基于网络的入侵检测精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的基于网络的入侵检测主题范文，仅供参考，欢迎阅读并收藏。

第1篇：基于网络的入侵检测范文

关键词：入侵检测；免疫原理；r连续位匹配；检测集生成

中图分类号：TP18文献标识码：A文章编号：1009-3044(2012)26-6348-03

Network Intrusion Detection Based on Immune Theory

WU Xiang1, HAN Liang2

(1.Naval Headquarters, Beijing 100841, China; 2.The East China Sea Fleet of Navy, Ningbo 315122, China)

Abstract: After analysis of the immune algorithm characteristics, the metaphor mechanism which is associated with the intrusion detection is extracted and studied in-depth. And then on the basis of artificial immune system, intrusion Detection system based on immune mechanism is built and the definition of system self and system non-self, immune matching rules set, and also the generation and life cycle of the immune detector are explained. Finally, the model is validated by the simulation experiments. The establishment of the immune intrusion detection system and the simulation work is the cornerstone of this research.

Key words: intrusion detection; immune theory; r contiguous bits matching; detector set generation

人体的免疫系统功能是通过大量不同类型的细胞之间的相互作用实现的[1-2]。在这些不同类型的细胞主要作用是区分“自体”和“非自体”。“自体”是指人体自身的细胞，而“非自体”是指病原体、毒性有机物和内源的突变细胞或衰老细胞。淋巴细胞能对“非自体”成分产生应答，以消除它们对机体的危害；但对“自体”成分，则不产生应答，以保持内环境动态稳定，维持机体健康。

可以看出入侵检测系统和免疫系统具有一定程度的相似性。对于一个入侵检测系统，特别是网络入侵检测系统，免疫系统的组成、结构、特征、免疫机理、算法等都为入侵检测系统设计有着重要的借鉴意义。它们要解决的问题都可以被描述为：识别“自体”和“非自体”，并消除“非自体”。

1自体和非自体的定义

计算机安全的免疫系统保护的是计算机系统的数据文件，所以将“自体”定义为计算机中合法的数据，这些数据包括合法用户、授权活动、原始源代码、未被欺诈的数据等；将“非自体”定义为其它一切非法数据，这些数据包括自身遭受非法篡改的数据、病毒感染的数据以及外来数据等。

2免疫匹配规则

在计算机中，所有的数据都是以二进制来表示的，这就表明在进行仿真的过程中，使用免疫匹配规则的对象都应该是针对二进制字符串的，因此需要采用二进制的匹配算法。采用何种二进制字符串的匹配算法，这是一个十分关键的问题，因为只有采用了合适的匹配算法，才能有效的构造免疫检测器集[4]。目前有很多的近似匹配算法，如r连续位的匹配算法、海明距离匹配算法等。r连续位匹配规则能更好地反映抗体绑定的真实提取，即能更真实地反映检测器字符串与被检测字符串的匹配情况，所以它比海明匹配规则更常用，因此文章采用r连续位的匹配算法。

r连续位的匹配规则可以描述如下：对于任意的两个字符串x，y，如果两个字符串x，y在相应位置上至少连续r位相同，那么这两个字符串是r连续位匹配的，即Match(x,y)|r=true。例如，如果设定r=5，字符串x=“10111010”和字符串y=“11011010”，由于它们在相应位置4-8位上都为“11010”，因此这两个字符串是匹配的。

在训练阶段，首先随机生成候选检测器集合，然后让候选检测器与自体集进行匹配，这个过程也叫阴性选择过程。在匹配的过程中，那些与与自体集相匹配的候选检测器就被丢弃，而不与自体集匹配的候选检测器则作为成熟检测器，存储于检测器集合中。

[1] Oscar A,Fabio A G, Fernando N,et al.Search and Optimization：A Solution Concept for Artificial Immune Networks: A Coevo? lutionary Perspective [C].Proceedings of 6th international conference on Artificial Immune systems，Brazil，2007：26-29.

[2] Hofmeyr, S, Forrest, S. Immunity by Design: An Artificial Immune System[C]//Proceedings of the 1999 Genetic and Evolution? ary Computation Conference,1999:1289-1296.

[3]杨进,刘晓洁,李涛,等.人工免疫中匹配算法研究[J].四川大学学报:工程科学版，2008,40(3):126-131.

[4]马莉.基于免疫原理的网络入侵检测器生成算法的研究[D].南京:南京理工大学硕士论文, 2006.

[5]卿斯汉,蒋建春,马恒太,等.入侵检测技术研究综述[J].通信学报,2004,25(7):19-29.

[6]焦李成,杜海峰,刘芳,等.免疫优化计算、学习与识别[M].北京:科学出版社, 2006.

[7] Dasgupta D，Gonzalez F.An Immunity-Based Technique to Characterize Intrusions in, Computer Networks [J].Special Issue on Artificial Immune Systems of the Journal IEEE Transactions on Evolutionary Comput- ation.2002，6(3)：281-291.

第2篇：基于网络的入侵检测范文

【关键词】 网络运行 安全 入侵检测技术

随着计算机网络运行安全问题的日益凸显，入侵检测技术作为一个新型的主动防御网络攻击安全技术成为保护网络运行安全的重要措施之一。入侵检测技术虽然利用传统手段访问者进行检查，但是可以进一步扩展系统管理员的安全管理能力，提高网络系统安全基础结构的完整性，同时与防火墙合用还可弥补防火墙的缺陷，可共同抵御外网攻击，保护网络系统能够正常运行。

一、入侵检测技术基本概念

入侵检测技术主要针对非法或者未授权情况下的入侵行为进行检测，并对计算机网络或者网络系统中若干关键点的信息进行全面采集、分析，并对计算机系统、网络系统中的违法安全策略行为或者被攻击迹象进行全面检查[1]。如果在一个计算机系统或者网络系统中安装了入侵检测系统（IDS），便可对系统中某些特定范围实现实时监控，当系统受到外网攻击时可迅速检测并作出响应。具体的入侵检测/响应流程如图1。

二、计算机网络运行安全中入侵检测技术应用策略

2.1 采集入侵信息策略

数据是入侵检测技术发挥作用的重要因素之一，常规情况下检测数据源主要涵盖：系统、网络日志、文件以及目录中保密事项、执行程序中的限制操作行为、入侵物理形式信息等等。

在计算机网络应用进程中，入侵检测技术若需要采集所有相关信息，则需要在每个网段中部署一个以上的IDS，并根据对应的网络结构特征运用多样连接形式的数据采集方式；同时，可在交换机内部或者防火墙的数据流入口或者出口处设置入侵检测系统，这样便可以有效采集相应的关键核心数据。

若需要采集网络系统中不同类别的关键信息，一方面需要根据检测对象合理扩大检测的范围、设置截取网络数据包；另一方面则需要对网络系统中的薄弱环节进行重点分析。而对于整个计算机网络系统而言，产生入侵行为相对较少，只需要建一个数据群进行集中处理即可，重点应加强对入侵行为的针对性分析能力。

2.2 分析、检测入侵信息策略

在计算机网络运行安全保护中，入侵检测系统可对各类系统漏洞、网络协议等进行全面分析，且在安全策略、原则基础上利用自身的异常检测、滥用检测模型进行分析过程模拟，科学辨识异常或者明显的攻击行为，最终构建一个分析结果形成报警信息发送至管理控制中心。对于TCP/IP 协议网络则运用探测引擎技术，利用旁路侦听方式对流经网络的所有数据包实现动态监测，并根据用户设置的相关安全策略进行分析检测，可有效辨识各类网络安全事件，并将相关定位、报警信息发送至管理控制中心。

2.3 响应入侵信息策略

对于入侵报警信息，入侵检测系统将采取积极的响应措施，主要操作包含：告警网络引擎、告知管理控制平台、给安全管理人员发生邮件、向控制中心通报实时对话情况，详细记录现场事件日志，并根据安全策略设置合理调整网络配置，并终止不良入侵行为，对于部分特定用户的相关程序仍然给予执行[2]。同时，在防御外网攻击中还可以结合防火墙的优势，构建一个协调模型以及网络完全防御体系。当计算机网络正常运行时，防火墙的过滤机制可对流经的数据包进行对比，对非授信数据包采取过滤处理，而对于绕过防火墙的数据包则可以利用入侵检测技术及时对网络攻击行为进行检测并迅速作出响应，从而实现有效防御各类网络攻击行为。

三、结语

计算机网络运行安全防范属于是一个整体的系统行为，其涉及多个层次的多项防御策略、技术，虽然入侵检测技术作为现代计算机网络安全的防御体系中一个重要的组成部分，但是其主要功能在于发现计算机网络运行中的安全问题。因此，在计算机网络运行安全保护中，入侵检测技术仍然需要联合其他安全技术，相互配合、协作，以此来增强自身的安全事件动态监测与响应能力，从而为企业提供一个更为安全的网络运行环境。

参考文献

第3篇：基于网络的入侵检测范文

关键词：模糊神经Petri网；入侵检测；神经网络；知识学习

中图分类号：TP393.08

随着网络在人们的日常生活中应用不断增多，网络入侵的风险性和机会也越来越多，网络安全成为了人们无法回避的问题。入侵检测技术已经成为一项非常重要的技术，得到越来越多的重视。目前，传统的入侵检测方法都是基于模式匹配的入侵检测方法、基于统计分析的入侵检测方法等，但它们都存在灵活性和适应性差[1，2]，检测效率不高，尤其是对未知的入侵行为检测存在困难。

针对上述问题，作者提出基于模糊神经Petri网（fuzzyneuralPetrinets，FNPN）的网络入侵检测方法，将类似于神经网络的学习功能引入FPN中。利用FNPN的并行推理能力解决传统检测方法灵活性和适应性差的问题，实验结果表明，本方法具有更高的检测准确率和更快的检测速度。

1 基本概念

Petri网是对离散并行系统的数学表示。Petri网是1960年由Karl・A・Petri发明的，适合于描述异步的、并发的计算机系统模型。Petri网既有严格的数学表述方式，也有直观的图形表达方式，既有丰富的系统描述手段和系统行为分析技术，又为计算机科学提供坚实的概念基础[3]。

2 基于FNPN的网络入侵检测方法

基于FNPN的入侵检测原理如图1所示：首先利用专家知识建立攻击知识的初始FNPN模型，然后通过现实网络环境采集含有入侵信息的数据，利用学习算法对知识模型的参数进行自动调整，以提高知识模型的准确度。将调整好后的模型作为模糊推理的知识，通过模糊推理得到某攻击发生的可能性。

基于FNPN的模糊推理过程是攻击知识的FNPN模型从初始标志开始，所有满足条件的变迁按顺序并行激发的过程。该过程与基于神经网络的推理过程相似，是一种并行推理过程，避免了传统误用入侵检测（基于产生式规则推理）中的推理冲突、组合爆炸等问题，因此具有较高的推理效率；同时，该方法中引入学习算法对初始知识的FNPN模型的参数进行动态调整，以提高知识模型的准确度，从而提高系统的入侵检测率[6]。

图1 基于FNPN的入侵检测原理

2.1 模糊规则的FNPN表示

一条模糊产生式‘与’规则对应FNPN中的一个变迁，而一条模糊产生式‘或’规则对应一组变迁。同样一条模糊产生式非规则对应FNPN中的一个变迁，规则中的命题与FNPN中的库所一一对应，规则中的模糊命题的当前隶属度值为库所中的标记值，规则的信任度对应变迁的一个映射函数[5]。

2.2 FNPN的训练算法

第1步：初始化，根据专家经验输入各权值和变迁信任度的初始值，并把输入命题和中间命题的总个数送n，变迁的总个数送m，样本总数N，i和j分别送1，学习步长送δ。

第2步：计算初始误差，根据初始权值和信任度及前面的引发规则计算出一组系统可靠度，并根据计算出初始误差值。判断其是否小于规定的误差限，若小于的话直接结束，否则进入下一步。

第3步：依据学习步长对部件i的权值进行调整，并判断是否每个值都大于等于零，若都大于等于零，则进行下一步，否则转第6步。

第4步：计算出当前系统的误差值fi与fi-1比较，若fi

第5步：重新调回原权值，说明上一步的调整方向不正确。

第6步：令i=i+1，并判断其是否大于n，若不大于n，转第3步进行下一部件的权值调整，否则进入下一步。

第7步：判断这时的fi是否小于等于要求的误差限，若已达到规定的误差限，则结束训练；否则，判断训练次数是否超过规定权值训练次数，若不超过，则把fi的值赋给f0并重新使i=1转第3步，开始下一轮训练；若已超过权值训练次数，则进入下一步。

第8步：对信任度进行训练，逐个调整信任度值但不能超过1，并逐次计算fj并判断是否小于等于规定的误差限，若已经达到误差限，则结束训练，否则，一直调整信任度直至达到规定的信任度训练次数为止。此时，若还达不到要求的误差限，则修改模糊规则，然后返回第一步重新学习。

2.3 FNPN的入侵检测模型

通过专家知识得到FNPN的最优初始权值，利用最优初始权值的FNPN对入侵检测数据进行学习和训练，得到最优的网络入侵检测模型。然后采用这个最优网络入侵模型对网络上采集数据进行在线检测，对检测结果进行分析和判断，最后根据分析结果进行相应的处理。

3 实例分析

为了对上述方法进行效果分析，本文对BackDoS、BufferOverflow、Guess-Passwd、Imap、IpsweepProbe、Land攻击、SYNFlooding攻击共7类攻击进行基于FNPN和NN的对比识别实验[7]。

取其中100条包含有以上7类攻击的记录，80条作为训练，20条作为测试。其中正常连接19个，攻击连接81个。

令FNPN和NN的参数相同学习速率均为0.10，动力因子为0.075，f（x）=1/（1+e-x）。

FNPN的初始权值和变迁信任度由专家系统根据其经验的所得。用图5所示的专家系统的FNPN模型作为网络的入侵检测模型，用所述的学习算法，用Matlab编制程序，并在假设专家知识的情况下给出一组初值：w11=w21=w31=w41=w51=w61=w71=w81=w91=wa1=0，w12=w22=w32=w42=w52=w62=w72=w82=w92=wa2=1，所有的信任度都取1，步长选为0.0001，用样本中的80组数据对权值和信任度进行训练。经过179次学习后，达到规定的误差范围（

将FNPN和NN的训练结果对比如图2所示。表明FNPN的最小平均误差比NN的最小平均误差小，且学习速度快。

图2 FNPN和NN的训练曲线

最后，对训练好的参数用样本中的其余20组数据进行测试，平均误差为0.0000154，表1为测试中所有攻击的识别率统计。结果表明，基于FNPN的识别方法比基于相同结构的NN对攻击具有更高的识别率[9]。

表1 基于FNPN和NN的检测率比较

攻击类型 检测率/%

FNPN NN

BackDoS 90.3 84.2

BufferOverflow 86.5 82.4

GuessPasswd 79.9 75.1

Imap 83.7 81.2

IpsweepProbe 88.6 85.8

Land 91.2 87.7

SYNFlooding 85.2 82.7

4 结论

本文提出的适合于网络入侵检测的模糊神经Petri网，既具有模糊Petri网自动模糊推理的能力，又具有神经网络的学习能力。由于采用了基于专家经验的系统结构，省去对实际系统建模的困难。与直接用神经网络进行入侵检测相比需要训练的参数更少，节省了存储空间，且各参数具有明确的物理意义。该方法适用于基于结构模糊推理的网络入侵检测。

参考文献：

[1]危胜军，胡昌振，高秀峰.基于学习Petri网的网络入侵检测方法[J].兵工学报，2006，27（2）：269-272.

[2]赵俊阁，付钰，刘玲艳.网络系统可靠性评估的模糊神经Petri网方法[J].火力与指挥控制，2010，35（3）：55-57.

[3]ChenSM，KeJS，ChangJF.KnowledgeRepresentationUsingFuzzyPetriNets[J].IEEETransonKnowledgeDataEnergy，1990，2（3）：311-319.

[4]原菊梅，侯朝桢，王小艺.复杂系统可靠性估计的模糊神经Petri网方法[J].控制理论与应用，2006，23（5）：687-691.

[5]KoriemSM.AfuzzyPetriNetToolforModelingandVerificationofKnowledge-basedSystems[J].TheComputerJournal，2000，43（3）：206-223.

[6]傅学彦，尹沧涛.神经网络在网络入侵检测中的应用[J].计算机仿真，2010，27（12）：152-155.

[7]原菊梅，侯朝桢，王小艺.复杂系统可靠性估计的模糊神经Petri网方法[J].控制理论与应用，2006，23（5）：687-691.

[8]危胜军，胡昌振，孙明谦.基于模糊Petri网的误用入侵检测方法[J].北京理工大学学报，2007，27（4）：312-317.

[9]张白一，崔尚森.基于规则推理的FPN误用入侵检测方法[J].计算机工程，2006，32（14）：119-121.

[9]李玲娟，翟双灿，郭立玮.用支持向量机预测中药水提液膜分离过程[J].计算机与应用化学，2010，27（2）：149-154.

第4篇：基于网络的入侵检测范文

【 关键词 】 网络安全；入侵检测技术；数据挖掘；孤立点

Intrusion Detection Technology Application in Network Security based on outlier Mining Technology

Li Jun

(Shantou Economic Trade Secondary Vocational and Technical School GuangdongShantou 515041)

【 Abstract 】 The computer network system faces different safety risks in actually using of process. Take the necessary security measures on the computer network system is very important. The article first introduced the intrusion detection technology, and then presented the concept of intrusion detection systems and working principle. Then investigated the intrusion detection system based on data mining technology, and gave a description of the mining algorithm based on similarity and isolated points.

【 Keywords 】 network security; intrusion detection; data mining; isolated point

0 引言

随着计算机网络的发展，网络复杂性不断增加，异构性越来越高，计算机网络面临的安全性问题越来越严峻。恶意程序的种类和数量的爆发性增加，严重破坏了网络运行秩序，因此，关于网络安全的问题已经被越来越广泛地研究。

网络安全是一门涉及多种学科的综合性学科，当网络的用户来自社会各个阶层与部门时，大量在网络中存储和传输的数据就需要保护，确保网络中硬件、软件资源及各种信息受到保护，避免遭到恶意的篡改、截获和伪造，使网络服务正常，系统可靠运行。

网络安全的研究实质上就是针对保密通信、安全协议的设计和访问控制三项内容的相关理论和技术的研究。可以通过流量分析检测网络流量的异常并做出有效的响应来确保网络的正常运行。现在应用于网络安全方面的技术有数字签名、数据加密、防火墙等，这些技术作为保护网络是有效的，但是有其自身的局限性，比如防火墙技术可以阻止外部攻击但阻止不了内部攻击且不能提供实时监测等。所以，建立一个基于数据挖掘的网络异常入侵检测技术是有必要的，它可以作为防火墙的补充提供流量分析，能有效避免网络黑客入侵，从多个方面准确分析系统漏洞且采取措施处理。因而基于数据挖掘的入侵检测系统的研究可以有效保证网络的安全运行。

1 入侵检测技术

1.1 概念

入侵检测技术是一种用来检测是否有入侵行为的一种技术，它是入侵检测系统（Intrusion Detection System, IDS）的核心技术，可以抵抗来自网络的入侵行为，保护自己免受攻击，保证计算机系统的安全。入侵检测技术通过将入侵行为的过程与网络会话数据特征匹配，可以检测到计算机网络中的违反安全策略的行为并做出响应，采取相关措施应对网络攻击。入侵检测在网络系统受到危害之前就对内部攻击、外部攻击和误操作等进行拦截并响应入侵，它作为一种积极主动地安全防护技术，为计算机系统提供实时保护。

1.2 入侵检测技术的内容

入侵检测技术的任务执行主要包括以下内容：

（1）对重要的文件和系统资源进行完整性评估和检测；

（2）检查系统构造，评估系统是否存在漏洞，不断检测、监视和分析用户和系统的活动；

（3）对检测的网络攻击行为进行报警，便于用户或管理者采取相应的措施；

（4）对日常行为和异常行为进行统计，并将这两种行为模式对比和分析；

（5）跟踪管理操作系统日志，识别违反安全策略的用户行为。

入侵检测技术是安全审核的核心技术之一，可检测出计算机网络中破坏网络运行秩序的行为，这项技术可以及时检测到系统中的异常行为和未授权的现象。对网络正常运行的破坏行为通常分为两种，一种是非法用户的违规入侵，另一种是合法用户的滥用行为。通过对记录的审核，入侵检测系统可以识别并限制所有不希望存在的行为，保证系统的安全和网络的正常运行。在系统受到入侵攻击时，入侵检测系统可以像管理者报警驱逐入侵攻击，进而保护系统免受伤害，并且在系统被入侵攻击之后，入侵检测系统可以对攻击信息进行收集和分析，将信息填充到系统特征库，升级系统的防范能力。

1.3 入侵检测技术的分类

第5篇：基于网络的入侵检测范文

关键词:计算机网络安全;入侵检测

中图分类号:TP393.08 文献标识码:A 文章编号:1674-7712 (2012) 12-0100-01

一、入侵检测技术在维护计算机网络安全中的应用

(一)网络入侵检测

网络入侵检测有基于硬件和软件的,二者的工作流程是基本相同的。需将网络接口的模式设置为混杂模式,以便对流经该网段的全部数据进行实时的监控,做出分析,再和数据库中预定义的具备攻击特征属性做出比较,从而把有害的攻击数据包识别出来,进行响应,并记录日志[1]。

1.体系结构。网络入侵检测的体系结构通常由三大部分组成,分别为Agent、Console以及Manager。其中,Agent的作用是对网段以内的数据包进行监视,发现攻击信息并把相关的数据发送到管理器;Console的主要作用是负责收集处信息,显示所受攻击信息,把攻击信息及相关数据发送到管理器;Manager的作用则主要是响应配置攻击警告信息,控制台所的命令也由Manager来执行,再把所发出的攻击警告发送至控制台。

2.工作模式。网络入侵检测,每个网段都部署多个入侵检测的,按网络拓扑结构的不同,的连接形式也不相同。利用交换机核心芯片中的调试端口,将入侵检测系统与该端口相连接。或者把它放在数据流的关键点上,就可以获取几乎全部的关键数据。

3.攻击响应及升级攻击特征库、自定义攻击特征。入侵检测系统检测到恶意攻击信息,响应方式多种多样,比如发送电子邮件、切断会话、通知管理员、记录日志、通知管理员、查杀进程、启动触发器以及开始执行预设命令、取消用户账号以及创建报告等等[2]。升级攻击特征库是把攻击特征库文件通过手动或者自动的形式从相关站点中下载下来,再利用控制台实时添加进攻击特征库。

(二)主机入侵检测

主机入侵检测会设置在被重点检测的主机上,从而对本主机的系统审计日志、网络实时连接等信息并做出智能化的分析与判断。如果发展可疑情形,则入侵检测系统就会有针对性的采用措施。基于主机的入侵检测系统可以具体实现以下功能:对操作系统及其所做的所有行为进行全程监控;持续评估系统、应用以及数据的完整性,并进行主动的维护;创建全新的安全监控策略,实时更新;对于未经授权的行为进行检测,并发出报警,同时也可以执行预设好的响应措施;将所有日志收集起来并加以保护,留作后用。主机入侵检测系统对于主机的保护很全面细致,但要在网络中全面部署则成本太高。并且主机入侵检测系统工作时要占用被保护主机的CPU处理资源,所以可能会降低被保护主机的性能[3]。

二、高校网络环境的入侵检测方案的问题

(一)高校网络环境入侵检测方案

伴随网络技术的高速发展,网络安全已经成为不能不考虑的问题。入侵检测方案正是利用网络平台,通过与远程服务器交换,将终端数据库分布实现入侵检测监控。设计应尽量符合人的感知和认知。多数高校网络环境采用基于WEB的数据库的转换和数据交换监控,数据库相对简单,入侵检测方式单一,但可靠性低。面对平台和数据容量的增加,客观上要求基于自动检测,要对数据库进行分析、聚类、纠错的高效网络,才能处理,实现用户交互,优化平台数据的可扩展性[4]。

(二)高校网络环境入侵检测的关键点

高校网络环境的入侵检测方案的关键点就是要充分利用高校网络资源平台,整合数据库、角色管理的安全模型、校园无缝监控、多方位反馈与应对系统等资源,预测或实时处理高校网络入侵时间的发生。

三、高校网络环境的入侵检测方案思考

(一)建立适合高校网络环境的检测系统平台

高校网络环境的入侵检测,可采纳“云计算技术”,实现检测方案系统。利用其高速传输能力,将计算、存储、软件、服务等资源从分散的个人计算机或服务器移植到互联网中集中管理的大规模分布的高性能计算机、个人计算机、虚拟计算机中,从而使用户像使用电能一样使用这些资源。大量计算资源构成资源池,用于动态创建高度虚拟化的资源提供用户使用。改变了资源提供商需要独立、分散建造机房、运营系统、维护安全的困难,降低了整体的能源消耗。

(二)入侵检测机制

入侵检测体系结构须依据网络NIDS模块,构建检测管理平台:模块组成主要有:应用任务模块;入侵检测与分析模块;数据库交换模块(负责数据包的嗅探、数据包预处理过滤和固定字段的模式匹配)。实现实时的流量分析与入侵检测功能。针对硬件逻辑和核心软件逻辑采用高效的检测策略规则。检测模型包括三个主要流程步骤:

1.调度平台从用户的请求队列中首先取出优先级最高的用户请求R。R读取元数据库,根据请求的硬件资源判断是否能被当前空闲资源满足。如果满足,转向步骤2;如果不满足,判断是否可以通过平台虚拟机的迁移,释放相关资源;如果可以,则执行迁移操作,转步骤2;如果迁移也无法完成,则退出,并报告无法完成请求。

2.如果资源请求可以满足,调度服务器可从存储结点中选择与用户请求相对应的虚拟机模板T(新建立的虚拟机)或虚拟机镜像I。

3.调度服务器将I迁入相对应的物理机,并创建相对应的虚拟机实例V。

四、总结

要提高计算机网络系统的安全性,不但要靠技术支持,更需要依靠高校自身良好的维护与管理。高校网络环境的入侵检测方案的思考,适应高校检测环境的发展要求,必须把握其发展方向和关键技术,实现高效入侵检测。

参考文献:

[1]胥琼丹.入侵检测技术在计算机网络安全维护中的应用[J].电脑知识与技术,2010,11

[2]刘明.试析计算机网络入侵检测技术及其安全防范[J].计算机与网络,2011,1

第6篇：基于网络的入侵检测范文

关键词： 网络入侵； 信号检测； 谱分析； 经验模态分解

中图分类号： TN911.23?34； TP393 文献标识码： A 文章编号： 1004?373X（2017）03?0058?04

Design and optimization of signal detection system after network intrusion

LI Wei， GU Hailin， HUANG Xing

（Information and Communication Engineering Center， Information Communication Branch Company of

State Grid Liaoning Electric Power Co.， Ltd.， Shenyang 110006， China）

Abstract： Since the accuracy of the current network intrusion anomaly detection is low， the optimization design for the abnormal signal detection system after network intrusion was performed， and the network intrusion abnormal signal detection algorithm based on higher?order time?spectrum analysis is proposed. The improvement design for the signal detection algorithm was conducted， and the network intrusion signal model was constructed to decompose the non?stationary signal empirical mode and extract the higher?order time?spectrum feature of the network anomaly signal after network intrusion. The signal detection system was developed， and its performance was test with simulation experiment. The simulation results show that the signal detection system can accurately detect the abnormal signal after network intrusion， and its accurate detection probability is higher than that of the traditional method.

Keywords： network intrusion； signal detection； spectrum analysis； empirical mode decomposition

0 引 言

S着计算机技术和网络技术的快速发展，网络运行的速度不断增快，网络传输和处理的数据信息不断增多，网络安全受到管理者和用户的重视[1?2]。网络安全主要包括网络的物理安全、网络拓扑结构安全、网络系统安全等。网络入侵通过病毒植入，实现非法存取、拒绝服务和网络资源非法占用等，达到攻击用户私密信息的目的。网络被入侵后会出现异常信号，通过对网络被入侵后的入侵信号进行检测，保障网络安全，研究相关的信号检测算法和系统受到人们的极大关注[3?4]。

针对当前对网络入侵异常检测精度不高的问题，提出基于高阶时频谱分析的网络入侵异常信号检测算法，并通过仿真实验进行性能测试。

1 算法设计

1.1 信号模型构建与分析

首先对网络被入侵后的异常信号模型进行构建和特征分析，网络被入侵后的数据传输节点分布为一个宽平稳的随机信道模型，异常信号分布在一个多径时变的非平稳传输信道中，采用短时傅里叶变换构建网络被入侵后的异常信号传输的信道模型描述为[5?6]：

[x（t）=Rean（t）e-j2πfcτn（t）slt-τn（t）e-j2πfct] （1）

式中：网络被入侵后异常信号的加窗函数[x（t）]在时间[t]的短时傅里叶变换就是[x（t）]乘上一个以[t]为中心的“分析窗”，由于短时傅里叶变换，在所有窗函数里建立时间窗。

当短时傅里叶变换为一种线性变换，输出的信号冲激响应为[γ*（t-t），]根据网络被入侵后异常信号的时频分辨率不变性，信号短时谱定义为：

[STFT（γ）x（t， f）=-∞∞[x（t）γ*（t-t）]e-j2πftdt] （2）

采用短时傅里叶变换使得网络入侵信号的短时傅里叶基数STFT保持信号[x（t）]的频移特性，网络被入侵的时间尺度脉冲响应为：

[c（τ，t）=nan（t）e-j2πfcτn（t）δ（t-τn（t））] （3）

式中：[an（t）]是第[n]条网络传输信道上的异常信号的单分量主频特征；[τn（t）]为第[n]条垂直无穷长窗函数的时延；[fc]为网络被入侵的信道调制频率。

设网络被入侵数据传输节点的传递路径有[P]条，采用频率分辨率调制滤波[7]，得到网络被入侵后的异常信号传输的多径信道传递函数为：

[h（t）=i=1Paip（t-τi）] （4）

式中：[ai]和[τi]分别是时间分辨率和传播损失。

网络被入侵后数据传输的信道特征分布函数为：

[y（t）=x（t-t0）?Wy（t，v）=Wx（t-t0，v）y（t）=x（t）ej2πv0t?Wy（t，v）=Wx（t，v-v0）] （5）

对于两个能量相同的信号，定义窗函数的时宽[Δt]为：

[Δt2=t2G（t）2dtG（t）2dt] （6）

通过时频伸缩，可得网络被入侵后异常信号的频谱特征为：

[y（t）=kx（kt）， k>0，Wy（t，v）=Wx（kt，vk）] （7）

式中：[k]表示时间分辨采样频率；[v]表示网络被入侵后输出信道的带宽；[Wx]为时间窗口函数，式（7）表示网络被入侵的信道中的时域和频域的伸缩尺度。时间分辨率和频率分辨率在频谱宽度一致性特征的情况下，构建网络入侵的异常信号模型为：

[z（t）=x（t）+iy（t）=a（t）eiθ（t）] （8）

式中：[z（t）]表示入侵后的异常信号；[x（t）]表示残余函数；[y（t）]表示网络入侵后异常信号的残余量；[a（t）]表示非线性、非平稳的多分量信号的上下包络线；[θ（t）]表示入侵偏移相位。

通过单分量信号的尺度分解将原始信号分解为多个低频分量之和，得到网络入侵后的异常信号的包络特征为：

[a（t）=x2（t）+y2（t）， θ（t）=arctany（t）x（t）] （9）

式中：[a（t）]和[θ（t）]分别是网络被入侵后异常信号的高频特征分量的包络和相位。

1.2 信号检测算法实现

定义[D=（dγ）γ∈Γ]为网络入侵异常信号分布特征空间[H]中的入侵数据向量组成的基函数集，在对受到强杂波背景干扰下入侵后的网络异常信号[x（t）]进行经验模态分解，每层分解的误差分量表示为：

[xmin， j=maxxmin， j，xg， j-ρ（xmax， j-xmin， j）] （10）

[xmax， j=minxmax， j，xg， j+ρ（xmax， j-xmin， j）] （11）

入侵特征检测的偏移量频谱区间在[[xmin， j，xmax， j]]内构成局部时间尺度分量的滑动时间窗口，[ρ]为网络入侵异常信号属性特征调整系数，定义为：

[ρ=o∈Nk-dist（p）lrdk（o）lrdk（p）Nk-dist（p）] （12）

采用频率调制对信号进行高阶谱特征提取，以过零点定义的IMF函数为一个采样特征区间，表示为：[Yk=yk1，yk2，…，ykj，…，ykJ， k=1，2，…，N] （13）

通过频率调制去除网络被入侵后异常信号的虚假分量，在对网络入侵后异常信号的局部均值进行后置聚焦检测后，采用时频特征分析方法进行网络被入侵后的异常信号的时域特征分解，得到频谱偏移量为：

[fi（n）=ln[λi（n）]2πΔt] （14）

式中[Δt]表示信号采样时间间隔。

由此计算网络被入侵后异常信号的稳态概率：

[WDx（t，f）=xt+τ2x*t-τ2e-j2πftdτ] （15）

式中：[f]表示异常信号的频域瞬态函数；[x*]表示υ始信号取卷积。

选择时间?频率联合特征匹配方法，得到网络被入侵后的异常信号差异函数[f]和基[dγ0]之间的匹配程度为：

[λn（dγ0）=-∞+∞f（t）d*γ0（t）dt] （16）

采用自适应级联滤波方法进行信号滤波，得到异常信号检测的一组极大线性无关组，[dγ]的边缘特性解向量[L2（R）]是稠密的，得到网络入侵后的异常信号的能量密度满足：

[f，dγ0≥asupγ∈Γf，dγ] （17）

准确检测概率满足：

[f=f，dγ0dγ0+Rf] （18）

2 系统硬件设计与软件开发

2.1 信号检测系统的硬件设计

系统的模块化设计主要包括滤波电路模块、信号采样A/D电路模块、DSP集成处理主控模块和检测输出模块等，首先构建信号滤波器电路，进行网络被入侵后异常信号的检测滤波，滤波结构模型如图1所示。

以网络被入侵后异常信号的A/D数据采集作为原始输入，给出级联自适应滤波器形式为：

[H（z）=N（z）D（z）] （19）

式中：[N（z）]是异常信号检测系统的低通信道函数，它的零点在[z=e±jω0]处；[D（z）]为盲源分离状态函数。

由滤波器的控制筛分参数[a]和带宽参数[r]确定自适应级联滤波器的阶数和调制频率，初始频率为：

[ω0=arccos（-a2）] （20）

在前馈放大约束下，通过抽头加权得到入侵后的异常信号检测滤波器低通响应特征函数为：

[ejπ=V（ejω0）=sinθ2+sinθ1（1+sinθ2）ejω0+ej2ω01+sinθ1（1+sinθ2）ejω0+sinθ2ej2ω0] （21）

网络被入侵后异常信号检测系统的信号滤波器的传递函数为：

[H（z）=121+V（z）V（ejω）+ejΦ（ω）] （22）

根据滤波传递函数，采用DSP信号处理器和PCI总线进行电路设计，得到滤波电路设计如图2所示。

信号采样A/D电路模块实现网络入侵后的异常信号检测原始数据采样和数模转换功能，采用16位定点DSP作为控制芯片，采用FLASH中的应用程序bootloader自动调整系统的放大倍数，从片内ROM的0FF80H起执行程序，控制A/D转换器进行正常采样，得到信号检测系统的信号采样A/D电路设计如图3所示。

DSP集成处理主控模块是网络被入侵后异常信号检测系统的核心模块，主控模块的时钟频率为33 MHz或66 MHz，DSP集成处理环境下异常信号处理程序是在CCS 2.20开发平台下进行，DSP通过双端口RAM（IDT70V28）进行数据通信，DSP信号处理器设计主要包括5409A引脚设置、JTAG设计，地址总线LA[16：1]，检测输出模块选择引脚、时钟信号输入引脚，通过CPLD编程ADM706SAR进行系统复位，得到主控模块的DSP接口连线如图4所示。

2.2 系统的软件开发实现

网络被入侵后异常信号检测系统的软件开发处理程序在CCS 2.20开发平台下进行。采用C5409A XDS510 Emulator仿真器进行检测算法编程设计，采用程序加载电路进行异常信号检测算法的写入和数据读取，处理程序都是用ASM语言编写，与VB，VC等可视化开发平台进行汇编，链接生成.out文件，代码设计时把应用程序转Q成.hex格式代码，把loader和用户程序都烧写到FLASH中，在0FF81H处写loader程序的入口地址，得到网络被入侵后异常信号检测系统的程序设计流程如图5所示。

3 性能的测试

首先对SPCR1（串口接收控制寄存器）和SPCR2（串口发送控制寄存器）进行复位串口配置，配置PCR（串口控制引脚寄存器）的FSXM=1，进行网络入侵采样，采样的样本数为1 024，采用网络爬虫技术进行病毒入侵的数据爬取，爬取次数为100 598次，启动串口0的采样率，得到两个帧同步之间的异常信号。网络入侵异常信号的中心采用频率为[f0=1 000]Hz，接收器和发送器的激活频率为[fs=10] kHz，信号的采样带宽[B=1 000]Hz，其调频率[k=BT=13.8] Hz，信号检测过程中的干扰信噪比为-30 dB，根据上述仿真环境和参数设定，进行网络被入侵后的异常信号检测仿真，得到采样的原始网络信号如图6所示。

以上述采样信号为测试对象，输入到本文设计的异常信号检测系统中，得到检测输出的高阶时频谱如图7所示。

从图7可见，本文设计的信号检测系统能准确检测到异常信号的频谱特征，对低频干扰信号的抑制性能较好，检测输出的峰度聚焦性较好，展示了较高的检测性能，为了对比，采用本文方法和传统方法，以准确检测概率为测试指标，得到的结果如图8所示。从图8可见，采用本文系统进行网络入侵后异常信号检测的准确检测概率较高，且性能优于传统方法。

4 结 语

网络被入侵后会出现异常信号，通过对网络被入侵后的入侵信号检测，保障网络安全。本文提出基于高阶时频谱分析的网络入侵异常信号检测算法，仿真结果表明，本文算法的准确检测概率高于传统方法，具有较高的应用价值。

参考文献

[1] 陆兴华，陈平华.基于定量递归联合熵特征重构的缓冲区流量预测算法[J].计算机科学，2015，42（4）：68?71.

[2] 杨雷，李贵鹏，张萍.改进的Wolf一步预测的网络异常流量检测[J].科技通报，2014，30（2）：47?49.

[3] 周煜，张万冰，杜发荣，等.散乱点云数据的曲率精简算法[J].北京理工大学学报，2010，30（7）：785?790.

[4] MERNIK M， LIU S H， KARABOGA M D， et al. On clarifying misconceptions when comparing variants of the Artificial Bee Colony Algorithm by offering a new implementation [J]. Information sciences， 2015， 291（C）： 115?127.

[5] 沈渊.基于入侵关联跟踪的P2P网络入侵检测方法[J].科技通报，2013，29（6）：32?34.

第7篇：基于网络的入侵检测范文

Abstract: Network intrusion detection and early warning technology are the reasonable add to firewall which help the system work against network attacks and provide the real-time guard for internal and external attacks and misuse. Based on this system's design and implementation, the paper gives the detailed discussion.

关键词:入侵检测系统;设计;实现

Key words: intrusion detection system;designing;realization

中图分类号:TP30 文献标识码:A文章编号:1006-4311(2010)24-0166-01

0引言

入侵检测系统(Intrus Jon Detection system,IDS)为计算机系统的完整性。可用性及可信性提供积极主动的保护,并在计算机系统受到危害之前进行拦截防卫。IDS对网络的控制手段有:黑名单断开、灰名单报警、阻塞HTTP请求、通知防火墙阻断和通过SN-MPTrap报警等。

1技术的分析

1.1 异常。异常发现技术的前提是假定所有入侵行为都是与正常行为不同的。首先通过训练过程建立起系统正常行为的轨迹,然后在实际运用中把所有与正常轨迹不同的系统状态视为可疑。

但异常发现技术的缺点是并非所有的入侵都表现为异常。

1.2 误用。误用发现技术的入侵检测是指通过预先精确定义的入侵模式,对观察到的用户行为和资源使用情况进行检测。如入侵签名说明了导致误用事件弱点的特征、条件、序列和关系,还包含系统状态。

1.3 模式。假定所有入侵行为和手段都能够表达为一种模式或特征,那么所有已知的入侵方法都可以用匹配发现。模式发现的关键是如何表达入侵的模式,定义发现入侵的规则库,把真正的入侵与正常行为区分开来。

2入分检测系统的设计与实现

2.1 实验系统的整体设计。本实验系统界面部分主要在Visual 2005开发环境中完成。实验系统使用的是其中Visual C#语言开发 Web 应用程序的方法。

将实验系统的实现主要分为9个子模块,包括网络安全实验系统欢迎和登陆、入侵检测方式选择、入侵检测实验系统总体介绍、局域网的指定网段中正在嗅探主机程序流程图的展现、检测局域网的指定网段中正在嗅探主机的详细信息、WinPcap驱动介绍、局域网中正在进行端口扫描主机程序流程图展现、检测局域网中正在进行端口扫描主机的详细信息、Libnids开发包介绍。

2.2 网络嗅探检测。

2.2.1 基本原理。下面以Windows系统为例说明。

FF-FF-FF-FF-FF-FF:这个是一个正规的广播地址,不管是正常模式还是其他模式,都会被网卡接收并传递给系统核心。

FF-FF-FF-FF-FF-FE:这个地址对于网卡来说,不是一个广播地址,在正常模式下会被网卡抛弃,但是系统核心是认为这个地址同FF-FF-FF-FF-FF-FF是完全一样的。如果处于混杂模式,将被系统核心接收,并认为是一个广播地址。所有的Windows操作系统都是如此。

FF-FF-00-00-00-00:Windows核心只对前面两字节作判断,核心认为这是一个同FF-FF-FF-FF-FF-FF一样的广播地址。这就是为什么FF-FF-FF-FF-FF-00也是广播地址的原因。

FF-00-00-00-00-00:对于Win9x或WinME,则是检查前面的一个字节。因此会认为这个是一个广播地址。

所以,目的就要让正常模式的网卡抛弃掉探测包,而让混杂模式的系统核心能够处理探测。发送一个目的地址为FF-FF-FF-FF-FF-FE(系统会认为属于广播地址)的ARP请求,对于普通模式(广播等)的网卡,这个地址不是广播地址,就会直接抛弃,而如果处于混杂模式,那么ARP请求就会被系统核心当作广播地址处理,然后提交给嗅探器程序。系统核心就会应答这个ARP请求。

2.2.2 主要数据结构和函数。使用到WinPcap中的主要数据结构和自定义的数据结构PACKET、ETHDR、ARPHDR、IPHDR。

2.3 端口扫描检测。

2.3.1 基本原理。一个端口扫描被定义为在T秒时间内对目标系统超过P个端口的TCP连接请求,或者是对应的UDP数据包。因此可以采用异常检测技术来检测端口扫描,即定义为在TCP连接过程中,如果检测到相同源地址扫描TCP端口的数目大于阈值就认为发生了端口扫描攻击,根据TCP的标志位判断扫描类型。在本实验系统中该部分功能的实现主要由Libnids开发包中默认函数syslog()完成。本系统可以根据TCP的标志位判断扫描类型,可以检测SYN、NULL、FIN三种标志位变化的扫描。

2.3.2 主要数据结构和函数。使用到的主要数据结构有检测扫描用的相关信息SCAN、HOST、IP_HDR、TCP_HDR。

2.4 短信发送通知。短信猫是一种内嵌GSM无线通信模块,插入移动运营商的手机SIM卡后,可以通过PC连接使计算机应用系统与移动运营商的短信中心建立无线连接以实现自由的对外短信收发。

通过短信猫二次开发数据库接口,使用者几乎不需要了解任何有关数据通信方面的知识,就可实现手机短信的收发等功能。在本实验系统的设计中,使用短信猫二次开发接口通过Access数据库实现短信发送功能。

3结果分析

对系统进行全面测试后,从以下两方面分析系统性能。

3.1 系统的有效性。通过测试,系统在以下两方面有效:①该系统可以检测出共享式局域网中将网卡设为混杂模式的嗅探攻击;②该系统可以检测出共享式局域网正存在的以下三种正常速度的TCP端口扫描:SYN、NULL、FIN。

3.2 系统的局限性。通过测试,该系统也存在一些局限性:①除将网卡设为混杂模式的嗅探攻击,该系统对其他种类的嗅探攻击不起任何作用,该功能还有待完善;②由于该系统检测端口扫描所使用算法(统计阈值检测法)的局限性,扫描方如果采用慢速扫描,扫描时间间隔拉得够长,低于所设的门限值,就会漏报。

参考文献:

[1]孙国梓,俞超,陈丹伟.一种入侵检测实验系统的设计与实现[Z].

第8篇：基于网络的入侵检测范文

关键词入侵检测异常检测误用检测

在网络技术日新月异的今天，写作论文基于网络的计算机应用已经成为发展的主流。政府、教育、商业、金融等机构纷纷联入Internet，全社会信息共享已逐步成为现实。然而，近年来，网上黑客的攻击活动正以每年10倍的速度增长。因此，保证计算机系统、网络系统以及整个信息基础设施的安全已经成为刻不容缓的重要课题。

1防火墙

目前防范网络攻击最常用的方法是构建防火墙。

防火墙作为一种边界安全的手段，在网络安全保护中起着重要作用。其主要功能是控制对网络的非法访问，通过监视、限制、更改通过网络的数据流，一方面尽可能屏蔽内部网的拓扑结构，另一方面对内屏蔽外部危险站点，以防范外对内的非法访问。然而，防火墙存在明显的局限性。

(1)入侵者可以找到防火墙背后可能敞开的后门。如同深宅大院的高大院墙不能挡住老鼠的偷袭一样，防火墙有时无法阻止入侵者的攻击。

(2)防火墙不能阻止来自内部的袭击。调查发现，50％的攻击都将来自于网络内部。

(3)由于性能的限制，防火墙通常不能提供实时的入侵检测能力。写作毕业论文而这一点，对于层出不穷的网络攻击技术来说是至关重要的。

因此，在Internet入口处部署防火墙系统是不能确保安全的。单纯的防火墙策略已经无法满足对安全高度敏感部门的需要，网络的防卫必须采用一种纵深的、多样化的手段。

由于传统防火墙存在缺陷，引发了入侵检测IDS(IntrusionDetectionSystem)的研究和开发。入侵检测是防火墙之后的第二道安全闸门，是对防火墙的合理补充，在不影响网络性能的情况下，通过对网络的监测，帮助系统对付网络攻击，扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)，提高信息安全基础结构的完整性，提供对内部攻击、外部攻击和误操作的实时保护。现在，入侵检测已经成为网络安全中一个重要的研究方向，在各种不同的网络环境中发挥重要作用。

2入侵检测

2．1入侵检测

入侵检测是通过从计算机网络系统中的若干关键点收集信息并对其进行分析，从中发现违反安全策略的行为和遭到攻击的迹象，并做出自动的响应。其主要功能是对用户和系统行为的监测与分析、系统配置和漏洞的审计检查、重要系统和数据文件的完整性评估、已知的攻击行为模式的识别、异常行为模式的统计分析、操作系统的审计跟踪管理及违反安全策略的用户行为的识别。入侵检测通过迅速地检测入侵，在可能造成系统损坏或数据丢失之前，识别并驱除入侵者，使系统迅速恢复正常工作，并且阻止入侵者进一步的行动。同时，收集有关入侵的技术资料，用于改进和增强系统抵抗入侵的能力。

入侵检测可分为基于主机型、基于网络型、基于型三类。从20世纪90年代至今，写作英语论文已经开发出一些入侵检测的产品，其中比较有代表性的产品有ISS(IntemetSecuritySystem)公司的Realsecure，NAI(NetworkAssociates，Inc)公司的Cybercop和Cisco公司的NetRanger。

2．2检测技术

入侵检测为网络安全提供实时检测及攻击行为检测，并采取相应的防护手段。例如，实时检测通过记录证据来进行跟踪、恢复、断开网络连接等控制；攻击行为检测注重于发现信息系统中可能已经通过身份检查的形迹可疑者，进一步加强信息系统的安全力度。入侵检测的步骤如下：

收集系统、网络、数据及用户活动的状态和行为的信息

入侵检测一般采用分布式结构，在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息，一方面扩大检测范围，另一方面通过多个采集点的信息的比较来判断是否存在可疑现象或发生入侵行为。

入侵检测所利用的信息一般来自以下4个方面：系统和网络日志文件、目录和文件中的不期望的改变、程序执行中的不期望行为、物理形式的入侵信息。

(2)根据收集到的信息进行分析

常用的分析方法有模式匹配、统计分析、完整性分析。模式匹配是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。

统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述，统计正常使用时的一些测量属性。测量属性的平均值将被用来与网络、系统的行为进行比较。当观察值超出正常值范围时，就有可能发生入侵行为。该方法的难点是阈值的选择，阈值太小可能产生错误的入侵报告，阈值太大可能漏报一些入侵事件。

完整性分析主要关注某个文件或对象是否被更改，包括文件和目录的内容及属性。该方法能有效地防范特洛伊木马的攻击。

3分类及存在的问题

入侵检测通过对入侵和攻击行为的检测，查出系统的入侵者或合法用户对系统资源的滥用和误用。写作工作总结根据不同的检测方法，将入侵检测分为异常入侵检测(AnomalyDetection)和误用人侵检测(MisuseDetection)。

3．1异常检测

又称为基于行为的检测。其基本前提是：假定所有的入侵行为都是异常的。首先建立系统或用户的“正常”行为特征轮廓，通过比较当前的系统或用户的行为是否偏离正常的行为特征轮廓来判断是否发生了入侵。此方法不依赖于是否表现出具体行为来进行检测，是一种间接的方法。

常用的具体方法有：统计异常检测方法、基于特征选择异常检测方法、基于贝叶斯推理异常检测方法、基于贝叶斯网络异常检测方法、基于模式预测异常检测方法、基于神经网络异常检测方法、基于机器学习异常检测方法、基于数据采掘异常检测方法等。

采用异常检测的关键问题有如下两个方面：

(1)特征量的选择

在建立系统或用户的行为特征轮廓的正常模型时，选取的特征量既要能准确地体现系统或用户的行为特征，又能使模型最优化，即以最少的特征量就能涵盖系统或用户的行为特征。

(2)参考阈值的选定

由于异常检测是以正常的特征轮廓作为比较的参考基准，因此，参考阈值的选定是非常关键的。

阈值设定得过大，那漏警率会很高；阈值设定的过小，则虚警率就会提高。合适的参考阈值的选定是决定这一检测方法准确率的至关重要的因素。

由此可见，异常检测技术难点是“正常”行为特征轮廓的确定、特征量的选取、特征轮廓的更新。由于这几个因素的制约，异常检测的虚警率很高，但对于未知的入侵行为的检测非常有效。此外，由于需要实时地建立和更新系统或用户的特征轮廓，这样所需的计算量很大，对系统的处理性能要求很高。

3．2误用检测

又称为基于知识的检测。其基本前提是：假定所有可能的入侵行为都能被识别和表示。首先，写作留学生论文对已知的攻击方法进行攻击签名(攻击签名是指用一种特定的方式来表示已知的攻击模式)表示，然后根据已经定义好的攻击签名，通过判断这些攻击签名是否出现来判断入侵行为的发生与否。这种方法是依据是否出现攻击签名来判断入侵行为，是一种直接的方法。

常用的具体方法有：基于条件概率误用入侵检测方法、基于专家系统误用入侵检测方法、基于状态迁移分析误用入侵检测方法、基于键盘监控误用入侵检测方法、基于模型误用入侵检测方法。误用检测的关键问题是攻击签名的正确表示。

误用检测是根据攻击签名来判断入侵的，根据对已知的攻击方法的了解，用特定的模式语言来表示这种攻击，使得攻击签名能够准确地表示入侵行为及其所有可能的变种，同时又不会把非入侵行为包含进来。由于多数入侵行为是利用系统的漏洞和应用程序的缺陷，因此，通过分析攻击过程的特征、条件、排列以及事件间的关系，就可具体描述入侵行为的迹象。这些迹象不仅对分析已经发生的入侵行为有帮助，而且对即将发生的入侵也有预警作用。

误用检测将收集到的信息与已知的攻击签名模式库进行比较，从中发现违背安全策略的行为。由于只需要收集相关的数据，这样系统的负担明显减少。该方法类似于病毒检测系统，其检测的准确率和效率都比较高。但是它也存在一些缺点。

3．2．1不能检测未知的入侵行为

由于其检测机理是对已知的入侵方法进行模式提取，对于未知的入侵方法就不能进行有效的检测。也就是说漏警率比较高。

3．2．2与系统的相关性很强

对于不同实现机制的操作系统，由于攻击的方法不尽相同，很难定义出统一的模式库。另外，误用检测技术也难以检测出内部人员的入侵行为。

目前，由于误用检测技术比较成熟，多数的商业产品都主要是基于误用检测模型的。不过，为了增强检测功能，不少产品也加入了异常检测的方法。

4入侵检测的发展方向

随着信息系统对一个国家的社会生产与国民经济的影响越来越大，再加上网络攻击者的攻击工具与手法日趋复杂化，信息战已逐步被各个国家重视。近年来，入侵检测有如下几个主要发展方向：

4．1分布式入侵检测与通用入侵检测架构

传统的IDS一般局限于单一的主机或网络架构，对异构系统及大规模的网络的监测明显不足，再加上不同的IDS系统之间不能很好地协同工作。为解决这一问题，需要采用分布式入侵检测技术与通用入侵检测架构。

4．2应用层入侵检测

许多入侵的语义只有在应用层才能理解，然而目前的IDS仅能检测到诸如Web之类的通用协议，而不能处理LotusNotes、数据库系统等其他的应用系统。许多基于客户／服务器结构、中间件技术及对象技术的大型应用，也需要应用层的入侵检测保护。

4．3智能的入侵检测

入侵方法越来越多样化与综合化，尽管已经有智能体、神经网络与遗传算法在入侵检测领域应用研究，但是，这只是一些尝试性的研究工作，需要对智能化的IDS加以进一步的研究，以解决其自学习与自适应能力。

4．4入侵检测的评测方法

用户需对众多的IDS系统进行评价，评价指标包括IDS检测范围、系统资源占用、IDS自身的可靠性，从而设计出通用的入侵检测测试与评估方法与平台，实现对多种IDS的检测。

4．5全面的安全防御方案

结合安全工程风险管理的思想与方法来处理网络安全问题，将网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、防火墙、病毒防护、入侵检测多方位全面对所关注的网络作全面的评估，然后提出可行的全面解决方案。

综上所述，入侵检测作为一种积极主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，使网络系统在受到危害之前即拦截和响应入侵行为，为网络安全增加一道屏障。随着入侵检测的研究与开发，并在实际应用中与其它网络管理软件相结合，使网络安全可以从立体纵深、多层次防御的角度出发，形成人侵检测、网络管理、网络监控三位一体化，从而更加有效地保护网络的安全。

参考文献

l吴新民．两种典型的入侵检测方法研究．计算机工程与应用，2002；38(10)：181—183

2罗妍，李仲麟，陈宪．入侵检测系统模型的比较．计算机应用，2001；21(6)：29～31

3李涣洲．网络安全与入侵检测技术．四川师范大学学报．2001；24(3)：426—428

4张慧敏，何军，黄厚宽．入侵检测系统．计算机应用研究，2001；18(9)：38—4l

第9篇：基于网络的入侵检测范文

关键词：网络入侵检测；BP算法；入侵攻击

中图分类号：TP393.08 文献标识码：A 文章编号：1006-8937（2012）11-0083-02

随着计算机网络技术与网络通信产业的高速发展，信息技术和网络对当今社会的科教、经济、文化和电子商务等各个领域具有非常大的贡献。然而随着社会对计算机网络的依赖越来越大，出现了越来越多关于影响计算机网络安全的事件，目前有计算机杀毒软件、木马防御软件以及网络防火墙等软件，都起到一定的防御作用，但是在新的网络入侵攻击方式下，却常常无能为力。所以近些年来，计算机网络入侵检测技术越来越受到欢迎，它可以适应主动性攻击，有自主学习能力，能够更新入侵攻击规则库等功能。

网络入侵检测技术的应用，的确可以弥补防火墙、杀毒软件的缺陷，提高计算机网络安全的性能。但是传统的网络入侵检测技术存在一些问题，例如漏/误报率高、网络实时检测能力不高、检测的速率较低等问题。

如何解决以上提出的问题，就需要对传统的网络入侵检测技术进行改进，提高新的网络入侵检测方法。本文提出了基于BP神经网络算法的网络入侵检测技术，它是能够很好适应当前海量数据检测，较低入侵检测漏/误报率的方法。

1 传统入侵检测技术的模型与不足

1.1 传统入侵检测的发展

20世纪70年代后，随着计算机网络技术的发展，计算机的大规模及超大规模集成电路的高速发展，计算机的性能变高体积变小，在社会上应用计算机的用户也越来越多，遍布全世界。传统的防火墙开始不能够满足计算机安全的新需求，于是入侵检测技术也登上了应用舞台。它的发展主要包括几个时期，分别是：早期研究、基于主机入侵检测系统研究、基于网络入侵检测系统研究和基于智能网络入侵检测系统研究。

早期研究主要是1983年，（Stanford Research Institue）用统计方法分析IBM大型机的 （System Management Facility）记录，这就是网络入侵检测的雏形。

基于主机的入侵检测系统出现在20世纪80年代初期，那时网络规模还比较小，而且网络之间也没有完全互连。在此网络环境下，检查可疑行为的审计记录相对比较容易，也比较简单，通过对攻击的事后分析就可以防止随后的攻击。

基于网络的入侵检测系统需要原始的网络数据源，它把服务器的网卡设为混杂模式，该服务器的主机能够实时接收和分析网络中数据包，进而能够检测是否存在入侵行为，基于网络的入侵检测系统需要随机模式下的网络适配器来实时检测并分析通过网络的所有的网络通信业务数据。

基于智能网络入侵检测系统研究主要包括，神经网络、数据挖掘技术、人工免疫、容错技术等不断渗透或融入到智能的入侵检测技术中，将网络入侵检测系统的发展提高到一个新的台阶。

1.2 传统入侵检测的过程

传统的入侵检测的过程可以分为三个阶段，网络数据收集阶段、数据分析处理阶段及检测响应阶段。

①网络数据收集阶段。从入侵检测系统的信息源中收集网络数据，收集到的数据内容包括网络用户活动的行为和日志情况等。数据收集的网络数据范围广，入侵检测系统的检查范围也变得越大。一般情况下，基于网络的入侵检测的数据源，属于多源数据源，数据量较大，而基于主机的入侵检测系统的数据源属于单一，数据量比较小。

②数据分析处理。入侵检测系统从信息源中收集到大量的网络包数据，每秒钟都有源源不断的网络包，从海量的网络数据中，通过定好规则库，把大量的属于正常的网络数据包给过滤掉，剩下的小部分疑似网络攻击的异常行为的数据信息。因此如何快速处理数据，是当今入侵检测技术需要解决的热点问题。

③检测响应。当发现到网络包里面包含异常事件时，入侵检测系统就会及时对攻击情况作出类型判断，采取相应的响应来处理。常见的响应方式有：自动终止攻击、终止用户连接、记录事件的相关信息、向安全管理人员发出提示性电子邮件等。

1.3 传统入侵检测技术的特点

传统的通用入侵检测模型比较适合基于主机的入侵检测系统，对应基于网络的入侵检测系统来说，存在着许多问题：

①误/漏报率高。由于传统的入侵检测系统在处理网络数据包时，检测的方法比较传统，只能按照现有的规则来判断是否是异常事件，但是一遇到基于网络的入侵检测系统，检测海量数据包，就不是那么得心应手了，有限的时间，要处理好大量的数据，方法单一，使得最终检测出来的结果误/漏报率高。

②网络实时检测能力不高。传统的入侵检测技术方法比较单一，没有比较灵活的检查算法，所以在检测的时候，很难及时把结果处理出来，因此在一定程度下，实时检测性较差，影响了检测效果。

③检测的速率较低。传统入侵检测技术方法相关产品已不能适应交换技术和高带宽环境的发展，在大流量冲击、多IP分片情况下都可能造入侵检测系统的崩溃或丢包，所以检测的速率也不是很理想。

2 BP神经网络算法概述

2.1 BP神经网络算法

人工神经网络是一种应用类似于大脑神经突触联接的结构进行信息处理的数学模型。神经网络是一种运算模型，由大量的节点（或称神经元）和之间相互联接构成。

输入:给定训练集Xtrain，其中每一个训练样本都是由一组输入和一组输出构成，所有的输入和输出都是[0,1]之间的浮点数据（如果不是，要首先通过数据变换把它们映射到[0,1]区间）；神经网络结构：隐含层节点数目；神经网络每个节点的、参数化了的特征函数。

输出:神经网络每个节点特征函数的参数。

①按照有序导数计算公式计算总体误差对于每个参数的有序导数公式（函数）。

②任意选择一组数据作为初始参数，一般选取（0,0,…,0），把这组初始参数作为当前参数。

③根据当前参数和总体误差计算公式计算总体误差，如果误差足够小，就把当前参数作为输出，退出；否则，继续下面的步骤。

④根据参数调整公式和当前参数数值，计算总体误差对于各参数的有序导数数值。

⑤计算各个参数的调整大小，并计算调整后的参数大小。把调整后的参数作为当前参数，回到第三步。

2.2 神经网络计算过程

BP神经网络算法在工作过程中，首先对神经网络的参数进行初始化处理，然后计算出隐藏层单元的个数、计算输出层单元的输出个数、计算输出层单元出现的误差，当误差在允许范围内，则结束，输出相应的结果；如果误差不在允许范围内，则要调整中间层到输出层连接的权值和输出层单元，再调整输入层到中间层的连接权值和输出单元，同时更新学习的次数，当学习次数大于上限值，则结束，输出结果；如果还没到上限值，则反复地进行误差调整，直至满足算法的误差要求。最终输出结果。

3 网络入侵检测的结果

该设计方案已经在广东省潮州市某大型企业中应用，具体实验情况包括以下几个方面。

3.1 实验环境

该实验在真实网络入侵环境下进行检测。该应用平台的硬件包括由1台服务器和25台客户机构成。

入侵检测时，以25台主机同时对企业的内部财务系统进行访问，对公司的服务器进行。

3.2 实验结果

改进前和改进后的实验结果如下表1所示。

通过实验的结果比较，改过后的入侵检测系统比改进前入侵检测系统，提高了准确率，同时也降低了误报率和漏报。结论证明改进后的基于BP神经网络入侵检测系统达到预期目标。

4 结 语

本文从实际出发，通过科学改进，设计开发出一种基于BP算法网络入侵检测技术的有效方法，充分地利用了算法设计思想，并应用到实际项目中，最终达到预期的效果。总体来说，入侵检测在网络安全应用中是越来越广泛的，但是随着海量网络数据的发展，入侵检测技术要不断的更新检测算法，来适应网络对技术的要求。

参考文献：

[1] 李秀改,候媛彬.基于神经网络BP算法的模糊自适应控制器的研究与实现[J].电气传动自动化,2000,(4).

[2] 周川,董秀成.基于神经网络模型母线保护的运用研究[J].成都纺织高等专科学校学报,2007,(3).