基于网络的入侵检测篇1
abstract:networksecurityisthehottopicsdedicatedtoanalysisandresearchofthenetworkexperts.inthispaper,fromtheconcept,methodandclassificationofnetworkintrusiondetection,thecurrentavailableintrusiondetectionsystemsandrelatedtechnologiesareanalyzedandsummarized,shortcomingsoftheintrusiondetectionsystemarepointedout,andfinallyitsdirectionofdevelopmentisdiscussed.
关键词:网络安全;入侵检测;入侵检测技术;入侵检测系统
Keywords:networksecurity;intrusiondetection;intrusiondetectiontechnology;intrusiondetectionsystem
中图分类号:tp39文献标识码:a文章编号:1006-4311(2012)20-0215-02
0引言
人们的生活方式、工作方式以及学习方式随着计算机网络技术的快速发展得到了极大地改变。近年来网络攻击行为越来越严重,安全问题成之为最热门话题之一,随后计算机网络系统中存在的硬件存储的重要信息被大范围应用,计算机系统的网络安全问题也显得越来越紧迫。入侵检测系统(intrusionDetectionSystem,iDS)就应运而生。网络入侵检测技术,是对网络或计算机系统中某些关键点的信息展开收集和分析,从期中检测到网络或系统可能存在的各式各样的不合法攻击、破坏、误操作等反安全策略的行为或痕迹,并达到有效的防范。因此对于网络入侵检测系统,其研究显的尤为重要。
1网络入侵检测
随着计算机网络技术的不断发展,单独依靠主机审计信息进行其中,入侵检测不容易得到适应网络安全的需要。iDS被认为是防火墙之后的第二道安全闸门。人们提出了以网络入侵检测系统(niDS)为基础的体系结构,这是一种根据网络流量、网络数据包和协议来分析检测入侵的检测系统。在入侵检测系统的发展过程中经历了三个阶段:经历集中式、层次式和集成式,这三个阶段的入侵检测系统的基本模型,对入侵检测模型、管理式入侵检测模型、层次化入侵检测模型是分别通用的,下面我们以入侵检测模型为例来进行解说,如图1所示。
2入侵检测技术概述
在现代计算机网络入侵检测的原理就是:从一组数据中要检测出符合有一定特点的数据。攻击者进行攻击的时候会留下一些可以查询的痕迹。这些痕迹和计算机系统的正常运行时候能和产生的数据混在一起。检测的任务就是从这个一系列的数据中找出是否有入侵的痕迹。如果有入侵的痕迹系统就报警有入侵事件的发生。根据这一原理,计算机网络入侵检测系统有两个重要部分:获取数据和检测技术。很多计算机网络入侵检测系统可能的分类就是依据这两部分来划分而来的。计算机网络入侵检测系统的大量数据是系统和计算机网络运行时候产生的数据流。计算机网络入侵检测系统的主要任务是研究哪些数据最有可能反映入侵事件的发生、哪些检测技术最适应于这些数据。根据计算机网络入侵检测的发生时间前后可将其分为两种:实时入侵检测和事后入侵检测。
网络入侵检测技术是通过计算机网络、计算机系统中的几个着重点采集信息对其进行系统分析,从中发现有没有违反网络安全策略的做法和受遭网络攻击的对象,计算机网络或系统中能分析并做出相关的响应。我们可以把入侵检测技术作为一种发现内外部攻击的合法用户滥用特权的方法。在网络连接过程中能开展实时入侵检测和事后入侵检测,系统也根据用户存储的历史行为,计算机网络中的专家知识库及经网络模型能对用户的网络操作进行评析。就入侵迹象立即收集相关证据和相关数据恢复工作。
3攻击检测技术
3.1基于专家系统的攻击检测技术是这样一种网络专家系统,它是根据网络安全专家对不可靠的行为的分析经验所形成一套推理规则。这样所实现的一个基于规则的专家系统是一个知识工程问题,由专家系统自动对出现到的入侵行为进行分析、处理。这个问题功能应可以在其经验不断积累的基础上并其自学习能力进行规则扩充和修正。同时,要阐明的是基于规则的专家系统或推理系统也存在其不全面性。这类系统的推理规则,则主要是来自我们不了解的安全漏洞。当然这样的能力得在网络专家的指导、参与下才能达到目标,否则可能同样会导致许多的不正确报道的现象。
基于网络的入侵检测篇2
【关键词】无线网络入侵检测系统概念设计Libpcap
在网络尚未如今天这般普及时,网络环境较为安全,通常简单的网络系统保护只需加密、认证等措施即可保障网络的安全性。不过,伴随网络系统复杂性的逐步加大,以及各种网络入侵技术的增多与成熟,网络系统的安全性受到了更大的威胁,尤其是还未成熟的无线网络更是被列为主要的入侵对象。针对这种情况,基于无线网络的入侵检测系统、技术成为广大网络技术员探究的重要方向。
1入侵检测系统的概念
iDS,即为入侵检测系统,一种网络安全技术,是对防火墙的合理补充,其能主动保护系统免受恶性攻击,以及帮助系统对付网络攻击。因此,人们将入侵检测称为第二道安全闸门,与防火墙有机结合共同维护网络系统的安全。入侵检测系统iDS从计算机网络系统中的部分关键点上进行信息收集,在不影响网络性能的情况下进行网络监测、信息分析、安全审计、攻击识别等,充分扩展了系统管理员的安全管理能力。
2基于无线网络的入侵检测系统设计
2.1入侵检测系统的模块构成
本文所探究的无线网络入侵检测系统设计的主要依据是无线网络自身传送数据的特征,结合协议分析树的理论,金玉无线网络的入侵检测系统的模块构成主要包括3大块,具体如图1所示。(1)包捕获模块,其主要负责数据包捕获的任务;(2)协议处理模块,其主要功能是完成协议解码、协议分析;(3)日志记录模块,其具备统计数据包与数据包协议、操作日志等功能。
2.2包捕获模块的设计
直接式、广播式是无线网卡的缺省工作模式,其揭示了无线网卡的接收工作特点,即只接收传送给自己的帧、广播帧。无线网的这种工作模式存在局限性,不利于接收所有流过网卡的帧,为此在基于无线网的入侵检测系统设计中需要将无线网卡设置成混杂模式来弥补不足。而在该系统的包捕获模块设计中,本文将以伯克利实验室所写的Libpcap为平台,运用libpcap库文件来完成包捕获模块的设计,其可实现对网卡数据包的直接获取,从而减少开发人员再去了解与平台无关的数据链路层等细节。其具体的设计程序包括:
(1)pcap_lookupdev:选择数据包捕获设备。
(2)pcap_lookupnet:获取网络地址和子网掩码。
(3)pcap_open_live:打开设备。
(4)pcap_compile:编译数据包过滤规则。
(5)pcap_setfilter:设置数据包过滤规则。
(6)pcap_loop:捕捉数据包诬分发数据包到指定的回调函数系统,从Libpcap接收到的数据结构:
typedefstruct_packet{
u_charpkt_data[1514]
}SnFpaCKet。
在系统包捕获模块的数据结构中,为提高系统的工作效率,我们可以调用libpcap库中的信息过滤机制来删除用户不需要的数据包。
2.3协议处理模块的设计
在基于无线网络的入侵检测系统当中,协议处理模块是系统的关键部分,由协议解码、协议分析两个子模块构成。其中,协议解码模块主要负责将已捕获数据包实行解码、预处理的操作,而后由协议分析模块对其提交的数据进行比较分析,分析过程需采用攻击模式中的匹配算法、特征库进行对比,以此来判断是否存在入侵现象。在实现中,协议分析模块依据解码所了解的帧类型来选择处理模块,系统中802.11b的maC帧主要分为管理帧、控制帧、数据帧3种类型。协议分析模块在进行操作时,各个模块需要经历初始化的读入检测函数及依据权重位的大小来组装成检测函数链表,先进行包格式的检查,而后进行相关的攻击检测。同时,在协议处理模块的设计中还添加了响应报警模块,一旦系统对入侵行为确认后该模块就会采取相应的响应。
2.4日志记录模块的设计
系统中的日志记录模块应用一个输出插件来实现,其需要满足操作日志与统计的作用,从而为网络分析提供依据。与其他模块的插件不同,日志记录模块中的输出插件拥有不止一个入口,从而实现不同模块在不同阶段应用到输出插件。记录日志的形式多样,如web页、数据库、记事本等,可根据应用单位的系统环境来选择,为防止非法访问,在日志文件传送与访问过程中需进行身份认证。同时,为了满足高速网络环境中的工作效率,在日志记录模块中可设计只记录关键信息以减少存储量,进而避免因数据存储量大而降低系统的记录效率。
3总结
鉴于无线网络还是一种新兴的通信技术,相关方面的保护措施还在完善,所以为尽可能提高无线网络的安全性,本文结合已有的协议分析入侵检测技术进行基于无线网络的入侵检测系统设计研究。当然,研究与开发能够兼容其他智能化的入侵检测方法并应用在无线网络中实现协同工作,这是无线网络入侵检测需进一步引起相关人士重视的主要问题。
参考文献
[1]崔贯勋,李梁,王柯柯,倪伟,苟光磊.基于改进apriori算法的入侵检测系统研究[J].计算机工程与科学,2011,33(4).
[2]赵建华,刘宁.基于agent的无线传感器网络入侵检测系统[J].计算机技术与发展,2011,21(7).
基于网络的入侵检测篇3
关键词:Snort;ipv6;入侵检测系统
中图分类号:tp393.08文献标识码:a文章编号:1007-9599(2010)13-0000-02
Snort-basedipv6networkintrusionDetectionSystemDesignandimplementation
XiaoLihua1,FuYu2
(1.Hanzhong96501troops,Hanzhong723000,China;2.Beijing96602troops,Beijing102401,China)
abstract:BasedonSnortarchitecture,designedasystemforipv6intrusiondetectionsystem,thesystembelongstothefunctionalmodulesareanalyzed,andpresentedadetaileddesign.
Keywords:Snort;ipv6;intrusiondetectionsystem
一、引言
随着ipv6的部署和网络技术的发展,一些基于新型攻击方式的网络入侵的事件也开始出现,因此,部署有效的网络安全技术,开发针对ipv6网络的入侵检测系统就变得非常重要。由于ipv6在ipv4的基础上做出了比较大的调整和改善,它在协议特性、地址格式和报文结构等方面均有比较大的变化,这就需要在入侵检测系统的开发上进行详细的设计。本文拟实现基于snort的ipv6网络入侵检测系统。
二、Snort系统概述
Snort入侵检测系统是一个模块化设计的应用最为广泛的一个入侵检测产品,对捕获的数据包进行分析,匹配入侵行为的特征。一旦发现入侵的迹象,便会触发预警或记录。其功能涵盖了内容检索、协议分析、侦测缓冲溢出、隐秘端口扫描、内容匹配,等多个方面的检测,因此适用于复杂的网络环境。
三、入侵检测系统总体设计
(一)系统总体结构
本文所设计的入侵检测系统遵循了Snort系统的模块化思想,以Snort系统的主体结构作为模块的架构,并在原有基础上为模块增加了ipv6的协议支持。系统的整体结构包含以下几个部分,如图所示:
图中,数据包捕获模块的功能是提供数据信息,抓取ipv4/ipv6数据包;双协议栈解析模块的功能是对数据包捕获模块抓取的数据包进行详细的协议分析,以搜索入侵检测行为;数据包预处理模块的功能是对数据包进行数据包重组、tCp流重组等处理,提供完整的ip数据包给检测引擎处理模块;规则解析模块的功能是维护检测规则库;检测引擎处理模块的功能是对网络入侵攻击事件进行实时检测。
(二)系统工作流程
由于本系统要检测的是基于ipV6的网络入侵,因此采用双协议栈技术来使得ipv6节点与ipv4节点兼容。下图所示为双协议栈的结构,ipv6和ipv4两者都以相同的平台进行承载。
在双协议栈的平台上,将支持ipv6协议的内容引入Snort系统原有结构,检测系统首先进行各个模块的初始化;然后从网络上捕获原始数据包,这些数据包处理后送到协议解码模块进行解码,然后送往预处理模块对数据包进行规范化处理。之后,由检测引擎处理模块对数据包进行规则匹配检测,判断入侵行为的存在。
四、入侵检测系统详细设计
(一)数据包捕获模块的设计
Snort系统为实现数据包的捕获,引入了Libpcap库函数,从系统的数据链路层快速捕获数据包。随着网络技术的持续发展,当数据包流量较大时,Libpcap库函数也会出现难以对高速的网络流量进行及时有效的处理的情况,这会导致大量的数据包在数据包流量较大时被丢弃。针对这种情况,在应用Libpcap实现抓包的基础上,ipv6入侵检测系统还引入了其他技术,包括内存映射技术、napi技术来实现数据包捕获的效率的提升。
(二)协议解析模块的设计
结合网络协议的高度规则性,在数据包的报头的固定位置进行取值,结合提取数值的属性来决定下一步的动作。由于摒弃了简单的模式匹配,入侵检测的效率明显提高了,入侵检测的应用范围也得到了扩展,同时提升了准确率。具体实现方法是:将ipv6解析部分嵌入到Snort系统统原有的ipv4解析模块中,实现ipv4/ipv6双协议解析功能。考虑到原始数据包的网络协议格式是多种多样的,协议解析模块采用协议分析技术,以协议层次自下而上的顺序进行解码。协议层次包括:数据链路层、网络层、传输层及其上层。
(三)数据包预处理模块的设计
数据包预处理模块的功能是对数据包进行前期的处理,以便于下一步骤的检测模块处理。在Snort原有预处理器基础上,为了能够支持ipv6协议的入侵检测,还需引入ipv6重组预处理器以及端口扫描预处理器。ipv6分片重组预处理器会在系统内存里开辟缓冲区以将先期到达的分片包存存储其中,只有所有的数据分片全部到达,才会开始对分片进行重组,并将重组之后的分片数据重新组装为一个ipv6数据包,传输至检测引擎处理模块进行下一步的操作。ipv6端口扫描预处理器是对ipv6端口扫描进行探测和发现。这是由于对一个攻击者来说,攻击的前奏是端口扫描。
(四)规则解析模块的设计
由于基于SnoRt的ipv6入侵检测系统是基于特征匹配技术而实现的,入侵的特征在系统中是以规则的形式体现的,因此,网络中的攻击类型就以一条规则来表示。如果检测到有数据包和规则库中的规则匹配,就可以判断有入侵发生。具体的做法是,采用Snort系统链表结构,并在其基础上增加支持ipv6技术的规则链表,包括ipv6、iCmpv6等。这样的模式为系统带来了更好的组织方式和比较优化的结构。由于基于Snort的入侵检测系统应用十分广泛,ipv4的检测规则也为数众多,因此基于ipv6入侵检测也需要对相关的检测规则进行编写,并存入系统规则库中。
(五)检测引擎处理模块的设计
检测引擎处理模块结合具体的入侵规则对ipv4/ipv6入侵事件进行检测。通过将系统内部的入侵特征库与预处理模块提供的数据包相匹配,来判定是否有入侵攻击行为发生。具体的工作流程为:将规则树与解码后的数据报文进行匹配的,假如探测到条与规则匹配的报文,则判定为一个攻击,假如没有找到匹配的规则,就表示这是一个安全的报文。此模块以Snort系统模式匹配算法为基础,用portgroup技术来行规则的匹配。
(六)告警输出模块的设计
在对数据包进行检测之后,需要记录和显示检测的结果。系统的响应模块根据管理员的具体配置能够进行日志记录、发送入侵通知邮件、记录入侵记录、对阻断入侵等操作。基于Snort的ipv6入侵检测系统根据网络安全实际需求对改造了原有的快速报警模块,使之支持ipv6信息的输出,并使用到输出插件进行数据包协议解析。
五、结束语
本文在对Snort系统进行简单分析的基础上,对其工作原理和系统结构进行了梳理。并基于Snort系统,结合网络入侵的安全防护需求,设计了一个针对ipv6体系的入侵检测系统,对系统总体结构进行了详细设计,并介绍了系统主体流程,对系统所属的各功能模块进行了分析,提出了详细的设计方案。
参考文献:
[1]褚玲瑜,吴学智,齐文娟.ipv6的安全问题探讨[J].微计算机信息,2006,22,1:10-12
[2]张岳公,李大兴.ipv6下的网络攻击和入侵分析[J].计算机科学,2006,33,2:100-102
[3]崔丽丽.互联网协议ipv6技术概述及其在中国市场的发展前景[J].怀化学院学报,2006,25,8:92-94
基于网络的入侵检测篇4
关键词linux;网络入侵;防御;系统设计
中图分类号tp393文献标识码a文章编号1674-6708(2011)34-0178-02
0引言
随着Linux操作系统与网络技术的迅猛发展,基于Linux操作系统构建的小型网络安全形势也日趋严峻和复杂化,各种计算机安全事件的数量正在不断增长。面对小型网络的安全防御问题,如何构建安全的网络入侵检测防御系统,成为目前计算机网络面临的首要问题。由于网络入侵者采用的攻击技术与攻击手段不断地变化,功能更为强大,更具针对性和欺骗性,构建高效的入侵检测防御系统是保护计算机网络安全的直接解决途径。目前,在Linux环境下的主流入侵防御技术是构建特征入侵的防御系统。特征入侵,就是网络或系统中存在违反安全策略的行为和攻击行为。入侵检测防御系统,就是采用主动的入侵检测技术检测系统中的这些违反安全策略行为和攻击行为的系统。作为一种重要的安全防护工具,入侵检测防御系统的作用已经超过了防火墙的概念。本文通过分析常见的网络攻击方式,对Linux操作系统下对网络入侵检测防御系统的设计原理和设计实现进行了探讨。
1入侵检测防御系统
入侵检测防御系统是为了检测黑客通过病毒等手段有意攻击计算机网络和计算机系统而构建的检测防御系统。入侵检测防御系统应具有捕获符合指定条件的网络数据包、数据预处理、入侵分析以及告警、简单防御攻击行为、诱骗攻击者、获取对方攻击意图、获取攻击者的简单资料等信息的能力。
2常见的网络攻击方式
如果想要避免Linux网络遭受黑客的攻击,就必须对黑客的攻击方法、攻击原理以及攻击过程有深入详细的了解。这样才能设计出有效的主动检测防御系统。在Linux网络系统中,常被攻击的方式主要有Synflood攻击、pingFlood攻击、Smurf攻击、teardrop攻击、Land攻击、iCmp扫描/tCp扫描/UDp扫描等等。
2.1Synflood攻击
Synflood攻击属于DoS攻击的一种,是最基本的入侵攻击手段之一,也是最难对付的入侵攻击手段。具体表现方式是在计算机进行网络通信时,服务器接到用户端的SYn包后,回应用户端一个SYn/aCK包,然后等待用户端的aCK回应包进行确认时,用户端不发送aCK包而导致服务器一直等待,致使服务器一直等待对应用户端回应而无法响应其他机器的连接请求时,就可认定为Synflood攻击。
2.2pingFlood攻击
pingFlood攻击的原理是由于操作系统等对传输文件包的长度有限制,如iCmp包的64KB规定,当发送者产生长度超过64Kb的文件包时,就会导致内存错误、tCp/ip堆栈崩溃的情况。目前,大多数系统对pingFlood攻击都有一定的抵抗能力。
2.3Smurf攻击
Smurf攻击的原理是将某数据包的回复地址设置成被攻击网络的地址,当网络中某台机器使用被攻击的网络地址发送一个被设置的数据包时,就会收到多个相应的数据包,Smurf攻击就是通过数据包阻塞被害网络的方式进行攻击,导致该网络的所有机器都对此数据包的请求都做出答复,最终导致网络的阻塞,甚至崩溃。
2.4teardrop攻击
teardrop攻击方式是采用病态的UDp数据包进行攻击。当操作系统收到病态的UDp数据包后,产生内存错误而导致系统崩溃。在识别teardrop攻击时,一般是通过检测UDp数据包的完整性和ip包i号是否为242来确认的。
2.5Land攻击
Land攻击中,一个特别打造的SYn包的源地址和目标地址都被设置成某个服务器的地址。当服务器接收自己发送的SYn/aCK消息时,就会创建一个空的连接,每个连接都将保留到超时,从而出现系统的崩溃现象。在检测时,对同一端口的大量tCp/SYn包,如果源地址和目标地址相同,就可认定为是Land攻击。
3入侵检测防御系统的设计原理
随着计算机网络技术的发展,依靠主机自我审计信息的检测方式已经难以适应快速发展的网络安全需求,而基于规则匹配的入侵检测技术日益发展成熟。由于规则库的完善,相应的误报率也得到了有效控制。因此,可采用扩展性好、可移植佳、开源的Snort作为系统检测模块,以二级链表方式组织规则库,将协议类型、源地址/端口分类合并形成规则头链表,再对可选规则分类,将同一协议类型、源/目的地址/端口的规则放在同一头链下,形成二链表。基于网络的入侵检测防御系统整体设计结构如下图所示。
3.1网络数据包捕获模块
网络数据包捕获模块的主要功能就是从以太网中捕获数据包,这个工作可以在操作系统的底层调用来实现,也可以使用相应的高层调用来实现。为提高效率,可以采用Lniux流行的BpF捕获机制实现。此机制性能优越,不需底层调用。
3.2网络数据分析模块
网络数据分析模块是本系统中一个十分重要的模块,它的设计结果关系到能否有效主动防御入侵,保证计算机网络安全的最终效果。只有能够完全的分析数据包类型,才能在此基础上进一步分析是否有入侵行为的发生。为保证分析结果的准确性,本系统设置了各种入侵行为特征库,通过预设模块调用。通过与捕获数据的对比分析,可以大大提高数据的分析速度与准确性,减少错报、漏报的几率。
3.3紧急处理、保护/响应、诱骗模块
在对网络数据包与特征库对比分析后,对捕获到的可疑行为进行紧急响应,积极调用与之相关的保护模块、诱骗系统。由于网络攻击的复杂性,不可能做到针对每一种攻击方式都设置相应处理措施,只能将攻击方式大致分类处理,并针对每一种分类,设计出相应的保护措施与诱骗措施,以期达到主动防御的效果。因此,本模块的设计也是整个检测防御系统的核心,稍有漏洞,就功亏一篑。在进行本模块的设计时,一定要做好相关文献资料的查阅工作,做到最大保护系统的安全,一旦保护模块失败,还可以通过诱骗系统暂时保护系统的安全。
3.4报警系统与系统日志、操作界面模块
由于网络技术的不断发展,攻击者的手段也在快速更新,仅仅依靠设计好的检测防御模块还不能彻底保证计算机网络的安全,还需要设置相应的报警机制,及时的提醒网络管理员,对可疑的攻击行为或防御失败的攻击行为尽快处理,以避免出现不必要损失。对于系统日志模块,是记录系统检测防护网络安全性能的实时记录,也是系统管理员寻找防御失败攻击行为解决措施的直接参考依据。做好系统日志模块的记录模块设计,可以为特征库的更新做好数据基础,为建立新的检测防御体系提供技术支持。
3.5存储模块
由于网络数据包很多,而且是稍纵即逝,如何建立动态的数据存储、将有用信息经检测分析系统的过滤后,及时存储起来,是本模块的主要设计要求。可参考的数据库为mYSQL,由于本系统采取模块化的设计思想,易于单独考虑数据模块的设计方法,以方便动态挂载/卸载,以及系统管理员的查看。
4结论
Linux操作系统是一个免费的操作系统,具有高稳定性、高可靠性、高安全性、源文件开放的特点;在近年中,颇受受到了广大计算机爱好者的青睐,各种基于Linux操作系统的专业应用程序也得到了开发应用。Linux作为一个多用户的操作系统,具有多任务处理、支持共享库、支持windows操作系统、虚拟内存、支持GUn软件、内置网络配置、非专有资源代码等优点。随着Linux应用的不断深入,Linux的用户也越来越多,构建Linux环境下的入侵检测防御系统具有重要的现实意义。
参考文献
[1][美]StrassbergKeithe.防火墙技术大全[m].李昂,等译.北京:机械工业出版社,2003.
[2]潘瑜.Linux网络系统安全的分析和探讨[J].计算机时代,2003(8):7-9.
基于网络的入侵检测篇5
【关键词】人工鱼群算法特征选择混沌机制入侵检测反馈机制
1引言
伴随着网络技术的发展,网络攻击也日趋呈现出方式多样、手法隐蔽等特点,传统的防火墙属于被动防御技术,已经不能满足网络用户的安全需求,上世纪80年代,anderson等人就已提出网络入侵检测的概念。网络入侵检测分为误用检测和异常检测两种类型,由于异常检测能够通过学习来发现新的攻击方式,属于主动防御技术,因此成为当前主要的研究方向。
网络入侵检测需要对入侵的数据包进行特征提取和分析。由于特征存在冗余性,因此需要在大量的特征中提取出最优的特征,才能降低特征的维数,提高检测效率。文献中研究了当前主流的特征选择算法,包括:顺序选择法、粗糙集方法、遗传算法、粒子群算法、蚁群算法和支持向量机(SVm)等。支持向量机因其泛化能力强,成为当前主要的网络检测算法,但其存在检测性能与参数相关度过高的弊端。
为改进该算法的弊端,本文提出一种改进的异常入侵检测方法,该方法采用wrapper特征选择模型,利用改进的人工鱼群算法进行入侵特征选择,改进的人工鱼群算法在原有aFa(artificialFishSwarmalgorithm)算法的基础上,引入混沌搜索,利用其遍历性、随机性、规律性等特点,提高了算法的全局收敛性。之后采用SVm分类器对选择的特征性能进行分类、判断,最后再对选择的特征进行更新,以找到最优特征组合。最后通过KDD99数据集对算法的性能进行验证,证明了本文算法的可靠性和准确性。
2异常入侵检测模型
本文设计的入侵检测模型结构框架如图1所示。首先采用wrapper特征选择模型,利用改进的人工鱼群算法(iaFa)进行入侵检测特征选择,之后,采用SVm分类器对选择的特征性能进行判断,因为特征来自训练集和测试集两个方面,因此还要先进行分类,然后再对选择的特征进行更新,以找到最优特征组合。
3改进人工鱼群算法及特征选择
3.1改进人工鱼群算法
算法借用混沌搜索的思想,混沌变量选用tent映射:
(1)
根据上述映射公式,依照如下步骤将人工鱼i在可行域中产生混沌点列:
步骤1:依照公式(2)将人工鱼状态Xi的所有维度Xik(k=1,…,n),映射到[0,1]这个区间内
(2)
其中ak表示第k维变量Xik的最小值,bk表示Xik的最大值。
步骤2:将tent映射公式(1)进行m次迭代后,产生一个序列。
步骤3:依照公式(3)将上一步骤中产生的混沌序列的状态值映射回原空间
(3)
步骤4:通过上述混沌序列,得到人工鱼Xi经过tent映射后产生的混沌点列:
(4)
步骤5:对人工鱼状态的优劣进行再次评估。
步骤6:如果状态比状态Xi优,那么就以作为混沌局部搜索的结果,否则令s=s+1,然后重新回到步骤2执行。
算法设计了一个公告牌,公告牌中记录了当前人工鱼群的最优状态,人工鱼按照某一概率向此状态移动,为了能保证改进后的算法能够有更高的精度和执行效率,我们设计让人工鱼按照pfb的概率执行随机行为,按概率1-pfb执行反馈行为,并且让pfb=θpfb,其中θ(0,1)。
3.2入侵特征选择
入侵特征选择按照如下步骤完成:
步骤1:收集网络中的状态信息,完成学习样本的组成及预处理。
步骤2:提取网络中的状态特征。
步骤3:人工鱼参数初始化,具体包括:最大步长max_Step、视野半径Visaul、反馈概率pfb、初始迭代次数passed_iterate、最大迭代次数max_iterate等;
步骤4:初始化完成后,随机生成n条人工鱼。
步骤5:计算得到所有人工鱼的适应度,并与当前公告牌中的值进行比较,若当前的值优于公告牌的值,则将当前的值记入公告牌。
步骤6:对人工鱼执行觅食、追尾等行为,然后评价其结果,若执行某行为以后,人工鱼的状态落后于当前状态,则该人工鱼不动,反之则人工鱼向前移动一步。
步骤7:根据式(1)~(3),执行混沌搜索,得到当前解域范围内的最好的人工鱼状态,并将最好人工鱼状态记入公告牌;
步骤8:根据式(5)更新反馈概率;
步骤9:如果达到了精度要求或者是到达了最大迭代次数,则算法结束,同时输出公告牌中的人工鱼状态,否则转到步骤(5)执行。
4支持向量机的网络入侵分类器
SVm的思想是在特征空间中建构最优分割超平面,使得学习器得到全局最优化,最优超平面用下式描述:
(8)
式中,w表示超平面法向量,超平面偏移向量用b描述。
若以上是一个线性问题,则处理起来比较简单,但如果是非线性分类问题,这要转化为二次优化问题进行处理,即:
(9)
相应约束条件为:
(10)
式中,,c表示惩罚参数。
引入对偶问题来解决这个超平面优化问题,加快分类速度,得到SVm决策函数如下:
(11)
式中,sign为符号函数,αi为Lagrange乘子。
由于RBF只需确定一个参数,即核函数宽度参数σ,有利于参数优化,因此,研究选择RBF核函数构造支持向量机。RBF核函数定义如下:
(12)
5仿真实验
5.1数据来源
在p4双核3.0GmHZCpU、2GRam,操作系统为Unix,VC语音环境下进行仿真实验。数据来自KDDCUp99异常检测数据集,数据集中一个连接记录共有41个特征,其中包含有9个离散属性和32个连续属性。为了使检测结果具有可比性,采用遗传算法、粒子群优化算法与改进的人工鱼群算法进行对比仿真实验,模型性能评价指标采用平均检测时间和平均检测速度来衡量。
5.2检测正确率对比
遗传算法、粒子群优化算法、改进人工鱼群算法在各个数据集上运行10次,计算它们结果的平均网络入侵检测正确率(%),结果如图2所示。
对比结果表明,采用改进人工鱼群算法对特征进行选择,可以获得比遗传算法、粒子群优化算法更优的特征子集,更加准确刻画了网络状态变化信息,有效消除了冗余和无用特征。
5.3入侵检测时间比较
几种算法的平均检测检测时间(秒)如表1所示。从表中可知,iaFa-SVm的检测速度最快,说明采用iaFa进行网络特征选择减少了特征数和计算时间,加快算法收敛速度,使算法更加满足网络入侵检测的实时性要求。
6结束语
为了解决异常入侵检测特征选择问题,本文提出一种改进人工鱼群算法的网络异常检测方法。仿真结果表明,相对于遗传算法、粒子群优化算法等传统选择方法,改进人工鱼群算法可以获得更优特征子集,提高了异常检测正确率和检测速度,在网络安全应用中有着广泛的应用前景。
参考文献
[1]王国伟,贾宗璞.基于防火墙的网络入侵检测研究与设计[J].计算机数字与工程,2005(5).
[2]邓九英,杜启亮,毛宗源等.基于粗糙集与支持向量机的分类算法[J].华南理工大学学报:自然科学版,2008.
[3]詹勇,声锡藏,王勇军.攻击特征自动提取技术综述[J].通信学报,2009,30(2):96-105.
[4]牟永敏,李美贵,粱琦.入侵检测系统中模式匹配算法的研究[J].电子学报,2006,34(12a):2488-2490.
[5]陈志贤,黄皓.应用扩张矩阵理论的攻击特征提取[J].计算机科学,2010,37(4):49-51.
[6]刘明珍.粒子群优化支持向量机的入侵检测算法[J].计算机工程与应用,2012,48(35)71.
[7]田静,王力军,洪涛.基于混沌搜索的蚁群优化算法[J].信息技术,2012(11).
作者简介
梁磊(1979-),男,山东省临清人。计算机软件与理论专业硕士。现为青岛酒店管理职业技术学院信息工程技术学院讲师。主要研究方向为计算机网络安全。
基于网络的入侵检测篇6
方法。通过仿真实验和性能对比验证了该方法的有效性,对战术数据链系统的安全设计有一定的指导意义。
【关键词】战术数据链无线入侵检测演化算法神经网络
atacticalDatalinkwirelessintrusionDetectionmethodBasedonanevolutionaryneuralnetwork
CHenmingde,YUXin
(SouthwestChinainstituteofelectronictechnology,Chengdu610036)
abstract:Basedontheprinciplesofevolutionaryalgorithmsandneuralnetworks,accordingtothetypicalintrusioneventinthetacticaldatalinkwirelessnetwork,anintrusiondetectionmethodbasedonanevolutionaryneuralnetworkwasproposed.theefficacyoftheproposedmethodwasvalidatedviaexperimentalresults,whichofferedguidancetothefuturesecuritydesignoftacticaldatalinksystems.
Keywords:tacticalDatalink,wirelessintrusionDetection,evolutionaryalgorithms,neuralnetworks
一、引言
现代信息化战场上,战术数据链在C4iSR系统中发挥的作用越来越重要。因此,战术数据链无线网络往往成为敌方首要攻击目标。目前,针对战术数据链的攻击已不仅仅局限于传统的物理层信号干扰,还包括网络干扰阻塞、信息窃取欺骗等多种无线入侵方式[1]。从国内外研究情况来看,针对战术数据链无线入侵的研究主要集中在物理层信号干扰上[2,3],还没有相关文献对战术数据链其他方面的无线入侵方式进行详细研究。本文针对战术数据链无线网络的典型无线入侵事件,设计了一种基于演化神经网络的检测算法,并通过仿真验证了该方法的有效性。
二、战术数据链无线入侵典型方式
针对战术数据链的无线入侵主要目的在于降低对方通过数据链获取信息优势的能力,其主要方式包括:压制干扰、网络干扰、信息窃取及信息欺骗四种。(1)压制干扰是指在对方数据链无线通信频率上人为地发送一定功率的干扰信号,以使对方无线链路接收机降低或丧失接收数据链信息的能力,属于传统的无线入侵方式。战术数据链受到压制干扰后,会导致无线链路中信息发送成功率突然下降,甚至链路完全中断。(2)网络干扰是指通过向对方数据链无线链路发送大量无效信息,以使对方数据链大量网络资源被非法占用。战术数据链在受到网络干扰后,网络业务流量会急剧增加,网络中出现信息拥塞,合法网络成员无法获取所需的网络资源来传输业务,网络性能严重下降。(3)信息窃取是指伪装对方数据链网络的合法成员,企图加入对方网络,并从网络中窃取收集战场态势、作战计划、指挥控制指令、作战平台实时位置、合法网络成员地址等高价值信息。战术数据链信息一旦被成功窃取,数据链网络中的作战平台部署、行动计划等关键信息可能会直接暴露给敌方,导致严重后果。(4)信息欺骗是指在基本掌握对方数据链网络的工作参数的情况下,向对方数据链网络发送错误信息,或者接收对方信息进行篡改后重新发送,这些信息一般包括:敌我双方态势、作战指令等作战关键信息。如果上述欺骗/篡改信息被按照正常处理,将导致执行方做出错误判断和决策。
三、战术数据链无线入侵检测方法
目前,常用的网络入侵检测方法主要分为误用检测和异常检测两大类[4,5]。误用检测通常采用基于规则的方法,根据已储备的有关已知攻击特点的信息进行入侵检测。这类方法在检测已知类型的入侵时具有较高的可靠性,即较低的Fp(falsepositive)率。但是无法检测未遇到过的类型的攻击,而且当出现新类型的攻击时,还必须手动更新已知攻击特点信息数据库。异常检测使用常规入侵模式进行建模,将任何偏离模型的事件归为异常事件。
战术数据链无线网络区别于一般的无线网络,针对战术数据链无线网络的无线入侵还没有已知的固定方式。因此,这里只能采用异常检测方法对战术数据链无线网络无线入侵事件进行检测识别。最近几年,包括规则学习[6]、隐马尔科夫模型[7]、支持向量机[8]以及神经网络[9-12]等在内的机器学习方法已被成功应用于网络入侵检测。由于神经网络具备从有限的、带噪声的以及不完整的信息中泛化出检测模型的能力,因此该模型不仅能够检测出已知攻击,而且还能够检测出从未遇到过的新类型的攻击[9]。所以神经网络被看作是一种很有潜力的入侵检测技术。
四、基于演化神经网络的战术数据链无线入侵检测算法
神经网络在应用时需要完成三个关键步骤,即特征选择、结构设计和权值调整[9]。通常来说,特征选择和结构设计是单独进行的。但是,输入特征子集和神经网络的结构是相关的,对神经网络的性能具有联合的贡献。若同时优化输入特征和网络结构,为了评估选择的特征和网络结构带来的联合优势,必须在找到近似最优的特征子集和网络结构以后学习连接权值。但是该方法会给适应度评估带来噪声,从而使优化效率降低,优化精度下降。因此,本文设计的演化神经网络能够同时利用演化算法优化输入特征、网络结构和连接权值。
具体来说,初始神经网络种群通过随机权值以及全连接生成。首先,评估所有初始或者被选出的个体的适应度值,然后从父代和子代个体中选出最好的部分个体,并对这部分个体执行子网交叉算子,最后再执行启发式变异算子。神经网络演化过程如表1所示。
4.1特征选择
特征选择是指从原始特征集中选择使某种评估标准最优的特征子集。其目的是根据一些准则选出最小的特征子集,使得任务如分类、回归等达到和特征选择前近似甚至更好的效果。通过特征选择,一些和任务无关或者冗余的特征被删除,简化的数据集常常会得到更精确的模型,也更容易理解[14]。
为了更准确的检测入侵事件,我们选择了战术数据链无线网络的一些性能指标的统计量,以及一些典型的网络异常事件作为候选特征,包括(但不局限于以下所列条目):(a)网络业务流量;(b)接收信号强度;(c)无线丢包率;(d)指令传输时延;(e)网内重复成员;(f)网内不明成员;(g)不明入网申请;(h)消息计数器异常;(i)消息帧结构错误;(j)消息格式错误。
4.2编码表示
我们使用前馈神经网络结构。为了同时执行特征选择、结构优化以及连接权值训练,我们使用了一种混合的编码方式[13],即用1个连接矩阵和1个节点向量表示1个个体,如图1所示。连接矩阵如图1(a)所示,规模为(h+n)×(m+h),其中m和h分别表示输入节点和隐节点的最大数目,n表示输出节点的数目。矩阵第i行第j列元素wij为一实数,表示从节点j到节点m+i的权值,wij=0表示从节点j到节点m+i没有连接。由于前馈神经网络只有1条直接连接,所以最右上三角矩阵元素值都为0。
节点向量如图1(b)所示,规模为m+h维,向量中元素值只能取0或1,用于表示元素所在向量中的索引对应的节点是否可用(1可用,0不可用)。前m个元素表示输入节点,后h个元素表示隐节点。
如前一小节所示,特征输入候选集包括网络业务流量、接收信号强度和无线丢包率等共10种,即前馈神经网络中的输入节点的最大数目m=10。编码方式中节点向量前m个输入节点位按照上一小节候选特征从(a)到(j)的顺序排列。例如,编码1010010110表示选择了候选特征集中的网络业务流量、无线丢包率、网内不明成员、消息计数器异常和消息帧结构错误。
4.3适应度评估
为了同时演化输入特征和网络结构,适应度函数不仅考虑了检测准确率,而且还包含了输入节点数目惩罚因子和隐节点数目惩罚因子。某个个体a的适应度函数fit(a)定义如下:
fit(a)=ρ(a)×ψ(a)×φ(a)
其中,ρ表示检测准确率,ψ表示输入节点数目的惩罚因子,φ表示隐节点数目的惩罚因子。个体a的检测准确率定义如下:
ρ(a)=pos(a)/S
其中,pos表示正确的检测分类数目,S表示包括正常和异常实例在内的检测总数目。
惩罚因子ψ定义如下:
ψ(a)=1-(num_in(a)-min_in)×para_in
其中,num_in表示输入节点数目,min_in表示输入节点的最小数目,para_in为用户定义的参数,用于控制输入节点数目对适应度函数的影响程度。
惩罚因子φ定义如下:
φ(a)=1-(num_hid(a)-min_hid)×para_hid
其中num_hid表示隐节点数目,min_hid表示隐节点的最小数目,para_hid为用户定义的参数,用于控制隐节点数目对适应度函数的影响。
4.4子网交叉算子
节点i生成的子网Gen(i)定义如下:
其中,m为输入节点集合,H为隐节点集合,p为输出节点集合,Conin(i)表示节点i的所有输入连接集合,Conout(i)表示节点i的所有输出连接集合。
其中,w_adapt表示连接权值调整,node_del表示节点删除,node_add表示节点添加,pm表示变异概率,pwa和pnD为用户定义参数并且满足0
五、仿真和验证
5.1数据集
我们使用KDDCup1999的部分数据集验证演化神经网络进行入侵检测时的有效性,共包含4大类:正常事件、拒绝服务攻击(DoS,DenialofService)、远程用户到本地的非授权访问(R2L,RemotetoLocal)和探测攻击(probe)。此外,我们模拟战术数据链无线网络中的典型入侵事件对某数据链网络实施入侵,并生成相关数据集,记为ReaL。这些事件主要包括:网络干扰、信息窃取、信息欺骗等。
训练数据集中的10%用于训练神经网络,各类训练集样本数目如表3所示。神经网络演化完后,我们从种群中选出最好的个体并使用标记过的测试集进行测试,各类测试集样本数目如表4所示,其中“已知”表示攻击类型存在于训练集中,“未知”表示攻击类型不存在于训练集中。
5.2结果和分析
用evonn表示演化神经网络入侵检测方法,实验时还比较了与其它基于神经网络的方法之间的性能,这些方法包括Rwnn[10]、Bmpnn[11]和enn[12]。实验结果如表5所示。从结果可以发现,除了在R2L上的检测率低于Rwnn以外,evonn在所有测试上均达到了最高的检测率,此外,evonn还具备最低的Fp率。
此外,表6给出了evonn针对不同测试集,获得表5中结果时最终演化选择的特征子集:
六、结论
本文对战术数据链无线入侵检测技术进行了研究,提出了一种基于演化神经网络的入侵检测方法,并通过仿真实验验证了该方法的有效性。未来信息化战场条件下,战术数据链将面临敌方各种各样恶意无线入侵攻击。本文提出的入侵检测方法战术数据链系统的安全防护设计有一定的参考意义。
参考文献
[1]袁秀丽,周洪宇,周谷.世界网络战发展现状的初步研究[J].信息化研究,2010,(08):20-21.
[2]殷璐,严建钢,樊严.Link-16战术数据链抗干扰性能评估与仿真[J].航天电子对抗,2007,(03):40-42.
[3]林茂森,殷璐,李相全.JtiDS抗干扰性能与仿真[J].通信对抗,2007,(01):36-39.
[4]唐正军.入侵检测技术导论.北京:机械工业出版社,2004.16-85.
[5]王利平.无线局域网入侵检测技术研究[D].华中科技大学,2008:15-17.
[6]L.Li,D.Yang,F.Shen.anovelrule-basedintrusiondetectionsystemusingdatamining[C]//proceedingsof2010ieeeinternationalConferenceonComputerScienceandinformationtechnology,2010,6:169-172.
[7]S.B.Cho.incorporatingsoftcomputingtechniquesintoaprobabilisticintrusiondetectionsystem[J].ieeetransactionsonSystems,man,andCybernetics,partC:applicationsandReviews,2002,32(2):154-160.
[8]G.Zhu,J.Liao.Researchofintrusiondetectionbasedonsupportvectormachine[C]//proceedingsofinternationalConferenceonadvancedComputertheoryandengineering,2008,434-438.
[9]S.J.Han,S.B.Cho.evolutionaryneuralnetworksforanomalydetectionbasedonthebehaviorofaprogram[J].ieeetransactionsonSystems,man,andCybernetics,partB,2006,36(3):559-570.
[10]L.Yu,B.Chen,J.Xiao.anintegratedsystemofintrusiondetectionbasedonroughsetandwaveletneuralnetwork[C]//proceedingsofthethirdinternationalConferenceonnaturalComputation,2007,3:194-199.
[11]t.p.tran,t.Jan.Boostedmodifiedprobabilisticneuralnetwork(Bmpnn)fornetworkintrusiondetection[C]//proceedingsofinternationalJointConferenceonneuralnetworks,2006,2354-2361.
[12]e.michailidis,S.K.Katsikas,e.Georgopoulos.intrusiondetectionusingevolutionaryneuralnetworks[C]//proceedingsofpanhellenicConferenceoninformatics,2008,8-12.
基于网络的入侵检测篇7
[关键词]网络安全入侵检测
网络安全指的是信息系统中硬件、软件和系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。而入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护在网络系统受到危去之前拦截和响应入侵。入侵检测系统能很好地弥补防火墙的不足,从某种意义上说是防火墙的补充。
一、入侵检测概述
1.入侵检测技术
入侵检测(intrusionDetection)书面上的定义为“识别针对对计算机或网络资源的恶意企图和行为,并对此做出反应的过程”iDS则是完成如上功能的独立系统。iDS能够检测未授权对象(人或程序)针对系统的入侵企图或行为,同时监控授权对象对系统资源的非法操作。具体的功能是:
(1)从系统的不同环节收集信急。
(2)分析该信息,试图寻找入侵活动的特征。
(3)自动对检测到的行为做出响应。
(4)纪录并报告检测过程结果。
2.入侵检测的基本原理
入侵检测是通过多种途径对网络或计算机系统信息进行收集,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象,一旦发现攻击自动发出报警并采取相应的措施。同时,记录受到攻击的过程,为网络或系统的恢复和追查攻击的来源提供基本数据。
3.入侵检测的分类
现有的分类大都基于信息源进行分类,根据信息源的不同分为基于主机型、基于网络型、基于主机和基于网络的入侵检测系统的集成三大类。
(1)基于主机的入侵检测系统。基于主机的入侵检测系统可监测系统、事件和windowsnt下的安全记录,以及Unix环境下的系统记录。当有文件被修改时,iDS将新的记录条目与己知的攻击特征相比较,看它们是否匹配,如果匹配,就会向系统管理员报警或者做出适当的响应。
(2)基于网络的入侵检测系统。基于网络的入侵检测系统以网络包作为分析数据源。它通常利用一个工作在混杂模式下的网卡来实时监视并分析通过网络的数据流分析模块通常使用模式匹配、统计分析等技术来识别攻击行为。一旦检测到了攻击行为,iDS的响应模块就做出适当的响应.比如报警、切断相关用户的网络连接等。不同入侵检测系统在实现时采用的响应方式也可能不同,但通常都包括通知管理员、切断连接、记录相关的信急以提供必要的法律依据等。
(3)基于主机和基于网络的入侵检测系统的集成。。许多机构的网络安全解决方案都同时采用了基于主机和基于网络的两种入侵检测系统,因为这两种系统在很大程度上是互补的。实际上,许多客户在使用iDS时都配置了基于网络的入侵检测。在防火墙之外的检测器检测来自外部internet的攻击。DnS.email和web服务器经常是攻击的目标,但是它们又必须与外部网络交互,不可能对其进行全部屏蔽,所以应当在各个服务器上安装基于主机的入侵检测系统,其检测结果也要向分析员控制台报告。因此,即便是小规模的网络结构也常常需要基于主机和基于网络的两种入侵检测能力。
二、入侵检测系统常用的检测方法
入侵检测系统常用的检测方法有专家系统、特征检测与统计检测。据公安部计算机信息系统安全产品质量监督检验中心的报告,国内送检的入侵检测产品中95%是属于使用入侵模板进行模式匹配的特征检测产品,其他5%是采用概率统计的统计检测产品与基于日志的专家知识库系产品。
1.专家系统
用专家系统对入侵进行检测,经常是针对有特征入侵行为。专家系统主要是运用规则进行分析,不同的系统与设置具有不同的规则,且规则之间往往无通用性。专家系统的建立依赖于知识库的完备性,知识库的完备性又取决于审计记录的完备性与实时性。入侵的特征抽取与表达,是入侵检测专家系统的关键。在系统实现中,将有关入侵的知识转化为if-then结构(也可以是复合结构),条件部分为入侵特征,then部分是系统防范措施。运用专家系统防范有特征入侵行为的有效性完全取决于专家系统知识库的完备性。
2.特征检测
特征检测需要对己知的攻击或入侵的方式做出确定性的描述,形成相应的事件模式。当被审计的事件与己知的入侵事件模式相匹配时即报警其检测方法同计算机病毒的检测方式类似。日前基于对包特征描述的模式匹配应用较为广泛。该方法预报检测的准确率较高,但对于无经验知识的入侵与攻击行为无能为力。
3.统计检测
统计模型常用异常检测,在统计模型中常用的测量参数包括:审计事件的数量、间隔时间、资源消耗情况等。常用的入侵检测5种统计模型为:操作模型、方差、多元模型、马尔柯夫过程模型、时间序列分析。统计方法的最大优点是它可以”学习,用户的使用习惯,从而具有较高检出率与可用性。但是它的”学习”,能力也给入侵者以机会通过逐步”训练”,使入侵事件符合正常操作的统计规律.从而透过入侵检测系统。
4.入侵检测方案实现
方案简述:“入侵检测”属于安全评估类产品,是一种网络实时自动攻击识别和响应系统它通过多种途径收集单位内部网的主机和网络信息,对这些信息加以分析,查看网络安全体系结构是否存在漏洞,主机系统和网络上是否有入侵事件发生,如果发现有入侵事件,自动对这些事件响应,同时给出相应提示。内部网根据部门划分不同子网网段。每个部门或子网有一个交换机,设置网络中心,有专门的网络管理员。各个子网汇总到网络中心连接到高性能服务器群,高性能服务器群放置在防火墙的DmZ区。方案构建:根据网络流量和保护数据的重要程度,选择iDS探测器(百兆)配置在内部关键子网的交换机处放置,核心交换机放置控制台,监控和管理所有的探测器因此提供了对内部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。入侵检测可以进行如下反应:
(1)控制台报警。
(2)记录网络攻击事件。
(3)实时阻断网络连接。
(4)入侵检测采用透明工作方式,静静地监视本网络数据流,对网络通讯不附加任何时延。
(5)入侵检测可以过滤和监视tCp或ip协议。系统管理员通过配置入侵检测,可以按协议(tCp,iCmp),源端口,目的端口,源ip或目的ip地址过滤。入侵检测可监测多种网络服务:包括文件传输、远程登陆等,并且所支持的服务随着入侵检测的发展可以不断地扩展。
(6)入侵检测还支持用户自定义的网络安全事件监视。
(7)入侵检测能生成系统安全日志以利于系统安全审计并以开放数据库方式支持安全分析决策系统,从而为网络安全提供有效的保障。
参考文献:
[1]杨振会:基于防火墙的入侵检测系统的设计[J].计算机安全,2006,(10)
[2]王炳晨:网络安全专家服务――趋势网络安全掌控危机[J].微电脑世界,2007,(07)
[3]富强:东软网络安全十年发展之路[J].计算机安全,2006,(07)
基于网络的入侵检测篇8
关键词:计算机技术;网络安全;入侵检测;概念;问题
中图分类号:tp393文献标识码:a文章编号:1009-3044(2015)19-0032-02
随着社会经济与科学技术的不断进步,计算机技术以及互联网得到了越来越广泛的应用与发展,对于人们的生活有着十分重要的意义。然而计算机与网络的普及也出现了一系列的问题,例如由于网络入侵导致计算机系统系统的正常运行受到影响,降低了计算机的工作效率,同时一些涉及个人隐私的信息也受到威胁。因此,入侵检测技术的应用对于计算机网络安全的防范就起到了十分重要的作用,然而由于我国计算机网络安全入侵检测技术的起步较晚,在许多方面存在一定的不足,难以保障计算机的网络安全,因此,加强计算机网络安全的入侵检测技术应用与研究势在必行。
1计算机网络安全入侵检测的概念
计算机在正常运行的过程中,当处于网络环境时,那么就存在外界与内部不安全因素,例如病毒、软件的侵入而影响到计算机的运行速度,进而造成计算机的工作效率降低。而一旦计算机运行状态出现异常,那么就可以运用入侵检测技术来及时防御计算机内部与外部的干扰因素,同时也使得计算机由于这些影响因素造成的干扰得以有效避免。当计算机受到意外攻击时,计算机网络安全的入侵检测技术能够与防火墙相配合,使得计算机得到更好的保护。鉴于此,可以说计算机网络安全的入侵检测技术就是以补充防火墙的不足而产生的。
2计算机网络安全入侵检测技术的类型
2.1基于误用检测技术
误用入侵检测的主要功能是根据特征搜集影响计算机的干扰因素,并对其是否集中出现进行判断并处理。误用入侵检测技术与杀毒软件的操作方式相似,而该技术的优势在于其建立的入侵特点的模式库,并根据此进行相似特点的搜集,如此一来检测中不仅能够搜集出有着相似特征的入侵行为,同时又使得系统的入侵与抑制系统免于遭受同样的入侵。然而有的入侵行为具有一定的特殊性,其具有变种功能,即利用相同的功能缺陷与原理进行变异,因此就难以被检测出来。误用入侵技术在某些方面还是存在一定的缺陷的,例如其只能对已知序列和特点对有关入侵行为进行判断,而难以及时检测出一些新型的入侵攻击行为,同时还有一些漏洞存在。
通常可以将误用入侵检测技术分为专家系统与状态迁移分析技术等两种。其中专家系统在早期的入侵检测系统中比较常用,主要是采用专家的入侵行为检测系统。比如早期的niDeS、naDiR,这些都是具有独立的专家系统模块。一旦发现专家系统中的入侵行为,整个系统就会对其进行编码,将其编译为一个iF语句。其次是状态迁移分析技术,建立在异常检测技术的基础之上,对一组系统的“正常”情况下的值进行定义,包括CpU利用率、内存利用率以及文件校验等等,然后与正常定义作对比。在该检测方法中,对“正常”情况的定义是最为关键的部分。
2.2基于异常的检测技术
基于异常入侵的检测技术需要对一组正常情况下内存利用率、硬盘大小、文件检验等值进行定义。这些数据是具有灵活性的,人们可以方便自己统计而进行自主定义,接着比较规定数值与系统正在运行中的数值,进而对被攻击与否进行检验与判断。该检测方法是以对正常数值的定义为核心而进行的,如此才能够判断系统是否遭受到了攻击。该检测技术早在1996年就有了一定的研究,有人以建立系统的审计跟踪数据分析系统,主体正常行为的特征为大致方向,建立起一个大概的轮廓模型。在进行检测的过程中,在审计系统中,被认为是入侵行为的依据就是系统中的出现较大差异的数据。根据功能配置文件、登录的时间与位置、CpU使用时间以及文件访问属性等对特点进行描述。其对应的功能配置文件会随着主要行为特征的改变而改变。例如入侵检测系统基于统计的使用或规则进行描述,对系统行为特征的基本轮廓进行建立。
3入侵检测系统的类型
3.1基于主机的入侵检测系统
基于主机的入侵检测系统主要对主机进行重点检测,通过在主机上设置入侵检测,对其是否被攻击进行判断。主机入侵检测系统能够较为全面动态的监控计算机网络用户的操作行为,一旦出现网络异常情况就会进行预警,能够安全有效的保护起网络的安全。基于主机的入侵检测系统能对攻击行为是否有效果加以判断,以此提供给主机充分的决策依据,并且还能监控例如文件访问、文件执行等指定的系统部位的活动。
3.2基于主机的入侵检测系统
基于行为的入侵检测系统主要指基于网络的入侵检测系统,其无法提供给客户单独的入侵检测服务,然而该系统的具有较快的检测速度以及低廉的检测成本。基于网络的入侵检测系统在设置检测的过程中能够进行多个安全点的设置,并同时观察多个系统的网络通信,同时也省去了主机上的安装,因此才被认为成本较低。基于主机的入侵检测无法安全有效的检测数据包,因此在入侵检测中时常出现漏洞,然而该检测系统具有检测对主机的漏洞攻击的功能,一旦发现恶意程序或者软件,就会进行及时的处理。在检测过程中,基于网络的入侵检测系统能够通过方便快捷的网络通讯实现对系统的实时监控,一旦发现问题,就会直接进行网络报告,以防止攻击者转移证据。基于网络的入侵检测技具有动态检测计算机网络系统的功能,一旦发现网络系统中存在入侵行为就会做出快速反应,不会受到时间与地点的限制,并进行预警,同时采取相应的措施处理入侵行为。
4计算机网络安全入侵检测技术存在的问题
基于网络的入侵检测篇9
关键词:计算机网络;网路安全;入侵检测;防火墙
中图分类号:tp393.08文献标识码:a文章编号:1009-3044(2012)08-1749-03
DiscussiononComputernetworkintrusionDetectiontechnology
QiUJing
(HunanCommunicationpolytechnic,Changsha410004,China)
abstract:withtherapiddevelopmentofcomputernetworktechnology,theapplicationofcomputernetworkhasbeenverywidespread.therefore,thecomputernetworksecurityhasbecomethemajorconcernofcurrentnetworkmanagers.thispapermainlyanalyzesawidelyusedcomputernetworksecuritytechnology-intrusiondetectiontechnologyandeffectivelyincorporatesitwithfirewalltechnology,whichgreatlyimprovesthenetworksecuritydefenseability.
Keywords:computernetwork;networksecurity;intrusiondetection;firewall
随着计算机网络技术的飞速发展,其应用领域也变得越来越广泛,几乎渗透到了人们的工作和日常生活当中,给人类的生活带来了重大的改变。但飞速的网络发展给人类带来方便的同时,也带来了很大的网络安全隐患。网络安全问题也变得日益严重,每年因网络安全问题带来的损失巨大,网络病毒的传播、网络钓鱼网站的诱导以及黑客的木马攻击等给广大的网民带来了很大的困扰。因此,网络安全技术成为了当前必须引起重视的问题。传统的网络安全技术主要有防火墙技术、数据加密技术等,这些网络安全技术是一种基于被动的网络安全技术,主要阻止一些来自外部的网络攻击。而入侵检测技术是一种基于主动防御的网络安全技术,能有效的阻止来自网络内部的攻击,有效弥补了传统网络安全技术的不足。
1计算机网络入侵检测概述
1.1入侵检测定义
入侵检测(iDS),是通过监控和收集计算机网络系统中的某些关键点信息,并对这些信息进行归纳分析来检测入侵者的企图。直观的说,就是通过识别入侵行为,了解入侵者的意图和目的,网络管理员根据这些入侵信息做出相应的防范措施,从而免受系统遭受到不必要的损失。因此,它是一种主动防御的安全措施,能够有效的减少系统被入侵的可能性。
1.2入侵检测分类
目前的入侵检测系统主要有两类:基于误用的入侵检测和基于异常的入侵检测。基于误用的入侵检测主要是通过模式匹配方法来检测入侵行为。基于异常的入侵检测主要是通过检测系统当前行为与正常行为存在一定程度的偏差时,就判断系统已受到了攻击。基于误用的入侵检测的优点是检测出已知的攻击准确率高,缺点是不能发现未知攻击。异常检测的优点是可以检测到未知攻击,缺点是误报率较高。
2入侵检测系统结构分析
入侵检测系统的结构主要由四大部分组成:数据收集装置、检测器、知识库、控制器。如图1所示。
数据收集装置主要负责收集系统状态信息的相关数据,收集完成后传递给检测器;检测器主要检测和分析入侵的企图和目的,并发出警报信号;知识库主要提供一些数据信息的支持;控制器通过接收到的警报信号,对其进行分析和研究,做出自动或人工的反应动作,即根据入侵信息来做出相应的防范措施。
3入侵检测系统存在的问题
入侵系统技术虽然是目前应用比较广泛的网络安全防范技术,但还存在着一些问题,主要体现在以下几个方面:
图1入侵检测系统结构示意图
3.1误报和漏报率比较高
当前入侵检测系统的主要问题就是误报和漏报,由于入侵检测系统的检测精度不高,从而增大了误报率和漏报率。基于误用的入侵检测的误报和漏报率虽然相对较低,但它又不能完成对未知攻击的检测;基于异常的入侵检测虽然能够解决对未知攻击的检测这一问题,但它的误报和漏报率比较高,所以都存在着一些不足之处。
3.2准确定位和处理机制存在不足
入侵检测系统只能识别ip地址,并不能对ip地址定位,也就不能识别入侵数据信息的来源。一旦检测出攻击事件,入侵检测系统就通过关闭网络出口以及服务器的某些端口,这样虽然能有效的阻止入侵者的攻击,但同样会影响到其他正常用户的访问,从而缺乏有效的处理机制。
3.3系统性能存在不足
如果服务器在大流量访问的冲击或多ip分片的情况下,很有可能造成入侵检测系统的丢包甚至瘫痪。由于入侵检测主要依赖于已有的一些经验,所以与理想的效果还存在着一些差距。尽管目前的入侵检测方法繁多,但如何将它们成熟的运用起来还是一个很大的挑战,也是需要当前网络安全工作者们深入研究和探讨的重要课题。根据网络安全技术发展的需要,主要研究的方向应当是:入侵检测系统的标准化、各种入侵检测系统的构架、入侵检测系统的智能化以及与其他网络安全技术相结合的运用等。除了完善这些传统的技术参数以外,还需要加强新技术的开发和研究,才能使得该产品保持长久的市场竞争力。
4入侵检测与防火墙结合的应用研究
4.1入侵检测与防火墙的互动运行
设计一个有效的安全系统,至少需要防护、检测和响应三个部分。这三个部分需要实现基于时间的简单关系。也就是要求检测系统在入侵者尚未突破防御阶段就能检测出入侵者的攻击企图,一旦检测成功,响应部分作出相应的处理。这种模式虽然不能确保有效率达到百分之百,但如果检测足够快,响应足够及时准确,防护系统就能在攻击者入侵系统之前,及时发现并作出相应的保护措施,这样就能做到对整个系统安全的有效防御。我们可以通过防火墙一类的手段来做防护,入侵检测手段来做检测,当网络系统得知入侵检测系统检测到有攻击者入侵时,便会作出相应的反应,这时可以由系统自动或网络管理员手动的方式来针对入侵信息作出有效的防御。也就是说,入侵检测与防火墙的互动运行,可以实现一个比较理想的安全防范体系,有效弥补了传统安全技术不足。其互动逻辑图如2所示。
图2互动逻辑示意图
4.2入侵检测与防火墙结合的设计框架
首先,我们来设计检测器设置的位置,入侵检测既可以放在防火墙之外也可以放在防火墙之内。例如图3给出了将iDS放在防火墙之内的设置。
图3iDS置于防火墙之内示意图
在设计的过程当中,并不只是将入侵检测系统和防火墙系统进行简单的叠加,而是结合两者的功能和特点来建立一个有效的网络安全防范系统。可以通过结合两者功能的优点,互相弥补其不足,由入侵检测系统来辅助防火墙系统,具体设计如图4所示。
图4iDS与防火墙结合设计示意图
5总结
入侵检测技术虽然在网路安全技术中是一项非常重要的技术手段,但将其单独的运用在网络安全防范系统当中,存在着很多的不足之处。因此,应当将防火墙技术与入侵检测系统结合互动的使用,这样的组合比以前单一的技术都有了较大的提高,网络的防御安全能力大大提高,防御系统才能成为一道更加坚固的围墙。
参考文献:
[1]胡振昌.网络入侵检测原理与技术[m].北京:北京理工大学出版社,2005.
[2]郑晓霞.Bp网络安全技术的研究[J].电脑知识与技术,2009,5(35):9947-9951.
基于网络的入侵检测篇10
摘要:入侵检测系统与其他网络安全设备的不同之处便在于,ids是一种积极主动的安全防护技术。生物免疫系统是机体保护自身的一种防御性结构,入侵检测系统与生物免疫系统有着许多相似之处。论文在简要介绍免疫机理在入侵检测研究现状的基础上,着重探讨一种针对当前计算机及其网络运行的人工免疫系统(artificialimmunesystem,ais)的理论模型,以及一种基于免疫机理的入侵检测系统的多子系统、多的体系结构。
目前,开放式网络环境使人们充分享受着数字化,信息化给人们日常的工作生活学习带来的巨大便利,也因此对计算机网络越来越强的依赖性,与此同时,各种针对网络的攻击与破坏日益增多,成为制约网络技术发展的一大障碍。传统的安全技术并不能对系统是否真的没有被入侵有任何保证。入侵检测系统已经成为信息网络安全其必不可少的一道防线。
人体内有一个免疫系统,它是人体抵御病原菌侵犯最重要的保卫系统,主要手段是依靠自身的防御体系和免疫能力。一些学者试图学习和模仿生物机体的这种能力,将其移植到计算机网络安全方面。相关研究很多都基于生物免疫系统的体系结构和免疫机制[5]。基于免疫理论的研究已逐渐成为目前人们研究的一个重要方向,其研究成果将会为计算机网络安全提供一条新的途径。
一、入侵检测简介
入侵即入侵者利用主机或网络中程序的漏洞,对特权程序进行非法或异常的调用,使外网攻击者侵入内网获取内网的资源。入侵检测即是检测各种非法的入侵行为。入侵检测提供了对网络的实时保护,在系统受到危害时提前有所作为。入侵检测严密监视系统的各种不安全的活动,识别用户不安全的行为。入侵检测应付各种网络攻击,提高了用户的安全性。入侵检测[4]技术就是为保证网路系统的安全而设计的一种可以检测系统中异常的、不安全的行为的技术。
二、基于免疫机理的入侵检测系统
(一)入侵检测系统和自然免疫系统用四元函数组来定义一个自然免疫系统∑nis[5],∑nis=(xnis,ωnis,ynis,gnis)xnis是输入,它为各种类型的抗原,令z表示所有抗原,抗原包括自身蛋白集合和病原体集合这两个互斥的集合,即,用w表示自身蛋白集合,nw表示病原体集合,有s∪nw=z,w=ynis是输出,只考虑免疫系统对病原体的识别而不计免疫效应,ynis取0或1,分别表示自然免疫系统判别输入时的自身或非自身。
gnis是一个自然免疫系统输入输出之间的非线性关系函数,则有ynis=gnis(xnis)=ωnis为自然免疫系统的内部组成。而根据系统的定义,入侵检测系统可以表示为∑ids=(xids,ωids,yids,gids)
式中,xids是入侵检测系统的输入。令m表示是整个论域,整个论域也可以划分成为两个互斥的集合即入侵集合,表示为i和正常集合表示﹁i,有i∪﹁i=m,i∩﹁i=输入xids,输出yids,此时入侵检测系统具有报警s和不报警﹁a两种状态,报警用1表示,不报警用0表示。
gids表示输入与输出之间的非线性函数关系,则有yids=gids(xids)=ωids是自然免疫系统的内部组成。不同种类的检测系统具有不同的ωids,产生不同的ωids,从而将输入向量映射到输出。
(二)基于自然免疫机理的入侵检测系统的设计
自然免疫系统是一个识别病原菌的系统,与网络入侵检测系统有很多类似之处,因此自然免疫系统得到一个设计网络入侵检测系统的启发,我们先来研究自然入侵检测系统的动态防护性、检测性能、自适应性以及系统健壮性这四个特性[5]。
1.动态防护性。
自然免疫系统可以用比较少的资源完成相对复杂的检测任务。人体约有1016种病原体需要识别,自然免疫系统采用动态防护,任一时刻,淋巴检测器只能检测到病原体的一个子集,但淋巴检测器每天都会及时更新,所以每天检测的病原体是不同的,淋巴细胞的及时更新,来应对当前的待检病原体。
2.检测性能。
自然免疫系统具有非常强的低预警率和高检测率。之所以具有这样好的检测性能,是因为自然免疫系统具有多样性、多层次、异常检测能力、独特性等多种特性。
3.自适应性。
自然免疫系统具有良好的自适应性,检测器一般情况下能够检测到频率比较高的攻击规则,很少或基本根本没有检测到入侵的规则,将会被移出常用检测规则库,这样就会使得规则库中的规则一直可以检测到经常遇到的攻击。基于免疫机理的入侵检测系统采用异常检测方法检测攻击,对通过异常检测到的攻击提取异常特征形成新的检测规则,当这些入侵再次出现时直接通过规则匹配直接就可以检测到。
4.健壮性。
自然免疫系统采用了高度分布式的结构,基于免疫机理研究出的入侵检测系统也包含多个子系统和大量遍布整个系统的检测,每个子系统或检测仅能检测某一个或几类入侵,而多个子系统或大量检测器的集合就能检测到大多数入侵,少量几个的失效,不会影响整个系统的检测能力[4]。
(三)基于免疫机理的入侵检测系统体系架构
根据上述所讨论的思想,现在我们提出基于免疫机理的入侵检测系统aiids[1],包括如下四个组成部分:
1.主机入侵检测子系统。
其入侵信息来源于被监控主机的日志。它由多个组成,主要监控计算机网络系统的完整保密以及可用性等方面。
2.网络入侵子系统。
其入侵信息来源于局域网的通信数据包。该数据包一般位于网络节点处,网络入侵子系统首先对数据包的ip和tcp包头进行解析,然后收集数据组件、解析包头和提取组件特征、生成抗体和组件的检测、协同和报告、优化规则、扫描攻击以及检测机遇协议漏洞的攻击和拒绝服务攻击等。
3.网络节点入侵子系统。
其入侵信息来源于网络的通信数据包,网络节点入侵子系统监控网络节点的数据包,对数据包进行解码和分析。他包括多个应用层,用来检测应用层的各种攻击。
4.控制台。
有各种信组件,包括交互组件以及通信组件,交互组件用于显示当前被检查的网络系统的各种安全状况,通信组件用于与子系统进行通信联络[5]。