導語：如何才能寫好一篇入侵檢測論文，這就需要搜集整理更多的資料和文獻，歡迎閱讀由公務員之家整理的十篇范文，供你借鑒。

篇1

論文摘要:隨著計算機的飛速發(fā)展以及網絡技術的普遍應用，隨著信息時代的來臨，信息作為一種重要的資源正得到了人們的重視與應用。因特網是一個發(fā)展非?；钴S的領域，可能會受到黑客的非法攻擊，所以在任何情況下，對于各種事故，無意或有意的破壞，保護數據及其傳送、處理都是非常必要的。計劃如何保護你的局域網免受因特網攻擊帶來的危害時，首先要考慮的是防火墻。防火墻的核心思想是在不安全的網際網環(huán)境中構造一個相對安全的子網環(huán)境。本文介紹了防火墻技術的基本概念、系統(tǒng)結構、原理、構架、入侵檢測技術及VPN等相關問題。

Abstract:Alongwiththefastcomputerdevelopmentandtheuniversalapplicationofthenetworktechnology,alongwithinformationtimescomingupon,Informationisattractingtheworld’sattentionandemployedasakindofimportantresources.Internetisaveryactivelydevelopedfield.Becauseitmaybeillegallyattackedbyhackers,Itisverynecessaryfordata’sprotection,deliveryandprotectionagainstvariousaccidents,intentionalorwantdestroyunderanycondition.FirewallisthefirstconsiderationwhenplanhowtoprotectyourlocalareanetworkagainstendangersbroughtbyInternetattack.Thecorecontentoffirewalltechnologyistoconstructarelativelysafeenvironmentofsubnetinthenot-so-safenetworkenvironment.Thispaperintroducesthebasicconceptionandsystemstructureoffire-walltechnologyandalsodiscussestwomaintechnologymeanstorealizefire-wall:Oneisbasedonpacketfiltering,whichistorealizefire-wallfunctionthroughScreeningRouter;andtheotherisProxyandthetypicalrepresentationisthegatewayonapplicationlevel.....

第一章緒論

§1.1概述

隨著以Internet為代表的全球信息化浪潮的來臨，信息網絡技術的應用正日益廣泛，應用層次正在深入，應用領域也從傳統(tǒng)的、小型業(yè)務系統(tǒng)逐漸向大型、關鍵業(yè)務系統(tǒng)擴展，其中以黨政系統(tǒng)、大中院校網絡系統(tǒng)、銀行系統(tǒng)、商業(yè)系統(tǒng)、管理部門、政府或軍事領域等為典型。伴隨網絡的普及，公共通信網絡傳輸中的數據安全問題日益成為關注的焦點。一方面，網絡化的信息系統(tǒng)提供了資源的共享性、用戶使用的方便性，通過分布式處理提高了系統(tǒng)效率和可靠性，并且還具備可擴充性。另一方面，也正是由于具有這些特點增加了網絡信息系統(tǒng)的不安全性。

開放性的網絡，導致網絡所面臨的破壞和攻擊可能是多方面的，例如:可能來自物理傳輸線路的攻擊，也可以對網絡通信協(xié)議和實現(xiàn)實施攻擊，可以是對軟件實施攻擊，也可以對硬件實施攻擊。國際性的網絡，意味著網絡的攻擊不僅僅來自本地網絡的用戶，也可以來自linternet上的任何一臺機器，也就是說，網絡安全所面臨的是一個國際化的挑戰(zhàn)。開放的、國際化的Internet的發(fā)展給政府機構、企事業(yè)單位的工作帶來了革命性的變革和開放，使得他們能夠利用Internet提高辦事效率、市場反應能力和競爭力。通過Internet，他們可以從異地取回重要數據，同時也面臨Internet開放所帶來的數據安全的挑戰(zhàn)與危險。如何保護企業(yè)的機密信息不受黑客和工業(yè)間諜的入侵，己成為政府機構、企事業(yè)單位信息化建設健康發(fā)展所要考慮的重要因素之一。廣泛分布的企業(yè)內部網絡由公共網絡互聯(lián)起來，這種互聯(lián)方式面臨多種安全威脅，極易受到外界的攻擊，導致對網絡的非法訪問和信息泄露。防火墻是安全防范的最有效也是最基本的手段之一。

雖然國內己有許多成熟的防火墻及其他相關安全產品，并且這些產品早已打入市場，但是對于安全產品來說，要想進入我軍部隊。我們必須自己掌握安全測試技術，使進入部隊的安全產品不出現(xiàn)問題，所以對網絡安全測試的研究非常重要，具有深遠的意義。

§1.2本文主要工作

了解防火墻的原理、架構、技術實現(xiàn)

了解防火墻的部署和使用配置

熟悉防火墻測試的相關標準

掌握防火墻產品的功能、性能、安全性和可用性的測試方法

掌握入侵檢測與VPN的概念及相關測試方法

第二章防火墻的原理、架構、技術實現(xiàn)

§2.1什么是防火墻？

防火墻是指設置在不同網絡（如可信任的企業(yè)內部網和不可信的公共網）或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的唯一出入口，能根據企業(yè)的安全政策控制（允許、拒絕、監(jiān)測）出入網絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現(xiàn)網絡和信息安全的基礎設施。

§2.2防火墻的原理

隨著網絡規(guī)模的擴大和開放性的增強，網絡上的很多敏感信息和保密數據將受到很多主動和被動的人為攻擊。一種解決辦法是為需要保護的網絡上的每個工作站和服務器裝備上強大的安全特征(例如入侵檢測)，但這幾乎是一種不切合實際的方法，因為對具有幾百個甚至上千個節(jié)點的網絡，它們可能運行著不同的操作系統(tǒng)，當發(fā)現(xiàn)了安全缺陷時，每個可能被影響的節(jié)點都必須加以改進以修復這個缺陷。另一種選擇就是防火墻(Firewall)，防火墻是用來在安全私有網絡(可信任網絡)和外部不可信任網絡之間安全連接的一個設備或一組設備，作為私有網絡和外部網絡之間連接的單點存在。防火墻是設置在可信任的內部網絡和不可信任的外部網絡之間的一道屏障，它可以實施比較廣泛的安全策略來控制信息流，防止不可預料的潛在的入侵破壞.DMZ外網和內部局域網的防火墻系統(tǒng)。

§2.3防火墻的架構

防火墻產品的三代體系架構主要為：

第一代架構：主要是以單一cpu作為整個系統(tǒng)業(yè)務和管理的核心，cpu有x86、powerpc、mips等多類型，產品主要表現(xiàn)形式是pc機、工控機、pc-box或risc-box等；

第二代架構：以np或asic作為業(yè)務處理的主要核心，對一般安全業(yè)務進行加速，嵌入式cpu為管理核心，產品主要表現(xiàn)形式為box等；

第三代架構：iss（integratedsecuritysystem）集成安全體系架構，以高速安全處理芯片作為業(yè)務處理的主要核心，采用高性能cpu發(fā)揮多種安全業(yè)務的高層應用，產品主要表現(xiàn)形式為基于電信級的高可靠、背板交換式的機架式設備，容量大性能高，各單元及系統(tǒng)更為靈活。

§2.4防火墻的技術實現(xiàn)

從Windows軟件防火墻的誕生開始，這種安全防護產品就在跟隨著不斷深入的黑客病毒與反黑反毒之爭，不斷的進化與升級。從最早期的只能分析來源地址，端口號以及未經處理的報文原文的封包過濾防火墻，后來出現(xiàn)了能對不同的應用程序設置不同的訪問網絡權限的技術；近年來由ZoneAlarm等國外知名品牌牽頭，還開始流行了具有未知攻擊攔截能力的智能行為監(jiān)控防火墻；最后，由于近來垃圾插件和流氓軟件的盛行，很多防火墻都在考慮給自己加上攔截流氓軟件的功能。綜上，Windows軟件防火墻從開始的時候單純的一個截包丟包，堵截IP和端口的工具，發(fā)展到了今天功能強大的整體性的安全套件。

第三章防火墻的部署和使用配置

§3.1防火墻的部署

雖然監(jiān)測型防火墻安全性上已超越了包過濾型和服務器型防火墻，但由于監(jiān)測型防火墻技術的實現(xiàn)成本較高，也不易管理，所以目前在實用中的防火墻產品仍然以第二代型產品為主，但在某些方面也已經開始使用監(jiān)測型防火墻?；趯ο到y(tǒng)成本與安全技術成本的綜合考慮，用戶可以選擇性地使用某些監(jiān)測型技術。這樣既能夠保證網絡系統(tǒng)的安全性需求，同時也能有效地控制安全系統(tǒng)的總擁有成本。

實際上，作為當前防火墻產品的主流趨勢，大多數服務器（也稱應用網關）也集成了包過濾技術，這兩種技術的混合應用顯然比單獨使用具有更大的優(yōu)勢。由于這種產品是基于應用的，應用網關能提供對協(xié)議的過濾。例如，它可以過濾掉FTP連接中的PUT命令，而且通過應用，應用網關能夠有效地避免內部網絡的信息外泄。正是由于應用網關的這些特點，使得應用過程中的矛盾主要集中在對多種網絡應用協(xié)議的有效支持和對網絡整體性能的影響上。

----那么我們究竟應該在哪些地方部署防火墻呢？

----首先,應該安裝防火墻的位置是公司內部網絡與外部Internet的接口處，以阻擋來自外部網絡的入侵；其次，如果公司內部網絡規(guī)模較大，并且設置有虛擬局域網(VLAN)，則應該在各個VLAN之間設置防火墻；第三，通過公網連接的總部與各分支機構之間也應該設置防火墻，如果有條件，還應該同時將總部與各分支機構組成虛擬專用網(VPN)。

----安裝防火墻的基本原則是：只要有惡意侵入的可能，無論是內部網絡還是與外部公網的連接處，都應該安裝防火墻。

§3.2防火墻的使用配置

一、防火墻的配置規(guī)則：

沒有連接的狀態(tài)(沒有握手或握手不成功或非法的數據包)，任何數據包無法穿過防火墻。(內部發(fā)起的連接可以回包。通過ACL開放的服務器允許外部發(fā)起連接)

inside可以訪問任何outside和dmz區(qū)域。

dmz可以訪問outside區(qū)域。

inside訪問dmz需要配合static(靜態(tài)地址轉換)。

outside訪問dmz需要配合acl(訪問控制列表)。

二、防火墻設備的設置步驟：

1、確定設置防火墻的部署模式；

2、設置防火墻設備的IP地址信息（接口地址或管理地址（設置在VLAN1上））；

3、設置防火墻設備的路由信息；

4、確定經過防火墻設備的IP地址信息（基于策略的源、目標地址）；

5、確定網絡應用（如FTP、EMAIL等應用）；

6、配置訪問控制策略。

第四章防火墻測試的相關標準

防火墻作為信息安全產品的一種，它的產生源于信息安全的需求。所以防火墻的測試不僅有利于提高防火墻的工作效率，更是為了保證國家信息的安全。依照中華人民共和國國家標準GB/T18019-1999《信息技術包過濾防火墻安全技術要求》、GB/T18020-1999《信息技術應用級防火墻安全技術要求》和GB/T17900-1999《網絡服務器的安全技術要求》以及多款防火墻隨機提供的說明文檔，中國軟件評測中心軟件產品測試部根據有關方面的標準和不同防火墻的特點整理出以下軟件防火墻的測試標準：

4.1規(guī)則配置方面

要使防火墻軟件更好的服務于用戶，除了其默認的安全規(guī)則外，還需要用戶在使用過程中不斷的完善其規(guī)則；而規(guī)則的設置是否靈活方便、實際效果是否理想等方面，也是判斷一款防火墻軟件整體安全性是否合格的重要標準。簡單快捷的規(guī)則配置過程讓防火墻軟件具備更好的親和力，一款防火墻軟件如果能實施在線檢測所有對本機的訪問并控制它們、分別對應用程序、文件或注冊表鍵值實施單獨的規(guī)則添加等等，這將成為此款軟件防火墻規(guī)則配置的一個特色。

§4.2防御能力方面

對于防火墻防御能力的表現(xiàn)，由于偶然因素太多，因此無法從一個固定平等的測試環(huán)境中來得出結果。但是可以使用了X-Scan等安全掃描工具來測試。雖然得出的結果可能仍然有一定的出入，但大致可以做為一個性能參考。

§4.3主動防御提示方面

對于網絡訪問、系統(tǒng)進程訪問、程序運行等本機狀態(tài)發(fā)生改變時，防火墻軟件一般都會有主動防御提示出現(xiàn)。這方面主要測試軟件攔截或過濾時是否提示用戶做出相應的操作選擇。

§4.4自定義安全級別方面

用戶是否可以參照已有安全級別的安全性描述來設置符合自身特殊需要的規(guī)則。防火墻可設置系統(tǒng)防火墻的安全等級、安全規(guī)則，以防止電腦被外界入侵。一般的防火墻共有四個級別：

高級：預設的防火墻安全等級，用戶可以上網，收發(fā)郵件；l

中級：預設的防火墻安全等級，用戶可以上網，收發(fā)郵件，網絡聊天，F(xiàn)TP、Telnet等；l

低級：預設的防火墻安全等級，只對已知的木馬進行攔截，對于其它的訪問，只是給于提示用戶及記錄；l

自定義：用戶可自定義防火墻的安全規(guī)則，可以根據需要自行進行配置。l

§4.5其他功能方面

這主要是從軟件的擴展功能表現(xiàn)、操作設置的易用性、軟件的兼容性和安全可靠性方面來綜合判定。比如是否具有過濾網址、實施木馬掃描、阻止彈出廣告窗口、將未受保護的無線網絡“學習”為規(guī)則、惡意軟件檢測、個人隱私保護等豐富的功能項，是否可以滿足用戶各方面的需要。

§4.6資源占用方面

這方面的測試包括空閑時和瀏覽網頁時的CPU占用率、內存占有率以及屏蔽大量攻擊時的資源占用和相應速度?？偟膩硎蔷褪琴Y源占用率越低越好，啟動的速度越快越好。

§4.7軟件安裝方面

這方面主要測試軟件的安裝使用是否需要重啟系統(tǒng)、安裝過程是不是方便、安裝完成后是否提示升級本地數據庫的信息等等。

§4.8軟件界面方面

軟件是否可切換界面皮膚和語言、界面是否簡潔等等。簡潔的界面并不代表其功能就不完善，相反地，簡化了用戶的操作設置項也就帶來了更智能的安全防護功能。比如有的防護墻安裝完成后會在桌面生成簡單模式和高級模式兩個啟動項，這方便用戶根據不同的安全級別啟動相應的防護

第五章防火墻的入侵檢測

§5.1什么是入侵檢測系統(tǒng)？

入侵檢測可被定義為對計算機和網絡資源上的惡意使用行為進行識別和響應的處理過程，它不僅檢測來自外部的入侵行為，同時也檢測內部用戶的未授權活動。

入侵檢測系統(tǒng)(IDS)是從計算機網絡系統(tǒng)中的若干關鍵點收集信息，并分析這些信息，檢查網絡中是否有違反安全策略的行為和遭到襲擊的跡象。IDS被公認為是防火墻之后的第二道安全閘門，它作為一種積極主動的安全防護技術，從網絡安全立體縱深、多層次防御的角度出發(fā)，對防范網絡惡意攻擊及誤操作提供了主動的實時保護，從而能夠在網絡系統(tǒng)受到危害之前攔截和響應入侵

§5.2入侵檢測技術及發(fā)展

自1980年產生IDS概念以來，已經出現(xiàn)了基于主機和基于網絡的入侵檢測系統(tǒng)，出現(xiàn)了基于知識的模型識別、異常識別和協(xié)議分析等入侵檢測技術，并能夠對百兆、千兆甚至更高流量的網絡系統(tǒng)執(zhí)行入侵檢測。

入侵檢測技術的發(fā)展已經歷了四個主要階段：

第一階段是以基于協(xié)議解碼和模式匹配為主的技術，其優(yōu)點是對于已知的攻擊行為非常有效，各種已知的攻擊行為可以對號入座，誤報率低;缺點是高超的黑客采用變形手法或者新技術可以輕易躲避檢測，漏報率高。

第二階段是以基于模式匹配+簡單協(xié)議分析+異常統(tǒng)計為主的技術，其優(yōu)點是能夠分析處理一部分協(xié)議，可以進行重組;缺點是匹配效率較低，管理功能較弱。這種檢測技術實際上是在第一階段技術的基礎上增加了部分對異常行為分析的功能。

第三階段是以基于完全協(xié)議分析+模式匹配+異常統(tǒng)計為主的技術，其優(yōu)點是誤報率、漏報率和濫報率較低，效率高，可管理性強，并在此基礎上實現(xiàn)了多級分布式的檢測管理;缺點是可視化程度不夠，防范及管理功能較弱。

第四階段是以基于安全管理+協(xié)議分析+模式匹配+異常統(tǒng)計為主的技術，其優(yōu)點是入侵管理和多項技術協(xié)同工作，建立全局的主動保障體系，具有良好的可視化、可控性和可管理性。以該技術為核心，可構造一個積極的動態(tài)防御體系，即IMS——入侵管理系統(tǒng)。

新一代的入侵檢測系統(tǒng)應該是具有集成HIDS和NIDS的優(yōu)點、部署方便、應用靈活、功能強大、并提供攻擊簽名、檢測、報告和事件關聯(lián)等配套服務功能的智能化系統(tǒng)§5.3入侵檢測技術分類

從技術上講，入侵檢測技術大致分為基于知識的模式識別、基于知識的異常識別和協(xié)議分析三類。而主要的入侵檢測方法有特征檢測法、概率統(tǒng)計分析法和專家知識庫系統(tǒng)。

(1)基于知識的模式識別

這種技術是通過事先定義好的模式數據庫實現(xiàn)的，其基本思想是：首先把各種可能的入侵活動均用某種模式表示出來，并建立模式數據庫，然后監(jiān)視主體的一舉一動，當檢測到主體活動違反了事先定義的模式規(guī)則時，根據模式匹配原則判別是否發(fā)生了攻擊行為。

模式識別的關鍵是建立入侵模式的表示形式，同時，要能夠區(qū)分入侵行為和正常行為。這種檢測技術僅限于檢測出已建立模式的入侵行為，屬已知類型，對新類型的入侵是無能為力的，仍需改進。

(2)基于知識的異常識別

這種技術是通過事先建立正常行為檔案庫實現(xiàn)的，其基本思想是：首先把主體的各種正?；顒佑媚撤N形式描述出來，并建立“正?；顒訖n案”，當某種活動與所描述的正?；顒哟嬖诓町悤r，就認為是“入侵”行為，進而被檢測識別。

異常識別的關鍵是描述正?；顒雍蜆嫿ㄕ；顒訖n案庫。

利用行為進行識別時，存在四種可能：一是入侵且行為正常;二是入侵且行為異常;三是非入侵且行為正常;四是非入侵且行為異常。根據異常識別思想，把第二種和第四種情況判定為“入侵”行為。這種檢測技術可以檢測出未知行為，并具有簡單的學習功能。

以下是幾種基于知識的異常識別的檢測方法：

1)基于審計的攻擊檢測技術

這種檢測方法是通過對審計信息的綜合分析實現(xiàn)的，其基本思想是：根據用戶的歷史行為、先前的證據或模型，使用統(tǒng)計分析方法對用戶當前的行為進行檢測和判別，當發(fā)現(xiàn)可疑行為時，保持跟蹤并監(jiān)視其行為，同時向系統(tǒng)安全員提交安全審計報告。

2)基于神經網絡的攻擊檢測技術

由于用戶的行為十分復雜，要準確匹配一個用戶的歷史行為和當前的行為是相當困難的，這也是基于審計攻擊檢測的主要弱點。

而基于神經網絡的攻擊檢測技術則是一個對基于傳統(tǒng)統(tǒng)計技術的攻擊檢測方法的改進方向，它能夠解決傳統(tǒng)的統(tǒng)計分析技術所面臨的若干問題，例如，建立確切的統(tǒng)計分布、實現(xiàn)方法的普遍性、降低算法實現(xiàn)的成本和系統(tǒng)優(yōu)化等問題。

3)基于專家系統(tǒng)的攻擊檢測技術

所謂專家系統(tǒng)就是一個依據專家經驗定義的推理系統(tǒng)。這種檢測是建立在專家經驗基礎上的，它根據專家經驗進行推理判斷得出結論。例如，當用戶連續(xù)三次登錄失敗時，可以把該用戶的第四次登錄視為攻擊行為。

4)基于模型推理的攻擊檢測技術

攻擊者在入侵一個系統(tǒng)時往往采用一定的行為程序，如猜測口令的程序，這種行為程序構成了某種具有一定行為特征的模型，根據這種模型所代表的攻擊意圖的行為特征，可以實時地檢測出惡意的攻擊企圖，盡管攻擊者不一定都是惡意的。用基于模型的推理方法人們能夠為某些行為建立特定的模型，從而能夠監(jiān)視具有特定行為特征的某些活動。根據假設的攻擊腳本，這種系統(tǒng)就能檢測出非法的用戶行為。一般為了準確判斷，要為不同的入侵者和不同的系統(tǒng)建立特定的攻擊腳本。

使用基于知識的模式識別和基于知識的異常識別所得出的結論差異較大，甚至得出相反結論。這是因為基于知識的模式識別的核心是維護一個入侵模式庫，它對已知攻擊可以詳細、準確地報告出攻擊類型，但對未知攻擊卻無能為力，而且入侵模式庫必須不斷更新。而基于知識的異常識別則是通過對入侵活動的檢測得出結論的，它雖無法準確判斷出攻擊的手段，但可以發(fā)現(xiàn)更廣泛的、甚至未知的攻擊行為。

§5.4入侵檢測技術剖析

1）信號分析

對收集到的有關系統(tǒng)、網絡、數據及用戶活動的狀態(tài)和行為等信息，一般通過三種技術手段進行分析：模式匹配、統(tǒng)計分析和完整性分析。其中前兩種方法用于實時的入侵檢測，而完整性分析則用于事后分析。

2）模式匹配

模式匹配就是將收集到的信息與已知的網絡入侵和系統(tǒng)已有模式數據庫進行比較，從而發(fā)現(xiàn)違背安全策略的行為。該過程可以很簡單（如通過字符串匹配以尋找一個簡單的條目或指令），也可以很復雜（如利用正規(guī)的數學表達式來表示安全狀態(tài)的變化）。一般來講，一種進攻模式可以用一個過程（如執(zhí)行一條指令）或一個輸出（如獲得權限）來表示。該方法的一大優(yōu)點是只需收集相關的數據集合，顯著減少系統(tǒng)負擔，且技術已相當成熟。它與病毒防火墻采用的方法一樣，檢測準確率和效率都相當高。但是，該方法存在的弱點是需要不斷的升級以對付不斷出現(xiàn)的黑客攻擊手法，不能檢測到從未出現(xiàn)過的黑客攻擊手段。

3）統(tǒng)計分析

統(tǒng)計分析方法首先給系統(tǒng)對象（如用戶、文件、目錄和設備等）創(chuàng)建一個統(tǒng)計描述，統(tǒng)計正常使用時的一些測量屬性（如訪問次數、操作失敗次數和延時等）。在比較這一點上與模式匹配有些相象之處。測量屬性的平均值將被用來與網絡、系統(tǒng)的行為進行比較，任何觀察值在正常值范圍之外時，就認為有入侵發(fā)生。例如，本來都默認用GUEST帳號登錄的，突然用ADMINI帳號登錄。這樣做的優(yōu)點是可檢測到未知的入侵和更為復雜的入侵，缺點是誤報、漏報率高，且不適應用戶正常行為的突然改變。具體的統(tǒng)計分析方法如基于專家系統(tǒng)的、基于模型推理的和基于神經網絡的分析方法，目前正處于研究熱點和迅速發(fā)展之中。

4）完整性分析

完整性分析主要關注某個文件或對象是否被更改，這經常包括文件和目錄的內容及屬性，它在發(fā)現(xiàn)被更改的、被特咯伊化的應用程序方面特別有效。完整性分析利用強有力的加密機制，稱為消息摘要函數（例如MD5），它能識別哪怕是微小的變化。其優(yōu)點是不管模式匹配方法和統(tǒng)計分析方法能否發(fā)現(xiàn)入侵，只要是成功的攻擊導致了文件或其它對象的任何改變，它都能夠發(fā)現(xiàn)。缺點是一般以批處理方式實現(xiàn)，用于事后分析而不用于實時響應。盡管如此，完整性檢測方法還應該是網絡安全產品的必要手段之一。例如，可以在每一天的某個特定時間內開啟完整性分析模塊，對網絡系統(tǒng)進行全面地掃描檢查。

§5.5防火墻與入侵檢測的聯(lián)動

網絡安全是一個整體的動態(tài)的系統(tǒng)工程，不能靠幾個產品單獨工作來進行安全防范。理想情況下，整個系統(tǒng)的安全產品應該有一個響應協(xié)同，相互通信，協(xié)同工作。其中入侵檢測系統(tǒng)和防火墻之間的聯(lián)動就能更好的進行安全防護。圖8所示就是入侵檢測系統(tǒng)和防火墻之間的聯(lián)動，當入侵檢測系統(tǒng)檢測到入侵后，通過和防火墻通信，讓防火墻自動增加規(guī)則，以攔截相關的入侵行為，實現(xiàn)聯(lián)動聯(lián)防。

§5.6什么是VPN?

VPN的英文全稱是“VirtualPrivateNetwork”，翻譯過來就是“虛擬專用網絡”。顧名思義，虛擬專用網絡我們可以把它理解成是虛擬出來的企業(yè)內部專線。它可以通過特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個或多個企業(yè)內部網之間建立一條專有的通訊線路，就好比是架設了一條專線一樣，但是它并不需要真正的去鋪設光纜之類的物理線路。這就好比去電信局申請專線，但是不用給鋪設線路的費用，也不用購買路由器等硬件設備。VPN技術原是路由器具有的重要技術之一，目前在交換機，防火墻設備或Windows2000等軟件里也都支持VPN功能，一句話，VPN的核心就是在利用公共網絡建立虛擬私有網。

虛擬專用網（VPN）被定義為通過一個公用網絡（通常是因特網）建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全、穩(wěn)定的隧道。虛擬專用網是對企業(yè)內部網的擴展。虛擬專用網可以幫助遠程用戶、公司分支機構、商業(yè)伙伴及供應商同公司的內部網建立可信的安全連接，并保證數據的安全傳輸。虛擬專用網可用于不斷增長的移動用戶的全球因特網接入，以實現(xiàn)安全連接；可用于實現(xiàn)企業(yè)網站之間安全通信的虛擬專用線路，用于經濟有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網虛擬專用網。

§5.7VPN的特點

1.安全保障雖然實現(xiàn)VPN的技術和方式很多，但所有的VPN均應保證通過公用網絡平臺傳輸數據的專用性和安全性。在安全性方面，由于VPN直接構建在公用網上，實現(xiàn)簡單、方便、靈活，但同時其安全問題也更為突出。企業(yè)必須確保其VPN上傳送的數據不被攻擊者窺視和篡改，并且要防止非法用戶對網絡資源或私有信息的訪問。

2.服務質量保證（QoS）

VPN網應當為企業(yè)數據提供不同等級的服務質量保證。不同的用戶和業(yè)務對服務質量保證的要求差別較大。在網絡優(yōu)化方面，構建VPN的另一重要需求是充分有效地利用有限的廣域網資源，為重要數據提供可靠的帶寬。廣域網流量的不確定性使其帶寬的利用率很低，在流量高峰時引起網絡阻塞，使實時性要求高的數據得不到及時發(fā)送；而在流量低谷時又造成大量的網絡帶寬空閑。QoS通過流量預測與流量控制策略，可以按照優(yōu)先級分實現(xiàn)帶寬管理，使得各類數據能夠被合理地先后發(fā)送，并預防阻塞的發(fā)生。

3.可擴充性和靈活性

VPN必須能夠支持通過Intranet和Extranet的任何類型的數據流，方便增加新的節(jié)點，支持多種類型的傳輸媒介，可以滿足同時傳輸語音、圖像和數據等新應用對高質量傳輸以及帶寬增加的需求。

4.可管理性

從用戶角度和運營商角度應可方便地進行管理、維護。VPN管理的目標為：減小網絡風險、具有高擴展性、經濟性、高可靠性等優(yōu)點。事實上，VPN管理主要包括安全管理、設備管理、配置管理、訪問控制列表管理、QoS管理等內容。

§5.8VPN防火墻

VPN防火墻就是一種過濾塞（目前你這么理解不算錯），你可以讓你喜歡的東西通過這個塞子，別的玩意都統(tǒng)統(tǒng)過濾掉。在網絡的世界里，要由VPN防火墻過濾的就是承載通信數據的通信包。

最簡單的VPN防火墻是以太網橋。但幾乎沒有人會認為這種原始VPN防火墻能管多大用。大多數VPN防火墻采用的技術和標準可謂五花八門。這些VPN防火墻的形式多種多樣：有的取代系統(tǒng)上已經裝備的TCP/IP協(xié)議棧；有的在已有的協(xié)議棧上建立自己的軟件模塊；有的干脆就是獨立的一套操作系統(tǒng)。還有一些應用型的VPN防火墻只對特定類型的網絡連接提供保護（比如SMTP或者HTTP協(xié)議等）。還有一些基于硬件的VPN防火墻產品其實應該歸入安全路由器一類。以上的產品都可以叫做VPN防火墻，因為他們的工作方式都是一樣的：分析出入VPN防火墻的數據包，決定放行還是把他們扔到一邊。

所有的VPN防火墻都具有IP地址過濾功能。這項任務要檢查IP包頭，根據其IP源地址和目標地址作出放行/丟棄決定?？纯聪旅孢@張圖，兩個網段之間隔了一個VPN防火墻，VPN防火墻的一端有臺UNIX計算機，另一邊的網段則擺了臺PC客戶機。

當PC客戶機向UNIX計算機發(fā)起telnet請求時，PC的telnet客戶程序就產生一個TCP包并把它傳給本地的協(xié)議棧準備發(fā)送。接下來，協(xié)議棧將這個TCP包“塞”到一個IP包里，然后通過PC機的TCP/IP棧所定義的路徑將它發(fā)送給UNIX計算機。在這個例子里，這個IP包必須經過橫在PC和UNIX計算機中的VPN防火墻才能到達UNIX計算機。

現(xiàn)在我們“命令”（用專業(yè)術語來說就是配制）VPN防火墻把所有發(fā)給UNIX計算機的數據包都給拒了，完成這項工作以后，比較好的VPN防火墻還會通知客戶程序一聲呢！既然發(fā)向目標的IP數據沒法轉發(fā)，那么只有和UNIX計算機同在一個網段的用戶才能訪問UNIX計算機了。

還有一種情況，你可以命令VPN防火墻專給那臺可憐的PC機找茬，別人的數據包都讓過就它不行。這正是VPN防火墻最基本的功能：根據IP地址做轉發(fā)判斷。但要上了大場面這種小伎倆就玩不轉了，由于黑客們可以采用IP地址欺騙技術，偽裝成合法地址的計算機就可以穿越信任這個地址的VPN防火墻了。不過根據地址的轉發(fā)決策機制還是最基本和必需的。另外要注意的一點是，不要用DNS主機名建立過濾表，對DNS的偽造比IP地址欺騙要容易多了。

后記：

入侵檢測作為一種積極主動地安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護，在網絡系統(tǒng)受到危害之前攔截和響應入侵。入侵檢測系統(tǒng)面臨的最主要挑戰(zhàn)有兩個：一個是虛警率太高，一個是檢測速度太慢。現(xiàn)有的入侵檢測系統(tǒng)還有其他技術上的致命弱點。因此，可以這樣說，入侵檢測產品仍具有較大的發(fā)展空間，從技術途徑來講，除了完善常規(guī)的、傳統(tǒng)的技術（模式識別和完整性檢測）外，應重點加強統(tǒng)計分析的相關技術研究。

但無論如何，入侵檢測不是對所有的入侵都能夠及時發(fā)現(xiàn)的，即使擁有當前最強大的入侵檢測系統(tǒng)，如果不及時修補網絡中的安全漏洞的話，安全也無從談起。

同樣入侵檢測技術也存在許多缺點，IDS的檢測模型始終落后于攻擊者的新知識和技術手段。主要表現(xiàn)在以下幾個方面：

1)利用加密技術欺騙IDS;

2)躲避IDS的安全策略;

3)快速發(fā)動進攻，使IDS無法反應;

4)發(fā)動大規(guī)模攻擊，使IDS判斷出錯;

5)直接破壞IDS;

6)智能攻擊技術，邊攻擊邊學習，變IDS為攻擊者的工具。

我認為在與防火墻技術結合中應該注意擴大檢測范圍和類別、加強自學習和自適應的能力方面發(fā)展。

參考文獻：

1..MarcusGoncalves著。宋書民，朱智強等譯。防火墻技術指南[M]。機械工業(yè)出版社

2.梅杰，許榕生。Internet防火墻技術新發(fā)展。微電腦世界.

篇2

關鍵字貝葉斯；核密度；入侵檢測；分類

1前言

在入侵檢測系統(tǒng)中，為了提高系統(tǒng)的性能，包括降低誤報率和漏報率，縮短反應時間等，學者們引入了許多方法，如專家系統(tǒng)、神經網絡、遺傳算法和數據挖掘中的聚類，分類等各種算法。例如：Cooper&Herkovits提出的一種基于貪心算法的貝葉斯信念網絡，而Provan&SinghProvan，G.M&SinghM和其他學者報告了這種方法的優(yōu)點。貝葉斯網絡說明聯(lián)合條件概率分布，為機器學習提供一種因果關系的圖形，能有效的處理某些問題，如診斷：貝葉斯網絡能正確的處理不確定和有噪聲的問題，這類問題在任何檢測任務中都很重要。

然而，在分類算法的比較研究發(fā)現(xiàn)，一種稱作樸素貝葉斯分類的簡單貝葉斯算法給人印象更為深刻。盡管樸素貝葉斯的分類器有個很簡單的假定，但從現(xiàn)實數據中的實驗反復地表明它可以與決定樹和神經網絡分類算法相媲美[1]。

在本文中，我們研究樸素貝葉斯分類算法，用來檢測入侵審計數據，旨在開發(fā)一種更有效的，檢驗更加準確的算法。

2貝葉斯分類器

貝葉斯分類是統(tǒng)計學分類方法。它們可以預測類成員關系的可能性，如給定樣本屬于一個特定類的概率。

樸素貝葉斯分類[2]假定了一個屬性值對給定類的影響獨立于其它屬性的值，這一假定稱作類條件獨立。

設定數據樣本用一個n維特征向量X={x1，x2，，xn}表示，分別描述對n個屬性A1，A2，，An樣本的n個度量。假定有m個類C1，C2，，Cm。給定一個未知的數據樣本X（即沒有類標號），樸素貝葉斯分類分類法將預測X屬于具有最高后驗概率（條件X下）的類，當且僅當P(Ci|X)>P(Cj|X)，1≤j≤m，j≠i這樣，最大化P(Ci|X)。其中P(Ci|X)最大類Ci稱為最大后驗假定，其原理為貝葉斯定理：

公式(1)

由于P(X)對于所有類為常數，只需要P(X|Ci)P(Ci)最大即可。并據此對P(Ci|X)最大化。否則，最大化P(X|Ci)P(Ci)。如果給定具有許多屬性的數據集，計算P(X|Ci)P(Ci)的開銷可能非常大。為降低計算P(X|Ci)的開銷，可以做類條件獨立的樸素假定。給定樣本的類標號，假定屬性值相互條件獨立，即在屬性間，不存在依賴關系，這樣，

公式(2)

概率，可以由訓練樣本估值：

(1)如果Ak是分類屬性，則P(xk|Ci)=sik/si其中sik是Ak上具有值xk的類Ci的訓練樣本數，而si是Ci中的訓練樣本數。

(2)如果Ak是連續(xù)值屬性，則通常假定該屬性服從高斯分布。因而

公式(3)

其中，給定類Ci的訓練樣本屬性Ak的值，是屬性Ak的高斯密度函數，而分別為平均值和標準差。

樸素貝葉斯分類算法(以下稱為NBC)具有最小的出錯率。然而，實踐中并非如此，這是由于對其應用假定（如類條件獨立性）的不確定性，以及缺乏可用的概率數據造成的。主要表現(xiàn)為：

①不同的檢測屬性之間可能存在依賴關系，如protocol_type，src_bytes和dst_bytes三種屬性之間總會存在一定的聯(lián)系；

②當連續(xù)值屬性分布是多態(tài)時，可能產生很明顯的問題。在這種情況下，考慮分類問題涉及更加廣泛，或者我們在做數據分析時應該考慮另一種數據分析。

后一種方法我們將在以下章節(jié)詳細討論。

3樸素貝葉斯的改進：核密度估計

核密度估計是一種普便的樸素貝葉斯方法，主要解決由每個連續(xù)值屬性設為高斯分布所產生的問題，正如上一節(jié)所提到的。在[3]文中，作者認為連續(xù)屬性值更多是以核密度估計而不是高斯估計。

樸素貝葉斯核密度估計分類算法（以下稱K-NBC）十分類似如NBC，除了在計算連續(xù)屬性的概率時：NBC是使用高斯密度函數來評估該屬性，而K-NBC正如它的名字所說得一樣，使用高斯核密度函數來評估屬性。它的標準核密度公式為

公式(4)

其中h=σ稱為核密度的帶寬，K=g（x,0,1），定義為非負函數。這樣公式（4）變形為公式（5）

公式(5)

在K-NBC中采用高斯核密度為數據分析，這是因為高斯密度有著更理想的曲線特點。圖1說明了實際數據的概率分布更接近高斯核密度曲線。

圖1兩種不同的概率密度對事務中數據的評估，其中黑線代表高斯密度，虛線為核估計密度并有兩個不同值的帶寬樸素貝葉斯算法在計算μc和σc時，只需要存儲觀測值xk的和以及他們的平方和，這對一個正態(tài)分布來說是已經足夠了。而核密度在訓練過程中需要存儲每一個連續(xù)屬性的值（在學習過程中，對名詞性屬性只需要存儲它在樣本中的頻率值，這一點和樸素貝葉斯算法一樣）。而為事例分類時，在計算連續(xù)值屬性的概率時，樸素貝葉斯算法只需要評估g一次，而核密度估計算法需要對每個c類中屬性X每一個觀察值進行n次評估，這就增加計算存儲空間和時間復雜度，表1中對比了兩種方法的時間復雜度和內存需求空間。

4實驗研究與結果分析

本節(jié)的目標是評價我們提出核密度評估分類算法對入侵審計數據分類的效果，主要從整體檢測率、檢測率和誤檢率上來分析。

表1在給定n條訓練事務和m個檢測屬性條件下，

NBC和K-NBC的算法復雜度

樸素貝葉斯核密度

時間空間時間空間

具有n條事務的訓練數據O(nm)O(m)O(nm)O(nm)

具有q條事務的測試數據O(qm)O(qnm)

4.1實驗建立

在實驗中，我們使用NBC與K-NBC進行比較。另觀察表1兩種算法的復雜度，可得知有效的減少檢測屬性，可以提高他們的運算速度，同時刪除不相關的檢測屬性還有可以提高分類效率，本文將在下一節(jié)詳細介紹對稱不確定方法[4]如何對入侵審計數據的預處理。我們也會在實驗中進行對比分析。

我們使用WEKA來進行本次實驗。采用KDDCUP99[5]中的數據作為入侵檢測分類器的訓練樣本集和測試樣本集，其中每個記錄由41個離散或連續(xù)的屬性(如：持續(xù)時間，協(xié)議類型等)來描述，并標有其所屬的類型(如：正?；蚓唧w的攻擊類型)。所有數據分類23類，在這里我們把這些類網絡行為分為5大類網絡行為（Normal、DOS、U2R、R2L、Probe）。

在實驗中，由于KDDCUP99有500多萬條記錄，為了處理的方便，我們均勻從kddcup.data.gz中按照五類網絡行為抽取了5萬條數據作為訓練樣本集，并把他們分成5組，每組數據為10000條，其中normal數據占據整組數據中的98.5%，這一點符合真實環(huán)境中正常數據遠遠大于入侵數據的比例。我們首

先檢測一組數據中只有同類的入侵的情況，共4組數據（DOS中的neptune，Proble中的Satan，U2R中的buffer_overflow，R2l中的guess_passwd），再檢測一組數據中有各種類型入侵數據的情況。待分類器得到良好的訓練后，再從KDD99數據中抽取5組數據作為測試樣本，分別代表Noraml-DOS，Normal-Probe，Normal-U2R，Normal-R2L，最后一組為混后型數據，每組數據為1萬條。

4.2數據的預處理

由于樸素貝葉斯有個假定，即假定所有待測屬性對給定類的影響獨立于其他屬性的值，然而現(xiàn)實中的數據不總是如此。因此，本文引入對稱不確定理論來對數據進行預處理，刪除數據中不相關的屬性。

對稱不確定理論是基于信息概念論，首先我們先了解一下信息理論念，屬性X的熵為：

公式(6)

給定一個觀察變量Y，變量X的熵為:

公式(7)

P(xi)是變量X所有值的先驗概率，P(xi|yi)是給定觀察值Y，X的后驗概率。這些隨著X熵的降低反映在條件Y下，X額外的信息，我們稱之為信息增益，

公式(8)

按照這個方法，如果IG(X|Y)＞IG(X|Y)，那么屬性Y比起屬性Z來，與屬性X相關性更強。

定理：對兩個隨機變量來說，它們之間的信息增益是對稱的。即

公式(9)

對測量屬性之間相關性的方法來說，對稱性是一種比較理想的特性。但是在計算有很多值的屬性的信息增益時，結果會出現(xiàn)偏差。而且為了確保他們之間可以比較，必須使這些值離散化，同樣也會引起偏差。因此我們引入對稱不確定性，

公式(10)

通過以下兩個步驟來選擇好的屬性：

①計算出所有被測屬性與class的SU值，并把它們按降序方式排列；

②根據設定的閾值刪除不相關的屬性。

最后決定一個最優(yōu)閾值δ，這里我們通過分析NBC和K-NBC計算結果來取值。

4.3實驗結果及分析

在試驗中，以記錄正確分類的百分比作為分類效率的評估標準，表2為兩種算法的分類效率。

表2對應相同入侵類型數據進行檢測的結果

數據集

算法DOS

(neptune)Proble

(satan)R2L

(guess_passwd)U2R

(buffer_overflow)

檢測率誤檢率整體檢測率檢測率誤檢率整體檢測率檢測率誤檢率整體檢測率檢測率誤檢率整體檢測率

NBC99.50.299.7998.30.199.8497.30.899.2951.898.21

K-NBC99.50.299.9698.3099.9697.30.299.81710.199.76

SU+NBC99.5099.9698.30.199.85980.799.2491.198.84

SU+K-NBC99.5099.9698.3099.9698.70.299.76850.199.81

根據表2四組不同類別的入侵檢測結果，我們從以下三個方面分析：

（1）整體檢測率。K-NBC的整體檢測率要比NBC高，這是因為K-NBC在對normal這一類數據的檢測率要比NBC高，而normal這一類數據又占整個檢測數據集數的95%以上，這也說明了在上一節(jié)提到的normal類的數據分布曲線更加接近核密度曲線。

（2）檢測率。在對DOS和PROBLE這兩組數據檢測結果，兩個算法的檢測率都相同，這是因為這兩類入侵行為在實現(xiàn)入侵中占絕大部分，而且這一類數據更容易檢測，所以兩種算法的檢測效果比較接近；針對R2L檢測，從表2可以看到，在沒有進行數據預處理之前，兩者的的檢測率相同，但經過數據預處理后的兩個算法的檢測率都有了提高，而K-NBC的效率比NBC更好點；而對U2R的檢測結果，K-NBC就比NBC差一點，經過數據預處理后，K-NBC的檢測率有一定的提高，但還是比NBC的效果差一些。

（3）誤檢率。在DOS和Proble這兩種組數據的誤檢率相同，在其他兩組數據的中，K-NBC的誤檢率都比NBC的低。

根據表3的結果分析，我們也可以看到的檢測結果與表2的分組檢測的結果比較類似，并且從綜合角度來說，K-NBC檢測效果要比NBC的好。在這里，我們也發(fā)現(xiàn)，兩種算法對R2L和U2L這兩類入侵的檢測效果要比DOS和Proble這兩類入侵的差。這主要是因為這兩類入侵屬于入侵行為的稀有類，檢測難度也相應加大。在KDD99競賽中，冠軍方法對這兩類的檢測效果也是最差的。但我們可以看到NBC對這種稀有類的入侵行為檢測更為準確一點，這應該是稀有類的分布更接近正態(tài)分布。

從上述各方面綜合分析，我們可以證明K-NBC作為的入侵檢測分類算法的是有其優(yōu)越性的。

表3對混合入侵類型數據進行檢測的結果

數據集

算法整體檢測分類檢測

NormalDosProbleR2LU2R

檢測率誤檢率檢測率誤檢率檢測率誤檢率檢測率誤檢率檢測率誤檢率檢測率誤檢率

NBC98.141.898.20.899.8099.8090086.71.8

K-NBC99.780.299.82.399.8099.8096073.30.1

SU+NBC97.992.0980.899.8099.8090086.71.9

SU+K-NBC99.790.299.81.999.8099.80960800.1

5結論

在本文中，我們用高斯核密度函數代替樸素貝葉斯中的高斯函數，建立K-NBC分類器，對入侵行為進行檢測，另我們使用對稱不確定方法來刪除檢測數據的中與類不相關的屬性，從而進一步改進核密度樸素貝葉斯的分類效率，實驗表明，對預處理后的審計數據，再結合K-NBC來檢測，可以達到更好的分類效果，具有很好的實用性。同時我們也注意到，由于入侵檢測的數據中的入侵行為一般為稀有類，特別是對R2L和U2R這兩類數據進行檢測時，NBC有著比較理想的結果，所以在下一步工作中，我們看是否能把NBC和K－NBC這兩種分類模型和優(yōu)點聯(lián)合起來，并利用對稱不確定理論來刪除檢測數據與類相關的屬性中的冗余屬性，進一步提高入侵檢測效率。

參考文獻

[1]Langley.P.，Iba，W.&Thompson，K.AnanalysisofBayesianclassifiers[A]，in“ProceedingsoftheTenthNationalConferenceonArtificialIntelligence”[C]MenloPark，1992.223-228

[2]HanJ.，KamberM..數據挖掘概念與技術[M].孟小峰，等譯.北京：機械工業(yè)出版社.2005.196201

[3]JohnG.H..EnhancementstotheDataMiningProcess[D].Ph.D.Thesis，ComputerScienceDept.，StanfordUniversity，1997

篇3

關鍵詞：校園網絡；黑客攻擊；入侵技術

1 校園網絡安全現(xiàn)狀

隨著網絡應用的普及，電子商務！電子銀行和電子政務等網絡服務的大力發(fā)展，網絡在人們日常生活中的應用越來越多重要性越來越大，網絡攻擊也越來越嚴重。有一些人專門利用他們掌握的信息技術知識從事破壞活動，入侵他人計算機系統(tǒng)竊??！修改和破壞重要信息，給社會造成了巨大的損。隨著攻擊手段的變化，傳統(tǒng)的以身份驗證、加密、防火墻為主的靜態(tài)安全防護體系已經越來越難以適應日益變化的網絡環(huán)境，尤其是授權用戶的濫用權利行為，幾乎只有審計才能發(fā)現(xiàn)園網是國內最大的網絡實體，如何保證校園網絡系統(tǒng)的安全，是擺在我們面前的最重要問題。

因此，校園網對入侵檢測系統(tǒng)也有著特別的需求校園網的特點是在線用戶比率高、上網時間長、用戶流量大、對服務器訪問量大，這種情況下，校園網絡面臨著許多安全方面的威脅：

（1）黑客攻擊，特別是假冒源地址的拒絕服務攻擊屢有發(fā)生攻擊者通過一些簡單的攻擊工具，就可以制造危害嚴重的網絡洪流，耗盡網絡資源或使主機系統(tǒng)資源遭到攻擊同時，攻擊者常常借助偽造源地址的方法，使網絡管理員對這種攻擊無可奈何。

（2）病毒和蠕蟲，在高速大容量的局域網絡中，各種病毒和蠕蟲，不論新舊都很容易通過有漏洞的系統(tǒng)迅速傳播擴散"其中，特別是新出現(xiàn)的網絡蠕蟲，常?？梢栽诒l(fā)初期的幾個小時內就閃電般席卷全校，造成網絡阻塞甚至癱瘓。

（3）濫用網絡資源，在校園網中總會出現(xiàn)濫用帶寬等資源以致影響其他用戶甚至整個網絡正常使用的行為如各種掃描、廣播、訪問量過大的視頻下載服務等等。入侵檢測系統(tǒng)（IntrusionDeteetionSystem，IDS）的出現(xiàn)使得我們可以主動實時地全面防范網絡攻擊N工DS指從網絡系統(tǒng)的若干節(jié)點中搜集信息并進行分析，從而發(fā)現(xiàn)網絡系統(tǒng)中是否有違反安全策略的行為，并做出適當的響應"它既能檢測出非授權使用計算機的用戶，也能檢測出授權用戶的濫用行為。

IDS按照功能大致可劃分為主機入侵檢測（HostIDS，HIDS）網絡入侵檢測（NetworkIDS，NIDS）分布式入侵檢測（DistributedIDS，DIDS）其中，網絡入侵檢測的特點是成本低，實時地檢測和分析，而且可以檢測到未成功的攻擊企圖"從分析方法的角度可分為異常檢測（Anomaly DeteCtion）和誤用檢測（MISuseDeteCtion）其中誤用檢測是指定義一系列規(guī)則，符合規(guī)則的被認為是入侵其優(yōu)點是誤報率低、開銷小、效率高Snort作為IDS的經典代表，是基于網絡和誤用檢測的入侵檢測系統(tǒng)入侵檢測技術自20世紀80年代早起提出以來，在早期的入侵檢測系統(tǒng)中，大多數是基于主機的，但是在過去的10年間基于網絡的入侵檢測系統(tǒng)占有主要地位，現(xiàn)在和未來的發(fā)展主流將是混合型和分布式形式的入侵檢測系統(tǒng)。

2 入侵檢測研究現(xiàn)狀

國外機構早在20世紀80年代就開展了相關基礎理論研究工作。經過20多年的不斷發(fā)展，從最初的一種有價值的研究想法和單純的理論模型，迅速發(fā)展出種類繁多的各種實際原型系統(tǒng)，并且在近10年內涌現(xiàn)出許多商用入侵檢測系統(tǒng)，成為計算機安全防護領域內不可缺少的一種安全防護技術。Anderson在1980年的報告“Computer Seeurity Threat Monitoring and Surveillance”中，提出必須改變現(xiàn)有的系統(tǒng)審計機制，以便為專職系統(tǒng)安全人員提供安全信息，此文被認為是有關入侵檢測的最早論述；1984一1986年，Dorothy E.Denning和Peter G.Neumann聯(lián)合開發(fā)了一個實時IDES（Intrusion DeteCtion Expert System），IDES采用統(tǒng)計分析，異常檢測和專家系統(tǒng)的混合結構，Delming1986年的論文“An Intrusion Deteetion Modelo”，被公認為是入侵檢測領域的另一開山之作"。1987年，Dorothy Denning發(fā)表的經典論文AnIntursion Deteetion Modelo中提出了入侵檢測的基本模型，并提出了幾種可用于入侵檢測的統(tǒng)計分析模型。Dnening的論文正式啟動了入侵檢測領域的研究工作，在發(fā)展的早期階段，入侵檢測還僅僅是個有趣的研究領域，還沒有獲得計算機用戶的足夠注意，因為，當時的流行做法是將計算機安全的大部分預算投入到預防性的措施上，如：加密、身份驗證和訪問控制等方面，而將檢測和響應等排斥在外。到了1996年后，才逐步出現(xiàn)了大量的商用入侵檢測系統(tǒng)。從20世紀90年代到現(xiàn)在，入侵檢測系統(tǒng)的研發(fā)呈現(xiàn)出百家爭鳴的繁榮局面，并在智能化和分布式兩個方向取得了長足的進展。其中一種主要的異常檢測技術是神經網絡技術，此外，如基于貝葉斯網絡的異常檢測方法，基于模式預測的異常檢測方法，基于數據挖掘的異常檢測方法以及基于計算機免疫學的檢測方法也相繼出現(xiàn)，對于誤用入侵檢測也有多種檢測方法，如專家系統(tǒng)（expert system），特征分析（Signature analysis），狀態(tài)轉移分析（State transition analysis）等.

入侵檢測系統(tǒng)的典型代表是ISSInc（國際互聯(lián)網安全系統(tǒng)公司）Rea1Secure產品。較為著名的商用入侵檢測產品還有：NAJ公司的CyberCoPMoitor、Axent公司的Netprowler、CISCO公司的Netranger、CA公司的SeSSionwall-3等。目前，普渡大學、加州大學戴維斯分校、洛斯阿拉莫斯國家實驗室、哥倫比亞大學、新墨西哥大學等機構在這些方面的研究代表了當前的最高水平。隨著計算機系統(tǒng)軟、硬件的飛速發(fā)展，以及網絡技術、分布式計算！系統(tǒng)工程！人工智能等計算機新興技術與理論的不斷發(fā)展與完善，入侵檢測理論本身也處于發(fā)展變化中，但還未形成一個比較完整的理論體系。

在國內，隨著上網的關鍵部門、關鍵業(yè)務越來越多，更需要具有自主版權的入侵檢測產品。我國在這方面的研究相對晚，國內的該類產品較少，但發(fā)展較快，己有總參北方所、中科網威、啟明星辰，H3C等公司推出產品。至今日入侵檢測技術仍然改變了以往被動防御的特點，使網絡管理員能夠主動地實時跟蹤各種危害系統(tǒng)安全的入侵行為并做出及時的響應，尤其在抵御網絡內部人員的破壞時更有獨到的特點，因而成為了防火墻之后的又一道安全防線。

隨著互聯(lián)網的進一步普及和深入，入侵檢測技術有著更廣泛的發(fā)展前途和實際價值。盡管問題尚存，但希望更大，相信目前正在研究的大規(guī)模分布式入侵檢測系統(tǒng)、基于多傳感器的數據融合、基于計算機免疫技術、基于神經網絡及基于遺傳算法等的新一代入侵檢測系統(tǒng)一定能夠解決目前面臨到種種問題，更好地完成抵御入侵的任務。

3 未來和展望

隨著網絡規(guī)模和復雜程度的不斷增長，如何在校園網多校區(qū)乃至異構網絡環(huán)境下收集和處理分布在網絡各處的不同格式信息！如何進行管理域間的合作以及保證在局部入侵檢測失效的情況下維持系統(tǒng)整體安全等"同時，伴隨著大量諸如高速/超高速接入手段的出現(xiàn)，如何實現(xiàn)高速/超高速網絡下的實時入侵檢測。降低丟包率也成為一個現(xiàn)實的問題，面對G級的網絡數據流量，傳統(tǒng)的軟件結構和算法都需要重新設計；開發(fā)和設計適當的專用硬件也成為研究方向之一"時至今日，入侵檢測系統(tǒng)的評估測試方面仍然不成熟，如何對入侵檢測系統(tǒng)進行評估是一個重要而敏感的話題。

參考文獻

[1]董明明，鞏青歌.Snort規(guī)則集的優(yōu)化方法.計算機安全.2009.8：35-37

篇4

論文摘要:自從有了計算機網絡，資源和信息的共享更方便了，但信息安全變得困難了，文章就網絡的安全進行了探討。

隨著計算機信息技術的發(fā)展，使網絡成為全球信息傳遞和交互的主要途徑，改變著人們的生產和生活方式。網絡信息已經成為社會發(fā)展的重要組成部分，對政治、經濟、軍事、文化、教育等諸多領域產生了巨大的影響。事實上，網絡安全已經成為關系國家主權和國家安全、經濟繁榮和社會穩(wěn)定、文化傳承和教育進步的重大問題，因此，我們在利用網絡信息資源的同時，必須加強網絡信息安全技術的研究和開發(fā)。

1網絡安全的概念

運用網絡的目的是為了利用網絡的物理或邏輯的環(huán)境，實現(xiàn)各類信息的共享，計算機網絡需要保護傳輸中的敏感信息，需要區(qū)分信息的合法用戶和非法用戶。在使用網絡的同時，有的人可能無意地非法訪問并修改了某些敏感信息，致使網絡服務中斷，有的人出于各種目的有意地竊取機密信息，破壞網絡的正常運作。所有這些都是對網絡的威脅。因此，網絡安全從其本質上來講就是網絡的信息安全，主要研究計算機網絡的安全技術和安全機制，以確保網絡免受各種威脅和攻擊，做到正常而有序地工作。

2網絡安全的分析

確保網絡安全應從以下四個方面著手:

①運行系統(tǒng)的安全。硬件系統(tǒng)的可靠安全運行，計算機操作系統(tǒng)和應用軟件的安全，數據庫系統(tǒng)的安全，側重于保證系統(tǒng)正常地運行，其本質是保護系統(tǒng)的合法操作和正常運行。②網絡上系統(tǒng)信息的安全。即確保用戶口令鑒別、用戶存取權限控制，數據存取權限、數據加密、計算機病毒防治等方面的安全。③網絡上信息傳播的安全。信息傳播后的安全，包括信息過濾等。其側重于防止和控制非法、有害的信息傳播產生的后果，避免網絡上傳輸的信息失控。④網絡上信息內容的安全。即保護信息的保密性、真實性和完整性。保護用戶的利益和隱私。

3網絡安全的攻略

網絡的任何一部分都存在安全隱患，針對每一個安全隱患需要采取具體的措施加以防范。目前常用的安全技術有包過濾技術、加密技術、防火墻技術、入侵檢測技術等。下面分別介紹:

①包過濾技術。它可以阻止某些主機隨意訪問另外一些主機。包過濾功能通常在路由器中實現(xiàn)，具有包過濾功能的路由器叫包過濾路由器。網絡管理員可以配置包過濾路由器，來控制哪些包可以通過，哪些包不可以通過。

②加密技術。凡是用特種符號按照通信雙方約定的方法把數據的原形隱藏起來，不為第三者所識別的通信方式稱為密碼通信。在計算機通信中，采用密碼技術將信息隱蔽起來，再將隱蔽后的信息傳播出去，是信息在傳輸過程中即使被竊取或截獲，竊取者也不能了解信息的內容，從而保證信息傳輸的安全。

③防火墻技術。防火墻將網絡分為內部和外部網絡，內部網絡是安全的和可信賴的，而外部網絡則是不太安全。它是一種計算機硬件和軟件的結合，對內部網絡和外部網絡之間的數據流量進行分析、檢測、管理和控制，從而保護內部網絡免受外部非法用戶的侵入。

④入侵檢測技術。通過對計算機網絡和主機系統(tǒng)中的關鍵信息進行實時采集和分析，從而判斷出非法用戶入侵和合法用戶濫用資源的行為，并作出適當反應的網絡安全技術。

根據入侵檢測系統(tǒng)的技術與原理的不同，可以分為異常入侵檢測、誤用入侵檢測和特征檢測三種。

異常入侵檢測技術。收集一段時間內合法用戶行為的相關數據，然后使用統(tǒng)計方法來考察用戶行為，來斷定這些行為是否符合合法用戶的行為特征。如果能檢測所有的異常活動，就能檢測所有的入侵性活動。

誤用入侵檢測技術。假設具有能夠被精確地按某種方式編碼的攻擊，并可以通過捕獲攻擊及重新整理，確認入侵活動是基于同一弱點進行攻擊的入侵方法的變種。它是通過按照預先定義好的入侵模式以及觀察到入侵發(fā)生情況進行模式匹配來檢測。

特征檢測。此方法關注的是系統(tǒng)本身的行為，定義系統(tǒng)行為輪廓，并將系統(tǒng)行為與輪廓進行比較，對未指明為正常行為的事件定義為入侵。

網絡安全已經成為網絡發(fā)展的瓶頸，也是一個越來越引起世界關注的重要問題。只有重視了網絡安全，才能將可能出現(xiàn)的損失降到最低。

參考文獻

[1] 郭秋萍.計算機網絡技術[M].北京:清華大學出版社，2008.

[2] 張震.計算機網絡技術實用教程[M].北京:北京交通大學出版社，2009.

篇5

關鍵詞：無線傳感器網絡；入侵檢測；機器學習；博弈論

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2011)13-3004-03

Survey on Intrusion Detection System in Wireless Sensor Networks

DUAN Xiao-yang1, MA Hui-fang2, HAN Zhi-jie1, WANG Guan-nan1

(1.School of Computer and Information Engineering Henan University, Kaifeng 475004, China; 2.Kaifeng Institute of Education, Kaifeng 475004, China)

Abstract: Recently, wireless sensor networks has an increasingly wide range of applications in intelligent environmental monitoring, disaster control, battlefield surveillance and security monitoring. It caused growing concern. So the wireless sensor network security appears particularly important. The paper firstly depicted the intrusion and intrusion detection. Then the current intrusion detection techniques in wireless sensor networks as well as their advantages and disadvantages are described and analyzed in detail by classification. Finally the paper stated the possible intrusion detection technology in wireless sensor networks.

Key words: WSN; intrusion detection; machine learning; game theory

無線傳感器網絡(wireless sensor network,簡稱WSN )的相關研究已經成為現(xiàn)階段國內外研究的熱點[1-4]。與目前常見的無線網絡相比，無線傳感器網絡具有以下特征：網絡的自組織性，動態(tài)變化的網絡拓撲結構，分布式控制，多條無線網絡，節(jié)點功能的局限性，無線網絡的局限性，安全性差，數量多、規(guī)模大，數據冗余與匯聚等。

有關安全的研究和歷史表明，不管在網絡中采取多么先進的安全措施，攻擊者總有可能找到網絡系統(tǒng)的弱點，實施攻擊。單獨使用預防技術（如加密、身份認證等）難以達到預期的安全目標，這些技術可以降低網絡被攻擊的可能性，但是不能完全杜絕攻擊，因此，安全的防御措施也是不可或缺的，入侵檢測系統(tǒng)（IDS Instruction Detection System）是近年來出現(xiàn)的新型網絡安全技術，它彌補了上述防范措施的不足，可以為網絡安全提供實時的入侵檢測及采取相應的保護。

本文主要對入侵檢測系統(tǒng)和現(xiàn)階段的入侵檢測技術進行分類介紹和分析，并對比各自的優(yōu)缺點，最后提出自己對無線傳感器網絡入侵檢測技術發(fā)展的展望。

1 入侵和入侵檢測

入侵行為被定義為任何試圖破壞目標資源的完整性、機密性和可訪問性的動作。入侵一般可簡單分為外部入侵和內部入侵。Denning在1987年發(fā)表的論文中，首先對入侵檢測系統(tǒng)模式做出定義：一般而言，入侵檢測通過網絡風暴或信息的收集，檢測可能的入侵行為，并且能在入侵行為造成危害前及時發(fā)出報警同質系統(tǒng)管理員并進行相關的處理措施。為達成這個目的，入侵檢測系統(tǒng)應包含3個必要功能的組件（信息收集、檢測引擎和相應組件），如圖1所示。

2 入侵檢測系統(tǒng)的分類

1) 根據數據信息來源進行分類

基于主機的IDS（HIDS）：在操作系統(tǒng)、應用程序或內核層次上對攻擊進行檢測。系統(tǒng)獲取數據的依據是系統(tǒng)運行所在的主機，保護的目標也是系統(tǒng)運行所在的主機，通過監(jiān)視和分析主機的審計記錄和日志文件來檢測入侵。

基于網絡的IDS（NIDS）：系統(tǒng)獲取數據的來源是網絡傳輸的原始數據包，NIDS放置在網絡基礎設施的關鍵區(qū)域，通常利用一個運行在隨機模式下的網絡適配器來實時監(jiān)視并分析通過網絡的所有通信業(yè)務，保護的目標是網路的運行。

混合型的IDS：它是基于主機和基于網絡的的入侵檢測系統(tǒng)的結合，在網絡中配置NIDS以檢測整個網絡的安全情況，同時在那些關鍵的主機上配置HIDS，這可以提供比采用單一的入侵檢測方案更為安全的保護。

2) 根據響應方式的不同進行分類

主動響應IDS：如果檢測出入侵后，能夠主動重新配置防火墻、關閉適當的服務或反擊入侵者，那么就被稱為主動響應。

被動響應IDS：若檢測到入侵后僅僅給出警報或記錄日志，就是被動響應。

3) 根據系統(tǒng)各個模塊運行的分布式方式不同進行分類

集中式入侵檢測：它有一個中心計算機負責監(jiān)控、檢測和響應等工作，這種適用于網絡比較簡單的情況下。

分布式入侵檢測：他它用一個移動的方式監(jiān)視和檢測，每個分析點都有響應的能力。

4) 根據分析方法的不同進行分類

異常入侵檢測：這種方法首先總結出正常操作應該具有的特征，在得出正常操作的模型后，對后續(xù)的操作進行監(jiān)視，一旦發(fā)現(xiàn)偏離正常統(tǒng)計學意義上的操作模式，即進行報警。

誤用入侵檢測：這種方法首先收集非正常操作也即入侵行為的特征，建立相關的特征庫，在后續(xù)的檢測過程中，將收集到的數據與特征庫中的特征代碼相比較，得出是否入侵的結論。

混合型入侵檢測：即異常檢測和誤用檢測的結合，基于異常的入侵檢測可以發(fā)現(xiàn)一些未知的的攻擊，對具體系統(tǒng)的依賴性相對較小，但誤報率很高，配置和實現(xiàn)也相對困難；基于誤用的入侵檢測能比較準確地檢測到已經標識的入侵行為，但是對具體的系統(tǒng)依賴性很大，移植性差，而且不能檢測到新的攻擊類型。所以，只有把二者有機結合起來，才能達到最佳的系統(tǒng)性能，如圖2是一個通用的將二者結合起來的檢測方法。

3 入侵檢測技術

傳感器網絡的資源局限性和應用相關性等特點，決定了對其入侵檢測機制的研究是一個極具挑戰(zhàn)性的課題，一個行之有效的傳感器網絡入侵檢測系統(tǒng)須要具有簡單性、實時性和檢測準確性三個特性。下面主要介紹一下目前的無線傳感器網絡檢入侵檢測技術方法及其各自的優(yōu)缺點：

1) 基于多Agent的入侵檢測。

王培等在文獻[5]中針對分簇式無線傳感器網絡提出了基于多的入侵檢測方法，其系統(tǒng)結構如圖3所示。

通過讓節(jié)點和簇頭分別執(zhí)行不同檢測任務，結合本地檢測和聯(lián)合檢測，并采用多個模塊分別實現(xiàn)數據收集、分析檢測和入侵響應和管理的任務,以便使系統(tǒng)具有操作簡單、易于擴展、能耗降低、安全性提高的特點。但是該方案中每個節(jié)點中都需要配備監(jiān)視Agent、檢測Agent、響應Agent和管理Agent，會占用節(jié)點的大量存儲空間，而且也會增加節(jié)點的能源消耗。

這種方法可以減少網絡負載，克服網絡延遲和良好的可擴展性，高安全性，但是每個節(jié)點都有多個功能，較大的能量消耗，在其測試活動過程重疊時，準確率將大大低和較低的自適應性。

2) 基于機器學習和數據挖掘的入侵檢測。

基于機器學習的入侵檢測整體架構如圖4所示。

文獻[6]提出基于免疫遺傳算法的異常檢測，節(jié)點從它的鄰居節(jié)點偷聽信標包并提取稱為抗原的關鍵參數，如果匹配的抗原數量比在一個探測器的壽命預先定義的閾值高時，該探測器將失效并產生一個新的探測器。反之，如果匹配的抗原數量比探測器的壽命閾值少時，探測器將觸發(fā)入侵報警，對于探測器更新機制，使建議的IDS更加健壯；文獻[7]針對選擇性轉發(fā)攻擊提出了基于支持向量機的異常檢測，使用SVM針對入侵數據的健壯分類方法。SVM克服傳統(tǒng)機器學習方法大樣本的缺陷，根據有限的樣本信息在模型的復雜性和學習能力之間尋求最佳折衷，能獲得最好的范化能力。

這種方法將異常檢測作為分類或者聚類問題，借助機器學習的有效學習能力，構建具有一定精度的異常檢測模型，具有較高的準確率，但是，不足之處是需要的樣本量較大，訓練時間長。

3) 基于網絡流量分析的入侵檢測

基于流量分析的入侵檢測模型的基本結構如圖5所示。

文獻[8]采用Markov線性預測模型，為無線傳感器網絡設計了一種基于流量預測的拒絕服務攻擊檢測方案――MPDD。在該方案中，每個節(jié)點基于流量預測判斷和檢測異常網絡流量，無需特殊的硬件支持和節(jié)點之間的合作；提出了一種報警評估機制，有效提高方案的檢測準確度．減少了預測誤差或信道誤碼所帶來的誤報。文獻[9] 等提出了基于流量分析的入侵檢測方案，通過對鄰居節(jié)點的行為進行統(tǒng)計分析，閥值技術分析，然后應用到選定參數，即一定長度的時間窗下所接收的數據包數和數據包的間隔時間，它不需要任何額外的硬件安裝和額外的通訊費用，其計算代價也比較低。

這種方法相對比較簡單，直觀，實時性高，但要求流量輸入要具備一定的統(tǒng)計特性，因此不具有通用性，誤報率高。

4) 基于博弈論模型的入侵檢測。

基于博弈論的入侵檢測系統(tǒng)基本模型如圖6所示，分布在網絡中的入侵檢測器采用某種檢測手段審計網絡數據，檢測入侵，并提交檢測結果。然后博弈模型模擬攻防雙方的互動行為，并權衡來自入侵檢測器的檢測結果和其檢測效率，得出納什均衡以輔助IDS做出合理正確的響應策略。

Mohsen Estiri等人在文獻[10]中針對無線傳感器網絡的丟包攻擊提出基于博弈論的入侵檢測方案，提出了重復博弈理論模型來進行入侵檢測，在該模型中，將無線傳感器網絡中的攻擊者與入侵檢測系統(tǒng)作為非協(xié)作、非零和的博弈雙方，并利用平均折扣因子收益來顯示節(jié)點在博弈當前階段所達到的比下一階段所得到的更有價值。而且最終系統(tǒng)將達到納什均衡，形成無線傳感器網絡的防御策略。

這種方法方法可以幫助管理者權衡檢測效率和網絡資源，但是檢測的人為干預是必須的，而且具有較差的系統(tǒng)適應能力。

5)基于信任機制的入侵檢測。

Min Lin[11]等提出了基于信任模型的動態(tài)入侵檢測方案，利用具有較高信任度的節(jié)點來交替地檢測簇內節(jié)點，提出了非參數CUSUM的檢測改進算法，報警響應也借助信任模型中的信任級劃分，有效減少節(jié)點的能源消耗，減小節(jié)點的計算開銷。Long Ju[12]等提出了基于加權信任機制的入侵檢測方法，在系統(tǒng)開始就給每個傳感器節(jié)點分配權重，每個周期當節(jié)點發(fā)送與其他節(jié)點不同的報告時進行更新，這樣當節(jié)點的權重低于某一閾值時就被檢測出是惡意檢點。

這種方法具有低功耗，高安全性等優(yōu)點，但當簇頭節(jié)點入侵，或遇到Sybil攻擊時檢測精確度降低，而且其閾值設置會影響算法的精度，而且如何找到一個合適的閾值是一個棘手的問題。

4 結論

由以上分析可以看到，目前的各種異常檢測技術還不能實時、準確地對各種入侵進行檢測。近年來，分形理論與無線網絡數據流分形特性和自相似特性為異常檢測提供了新的理論基礎。無線傳感器網絡數據流呈現(xiàn)出一定的分形特性，具有長相關性、具有較寬的類似白噪聲的頻譜特性、具有混沌吸引子等，基于此，根據網絡數據流具有的分形指數（Hurst參數，分形維數、李雅普諾夫指數）可以建立客觀檢測模型，從而根據網絡數據客觀內在規(guī)律異常檢測。此外，由于小波分析在信號處理中具有獨特的頻譜多分辨率優(yōu)勢，基于頻譜、小波分析的異常檢測被證實適合實時的異常檢測，因此，研究分形理論與小波分析的無線傳感器網絡異常檢測模型與方法將是一個新的發(fā)展方向。

參考文獻：

[1] 孫利民,李建中,陳渝,朱紅松.無線傳感器網絡[M].北京:清華大學出版社,2005.

[2] 周賢偉,覃伯平,徐福華.無線傳感器網絡與安全[M].北京:國防工業(yè)出版社,2007.

[3] 陳林星.無線傳感器網絡技術與應用[M].北京:電子工業(yè)出版社,2009.

[4] Onat I,Miri A.An intrusion detection system for wireless sensor networks[C]//Montreal,Canada:Proceedings of the IEEE International Conference on Wireless and Mobile Computing,Networking and Communications (WiMOB’05),2005:253-259.

[5] 王培,周賢偉.基于多的無線傳感器網絡入侵檢測系統(tǒng)研究[J].傳感技術學報,2007,20(3):677-681.

[6] Liu Yang,Yu Fengqi.Immunity-based intrusion detection for wireless sensor networks[C]//Hong Kong,China:Proc Int Jt Conf Neural Networks,2008:439-444.

[7] Tian Jingwen,Gao Meijuan,Zhou Shiru.Wireless Sensor Network for Community Intrusion Detection System Based on Classify Support Vector Machine[C]//Zhuhai,China:Proceedings of the 2009 IEEE International Conference on Information and Automation,2009:1217-1221.

[8] 韓志杰,張瑋瑋,陳志國.基于Markov的無線傳感器網絡入侵檢測機制[J].計算機工程與科學,2010,32(9):27-29.

[9] Ponomarchuk Yulia. Seo Dae-Wha.Intrusion Detection Based on Traffic Analysis in Wireless Sensor Networks[C]//Shanghai,China:19th Annual Wireless and Optical Communications Conference,2010.

[10] Estiri M,Khademzadeh A.A Game-theoretical Model For Intrusion Detection In Wireless Sensor Networks[C]//Calgary,AB:Electrical and Computer Engineering (CCECE),2010 23rd Canadian Conference on,2010:1-5.

[11] Min Lin,Shi Nan.An Intrusion Detection Algorithm for Wireless Sensor Network Based on Trust Management Module[C]//Wuhan,China:Internet Technology and Applications,2010 International Conference on,2010:1-4.

篇6

【關鍵詞】Snort；入侵檢測；數據包采樣

一、Snort簡介

Snort利用庫函數libpcap截取報文，對報文進行協(xié)議分析，內容搜索/匹配，可以用來檢測緩沖區(qū)溢出、隱秘端口掃描、CGI攻擊、SMB探測、OS指紋特征檢測等等各種攻擊和探測。Snort具有較強的學習能力，它使用靈活的規(guī)則語言來描述網絡數據報文，可以對新的攻擊作出快速地翻譯。Snort能實時報警同時支持多種報警信息處理，包括寫到syslog、指定的文件、UNIX套接字或者使用WinPopup消息。Snort支持插件體系，擴展能力強。Snort的現(xiàn)實意義作為開源軟件填補了只有商業(yè)入侵檢測系統(tǒng)的空白，可以幫助中小網絡的系統(tǒng)管理員有效地監(jiān)視網絡流量和檢測入侵行為。

Snort　作為一個基于網絡的入侵檢測系統(tǒng)（NIDS），其工作過程為：①Snort系統(tǒng)的啟動和初始化；②解析命令行；③讀入規(guī)則庫，生成入侵規(guī)則鏈表；④通過Libpcap庫函數抓取一個網絡數據包；⑤根據抓取的包的網絡協(xié)議層次及包的協(xié)議類型，對數據包進行解析；⑥啟動檢測引擎，將解析好的數據包和入侵規(guī)則鏈表進行逐一匹配，直至找到匹配的規(guī)則轉⑦或所有規(guī)則均不匹配轉⑧；⑦對應匹配規(guī)則的入侵行為發(fā)生，記錄攻擊并報警；⑧重復第④至⑦步，直至系統(tǒng)停止。

二、基于采樣的入侵檢測

入侵攻擊特征分析實驗

利用Snort對MIT　Lincon實驗室的兩份公開數據集進行離線檢測統(tǒng)計實驗，實驗過程及結果如下：

①入口數據集攻擊分析：數據共包778484個，攻擊包40245個，攻擊包占0.05%；根據實驗數據表1和表2分析可得，基于TCP協(xié)議的攻擊，　15%的攻擊出現(xiàn)了連續(xù)性；基于UDP協(xié)議的攻擊，99%的攻擊在給定時間間隔內出現(xiàn)，表現(xiàn)出了極強的攻擊連續(xù)性。

②出口數據集攻擊分析：數據包共166011個，攻擊包195個，攻擊包占0.001%；根據實驗結果表3，分析可得：基于TCP協(xié)議的攻擊包占總包數的0.001%，網絡工作正常，在上，攻擊分布較均衡，有11%的攻擊出現(xiàn)了連續(xù)性。

（2）實驗結論

攻擊包在時間上具有連續(xù)性。

（3）基于采樣的入侵檢測算法

基于攻擊包在時間上的連續(xù)性，金慶輝提出了一種入侵檢測的采樣方法，其算法的設計思想是：若某源IP流中發(fā)現(xiàn)入侵，則認為在下一時間中它的包有很大概率也是入侵；若某源IP流在一個時間段中無入侵，則認為下一時間段中同源包有很大概率是正常流。算法流程圖見圖5至圖7所示。

金慶輝提出的算法缺點分析：根據算法思想假設第一點進行黑名單檢測，有選擇性的直接對部份包標記為異常包，這樣將導致誤警率提高；根據算法思想假設第二點進行數據包采樣，將采樣后的包標記為正常包是不準確的，同時也會導致漏警率的增加。

改良的入侵檢測采樣算法：改良算法的基本思想：設置一個白名單記錄，包括源IP地址、Port端口號、協(xié)議、生命值及生存周期；算法過程：數據包進行白名單匹配，對屬于白名單且生命期大于固定值I則進行采樣送檢測，否則直接送檢測引擎檢測；根據檢測結果及老化周期更新白名單。算法流程見圖8所示。

改進的算法對數據包若在白名單中無記錄或其生命值小于I，則直接送檢測引擎檢測，而對與白名單匹配且生命值大于等于I的記錄進行采樣檢測，為防止白名單的無限擴大，設置記錄的生存周期為30分鐘，即某個白名單記錄在30分鐘內沒有再次出現(xiàn)，則刪除對應記錄。整個算法思想基于：若某源IP流在一個時間段中無入侵，則認為下一時間段中同源包有很大概率是正常流。該數據采樣算法沒有圖5所示算法對檢測的誤警率，漏警率比圖5所示算法要小，同時不會出現(xiàn)后者算法中黑、白名單的不斷增長問題。由于攻擊流占全部數據流的比例相當小，因而采樣算法可以大幅提高Snort系統(tǒng)的檢測率，驗證如下。

三、實驗

實驗在一臺安裝了Snort系統(tǒng)的服務器上進行，使用AX4000流量發(fā)生/分析儀作為測試工具，在Snort系統(tǒng)上分別加載改進采樣算法、原采樣算法及普通算法，對比檢測數據包處理效率。

（1）實驗步驟：使用AX4000構造千兆流量，并作為分析設備。

①測試加載了改進采樣算法的Snort在不同固定生命值I下對千兆流量的處理能力。

②測試Snort加載不同的采樣算法后對混合了異常流的千兆流量的入侵檢測能力。

（2）實驗結果：

①改進采樣算法中不同生命值對檢測率的影響和檢測引擎處理速度的提升，見圖9、圖10所示。由圖可見，加載上文所提出的數據包采樣算法后，給定的固定生命值I取值在（10，20）時，入侵檢測率達到最佳狀態(tài)，此時Snort處理數據包速度接近千兆線速度。

②與常用采樣算法比較：使用AX4000構造異常流與正常流1：1的混合作為測試流量，將固定生命值I取值15的改進采樣算法、改進前的數據包采樣算法及普通數據包采樣算法進行比較，見圖11所示。

四、結語

本文研究了Snort入侵檢測系統(tǒng)的特征、工作原理，針對Snort的不足提出了基于采樣的入侵檢測系統(tǒng)，并通過實驗證明了該采樣算法能顯著提高Snort的入侵檢測效率。

參考文獻：

[1]　J.P.　Anderson.　Computer　security　threat　monitoring　and　surveillance.Technical　Report，James　P.Anderson　Company，F(xiàn)ort　Washington，Pennsylvania，1980.

[2]　D.E.Denning.An　intrusion　Detection　Model.IEEE　Trans.　Software　Eng.，　1987?。?3）：222-232.

[3]　戴英俠，連一峰，王航．系統(tǒng)安全與入侵檢測系統(tǒng)．北京：清華大學出版社，2002.

[4]　金慶輝．入侵檢測中的數據包采樣算法研究及實現(xiàn)　[湖南大學碩士論文]．長沙：湖南大學，2008年.

篇7

關鍵詞：局域網網絡安全

 

一、引言

信息科技的迅速發(fā)展，Internet已成為全球重要的信息傳播工具?？萍颊撐?。據不完全統(tǒng)計，Internet現(xiàn)在遍及186個國家，容納近60萬個網絡，提供了包括600個大型聯(lián)網圖書館，400個聯(lián)網的學術文獻庫，2000種網上雜志，900種網上新聞報紙，50多萬個Web網站在內的多種服務，總共近100萬個信息源為世界各地的網民提供大量信息資源交流和共享的空間。信息的應用也從原來的軍事、科技、文化和商業(yè)滲透到當今社會的各個領域，在社會生產、生活中的作用日益顯著。傳播、共享和自增殖是信息的固有屬性，與此同時，又要求信息的傳播是可控的，共享是授權的，增殖是確認的。因此在任何情況下，信息的安全和可靠必須是保證的。

二、局域網的安全現(xiàn)狀

目前的局域網基本上都采用以廣播為技術基礎的以太網，任何兩個節(jié)點之間的通信數據包，不僅為這兩個節(jié)點的網卡所接收，也同時為處在同一以太網上的任何一個節(jié)點的網卡所截取?？萍颊撐?。因此，黑客只要接入以太網上的任一節(jié)點進行偵聽，就可以捕獲發(fā)生在這個以太網上的所有數據包，對其進行解包分析，從而竊取關鍵信息，這就是以太網所固有的安全隱患。事實上，Internet上許多免費的黑客工具，如SATAN、ISS、NETCAT等等，都把以太網偵聽作為其最基本的手段。

三、局域網安全技術

1、采用防火墻技術。防火墻是建立在被保護網絡與不可信網絡之間的一道安全屏障，用于保護內部網絡和資源。它在內部和外部兩個網絡之間建立一個安全控制點，對進、出內部網絡的服務和訪問進行控制和審計。防火墻產品主要分為兩大類：

包過濾防火墻（也稱為網絡層防火墻）在網絡層提供較低級別的安全防護和控制。

應用級防火墻（也稱為應用防火墻）在最高的應用層提供高級別的安全防護和控制。

2、網絡分段。網絡分段通常被認為是控制網絡廣播風暴的一種基本手段，但其實也是保證網絡安全的一項重要措施。其目的就是將非法用戶與敏感的網絡資源相互隔離，從而防止可能的非法偵聽，網絡分段可分為物理分段和邏輯分段兩種方式。

目前，海關的局域網大多采用以交換機為中心、路由器為邊界的網絡格局，應重點挖掘中心交換機的訪問控制功能和三層交換功能，綜合應用物理分段與邏輯分段兩種方法，來實現(xiàn)對局域網的安全控制。例如：在海關系統(tǒng)中普遍使用的DECMultiSwitch900的入侵檢測功能，其實就是一種基于MAC地址的訪問控制，也就是上述的基于數據鏈路層的物理分段。

3、以交換式集線器代替共享式集線器。對局域網的中心交換機進行網絡分段后，以太網偵聽的危險仍然存在。這是因為網絡最終用戶的接入往往是通過分支集線器而不是中心交換機，而使用最廣泛的分支集線器通常是共享式集線器。這樣，當用戶與主機進行數據通信時，兩臺機器之間的數據包（稱為單播包UnicastPacket）還是會被同一臺集線器上的其他用戶所偵聽。用戶TELNET到一臺主機上，由于TELNET程序本身缺乏加密功能，用戶所鍵入的每一個字符（包括用戶名、密碼等重要信息），都將被明文發(fā)送，這就給黑客提供了機會。因此，應該以交換式集線器代替共享式集線器，使單播包僅在兩個節(jié)點之間傳送，從而防止非法偵聽。

4、VLAN的劃分。運用VLAN（虛擬局域網）技術，將以太網通信變?yōu)辄c到點通信，防止大部分基于網絡偵聽的入侵。目前的VLAN技術主要有三種：基于交換機端口的VLAN、基于節(jié)點MAC地址的VLAN和基于應用協(xié)議的VLAN。基于端口的VLAN雖然稍欠靈活，但卻比較成熟，在實際應用中效果顯著，廣受歡迎?；贛AC地址的VLAN為移動計算提供了可能性，但同時也潛藏著遭受MAC欺詐攻擊的隱患。而基于協(xié)議的VLAN，理論上非常理想，但實際應用卻尚不成熟。

在集中式網絡環(huán)境下，我們通常將中心的所有主機系統(tǒng)集中到一個VLAN里，在這個VLAN里不允許有任何用戶節(jié)點，從而較好地保護敏感的主機資源。在分布式網絡環(huán)境下，我們可以按機構或部門的設置來劃分VLAN。各部門內部的所有服務器和用戶節(jié)點都在各自的VLAN內，互不侵擾。VLAN內部的連接采用交換實現(xiàn)，而VLAN與VLAN之間的連接則采用路由實現(xiàn)。

5、隱患掃描。一個計算機網絡安全漏洞有它多方面的屬性，主要可以用以下幾個方面來概括：漏洞可能造成的直接威脅、漏洞的成因、漏洞的嚴重性和漏洞被利用的方式。漏洞檢測和入侵檢測系統(tǒng)是網絡安全系統(tǒng)的一個重要組成部分，它不但可以實現(xiàn)復雜煩瑣的信息系統(tǒng)安全管理，而且還可以從目標信息系統(tǒng)和網絡資源中采集信息，分析來自網絡外部和內部的入侵信號和網絡系統(tǒng)中的漏洞,有時還能實時地對攻擊做出反應。漏洞檢測就是對重要計算機信息系統(tǒng)進行檢查，發(fā)現(xiàn)其中可被黑客利用的漏洞。這種技術通常采用兩種策略，即被動式策略和主動式策略。被動式策略是基于主機的檢測，對系統(tǒng)中不合適的設置、脆弱的口令以及其他同安全規(guī)則相抵觸的對象進行檢查；而主動式策略是基于網絡的檢測，通過執(zhí)行一些腳本文件對系統(tǒng)進行攻擊，并記錄它的反應，從而發(fā)現(xiàn)其中的漏洞。漏洞檢測的結果實際上就是系統(tǒng)安全性能的一個評估，它指出了哪些攻擊是可能的，因此成為安全方案的一個重要組成部分。入侵檢測和漏洞檢測系統(tǒng)是防火墻的重要補充，并能有效地結合其他網絡安全產品的性能，對網絡安全進行全方位的保護?？萍颊撐?。

四、網絡安全制度

1、組織工作人員認真學習《計算機信息網絡國際互聯(lián)網安全保護管理辦法》，提高工作人員的維護網絡安全的警惕性和自覺性。

2、負責對本網絡用戶進行安全教育和培訓，使用戶自覺遵守和維護《計算機信息網絡國際互聯(lián)網安全保護管理辦法》，使他們具備基本的網絡安全知識。

3、實時監(jiān)控網絡用戶的行為，保障網絡設備自身和網上信息的安全。

4、對已經發(fā)生的網絡破壞行為在最短的時間內做出響應，使損失減少到最低限度。

五、結束語

網絡的開放性決定了局域網安全的脆弱性，而網絡技術的不斷飛速發(fā)展，又給局域網的安全管理增加了技術上的不確定性，目前有效的安全技術可能很快就會過時，在黑客和病毒面前不堪一擊。因此，局域網的安全管理不僅要有切實有效的技術手段，嚴格的管理制度，更要有知識面廣，具有學習精神的管理人員。

參考文獻

[1]石志國,薛為民,尹浩.《計算機網絡安全教程》[M].北京:北方交通大學出版社,2007.

篇8

論文摘要：在介紹網絡安全概念及其產生原因的基礎上，介紹了各種信息技術及其在局域網信息安全中的作用和地位。

隨著現(xiàn)代網絡通信技術的應用和發(fā)展，互聯(lián)網迅速發(fā)展起來，國家逐步進入到網絡化、共享化，我國已經進入到信息化的新世紀。在整個互聯(lián)網體系巾，局域網是其巾最重要的部分，公司網、企業(yè)網、銀行金融機構網、政府、學校、社區(qū)網都屬于局域網的范疇。局域網實現(xiàn)了信息的傳輸和共享，為用戶方便訪問互聯(lián)網、提升業(yè)務效率和效益提供了有效途徑。但是由于網絡的開放性，黑客攻擊、病毒肆虐、木馬猖狂都給局域網的信息安全帶來了嚴重威脅。

信息技術是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論和信息論諸多學科的技術。信息技術的應用就是確保信息安全，使網絡信息免遭黑客破壞、病毒入侵、數據被盜或更改。網絡已經成為現(xiàn)代人生活的一部分，局域網的安全問題也閑此變得更為重要，信息技術的應用必不可少。

1網絡安全的概念及產生的原因

1.1網絡安全的概念

計算機網絡安全是指保護計算機、網絡系統(tǒng)硬件、軟件以及系統(tǒng)中的數據不因偶然的或惡意的原因而遭到破壞、更改和泄密，確保系統(tǒng)能連續(xù)和可靠地運行，使網絡服務不巾斷。從本質上來講，網絡安全就是網絡上的信息安全。網絡系統(tǒng)的安全威脅主要表現(xiàn)在主機可能會受到非法入侵者的攻擊，網絡中的敏感信息有可能泄露或被修改。從內部網向公共網傳送的信息可能被他人竊聽或篡改等等。典型的網絡安全威脅主要有竊聽、重傳、偽造、篡改、非授權訪問、拒絕服務攻擊、行為否認、旁路控制、電磁／射頻截獲、人員疏忽。

網絡安全包括安全的操作系統(tǒng)、應用系統(tǒng)以及防病毒、防火墻、入侵檢測、網絡監(jiān)控、信息審計、通信加密、災難恢復和完全掃描等。它涉及的領域相當廣泛，這是因為目前的各種通信網絡中存在著各種各樣的安全漏洞和威脅。從廣義上講，凡是涉及網絡上信息的保密性、完整性、可性、真實性和可控性的相關技術和理論，都是網絡安全所要研究的領域。網絡安全歸納起來就是信息的存儲安全和傳輸安全。

1.2網絡安全產生的原因

1.2.1操作系統(tǒng)存在安全漏洞

任何操作系統(tǒng)都不是無法摧毀的“饅壘”。操作系統(tǒng)設計者留下的微小破綻都給網絡安全留下了許多隱患，網絡攻擊者以這些“后門”作為通道對網絡實施攻擊。局域網中使用的操作系統(tǒng)雖然都經過大量的測試與改進，但仍有漏洞與缺陷存在，入侵者利用各種工具掃描網絡及系統(tǒng)巾的安全漏洞，通過一些攻擊程序對網絡進行惡意攻擊，嚴重時造成網絡的癱瘓、系統(tǒng)的拒絕服務、信息的被竊取或篡改等。

1.2.2 TCP／lP協(xié)議的脆弱性

當前特網部是基于TCP／IP協(xié)議，但是陔協(xié)議對于網絡的安全性考慮得并不多。且，南于TCtVIP協(xié)議在網絡上公布于眾，如果人們對TCP／IP很熟悉，就可以利川它的安全缺陷來實施網絡攻擊。

1.2.3網絡的開放性和廣域性設計

網絡的開放性和廣域性設計加大了信息的保密難度.這其巾還包括網絡身的布線以及通信質量而引起的安全問題?；ヂ?lián)網的全開放性使網絡可能面臨來自物理傳輸線路或者對網絡通信協(xié)議以及對軟件和硬件實施的攻擊；互聯(lián)網的同際性給網絡攻擊者在世界上任何一個角落利州互聯(lián)網上的任何一個機器對網絡發(fā)起攻擊提供機會，這也使得網絡信息保護更加難。

1.2.4計算機病毒的存在

計算機病毒是編制或者存計箅機程序巾插入的一組旨在破壞計箅機功能或數據，嚴重影響汁算機軟件、硬件的正常運行，并且能夠自我復制的一組計算機指令或程序代碼。計算機病毒具有傳染性、寄生性、隱蔽性、觸發(fā)性、破壞性幾大特點。大量涌現(xiàn)的病毒在網上傳播極快，給全球地嗣的網絡安全帶來了巨大災難。

1.2.5網絡結構的不安全性

特網是一個南無數個局域網連成的大網絡，它是一種網問網技術。當l主機與另一局域網的主機進行通信時，它們之間互相傳送的數據流要經過很多機器重重轉發(fā)，這樣攻擊者只要利用l臺處于用戶的數據流傳輸路徑上的主機就有可能劫持用戶的數據包。

2信息技術在互聯(lián)網中的應用

2.1信息技術的發(fā)展現(xiàn)狀和研究背景

信息網絡安全研究在經歷了通信保密、數據保護后進入網絡信息安全研究階段，當前已經…現(xiàn)了一些比較成熟的軟件和技術，如：防火墻、安全路由器、安全網關、黑客人侵檢測、系統(tǒng)脆弱性掃描軟件等。信息網絡安全是一個綜合、交叉的學科，應從安全體系結構、安全協(xié)議、現(xiàn)代密碼理論、信息分析和監(jiān)控以及信息安全系統(tǒng)等方面綜合開展研究，使各部分相互協(xié)同，共同維護網絡安全。

國外的信息安全研究起步較早，早在20世紀70年代美國就在網絡安全技術基礎理論研究成果“計算機保密模型(Beu&Lapaduh模型)”的基礎上，提出了“可信計箅機系統(tǒng)安全評估準則(TESEC)”以及后來的關于網絡系統(tǒng)數據庫方面的相關解釋，彤成了安全信息系統(tǒng)體系結構的準則。安全協(xié)議作為信息安全的重要內容，處于發(fā)展提高階段，仍存在局限性和漏洞。密碼學作為信息安全的關鍵技術，近年來空前活躍，美、歐、亞各洲舉行的密碼學和信息安全學術會議頻繁。自從美國學者于1976年提出了公開密鑰密碼體制后，成為當前研究的熱點，克服了網絡信息系統(tǒng)密鑰管理的閑舴，同時解決了數字簽名問題。另外南于計箅機運算速度的不斷提高和網絡安全要求的不斷提升，各種安全技術不斷發(fā)展，網絡安全技術存21世紀將成為信息安全的關鍵技術。

2.2信息技術的應用

2.2.1網絡防病毒軟件

存網絡環(huán)境下，病毒的傳播擴散越來越快，必須有適合于局域網的全方位防病毒產品。針對局域網的渚多特性，應該有一個基于服務器操作系統(tǒng)平的防病毒軟件和針對各種桌面操作系統(tǒng)的防病毒軟件。如果局域網和互聯(lián)網相連，則川到網大防病毒軟件來加強上網計算機的安全。如果使用郵件存網絡內部進行信息交換.則需要安裝基于郵件服務器平的郵件防病毒軟件，用于識別出隱藏在電子郵件和附件巾的病毒最好的策略是使川全方位的防病毒產品，針對網絡巾所有可能的病毒攻擊點設置對應的防病毒軟件。通過全方位、多層次的防病毒系統(tǒng)的配置，定期或不定期地動升級，保護局域網免受病毒的侵襲。

2.2.2防火墻技術

防火墻技術是建立在現(xiàn)代通信網絡技術和信息安全技術基礎；上的應用性安全技術，越來越多地應用于專用網絡與公用網絡的互聯(lián)環(huán)境巾，尤其以接入lnlernel網絡的局域網為典型。防火墻是網絡安全的屏障：一個防火墻能檄大地提高一個內部網絡的安全性，通過過濾不安全的服務而降低風險。南于只有經過精心選擇的應州協(xié)議才能通過防火墻，所以網絡環(huán)境變得更安全。防火墻可以強化網絡安全策略：通過以防火墻為中心的安全方案配置，能將所有安全軟件如口令、加密、身份認證、審計等配置在防火墻上。對網絡存取和訪問進行監(jiān)控審計：如果所有的訪問都經過防火墻，那么防火墻就能記錄下這些訪問并做出日志記錄，同時也能提供網絡使用情況的統(tǒng)計數據。

防火墻技術是企業(yè)內外部網絡問非常有效的一種實施訪問控制的手段，邏輯上處于內外部網之問，確保內部網絡正常安全運行的一組軟硬件的有機組合，川來提供存取控制和保密服務。存引人防火墻之后，局域網內網和外部網之問的通信必須經過防火墻進行，某局域網根據網絡決策者及網絡擘家共同決定的局域網的安全策略來設置防火墻，確定什么類型的信息可以通過防火墻?？梢姺阑饓Φ穆氊熅褪歉鶕?guī)定的安全策略，對通過外部網絡與內部網絡的信息進行檢企，符合安全策略的予以放行，不符合的不予通過。

防火墻是一種有效的安全工具，它對外屏蔽內部網絡結構，限制外部網絡到內部網絡的訪問。但是它仍有身的缺陷，對于內部網絡之問的入侵行為和內外勾結的入侵行為很難發(fā)覺和防范，對于內部網絡之間的訪問和侵害，防火墻則得無能為力。

2.2.3漏洞掃描技術

漏洞掃描技術是要弄清楚網絡巾存在哪些安全隱患、脆弱點，解決網絡層安全問題。各種大型網絡不僅復雜而且不斷變化，僅僅依靠網絡管理員的技術和經驗尋找安全漏洞、做出風險評估得很不現(xiàn)實。要解決這一問題，必須尋找一種能金找網絡安全漏洞、評估并提…修改建議的網絡安全掃描工具，利刖優(yōu)化系統(tǒng)配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。存網絡安全程度要水不高的情況下，可以利用各種黑客工具對網絡實施模擬攻擊，暴露出：網絡的漏洞，冉通過相關技術進行改善。

2.2.4密碼技術

密碼技術是信息安全的核心與關鍵。密碼體制按密鑰可以分為對稱密碼、非對稱密碼、混合密碼3種體制。另外采用加密技術的網絡系統(tǒng)不僅不需要特殊網絡拓撲結構的支持，而且在數據傳輸過程巾也不會對所經過網絡路徑的安全程度做出要求，真正實現(xiàn)了網絡通信過程端到端的安全保障。非對稱密碼和混合密碼是當前網絡信息加密使川的主要技術。

信息加密技術的功能主要是保護計算機網絡系統(tǒng)內的數據、文件、口令和控制信息等網絡資源的安全。信息加密的方法有3種，一是網絡鏈路加密方法：目的是保護網絡系統(tǒng)節(jié)點之間的鏈路信息安全；二是網絡端點加密方法：目的是保護網絡源端川戶到口的川戶的數據安全；二是網絡節(jié)點加密方法：目的是對源節(jié)點到目的節(jié)點之間的傳輸鏈路提供保護川戶可以根據實際要求采川不同的加密技術。

2.2.5入侵檢測技術。

入侵檢測系統(tǒng)對計算機和網絡資源上的惡意使川行為進行識別和響應。入侵檢測技術同時監(jiān)測來自內部和外部的人侵行為和內部剛戶的未授權活動，并且對網絡入侵事件及其過程做fIj實時響應，是維護網絡動態(tài)安全的核心技術。入侵檢測技術根據不同的分類標準分為基于行為的入侵檢測和基于知識的人侵檢測兩類。根據使用者的行為或資源使狀況的正常程度來判斷是否發(fā)生入侵的稱為基于行為的入侵檢測，運用已知的攻擊方法通過分析入侵跡象來加以判斷是否發(fā)生入侵行為稱為基于知識的入侵檢測。通過對跡象的分析能對已發(fā)生的入侵行為有幫助，并對即將發(fā)生的入侵產生警戒作用

3結語

篇9

關鍵詞：網絡安全；入侵檢測；聚類分析；差異度

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)27-2049-02

The Smallest Difference Cluster Exceptionally Is Invading In The Examination Application

ZHENG Guan-zhen, XU Hui-zeng

(Dongying Vocational College, Dongying 257091, China)

Abstract: Studied with emphasis exceptionally has invaded the examination system model. Exists in view of the existing model to trains the data demand to be high, the rate of false alarm higher question, proposed one kind based on the smallest difference cluster invasion examination method. This method the sector scalar, the ordinal number variable, the dual variable nominal variable type's attribute maps on sector [0,1], calculates between each data object as well as with each bunch of difference, has solved exceptionally the invasion well.

Key words: network security; invasion examination; cluster analysis; difference

隨著計算機和網絡技術應用的普及和發(fā)展，計算機系統(tǒng)安全越來越受到人們的重視。安全計算機系統(tǒng)是基于計算機機密性、完整性和可用性的實現(xiàn)[1]。傳統(tǒng)計算機系統(tǒng)的安全是通過設計一定的安全策略，即通過身份認證、訪問控制和審計等技術來保護計算機系統(tǒng)免遭入侵[2]。但是越來越多的攻擊者利用各種漏洞實施攻擊，通過監(jiān)控特權進程的系統(tǒng)調用進行攻擊，如系統(tǒng)服務、setuid程序等[3]。這些應用程序由于具有特殊權限，可以訪問特殊資源，攻擊者利用它們可以實現(xiàn)其破壞或控制系統(tǒng)的目標。

針對網絡中的各種安全威脅，產生了許多關于網絡安全的技術。主要有以下幾類：主機安全技術、身份認證技術、訪問控制技術、加密技術、防火墻技術、安全審計技術、安全管理技術和入侵檢測技術等。入侵檢測是一種比較新興的網絡安全技術。入侵檢測系統(tǒng)主要是采用誤用檢測技術，如模式匹配、協(xié)議分析、狀態(tài)轉換分析。這些方法均只能準確地檢測已知的入侵行為，并不能檢測未知的入侵行為，具有局限性，所以在入侵檢測中引入聚類分析。聚類分析[4]是將一組數據對象通過計算它們屬性之間的綜合差別，將差別較小的對象放在一個簇中。如果網絡中的入侵行為與合法行為存在一定的差異，那么采用聚類的方法就可以將網絡中的入侵行為聚集為一簇，從而發(fā)現(xiàn)入侵行為。

1 異常入侵檢測系統(tǒng)模型

1.1 入侵檢測

ID就是對入侵行為的發(fā)現(xiàn)[4]。入侵檢測是基于兩個基本假設，即用戶和程序的行為是可見的；正常行為與入侵行為是可區(qū)分的。它通過收集并分析計算機網絡或計算機系統(tǒng)中的若干關鍵點信息，從中發(fā)現(xiàn)網絡或系統(tǒng)中是否有違反安全策略的行為和被攻擊過的跡象。因此入侵檢測具有事前預警和事后發(fā)覺的功能。這種技術可以大大提高了網絡系統(tǒng)的安全。

入侵檢測主要包括數據采集、數據分析和響應三個部分。

1.2 異常入侵檢測系統(tǒng)模型

異常入侵檢測技術識別主機或網絡中異常的或不尋常行為。它假設攻擊與正常的活動有很大的差別。異常檢測首先收集一段時間操作活動的歷史數據；再建立代表主機、用戶或網絡連接的正常行為描述；然后收集事件數據并使用一些不同的方法來決定所檢測到的事件是否偏離了正常行為模式，從而判斷是否發(fā)生了入侵行為。

異常入侵檢測是通過已知來推導未知的技術。目前常用的方法主要是概率統(tǒng)計、神經網絡、數據挖掘中的分類和聚類方法以及人工免疫等。

1.2.1 網絡連接記錄的數據結構

通過分析會發(fā)現(xiàn)黑客在重新控制目標主機之前，均要與目標主機建立連接。對此，本文提出通過對網絡的連接記錄進行監(jiān)測建立入侵檢測系統(tǒng)。其目的是為了發(fā)現(xiàn)網絡中異常的連接記錄。

1.2.2 數據采集模塊設計

對入侵檢測系統(tǒng)來說[5]，數據采集是系統(tǒng)正常工作的基礎。對于網絡入侵檢測系統(tǒng)，網絡數據截獲模塊就是實現(xiàn)網絡入侵檢測系統(tǒng)高效工作的基礎。在設計整個入侵檢測系統(tǒng)時，必須要有一種好的數據包捕獲機制來保證網絡數據截獲模塊工作穩(wěn)定可靠，防止漏包，為整個入侵檢測模塊穩(wěn)定可靠地提供數據，

1.2.3 系統(tǒng)總體設計

遵循入侵檢測系統(tǒng)的標準流程，即數據收集、數據分析、結果處理的流程對網絡數據包進行分析處理。筆者提出基于數據挖掘的異常模式入侵檢測系統(tǒng)。檢測系統(tǒng)主要由以下四個部分組成，即數據采集、數據分析、結果處理和用戶界面。

2 最小差異度的聚類算法

2.1 差異度相關定義

很多聚類算法只考慮元素與類之間的距離，而沒有考慮類大小產生的影響。通過區(qū)間標量[6]、序數變量和二元變量標稱變量類型的屬性映射到區(qū)間[0,1]上，然后再對所有屬性計算差異度并按最小差異度進行聚類，這就使得所有屬性的差異度在概念上是一致的[7]。

基于最小差異度聚類的入侵檢測方法對所有攻擊的檢測率較高，對于DoS攻擊的檢測率最高，對于PROBE攻擊檢測率也是一般；而對于U2R和R2L的檢測率卻較低。此外，誤報率FR和發(fā)現(xiàn)未見攻擊類型的檢測率一般，說明該入侵檢測方法已經具有了發(fā)現(xiàn)未知入侵行為的能力。

2.2 基于最小差異度聚類的入侵檢測方法

聚類的入侵檢測方法就是假設網絡中的入侵行為是可以區(qū)分的, 而且通過聚類能將具有入侵企圖的數據劃分為單獨的類, 從而將合法行為與非法行為區(qū)分開來。最小差異度的聚類

方法就是先計算每個對象與已有類的差異度; 然后將該對象賦予與它差異度最小的類, 就得到了一種新的基于最小差異度聚類的入侵檢測方法。通過對訓練集進行聚類, 得到一系列不同大小的類。本文根據類的特征值CF( Ci) 大小對類作標志并進行排序, 然后按一定比例將類劃分為合法類和非法類。在入侵檢測的過程中, 計算新收到的數據對象與已有的類的差異度, 利用最小差異度的聚類。如果新的數據對象被劃入非法的類中, 則判定為入侵行為; 反之則為合法行為。

3 最小差異度聚類實現(xiàn)異常入侵檢測模型

3.1 測試環(huán)境

本次測試是對入侵檢測的模塊進行測試。測試數據來自KDD Cup1999 數據集, 因此在單機上就可以進行, 不需要網絡

環(huán)境。單機采用個人電腦, 基本配置如下:

硬件環(huán)境 CPU為Intel( R) Celeron( R) CPU2. 13 GHz, 內存為512 MB。

軟件環(huán)境 操作系統(tǒng)Windows XP SP2, 數據庫SQL Server2000。

3.2 測試數據準備

本次測試使用的數據為KDD Cup1999 數據集。該數據集是模擬局域網上采集來的9 個星期的網絡連接數據, 包含了約4 900 000條模擬攻擊記錄, 總共22 種攻擊, 分為DoS、R2L、U2R、PROBE 四大類。每條記錄由41 個特征刻畫, 其中包括7個分類特征和34 個數值型特征。

3.3 測試結果

基于最小差異度聚類的入侵檢測方法對所有攻擊的檢測率較高, 達到了75.57% ～79.11%，效果一般; 對于DoS攻擊的檢測率最高，達到了87.21% ～91.37% ;對于PROBE 攻擊檢測率也是一般；而對于U2R 和R2L 的檢測率卻較低。此外，誤報率FR和發(fā)現(xiàn)未見攻擊類型的檢測率一般，分別達到了8.02% ～13.65% 和1.21% ～39.54% , 但還是說明該入侵檢測方法已經具有了發(fā)現(xiàn)未知入侵行為的能力。

4 結束語

異常檢測是IDS研究中重要而比較困難的領域。本文研究了異常入侵檢測系統(tǒng)模型，并對模型進行了分析，提出了最小差異度聚類實現(xiàn)異常入侵檢測模型的方法，通過算法進行實現(xiàn)，并采用了KDD Cup1999數據集。數據運行表明，所提出的模型的算法是合理而有效的。

參考文獻：

[1] 隆益民.網絡入侵及檢測[J].計算機工程與科學,2001,37(1):27-30.

[2] 黃錦,李家濱.防火墻日志信息的入侵檢測研究[J].計算機工程,2001,26(9):115－117.

[3] 蘇瑜睿,馮登國.基于非層次聚類的異常檢測模型[C]//中國計算機大會論文集.北京:清華大學出版社,2005.

[4] HAN Jia-wei, KAMBER M.數據挖掘概念與技術[M].范明,孟小峰,譯.北京:機械工業(yè)出版社,2001:222-224.

[5] 李波.基于數據挖掘的異常模式入侵檢測研究[D].沈陽:東北大學,2005.

[6] 張彬,胡茜.入侵檢測概念、過程分析和部署[J].數據通信,2004,(12):45-48.

[7] 賀躍,鄭建軍,朱蕾.一種基于熵的連續(xù)屬性離散算法[J].計算機應用,2005,25(3):637-638.

[8] 蔣盛益,李慶華.基于引力的入侵檢測方法[J].系統(tǒng)仿真學報,2005,17(9):2202-2206.

[10] 嚴曉光,褚學征.聚類在網絡入侵的異常檢測中的應用[J].計算機系統(tǒng)應用,2005,(10):78-80.

[11] 伊勝偉,劉D,魏紅芳.基于數據挖掘的入侵檢測系統(tǒng)智能結構模型[J].計算機工程與設計,2005,26(29):2464-2466,2472.

篇10

論文摘要：隨著信息化步伐的不斷加快，計算機網絡給人們帶來了很大的便捷，但是與此同時也給人們帶來了很大的隱患。計算機網絡安全已經受到了人們的高度重視，人們也已經對其提出了很多防范策略，并且得到了很好的好評。

隨著網絡的日益發(fā)展以及計算機網絡安全問題的不斷出現(xiàn)，對網絡安全防范粗略的研究必然成為必然趨勢。計算機網絡技術普遍的使用，使得人們在學習和工作中享受計算機網絡帶來的便捷的同時被越來越多的安全隱患所傷害。因此，計算機網絡安全防范策略的研究和實施是網絡化發(fā)展的必然趨勢。

1 計算機網絡安全存在的問題

1.1 計算機病毒較多

計算機病毒是一種人為編制的特殊程序代碼，可將自己附著在其他程序代碼上以便傳播，可自我復制、隱藏和潛伏，并帶有破壞數據、文件或系統(tǒng)的特殊功能。當前，計算機病毒是危害計算機網絡安全最普遍的一種方法，同時其危害是非常大的，尤其是一些通過網絡傳播的流行性病毒，這些病毒不僅危害性大，而且傳播速度非?？?，傳播形式多樣，因此，要想徹底清除這些病毒是很困難的，因此，網絡安全存在著巨大的隱患。

1.2 盜用IP地址

盜用IP地址現(xiàn)象非常普遍，這不僅影響了網絡的正常運行，而且一般被盜用的地址權限都很高，因而也給用戶造成了較大的經濟損失。盜用IP地址就是指運用那些沒有經過授權的IP地址，從而使得通過網上資源或隱藏身份進行破壞網絡的行為的目的得以實現(xiàn)。目前，網絡上經常會發(fā)生盜用IP地址，這不僅嚴重侵害了合法使用網絡人員的合法權益，而且還導致網絡安全和網絡正常工作受到負面影響。

1.3 攻擊者對網絡進行非法訪問和破壞

網絡可分為內網和外網，網絡受到攻擊也分為來自外部的非法訪問和網絡攻擊以及來自內部的非法訪問和網絡攻擊。無論是哪種網絡攻擊都要經過三個步驟：搜集信息-目標的選擇、實施攻擊-上傳攻擊程序、下載用戶數據。

1.4 垃圾郵件和病毒郵件泛濫

電子郵件系統(tǒng)是辦公自動化系統(tǒng)的基本需求，隨著信息化的快速發(fā)展，郵件系統(tǒng)的功能和技術已經非常成熟，但是也避免不了垃圾郵件和病毒郵件的傳送。垃圾郵件和病毒郵件是全球問題，2011年初，俄羅斯在全球垃圾郵件市場上的份額增長了4%-5%。垃圾郵件和病毒郵件是破壞網絡營銷環(huán)境的罪魁之一，垃圾郵件影響了用戶網上購物的信心，從而進一步危害到了電子商務網站的發(fā)展。垃圾郵件和病毒郵件對人們的影響不僅表現(xiàn)在時間上，而且也影響了安全。垃圾郵件和病毒郵件占用了大量的網絡資源。使得正常的業(yè)務運作變得緩慢。另外，垃圾郵件與一些病毒和入侵等關系越來越密切，其已經成為黑客發(fā)動攻擊的重要平臺。

2 計算機網絡安全的防范策略

2.1 計算機病毒的安全與防范技術

在網絡環(huán)境下，防范計算機病毒僅采用單一的方法來進行已經無任何意義，要想徹底清除網絡病毒，必須選擇與網絡適合的全方位防病毒產品。如果對互聯(lián)網而言，除了需要網關的防病毒軟件，還必須對上網計算機的安全進行強化；如果在防范內部局域網病毒時需要一個具有服務器操作系統(tǒng)平臺的防病毒軟件，這是遠遠不夠的，還需要針對各種桌面操作系統(tǒng)的防病毒軟件；如果在網絡內部使用電子郵件進行信息交換時，為了識別出隱藏在電子郵件和附件中的病毒，還需要增加一套基于郵件服務器平臺的郵件防病毒軟件。由此可見，要想徹底的清除病毒，是需要使用全方位的防病毒產品進行配合。另外，在管理方面，要打擊盜版，因為盜版軟件很容易染上病毒，訪問可靠的網站，在下載電子郵件附件時要先進行病毒掃描，確保無病毒后進行下載，最重要的是要對數據庫數據隨時進行備份。

2.2 身份認證技術

系統(tǒng)對用戶身份證明的核查的過程就是身份認證，就是對用戶是否具有它所請求資源的存儲使用權進行查明。用戶向系統(tǒng)出示自己的身份證明的過程就是所謂的身份識別。一般情況下，將身份認證和身份識別統(tǒng)稱為身份認證。隨著黑客或木馬程序從網上截獲密碼的事件越來越多，用戶關鍵信息被竊情況越來越多，用戶已經越來越認識到身份認證這一技術的重要性。身份認證技術可以用于解決用戶的物理身份和數字身份的一致性問題，給其他安全技術提供權限管理的依據。對于身份認證系統(tǒng)而言，合法用戶的身份是否易于被其他人冒充，這是最重要的技術指標。用戶身份如果被其他不法分子冒充，不僅會對合法用戶的利益產生損害，而且還會對其他用戶的利益甚至整個系統(tǒng)都產生危害。由此可知，身份認證不僅是授權控制的基礎，而且還是整個信息安全體系的基礎。身份認證技術有以下幾種：基于口令的認證技術、給予密鑰的認證鑒別技術、基于智能卡和智能密碼鑰匙 (UsBKEY)的認證技術、基于生物特征識別的認證技術。對于生物識別技術而言，其核心就是如何獲取這些生物特征，并將之轉換為數字信息、存儲于計算機中，并且完成驗證與識別個人身份是需要利用可靠的匹配算法來進行的。

2.3 入侵檢測技術

入侵檢測就是對網絡入侵行為進行檢測，入侵檢測技術屬于一種積極主動地安全保護技術，它對內部攻擊、外部攻擊以及誤操作都提供了實時保護。入侵檢測一般采用誤用檢測技術和異常監(jiān)測技術。1）誤用檢測技術。這種檢測技術是假設所有的入侵者的活動都能夠表達為征或模式，對已知的入侵行為進行分析并且把相應的特征模型建立出來，這樣就把對入侵行為的檢測變成對特征模型匹配的搜索，如果與已知的入侵特征匹配，就斷定是攻擊，否則，便不是。對已知的攻擊，誤用入侵檢測技術檢測準確度較高，但是對已知攻擊的變體或者是一些新型的攻擊的檢測準確度則不高。因此，要想保證系統(tǒng)檢測能力的完備性是需要不斷的升級模型才行。目前，在絕大多數的商業(yè)化入侵檢測系統(tǒng)中，基本上都是采用這種檢測技術構建。2）異常檢測技術。異常檢測技術假設所有入侵者活動都與正常用戶的活動不同，分析正常用戶的活動并且構建模型，把所有不同于正常模型的用戶活動狀態(tài)的數量統(tǒng)計出來，如果此活動與統(tǒng)計規(guī)律不相符，則表示可以是入侵行為。這種技術彌補了誤用檢測技術的不足，它能夠檢測到未知的入侵。但是，在許多環(huán)境中，建立正常用戶活動模式的特征輪廓以及對活動的異常性進行報警的閾值的確定都是比較困難的，另外，不是所有的非法入侵活動都在統(tǒng)計規(guī)律上表示異常。今后對入侵檢測技術的研究主要放在對異常監(jiān)測技術方面。

另外，計算機網絡安全防范策略還包括一些被動防范策略。被動式防范策略主要包括隱藏IP地址、關閉端口、更換管理員賬戶等，本文只對以上三種進行分析。1）隱藏IP地址。在網絡安全方面，IP地址的作用是非常大的，如果IP地址被攻擊者盜用，他就可以向這個IP發(fā)動各種進攻。用服務器能夠實現(xiàn)IP地址的隱藏，服務器使用后，其他用戶只能對服務器IP地址進行探測，而根本檢測不到用戶的IP地址，也就是說，隱藏IP地址的目的實現(xiàn)了，用戶上網安全得到了很好的保護；2）關閉不必要的端口。一般情況下，黑客要想攻擊你的計算機，首先對你的計算機端口進行掃描，如果安裝了端口監(jiān)視程序，這會有警告提示。另外，還可以通過關閉不必要的端口來解決此問題；3）更換管理員賬戶。管理員賬戶的權限最高，如果這個賬戶被攻擊，那么危害將會很大。而截獲管理員賬戶的密碼又是黑客入侵常用的手段之一，因此，要對管理員賬戶進行重新配置。

3 結束語

計算機網絡給人們帶來便捷的同時也帶了隱患，要想是計算機網絡發(fā)揮出其更大的作用，人們必須對這些隱患采取一定的措施來進行防止。引起計算機網絡安全問題的因素不同，所采取的防范策略也不同，因此，防范策略的實施和運用也不要盲目，否則不僅沒有緩解網絡安全問題，反而使得網絡安全問題更加嚴重，人們受到更大的危害。

參考文獻

[1] 林敏，李哲宇.影響計算機網絡安全的因素探討[J].科技資訊，2007，(20).

[2] 胡瑞卿，田杰榮.關于網絡安全防護的幾點思考[J].電腦知識與技術，2008(16).

[3] 王建軍，李世英.計算機網絡安全問題的分析與探討[J].赤峰學院學報:自然科學版，2009(1).

[4] 華建軍.計算機網絡安全問題探究[J].科技信息，2007(9).