若有则将有关信息发至控制台。对口令猜测攻击的GIDO，一个可行的处理流程如图1所示。

假定系统检测到30秒内发生了三次或以上登录失败，认为系统受到入侵，便发出相应报警信息。则本例输出结果(从不同终端登录)如图2所示。

图1对口令猜测攻击事件产生的GIDO的处理流程

图2一个口令猜测攻击的模拟检测结果

4结束语

本文在深入分析入侵检测基本原理及入侵检测说明语言CISL基础上，对入侵检测对象GIDO的编码进行了详细说明。在系统设计的实践过程中，分别使用了入侵检测标准化组织提出的草案中包含的有关接口。但在本文中也只是针对一类特定入侵的事件说明如何生成并编码GIDOs。事实上，入侵检测系统各构件之间的通信本身也需要安全保障，这一点参考文献[8]，可利用GIDO的附加部分来实现，其中所用技术(诸如签名，加密等)可借鉴目前一些较成熟的安全通信技术。

参考文献

[1]DorothyE.DenningAnIntrusion-DetectionModel[J].IEEETransactionsonsoftwareEngineering，1987，13(2)：222-232

[2]蒋建春，马恒太等网络入侵检测综述[J].软件学报2000.11(11)：1460-1466

[3]GB/T18336，信息技术安全技术安全性评估标准[S]。

[4]蒋建春，冯登国。网络入侵检测原理与技术[M]，国防工业出版社，北京，2001

[5]KumarS，SpaffordEH，AnApplicationofPatterMatchinginIntrusionDetection[R]，TechnicalReportCSD-7r-94-013，DepartmentofComputerScience，PurdueUniversity，1994。

[6]JstinDoak.IntrusionDetection：TheApplicationofaFeatureSelection-AComparisonofAlgorithmsandtheApplicationofWideAreaNetworkAnalyzer[R].DepartmentofComputerScience，Universityofcolifornia，Davis1992.

[7]DusanBulatovic，DusanVelasevi.AdistributedIntrusionDetectionSystem[J]，JournalofcomputerSecurity.1999，1740：219-118

[8]http：//gost.isi.edu/cidf

入侵检测论文范文第2篇

关键词：入侵检测，计算机网络，分布式

 

1. 入侵检测系统概述入侵检测，就是对网络或者系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性和可用性。简单说就是对入侵行为的发觉。入侵检测系统(Intrusion Detection System，简称IDS)是一个能够对网络或计算机系统的活动进行实时监测的系统，它能够发现并报告网络或系统中存在的可疑迹象，为网络安全管理员及时采取对策提供有价值的信息。

2.入侵检测系统的历史研究与现状入侵检测系统从开始研究到目前的商业产品，已经有20多年的历史了。最早研究入侵检测的是James Anderson，他在1980年首先提出了入侵检测的概念，将入侵尝试或威胁定义为：潜在的、有预谋的、未经授权的访问信息、操作信息、致使系统不可靠或无法使用的企图。Anderson提出审计追踪可应用于监视入侵威胁。

国外入侵检测系统已经进入相对成熟期，目前比较成功的商业系统大都是混合使用多种技术，而且很多系统不只是具有入侵检测和响应功能，还具有很强的网络管理和网络通信统计的功能。比如：ISS公司的RealSecure、Axcent公司的Intruder Alert、Cisco公司的Cisco Secure IDS、Network Flight Recorder公司的NID、NetworkIce公司的BlackIce Defender、NAI公司的CyberCop Intrusion Protection等产品。

国内对入侵检测系统的研究起步较晚，无论理论研究还是实践创新都落后于国外，目前处于对国外技术的跟踪研究状态。。近年来有一些单位如：中科院、清华大学、国防科技大学、中联绿盟、金诺网安、启明星辰等都开展了入侵检测系统的理论研究和产品开发研制工作。

3.入侵检测系统的分类随着入侵检测技术的发展，目前已经出现了很多入侵检测系统，不同的入侵检测系统具有不同的特征。根据不同的分类标准，入侵检测系统可分为不同的类别。

1.按照数据来源划分，入侵检测系统分为基于主机的入侵检测系统（HIDS）和基于网络的入侵检测系统（NIDS）。

1)基于主机的入侵检测系统

它检测的目标主要是主机系统和系统本地用户。检测的原理是根据主机的审计数据和系统的日志发现可疑事件，检测系统可以运行在被检测的主机或单独的主机上。此系统依赖于审计数据或系统日志的准确性和完整性以及安全事件的定义。

2)基于网络的入侵检测系统

它通过在共享网段上对通信数据进行侦听，采集数据，分析可疑现象，系统根据网络流量、协议分析、简单网络管理协议信息等检测入侵。

2.按照目前国内外的入侵检测技术IDS主要分为两类：基于异常的入侵检测和基于误用的入侵检测。

1)基于异常的入侵检测

首先总结正常操作应该具有的特征，例如特定用户的操作习惯与某些操作的频率等；在得出正常操作的模型之后，对后续的操作进行监视，一旦发现偏离正常统计学意义上的操作模式，即进行报警。

2)基于误用的入侵检测

收集非正常操作也就是入侵行为的特征，建立相关的特征库；在后续的检测过程中，将收集到的数据与特征库中的特征代码进行比较，得出是否是入侵的结论。当前流行的系统基本上采用了这种模型。

3.按照目前IDS的发展趋势来分，IDS分为集中式和分布式两种。

1)集中式IDS

所谓集中式是指整合基于主机的IDS和基于网络的IDS的各自优点，将HIDS和NIDS这两种检测技术很好地集成起来，提供集成化的攻击签名、检测、报告和事件关联功能。

2)分布式IDS

对分布式而言有两层含义，一是针对分布式网络攻击的检测方法；第二层含义即使用分布式的方法来检测分布式的攻击。这其中的关键技术为检测信息的协同处理与入侵攻击的全局信息的提取。。

4.入侵检测技术的发展方向目前入侵检测系统面临的最主要挑战有两个：一是误警率太高，二是检测速度太慢。针对这些挑战和入侵手段的不断进步，今后的入侵检测技术大致将朝以下几个方向发展。

1.分布式入侵检测与通用入侵检测架构

传统的IDS一般局限于单一的主机或网络架构，对异构系统及大规模的网络的监测明显不足。同时不同的IDS系统之间不能协同工作，为解决这一问题，需要分布式入侵检测技术与通用入侵检测架构。

2.应用层入侵检测

许多入侵的语义只有在应用层才能理解，而目前的IDS仅能检测如WEB之类的通用协议，而不能处理如Lotus Notes、数据库系统等其他的应用系统。许多基于客户、服务器结构与中间件技术及对象技术的大型应用，需要应用层的入侵检测保护。

3.智能化的入侵检测

入侵方法越来越多样化与综合化，已经有模糊技术、神经网络与遗传算法在入侵检测领域的应用研究，这些方法常用于入侵特征的辨识与泛化，需对智能化的IDS做进一步的研究以解决其自学习与自适应能力，来完善系统模型，提高检测的效率和准确性。

4.入侵检测的评测方法

用户需对众多的IDS系统进行评价，设计通用的入侵检测测试与评估方法与平台，实现对多种IDS系统的检测已成为当前IDS的另一重要研究与发展领域。

5.综合性检测系统

与其它的网络安全技术 (包括硬件技术) 相结合， 形成综合的检测系统，解决传统方法检测对象单一、检测攻击形式简单的问题和一些难以解决的问题。

6.宽带高速网络的实时入侵检测技术

大量高速网络技术近年来不断出现，在此背景下的各种宽带接入手段层出不穷，如何实现高速网络环境的入侵检测已成为一个现实问题。这需要考虑两个方面，首先，入侵检测系统的软件结构和算法需要重新设计，以适应高速网络的新环境，重点是提高运行速度和效率。另一方面是，随着高速网络技术的不断进步和成熟，新的高速网络协议的设计也成为未来的一个发展趋势，现有的入侵检测系统如何适应和利用未来新的网络协议结构是一个全新的问题。

从信息安全角度出发，入侵检测理应受到人们的高度重视，从国外入侵检测产品市场的蓬勃发展可以看出这一点。。在国内，随着国家重要部门的关键业务逐渐增多，迫切需要具有自主版权的入侵检测产品。但目前的入侵检测仅停留在研究和实验样品（缺乏升级和服务）阶段，或者是防火墙中集成较为初级的入侵检测模块。可见，入侵检测产品仍具有较大的发展空间，从技术途径来讲，除了完善常规的、传统的技术（模式识别和完整性分析）外，应重点加强统计分析的相关技术研究。

入侵检测论文范文第3篇

关键词：计算机；网络安全；入侵检测技术

1引言

当今世界计算机网络的运用十分广泛，人们通过互联网进行商品买卖、社交以及娱乐，企业利用互联网进行交易，甚至能够危及到国家安全的机密信息也在计算机网络中沟通流动，因此计算机网络安全影响着社会各个层次、各个方面。计算机网络安全问题成为全世界共同关注的问题，如果不能有效地解决，将会严重制约信息化的发展进程。随着网络专家的不懈努力，找到了一个有效的解决途径就是入侵检测技术。入侵检测系统可以弥补防火墙的不足，在不影响网络性能的情况下对网络进行检测，从而提供对内部攻击、外部攻击和误操作的实时保护。

2入侵检测技术相关理论概述

2.1定义

入侵检测技术是一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术，是一种为保证计算机系统的安全而设计与配置的技术。入侵检测系统(IntrusionDetectionSystem，简称IDS)是进行入侵检测的软件与硬件的组合。入侵检测系统(IDS)可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的系统。包括系统外部的入侵和内部用户的非授权行为，是一种用于检测计算机网络中违反安全策略行为的技术。入侵检测系统在发现入侵后，会及时作出响应，包括切断网络连接、记录事件和报警等。入侵检测技术从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。

2.2分类

（1）按照检测时间分类：入侵检测按检测的时间可分为实时入侵检测和事后入侵检测两种；（2）按照分析方法分类：入侵检测按照检测分析方法一般被分为误用检测和异常检测两大类；（3）按照数据来源分类：入侵检测依据待分析的数据来源通常可分为基于主机的检测系统和基于网络的检测系统两类；（4）按照系统结构分类：入侵检测按系统结构的划分可分为集中式入侵检测和分布式入侵检测两种；（5）按照工作方式分类：入侵检测按照工作方式的区别可分为离线检测和在线检测两种。

2.3工作流程

入侵检测技术的工作流程基本上可以归纳为以下3个步骤：（1）信息收集：信息收集是入侵检测的第一步，信息收集的内容主要包括系统、网络、数据及用户活动的行为和状态。收集信息的工作是由放置在不同网段的传感器或不同主机的来完成，包括非正常的目录和文件改变、非正常的程序执行以及系统和网络日志文件、网络流量的信息。（2）信息分析：收集到的有关系统、网络、数据及用户活动的状态和行为等信息，被送到检测引擎，检测引擎驻留在传感器中，一般通过3种技术手段进行分析：统计分析、完整性分析和模式匹配。其中模式匹配和统计分析用于实时的入侵检测，而完整性分析则用于事后的检测分析。当检测到某种误用模式时，就会产生一个告警并发送给控制台。（3）问题处理：控制台收到告警后，会按照告警产生预先定义的响应采取相应措施，可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性，也可以只是简单的告警。识别告警的方法主要有：活动特征、告警特征和用户特征。

3应用安全

入侵检测技术在计算机网络安全中的应用主要体现在基于主机的入侵检测系统和基于网络的入侵检测系统两个方面。

3.1基于主机的入侵检测系统

基于主机的入侵检测系统是把主机作为对计算机的重点检测对象，对主机进行入侵检测的设置，根据主机的运行情况来判断并检测主机是否出现了受到攻击的行为。主机入侵检测系统能够全面实时地监控计算机网络用户的操作行为，当网络出现网络异常情况时会进行预警，全面及时地保护网络安全。基于主机的入侵检测系统能够对攻击行为是否成功进行判断，并为主机作出决策提供充足的依据。基于主机分入侵检测系统还可以对文件访问、文件执行等指定的特定的系统部位进行监控。

3.2基于网络的入侵检测系统

基于网络的入侵检测系统又被称为基于行为的入侵检测系统，它在检测设置时无需在主机上进行安装，并且可以设置多个安全点，能够同时对多个网络通信进行监控，因此有着检测成本相对较低、检测速度快的优点。基于网络的入侵检测系统能够及时发现计算机在网络运行过程中受到的攻击，并及时向检测系统发送检测结果报告，提高发现计算机网络安全入侵的速度，方便快捷，并且大大缩短了计算机受到网络攻击的时间。基于网络的入侵检测系统由于采取对计算机的多处网络安全点和网络通信进行监控和观察，并且安装方便，因此检测效果高；监测系统一旦发现问题之后，可以直接利用网络进行报告，无论何时何地，都能做出快捷地反应和解决措施，提高了计算机网络安全检测技术的水平和检测效率，确保了计算机在安全网络环境下的正常运行，为计算机用户带来了便利。

4存在问题

4.1入侵检测技术相对落后

目前国内在入侵检测技术的研究起步比较晚，与发达国家相比差距还比较大。在网络安全技术发展的同时，网络入侵技术也在不断地升级，如果计算机网络安全入侵检测技术相对落后的话，当比较复杂高级的计算机网络入侵行为发生时，入侵检测技术是难以有效地解决威胁网络安全的因素的。在网络环境下，计算机对于网络安全的依赖性比较高，网络安全的入侵检测技术也存在一定的缺陷，安全检测存在局限性，在相同的网段能够进行计算机网络系统的局部检测与分析，一旦计算机网络系统处于不同的网段，其检测的全面性与有效性是难以保证的，由此可见，计算机网络安全的检测技术仍然有待提高，其存在的局限性与不完整性是非常明显。

4.2入侵检测技术方式单一

计算机网络安全的入侵检测系统主要采取的方式是特征检测，特征检测的适用范围是那些比较简单的入侵攻击行为，在单一的主机或网络构架下的检测效果很好，对异构系统以及大规模的网络监控就显得力不从心。当出现比较复杂的入侵行为时，入侵检测需要大量的计算和分析时间，这时入侵特征检测就无法发挥作用。另外，当入侵检测系统对网络系统进行监控时，会产生数量巨大的分析数据，分析数据会对系统性能造成较大压力。

4.3入侵检测技术加密处理困难

（1）计算机网络安全入侵检测技术在处理会话过程的加密问题上有很大的困难，就目前的发展趋势来看，这个问题会越来越突出。（2）入侵检测系统自身无法对网络攻击行为进行阻断，必须通过计算机内部防火墙的联合机制才能更好地完成入侵检测，自身的功能存在缺陷明显，作用也无法得到充分的发挥。（3）人们在日常生活中对计算机的广泛应用，计算机触及到用户越来越多的隐私，因而计算机内存储的网络数据也具有一定的隐私性，在计算机受到网络安全的威胁后，计算机网络安全的入侵检测系统自身无法完成对计算机系统的全面检测，检测技术并不能保证计算机网络数据的安全性和隐私性，加之网络检测需要同计算机内部防火墙联合，这样便会对计算机内部网络数据造成一定的暴露，不能对其做到科学全面的加密处理，在一定程度上对用户的个人隐私造成威胁。

5发展趋势

5.1分布式入侵检测

在如今高速发展的信息网络时代，传统的入侵检测技术缺乏协同并且过于单一，在应对高级复杂的网络安全入侵时显得力不从心，因此分布式的协作机制就显得更有优势。分布式入侵检测核心的技术体现在全局的入侵信息提取与多个入侵检测协同处理，主要体现在收集数据、入侵信息的分析和及时的自动响应等方面。它在系统资源方面的优势远大于别的方式，将是将来主要的发展方向之一。

5.2智能化入侵检测

目前的安全入侵方式越来越智能化和多样化，因此入侵技术的智能化发展也变得顺理成章。智能化入侵检测技术包含了模糊技术、神经网络、遗传算法、免疫原理等方法，能够更有效地识别与分析入侵威胁因素，提高网络安全入侵检测技术水平。智能化入侵检测可以将入侵的特点更具有广泛识别性和辨识性，因此可以在解决出现的故障时，识别和隔离可疑攻击，并不干涉正常运行的程序，以确保计算机的运行效率。

5.3一体化全方位防御方案

根据目前的网络安全入侵情况来看，入侵方式越来越智能化和多样化，仅仅某一方面的入侵检测方式很难应对，因此针对这种情况，网络安全入侵检测系统很可能实现一体化的发展趋势，这样入侵检测的结果将会更加全面和科学准确，打造网络安全入侵检测平台，最大化地利用计算机资源，增强入侵检测的可靠性，全方位地确保计算机的网络安全。

6结语

作为一种积极主动地计算机网络安全防护技术，入侵检测为计算机网络安全提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和解决入侵威胁，对保护网络安全的作用十分重要。面对日益复杂的网络安全形势，必需正视自己在入侵检测技术上与发达国家的差距，加大研究力度，提升我国计算机网络安全的入侵检测技术水平，为计算机网络安全提供有力保障。

参考文献

[1]毛晓仙.试论计算机网络安全的入侵检测技术[J].网络安全技术与应用,2014,08:63+65.

[2]唐锐.基于频繁模式的离群点挖掘在入侵检测中的应用[D].重庆大学,2013.

[3]宋彦京.计算机网络入侵检测系统与技术措施分析[J].网络安全技术与应用,2014,11:51-52.

入侵检测论文范文第4篇

该课题论述了网络安全的必要性，设计并实现了入侵检测系统模型。入侵检测系统的实现可以对网络安全进行检测，及时发现入侵行为并发出警报，采取有效措施进行处理。该课题论述了网络入侵检测系统的组成模块及入侵信息检测技术，设计并实现了入侵检测系统模型。

【关键词】

入侵检测系统；网络；网络监测

1 入侵及入侵检测的定义

1.1入侵定义

入侵定义：在未经授权的情况下，通过网络蓄意访问信息、篡改信息等不良行为使资源的完整性、可用性、机密性遭到破坏。

1.2入侵检测定义

入侵检测：入侵检测是针对入侵行为的一种检测手段。入侵检测主要是针对计算机系统、网络中的某些关键点而言的，通过收集并分析所获得的信息来判断是否存在非法入侵现象。入侵检测系统能够有效地发现对信息系统的恶意攻击、试图篡改信息等非法行为，并采取措施阻止这种非法攻击，有效地防止恶意攻击的发生和扩大。

2 网络安全发展现状

随着网络技术的发展，它早已渗透到生活、军事、政治等多种领域。Internet的开放性、跨国性给人们带来便利的同时，也存在很大的安全隐患。网络安全对银行、军事等重要环节尤为重要。ISO对计算机系统安全做了如下定义：保护计算机的软、硬件及其数据，即使遭到偶然和蓄意攻击时，系统也不会遭到破坏、泄露、更改，以此来确保网络数据保密性、完整性。

现如今，常用的网络安全技术包括：访问控制、防火墙、数据加密、VPN虚拟专用网等。其中防火墙技术使用最为广泛，计算机互联网有三分之一受其保护，防火墙是Internet与内部网络之间的屏障，它起到过滤作用，只有合法的数据流才能通过防火墙，以此来确保系统的安权。网络管理者通过监管、控制网络访问者来进行网络访问。针对用户采用不同级别的系统访问权限，防治用户访问非法信息、网站等，确保信息、资源的安全性。数据加密技术可以将需要保密的重要信息通过加密转换成一些在外人看来没有意义的数据，想要得到原始数据只能用密码打开。VPN虚拟专用网是在两个通信点之间建立通道，将加密的传输数据封装在IP包中，数据不会被窃取盗用，适合用于远程操作。

3 组成入侵检测系统的模块

一般的入侵检测系统被分为以下几大模块：信息采集模块、入侵信息检测引擎、用户界面。有的系统可能还包括信息存储、安全知识库等模块，安全知识库可以提高完善安全检测，信息存储可以使数据分析能力得到提高。几大功能模块详情如下：

3.1信息采集模块

信息采集模块收集可能携带入侵行为的数据，确保系统、网络、数据等信息的安全。数据的采集设备是不同网段的传感器或者是不同主机的。过滤并预处理采集到的数据，并将数据送到入侵信息分析引擎，进行下一步处理。

3.2入侵信息检测引擎

将信息采集模块采集到的数据送到入侵信息检测引擎，计算机已经预先设定了算法，调用这些算法对数据进行分析，以此来判断是否有非法入侵操作并且进一步判断入侵行为属于何种类别。当引擎判断有入侵操作时就会产生一个警告信号并把信号传送到用户界面，网络管理人员通过界面显示的内容做出下一步处理。

3.3用户界面模块

通过用户界面可以清楚地看到入侵信息检测引擎检测到的入侵信号，方便管理员对入侵行为的排查、处理工作的开展。

4 入侵分析技术

入侵信息分析引擎是入侵检测系统的核心，该课题针对入侵信息分析引擎技术做了详细的论述。入侵信息引擎技术主要包括异常检测、误用检测。

4.1误用检测

误用检测是将已知的非法攻击的特征提取出来，并将这些特征收集到特征数据库进行整合管理，当检测到的入侵模式与数据库中存储的非法入侵行为相匹配时，判断系统出现非法入侵。这种误用检测具有判断正确率高、漏报率也高的特点，因为很多入侵行为难以建立入侵模型，无法收入到数据库中，另外还有很多入侵是无法预估的，致使很多入侵行为无法囊括到数据库中，所以误用检测漏报率较高。

4.2异常检测

异常检测是通过检测用户行为、资源的使用情况，以此来判断是否有非法入侵行为的发生。异常检测可以检测到未曾出现过的非法入侵行为，但是这种检测具有准确率低的缺点，很有可能导致误检，因为这种不依赖具体模式进行判断的检测，针对改变频繁的数据、资源、行为等，它没有一个固定的界限划分正常、非正常的范围。

入侵分析引擎通过采用误用检测、异能检测相结合的方式评判是否发生入侵行为，另外针对数据不同类型采取不同的检测技术，用异能检测技术来检测系统日志，用误用检测技术检测网络的数据包。

5 入侵检测系统的设计

针对入侵检测系统的的三大模块进行了详细的设计：

5.1信息采集

根据数据的来源，信息采集模块被分成网络信息采集、调用系统采集、系统日志监控三个模块。网络信息采集模块可以采集网络的IP通信数据。调用系统采集模块用来采集系统调用的序列号。日志监控系统可以实时监控某些关键日志。

5.2入侵信息分析引擎

针对不同的数据源采取不同的方式分析处理，所以入侵信息分析系统设计了不同的数据分析引擎进行数据的分析。入侵信息分析引擎可以被分成网络信息分析引擎、系统调用分析引擎、用户分析引擎。网络信息分析引擎可以检测系统是否发生非法攻击，其中攻击被分成分布式攻击、探测攻击、拒绝服务攻击三种。系统调用分析引擎分析针对的是系统的子程序，当发现系统调用子程序时发生异常，判断发生入侵行为。用户界面分析引擎针对的是内部，当用户出现越权行为时，用户分析引擎对其进行检测。

5.3入侵警告与用户界面

在入侵信息分析引擎判断系统发生了入侵行为之后，就会向用户界面发送一个预警信号，网络管理员通过可视化的用户界面即可方便快速的得到报警信号。在该课题设计的系统中将报警信号分为了几个等级。一级红色警报规定为入侵信息分析引擎肯定此时产生了非法入侵行为；二级黄色警报规定了入侵信息分析引擎判断可能发生了入侵行为；另外出现一些轻度异常现象，将检测到的信息存入到入侵检测系统的日志中，方便网络管理员以后的检查。一级、二级警报通过窗口完成，当出现此种警报时会向管理员弹出对话窗，其内容包括判断结论和一些与入侵相关的信息，方便管理员的分析判断。

6 总结

目前的网络仍存在很多的安全隐患，该课题中我们设计并实现了入侵检测系统的模型，实现较为完整的保护功能，入侵检测系统是网络安全的一个重要分支，还需要进一步得到完善。

【参考文献】

[1]刘伟.基于移动的事业单位网络入侵检测系统的设计与实现[D].电子科技大学，2012.

[2]高亮.数据挖掘中贝叶斯算法在入侵检测中的应用[D].兰州交通大学，2013.

入侵检测论文范文第5篇

[关键词] 检测 行为 知识

随着病毒，黑客入侵事件的日益猖獗，只从防御的角度构造安全系统是不够的。入侵检测（IDS）技术是继“防火墙”、“数据加密”等传统安全保护措施后新一代的安全保障技术。

本文提出的基于部件的分布式入侵检测系统FONIX，其主要组成部分包括主要部件有：网络引擎、主机、存储系统、IDS分析系统、响应系统、控制台。

IDS分析系统在整个FONIX系统中处于二级分析结构中，它从存储系统中的数据进行进一步的分析。由于分析系统和存储系统是利用统一的网络接换数据，所以一个IDS中可能有多个分析系统，每个分析系统采用的检测方法也不一定相同。在同一个分析系统中，也可以同时使用多种检测方法，对相同的数据使用不同的检测方法进行分析，对各自的检测结果进行比较，可以提高检测准确度，也可以完善不同的检测方法。

分析系统可以采用两种类型的检测技术:基于行为的检测和基于知识的检测。

一、基于行为的检测

基于行为的检测指根据使用者的行为或资源使用状况来判断是否入侵，而不依赖于具体行为是否出现来检测，所以也被称为异常检测(Anomaly Detection)。基于行为的检测与系统相对无关，通用性较强，能够检测出以前未出现过的攻击方法，其主要缺陷在于误检率很高。基于行为的检测方法主要有以下两种。

1.概率统计方法

概率统计方法要通过检测器并根据用户对象的动作为每个用户都建立一个用户特征表，通过比较当前特征与已存储定型的以前特征，来判断是否是异常行为。用户特征表需要根据审计记录情况不断地加以更新。用于描述特征的变量类型有:操作密度;审计记录分布;范畴尺度;数值尺度。

这些变量所记录的具体操作包括：CPU 的使用，I/O 的使用，使用地点及时间，邮件使用，编辑器使用，编译器使用，所创建、删除、访问或改变的目录及文件，网络上活动等。

这种方法的优越性在于能应用成熟的概率统计理论。但也有一些不足之处，如：统计检测对事件发生的次序不敏感，定义是否入侵的判断阈值也比较困难等。

2.神经网络方法

利用神经网络检测入侵的基本思想是用一系列信息单元(命令)训练神经单元，这样在给定一组输入后，就可能预测出输出。与统计理论相比，神经网络更好地表达了变量间的非线性关系，并且能自动学习并更新。

二、基于知识的检测

基于知识的检测也被称为违规检测(Misuse Detection)。这种方法依据具体特征库进行判断，即运用已知攻击方法，根据已定义好的入侵模式，通过判断这些入侵模式是否出现来检测。

主要缺陷在于与具体系统依赖性太强，难以检测出内部人员的入侵行为。基于知识的检测方法大致有以下3种。

1.专家系统

专家系统是将有关入侵的知识转化成if-then结构的规则，即将构成入侵所要求的条件转化为if 部分，将发现入侵后采取的相应措施转化成then部分。其中的if-then结构构成了描述具体攻击的规则库。

专家系统主要缺陷有全面性问题，即难以科学地从各种入侵手段中抽象出全面的规则化知识；其次效率。

2.模型推理

模型推理是指结合攻击脚本推理出入侵行为是否出现。其中有关攻击者行为的知识被描述为：攻击者目的，攻击者达到此目的的可能行为步骤，以及对系统的特殊使用等。

模型推理方法的优越性在于：对不确定性的推理有合理的数学理论基础，同时决策器使得攻击脚本可以与审计记录的上下文无关。另外，这种检测方法也减少了需要处理的数据量。

3.状态转换分析

状态转换法将入侵过程看作一个行为序列，这个行为序列导致系统从初始状态转入被入侵状态。分析时首先针对每一种入侵方法确定系统的初始状态和被入侵状态，以及导致状态转换的转换条件，即导致系统进入被入侵状态必须执行的操作(特征事件)。然后用状态转换图来表示每一个状态和特征事件，这些事件被集成于模型中，所以检测时不需要一个个地查找审计记录。

状态转换分析法的缺点是不善于分析过分复杂的事件，而且不能检测与系统状态无关的入侵。

三、结束语

IDS分析系统在整个IDS系统中处于二级分析结构中，它从存储系统中的数据进行进一步的分析。分析系统通常采用两种类型的检测技术，基于行为的检测和基于知识的检测。

基于行为的检测技术包括概率统计方法，神经网络方法。基于知识的检测技术分为专家系统；模型推理与状态转换分析。

参考文献:

[1]R.Agrawal and R.Srikant.Mining sequential patterns.In Proceedings of the 11th International Conference on Data Engineering ,Taipei,Taiwan,1995