入侵检测论文精选(九篇)

前言：一篇好文章的诞生，需要你不断地搜集资料、整理思路，本站小编为你收集了丰富的入侵检测论文主题范文，仅供参考，欢迎阅读并收藏。

第1篇：入侵检测论文范文

事实上，数据挖掘的产生是有其必然性的。随着信息时代的到来，各种数据收集设备不断更新，相应的数据库技术也在不断地成熟，使得人们积累的信息量不断增加，为了提高效率，当务之急就是要从海量的数据中找出最有用的信息，这就催生了数据挖掘技术。

2网络入侵检测的重要性与必要性分析

网络入侵检测，就是对网络入侵行为的发觉。与其他安全技术相比而言，入侵检测技术并不是以建立安全和可靠的网络环境为主，而是以分析和处理对网络用户信息构成威胁的行为，进而进行非法控制来确保网络系统的安全。它的主要目的是对用户和系统进行检测与分析，找出系统中存在的漏洞与问题，一旦发现攻击或威胁就会自动及时地向管理人员报警，同时对各种非法活动或异常活动进行识别、统计与分析。

3数据挖掘在网络入侵检测中的应用分析

在使用数据挖掘技术对网络入侵行为进行检测的过程中，我们可以通过分析有用的数据或信息来提取用户的行为特征和入侵规律，进而建立起一个相对完善的规则库来进行入侵检测。该检测过程主要是数据收集——数据预处理——数据挖掘，以下是在对已有的基于数据挖掘的网络入侵检测的模型结构图进行阐述的基础上进行一些优化。

3.1综合了误用检测和异常检测的模型

为改进前综合误用检测和异常检测的模型。从图2可以看出，它是综合利用了误用检测和异常检测模型而形成的基于数据挖掘的网络入侵检测模型。其优点在于通过结合误用检测器和异常检测器，把所要分析的数据信息减少了很多，大大缩小了数据范围。其劣势在于当异常检测器检测到新的入侵检测后，仅仅更新了异常检测器，而没有去及时地更新误用检测器，这就无形中增加了工作量。对于这一不足之处，笔者提出了以下改进意见。

3.2改进后的误用检测和异常检测模型

笔者进行了一些改进，以形成一种更加有利的基于数据挖掘的入侵检测模型，基础上进行了一定的优化。一是把从网络中获取的网络数据包发送到数据预处理器中，由它进行加工处理，然后使用相应的关联规则找出其中具有代表性的规则，放入关联规则集中，接下来用聚类规则将关联规则所得的支持度和可信度进行聚类优化。此后，我们可根据规定的阈值而将一部分正常的数据删除出去，这就大大减少了所要分析的数据量。此时可以把剩下的那些数据发送到误用检测器中进行检测，如果误用检测器也没有检测到攻击行为，则把该类数据发送到异常检测器中再次进行检测，与上面的例子一样，这个异常检测器实际上也起到了一个过滤的作用，以此来把海量的正常数据过滤出去，相应地数据量就会再一次变少，这就方便了后期的挖掘。这一模型系统的一大特点就是为了避免重复检测，利用对数据仓库的更新来完善异常检测器和误用检测器。也就是说，根据异常检测器的检测结果来对异常检测器和误用检测器进行更新，若测得该行为是正常行为，那么就会更新异常检测器，若测得该行为是攻击行为，那么就更新误用检测器来记录该次的行为，从而方便下次进行重复的检测。

4结束语

第2篇：入侵检测论文范文

关键词：入侵检测，Snort，三层结构，校园网，关联规则

 

0 前言

随着互联网的飞速发展，信息网络已经进入千家万户，各国都在加速信息化建设的进程，越来越多的电子业务正在网络上开展，这加速了全球信息化的进程，促进了社会各个领域的发展，与此同时计算机网络也受到越来越多的恶意攻击[1]，例如网页内容被篡改、消费者网上购物信用卡帐号和密码被盗、大型网站被黑客攻击无法提供正常服务等等。

入侵检测作为传统计算机安全机制的补充[2]，它的开发与应用扩大了网络与系统安全的保护纵深，成为目前动态安全工具的主要研究和开发的方向。随着系统漏洞不断被发现，攻击不断发生，入侵检测系统在整个安全系统中的地位不断提高，所发挥的作用也越来越大。无论是从事网络安全研究的学者，还是从事入侵检测产品开发的企业，都越来越重视入侵检测技术。

本文在校园网的环境下，提出了一种基于Snort的三层入侵检测系统，详细介绍了该系统的体系结构，各个模块的具体功能以及如何实现，并最终将该系统应用于校园网络中进行检测网络安全论文，确保校园网络的安全。

1 Snort入侵检测系统介绍

Snort[3]是一种基于网络的轻量级入侵检测系统，建立在数据包嗅探器上。它能实时分析网络上的数据包，检测来自网络的攻击。它能方便地安装和配置在网络的任何一节点上，而且不会对网络运行产生太大的影响，同时它还具有跨系统平台操作、最小的系统要求以及易于部署和配置等特征，并且管理员能够利用它在短时间内通过修改配置进行实时的安全响应。它能够实时分析数据流量和日志IP网络数据包，能够进行协议分析，对内容进行搜索/匹配。其次它还可以检测各种不同的攻击方式，对攻击进行实时警报。总的来说，Snort具有如下的优点：

（1）高效的检测和模式匹配算法，使性能大大提升。

（2）良好的扩展性，它采用了插入式检测引擎，可以作为标准的网络入侵检测系统、主机入侵检测系统使用；与Netfilter结合使用，可以作为网关IDS(Gateway IDS，GIDS)；与NMAP等系统指纹识别工具结合使用，可以作为基于目标的TIDS(Target-basedIDS)。

（3）出色的协议分析能力，Snort能够分析的协议有TCP,UDP和ICMP。将来的版本，将提供对ARP.ICRP,GRE,OSPF,RIP,ERIP,IPX,APPLEX等协议的支持。它能够检测多种方式的攻击和探测，例如：缓冲区溢出，CGI攻击，SMB检测，端口扫描等等中国期刊全文数据库。

（4）支持多种格式的特征码规则输入方式，如数据库、XML等。

Snort同时遵循GPL（公用许可License），任何组织或者个人都可以自由使用，这是商业入侵检测软件所不具备的优点。基于以上的特点，本文采用了Snort作为系统设计的基础，自主开发设计了三层结构的入侵检测系统。

2 入侵检测三层体系结构

Snort入侵检测系统可采用单层或多层的体系结构，对于单层[4]的结构来说，它将入侵检测的核心功能和日志信息混合放在同一层面上，这样的系统设计与实现均比较简单，但它的缺点是交互性比较差，扩展性不好，操作管理比较繁琐，系统的升级维护比较复杂。为了设计一个具有灵活性、安全性和可扩展性的网络入侵检测系统，本文的系统采用了三层体系结构，主要包括网络入侵检测层、数据库服务器层和日志分析控制台层。系统的三层体系结构如图4.1所示。

图4.1 三层体系结构图

（1）网络入侵检测层主要实现对网络数据包的实时捕获，监控和对数据进行分析以找出可能存在的入侵。

（2）数据库服务器层主要是从入侵检测系统中收集报警数据，并将它存入到关系数据库中网络安全论文，以便用户进行复杂的查询，和更好地管理报警信息。

（3）日志分析控制台层是数据显示层，网络管理员可通过浏览器本地的Web服务器，访问关系数据库中的数据，对报警日志信息进行查询与管理，提供了很好的人机交互界面。

2.1 网络入侵检测层

网络入侵检测层是整个系统的核心所在，主要负责数据的采集、分析、判断是否存在入侵行为，并通过Snort的输出插件将数据送入数据库服务器中。Snort没有自己的数据采集工具，它需要外部的数据包捕获程序库winpcap[4]，因此本部分主要包括两个组件：winpcap和Snort。winpcap是由伯克利分组捕获库派生而来的分组捕获库，它在Windows操作平台上实现底层包的截取过滤，它提供了Win32应用程序提供访问网络底层的能力。通过安装winpcap和Snort两个开源软件，搭建了一个基本的入侵检测层，基本上完成了一个简单的单层入侵检测系统。

2.2 数据库服务器模块

数据库服务器层主要是从入侵检测系统中收集报警数据，并将它存入到关系数据库中。除了将报警数据写入关系数据库，Snort还可以用其他方式记录警报，如系统日志syslog[5]，统一格式输出unified等。利用关系数据库对数据量相当大的报警数据进行组织管理是最实用的方法。报警存入关系数据库后能对其进行分类，查询和按优先级组织排序等。在本系统中我们采用MySQL数据库。MySQL是一个快速的客户机/服务器结构的SQL数据库管理系统，功能强大、灵活性好、应用编程接口丰富并且系统结构精巧。MySQL数据库采用默认方式安装后，设置MySQL为服务方式运行。然后启动MySQL服务，进入命令行状态，创建Snort运行必需的存放系统日志的Snort库和Snort_archive库。同时使用Snort目录下的create_mysql脚本建立Snort运行所需的数据表，用来存放系统日志和报警信息，数据库服务器模块就可以使用了。

2.3 日志分析控制台

日志分析控制台用来分析和处理Snort收集的入侵数据，以友好、便于查询的方式显示日志数据库发送过来的报警信息，并可按照不同的方式对信息进行分类统计，将结果显示给用户。本文所设计的警报日志分析系统采用上面所述的中心管理控制平台模式，在保护目标网络中构建一个中心管理控制平台，并与网络中架设的Snort入侵检测系统及MySQL数据库通信，达到以下一些目的：

(1)能够适应较大规模的网络环境；

(2)简化规则配置模式，便于用户远程修改Snort入侵检测系统的检测规则；

(3)降低警报数据量，通过多次数据分类分析，找出危害重大的攻击行为；

(4)减少Snort的警报数据在MySQL数据库中的存储量，降低运行系统的负担；

(5)将分析后的警报数据制成报表形式输出，降低对于管理员的要求。

为了完成以上所述的目的，提高Snort入侵检测系统的使用效率，本子系统主要分为以下三个模块：规则配置模块网络安全论文，数据分析模块，报表模块。本子系统框架如图4.4所示：

图4.4 Snort警报日志系统框架

（1）规则配置模块：起到简化用户配置Snort检测规则的作用。此模块主要与Snort运行主机系统上的一个守护程序通信，修改Snort的配置文件――Snort.conf，从而完成改变检测规则的目。中心控制管理平台在本地系统上备份snort.conf文件以及所有规则文件，当需要修改某个Snort入侵检测系统的规则配置时，就可以通过平台接口首先修改本地对应的snort.conf文件以及所有规则文件，然后通过与Snort运行系统中守护程序通信，将本地系统上修改后的snort.conf文件以及所有规则文件传输到Snort运行系统中并且覆盖掉运行系统中的原配置文件和原规则文件集，然后重新启动Snort，达到重新配置Snort检测规则的目的。

（2）数据分析模块：主要利用改进的Apriori算法对数据库的日志进行分析，通过关联规则挖掘，生成一些新的检测规则用来改进snort本身的检测规则，分析警报数据，降低输出的警报数据量，集中显示危害较为严重的入侵行为。数据分析模块是整个中心管理控制中心的核心模块。本模块通过挖掘保存在Mysql数据库中Snort异常日志数据来发现这些入侵数据之间的关联关系，通过发现入侵数据的强关联规则来发现新的未知入侵行为，建立新的Snort检测规则，进一步优化Snort系统的规则链表中国期刊全文数据库。具体的步骤如下：

先对Snort异常日志进行数据预处理。数据预处理中先计算出每个网络特征属性的信息增益值，然后取出前面11个重要的网络特征，把原来要分析的多个网络特征减少到11个重要的网络特征，这样就大大减小了整个算法的复杂度，也有利提高检测速度。历史日志经过预处理之后，我们就可以采用改进的Apriori算法求出所有频繁项集。在产生频繁项集之前，我们需要设定最小支持度，最小支持度设置得越低，产生的频繁项集就会越多，反之就会越少。通常，最小支持度的设定有赖于领域专家的分析和实验数据分析两种手段。经过反复实验，最终采用模拟仿真的攻击数据进行规则推导，设定最小支持度10%、可信度80%。训练结束时头100条质量最好的规则作为最终的检测规则。把关联规则中与Snort规则头相关的项放在一起充当规则头，与Snort规则选项相关的项放在一起充当规则选项，然后把规则头与规则选项合并在一起形成Snort入侵检测规则。

（3）报表模块：将分析后的数据库中的警报数据制成报表输出，降低对于管理员的要求。报表模块是为了简化管理员观察数据，美观输出而创建，通过.net的报表编写完成。报表是高弹性的报表设计器，用于报表的数据可以从任何类型的数据源获取，包含字符列表，BDE数据库网络安全论文，ADO数据源（不使用BDE），Interbase（使用IBO），Pascal数组和记录，以及一些不常用的数据源。

该系统采用Microsoft Visual Studio 2008进行开发，语言采用C#。具体如下图：

图4.5 日志分析控制台

 

3 系统实际运行效果

集美大学诚毅学院作为一个独立学院，为了更好的满足学院师生对信息资源的需求，部署了自己的web服务器，ftp服务器，英语网络自主学习等教学平台，有了丰富的网络信息资源。学院随着网络应用的不断展开，使用者越来越多，网络安全状况也出现很多问题，比如学院的web服务器曾经出现挂马事件，ftp服务器被入侵等事件也相继出现。为了解决该问题，部署属于自己的网络入侵检测系统，用来检测入侵事件，提高校园网络的安全情况就成为必须要解决的问题。该系统目前已经在集美大学诚毅学院使用，检测效果很好，有效的防范了网络安全事件的发生，能够及时对攻击事件进行检测，从而采取相对应的防范措施。

[参考文献]

[1]RobFliCkenger.LinnxServerHaeks.北京:清华大学出版社，2004.5, 132-135

[2]蒋建春，冯登国.网络入侵监测原理与技术.北京:国防工业出版社，2001.

[3]ForrestS,HofmeyrS,SomayajiA.Computerimmunology.Communicationsof the ACM,1997.40(10).88-96.

[4]Jack Koziol著.吴溥峰，孙默，许诚等译.Snort入侵检测实用解决方案.北京:机械工业出版社.2005.

[5]韩东海，王超，李群.入侵检测系统实例剖析.清华大学出版社，2002

第3篇：入侵检测论文范文

引言

近年来，随着信息和网络技术的高速发展以及政治、经济或者军事利益的驱动，计算机和网络基础设施，非凡是各种官方机构的网站，成为黑客攻击的热门目标。近年来对电子商务的热切需求，更加激化了这种入侵事件的增长趋向。由于防火墙只防外不防内，并且很轻易被绕过，所以仅仅依靠防火墙的计算机系统已经不能对付日益猖獗的入侵行为，对付入侵行为的第二道防线——入侵检测系统就被启用了。

1 入侵检测系统(IDS)概念

1980年，James P.Anderson 第一次系统阐述了入侵检测的概念，并将入侵行为分为外部滲透、内部滲透和不法行为三种，还提出了利用审计数据监视入侵活动的思想[1。即其之后,1986年Dorothy E.Denning提出实时异常检测的概念[2并建立了第一个实时入侵检测模型，命名为入侵检测专家系统(IDES)，1990年，L.T.Heberlein等设计出监视网络数据流的入侵检测系统，NSM(Network Security Monitor)。自此之后，入侵检测系统才真正发展起来。

Anderson将入侵尝试或威胁定义为摘要：潜在的、有预谋的、未经授权的访问信息、操作信息、致使系统不可靠或无法使用的企图。而入侵检测的定义为[4摘要：发现非授权使用计算机的个体(如“黑客”)或计算机系统的合法用户滥用其访问系统的权利以及企图实施上述行为的个体。执行入侵检测任务的程序即是入侵检测系统。入侵检测系统也可以定义为摘要：检测企图破坏计算机资源的完整性，真实性和可用性的行为的软件。

入侵检测系统执行的主要任务包括[3摘要：监视、分析用户及系统活动;审计系统构造和弱点;识别、反映已知进攻的活动模式，向相关人士报警;统计分析异常行为模式;评估重要系统和数据文件的完整性;审计、跟踪管理操作系统，识别用户违反平安策略的行为。入侵检测一般分为三个步骤摘要：信息收集、数据分析、响应。

入侵检测的目的摘要：(1)识别入侵者;(2)识别入侵行为;(3)检测和监视以实施的入侵行为;(4)为对抗入侵提供信息，阻止入侵的发生和事态的扩大;

2 入侵检测系统模型

美国斯坦福国际探究所(SRI)的D.E.Denning于1986年首次提出一种入侵检测模型[2，该模型的检测方法就是建立用户正常行为的描述模型，并以此同当前用户活动的审计记录进行比较，假如有较大偏差，则表示有异常活动发生。这是一种基于统计的检测方法。随着技术的发展，后来人们又提出了基于规则的检测方法。结合这两种方法的优点，人们设计出很多入侵检测的模型。通用入侵检测构架(Common Intrusion Detection Framework简称CIDF)组织，试图将现有的入侵检测系统标准化，CIDF阐述了一个入侵检测系统的通用模型(一般称为CIDF模型)。它将一个入侵检测系统分为以下四个组件摘要：

事件产生器(Event Generators)

事件分析器(Event analyzers)

响应单元(Response units)

事件数据库(Event databases)

它将需要分析的数据通称为事件，事件可以是基于网络的数据包也可以是基于主机的系统日志中的信息。事件产生器的目的是从整个计算机环境中获得事件，并向系统其它部分提供此事件。事件分析器分析得到的事件并产生分析结果。响应单元则是对分析结果做出反应的功能单元，它可以做出切断连接、修改文件属性等强烈反应。事件数据库是存放各种中间和最终数据的地方的通称，它可以是复杂的数据库也可以是简单的文本文件。

3 入侵检测系统的分类摘要：

现有的IDS的分类，大都基于信息源和分析方法。为了体现对IDS从布局、采集、分析、响应等各个层次及系统性探究方面的新问题，在这里采用五类标准摘要：控制策略、同步技术、信息源、分析方法、响应方式。

按照控制策略分类

控制策略描述了IDS的各元素是如何控制的，以及IDS的输入和输出是如何管理的。按照控制策略IDS可以划分为，集中式IDS、部分分布式IDS和全部分布式IDS。在集中式IDS中，一个中心节点控制系统中所有的监视、检测和报告。在部分分布式IDS中，监控和探测是由本地的一个控制点控制，层次似的将报告发向一个或多个中心站。在全分布式IDS中，监控和探测是使用一种叫“”的方法，进行分析并做出响应决策。

按照同步技术分类

同步技术是指被监控的事件以及对这些事件的分析在同一时间进行。按照同步技术划分，IDS划分为间隔批任务处理型IDS和实时连续性IDS。在间隔批任务处理型IDS中，信息源是以文件的形式传给分析器，一次只处理特定时间段内产生的信息，并在入侵发生时将结果反馈给用户。很多早期的基于主机的IDS都采用这种方案。在实时连续型IDS中，事件一发生，信息源就传给分析引擎，并且马上得到处理和反映。实时IDS是基于网络IDS首选的方案。

按照信息源分类

按照信息源分类是目前最通用的划分方法，它分为基于主机的IDS、基于网络的IDS和分布式IDS。基于主机的IDS通过分析来自单个的计算机系统的系统审计踪迹和系统日志来检测攻击。基于主机的IDS是在关键的网段或交换部位通过捕捉并分析网络数据包来检测攻击。分布式IDS，能够同时分析来自主机系统日志和网络数据流，系统由多个部件组成，采用分布式结构。

按照分析方法分类

按照分析方法IDS划分为滥用检测型IDS和异常检测型IDS。滥用检测型的IDS中，首先建立一个对过去各种入侵方法和系统缺陷知识的数据库，当收集到的信息和库中的原型相符合时则报警。任何不符合特定条件的活动将会被认为合法，因此这样的系统虚警率很低。异常检测型IDS是建立在如下假设的基础之上的，即任何一种入侵行为都能由于其偏离正常或者所期望的系统和用户活动规律而被检测出来。所以它需要一个记录合法活动的数据库，由于库的有限性使得虚警率比较高。

按照响应方式分类

按照响应方式IDS划分为主动响应IDS和被动响应IDS。当特定的入侵被检测到时，主动IDS会采用以下三种响应摘要：收集辅助信息;改变环境以堵住导致入侵发生的漏洞;对攻击者采取行动(这是一种不被推荐的做法，因为行为有点过激)。被动响应IDS则是将信息提供给系统用户，依靠管理员在这一信息的基础上采取进一步的行动。

4 IDS的评价标准

目前的入侵检测技术发展迅速，应用的技术也很广泛，如何来评价IDS的优缺点就显得非常重要。评价IDS的优劣主要有这样几个方面[5摘要：(1)准确性。准确性是指IDS不会标记环境中的一个合法行为为异常或入侵。(2)性能。IDS的性能是指处理审计事件的速度。对一个实时IDS来说，必须要求性能良好。(3)完整性。完整性是指IDS能检测出所有的攻击。(4)故障容错(fault tolerance)。当被保护系统遭到攻击和毁坏时，能迅速恢复系统原有的数据和功能。(5)自身反抗攻击能力。这一点很重要，尤其是“拒绝服务”攻击。因为多数对目标系统的攻击都是采用首先用“拒绝服务”攻击摧毁IDS，再实施对系统的攻击。(6)及时性(Timeliness)。一个IDS必须尽快地执行和传送它的分析结果，以便在系统造成严重危害之前能及时做出反应，阻止攻击者破坏审计数据或IDS本身。

除了上述几个主要方面，还应该考虑以下几个方面摘要：(1)IDS运行时，额外的计算机资源的开销;(2)误警报率/漏警报率的程度;(3)适应性和扩展性;(4)灵活性;(5)管理的开销;(6)是否便于使用和配置。

5 IDS的发展趋

随着入侵检测技术的发展，成型的产品已陆续应用到实践中。入侵检测系统的典型代表是ISS(国际互联网平安系统公司)公司的RealSecure。目前较为闻名的商用入侵检测产品还有摘要：NAI公司的CyberCop Monitor、Axent公司的NetProwler、CISCO公司的Netranger、CA公司的Sessionwall-3等。国内的该类产品较少，但发展很快，已有总参北方所、中科网威、启明星辰等公司推出产品。

人们在完善原有技术的基础上，又在探究新的检测方法，如数据融合技术，主动的自主方法，智能技术以及免疫学原理的应用等。其主要的发展方向可概括为摘要：

(1)大规模分布式入侵检测。传统的入侵检测技术一般只局限于单一的主机或网络框架，显然不能适应大规模网络的监测，不同的入侵检测系统之间也不能协同工作。因此，必须发展大规模的分布式入侵检测技术。

(2)宽带高速网络的实时入侵检测技术。大量高速网络的不断涌现，各种宽带接入手段层出不穷，如何实现高速网络下的实时入侵检测成为一个现实的新问题。

(3)入侵检测的数据融合技术。目前的IDS还存在着很多缺陷。首先，目前的技术还不能对付练习有素的黑客的复杂的攻击。其次，系统的虚警率太高。最后，系统对大量的数据处理，非但无助于解决新问题，还降低了处理能力。数据融合技术是解决这一系列新问题的好方法。

(4)和网络平安技术相结合。结合防火墙，病毒防护以及电子商务技术，提供完整的网络平安保障。

6 结束语

在目前的计算机平安状态下，基于防火墙、加密技术的平安防护固然重要，但是，要根本改善系统的平安目前状况，必须要发展入侵检测技术，它已经成为计算机平安策略中的核心技术之一。IDS作为一种主动的平安防护技术，提供了对内部攻击、外部攻击和误操作的实时保护。随着网络通信技术平安性的要求越来越高，入侵检测技术必将受到人们的高度重视。

参考文献摘要：

[1 Anderson J P. Computer security threat monitoring and surveillance [P . PA 19034,USA, 1980.4

[2Denning D E .An Intrusion-Detection Model [A . IEEE Symp on Security %26amp; Privacy[C ,1986.118-131

[3 张杰，戴英侠，入侵检测系统技术目前状况及其发展趋向[J，计算机和通信，2002.6摘要：28-32

[4 曾昭苏，王锋波，基于数据开采技术的入侵检测系统[J，自动化博览，2002,8摘要:29-31

第4篇：入侵检测论文范文

关键词：计算机网络应用；安全性问题；防护策略

中图分类号：TP393.08文献标识码：A文章编号：1007-9599 (2012) 03-0000-02

The Security Research on the Application of Computer Network

Han Yingchun

(Lishui University,Lishui323000,China)

Abstract:In today's technological advances,the rapid economic development has also led to the continued rapid development of network technology,widely used in major areas (military,economic and political).In a wide range of computer network technology application situation,the security issues will be gradually exposed,causing widespread concern within the industry.Therefore,security issues in the network application analysis and exploration is an urgent task.This paper first discusses the most common applications of several major security issues,as well as its safety protection strategy.

Keywords:Computer network applications;Security issues;Protection strategies

21世纪是一个网络化信息化的时代，计算机网络技术不断伴随着高科技的发展而发展，已经渗透于经济、贸易、军事等领域中。计算机网络技术也逐渐的进入到人们的生活中，提高了人们工作的效率，促进了人们的生活水平。人们对于网络技术已不再陌生。在网络技术不断发展的同时，它的安全性问题也就日益的突显出重要性，对于其隐藏安全风险人们也加倍的重视起来。计算机网络的特点也就是其自由开放的网络（IP/TCP架构），正是这些自由开放的空间才使得黑客的攻击以及入侵有机可乘。通过计算机的网络使得一般传统的病毒传播的速度加快，而且病毒针对计算机的应用程序或是网络协议存在的漏洞上，很多种新型的攻击入侵的方法也不断出现并日益革新。所以网络应用的安全性已经成为计算机技术中重要的部分，目前面临的最大问题也就是对其的研究以及解决方案。

一、对于计算机的网络技术应用中的常见的安全性问题进行论述与分析

我们知道计算机网络性特征包括无边界、大跨度以及分布式等主要特征，而这些明显的特征也方便了网络上黑客的入侵或攻击。而且其行为主体的身份具有隐藏性，以及网络信息具有隐蔽性，这些都为网络应用里一些恶意的侵入或攻击行为提供了有利的条件，可以更加肆无忌惮的放大恶。我们对于计算机网络应用里常出现的安全性问题进行总结，有如下五大类：

第一，在计算机网络的操作系统中，通过有些服务的开放端口来进行侵入或攻击。存在这种方式的攻击原因主要是因为该系统软件中的函数拾针和边界的条件等一些方面在设计上不当或是缺少条件限制，进而就产生一种漏洞（地址空间出现错误）。比如在该系统的软件里，没有及时处理某些特定类型的请求或是报文，进而也就使得软件在碰到这些类型的报文时就出现其运行不正常，致使软件系统发生崩溃现象。这种攻击病毒中典型的像OOB攻击，它是利用Windons系统的TCP端口（139）对其传送随机数来达到对操作系统的攻击目的的，进而就使得CPU（中央处理器）始终维持在系统繁忙的状态。

第二，就是通过传输的协议这种途径对其进行侵入或攻击的。恶意的行为者找到其某些的传输协议制定当中的漏洞，接着发起攻击，具体是利用请求资源（恶性）促发系统服务上出现超载，使得目标系统不能正常的运行，甚至导致其瘫痪现象。像这类中典型性的有借助IP或是TCP协议里的“三次握手”这个系统漏洞，对其进行（SYN Flood）攻击；或者是通过大量的传输垃圾数据包，达到接受端口资源全部耗尽的目的，最终让其系统出现瘫痪现象。像这类攻击方法典型的有ICMP Flood、Connetction Floa。

第三，借用伪装技术来对其进行攻击入侵。这种攻击方法具体的比如可对IP地址进行伪造，以及DNS解析地址和路由条目都可造假，为了让要攻击的服务器对这些请求不能正确的辨别，或者是不能对这些请求正常响应，以致最终导致缓冲区出现阻塞甚至死机的情况；还有一种，在局域网里中，对其中某台计算机IP地址进行设置成网关地址，这样就使得网络里的数据包转发不能正常实行，导致某一网段出现瘫痪。

第四，利用木马病毒对其发起攻击入侵。木马对于喜欢玩电脑的人来说是再熟悉不过的，它是一种能够远程控制的黑客入侵工具，特点鲜明，具有非授权以及隐蔽性的特征，当某台主机被木马成功植入的话，那么该目标主机就会让黑客完全的控制住，使其变成黑客的超级用户。因木马程序他能够对系统里的重要信息（如密码、帐号以及口令等）进行收集，因此也就使得用户信息保密出现严重不安全性。

第五种，将嗅探器（Sniffer）或扫描最为信息窥探的工具，得到用户重要信息。这里扫描是遍历的搜索网络以及系统的行为（主要针对系统漏洞而言），而漏洞是普遍都存在的，因此就有隐蔽采用或是恶意的使用扫描的手段，来对主机的重要信息进行窥探，这是为达到更深的入侵或是攻击做好准备。Sniffer它是一种技术，是通过计算机上的网络接口来进行截获目的地，使其成为别的计算机中的数报文这样的一种技术。这种网络的嗅探器通常是处于被动的探测监听网络中通信以及分析数据，非法的来获取口令以及密码和用户名等有效的用户信息，因它的特点是非干扰性以及被动性，故对网络安全应用上存在很大的威胁，他具有超强的隐蔽性，一般探测盗用了网络信息是不易被用户知晓的。

二、对于计算机网络应用的安全性问题所做出的防护策略进行论述分析

首先用户要对重要有效的信息数据实行加密策略，使其得到保护。现在存在很多修改或是恶意探测监听网络中发送的数据这种危险情况，针对这种形势，常用的局势对重要的数据实行加密措施，让数据变成密文。我们知道就算别人窃取了数据，但如果不知道其密钥的话，他还是没有办法是窃取的数据还原，这也就在很大程度上对数据进行保护。加密可有非对称和对称加密，何为对称加密体制？它是加密的密钥与其解密的密钥一样的机制。对其最常使用的算法是DES，而其数据的加密标准就是依据ISO。那何为非对称加密？相对应也就是它的加密和解密的密钥是不同的。每个用户拥有两个密钥，一个最为公开密钥，这个密钥是用来加密密钥设置的，而另一个就是秘密密钥，也就是又来解密时所用的密钥，它是需要用户自己严加保密的。个人根据实际需要来选择自己使用的加密方法。

其次就是使用病毒防护技术来进行预防危险问题。对于计算机网络应用的安全问题上，常见的主要病毒防护技术有如下几种：第一个是智能引擎的防护技术。这种引擎技术对于特征码扫描法中的优点继承并且进行了发展，将扫描方法中存在的不足进行了改进，进而在病毒扫描中，其扫描的速度不会受到病毒库不断增加的影响的；第二就是未知病毒查杀防护技术。这种防护技术在虚拟执行技术基础之上的又突破的病毒技术，它是人工智能技术与虚拟技术的组合体，能够对未知的病毒进行有效准确的查杀；第三是病毒免疫技术。对与这种病毒的免疫技术，反病毒专家一直对其保持着高度研究兴趣。这种技术主要是对自主的访问控制进行加强，以及对磁盘进行禁写保护区的设置，通过这种途径来实现病毒免疫的；第四，嵌入式的杀毒技术。这中杀毒技术主要针对经常性的遭到病毒的入侵攻击的对象或应用程序，该技术对此实行重点保护。可借助其应用程序中的内部接口或是操作系统来实现杀毒，这种技术为应用软件（范围使用广以及频率使用高的）提供了被动形式烦人防护措施。这种应用软件有Outlook/IE/NetAnt等，对其实行被动式的杀毒；第五，压缩智能的还原技术。这种防护技术是通过打包或压缩文件在内存里进行还原技术，这样让病毒完全的显露出来。

再次就是使用入侵检测技术。何为入侵检测技术?它的设计是针对计算机系统的安全而来的，它能够及早的检测到系统里出现异常现象或是未授权情况，它是对于网络里违反其安全策略的行为进行检测的一种技术。这种检测技术的好处就是在系统被攻击出现危害前，其就会检测出存在的攻击入侵，同时还可通过防护报警系统对攻击入侵进行排除。在病毒攻击当中可以有效的降低遭到攻击而带来的损失。这种技术可在攻击系统之后对攻击的相关信息进行收集，增加防护系统的知识，并将其输入入库，来提高系统的防护能力。

对于这种检测技术而言，它的入侵检测系统可划分为两种：异常检测和误用检测。误用检测它主要是依照预先定义好的攻击入侵模式库（对于入侵行为的特征、排列以及条件和事件之间的关联有所描述），因此在检测时就可在系统里收集到的信息与入侵的模式描述进行对比，查看有没有被入侵的行为。因此这种入侵检测的准确性在很大程度上与入侵模式的完整可靠性有很大的关系，对于出现一些新的或是变体入侵行为（在入侵模式库中没描述的），该误用检测是存在漏报的情况的。对于异常检测技术来说，其检测是对审计踪迹里存在的特征性数据的提取来对用户的行为进行描述的，它是根据典型的网络活动形成的轮廓模型来进行检测的，在检测的过程中是把轮廓模型和此检测的行为模式来对比，用一个确定的值来进行判断，当两者的差异值大于这个值那就被判定属于入侵行为。这种异常的检测技术典型的主要包括机器学习、统计分析的技术法以及数据挖掘技术。这两种（误用检测和异常检测）检测技术都有其缺点和优点。误用检测技术对于新的入侵行为时就比较不能检测出来这样也就存在漏报的情况，但它能够对已知的入侵行为准确的检测出来，其误报率也就比较低。而异常检测对于新的入侵行为能够进行检测出来，不存在漏报现象，可是却不能准确的确定出其具体入侵攻击行为。现在高科技的日新月异，网络安全入侵检测技术的发展呈现出协同化、综合化等发展方向，现在就有将以上两种检测技术结合的综合性系统，比如Haystack、NIDES等。包含两者的优点这样使得检测更具有全面可靠性。

三、总结

以上通过对计算机网络应用的安全性问题的论述与分析，更深层次的了解到网络安全技术以及常见的网络安全问题等。社会是一个不断向前发展的社会，经济技术上也会不断的革新发展，当然网络安全问题也会越来越复杂化、多变化，针对这些也会对相关的防护技术策略进行改进与创新。

参考文献：

[1]李红,黄道颖,李勇.计算机网络安全的三种策略[A].全国ISNBM学术交流会暨电脑开发与应用创刊20周年庆祝大会论文集[C].2005

[2]姜明辉,蒋耀平,王海伟.中美网络空间安全环境比较及美国经验借鉴[A].全国网络与信息安全技术研讨会'2005论文集（下册）[C].2005

[3]范晓岚,姜建国,曾启铭.BO网络入侵的实时检测[A].中国工程物理研究院科技年报（1999）[C].1999

第5篇：入侵检测论文范文

论文关键词：网络动态网络入侵网络入侵取证系统

计算机网络的入侵检测，是指对计算机的网络及其整体系统的时控监测，以此探查计算机是否存在违反安全原则的策略事件。目前的网络入侵检测系统，主要用于识别计算机系统及相关网络系统，或是扩大意义的识别信息系统的非法攻击，包括检测内部的合法用户非允许越权从事网络非法活动和检测外界的非法系统入侵者的试探行为或恶意攻击行为。其运动的方式也包含两种，为目标主机上的运行来检测其自身通信的信息和在一台单独机器上运行从而能检测所有的网络设备通信的信息，例如路由器、Hub等。

1计算机入侵检测与取证相关的技术

1.1计算机入侵检测

入侵取证的技术是在不对网络的性能产生影响的前提下，对网络的攻击威胁进行防止或者减轻。一般来说，入侵检测的系统包含有数据的收集、储存、分析以及攻击响应的功能。主要是通过对计算机的网络或者系统中得到的几个关键点进行信息的收集和分析，以此来提早发现计算机网络或者系统中存在的违反安全策略行为以及被攻击迹象。相较于其他的一些产品，计算机的入侵检测系统需要更加多的智能，需要对测得数据进行分析，从而得到有用的信息。

计算机的入侵检测系统主要是对描述计算机的行为特征，并通过行为特征对行为的性质进行准确判定。根据计算机所采取的技术，入侵检测可以分为特征的检测和异常的检测；根据计算机的主机或者网络，不同的检测对象，分为基于主机和网络的入侵检测系统以及分布式的入侵检测系统；根据计算机不同的工作方式，可分为离线和在线检测系统。计算机的入侵检测就是在数以亿记的网络数据中探查到非法入侵或合法越权行为的痕迹。并对检测到的入侵过程进行分析，将该入侵过程对应的可能事件与入侵检测原则规则比较分析，最终发现入侵行为。按照入侵检测不同实现的原来，可将其分为基于特征或者行为的检测。

1.2计算机入侵取证

在中国首届计算机的取证技术峰会上指出，计算机的入侵取证学科是计算机科学、刑事侦查学以及法学的交叉学科，但由于计算机取证学科在我国属于新起步阶段，与发达国家在技术研究方面的较量还存在很大差距，其中，计算机的电子数据的取证存在困难的局面已经对部分案件的侦破起到阻碍作用。而我国的计算机的电子数据作为可用证据的立法项目也只是刚刚起步，同样面临着计算机的电子数据取证相关技术不成熟，相关标准和方法等不足的窘境。

计算机的入侵取证工作是整个法律诉讼过程中重要的环节，此过程中涉及的不仅是计算机领域，同时还需满足法律要求。因而，取证工作必须按照一定的即成标准展开，以此确保获得电子数据的证据，目前基本需要把握以下几个原则：实时性的原则、合法性的原则、多备份的原则、全面性的原则、环境原则以及严格的管理过程。

2基于网络动态的入侵取证系统的设计和实现

信息科技近年来得到迅猛发展，同时带来了日益严重的计算机犯罪问题，静态取证局限着传统计算机的取证技术，使得其证据的真实性、及时性及有效性等实际要求都得不到满足。为此，提出了新的取证设想，即动态取证，来实现网络动态状况下的计算机系统取证。此系统与传统取证工具不同，其在犯罪行为实际进行前和进行中开展取证工作，根本上避免取证不及时可能造成德证据链缺失。基于网络动态的取证系统有效地提高了取证工作效率，增强了数据证据时效性和完整性。

2.1计算机的入侵取证过程

计算机取证，主要就是对计算机证据的采集，计算机证据也被称为电子证据。一般来说，电子证据是指电子化的信息数据和资料，用于证明案件的事实，它只是以数字形式在计算机系统中存在，以证明案件相关的事实数据信息，其中包括计算机数据的产生、存储、传输、记录、打印等所有反映计算机系统犯罪行为的电子证据。

就目前而言，由于计算机法律、技术等原因限制，国内外关于计算机的取证主要还是采用事后取证方式。即现在的取证工作仍将原始数据的收集过程放在犯罪事件发生后，但计算机的网络特性是许多重要数据的存储可能在数据极易丢失的存储器中；另外，黑客入侵等非法网络犯罪过程中，入侵者会将类似系统日志的重要文件修改、删除或使用反取证技术掩盖其犯罪行径。同时，年FBI/CSI的年度计算机报告也显示，企业的内部职员是计算机安全的最大威胁，因职员位置是在入侵检测及防火墙防护的系统内的，他们不需要很高的权限更改就可以从事犯罪活动。

2.2基于网络动态的计算机入侵取证系统设计

根据上文所提及的计算机入侵的取证缺陷及无法满足实际需要的现状，我们设计出新的网络动态状况下的计算机入侵的取证系统。此系统能够实现将取证的工作提前至犯罪活动发生之前或者进行中时，还能够同时兼顾来自于计算机内、外犯罪的活动，获得尽可能多的相关犯罪信息。基于网络动态的取证系统和传统的取证系统存在的根本差别在于取证工作的开展时机不同，基于分布式策略的动态取证系统，可获得全面、及时的证据，并且可为证据的安全性提供更加有效的保障。

此外，基于网络动态的入侵取证系统在设计初始就涉及了两个方面的取证工作。其一是攻击计算机本原系统的犯罪行为，其二是以计算机为工具的犯罪行为（或说是计算机系统越权使用的犯罪行为）。系统采集网络取证和取证两个方面涉及的这两个犯罪的电子证据，并通过加密传输的模块将采集到的电子证据传送至安全的服务器上，进行统一妥善保存，按其关键性的级别进行分类，以方便后续的分析查询活动。并对已获电子证据以分析模块进行分析并生成报告备用。通过管理控制模块完成对整个系统的统一管理，来确保系统可稳定持久的运行。

2.3网络动态状况下的计算机入侵取证系统实现

基于网络动态计算机的入侵取证系统，主要是通过网络取证机、取证、管理控制台、安全服务器、取证分析机等部分组成。整个系统的结构取证，是以被取证机器上运行的一个长期服务的守护程序的方式来实现的。该程序将对被监测取证的机器的系统日志文件长期进行不间断采集，并配套相应得键盘操作和他类现场的证据采集。最终通过安全传输的方式将已获电子数据证据传输至远程的安全服务器，管理控制台会即刻发送指令知道操作。

网络取证机使用混杂模式的网络接口，监听所有通过的网络数据报。经协议分析，可捕获、汇总并存储潜在证据的数据报。并同时添加“蜜罐”系统，发现攻击行为便即可转移进行持续的证据获取。安全服务器是构建了一个开放必要服务器的系统进行取证并以网络取证机将获取的电子证据进行统一保存。并通过加密及数字签名等技术保证已获证据的安全性、一致性和有效性。而取证分析机是使用数据挖掘的技术深入分析安全服务器所保存的各关键类别的电子证据，以此获取犯罪活动的相关信息及直接证据，并同时生成报告提交法庭。管理控制台为安全服务器及取证提供认证，以此来管理系统各个部分的运行。

基于网络动态的计算机入侵取证系统，不仅涉及本网络所涵盖的计算机的目前犯罪行为及传统计算机的外部网络的犯罪行为，同时也获取网络内部的、将计算机系统作为犯罪工具或越权滥用等犯罪行为的证据。即取证入侵系统从功能上开始可以兼顾内外部两方面。基于网络动态的计算机入侵取证系统，分为证据获取、传输、存储、分析、管理等五大模块。通过各个模块间相互紧密协作，真正良好实现网络动态的计算机入侵取证系统。

第6篇：入侵检测论文范文

摘要：采用确定的有限状态自动机理论对复杂的网络攻击行为进行形式化描述，建立了SYN－Flooding等典型攻击的自动机识别模型。通过这些模型的组合可以表示更为复杂的网络攻击行为，从而为研究网络入侵过程提供了一种更为直观的形式化手段。

关键词：计算机网络；有限状态自动机；网络攻击

随着计算机网络的普及应用，网络安全技术显得越来越重要。入侵检测是继防火墙技术之后用来解决网络安全问题的一门重要技术。该技术用来确定是否存在试图破坏系统网络资源的完整性、保密性和可用性的行为。这些行为被称之为入侵。随着入侵行为的不断演变，入侵正朝着大规模、协同化方向发展。面对这些日趋复杂的网络入侵行为，采用什么方法对入侵过程进行描述以便更为直观地研究入侵过程所体现出的行为特征已成为入侵检测技术所要研究的重要内容。显然，可以采用自然语言来描述入侵过程。该方法虽然直观，但存在语义不确切、不便于计算机处理等缺点。Tidwell提出利用攻击树来对大规模入侵建模，但攻击树及其描述语言均以攻击事件为主体元素，对系统状态变化描述能力有限[1，2]。随着系统的运行，系统从一个状态转换为另一个状态；不同的系统状态代表不同的含义，这些状态可能为正常状态，也可能为异常状态。但某一时刻，均存在某种确定的状态与系统相对应。而系统无论如何运行最终均将处于一种终止状态（正常结束或出现故障等），即系统的状态是有限的。系统状态的转换过程可以用确定的有限状态自动机（DeterministicFiniteAutomation，DFA）进行描述。这种自动机的图形描述（即状态转换图）使得入侵过程更为直观，能更为方便地研究入侵过程所体现出的行为特征。下面就采用自动机理论来研究入侵过程的形式化描述方法。

1有限状态自动机理论

有限状态自动机M是一种自动识别装置，它可以表示为一个五元组：

2入侵过程的形式化描述

入侵过程异常复杂导致入侵种类的多种多样，入侵过程所体现出的特征各不相同，采用统一的形式化模型进行描述显然存在一定的困难。下面采用有限状态自动机对一些典型的入侵过程进行描述，尝试找出它们的特征，以寻求对各种入侵过程进行形式化描述的方法。

下面采用有限状态自动机理论对SYN－Flooding攻击等一些典型的入侵过程进行形式化描述。

2．1SYN－Flooding攻击

Internet中TCP协议是一个面向连接的协议。当两个网络节点进行通信时，它们首先需要通过三次握手信号建立连接。设主机A欲访问服务器B的资源，则主机A首先要与服务器B建立连接，具体过程如图1所示。首先主机A先向服务器B发送带有SYN标志的连接请求。该数据包内含有主机A的初始序列号x；服务器B收到SYN包后，状态变为SYN.RCVD，并为该连接分配所需要的数据结构。然后服务器B向主机A发送带有SYN/ACK标志的确认包。其中含有服务器B的连接初始序列号y，显然确认序列号ACK为x+1，此时即处于所谓的半连接状态。主机A接收到SYN/ACK数据包后再向服务器B发送ACK数据包，此时ACK确认号为y+1；服务器B接收到该确认数据包后状态转为Established，至此，连接建立完毕。这样主机A建立了与服务器B的连接，然后它们就可以通过该条链路进行通信[4]。

上面为TCP协议正常建立连接的情况。但是，如果服务器B向主机A发送SYN/ACK数据包后长时间内得不到主机A的响应，则服务器B就要等待相当长一段时间；如果这样的半连接过多，则很可能消耗完服务器B用于建立连接的资源（如缓冲区）。一旦系统资源消耗尽，对服务器B的正常连接请求也将得不到响应，即发生了所谓的拒绝服务攻击（DenialofService，DoS）。这就是SYN－Flooding攻击的基本原理。

SYN－Flooding攻击的具体过程如下：攻击者Intruder伪造一个或多个不存在的主机C，然后向服务器B发送大量的连接请求。由于伪造的主机并不存在，对于每个连接请求服务器B因接收不到连接的确认信息而要等待一段时间，这样短时间内出现了大量处于半连接状态的连接请求，很快就耗尽了服务器B的相关系统资源，使得正常的连接请求得不到响应，导致发生拒绝服务攻击。下面采用有限状态自动机描述SYN－Floo－ding攻击过程。

2．2IP－Spoofing入侵过程

攻击者想要隐藏自己的真实身份或者试图利用信任主机的特权以实现对其他主机的攻击，此时攻击者往往要伪装成其他主机的IP地址。假设主机A为服务器B的信任主机，攻击者Intruder若想冒充主机A与服务器B进行通信，它需要盗用A的IP地址。具体过程[5]如下：

（1）攻击者通过DoS等攻击形式使主机A瘫痪，以免对攻击造成干扰。

（2）攻击者将源地址伪装成主机A，发送SYN请求包给服务器B要求建立连接。

（3）服务器B发送SYN－ACK数据包给主机A，此时主机A因处于瘫痪状态已不能接收服务器B的SYN－ACK数据包。

（4）攻击者根据服务器B的回应消息包对后续的TCP包序列号y进行预测。

（5）攻击者再次伪装成主机A用猜测的序列号向服务器B发送ACK数据包，以完成三次握手信号并建立连接。

分别表示Land攻击、SYN－Flooding攻击和DDoS攻击。通信函数表示为Communication(Res－host,Des－host,Syn－no,Ack－no)。其中Res－host、Des－host分别为源节点和目的节点地址，Syn－no、Ack－no分别为同步和应答序列号。通信及其他函数集具体定义如下：

2．3IP分片攻击

数据包在不同的网络上传输时，由于各种网络运行的协议可能有所差异，不同物理网络的最大传输单元MTU（即最大包长度）可能不同；这样当数据包从一个物理网络传输到另一个物理网络时，如果该网络的MTU不足以容纳完整的数据包，那么就需要利用数据包分解的方法来解决。这样大的数据包往往分解成许多小的数据包分别进行传输。攻击者常常利用这一技术将其攻击数据分散在各个数据包中，从而达到隐蔽其探测或攻击行为的目的[6]。

对于Teardrop等典型的IP分片攻击，其特征是IP包中的ip_off域为IP_MF，而且IP包经过计算，其长度域ip_len声明的长度与收到包的实际长度不同。这样被攻击者在组装IP包时，可能把几个分片的部分重叠起来，某些有害的参数可能被加了进去，从而引起系统状态的异常。

第7篇：入侵检测论文范文

关键词：大数据时代；人工智能；计算机网络技术；应用价值

21世纪以来，世界都已经进入大数据发展时代，人工智能的应用与居民生活息息相关。人工智能就是模仿人类的行为方式和思维模式进行工作处理，它比计算机技术更加具有实用价值。所以，为了迅速提高我国大数据时代人工智能在计算机网络技术中的应用，论文基于此展开详细分析探讨，深入研究人工智能在计算机网络技术中的应用价值。以下主要针对于人工智能计算机的基本内容展开简单分析与探讨：

一、人工智能计算机的概况

利用计算机技术来模仿人类的行为方式和思维模式就叫做人工智能。人工智能，技术的涵盖内容广泛，且创新性高、挑战力度大，它的发展与各学科知识包括信息与计算科学、语言学、数学、心理学等都有关联。人工智能的发展目标是通过计算机技术让本该由人工操作的危险或复杂的工作由人工智能机器代替,从而额实现节约劳动力、减少事故危害发生的情况，进而提高工作效率和工作质量。人工智能的发展形式多样。第一，人工智能可以帮助完善某些较为复杂的问题或是当前还无法解决的问题，若是发生由计算机运算都还无法获得正确模型的情况，此时就可利用人工智能来对该项问题进行有效解决，针对模糊的问题和内容，利用人工智能模式来不断提高网络使用质量。第二，人工智能可以将简单的东西或知识复杂化，得到人们想要的高级程序和数据，从而节约实现，提高工作效率。

二、大数据时代人工智能在计算机网络技术中的应用

（一）数据挖掘技术在计算机网络技术中的应用数据挖掘技术在近几年来越来越受到人们的重视，因为数据挖掘技术是大数据时展的关键技术。利用人工智能技术可研究外界不安全因素的入侵频率，并在网络安全运行的前提下结合网络存贮状态，将研究结果记录保存。之后的工作中，若计算机处于运行情况时发生安全问题，系统会立即给予警告提示，并及时拦截入侵对象。数据挖掘技术其实从根本上来看，就是由人工智能技术和大数据技术的综合发展而来，模仿人类处理数据信息的特征和方式，让计算机实现对数据的批量处理。此外，数据挖掘技术还可与各种传感器融合工作，从而实现技术功效的最大潜力，不断增强计算机系统的功效和实用价值。

（二）入侵检测技术在计算机网络技术中的应用现展迅速，网络科技已成为人们日常生活中至关重要的组成成分，给人们的生活工作带来极大便利，但是其中也潜存很多不稳定因素。所以，网络安全技术的发展是保证网络使用正常工作的重要前提。当前，已经有很多网络机制被运用到保护网络安全的工作中，但是在对网络安全管理时发现仍旧有很多不稳定因素的存在，尤其是现在网络技术的发展迅速，很多手机支付等网络支付方式中会存在支付密码泄露的情况。基于此，在网络计算机安全使用过程中起到良好作用的是入侵检测技术。该技术被使用时，可以对网络中潜存的安全隐患信息及时侦查处理，对其数据信息进行检测，最后将检测结果的分析报告反馈给用户，实现有效检测。入侵检测技术的不断发展和完善，让计算机网络的安全运行得到极大保障，在对计算机网络进行安全检测的条件下，防止网络受到外界环境的干扰。人工智能技术中还可结合人工神经系统高和专家系统网络，实现对实时变化信息的即时监控，切实保障计算机网络技术的安全发展。

（三）防火墙技术在计算机网络技术中的应用计算机的硬件与软件相结合才能让防火墙技术发挥功效，为计算机的安全运行构建一个完整的保护盔甲。防火墙技术的应用是针对整个计算机网络的使用安全，极大的降低了由于外界非法入侵带来的不稳定因素，让计算机的安全得到保障。尤其是在现在大数据时代的发展背景下，防火墙技术的优点更加明显，防止计算机被非法入侵是防火墙技术的最重要功效。当前，人们每天都会收到很多封垃圾邮件和短信，部分邮件和短信还携带有危害性质的病毒，一旦点开这些垃圾信息和短信就会造成病毒入侵，让计算机中原本的私人信息遭到泄露。因此，需要人工智能技术来帮助人们进行信息识别，扫描邮件中是否有不安全因素的存在，找出后还可立即进行排除，防止安全事故的发生。根据以上内容的分析得出，在当前的计算机网络系统应用过程中，人工智能技术已成为主导技术之一，它能够结合其他任何智能技术实现创新发展和进步，以促进计算机网络系统的安全使用，让计算机网络系统高效、安全的发展，这也让人们的生活、工作水平进一步提高。

第8篇：入侵检测论文范文

关键字 入侵检测；数据挖掘；异常检测；误用检测；分类算法；关联规则；序列规则；聚类算法

0 引言

随着网络技术的发展，现在越来越多的人通过丰富的网络资源学会各种攻击的手法，通过简单的操作就可以实施极具破坏力的攻击行为，如何有效的检测并阻止这些攻击行为的发生成了目前计算机行业普遍关注的一个问题。

用于加强网络安全的手段目前有很多，如加密，VPN ，防火墙等，但这些技术都是静态的，不能够很好的实施有效的防护。而入侵检测（Intrusion Detection）技术是一种动态的防护策略，它能够对网络安全实施监控、攻击与反攻击等动态保护，在一定程度上弥补了传统静态策略的不足。

1 入侵检测中数据挖掘技术的引入

1．1 入侵检测技术介绍

入侵检测技术是对（网络）系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性与可用性。

从检测数据目标的角度，我们可以把入侵检测系统分为基于主机、基于网络、基于内核和基于应用等多种类型。本文主要分析基于网络的入侵检测系统的构造。

根据数据分析方法（也就是检测方法）的不同，我们可以将入侵检测系统分为两类：

（1） 误用检测（Misuse Detection）。又称为基于特征的检测，它是根据已知的攻击行为建立一个特征库，然后去匹配已发生的动作，如果一致则表明它是一个入侵行为。它的优点是误报率低，但是由于攻击行为繁多，这个特征库会变得越来越大，并且它只能检测到已知的攻击行为。

（2） 异常检测（Anomaly Detection）。又称为基于行为的检测，它是建立一个正常的特征库，根据使用者的行为或资源使用状况来判断是否入侵。它的优点在于与系统相对无关，通用性较强，可能检测出以前从未出现过的攻击方法。但由于产生的正常轮廓不可能对整个系统的所有用户行为进行全面的描述，况且每个用户的行为是经常改变的，所以它的主要缺陷在于误检率很高。

将这两种分析方法结合起来，可以获得更好的性能。异常检测可以使系统检测新的、未知的攻击或其他情况；误用检测通过防止耐心的攻击者逐步改变行为模式使得异常检测器将攻击行为认为是合法的，从而保护异常检测的完整性。

入侵检测的数据源可以通过一些专用的抓包工具来获取，在Windows系统一下，一般采用Winpcap来抓获数据包，在Unix系统下，可以通过Tcpdump和Arpwatch来获取。在数据分析阶段将会用到我们这里重点要介绍的是数据挖掘技术，响应部分分为主动响应和被动响应。

1．2 数据挖掘技术

数据挖掘（Data Mining）技术是一个从大量的数据中提取人们感兴趣的模式的过程。挖掘的对象不仅是数据源、文件系统，也包括诸如Web资源等任何数据集合；同时数据挖掘的过程并不是一个直线型的过程，而是一个螺旋上升、循环往复的多步骤处理过程。

数据挖掘通过预测未来趋势及行为，做出预测性的、基于知识的决策。数据挖掘的目标是从数据库中发现隐含的、有意义的知识，按其功能可分为以下几类：

（1）关联分析

关联分析能寻找数据库中大量数据的相关联系，常用的2种技术为关联规则和序列模式。关联规则是发现一个事物与其他事物间的相互关联性或相互依赖性，可用于如分析客户在超市买牙刷的同时又买牙膏的可能性；序列模式分析将重点放在分析数据之间的前后因果关系，如买了电脑的顾客则会在3个月内买杀毒软件。

（2）聚类

输入的数据并无任何类型标记，聚类就是按一定的规则将数据划分为合理的集合，即将对象分组为多个类或簇，使得在同一个簇中的对象之间具有较高的相似度，而在不同簇中的对象差别很大。

（3）自动预测趋势和行为

数据挖掘自动在大型数据库中进行分类和预测，寻找预测性信息，自动地提出描述重要数据类的模型或预测未来的数据趋势。

（4）概念描述

对于数据库中庞杂的数据，人们期望以简洁的描述形式来描述汇集的数据集。概念描述就是对某类对象的内涵进行描述并概括出这类对象的有关特征。

（5）偏差检测

偏差包括很多潜在的知识，如分类中的反常实例、不满足规则的特例、观测结果与模型预测值的偏差、量值随时间的变化等。

数据挖掘技术是最新引入到入侵检测的技术。它的优越之处在于可以从大量的网络数据以及主机的日志数据中提取出人们需要的、事先未知的知识和规律。利用数据挖掘技术实现网络安全在国内外都属于一种新的尝试。目前，对数据挖掘算法的研究已比较成熟，而数据挖掘本身是一个通用的知识发现技术。在入侵检测领域，我们将入侵检测看作是一个数据的分析过程，对大量的安全数据应用特定的数据挖掘算法，以达到建立一个具有自适应性以及良好的扩展性能的入侵检测系统。目前，应用到入侵检测上的数据挖掘算法主要集中在关联、序列、分类和聚类这四个基本模型之上。

2．算法在入侵检测中的具体使用 2．1 基于误用的检测模型

误用检测中的基本思路是：

首先我们从网络或是主机上获取原始二进制的数据文件，再把这些数据进行处理，转换成ASCII码表示的数据分组形式。再经过预处理模块将这些网络数据表示成连接记录的形式，每个连接记录都是由选定的特征属性表示的，比如连接建立的时间，所使用的端口服务，连接结束的状态等等数据特征。再进行完上面的工作后，对上述的由特征属性组成的模式记录进行处理，总结出其中的统计特征，包括在一时间段内与目标主机相同的连接记录的次数、发生SYN错误的连接百分比、目标端口相同的连接所占的百分比等等一系列的统计特征。最后，我们就可以进行下面的检测分析工作，利用分类算法，比如RIPPER 、C4.5等建立分类模型。当然，在这其中，统计特征以及分类特征的选择和构建都是我们必须要反复总结的过程，最后才能根据各种不同的攻击方式或是不同的网络服务确定最终的分类数据。只有这样才能建立一个实用性较强、效果更好的分类模型。

·ID3、C4.5算法

ID3算法是一种基本的决策树生成算法，该算法不包括规则剪除部分。C4.5算法作为ID3算法的后继版本，就加入了规则剪除部分，使用训练样本来估计每个规则的准确率。也是分类模型的主要运用算法。

对于已知的攻击类型的检测，分类模型具有较高的检准率，但是对于未知的、新的攻击，分类模型效果就不是很理想。这个是由误用检测本身的特点所决定的，误用检测误报率低，但是它在对已知攻击模式特征属性构建和选取上往往要花费大量的精力，这也是分类检测的难点所在。所以这种检测模型只能有限的检测已知的攻击，而要更好的检测未知的攻击，就要使用到异常检测技术，但是，异常检测却比误用检测负责的多，因为对于系统正常使用模式的构建本身就是一件非常复杂的事情。

2.2 基于异常的入侵模型

异常检测的主要工作就是通过构造正常活动集合，然后利用得到的一组观察数值的偏离程度来判断用户行为的变化，以此来觉得是否属于入侵的一种检测技术。异常检测的优点在于它具有检测未知攻击模式的能力，不论攻击者采用什么样的攻击策略，异常检测模型依然可以通过检测它与已知模式集合之间的差异来判断用户的行为是否异常。

在异常检测中主要用到的两个算法就是模式比较和聚类算法

(1) 模式比较

在模式比较算法中首先通过关联规则和序列规则建立正常的行为模式，然后通过模式比较算法来区别正常行为和入侵行为。

·关联规则

关联规则挖掘是数据挖掘最为广泛应用的技术之一，也是最早用于入侵检测的技术。关联规则分析是发现所有支持度和可信度均超过规定域值的方法，它主要经过两步过程：首先识别所有支持度不低于用户规定的最小支持度域值的项目集，即频繁项目集；然后从得到的频繁项目集中构造出可信度不低于用户规定的最小可信度域值的规则。现在已有多种关联规则算法如Apriori算法等用于入侵检测。

·序列分析

序列规则和关联规则相似，其目的也是为了挖掘出数据之间的联系，它们的不同之处在于前者加入了时间的概念。序列模式挖掘有几个重要的参数，如时间序列的持续时间，事件重叠窗口和被发现的模式中时间之间的时间间隔。还可以在要挖掘的序列模式上指定约束，方法是提供“模式模板“，其形式可以是系列片段（Serial Episode），并行片段（Parallel Episode），或正则表达式。序列分析使用于发现分布式攻击和插入噪声的攻击。由于各种攻击方法的规模的扩大和时间持久，序列分析变得越来越重要。

(2)聚类算法

聚类分析的基本思想主要源于入侵与正常模式上的不同及正常行为数目应远大于入侵行为数目的条件，因此能够将数据集划分为不同的类别，由此分辨出正常和异常行为来检测入侵。数据挖掘中常用的聚类算法有K-means、模糊聚类、遗传聚类等。基于聚类的入侵检测是一种无监督的异常检测算法，通过对未标识数据进行训练来检测入侵。该方法不需要手工或其他的分类，也不需要进行训练。因此呢功能发现新型的和未知的入侵类型。

3.结论

入侵检测中数据挖掘技术方面的研究已经有很多，发表的论文也已经有好多，但是应用难点在于如何根据具体应用的要求，从用于安全的先验知识出发，提取出可以有效反映系统特性的属性，并应用合适的算法进行数据挖掘。另一技术难点在于如何将数据挖掘结果自动应用到实际IDS中。

入侵检测采用的技术有多种类型，其中基于数据挖掘技术的入侵检测技术成为当前入侵检测技术发展的一个热点，但数据挖掘还处于发展时期，因此有必要对它进行更深入的研究。

参考文献

[1] 张银奎，廖丽，宋俊等．数据挖掘原理[M]．北京：机械工业出版社，2003 : 93-105

[2] 戴英侠，连一峰，王航等．系统安全与入侵检测[M]．北京：清华大学出版社，2002 : 99-137

[3] 许卓群．数据结构[M]．北京：中国广播电视大学出版社，2001 : 260- 272．

[4] 刘莘，张永平，万艳丽．决策树算法在入侵检测中的应用分析及改进[J]．计算机工程与设计．2006

[5] 张翰帆．基于数据挖掘的入侵检测系统．南京工业大学，2004．

第9篇：入侵检测论文范文

论文摘要：档案信息化进程的加快为档案事业带来了无限发展的空间，同时，档案信息安全问题也遇到了前所未有的挑战。本文对几种常用的欺骗技术在档案信息化工作中的应用进行了分析，对构建档案信息网络安全系统有一定的参考作用。

网络欺骗就是使网络入侵者相信档案信息系统存在有价值的、可利用的安全弱点，并具有一些值得攻击窃取的资源，并将入侵者引向这些错误的实际上是伪造的或不重要的资源。它能够显著地增加网络入侵者的工作量、人侵难度以及不确定性，从而使网络入侵者不知道其进攻是否奏效或成功。它允许防护者跟踪网络入侵者的行为，在网络入侵者之前修补系统可能存在的安全漏洞。理论上讲，每个有价值的网络系统都存在安全弱点，而且这些弱点都可能被网络人侵者所利用。网络欺骗的主要作用是：影响网络入侵者使之遵照用户的意志、迅速检测到网络入侵者的进攻并获知进攻技术和意图、消耗网络入侵者的资源。下面将分析网络欺骗的主要技术。

一、蜜罐技术和蜜网技术

1．蜜罐技术。网络欺骗一般通过隐藏和安插错误信息等技术手段实现，前者包括隐藏服务、多路径和维护安全状态信息机密件，后者包括重定向路由、伪造假信息和设置圈套等。综合这些技术方法，最早采用的网络欺骗是蜜罐技术，它将少量的有吸引力的目标放置在网络入侵者很容易发现的地方，以诱使入侵者上当。这种技术目的是寻找一种有效的方法来影响网络入侵者，使得网络入侵者将攻击力集中到蜜罐技术而不是其他真正有价值的正常系统和资源中。蜜罐技术还可以做到一旦入侵企图被检测到时，迅速地将其重定向。

尽管蜜罐技术可以迅速重定向，但对高级的网络入侵行为，该技术就力不从心了。因此，分布式蜜罐技术便应运而生，它将欺骗散布在网络的正常系统和资源中，利用闲置的服务端口来充当欺骗通道，从而增大了网络入侵者遭遇欺骗的可能性。分布式蜜罐技术有两个直接的效果，首先是将欺骗分布到更广范围的lp地址和端口空间中，其次是增大了欺骗在整个网络中的比例，使得欺骗比安全弱点被网络入侵者发现的可能性增大。

分布式蜜罐技术也不是十全十美的，它的局限性体现在三个方面：一是它对整个空间搜索的网络扫描无效；二是只提供了质量较低的欺骗；三是只相对使整个搜索空间的安全弱点减少。而且，这种技术的一个更为严重的缺陷是它只对远程扫描有效。如果入侵已经部分进入到档案信息网络系统中，真正的网络服务对网络入侵者已经透明，那么这种欺骗将失去作用。

蜜罐技术收集的资料可能是少量的，但往往都具有很高的价值，它免除了在大量的无关信息中寻找有价值信息的繁杂度，这在研究网络安全时是一大优势。现在互联网应用的发展速度很快，用户每时每刻所面对的都是海量的垃圾信息。如何在大量的信息和资料中找到所需要的部分，越来越成为人们关注的问题。蜜罐技术的一个最大优点，就是能使用户简单快速地收集到最关键的信息，并对问题进行最直接的分析和理解。

许多安全工具在应用时往往会受到网络带宽和存储容量的限制。丑志服务器也很难收集所有的系统日志，而会流失一些有用的日志记录。蜜罐技术则没有这个问题，因为它仅仅去截取与陷阱网络和系统有密切关系的行为，并且可以自由设置检测和记录对象，所以更为灵活和易用。

但是蜜罐技术的一个缺点是消息收集点不能太多。如果蜜罐技术设置了一个很大的系统漏洞，但如果没有黑客进行攻击，蜜罐技术一点价值都没有了。另外，蜜罐技术也无法得知任何未授权的行为。再有，蜜罐技术也可能为用户招致风险，可能被高明的黑客作为另外——次攻击的平台。所以在档案系统网络管理工作中合理设定和利用蜜罐技术也是至关重要的。

2．蜜网技术。蜜网技术是一个故意设计的存在缺陷的系统，可以用来对档案信息网络入侵者的行为进行诱骗，以保护档案信息的安全。传统的蜜罐技术用来模拟系统一些常见漏洞，而蜜网技术则有所不同，它是一个学习的工具，是一个网络系统，并非是一台单一主机，这一网络系统隐藏在防火墙的后面，所有进出的资料都受到监控、捕获及控制。这些被捕获的资料用于研究分析档案网络入侵者所使用的工具、方法及动机。在蜜网技术中，一般都安装使用了各种不同的操作系统，如linux和windows nt等。这样的网络环境看上去更加真实可怕，不同的系统平台运行着不同的服务，如linux运行dns服务，windows nt上运行webserver，而solaris运行ftp server,用户可以学习不同的工具以及不同的安全策略。在蜜网技术中所有的系统都是标准的配置，上面运行的都是完整的操作系统及应用程序．并不去刻意地模仿某种环境或故意使系统不安全。蜜网技术是一个用来研究如何入侵系统的工具，是一个设计合理的实验网络系统。蜜网技术第一个组成部分是防火墙，它记录了所有与本地主机的联接并且提供nat服务和dos保护、入侵侦测系统(ids)。ids和防火墙有时会放置在同一个位置，用来记录网络上的流量且寻找攻击和入侵的线索。第二个组成部分是远程日志主机，所有的入侵指令能够被监控并且传送到通常设定成远程的系统日志。这两个部分为档案系统安全的防护和治理都起着不可忽视的作用。

蜜网技术是一个很有价值的研究、学习和教育工具，借着这个工具，使人们能更好地理解入侵者的攻击方式，以便准确及时地检测到入侵行为。分析从蜜网技术收集的信息，可以监视并预测攻击发生和发展的趋势，从而可以早做预防，避免更大的损失。

二、空间欺骗技术

空问欺骗技术是通过增加搜索空间来显著增加档案系统网络入侵者的工作量，从而达到安全防护的目的。该技术运用的前提是计算机系统可以在一块网卡上实现具有众多ip地址，每个lp地址都具有自己的mac地址。这项技术可用于建立填充一大段地址空间的欺骗，且花费极低。这样许许多多不同的欺骗，就可以在一台计算机上实现。当网络入侵者的扫描器访问到网络系统的外部路由器并探测到这一欺骗服务时，还可将扫描器所有的网络流量重定向到欺骗上，使得接下来的远程访问变成这个欺骗的继续。当然，采用这种欺骗时，网络流量和服务的切换必须严格保密，因为一旦暴露就将招致入侵，从而导致入侵者很容易将任一个已知有效的服务和这种用于测试网络入侵者的扫描探测及其响应的欺骗区分开来。

三、信息迷惑技术

1　．网络信息迷惑技术：网络动态配置和网络流量仿真。产生仿真流量的目的是使流量分析不能检测到欺骗的存在。在欺骗系统中产生仿真流量有两种方法。一种方法是采用实时方式或重现方式复制真正的网络流量，这使得欺骗系统与真实系统十分相似，因为所有的访问链接都被复制。第二种方法是从远程产生伪造流量，使网络入侵者可以发现和利用。面对网络入侵技术的不断提高，一种网络欺骗技术肯定不能做到总是成功，必须不断地提高欺骗质量，才能使网络入侵者难以将合法服务和欺骗服务进行区分。

真实的档案信息网络是随时间而改变的，是不断地发生着信息接收和传递的，如果欺骗是静态的，那么在入侵者长期监视的情况下就会导致欺骗无效。因此，需要动态配置欺骗网络以模拟正常的网络行为，使欺骗网络也和真实网络一样随时间而改变。为使之有效，欺骗特性也应该尽可能地反映出真实系统的特性。例如，计算机在下班之后关机，那么欺骗计算机也应该同时关机。其他如周末等特殊时刻也必须考虑，否则人侵者将很可能发现被欺骗。