導(dǎo)語：如何才能寫好一篇入侵檢測論文，這就需要搜集整理更多的資料和文獻(xiàn)，歡迎閱讀由公務(wù)員之家整理的十篇范文，供你借鑒。

篇1

論文摘要:隨著計(jì)算機(jī)的飛速發(fā)展以及網(wǎng)絡(luò)技術(shù)的普遍應(yīng)用，隨著信息時(shí)代的來臨，信息作為一種重要的資源正得到了人們的重視與應(yīng)用。因特網(wǎng)是一個(gè)發(fā)展非常活躍的領(lǐng)域，可能會(huì)受到黑客的非法攻擊，所以在任何情況下，對于各種事故，無意或有意的破壞，保護(hù)數(shù)據(jù)及其傳送、處理都是非常必要的。計(jì)劃如何保護(hù)你的局域網(wǎng)免受因特網(wǎng)攻擊帶來的危害時(shí)，首先要考慮的是防火墻。防火墻的核心思想是在不安全的網(wǎng)際網(wǎng)環(huán)境中構(gòu)造一個(gè)相對安全的子網(wǎng)環(huán)境。本文介紹了防火墻技術(shù)的基本概念、系統(tǒng)結(jié)構(gòu)、原理、構(gòu)架、入侵檢測技術(shù)及VPN等相關(guān)問題。

Abstract:Alongwiththefastcomputerdevelopmentandtheuniversalapplicationofthenetworktechnology,alongwithinformationtimescomingupon,Informationisattractingtheworld’sattentionandemployedasakindofimportantresources.Internetisaveryactivelydevelopedfield.Becauseitmaybeillegallyattackedbyhackers,Itisverynecessaryfordata’sprotection,deliveryandprotectionagainstvariousaccidents,intentionalorwantdestroyunderanycondition.FirewallisthefirstconsiderationwhenplanhowtoprotectyourlocalareanetworkagainstendangersbroughtbyInternetattack.Thecorecontentoffirewalltechnologyistoconstructarelativelysafeenvironmentofsubnetinthenot-so-safenetworkenvironment.Thispaperintroducesthebasicconceptionandsystemstructureoffire-walltechnologyandalsodiscussestwomaintechnologymeanstorealizefire-wall:Oneisbasedonpacketfiltering,whichistorealizefire-wallfunctionthroughScreeningRouter;andtheotherisProxyandthetypicalrepresentationisthegatewayonapplicationlevel.....

第一章緒論

§1.1概述

隨著以Internet為代表的全球信息化浪潮的來臨，信息網(wǎng)絡(luò)技術(shù)的應(yīng)用正日益廣泛，應(yīng)用層次正在深入，應(yīng)用領(lǐng)域也從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展，其中以黨政系統(tǒng)、大中院校網(wǎng)絡(luò)系統(tǒng)、銀行系統(tǒng)、商業(yè)系統(tǒng)、管理部門、政府或軍事領(lǐng)域等為典型。伴隨網(wǎng)絡(luò)的普及，公共通信網(wǎng)絡(luò)傳輸中的數(shù)據(jù)安全問題日益成為關(guān)注的焦點(diǎn)。一方面，網(wǎng)絡(luò)化的信息系統(tǒng)提供了資源的共享性、用戶使用的方便性，通過分布式處理提高了系統(tǒng)效率和可靠性，并且還具備可擴(kuò)充性。另一方面，也正是由于具有這些特點(diǎn)增加了網(wǎng)絡(luò)信息系統(tǒng)的不安全性。

開放性的網(wǎng)絡(luò)，導(dǎo)致網(wǎng)絡(luò)所面臨的破壞和攻擊可能是多方面的，例如:可能來自物理傳輸線路的攻擊，也可以對網(wǎng)絡(luò)通信協(xié)議和實(shí)現(xiàn)實(shí)施攻擊，可以是對軟件實(shí)施攻擊，也可以對硬件實(shí)施攻擊。國際性的網(wǎng)絡(luò)，意味著網(wǎng)絡(luò)的攻擊不僅僅來自本地網(wǎng)絡(luò)的用戶，也可以來自linternet上的任何一臺(tái)機(jī)器，也就是說，網(wǎng)絡(luò)安全所面臨的是一個(gè)國際化的挑戰(zhàn)。開放的、國際化的Internet的發(fā)展給政府機(jī)構(gòu)、企事業(yè)單位的工作帶來了革命性的變革和開放，使得他們能夠利用Internet提高辦事效率、市場反應(yīng)能力和競爭力。通過Internet，他們可以從異地取回重要數(shù)據(jù)，同時(shí)也面臨Internet開放所帶來的數(shù)據(jù)安全的挑戰(zhàn)與危險(xiǎn)。如何保護(hù)企業(yè)的機(jī)密信息不受黑客和工業(yè)間諜的入侵，己成為政府機(jī)構(gòu)、企事業(yè)單位信息化建設(shè)健康發(fā)展所要考慮的重要因素之一。廣泛分布的企業(yè)內(nèi)部網(wǎng)絡(luò)由公共網(wǎng)絡(luò)互聯(lián)起來，這種互聯(lián)方式面臨多種安全威脅，極易受到外界的攻擊，導(dǎo)致對網(wǎng)絡(luò)的非法訪問和信息泄露。防火墻是安全防范的最有效也是最基本的手段之一。

雖然國內(nèi)己有許多成熟的防火墻及其他相關(guān)安全產(chǎn)品，并且這些產(chǎn)品早已打入市場，但是對于安全產(chǎn)品來說，要想進(jìn)入我軍部隊(duì)。我們必須自己掌握安全測試技術(shù)，使進(jìn)入部隊(duì)的安全產(chǎn)品不出現(xiàn)問題，所以對網(wǎng)絡(luò)安全測試的研究非常重要，具有深遠(yuǎn)的意義。

§1.2本文主要工作

了解防火墻的原理、架構(gòu)、技術(shù)實(shí)現(xiàn)

了解防火墻的部署和使用配置

熟悉防火墻測試的相關(guān)標(biāo)準(zhǔn)

掌握防火墻產(chǎn)品的功能、性能、安全性和可用性的測試方法

掌握入侵檢測與VPN的概念及相關(guān)測試方法

第二章防火墻的原理、架構(gòu)、技術(shù)實(shí)現(xiàn)

§2.1什么是防火墻？

防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。

§2.2防火墻的原理

隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大和開放性的增強(qiáng)，網(wǎng)絡(luò)上的很多敏感信息和保密數(shù)據(jù)將受到很多主動(dòng)和被動(dòng)的人為攻擊。一種解決辦法是為需要保護(hù)的網(wǎng)絡(luò)上的每個(gè)工作站和服務(wù)器裝備上強(qiáng)大的安全特征(例如入侵檢測)，但這幾乎是一種不切合實(shí)際的方法，因?yàn)閷哂袔装賯€(gè)甚至上千個(gè)節(jié)點(diǎn)的網(wǎng)絡(luò)，它們可能運(yùn)行著不同的操作系統(tǒng)，當(dāng)發(fā)現(xiàn)了安全缺陷時(shí)，每個(gè)可能被影響的節(jié)點(diǎn)都必須加以改進(jìn)以修復(fù)這個(gè)缺陷。另一種選擇就是防火墻(Firewall)，防火墻是用來在安全私有網(wǎng)絡(luò)(可信任網(wǎng)絡(luò))和外部不可信任網(wǎng)絡(luò)之間安全連接的一個(gè)設(shè)備或一組設(shè)備，作為私有網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間連接的單點(diǎn)存在。防火墻是設(shè)置在可信任的內(nèi)部網(wǎng)絡(luò)和不可信任的外部網(wǎng)絡(luò)之間的一道屏障，它可以實(shí)施比較廣泛的安全策略來控制信息流，防止不可預(yù)料的潛在的入侵破壞.DMZ外網(wǎng)和內(nèi)部局域網(wǎng)的防火墻系統(tǒng)。

§2.3防火墻的架構(gòu)

防火墻產(chǎn)品的三代體系架構(gòu)主要為：

第一代架構(gòu)：主要是以單一cpu作為整個(gè)系統(tǒng)業(yè)務(wù)和管理的核心，cpu有x86、powerpc、mips等多類型，產(chǎn)品主要表現(xiàn)形式是pc機(jī)、工控機(jī)、pc-box或risc-box等；

第二代架構(gòu)：以np或asic作為業(yè)務(wù)處理的主要核心，對一般安全業(yè)務(wù)進(jìn)行加速，嵌入式cpu為管理核心，產(chǎn)品主要表現(xiàn)形式為box等；

第三代架構(gòu)：iss（integratedsecuritysystem）集成安全體系架構(gòu)，以高速安全處理芯片作為業(yè)務(wù)處理的主要核心，采用高性能cpu發(fā)揮多種安全業(yè)務(wù)的高層應(yīng)用，產(chǎn)品主要表現(xiàn)形式為基于電信級(jí)的高可靠、背板交換式的機(jī)架式設(shè)備，容量大性能高，各單元及系統(tǒng)更為靈活。

§2.4防火墻的技術(shù)實(shí)現(xiàn)

從Windows軟件防火墻的誕生開始，這種安全防護(hù)產(chǎn)品就在跟隨著不斷深入的黑客病毒與反黑反毒之爭，不斷的進(jìn)化與升級(jí)。從最早期的只能分析來源地址，端口號(hào)以及未經(jīng)處理的報(bào)文原文的封包過濾防火墻，后來出現(xiàn)了能對不同的應(yīng)用程序設(shè)置不同的訪問網(wǎng)絡(luò)權(quán)限的技術(shù)；近年來由ZoneAlarm等國外知名品牌牽頭，還開始流行了具有未知攻擊攔截能力的智能行為監(jiān)控防火墻；最后，由于近來垃圾插件和流氓軟件的盛行，很多防火墻都在考慮給自己加上攔截流氓軟件的功能。綜上，Windows軟件防火墻從開始的時(shí)候單純的一個(gè)截包丟包，堵截IP和端口的工具，發(fā)展到了今天功能強(qiáng)大的整體性的安全套件。

第三章防火墻的部署和使用配置

§3.1防火墻的部署

雖然監(jiān)測型防火墻安全性上已超越了包過濾型和服務(wù)器型防火墻，但由于監(jiān)測型防火墻技術(shù)的實(shí)現(xiàn)成本較高，也不易管理，所以目前在實(shí)用中的防火墻產(chǎn)品仍然以第二代型產(chǎn)品為主，但在某些方面也已經(jīng)開始使用監(jiān)測型防火墻。基于對系統(tǒng)成本與安全技術(shù)成本的綜合考慮，用戶可以選擇性地使用某些監(jiān)測型技術(shù)。這樣既能夠保證網(wǎng)絡(luò)系統(tǒng)的安全性需求，同時(shí)也能有效地控制安全系統(tǒng)的總擁有成本。

實(shí)際上，作為當(dāng)前防火墻產(chǎn)品的主流趨勢，大多數(shù)服務(wù)器（也稱應(yīng)用網(wǎng)關(guān)）也集成了包過濾技術(shù)，這兩種技術(shù)的混合應(yīng)用顯然比單獨(dú)使用具有更大的優(yōu)勢。由于這種產(chǎn)品是基于應(yīng)用的，應(yīng)用網(wǎng)關(guān)能提供對協(xié)議的過濾。例如，它可以過濾掉FTP連接中的PUT命令，而且通過應(yīng)用，應(yīng)用網(wǎng)關(guān)能夠有效地避免內(nèi)部網(wǎng)絡(luò)的信息外泄。正是由于應(yīng)用網(wǎng)關(guān)的這些特點(diǎn)，使得應(yīng)用過程中的矛盾主要集中在對多種網(wǎng)絡(luò)應(yīng)用協(xié)議的有效支持和對網(wǎng)絡(luò)整體性能的影響上。

----那么我們究竟應(yīng)該在哪些地方部署防火墻呢？

----首先,應(yīng)該安裝防火墻的位置是公司內(nèi)部網(wǎng)絡(luò)與外部Internet的接口處，以阻擋來自外部網(wǎng)絡(luò)的入侵；其次，如果公司內(nèi)部網(wǎng)絡(luò)規(guī)模較大，并且設(shè)置有虛擬局域網(wǎng)(VLAN)，則應(yīng)該在各個(gè)VLAN之間設(shè)置防火墻；第三，通過公網(wǎng)連接的總部與各分支機(jī)構(gòu)之間也應(yīng)該設(shè)置防火墻，如果有條件，還應(yīng)該同時(shí)將總部與各分支機(jī)構(gòu)組成虛擬專用網(wǎng)(VPN)。

----安裝防火墻的基本原則是：只要有惡意侵入的可能，無論是內(nèi)部網(wǎng)絡(luò)還是與外部公網(wǎng)的連接處，都應(yīng)該安裝防火墻。

§3.2防火墻的使用配置

一、防火墻的配置規(guī)則：

沒有連接的狀態(tài)(沒有握手或握手不成功或非法的數(shù)據(jù)包)，任何數(shù)據(jù)包無法穿過防火墻。(內(nèi)部發(fā)起的連接可以回包。通過ACL開放的服務(wù)器允許外部發(fā)起連接)

inside可以訪問任何outside和dmz區(qū)域。

dmz可以訪問outside區(qū)域。

inside訪問dmz需要配合static(靜態(tài)地址轉(zhuǎn)換)。

outside訪問dmz需要配合acl(訪問控制列表)。

二、防火墻設(shè)備的設(shè)置步驟：

1、確定設(shè)置防火墻的部署模式；

2、設(shè)置防火墻設(shè)備的IP地址信息（接口地址或管理地址（設(shè)置在VLAN1上））；

3、設(shè)置防火墻設(shè)備的路由信息；

4、確定經(jīng)過防火墻設(shè)備的IP地址信息（基于策略的源、目標(biāo)地址）；

5、確定網(wǎng)絡(luò)應(yīng)用（如FTP、EMAIL等應(yīng)用）；

6、配置訪問控制策略。

第四章防火墻測試的相關(guān)標(biāo)準(zhǔn)

防火墻作為信息安全產(chǎn)品的一種，它的產(chǎn)生源于信息安全的需求。所以防火墻的測試不僅有利于提高防火墻的工作效率，更是為了保證國家信息的安全。依照中華人民共和國國家標(biāo)準(zhǔn)GB/T18019-1999《信息技術(shù)包過濾防火墻安全技術(shù)要求》、GB/T18020-1999《信息技術(shù)應(yīng)用級(jí)防火墻安全技術(shù)要求》和GB/T17900-1999《網(wǎng)絡(luò)服務(wù)器的安全技術(shù)要求》以及多款防火墻隨機(jī)提供的說明文檔，中國軟件評(píng)測中心軟件產(chǎn)品測試部根據(jù)有關(guān)方面的標(biāo)準(zhǔn)和不同防火墻的特點(diǎn)整理出以下軟件防火墻的測試標(biāo)準(zhǔn)：

4.1規(guī)則配置方面

要使防火墻軟件更好的服務(wù)于用戶，除了其默認(rèn)的安全規(guī)則外，還需要用戶在使用過程中不斷的完善其規(guī)則；而規(guī)則的設(shè)置是否靈活方便、實(shí)際效果是否理想等方面，也是判斷一款防火墻軟件整體安全性是否合格的重要標(biāo)準(zhǔn)。簡單快捷的規(guī)則配置過程讓防火墻軟件具備更好的親和力，一款防火墻軟件如果能實(shí)施在線檢測所有對本機(jī)的訪問并控制它們、分別對應(yīng)用程序、文件或注冊表鍵值實(shí)施單獨(dú)的規(guī)則添加等等，這將成為此款軟件防火墻規(guī)則配置的一個(gè)特色。

§4.2防御能力方面

對于防火墻防御能力的表現(xiàn)，由于偶然因素太多，因此無法從一個(gè)固定平等的測試環(huán)境中來得出結(jié)果。但是可以使用了X-Scan等安全掃描工具來測試。雖然得出的結(jié)果可能仍然有一定的出入，但大致可以做為一個(gè)性能參考。

§4.3主動(dòng)防御提示方面

對于網(wǎng)絡(luò)訪問、系統(tǒng)進(jìn)程訪問、程序運(yùn)行等本機(jī)狀態(tài)發(fā)生改變時(shí)，防火墻軟件一般都會(huì)有主動(dòng)防御提示出現(xiàn)。這方面主要測試軟件攔截或過濾時(shí)是否提示用戶做出相應(yīng)的操作選擇。

§4.4自定義安全級(jí)別方面

用戶是否可以參照已有安全級(jí)別的安全性描述來設(shè)置符合自身特殊需要的規(guī)則。防火墻可設(shè)置系統(tǒng)防火墻的安全等級(jí)、安全規(guī)則，以防止電腦被外界入侵。一般的防火墻共有四個(gè)級(jí)別：

高級(jí)：預(yù)設(shè)的防火墻安全等級(jí)，用戶可以上網(wǎng)，收發(fā)郵件；l

中級(jí)：預(yù)設(shè)的防火墻安全等級(jí)，用戶可以上網(wǎng)，收發(fā)郵件，網(wǎng)絡(luò)聊天，F(xiàn)TP、Telnet等；l

低級(jí)：預(yù)設(shè)的防火墻安全等級(jí)，只對已知的木馬進(jìn)行攔截，對于其它的訪問，只是給于提示用戶及記錄；l

自定義：用戶可自定義防火墻的安全規(guī)則，可以根據(jù)需要自行進(jìn)行配置。l

§4.5其他功能方面

這主要是從軟件的擴(kuò)展功能表現(xiàn)、操作設(shè)置的易用性、軟件的兼容性和安全可靠性方面來綜合判定。比如是否具有過濾網(wǎng)址、實(shí)施木馬掃描、阻止彈出廣告窗口、將未受保護(hù)的無線網(wǎng)絡(luò)“學(xué)習(xí)”為規(guī)則、惡意軟件檢測、個(gè)人隱私保護(hù)等豐富的功能項(xiàng)，是否可以滿足用戶各方面的需要。

§4.6資源占用方面

這方面的測試包括空閑時(shí)和瀏覽網(wǎng)頁時(shí)的CPU占用率、內(nèi)存占有率以及屏蔽大量攻擊時(shí)的資源占用和相應(yīng)速度。總的來是就是資源占用率越低越好，啟動(dòng)的速度越快越好。

§4.7軟件安裝方面

這方面主要測試軟件的安裝使用是否需要重啟系統(tǒng)、安裝過程是不是方便、安裝完成后是否提示升級(jí)本地?cái)?shù)據(jù)庫的信息等等。

§4.8軟件界面方面

軟件是否可切換界面皮膚和語言、界面是否簡潔等等。簡潔的界面并不代表其功能就不完善，相反地，簡化了用戶的操作設(shè)置項(xiàng)也就帶來了更智能的安全防護(hù)功能。比如有的防護(hù)墻安裝完成后會(huì)在桌面生成簡單模式和高級(jí)模式兩個(gè)啟動(dòng)項(xiàng)，這方便用戶根據(jù)不同的安全級(jí)別啟動(dòng)相應(yīng)的防護(hù)

第五章防火墻的入侵檢測

§5.1什么是入侵檢測系統(tǒng)？

入侵檢測可被定義為對計(jì)算機(jī)和網(wǎng)絡(luò)資源上的惡意使用行為進(jìn)行識(shí)別和響應(yīng)的處理過程，它不僅檢測來自外部的入侵行為，同時(shí)也檢測內(nèi)部用戶的未授權(quán)活動(dòng)。

入侵檢測系統(tǒng)(IDS)是從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，檢查網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。IDS被公認(rèn)為是防火墻之后的第二道安全閘門，它作為一種積極主動(dòng)的安全防護(hù)技術(shù)，從網(wǎng)絡(luò)安全立體縱深、多層次防御的角度出發(fā)，對防范網(wǎng)絡(luò)惡意攻擊及誤操作提供了主動(dòng)的實(shí)時(shí)保護(hù)，從而能夠在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵

§5.2入侵檢測技術(shù)及發(fā)展

自1980年產(chǎn)生IDS概念以來，已經(jīng)出現(xiàn)了基于主機(jī)和基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)，出現(xiàn)了基于知識(shí)的模型識(shí)別、異常識(shí)別和協(xié)議分析等入侵檢測技術(shù)，并能夠?qū)Π僬住⑶д咨踔粮吡髁康木W(wǎng)絡(luò)系統(tǒng)執(zhí)行入侵檢測。

入侵檢測技術(shù)的發(fā)展已經(jīng)歷了四個(gè)主要階段：

第一階段是以基于協(xié)議解碼和模式匹配為主的技術(shù)，其優(yōu)點(diǎn)是對于已知的攻擊行為非常有效，各種已知的攻擊行為可以對號(hào)入座，誤報(bào)率低;缺點(diǎn)是高超的黑客采用變形手法或者新技術(shù)可以輕易躲避檢測，漏報(bào)率高。

第二階段是以基于模式匹配+簡單協(xié)議分析+異常統(tǒng)計(jì)為主的技術(shù)，其優(yōu)點(diǎn)是能夠分析處理一部分協(xié)議，可以進(jìn)行重組;缺點(diǎn)是匹配效率較低，管理功能較弱。這種檢測技術(shù)實(shí)際上是在第一階段技術(shù)的基礎(chǔ)上增加了部分對異常行為分析的功能。

第三階段是以基于完全協(xié)議分析+模式匹配+異常統(tǒng)計(jì)為主的技術(shù)，其優(yōu)點(diǎn)是誤報(bào)率、漏報(bào)率和濫報(bào)率較低，效率高，可管理性強(qiáng)，并在此基礎(chǔ)上實(shí)現(xiàn)了多級(jí)分布式的檢測管理;缺點(diǎn)是可視化程度不夠，防范及管理功能較弱。

第四階段是以基于安全管理+協(xié)議分析+模式匹配+異常統(tǒng)計(jì)為主的技術(shù)，其優(yōu)點(diǎn)是入侵管理和多項(xiàng)技術(shù)協(xié)同工作，建立全局的主動(dòng)保障體系，具有良好的可視化、可控性和可管理性。以該技術(shù)為核心，可構(gòu)造一個(gè)積極的動(dòng)態(tài)防御體系，即IMS——入侵管理系統(tǒng)。

新一代的入侵檢測系統(tǒng)應(yīng)該是具有集成HIDS和NIDS的優(yōu)點(diǎn)、部署方便、應(yīng)用靈活、功能強(qiáng)大、并提供攻擊簽名、檢測、報(bào)告和事件關(guān)聯(lián)等配套服務(wù)功能的智能化系統(tǒng)§5.3入侵檢測技術(shù)分類

從技術(shù)上講，入侵檢測技術(shù)大致分為基于知識(shí)的模式識(shí)別、基于知識(shí)的異常識(shí)別和協(xié)議分析三類。而主要的入侵檢測方法有特征檢測法、概率統(tǒng)計(jì)分析法和專家知識(shí)庫系統(tǒng)。

(1)基于知識(shí)的模式識(shí)別

這種技術(shù)是通過事先定義好的模式數(shù)據(jù)庫實(shí)現(xiàn)的，其基本思想是：首先把各種可能的入侵活動(dòng)均用某種模式表示出來，并建立模式數(shù)據(jù)庫，然后監(jiān)視主體的一舉一動(dòng)，當(dāng)檢測到主體活動(dòng)違反了事先定義的模式規(guī)則時(shí)，根據(jù)模式匹配原則判別是否發(fā)生了攻擊行為。

模式識(shí)別的關(guān)鍵是建立入侵模式的表示形式，同時(shí)，要能夠區(qū)分入侵行為和正常行為。這種檢測技術(shù)僅限于檢測出已建立模式的入侵行為，屬已知類型，對新類型的入侵是無能為力的，仍需改進(jìn)。

(2)基于知識(shí)的異常識(shí)別

這種技術(shù)是通過事先建立正常行為檔案庫實(shí)現(xiàn)的，其基本思想是：首先把主體的各種正常活動(dòng)用某種形式描述出來，并建立“正常活動(dòng)檔案”，當(dāng)某種活動(dòng)與所描述的正常活動(dòng)存在差異時(shí)，就認(rèn)為是“入侵”行為，進(jìn)而被檢測識(shí)別。

異常識(shí)別的關(guān)鍵是描述正常活動(dòng)和構(gòu)建正常活動(dòng)檔案庫。

利用行為進(jìn)行識(shí)別時(shí)，存在四種可能：一是入侵且行為正常;二是入侵且行為異常;三是非入侵且行為正常;四是非入侵且行為異常。根據(jù)異常識(shí)別思想，把第二種和第四種情況判定為“入侵”行為。這種檢測技術(shù)可以檢測出未知行為，并具有簡單的學(xué)習(xí)功能。

以下是幾種基于知識(shí)的異常識(shí)別的檢測方法：

1)基于審計(jì)的攻擊檢測技術(shù)

這種檢測方法是通過對審計(jì)信息的綜合分析實(shí)現(xiàn)的，其基本思想是：根據(jù)用戶的歷史行為、先前的證據(jù)或模型，使用統(tǒng)計(jì)分析方法對用戶當(dāng)前的行為進(jìn)行檢測和判別，當(dāng)發(fā)現(xiàn)可疑行為時(shí)，保持跟蹤并監(jiān)視其行為，同時(shí)向系統(tǒng)安全員提交安全審計(jì)報(bào)告。

2)基于神經(jīng)網(wǎng)絡(luò)的攻擊檢測技術(shù)

由于用戶的行為十分復(fù)雜，要準(zhǔn)確匹配一個(gè)用戶的歷史行為和當(dāng)前的行為是相當(dāng)困難的，這也是基于審計(jì)攻擊檢測的主要弱點(diǎn)。

而基于神經(jīng)網(wǎng)絡(luò)的攻擊檢測技術(shù)則是一個(gè)對基于傳統(tǒng)統(tǒng)計(jì)技術(shù)的攻擊檢測方法的改進(jìn)方向，它能夠解決傳統(tǒng)的統(tǒng)計(jì)分析技術(shù)所面臨的若干問題，例如，建立確切的統(tǒng)計(jì)分布、實(shí)現(xiàn)方法的普遍性、降低算法實(shí)現(xiàn)的成本和系統(tǒng)優(yōu)化等問題。

3)基于專家系統(tǒng)的攻擊檢測技術(shù)

所謂專家系統(tǒng)就是一個(gè)依據(jù)專家經(jīng)驗(yàn)定義的推理系統(tǒng)。這種檢測是建立在專家經(jīng)驗(yàn)基礎(chǔ)上的，它根據(jù)專家經(jīng)驗(yàn)進(jìn)行推理判斷得出結(jié)論。例如，當(dāng)用戶連續(xù)三次登錄失敗時(shí)，可以把該用戶的第四次登錄視為攻擊行為。

4)基于模型推理的攻擊檢測技術(shù)

攻擊者在入侵一個(gè)系統(tǒng)時(shí)往往采用一定的行為程序，如猜測口令的程序，這種行為程序構(gòu)成了某種具有一定行為特征的模型，根據(jù)這種模型所代表的攻擊意圖的行為特征，可以實(shí)時(shí)地檢測出惡意的攻擊企圖，盡管攻擊者不一定都是惡意的。用基于模型的推理方法人們能夠?yàn)槟承┬袨榻⑻囟ǖ哪Ｐ停瑥亩軌虮O(jiān)視具有特定行為特征的某些活動(dòng)。根據(jù)假設(shè)的攻擊腳本，這種系統(tǒng)就能檢測出非法的用戶行為。一般為了準(zhǔn)確判斷，要為不同的入侵者和不同的系統(tǒng)建立特定的攻擊腳本。

使用基于知識(shí)的模式識(shí)別和基于知識(shí)的異常識(shí)別所得出的結(jié)論差異較大，甚至得出相反結(jié)論。這是因?yàn)榛谥R(shí)的模式識(shí)別的核心是維護(hù)一個(gè)入侵模式庫，它對已知攻擊可以詳細(xì)、準(zhǔn)確地報(bào)告出攻擊類型，但對未知攻擊卻無能為力，而且入侵模式庫必須不斷更新。而基于知識(shí)的異常識(shí)別則是通過對入侵活動(dòng)的檢測得出結(jié)論的，它雖無法準(zhǔn)確判斷出攻擊的手段，但可以發(fā)現(xiàn)更廣泛的、甚至未知的攻擊行為。

§5.4入侵檢測技術(shù)剖析

1）信號(hào)分析

對收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為等信息，一般通過三種技術(shù)手段進(jìn)行分析：模式匹配、統(tǒng)計(jì)分析和完整性分析。其中前兩種方法用于實(shí)時(shí)的入侵檢測，而完整性分析則用于事后分析。

2）模式匹配

模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)已有模式數(shù)據(jù)庫進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。該過程可以很簡單（如通過字符串匹配以尋找一個(gè)簡單的條目或指令），也可以很復(fù)雜（如利用正規(guī)的數(shù)學(xué)表達(dá)式來表示安全狀態(tài)的變化）。一般來講，一種進(jìn)攻模式可以用一個(gè)過程（如執(zhí)行一條指令）或一個(gè)輸出（如獲得權(quán)限）來表示。該方法的一大優(yōu)點(diǎn)是只需收集相關(guān)的數(shù)據(jù)集合，顯著減少系統(tǒng)負(fù)擔(dān)，且技術(shù)已相當(dāng)成熟。它與病毒防火墻采用的方法一樣，檢測準(zhǔn)確率和效率都相當(dāng)高。但是，該方法存在的弱點(diǎn)是需要不斷的升級(jí)以對付不斷出現(xiàn)的黑客攻擊手法，不能檢測到從未出現(xiàn)過的黑客攻擊手段。

3）統(tǒng)計(jì)分析

統(tǒng)計(jì)分析方法首先給系統(tǒng)對象（如用戶、文件、目錄和設(shè)備等）創(chuàng)建一個(gè)統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時(shí)的一些測量屬性（如訪問次數(shù)、操作失敗次數(shù)和延時(shí)等）。在比較這一點(diǎn)上與模式匹配有些相象之處。測量屬性的平均值將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，任何觀察值在正常值范圍之外時(shí)，就認(rèn)為有入侵發(fā)生。例如，本來都默認(rèn)用GUEST帳號(hào)登錄的，突然用ADMINI帳號(hào)登錄。這樣做的優(yōu)點(diǎn)是可檢測到未知的入侵和更為復(fù)雜的入侵，缺點(diǎn)是誤報(bào)、漏報(bào)率高，且不適應(yīng)用戶正常行為的突然改變。具體的統(tǒng)計(jì)分析方法如基于專家系統(tǒng)的、基于模型推理的和基于神經(jīng)網(wǎng)絡(luò)的分析方法，目前正處于研究熱點(diǎn)和迅速發(fā)展之中。

4）完整性分析

完整性分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓模@經(jīng)常包括文件和目錄的內(nèi)容及屬性，它在發(fā)現(xiàn)被更改的、被特咯伊化的應(yīng)用程序方面特別有效。完整性分析利用強(qiáng)有力的加密機(jī)制，稱為消息摘要函數(shù)（例如MD5），它能識(shí)別哪怕是微小的變化。其優(yōu)點(diǎn)是不管模式匹配方法和統(tǒng)計(jì)分析方法能否發(fā)現(xiàn)入侵，只要是成功的攻擊導(dǎo)致了文件或其它對象的任何改變，它都能夠發(fā)現(xiàn)。缺點(diǎn)是一般以批處理方式實(shí)現(xiàn)，用于事后分析而不用于實(shí)時(shí)響應(yīng)。盡管如此，完整性檢測方法還應(yīng)該是網(wǎng)絡(luò)安全產(chǎn)品的必要手段之一。例如，可以在每一天的某個(gè)特定時(shí)間內(nèi)開啟完整性分析模塊，對網(wǎng)絡(luò)系統(tǒng)進(jìn)行全面地掃描檢查。

§5.5防火墻與入侵檢測的聯(lián)動(dòng)

網(wǎng)絡(luò)安全是一個(gè)整體的動(dòng)態(tài)的系統(tǒng)工程，不能靠幾個(gè)產(chǎn)品單獨(dú)工作來進(jìn)行安全防范。理想情況下，整個(gè)系統(tǒng)的安全產(chǎn)品應(yīng)該有一個(gè)響應(yīng)協(xié)同，相互通信，協(xié)同工作。其中入侵檢測系統(tǒng)和防火墻之間的聯(lián)動(dòng)就能更好的進(jìn)行安全防護(hù)。圖8所示就是入侵檢測系統(tǒng)和防火墻之間的聯(lián)動(dòng)，當(dāng)入侵檢測系統(tǒng)檢測到入侵后，通過和防火墻通信，讓防火墻自動(dòng)增加規(guī)則，以攔截相關(guān)的入侵行為，實(shí)現(xiàn)聯(lián)動(dòng)聯(lián)防。

§5.6什么是VPN?

VPN的英文全稱是“VirtualPrivateNetwork”，翻譯過來就是“虛擬專用網(wǎng)絡(luò)”。顧名思義，虛擬專用網(wǎng)絡(luò)我們可以把它理解成是虛擬出來的企業(yè)內(nèi)部專線。它可以通過特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通訊線路，就好比是架設(shè)了一條專線一樣，但是它并不需要真正的去鋪設(shè)光纜之類的物理線路。這就好比去電信局申請專線，但是不用給鋪設(shè)線路的費(fèi)用，也不用購買路由器等硬件設(shè)備。VPN技術(shù)原是路由器具有的重要技術(shù)之一，目前在交換機(jī)，防火墻設(shè)備或Windows2000等軟件里也都支持VPN功能，一句話，VPN的核心就是在利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng)。

虛擬專用網(wǎng)（VPN）被定義為通過一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專用網(wǎng)是對企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。虛擬專用網(wǎng)可以幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。虛擬專用網(wǎng)可用于不斷增長的移動(dòng)用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全連接；可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。

§5.7VPN的特點(diǎn)

1.安全保障雖然實(shí)現(xiàn)VPN的技術(shù)和方式很多，但所有的VPN均應(yīng)保證通過公用網(wǎng)絡(luò)平臺(tái)傳輸數(shù)據(jù)的專用性和安全性。在安全性方面，由于VPN直接構(gòu)建在公用網(wǎng)上，實(shí)現(xiàn)簡單、方便、靈活，但同時(shí)其安全問題也更為突出。企業(yè)必須確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改，并且要防止非法用戶對網(wǎng)絡(luò)資源或私有信息的訪問。

2.服務(wù)質(zhì)量保證（QoS）

VPN網(wǎng)應(yīng)當(dāng)為企業(yè)數(shù)據(jù)提供不同等級(jí)的服務(wù)質(zhì)量保證。不同的用戶和業(yè)務(wù)對服務(wù)質(zhì)量保證的要求差別較大。在網(wǎng)絡(luò)優(yōu)化方面，構(gòu)建VPN的另一重要需求是充分有效地利用有限的廣域網(wǎng)資源，為重要數(shù)據(jù)提供可靠的帶寬。廣域網(wǎng)流量的不確定性使其帶寬的利用率很低，在流量高峰時(shí)引起網(wǎng)絡(luò)阻塞，使實(shí)時(shí)性要求高的數(shù)據(jù)得不到及時(shí)發(fā)送；而在流量低谷時(shí)又造成大量的網(wǎng)絡(luò)帶寬空閑。QoS通過流量預(yù)測與流量控制策略，可以按照優(yōu)先級(jí)分實(shí)現(xiàn)帶寬管理，使得各類數(shù)據(jù)能夠被合理地先后發(fā)送，并預(yù)防阻塞的發(fā)生。

3.可擴(kuò)充性和靈活性

VPN必須能夠支持通過Intranet和Extranet的任何類型的數(shù)據(jù)流，方便增加新的節(jié)點(diǎn)，支持多種類型的傳輸媒介，可以滿足同時(shí)傳輸語音、圖像和數(shù)據(jù)等新應(yīng)用對高質(zhì)量傳輸以及帶寬增加的需求。

4.可管理性

從用戶角度和運(yùn)營商角度應(yīng)可方便地進(jìn)行管理、維護(hù)。VPN管理的目標(biāo)為：減小網(wǎng)絡(luò)風(fēng)險(xiǎn)、具有高擴(kuò)展性、經(jīng)濟(jì)性、高可靠性等優(yōu)點(diǎn)。事實(shí)上，VPN管理主要包括安全管理、設(shè)備管理、配置管理、訪問控制列表管理、QoS管理等內(nèi)容。

§5.8VPN防火墻

VPN防火墻就是一種過濾塞（目前你這么理解不算錯(cuò)），你可以讓你喜歡的東西通過這個(gè)塞子，別的玩意都統(tǒng)統(tǒng)過濾掉。在網(wǎng)絡(luò)的世界里，要由VPN防火墻過濾的就是承載通信數(shù)據(jù)的通信包。

最簡單的VPN防火墻是以太網(wǎng)橋。但幾乎沒有人會(huì)認(rèn)為這種原始VPN防火墻能管多大用。大多數(shù)VPN防火墻采用的技術(shù)和標(biāo)準(zhǔn)可謂五花八門。這些VPN防火墻的形式多種多樣：有的取代系統(tǒng)上已經(jīng)裝備的TCP/IP協(xié)議棧；有的在已有的協(xié)議棧上建立自己的軟件模塊；有的干脆就是獨(dú)立的一套操作系統(tǒng)。還有一些應(yīng)用型的VPN防火墻只對特定類型的網(wǎng)絡(luò)連接提供保護(hù)（比如SMTP或者HTTP協(xié)議等）。還有一些基于硬件的VPN防火墻產(chǎn)品其實(shí)應(yīng)該歸入安全路由器一類。以上的產(chǎn)品都可以叫做VPN防火墻，因?yàn)樗麄兊墓ぷ鞣绞蕉际且粯拥模悍治龀鋈隫PN防火墻的數(shù)據(jù)包，決定放行還是把他們?nèi)拥揭贿叀?/p>

所有的VPN防火墻都具有IP地址過濾功能。這項(xiàng)任務(wù)要檢查IP包頭，根據(jù)其IP源地址和目標(biāo)地址作出放行/丟棄決定。看看下面這張圖，兩個(gè)網(wǎng)段之間隔了一個(gè)VPN防火墻，VPN防火墻的一端有臺(tái)UNIX計(jì)算機(jī)，另一邊的網(wǎng)段則擺了臺(tái)PC客戶機(jī)。

當(dāng)PC客戶機(jī)向UNIX計(jì)算機(jī)發(fā)起telnet請求時(shí)，PC的telnet客戶程序就產(chǎn)生一個(gè)TCP包并把它傳給本地的協(xié)議棧準(zhǔn)備發(fā)送。接下來，協(xié)議棧將這個(gè)TCP包“塞”到一個(gè)IP包里，然后通過PC機(jī)的TCP/IP棧所定義的路徑將它發(fā)送給UNIX計(jì)算機(jī)。在這個(gè)例子里，這個(gè)IP包必須經(jīng)過橫在PC和UNIX計(jì)算機(jī)中的VPN防火墻才能到達(dá)UNIX計(jì)算機(jī)。

現(xiàn)在我們“命令”（用專業(yè)術(shù)語來說就是配制）VPN防火墻把所有發(fā)給UNIX計(jì)算機(jī)的數(shù)據(jù)包都給拒了，完成這項(xiàng)工作以后，比較好的VPN防火墻還會(huì)通知客戶程序一聲呢！既然發(fā)向目標(biāo)的IP數(shù)據(jù)沒法轉(zhuǎn)發(fā)，那么只有和UNIX計(jì)算機(jī)同在一個(gè)網(wǎng)段的用戶才能訪問UNIX計(jì)算機(jī)了。

還有一種情況，你可以命令VPN防火墻專給那臺(tái)可憐的PC機(jī)找茬，別人的數(shù)據(jù)包都讓過就它不行。這正是VPN防火墻最基本的功能：根據(jù)IP地址做轉(zhuǎn)發(fā)判斷。但要上了大場面這種小伎倆就玩不轉(zhuǎn)了，由于黑客們可以采用IP地址欺騙技術(shù)，偽裝成合法地址的計(jì)算機(jī)就可以穿越信任這個(gè)地址的VPN防火墻了。不過根據(jù)地址的轉(zhuǎn)發(fā)決策機(jī)制還是最基本和必需的。另外要注意的一點(diǎn)是，不要用DNS主機(jī)名建立過濾表，對DNS的偽造比IP地址欺騙要容易多了。

后記：

入侵檢測作為一種積極主動(dòng)地安全防護(hù)技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。入侵檢測系統(tǒng)面臨的最主要挑戰(zhàn)有兩個(gè)：一個(gè)是虛警率太高，一個(gè)是檢測速度太慢。現(xiàn)有的入侵檢測系統(tǒng)還有其他技術(shù)上的致命弱點(diǎn)。因此，可以這樣說，入侵檢測產(chǎn)品仍具有較大的發(fā)展空間，從技術(shù)途徑來講，除了完善常規(guī)的、傳統(tǒng)的技術(shù)（模式識(shí)別和完整性檢測）外，應(yīng)重點(diǎn)加強(qiáng)統(tǒng)計(jì)分析的相關(guān)技術(shù)研究。

但無論如何，入侵檢測不是對所有的入侵都能夠及時(shí)發(fā)現(xiàn)的，即使擁有當(dāng)前最強(qiáng)大的入侵檢測系統(tǒng)，如果不及時(shí)修補(bǔ)網(wǎng)絡(luò)中的安全漏洞的話，安全也無從談起。

同樣入侵檢測技術(shù)也存在許多缺點(diǎn)，IDS的檢測模型始終落后于攻擊者的新知識(shí)和技術(shù)手段。主要表現(xiàn)在以下幾個(gè)方面：

1)利用加密技術(shù)欺騙IDS;

2)躲避IDS的安全策略;

3)快速發(fā)動(dòng)進(jìn)攻，使IDS無法反應(yīng);

4)發(fā)動(dòng)大規(guī)模攻擊，使IDS判斷出錯(cuò);

5)直接破壞IDS;

6)智能攻擊技術(shù)，邊攻擊邊學(xué)習(xí)，變IDS為攻擊者的工具。

我認(rèn)為在與防火墻技術(shù)結(jié)合中應(yīng)該注意擴(kuò)大檢測范圍和類別、加強(qiáng)自學(xué)習(xí)和自適應(yīng)的能力方面發(fā)展。

參考文獻(xiàn)：

1..MarcusGoncalves著。宋書民，朱智強(qiáng)等譯。防火墻技術(shù)指南[M]。機(jī)械工業(yè)出版社

2.梅杰，許榕生。Internet防火墻技術(shù)新發(fā)展。微電腦世界.

篇2

關(guān)鍵字貝葉斯；核密度；入侵檢測；分類

1前言

在入侵檢測系統(tǒng)中，為了提高系統(tǒng)的性能，包括降低誤報(bào)率和漏報(bào)率，縮短反應(yīng)時(shí)間等，學(xué)者們引入了許多方法，如專家系統(tǒng)、神經(jīng)網(wǎng)絡(luò)、遺傳算法和數(shù)據(jù)挖掘中的聚類，分類等各種算法。例如：Cooper&Herkovits提出的一種基于貪心算法的貝葉斯信念網(wǎng)絡(luò)，而Provan&SinghProvan，G.M&SinghM和其他學(xué)者報(bào)告了這種方法的優(yōu)點(diǎn)。貝葉斯網(wǎng)絡(luò)說明聯(lián)合條件概率分布，為機(jī)器學(xué)習(xí)提供一種因果關(guān)系的圖形，能有效的處理某些問題，如診斷：貝葉斯網(wǎng)絡(luò)能正確的處理不確定和有噪聲的問題，這類問題在任何檢測任務(wù)中都很重要。

然而，在分類算法的比較研究發(fā)現(xiàn)，一種稱作樸素貝葉斯分類的簡單貝葉斯算法給人印象更為深刻。盡管樸素貝葉斯的分類器有個(gè)很簡單的假定，但從現(xiàn)實(shí)數(shù)據(jù)中的實(shí)驗(yàn)反復(fù)地表明它可以與決定樹和神經(jīng)網(wǎng)絡(luò)分類算法相媲美[1]。

在本文中，我們研究樸素貝葉斯分類算法，用來檢測入侵審計(jì)數(shù)據(jù)，旨在開發(fā)一種更有效的，檢驗(yàn)更加準(zhǔn)確的算法。

2貝葉斯分類器

貝葉斯分類是統(tǒng)計(jì)學(xué)分類方法。它們可以預(yù)測類成員關(guān)系的可能性，如給定樣本屬于一個(gè)特定類的概率。

樸素貝葉斯分類[2]假定了一個(gè)屬性值對給定類的影響?yīng)毩⒂谄渌鼘傩缘闹担@一假定稱作類條件獨(dú)立。

設(shè)定數(shù)據(jù)樣本用一個(gè)n維特征向量X={x1，x2，，xn}表示，分別描述對n個(gè)屬性A1，A2，，An樣本的n個(gè)度量。假定有m個(gè)類C1，C2，，Cm。給定一個(gè)未知的數(shù)據(jù)樣本X（即沒有類標(biāo)號(hào)），樸素貝葉斯分類分類法將預(yù)測X屬于具有最高后驗(yàn)概率（條件X下）的類，當(dāng)且僅當(dāng)P(Ci|X)>P(Cj|X)，1≤j≤m，j≠i這樣，最大化P(Ci|X)。其中P(Ci|X)最大類Ci稱為最大后驗(yàn)假定，其原理為貝葉斯定理：

公式(1)

由于P(X)對于所有類為常數(shù)，只需要P(X|Ci)P(Ci)最大即可。并據(jù)此對P(Ci|X)最大化。否則，最大化P(X|Ci)P(Ci)。如果給定具有許多屬性的數(shù)據(jù)集，計(jì)算P(X|Ci)P(Ci)的開銷可能非常大。為降低計(jì)算P(X|Ci)的開銷，可以做類條件獨(dú)立的樸素假定。給定樣本的類標(biāo)號(hào)，假定屬性值相互條件獨(dú)立，即在屬性間，不存在依賴關(guān)系，這樣，

公式(2)

概率，可以由訓(xùn)練樣本估值：

(1)如果Ak是分類屬性，則P(xk|Ci)=sik/si其中sik是Ak上具有值xk的類Ci的訓(xùn)練樣本數(shù)，而si是Ci中的訓(xùn)練樣本數(shù)。

(2)如果Ak是連續(xù)值屬性，則通常假定該屬性服從高斯分布。因而

公式(3)

其中，給定類Ci的訓(xùn)練樣本屬性Ak的值，是屬性Ak的高斯密度函數(shù)，而分別為平均值和標(biāo)準(zhǔn)差。

樸素貝葉斯分類算法(以下稱為NBC)具有最小的出錯(cuò)率。然而，實(shí)踐中并非如此，這是由于對其應(yīng)用假定（如類條件獨(dú)立性）的不確定性，以及缺乏可用的概率數(shù)據(jù)造成的。主要表現(xiàn)為：

①不同的檢測屬性之間可能存在依賴關(guān)系，如protocol_type，src_bytes和dst_bytes三種屬性之間總會(huì)存在一定的聯(lián)系；

②當(dāng)連續(xù)值屬性分布是多態(tài)時(shí)，可能產(chǎn)生很明顯的問題。在這種情況下，考慮分類問題涉及更加廣泛，或者我們在做數(shù)據(jù)分析時(shí)應(yīng)該考慮另一種數(shù)據(jù)分析。

后一種方法我們將在以下章節(jié)詳細(xì)討論。

3樸素貝葉斯的改進(jìn)：核密度估計(jì)

核密度估計(jì)是一種普便的樸素貝葉斯方法，主要解決由每個(gè)連續(xù)值屬性設(shè)為高斯分布所產(chǎn)生的問題，正如上一節(jié)所提到的。在[3]文中，作者認(rèn)為連續(xù)屬性值更多是以核密度估計(jì)而不是高斯估計(jì)。

樸素貝葉斯核密度估計(jì)分類算法（以下稱K-NBC）十分類似如NBC，除了在計(jì)算連續(xù)屬性的概率時(shí)：NBC是使用高斯密度函數(shù)來評(píng)估該屬性，而K-NBC正如它的名字所說得一樣，使用高斯核密度函數(shù)來評(píng)估屬性。它的標(biāo)準(zhǔn)核密度公式為

公式(4)

其中h=σ稱為核密度的帶寬，K=g（x,0,1），定義為非負(fù)函數(shù)。這樣公式（4）變形為公式（5）

公式(5)

在K-NBC中采用高斯核密度為數(shù)據(jù)分析，這是因?yàn)楦咚姑芏扔兄硐氲那€特點(diǎn)。圖1說明了實(shí)際數(shù)據(jù)的概率分布更接近高斯核密度曲線。

圖1兩種不同的概率密度對事務(wù)中數(shù)據(jù)的評(píng)估，其中黑線代表高斯密度，虛線為核估計(jì)密度并有兩個(gè)不同值的帶寬樸素貝葉斯算法在計(jì)算μc和σc時(shí)，只需要存儲(chǔ)觀測值xk的和以及他們的平方和，這對一個(gè)正態(tài)分布來說是已經(jīng)足夠了。而核密度在訓(xùn)練過程中需要存儲(chǔ)每一個(gè)連續(xù)屬性的值（在學(xué)習(xí)過程中，對名詞性屬性只需要存儲(chǔ)它在樣本中的頻率值，這一點(diǎn)和樸素貝葉斯算法一樣）。而為事例分類時(shí)，在計(jì)算連續(xù)值屬性的概率時(shí)，樸素貝葉斯算法只需要評(píng)估g一次，而核密度估計(jì)算法需要對每個(gè)c類中屬性X每一個(gè)觀察值進(jìn)行n次評(píng)估，這就增加計(jì)算存儲(chǔ)空間和時(shí)間復(fù)雜度，表1中對比了兩種方法的時(shí)間復(fù)雜度和內(nèi)存需求空間。

4實(shí)驗(yàn)研究與結(jié)果分析

本節(jié)的目標(biāo)是評(píng)價(jià)我們提出核密度評(píng)估分類算法對入侵審計(jì)數(shù)據(jù)分類的效果，主要從整體檢測率、檢測率和誤檢率上來分析。

表1在給定n條訓(xùn)練事務(wù)和m個(gè)檢測屬性條件下，

NBC和K-NBC的算法復(fù)雜度

樸素貝葉斯核密度

時(shí)間空間時(shí)間空間

具有n條事務(wù)的訓(xùn)練數(shù)據(jù)O(nm)O(m)O(nm)O(nm)

具有q條事務(wù)的測試數(shù)據(jù)O(qm)O(qnm)

4.1實(shí)驗(yàn)建立

在實(shí)驗(yàn)中，我們使用NBC與K-NBC進(jìn)行比較。另觀察表1兩種算法的復(fù)雜度，可得知有效的減少檢測屬性，可以提高他們的運(yùn)算速度，同時(shí)刪除不相關(guān)的檢測屬性還有可以提高分類效率，本文將在下一節(jié)詳細(xì)介紹對稱不確定方法[4]如何對入侵審計(jì)數(shù)據(jù)的預(yù)處理。我們也會(huì)在實(shí)驗(yàn)中進(jìn)行對比分析。

我們使用WEKA來進(jìn)行本次實(shí)驗(yàn)。采用KDDCUP99[5]中的數(shù)據(jù)作為入侵檢測分類器的訓(xùn)練樣本集和測試樣本集，其中每個(gè)記錄由41個(gè)離散或連續(xù)的屬性(如：持續(xù)時(shí)間，協(xié)議類型等)來描述，并標(biāo)有其所屬的類型(如：正常或具體的攻擊類型)。所有數(shù)據(jù)分類23類，在這里我們把這些類網(wǎng)絡(luò)行為分為5大類網(wǎng)絡(luò)行為（Normal、DOS、U2R、R2L、Probe）。

在實(shí)驗(yàn)中，由于KDDCUP99有500多萬條記錄，為了處理的方便，我們均勻從kddcup.data.gz中按照五類網(wǎng)絡(luò)行為抽取了5萬條數(shù)據(jù)作為訓(xùn)練樣本集，并把他們分成5組，每組數(shù)據(jù)為10000條，其中normal數(shù)據(jù)占據(jù)整組數(shù)據(jù)中的98.5%，這一點(diǎn)符合真實(shí)環(huán)境中正常數(shù)據(jù)遠(yuǎn)遠(yuǎn)大于入侵?jǐn)?shù)據(jù)的比例。我們首

先檢測一組數(shù)據(jù)中只有同類的入侵的情況，共4組數(shù)據(jù)（DOS中的neptune，Proble中的Satan，U2R中的buffer_overflow，R2l中的guess_passwd），再檢測一組數(shù)據(jù)中有各種類型入侵?jǐn)?shù)據(jù)的情況。待分類器得到良好的訓(xùn)練后，再從KDD99數(shù)據(jù)中抽取5組數(shù)據(jù)作為測試樣本，分別代表Noraml-DOS，Normal-Probe，Normal-U2R，Normal-R2L，最后一組為混后型數(shù)據(jù)，每組數(shù)據(jù)為1萬條。

4.2數(shù)據(jù)的預(yù)處理

由于樸素貝葉斯有個(gè)假定，即假定所有待測屬性對給定類的影響?yīng)毩⒂谄渌麑傩缘闹担欢F(xiàn)實(shí)中的數(shù)據(jù)不總是如此。因此，本文引入對稱不確定理論來對數(shù)據(jù)進(jìn)行預(yù)處理，刪除數(shù)據(jù)中不相關(guān)的屬性。

對稱不確定理論是基于信息概念論，首先我們先了解一下信息理論念，屬性X的熵為：

公式(6)

給定一個(gè)觀察變量Y，變量X的熵為:

公式(7)

P(xi)是變量X所有值的先驗(yàn)概率，P(xi|yi)是給定觀察值Y，X的后驗(yàn)概率。這些隨著X熵的降低反映在條件Y下，X額外的信息，我們稱之為信息增益，

公式(8)

按照這個(gè)方法，如果IG(X|Y)＞IG(X|Y)，那么屬性Y比起屬性Z來，與屬性X相關(guān)性更強(qiáng)。

定理：對兩個(gè)隨機(jī)變量來說，它們之間的信息增益是對稱的。即

公式(9)

對測量屬性之間相關(guān)性的方法來說，對稱性是一種比較理想的特性。但是在計(jì)算有很多值的屬性的信息增益時(shí)，結(jié)果會(huì)出現(xiàn)偏差。而且為了確保他們之間可以比較，必須使這些值離散化，同樣也會(huì)引起偏差。因此我們引入對稱不確定性，

公式(10)

通過以下兩個(gè)步驟來選擇好的屬性：

①計(jì)算出所有被測屬性與class的SU值，并把它們按降序方式排列；

②根據(jù)設(shè)定的閾值刪除不相關(guān)的屬性。

最后決定一個(gè)最優(yōu)閾值δ，這里我們通過分析NBC和K-NBC計(jì)算結(jié)果來取值。

4.3實(shí)驗(yàn)結(jié)果及分析

在試驗(yàn)中，以記錄正確分類的百分比作為分類效率的評(píng)估標(biāo)準(zhǔn)，表2為兩種算法的分類效率。

表2對應(yīng)相同入侵類型數(shù)據(jù)進(jìn)行檢測的結(jié)果

數(shù)據(jù)集

算法DOS

(neptune)Proble

(satan)R2L

(guess_passwd)U2R

(buffer_overflow)

檢測率誤檢率整體檢測率檢測率誤檢率整體檢測率檢測率誤檢率整體檢測率檢測率誤檢率整體檢測率

NBC99.50.299.7998.30.199.8497.30.899.2951.898.21

K-NBC99.50.299.9698.3099.9697.30.299.81710.199.76

SU+NBC99.5099.9698.30.199.85980.799.2491.198.84

SU+K-NBC99.5099.9698.3099.9698.70.299.76850.199.81

根據(jù)表2四組不同類別的入侵檢測結(jié)果，我們從以下三個(gè)方面分析：

（1）整體檢測率。K-NBC的整體檢測率要比NBC高，這是因?yàn)镵-NBC在對normal這一類數(shù)據(jù)的檢測率要比NBC高，而normal這一類數(shù)據(jù)又占整個(gè)檢測數(shù)據(jù)集數(shù)的95%以上，這也說明了在上一節(jié)提到的normal類的數(shù)據(jù)分布曲線更加接近核密度曲線。

（2）檢測率。在對DOS和PROBLE這兩組數(shù)據(jù)檢測結(jié)果，兩個(gè)算法的檢測率都相同，這是因?yàn)檫@兩類入侵行為在實(shí)現(xiàn)入侵中占絕大部分，而且這一類數(shù)據(jù)更容易檢測，所以兩種算法的檢測效果比較接近；針對R2L檢測，從表2可以看到，在沒有進(jìn)行數(shù)據(jù)預(yù)處理之前，兩者的的檢測率相同，但經(jīng)過數(shù)據(jù)預(yù)處理后的兩個(gè)算法的檢測率都有了提高，而K-NBC的效率比NBC更好點(diǎn)；而對U2R的檢測結(jié)果，K-NBC就比NBC差一點(diǎn)，經(jīng)過數(shù)據(jù)預(yù)處理后，K-NBC的檢測率有一定的提高，但還是比NBC的效果差一些。

（3）誤檢率。在DOS和Proble這兩種組數(shù)據(jù)的誤檢率相同，在其他兩組數(shù)據(jù)的中，K-NBC的誤檢率都比NBC的低。

根據(jù)表3的結(jié)果分析，我們也可以看到的檢測結(jié)果與表2的分組檢測的結(jié)果比較類似，并且從綜合角度來說，K-NBC檢測效果要比NBC的好。在這里，我們也發(fā)現(xiàn)，兩種算法對R2L和U2L這兩類入侵的檢測效果要比DOS和Proble這兩類入侵的差。這主要是因?yàn)檫@兩類入侵屬于入侵行為的稀有類，檢測難度也相應(yīng)加大。在KDD99競賽中，冠軍方法對這兩類的檢測效果也是最差的。但我們可以看到NBC對這種稀有類的入侵行為檢測更為準(zhǔn)確一點(diǎn)，這應(yīng)該是稀有類的分布更接近正態(tài)分布。

從上述各方面綜合分析，我們可以證明K-NBC作為的入侵檢測分類算法的是有其優(yōu)越性的。

表3對混合入侵類型數(shù)據(jù)進(jìn)行檢測的結(jié)果

數(shù)據(jù)集

算法整體檢測分類檢測

NormalDosProbleR2LU2R

檢測率誤檢率檢測率誤檢率檢測率誤檢率檢測率誤檢率檢測率誤檢率檢測率誤檢率

NBC98.141.898.20.899.8099.8090086.71.8

K-NBC99.780.299.82.399.8099.8096073.30.1

SU+NBC97.992.0980.899.8099.8090086.71.9

SU+K-NBC99.790.299.81.999.8099.80960800.1

5結(jié)論

在本文中，我們用高斯核密度函數(shù)代替樸素貝葉斯中的高斯函數(shù)，建立K-NBC分類器，對入侵行為進(jìn)行檢測，另我們使用對稱不確定方法來刪除檢測數(shù)據(jù)的中與類不相關(guān)的屬性，從而進(jìn)一步改進(jìn)核密度樸素貝葉斯的分類效率，實(shí)驗(yàn)表明，對預(yù)處理后的審計(jì)數(shù)據(jù)，再結(jié)合K-NBC來檢測，可以達(dá)到更好的分類效果，具有很好的實(shí)用性。同時(shí)我們也注意到，由于入侵檢測的數(shù)據(jù)中的入侵行為一般為稀有類，特別是對R2L和U2R這兩類數(shù)據(jù)進(jìn)行檢測時(shí)，NBC有著比較理想的結(jié)果，所以在下一步工作中，我們看是否能把NBC和K－NBC這兩種分類模型和優(yōu)點(diǎn)聯(lián)合起來，并利用對稱不確定理論來刪除檢測數(shù)據(jù)與類相關(guān)的屬性中的冗余屬性，進(jìn)一步提高入侵檢測效率。

參考文獻(xiàn)

[1]Langley.P.，Iba，W.&Thompson，K.AnanalysisofBayesianclassifiers[A]，in“ProceedingsoftheTenthNationalConferenceonArtificialIntelligence”[C]MenloPark，1992.223-228

[2]HanJ.，KamberM..數(shù)據(jù)挖掘概念與技術(shù)[M].孟小峰，等譯.北京：機(jī)械工業(yè)出版社.2005.196201

[3]JohnG.H..EnhancementstotheDataMiningProcess[D].Ph.D.Thesis，ComputerScienceDept.，StanfordUniversity，1997

篇3

關(guān)鍵詞：校園網(wǎng)絡(luò)；黑客攻擊；入侵技術(shù)

1 校園網(wǎng)絡(luò)安全現(xiàn)狀

隨著網(wǎng)絡(luò)應(yīng)用的普及，電子商務(wù)！電子銀行和電子政務(wù)等網(wǎng)絡(luò)服務(wù)的大力發(fā)展，網(wǎng)絡(luò)在人們?nèi)粘Ｉ钪械膽?yīng)用越來越多重要性越來越大，網(wǎng)絡(luò)攻擊也越來越嚴(yán)重。有一些人專門利用他們掌握的信息技術(shù)知識(shí)從事破壞活動(dòng)，入侵他人計(jì)算機(jī)系統(tǒng)竊取！修改和破壞重要信息，給社會(huì)造成了巨大的損。隨著攻擊手段的變化，傳統(tǒng)的以身份驗(yàn)證、加密、防火墻為主的靜態(tài)安全防護(hù)體系已經(jīng)越來越難以適應(yīng)日益變化的網(wǎng)絡(luò)環(huán)境，尤其是授權(quán)用戶的濫用權(quán)利行為，幾乎只有審計(jì)才能發(fā)現(xiàn)園網(wǎng)是國內(nèi)最大的網(wǎng)絡(luò)實(shí)體，如何保證校園網(wǎng)絡(luò)系統(tǒng)的安全，是擺在我們面前的最重要問題。

因此，校園網(wǎng)對入侵檢測系統(tǒng)也有著特別的需求校園網(wǎng)的特點(diǎn)是在線用戶比率高、上網(wǎng)時(shí)間長、用戶流量大、對服務(wù)器訪問量大，這種情況下，校園網(wǎng)絡(luò)面臨著許多安全方面的威脅：

（1）黑客攻擊，特別是假冒源地址的拒絕服務(wù)攻擊屢有發(fā)生攻擊者通過一些簡單的攻擊工具，就可以制造危害嚴(yán)重的網(wǎng)絡(luò)洪流，耗盡網(wǎng)絡(luò)資源或使主機(jī)系統(tǒng)資源遭到攻擊同時(shí)，攻擊者常常借助偽造源地址的方法，使網(wǎng)絡(luò)管理員對這種攻擊無可奈何。

（2）病毒和蠕蟲，在高速大容量的局域網(wǎng)絡(luò)中，各種病毒和蠕蟲，不論新舊都很容易通過有漏洞的系統(tǒng)迅速傳播擴(kuò)散"其中，特別是新出現(xiàn)的網(wǎng)絡(luò)蠕蟲，常常可以在爆發(fā)初期的幾個(gè)小時(shí)內(nèi)就閃電般席卷全校，造成網(wǎng)絡(luò)阻塞甚至癱瘓。

（3）濫用網(wǎng)絡(luò)資源，在校園網(wǎng)中總會(huì)出現(xiàn)濫用帶寬等資源以致影響其他用戶甚至整個(gè)網(wǎng)絡(luò)正常使用的行為如各種掃描、廣播、訪問量過大的視頻下載服務(wù)等等。入侵檢測系統(tǒng)（IntrusionDeteetionSystem，IDS）的出現(xiàn)使得我們可以主動(dòng)實(shí)時(shí)地全面防范網(wǎng)絡(luò)攻擊N工DS指從網(wǎng)絡(luò)系統(tǒng)的若干節(jié)點(diǎn)中搜集信息并進(jìn)行分析，從而發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中是否有違反安全策略的行為，并做出適當(dāng)?shù)捻憫?yīng)"它既能檢測出非授權(quán)使用計(jì)算機(jī)的用戶，也能檢測出授權(quán)用戶的濫用行為。

IDS按照功能大致可劃分為主機(jī)入侵檢測（HostIDS，HIDS）網(wǎng)絡(luò)入侵檢測（NetworkIDS，NIDS）分布式入侵檢測（DistributedIDS，DIDS）其中，網(wǎng)絡(luò)入侵檢測的特點(diǎn)是成本低，實(shí)時(shí)地檢測和分析，而且可以檢測到未成功的攻擊企圖"從分析方法的角度可分為異常檢測（Anomaly DeteCtion）和誤用檢測（MISuseDeteCtion）其中誤用檢測是指定義一系列規(guī)則，符合規(guī)則的被認(rèn)為是入侵其優(yōu)點(diǎn)是誤報(bào)率低、開銷小、效率高Snort作為IDS的經(jīng)典代表，是基于網(wǎng)絡(luò)和誤用檢測的入侵檢測系統(tǒng)入侵檢測技術(shù)自20世紀(jì)80年代早起提出以來，在早期的入侵檢測系統(tǒng)中，大多數(shù)是基于主機(jī)的，但是在過去的10年間基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)占有主要地位，現(xiàn)在和未來的發(fā)展主流將是混合型和分布式形式的入侵檢測系統(tǒng)。

2 入侵檢測研究現(xiàn)狀

國外機(jī)構(gòu)早在20世紀(jì)80年代就開展了相關(guān)基礎(chǔ)理論研究工作。經(jīng)過20多年的不斷發(fā)展，從最初的一種有價(jià)值的研究想法和單純的理論模型，迅速發(fā)展出種類繁多的各種實(shí)際原型系統(tǒng)，并且在近10年內(nèi)涌現(xiàn)出許多商用入侵檢測系統(tǒng)，成為計(jì)算機(jī)安全防護(hù)領(lǐng)域內(nèi)不可缺少的一種安全防護(hù)技術(shù)。Anderson在1980年的報(bào)告“Computer Seeurity Threat Monitoring and Surveillance”中，提出必須改變現(xiàn)有的系統(tǒng)審計(jì)機(jī)制，以便為專職系統(tǒng)安全人員提供安全信息，此文被認(rèn)為是有關(guān)入侵檢測的最早論述；1984一1986年，Dorothy E.Denning和Peter G.Neumann聯(lián)合開發(fā)了一個(gè)實(shí)時(shí)IDES（Intrusion DeteCtion Expert System），IDES采用統(tǒng)計(jì)分析，異常檢測和專家系統(tǒng)的混合結(jié)構(gòu)，Delming1986年的論文“An Intrusion Deteetion Modelo”，被公認(rèn)為是入侵檢測領(lǐng)域的另一開山之作"。1987年，Dorothy Denning發(fā)表的經(jīng)典論文AnIntursion Deteetion Modelo中提出了入侵檢測的基本模型，并提出了幾種可用于入侵檢測的統(tǒng)計(jì)分析模型。Dnening的論文正式啟動(dòng)了入侵檢測領(lǐng)域的研究工作，在發(fā)展的早期階段，入侵檢測還僅僅是個(gè)有趣的研究領(lǐng)域，還沒有獲得計(jì)算機(jī)用戶的足夠注意，因?yàn)椋?dāng)時(shí)的流行做法是將計(jì)算機(jī)安全的大部分預(yù)算投入到預(yù)防性的措施上，如：加密、身份驗(yàn)證和訪問控制等方面，而將檢測和響應(yīng)等排斥在外。到了1996年后，才逐步出現(xiàn)了大量的商用入侵檢測系統(tǒng)。從20世紀(jì)90年代到現(xiàn)在，入侵檢測系統(tǒng)的研發(fā)呈現(xiàn)出百家爭鳴的繁榮局面，并在智能化和分布式兩個(gè)方向取得了長足的進(jìn)展。其中一種主要的異常檢測技術(shù)是神經(jīng)網(wǎng)絡(luò)技術(shù)，此外，如基于貝葉斯網(wǎng)絡(luò)的異常檢測方法，基于模式預(yù)測的異常檢測方法，基于數(shù)據(jù)挖掘的異常檢測方法以及基于計(jì)算機(jī)免疫學(xué)的檢測方法也相繼出現(xiàn)，對于誤用入侵檢測也有多種檢測方法，如專家系統(tǒng)（expert system），特征分析（Signature analysis），狀態(tài)轉(zhuǎn)移分析（State transition analysis）等.

入侵檢測系統(tǒng)的典型代表是ISSInc（國際互聯(lián)網(wǎng)安全系統(tǒng)公司）Rea1Secure產(chǎn)品。較為著名的商用入侵檢測產(chǎn)品還有：NAJ公司的CyberCoPMoitor、Axent公司的Netprowler、CISCO公司的Netranger、CA公司的SeSSionwall-3等。目前，普渡大學(xué)、加州大學(xué)戴維斯分校、洛斯阿拉莫斯國家實(shí)驗(yàn)室、哥倫比亞大學(xué)、新墨西哥大學(xué)等機(jī)構(gòu)在這些方面的研究代表了當(dāng)前的最高水平。隨著計(jì)算機(jī)系統(tǒng)軟、硬件的飛速發(fā)展，以及網(wǎng)絡(luò)技術(shù)、分布式計(jì)算！系統(tǒng)工程！人工智能等計(jì)算機(jī)新興技術(shù)與理論的不斷發(fā)展與完善，入侵檢測理論本身也處于發(fā)展變化中，但還未形成一個(gè)比較完整的理論體系。

在國內(nèi)，隨著上網(wǎng)的關(guān)鍵部門、關(guān)鍵業(yè)務(wù)越來越多，更需要具有自主版權(quán)的入侵檢測產(chǎn)品。我國在這方面的研究相對晚，國內(nèi)的該類產(chǎn)品較少，但發(fā)展較快，己有總參北方所、中科網(wǎng)威、啟明星辰，H3C等公司推出產(chǎn)品。至今日入侵檢測技術(shù)仍然改變了以往被動(dòng)防御的特點(diǎn)，使網(wǎng)絡(luò)管理員能夠主動(dòng)地實(shí)時(shí)跟蹤各種危害系統(tǒng)安全的入侵行為并做出及時(shí)的響應(yīng)，尤其在抵御網(wǎng)絡(luò)內(nèi)部人員的破壞時(shí)更有獨(dú)到的特點(diǎn)，因而成為了防火墻之后的又一道安全防線。

隨著互聯(lián)網(wǎng)的進(jìn)一步普及和深入，入侵檢測技術(shù)有著更廣泛的發(fā)展前途和實(shí)際價(jià)值。盡管問題尚存，但希望更大，相信目前正在研究的大規(guī)模分布式入侵檢測系統(tǒng)、基于多傳感器的數(shù)據(jù)融合、基于計(jì)算機(jī)免疫技術(shù)、基于神經(jīng)網(wǎng)絡(luò)及基于遺傳算法等的新一代入侵檢測系統(tǒng)一定能夠解決目前面臨到種種問題，更好地完成抵御入侵的任務(wù)。

3 未來和展望

隨著網(wǎng)絡(luò)規(guī)模和復(fù)雜程度的不斷增長，如何在校園網(wǎng)多校區(qū)乃至異構(gòu)網(wǎng)絡(luò)環(huán)境下收集和處理分布在網(wǎng)絡(luò)各處的不同格式信息！如何進(jìn)行管理域間的合作以及保證在局部入侵檢測失效的情況下維持系統(tǒng)整體安全等"同時(shí)，伴隨著大量諸如高速/超高速接入手段的出現(xiàn)，如何實(shí)現(xiàn)高速/超高速網(wǎng)絡(luò)下的實(shí)時(shí)入侵檢測。降低丟包率也成為一個(gè)現(xiàn)實(shí)的問題，面對G級(jí)的網(wǎng)絡(luò)數(shù)據(jù)流量，傳統(tǒng)的軟件結(jié)構(gòu)和算法都需要重新設(shè)計(jì)；開發(fā)和設(shè)計(jì)適當(dāng)?shù)膶Ｓ糜布渤蔀檠芯糠较蛑?時(shí)至今日，入侵檢測系統(tǒng)的評(píng)估測試方面仍然不成熟，如何對入侵檢測系統(tǒng)進(jìn)行評(píng)估是一個(gè)重要而敏感的話題。

參考文獻(xiàn)

[1]董明明，鞏青歌.Snort規(guī)則集的優(yōu)化方法.計(jì)算機(jī)安全.2009.8：35-37

篇4

論文摘要:自從有了計(jì)算機(jī)網(wǎng)絡(luò)，資源和信息的共享更方便了，但信息安全變得困難了，文章就網(wǎng)絡(luò)的安全進(jìn)行了探討。

隨著計(jì)算機(jī)信息技術(shù)的發(fā)展，使網(wǎng)絡(luò)成為全球信息傳遞和交互的主要途徑，改變著人們的生產(chǎn)和生活方式。網(wǎng)絡(luò)信息已經(jīng)成為社會(huì)發(fā)展的重要組成部分，對政治、經(jīng)濟(jì)、軍事、文化、教育等諸多領(lǐng)域產(chǎn)生了巨大的影響。事實(shí)上，網(wǎng)絡(luò)安全已經(jīng)成為關(guān)系國家主權(quán)和國家安全、經(jīng)濟(jì)繁榮和社會(huì)穩(wěn)定、文化傳承和教育進(jìn)步的重大問題，因此，我們在利用網(wǎng)絡(luò)信息資源的同時(shí)，必須加強(qiáng)網(wǎng)絡(luò)信息安全技術(shù)的研究和開發(fā)。

1網(wǎng)絡(luò)安全的概念

運(yùn)用網(wǎng)絡(luò)的目的是為了利用網(wǎng)絡(luò)的物理或邏輯的環(huán)境，實(shí)現(xiàn)各類信息的共享，計(jì)算機(jī)網(wǎng)絡(luò)需要保護(hù)傳輸中的敏感信息，需要區(qū)分信息的合法用戶和非法用戶。在使用網(wǎng)絡(luò)的同時(shí)，有的人可能無意地非法訪問并修改了某些敏感信息，致使網(wǎng)絡(luò)服務(wù)中斷，有的人出于各種目的有意地竊取機(jī)密信息，破壞網(wǎng)絡(luò)的正常運(yùn)作。所有這些都是對網(wǎng)絡(luò)的威脅。因此，網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)的信息安全，主要研究計(jì)算機(jī)網(wǎng)絡(luò)的安全技術(shù)和安全機(jī)制，以確保網(wǎng)絡(luò)免受各種威脅和攻擊，做到正常而有序地工作。

2網(wǎng)絡(luò)安全的分析

確保網(wǎng)絡(luò)安全應(yīng)從以下四個(gè)方面著手:

①運(yùn)行系統(tǒng)的安全。硬件系統(tǒng)的可靠安全運(yùn)行，計(jì)算機(jī)操作系統(tǒng)和應(yīng)用軟件的安全，數(shù)據(jù)庫系統(tǒng)的安全，側(cè)重于保證系統(tǒng)正常地運(yùn)行，其本質(zhì)是保護(hù)系統(tǒng)的合法操作和正常運(yùn)行。②網(wǎng)絡(luò)上系統(tǒng)信息的安全。即確保用戶口令鑒別、用戶存取權(quán)限控制，數(shù)據(jù)存取權(quán)限、數(shù)據(jù)加密、計(jì)算機(jī)病毒防治等方面的安全。③網(wǎng)絡(luò)上信息傳播的安全。信息傳播后的安全，包括信息過濾等。其側(cè)重于防止和控制非法、有害的信息傳播產(chǎn)生的后果，避免網(wǎng)絡(luò)上傳輸?shù)男畔⑹Э亍＂芫W(wǎng)絡(luò)上信息內(nèi)容的安全。即保護(hù)信息的保密性、真實(shí)性和完整性。保護(hù)用戶的利益和隱私。

3網(wǎng)絡(luò)安全的攻略

網(wǎng)絡(luò)的任何一部分都存在安全隱患，針對每一個(gè)安全隱患需要采取具體的措施加以防范。目前常用的安全技術(shù)有包過濾技術(shù)、加密技術(shù)、防火墻技術(shù)、入侵檢測技術(shù)等。下面分別介紹:

①包過濾技術(shù)。它可以阻止某些主機(jī)隨意訪問另外一些主機(jī)。包過濾功能通常在路由器中實(shí)現(xiàn)，具有包過濾功能的路由器叫包過濾路由器。網(wǎng)絡(luò)管理員可以配置包過濾路由器，來控制哪些包可以通過，哪些包不可以通過。

②加密技術(shù)。凡是用特種符號(hào)按照通信雙方約定的方法把數(shù)據(jù)的原形隱藏起來，不為第三者所識(shí)別的通信方式稱為密碼通信。在計(jì)算機(jī)通信中，采用密碼技術(shù)將信息隱蔽起來，再將隱蔽后的信息傳播出去，是信息在傳輸過程中即使被竊取或截獲，竊取者也不能了解信息的內(nèi)容，從而保證信息傳輸?shù)陌踩?/p>

③防火墻技術(shù)。防火墻將網(wǎng)絡(luò)分為內(nèi)部和外部網(wǎng)絡(luò)，內(nèi)部網(wǎng)絡(luò)是安全的和可信賴的，而外部網(wǎng)絡(luò)則是不太安全。它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，對內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的數(shù)據(jù)流量進(jìn)行分析、檢測、管理和控制，從而保護(hù)內(nèi)部網(wǎng)絡(luò)免受外部非法用戶的侵入。

④入侵檢測技術(shù)。通過對計(jì)算機(jī)網(wǎng)絡(luò)和主機(jī)系統(tǒng)中的關(guān)鍵信息進(jìn)行實(shí)時(shí)采集和分析，從而判斷出非法用戶入侵和合法用戶濫用資源的行為，并作出適當(dāng)反應(yīng)的網(wǎng)絡(luò)安全技術(shù)。

根據(jù)入侵檢測系統(tǒng)的技術(shù)與原理的不同，可以分為異常入侵檢測、誤用入侵檢測和特征檢測三種。

異常入侵檢測技術(shù)。收集一段時(shí)間內(nèi)合法用戶行為的相關(guān)數(shù)據(jù)，然后使用統(tǒng)計(jì)方法來考察用戶行為，來斷定這些行為是否符合合法用戶的行為特征。如果能檢測所有的異常活動(dòng)，就能檢測所有的入侵性活動(dòng)。

誤用入侵檢測技術(shù)。假設(shè)具有能夠被精確地按某種方式編碼的攻擊，并可以通過捕獲攻擊及重新整理，確認(rèn)入侵活動(dòng)是基于同一弱點(diǎn)進(jìn)行攻擊的入侵方法的變種。它是通過按照預(yù)先定義好的入侵模式以及觀察到入侵發(fā)生情況進(jìn)行模式匹配來檢測。

特征檢測。此方法關(guān)注的是系統(tǒng)本身的行為，定義系統(tǒng)行為輪廓，并將系統(tǒng)行為與輪廓進(jìn)行比較，對未指明為正常行為的事件定義為入侵。

網(wǎng)絡(luò)安全已經(jīng)成為網(wǎng)絡(luò)發(fā)展的瓶頸，也是一個(gè)越來越引起世界關(guān)注的重要問題。只有重視了網(wǎng)絡(luò)安全，才能將可能出現(xiàn)的損失降到最低。

參考文獻(xiàn)

[1] 郭秋萍.計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)[M].北京:清華大學(xué)出版社，2008.

[2] 張震.計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)實(shí)用教程[M].北京:北京交通大學(xué)出版社，2009.

篇5

關(guān)鍵詞：無線傳感器網(wǎng)絡(luò)；入侵檢測；機(jī)器學(xué)習(xí)；博弈論

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2011)13-3004-03

Survey on Intrusion Detection System in Wireless Sensor Networks

DUAN Xiao-yang1, MA Hui-fang2, HAN Zhi-jie1, WANG Guan-nan1

(1.School of Computer and Information Engineering Henan University, Kaifeng 475004, China; 2.Kaifeng Institute of Education, Kaifeng 475004, China)

Abstract: Recently, wireless sensor networks has an increasingly wide range of applications in intelligent environmental monitoring, disaster control, battlefield surveillance and security monitoring. It caused growing concern. So the wireless sensor network security appears particularly important. The paper firstly depicted the intrusion and intrusion detection. Then the current intrusion detection techniques in wireless sensor networks as well as their advantages and disadvantages are described and analyzed in detail by classification. Finally the paper stated the possible intrusion detection technology in wireless sensor networks.

Key words: WSN; intrusion detection; machine learning; game theory

無線傳感器網(wǎng)絡(luò)(wireless sensor network,簡稱WSN )的相關(guān)研究已經(jīng)成為現(xiàn)階段國內(nèi)外研究的熱點(diǎn)[1-4]。與目前常見的無線網(wǎng)絡(luò)相比，無線傳感器網(wǎng)絡(luò)具有以下特征：網(wǎng)絡(luò)的自組織性，動(dòng)態(tài)變化的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，分布式控制，多條無線網(wǎng)絡(luò)，節(jié)點(diǎn)功能的局限性，無線網(wǎng)絡(luò)的局限性，安全性差，數(shù)量多、規(guī)模大，數(shù)據(jù)冗余與匯聚等。

有關(guān)安全的研究和歷史表明，不管在網(wǎng)絡(luò)中采取多么先進(jìn)的安全措施，攻擊者總有可能找到網(wǎng)絡(luò)系統(tǒng)的弱點(diǎn)，實(shí)施攻擊。單獨(dú)使用預(yù)防技術(shù)（如加密、身份認(rèn)證等）難以達(dá)到預(yù)期的安全目標(biāo)，這些技術(shù)可以降低網(wǎng)絡(luò)被攻擊的可能性，但是不能完全杜絕攻擊，因此，安全的防御措施也是不可或缺的，入侵檢測系統(tǒng)（IDS Instruction Detection System）是近年來出現(xiàn)的新型網(wǎng)絡(luò)安全技術(shù)，它彌補(bǔ)了上述防范措施的不足，可以為網(wǎng)絡(luò)安全提供實(shí)時(shí)的入侵檢測及采取相應(yīng)的保護(hù)。

本文主要對入侵檢測系統(tǒng)和現(xiàn)階段的入侵檢測技術(shù)進(jìn)行分類介紹和分析，并對比各自的優(yōu)缺點(diǎn)，最后提出自己對無線傳感器網(wǎng)絡(luò)入侵檢測技術(shù)發(fā)展的展望。

1 入侵和入侵檢測

入侵行為被定義為任何試圖破壞目標(biāo)資源的完整性、機(jī)密性和可訪問性的動(dòng)作。入侵一般可簡單分為外部入侵和內(nèi)部入侵。Denning在1987年發(fā)表的論文中，首先對入侵檢測系統(tǒng)模式做出定義：一般而言，入侵檢測通過網(wǎng)絡(luò)風(fēng)暴或信息的收集，檢測可能的入侵行為，并且能在入侵行為造成危害前及時(shí)發(fā)出報(bào)警同質(zhì)系統(tǒng)管理員并進(jìn)行相關(guān)的處理措施。為達(dá)成這個(gè)目的，入侵檢測系統(tǒng)應(yīng)包含3個(gè)必要功能的組件（信息收集、檢測引擎和相應(yīng)組件），如圖1所示。

2 入侵檢測系統(tǒng)的分類

1) 根據(jù)數(shù)據(jù)信息來源進(jìn)行分類

基于主機(jī)的IDS（HIDS）：在操作系統(tǒng)、應(yīng)用程序或內(nèi)核層次上對攻擊進(jìn)行檢測。系統(tǒng)獲取數(shù)據(jù)的依據(jù)是系統(tǒng)運(yùn)行所在的主機(jī)，保護(hù)的目標(biāo)也是系統(tǒng)運(yùn)行所在的主機(jī)，通過監(jiān)視和分析主機(jī)的審計(jì)記錄和日志文件來檢測入侵。

基于網(wǎng)絡(luò)的IDS（NIDS）：系統(tǒng)獲取數(shù)據(jù)的來源是網(wǎng)絡(luò)傳輸?shù)脑紨?shù)據(jù)包，NIDS放置在網(wǎng)絡(luò)基礎(chǔ)設(shè)施的關(guān)鍵區(qū)域，通常利用一個(gè)運(yùn)行在隨機(jī)模式下的網(wǎng)絡(luò)適配器來實(shí)時(shí)監(jiān)視并分析通過網(wǎng)絡(luò)的所有通信業(yè)務(wù)，保護(hù)的目標(biāo)是網(wǎng)路的運(yùn)行。

混合型的IDS：它是基于主機(jī)和基于網(wǎng)絡(luò)的的入侵檢測系統(tǒng)的結(jié)合，在網(wǎng)絡(luò)中配置NIDS以檢測整個(gè)網(wǎng)絡(luò)的安全情況，同時(shí)在那些關(guān)鍵的主機(jī)上配置HIDS，這可以提供比采用單一的入侵檢測方案更為安全的保護(hù)。

2) 根據(jù)響應(yīng)方式的不同進(jìn)行分類

主動(dòng)響應(yīng)IDS：如果檢測出入侵后，能夠主動(dòng)重新配置防火墻、關(guān)閉適當(dāng)?shù)姆?wù)或反擊入侵者，那么就被稱為主動(dòng)響應(yīng)。

被動(dòng)響應(yīng)IDS：若檢測到入侵后僅僅給出警報(bào)或記錄日志，就是被動(dòng)響應(yīng)。

3) 根據(jù)系統(tǒng)各個(gè)模塊運(yùn)行的分布式方式不同進(jìn)行分類

集中式入侵檢測：它有一個(gè)中心計(jì)算機(jī)負(fù)責(zé)監(jiān)控、檢測和響應(yīng)等工作，這種適用于網(wǎng)絡(luò)比較簡單的情況下。

分布式入侵檢測：他它用一個(gè)移動(dòng)的方式監(jiān)視和檢測，每個(gè)分析點(diǎn)都有響應(yīng)的能力。

4) 根據(jù)分析方法的不同進(jìn)行分類

異常入侵檢測：這種方法首先總結(jié)出正常操作應(yīng)該具有的特征，在得出正常操作的模型后，對后續(xù)的操作進(jìn)行監(jiān)視，一旦發(fā)現(xiàn)偏離正常統(tǒng)計(jì)學(xué)意義上的操作模式，即進(jìn)行報(bào)警。

誤用入侵檢測：這種方法首先收集非正常操作也即入侵行為的特征，建立相關(guān)的特征庫，在后續(xù)的檢測過程中，將收集到的數(shù)據(jù)與特征庫中的特征代碼相比較，得出是否入侵的結(jié)論。

混合型入侵檢測：即異常檢測和誤用檢測的結(jié)合，基于異常的入侵檢測可以發(fā)現(xiàn)一些未知的的攻擊，對具體系統(tǒng)的依賴性相對較小，但誤報(bào)率很高，配置和實(shí)現(xiàn)也相對困難；基于誤用的入侵檢測能比較準(zhǔn)確地檢測到已經(jīng)標(biāo)識(shí)的入侵行為，但是對具體的系統(tǒng)依賴性很大，移植性差，而且不能檢測到新的攻擊類型。所以，只有把二者有機(jī)結(jié)合起來，才能達(dá)到最佳的系統(tǒng)性能，如圖2是一個(gè)通用的將二者結(jié)合起來的檢測方法。

3 入侵檢測技術(shù)

傳感器網(wǎng)絡(luò)的資源局限性和應(yīng)用相關(guān)性等特點(diǎn)，決定了對其入侵檢測機(jī)制的研究是一個(gè)極具挑戰(zhàn)性的課題，一個(gè)行之有效的傳感器網(wǎng)絡(luò)入侵檢測系統(tǒng)須要具有簡單性、實(shí)時(shí)性和檢測準(zhǔn)確性三個(gè)特性。下面主要介紹一下目前的無線傳感器網(wǎng)絡(luò)檢入侵檢測技術(shù)方法及其各自的優(yōu)缺點(diǎn)：

1) 基于多Agent的入侵檢測。

王培等在文獻(xiàn)[5]中針對分簇式無線傳感器網(wǎng)絡(luò)提出了基于多的入侵檢測方法，其系統(tǒng)結(jié)構(gòu)如圖3所示。

通過讓節(jié)點(diǎn)和簇頭分別執(zhí)行不同檢測任務(wù)，結(jié)合本地檢測和聯(lián)合檢測，并采用多個(gè)模塊分別實(shí)現(xiàn)數(shù)據(jù)收集、分析檢測和入侵響應(yīng)和管理的任務(wù),以便使系統(tǒng)具有操作簡單、易于擴(kuò)展、能耗降低、安全性提高的特點(diǎn)。但是該方案中每個(gè)節(jié)點(diǎn)中都需要配備監(jiān)視Agent、檢測Agent、響應(yīng)Agent和管理Agent，會(huì)占用節(jié)點(diǎn)的大量存儲(chǔ)空間，而且也會(huì)增加節(jié)點(diǎn)的能源消耗。

這種方法可以減少網(wǎng)絡(luò)負(fù)載，克服網(wǎng)絡(luò)延遲和良好的可擴(kuò)展性，高安全性，但是每個(gè)節(jié)點(diǎn)都有多個(gè)功能，較大的能量消耗，在其測試活動(dòng)過程重疊時(shí)，準(zhǔn)確率將大大低和較低的自適應(yīng)性。

2) 基于機(jī)器學(xué)習(xí)和數(shù)據(jù)挖掘的入侵檢測。

基于機(jī)器學(xué)習(xí)的入侵檢測整體架構(gòu)如圖4所示。

文獻(xiàn)[6]提出基于免疫遺傳算法的異常檢測，節(jié)點(diǎn)從它的鄰居節(jié)點(diǎn)偷聽信標(biāo)包并提取稱為抗原的關(guān)鍵參數(shù)，如果匹配的抗原數(shù)量比在一個(gè)探測器的壽命預(yù)先定義的閾值高時(shí)，該探測器將失效并產(chǎn)生一個(gè)新的探測器。反之，如果匹配的抗原數(shù)量比探測器的壽命閾值少時(shí)，探測器將觸發(fā)入侵報(bào)警，對于探測器更新機(jī)制，使建議的IDS更加健壯；文獻(xiàn)[7]針對選擇性轉(zhuǎn)發(fā)攻擊提出了基于支持向量機(jī)的異常檢測，使用SVM針對入侵?jǐn)?shù)據(jù)的健壯分類方法。SVM克服傳統(tǒng)機(jī)器學(xué)習(xí)方法大樣本的缺陷，根據(jù)有限的樣本信息在模型的復(fù)雜性和學(xué)習(xí)能力之間尋求最佳折衷，能獲得最好的范化能力。

這種方法將異常檢測作為分類或者聚類問題，借助機(jī)器學(xué)習(xí)的有效學(xué)習(xí)能力，構(gòu)建具有一定精度的異常檢測模型，具有較高的準(zhǔn)確率，但是，不足之處是需要的樣本量較大，訓(xùn)練時(shí)間長。

3) 基于網(wǎng)絡(luò)流量分析的入侵檢測

基于流量分析的入侵檢測模型的基本結(jié)構(gòu)如圖5所示。

文獻(xiàn)[8]采用Markov線性預(yù)測模型，為無線傳感器網(wǎng)絡(luò)設(shè)計(jì)了一種基于流量預(yù)測的拒絕服務(wù)攻擊檢測方案――MPDD。在該方案中，每個(gè)節(jié)點(diǎn)基于流量預(yù)測判斷和檢測異常網(wǎng)絡(luò)流量，無需特殊的硬件支持和節(jié)點(diǎn)之間的合作；提出了一種報(bào)警評(píng)估機(jī)制，有效提高方案的檢測準(zhǔn)確度．減少了預(yù)測誤差或信道誤碼所帶來的誤報(bào)。文獻(xiàn)[9] 等提出了基于流量分析的入侵檢測方案，通過對鄰居節(jié)點(diǎn)的行為進(jìn)行統(tǒng)計(jì)分析，閥值技術(shù)分析，然后應(yīng)用到選定參數(shù)，即一定長度的時(shí)間窗下所接收的數(shù)據(jù)包數(shù)和數(shù)據(jù)包的間隔時(shí)間，它不需要任何額外的硬件安裝和額外的通訊費(fèi)用，其計(jì)算代價(jià)也比較低。

這種方法相對比較簡單，直觀，實(shí)時(shí)性高，但要求流量輸入要具備一定的統(tǒng)計(jì)特性，因此不具有通用性，誤報(bào)率高。

4) 基于博弈論模型的入侵檢測。

基于博弈論的入侵檢測系統(tǒng)基本模型如圖6所示，分布在網(wǎng)絡(luò)中的入侵檢測器采用某種檢測手段審計(jì)網(wǎng)絡(luò)數(shù)據(jù)，檢測入侵，并提交檢測結(jié)果。然后博弈模型模擬攻防雙方的互動(dòng)行為，并權(quán)衡來自入侵檢測器的檢測結(jié)果和其檢測效率，得出納什均衡以輔助IDS做出合理正確的響應(yīng)策略。

Mohsen Estiri等人在文獻(xiàn)[10]中針對無線傳感器網(wǎng)絡(luò)的丟包攻擊提出基于博弈論的入侵檢測方案，提出了重復(fù)博弈理論模型來進(jìn)行入侵檢測，在該模型中，將無線傳感器網(wǎng)絡(luò)中的攻擊者與入侵檢測系統(tǒng)作為非協(xié)作、非零和的博弈雙方，并利用平均折扣因子收益來顯示節(jié)點(diǎn)在博弈當(dāng)前階段所達(dá)到的比下一階段所得到的更有價(jià)值。而且最終系統(tǒng)將達(dá)到納什均衡，形成無線傳感器網(wǎng)絡(luò)的防御策略。

這種方法方法可以幫助管理者權(quán)衡檢測效率和網(wǎng)絡(luò)資源，但是檢測的人為干預(yù)是必須的，而且具有較差的系統(tǒng)適應(yīng)能力。

5)基于信任機(jī)制的入侵檢測。

Min Lin[11]等提出了基于信任模型的動(dòng)態(tài)入侵檢測方案，利用具有較高信任度的節(jié)點(diǎn)來交替地檢測簇內(nèi)節(jié)點(diǎn)，提出了非參數(shù)CUSUM的檢測改進(jìn)算法，報(bào)警響應(yīng)也借助信任模型中的信任級(jí)劃分，有效減少節(jié)點(diǎn)的能源消耗，減小節(jié)點(diǎn)的計(jì)算開銷。Long Ju[12]等提出了基于加權(quán)信任機(jī)制的入侵檢測方法，在系統(tǒng)開始就給每個(gè)傳感器節(jié)點(diǎn)分配權(quán)重，每個(gè)周期當(dāng)節(jié)點(diǎn)發(fā)送與其他節(jié)點(diǎn)不同的報(bào)告時(shí)進(jìn)行更新，這樣當(dāng)節(jié)點(diǎn)的權(quán)重低于某一閾值時(shí)就被檢測出是惡意檢點(diǎn)。

這種方法具有低功耗，高安全性等優(yōu)點(diǎn)，但當(dāng)簇頭節(jié)點(diǎn)入侵，或遇到Sybil攻擊時(shí)檢測精確度降低，而且其閾值設(shè)置會(huì)影響算法的精度，而且如何找到一個(gè)合適的閾值是一個(gè)棘手的問題。

4 結(jié)論

由以上分析可以看到，目前的各種異常檢測技術(shù)還不能實(shí)時(shí)、準(zhǔn)確地對各種入侵進(jìn)行檢測。近年來，分形理論與無線網(wǎng)絡(luò)數(shù)據(jù)流分形特性和自相似特性為異常檢測提供了新的理論基礎(chǔ)。無線傳感器網(wǎng)絡(luò)數(shù)據(jù)流呈現(xiàn)出一定的分形特性，具有長相關(guān)性、具有較寬的類似白噪聲的頻譜特性、具有混沌吸引子等，基于此，根據(jù)網(wǎng)絡(luò)數(shù)據(jù)流具有的分形指數(shù)（Hurst參數(shù)，分形維數(shù)、李雅普諾夫指數(shù)）可以建立客觀檢測模型，從而根據(jù)網(wǎng)絡(luò)數(shù)據(jù)客觀內(nèi)在規(guī)律異常檢測。此外，由于小波分析在信號(hào)處理中具有獨(dú)特的頻譜多分辨率優(yōu)勢，基于頻譜、小波分析的異常檢測被證實(shí)適合實(shí)時(shí)的異常檢測，因此，研究分形理論與小波分析的無線傳感器網(wǎng)絡(luò)異常檢測模型與方法將是一個(gè)新的發(fā)展方向。

參考文獻(xiàn)：

[1] 孫利民,李建中,陳渝,朱紅松.無線傳感器網(wǎng)絡(luò)[M].北京:清華大學(xué)出版社,2005.

[2] 周賢偉,覃伯平,徐福華.無線傳感器網(wǎng)絡(luò)與安全[M].北京:國防工業(yè)出版社,2007.

[3] 陳林星.無線傳感器網(wǎng)絡(luò)技術(shù)與應(yīng)用[M].北京:電子工業(yè)出版社,2009.

[4] Onat I,Miri A.An intrusion detection system for wireless sensor networks[C]//Montreal,Canada:Proceedings of the IEEE International Conference on Wireless and Mobile Computing,Networking and Communications (WiMOB’05),2005:253-259.

[5] 王培,周賢偉.基于多的無線傳感器網(wǎng)絡(luò)入侵檢測系統(tǒng)研究[J].傳感技術(shù)學(xué)報(bào),2007,20(3):677-681.

[6] Liu Yang,Yu Fengqi.Immunity-based intrusion detection for wireless sensor networks[C]//Hong Kong,China:Proc Int Jt Conf Neural Networks,2008:439-444.

[7] Tian Jingwen,Gao Meijuan,Zhou Shiru.Wireless Sensor Network for Community Intrusion Detection System Based on Classify Support Vector Machine[C]//Zhuhai,China:Proceedings of the 2009 IEEE International Conference on Information and Automation,2009:1217-1221.

[8] 韓志杰,張瑋瑋,陳志國.基于Markov的無線傳感器網(wǎng)絡(luò)入侵檢測機(jī)制[J].計(jì)算機(jī)工程與科學(xué),2010,32(9):27-29.

[9] Ponomarchuk Yulia. Seo Dae-Wha.Intrusion Detection Based on Traffic Analysis in Wireless Sensor Networks[C]//Shanghai,China:19th Annual Wireless and Optical Communications Conference,2010.

[10] Estiri M,Khademzadeh A.A Game-theoretical Model For Intrusion Detection In Wireless Sensor Networks[C]//Calgary,AB:Electrical and Computer Engineering (CCECE),2010 23rd Canadian Conference on,2010:1-5.

[11] Min Lin,Shi Nan.An Intrusion Detection Algorithm for Wireless Sensor Network Based on Trust Management Module[C]//Wuhan,China:Internet Technology and Applications,2010 International Conference on,2010:1-4.

篇6

【關(guān)鍵詞】Snort；入侵檢測；數(shù)據(jù)包采樣

一、Snort簡介

Snort利用庫函數(shù)libpcap截取報(bào)文，對報(bào)文進(jìn)行協(xié)議分析，內(nèi)容搜索/匹配，可以用來檢測緩沖區(qū)溢出、隱秘端口掃描、CGI攻擊、SMB探測、OS指紋特征檢測等等各種攻擊和探測。Snort具有較強(qiáng)的學(xué)習(xí)能力，它使用靈活的規(guī)則語言來描述網(wǎng)絡(luò)數(shù)據(jù)報(bào)文，可以對新的攻擊作出快速地翻譯。Snort能實(shí)時(shí)報(bào)警同時(shí)支持多種報(bào)警信息處理，包括寫到syslog、指定的文件、UNIX套接字或者使用WinPopup消息。Snort支持插件體系，擴(kuò)展能力強(qiáng)。Snort的現(xiàn)實(shí)意義作為開源軟件填補(bǔ)了只有商業(yè)入侵檢測系統(tǒng)的空白，可以幫助中小網(wǎng)絡(luò)的系統(tǒng)管理員有效地監(jiān)視網(wǎng)絡(luò)流量和檢測入侵行為。

Snort　作為一個(gè)基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)（NIDS），其工作過程為：①Snort系統(tǒng)的啟動(dòng)和初始化；②解析命令行；③讀入規(guī)則庫，生成入侵規(guī)則鏈表；④通過Libpcap庫函數(shù)抓取一個(gè)網(wǎng)絡(luò)數(shù)據(jù)包；⑤根據(jù)抓取的包的網(wǎng)絡(luò)協(xié)議層次及包的協(xié)議類型，對數(shù)據(jù)包進(jìn)行解析；⑥啟動(dòng)檢測引擎，將解析好的數(shù)據(jù)包和入侵規(guī)則鏈表進(jìn)行逐一匹配，直至找到匹配的規(guī)則轉(zhuǎn)⑦或所有規(guī)則均不匹配轉(zhuǎn)⑧；⑦對應(yīng)匹配規(guī)則的入侵行為發(fā)生，記錄攻擊并報(bào)警；⑧重復(fù)第④至⑦步，直至系統(tǒng)停止。

二、基于采樣的入侵檢測

入侵攻擊特征分析實(shí)驗(yàn)

利用Snort對MIT　Lincon實(shí)驗(yàn)室的兩份公開數(shù)據(jù)集進(jìn)行離線檢測統(tǒng)計(jì)實(shí)驗(yàn)，實(shí)驗(yàn)過程及結(jié)果如下：

①入口數(shù)據(jù)集攻擊分析：數(shù)據(jù)共包778484個(gè)，攻擊包40245個(gè)，攻擊包占0.05%；根據(jù)實(shí)驗(yàn)數(shù)據(jù)表1和表2分析可得，基于TCP協(xié)議的攻擊，　15%的攻擊出現(xiàn)了連續(xù)性；基于UDP協(xié)議的攻擊，99%的攻擊在給定時(shí)間間隔內(nèi)出現(xiàn)，表現(xiàn)出了極強(qiáng)的攻擊連續(xù)性。

②出口數(shù)據(jù)集攻擊分析：數(shù)據(jù)包共166011個(gè)，攻擊包195個(gè)，攻擊包占0.001%；根據(jù)實(shí)驗(yàn)結(jié)果表3，分析可得：基于TCP協(xié)議的攻擊包占總包數(shù)的0.001%，網(wǎng)絡(luò)工作正常，在上，攻擊分布較均衡，有11%的攻擊出現(xiàn)了連續(xù)性。

（2）實(shí)驗(yàn)結(jié)論

攻擊包在時(shí)間上具有連續(xù)性。

（3）基于采樣的入侵檢測算法

基于攻擊包在時(shí)間上的連續(xù)性，金慶輝提出了一種入侵檢測的采樣方法，其算法的設(shè)計(jì)思想是：若某源IP流中發(fā)現(xiàn)入侵，則認(rèn)為在下一時(shí)間中它的包有很大概率也是入侵；若某源IP流在一個(gè)時(shí)間段中無入侵，則認(rèn)為下一時(shí)間段中同源包有很大概率是正常流。算法流程圖見圖5至圖7所示。

金慶輝提出的算法缺點(diǎn)分析：根據(jù)算法思想假設(shè)第一點(diǎn)進(jìn)行黑名單檢測，有選擇性的直接對部份包標(biāo)記為異常包，這樣將導(dǎo)致誤警率提高；根據(jù)算法思想假設(shè)第二點(diǎn)進(jìn)行數(shù)據(jù)包采樣，將采樣后的包標(biāo)記為正常包是不準(zhǔn)確的，同時(shí)也會(huì)導(dǎo)致漏警率的增加。

改良的入侵檢測采樣算法：改良算法的基本思想：設(shè)置一個(gè)白名單記錄，包括源IP地址、Port端口號(hào)、協(xié)議、生命值及生存周期；算法過程：數(shù)據(jù)包進(jìn)行白名單匹配，對屬于白名單且生命期大于固定值I則進(jìn)行采樣送檢測，否則直接送檢測引擎檢測；根據(jù)檢測結(jié)果及老化周期更新白名單。算法流程見圖8所示。

改進(jìn)的算法對數(shù)據(jù)包若在白名單中無記錄或其生命值小于I，則直接送檢測引擎檢測，而對與白名單匹配且生命值大于等于I的記錄進(jìn)行采樣檢測，為防止白名單的無限擴(kuò)大，設(shè)置記錄的生存周期為30分鐘，即某個(gè)白名單記錄在30分鐘內(nèi)沒有再次出現(xiàn)，則刪除對應(yīng)記錄。整個(gè)算法思想基于：若某源IP流在一個(gè)時(shí)間段中無入侵，則認(rèn)為下一時(shí)間段中同源包有很大概率是正常流。該數(shù)據(jù)采樣算法沒有圖5所示算法對檢測的誤警率，漏警率比圖5所示算法要小，同時(shí)不會(huì)出現(xiàn)后者算法中黑、白名單的不斷增長問題。由于攻擊流占全部數(shù)據(jù)流的比例相當(dāng)小，因而采樣算法可以大幅提高Snort系統(tǒng)的檢測率，驗(yàn)證如下。

三、實(shí)驗(yàn)

實(shí)驗(yàn)在一臺(tái)安裝了Snort系統(tǒng)的服務(wù)器上進(jìn)行，使用AX4000流量發(fā)生/分析儀作為測試工具，在Snort系統(tǒng)上分別加載改進(jìn)采樣算法、原采樣算法及普通算法，對比檢測數(shù)據(jù)包處理效率。

（1）實(shí)驗(yàn)步驟：使用AX4000構(gòu)造千兆流量，并作為分析設(shè)備。

①測試加載了改進(jìn)采樣算法的Snort在不同固定生命值I下對千兆流量的處理能力。

②測試Snort加載不同的采樣算法后對混合了異常流的千兆流量的入侵檢測能力。

（2）實(shí)驗(yàn)結(jié)果：

①改進(jìn)采樣算法中不同生命值對檢測率的影響和檢測引擎處理速度的提升，見圖9、圖10所示。由圖可見，加載上文所提出的數(shù)據(jù)包采樣算法后，給定的固定生命值I取值在（10，20）時(shí)，入侵檢測率達(dá)到最佳狀態(tài)，此時(shí)Snort處理數(shù)據(jù)包速度接近千兆線速度。

②與常用采樣算法比較：使用AX4000構(gòu)造異常流與正常流1：1的混合作為測試流量，將固定生命值I取值15的改進(jìn)采樣算法、改進(jìn)前的數(shù)據(jù)包采樣算法及普通數(shù)據(jù)包采樣算法進(jìn)行比較，見圖11所示。

四、結(jié)語

本文研究了Snort入侵檢測系統(tǒng)的特征、工作原理，針對Snort的不足提出了基于采樣的入侵檢測系統(tǒng)，并通過實(shí)驗(yàn)證明了該采樣算法能顯著提高Snort的入侵檢測效率。

參考文獻(xiàn)：

[1]　J.P.　Anderson.　Computer　security　threat　monitoring　and　surveillance.Technical　Report，James　P.Anderson　Company，F(xiàn)ort　Washington，Pennsylvania，1980.

[2]　D.E.Denning.An　intrusion　Detection　Model.IEEE　Trans.　Software　Eng.，　1987　（13）：222-232.

[3]　戴英俠，連一峰，王航．系統(tǒng)安全與入侵檢測系統(tǒng)．北京：清華大學(xué)出版社，2002.

[4]　金慶輝．入侵檢測中的數(shù)據(jù)包采樣算法研究及實(shí)現(xiàn)　[湖南大學(xué)碩士論文]．長沙：湖南大學(xué)，2008年.

篇7

關(guān)鍵詞：局域網(wǎng)網(wǎng)絡(luò)安全

 

一、引言

信息科技的迅速發(fā)展，Internet已成為全球重要的信息傳播工具。科技論文。據(jù)不完全統(tǒng)計(jì)，Internet現(xiàn)在遍及186個(gè)國家，容納近60萬個(gè)網(wǎng)絡(luò)，提供了包括600個(gè)大型聯(lián)網(wǎng)圖書館，400個(gè)聯(lián)網(wǎng)的學(xué)術(shù)文獻(xiàn)庫，2000種網(wǎng)上雜志，900種網(wǎng)上新聞報(bào)紙，50多萬個(gè)Web網(wǎng)站在內(nèi)的多種服務(wù)，總共近100萬個(gè)信息源為世界各地的網(wǎng)民提供大量信息資源交流和共享的空間。信息的應(yīng)用也從原來的軍事、科技、文化和商業(yè)滲透到當(dāng)今社會(huì)的各個(gè)領(lǐng)域，在社會(huì)生產(chǎn)、生活中的作用日益顯著。傳播、共享和自增殖是信息的固有屬性，與此同時(shí)，又要求信息的傳播是可控的，共享是授權(quán)的，增殖是確認(rèn)的。因此在任何情況下，信息的安全和可靠必須是保證的。

二、局域網(wǎng)的安全現(xiàn)狀

目前的局域網(wǎng)基本上都采用以廣播為技術(shù)基礎(chǔ)的以太網(wǎng)，任何兩個(gè)節(jié)點(diǎn)之間的通信數(shù)據(jù)包，不僅為這兩個(gè)節(jié)點(diǎn)的網(wǎng)卡所接收，也同時(shí)為處在同一以太網(wǎng)上的任何一個(gè)節(jié)點(diǎn)的網(wǎng)卡所截取。科技論文。因此，黑客只要接入以太網(wǎng)上的任一節(jié)點(diǎn)進(jìn)行偵聽，就可以捕獲發(fā)生在這個(gè)以太網(wǎng)上的所有數(shù)據(jù)包，對其進(jìn)行解包分析，從而竊取關(guān)鍵信息，這就是以太網(wǎng)所固有的安全隱患。事實(shí)上，Internet上許多免費(fèi)的黑客工具，如SATAN、ISS、NETCAT等等，都把以太網(wǎng)偵聽作為其最基本的手段。

三、局域網(wǎng)安全技術(shù)

1、采用防火墻技術(shù)。防火墻是建立在被保護(hù)網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)之間的一道安全屏障，用于保護(hù)內(nèi)部網(wǎng)絡(luò)和資源。它在內(nèi)部和外部兩個(gè)網(wǎng)絡(luò)之間建立一個(gè)安全控制點(diǎn)，對進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問進(jìn)行控制和審計(jì)。防火墻產(chǎn)品主要分為兩大類：

包過濾防火墻（也稱為網(wǎng)絡(luò)層防火墻）在網(wǎng)絡(luò)層提供較低級(jí)別的安全防護(hù)和控制。

應(yīng)用級(jí)防火墻（也稱為應(yīng)用防火墻）在最高的應(yīng)用層提供高級(jí)別的安全防護(hù)和控制。

2、網(wǎng)絡(luò)分段。網(wǎng)絡(luò)分段通常被認(rèn)為是控制網(wǎng)絡(luò)廣播風(fēng)暴的一種基本手段，但其實(shí)也是保證網(wǎng)絡(luò)安全的一項(xiàng)重要措施。其目的就是將非法用戶與敏感的網(wǎng)絡(luò)資源相互隔離，從而防止可能的非法偵聽，網(wǎng)絡(luò)分段可分為物理分段和邏輯分段兩種方式。

目前，海關(guān)的局域網(wǎng)大多采用以交換機(jī)為中心、路由器為邊界的網(wǎng)絡(luò)格局，應(yīng)重點(diǎn)挖掘中心交換機(jī)的訪問控制功能和三層交換功能，綜合應(yīng)用物理分段與邏輯分段兩種方法，來實(shí)現(xiàn)對局域網(wǎng)的安全控制。例如：在海關(guān)系統(tǒng)中普遍使用的DECMultiSwitch900的入侵檢測功能，其實(shí)就是一種基于MAC地址的訪問控制，也就是上述的基于數(shù)據(jù)鏈路層的物理分段。

3、以交換式集線器代替共享式集線器。對局域網(wǎng)的中心交換機(jī)進(jìn)行網(wǎng)絡(luò)分段后，以太網(wǎng)偵聽的危險(xiǎn)仍然存在。這是因?yàn)榫W(wǎng)絡(luò)最終用戶的接入往往是通過分支集線器而不是中心交換機(jī)，而使用最廣泛的分支集線器通常是共享式集線器。這樣，當(dāng)用戶與主機(jī)進(jìn)行數(shù)據(jù)通信時(shí)，兩臺(tái)機(jī)器之間的數(shù)據(jù)包（稱為單播包UnicastPacket）還是會(huì)被同一臺(tái)集線器上的其他用戶所偵聽。用戶TELNET到一臺(tái)主機(jī)上，由于TELNET程序本身缺乏加密功能，用戶所鍵入的每一個(gè)字符（包括用戶名、密碼等重要信息），都將被明文發(fā)送，這就給黑客提供了機(jī)會(huì)。因此，應(yīng)該以交換式集線器代替共享式集線器，使單播包僅在兩個(gè)節(jié)點(diǎn)之間傳送，從而防止非法偵聽。

4、VLAN的劃分。運(yùn)用VLAN（虛擬局域網(wǎng)）技術(shù)，將以太網(wǎng)通信變?yōu)辄c(diǎn)到點(diǎn)通信，防止大部分基于網(wǎng)絡(luò)偵聽的入侵。目前的VLAN技術(shù)主要有三種：基于交換機(jī)端口的VLAN、基于節(jié)點(diǎn)MAC地址的VLAN和基于應(yīng)用協(xié)議的VLAN。基于端口的VLAN雖然稍欠靈活，但卻比較成熟，在實(shí)際應(yīng)用中效果顯著，廣受歡迎。基于MAC地址的VLAN為移動(dòng)計(jì)算提供了可能性，但同時(shí)也潛藏著遭受MAC欺詐攻擊的隱患。而基于協(xié)議的VLAN，理論上非常理想，但實(shí)際應(yīng)用卻尚不成熟。

在集中式網(wǎng)絡(luò)環(huán)境下，我們通常將中心的所有主機(jī)系統(tǒng)集中到一個(gè)VLAN里，在這個(gè)VLAN里不允許有任何用戶節(jié)點(diǎn)，從而較好地保護(hù)敏感的主機(jī)資源。在分布式網(wǎng)絡(luò)環(huán)境下，我們可以按機(jī)構(gòu)或部門的設(shè)置來劃分VLAN。各部門內(nèi)部的所有服務(wù)器和用戶節(jié)點(diǎn)都在各自的VLAN內(nèi)，互不侵?jǐn)_。VLAN內(nèi)部的連接采用交換實(shí)現(xiàn)，而VLAN與VLAN之間的連接則采用路由實(shí)現(xiàn)。

5、隱患掃描。一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)安全漏洞有它多方面的屬性，主要可以用以下幾個(gè)方面來概括：漏洞可能造成的直接威脅、漏洞的成因、漏洞的嚴(yán)重性和漏洞被利用的方式。漏洞檢測和入侵檢測系統(tǒng)是網(wǎng)絡(luò)安全系統(tǒng)的一個(gè)重要組成部分，它不但可以實(shí)現(xiàn)復(fù)雜煩瑣的信息系統(tǒng)安全管理，而且還可以從目標(biāo)信息系統(tǒng)和網(wǎng)絡(luò)資源中采集信息，分析來自網(wǎng)絡(luò)外部和內(nèi)部的入侵信號(hào)和網(wǎng)絡(luò)系統(tǒng)中的漏洞,有時(shí)還能實(shí)時(shí)地對攻擊做出反應(yīng)。漏洞檢測就是對重要計(jì)算機(jī)信息系統(tǒng)進(jìn)行檢查，發(fā)現(xiàn)其中可被黑客利用的漏洞。這種技術(shù)通常采用兩種策略，即被動(dòng)式策略和主動(dòng)式策略。被動(dòng)式策略是基于主機(jī)的檢測，對系統(tǒng)中不合適的設(shè)置、脆弱的口令以及其他同安全規(guī)則相抵觸的對象進(jìn)行檢查；而主動(dòng)式策略是基于網(wǎng)絡(luò)的檢測，通過執(zhí)行一些腳本文件對系統(tǒng)進(jìn)行攻擊，并記錄它的反應(yīng)，從而發(fā)現(xiàn)其中的漏洞。漏洞檢測的結(jié)果實(shí)際上就是系統(tǒng)安全性能的一個(gè)評(píng)估，它指出了哪些攻擊是可能的，因此成為安全方案的一個(gè)重要組成部分。入侵檢測和漏洞檢測系統(tǒng)是防火墻的重要補(bǔ)充，并能有效地結(jié)合其他網(wǎng)絡(luò)安全產(chǎn)品的性能，對網(wǎng)絡(luò)安全進(jìn)行全方位的保護(hù)。科技論文。

四、網(wǎng)絡(luò)安全制度

1、組織工作人員認(rèn)真學(xué)習(xí)《計(jì)算機(jī)信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)安全保護(hù)管理辦法》，提高工作人員的維護(hù)網(wǎng)絡(luò)安全的警惕性和自覺性。

2、負(fù)責(zé)對本網(wǎng)絡(luò)用戶進(jìn)行安全教育和培訓(xùn)，使用戶自覺遵守和維護(hù)《計(jì)算機(jī)信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)安全保護(hù)管理辦法》，使他們具備基本的網(wǎng)絡(luò)安全知識(shí)。

3、實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)用戶的行為，保障網(wǎng)絡(luò)設(shè)備自身和網(wǎng)上信息的安全。

4、對已經(jīng)發(fā)生的網(wǎng)絡(luò)破壞行為在最短的時(shí)間內(nèi)做出響應(yīng)，使損失減少到最低限度。

五、結(jié)束語

網(wǎng)絡(luò)的開放性決定了局域網(wǎng)安全的脆弱性，而網(wǎng)絡(luò)技術(shù)的不斷飛速發(fā)展，又給局域網(wǎng)的安全管理增加了技術(shù)上的不確定性，目前有效的安全技術(shù)可能很快就會(huì)過時(shí)，在黑客和病毒面前不堪一擊。因此，局域網(wǎng)的安全管理不僅要有切實(shí)有效的技術(shù)手段，嚴(yán)格的管理制度，更要有知識(shí)面廣，具有學(xué)習(xí)精神的管理人員。

參考文獻(xiàn)

[1]石志國,薛為民,尹浩.《計(jì)算機(jī)網(wǎng)絡(luò)安全教程》[M].北京:北方交通大學(xué)出版社,2007.

篇8

論文摘要：在介紹網(wǎng)絡(luò)安全概念及其產(chǎn)生原因的基礎(chǔ)上，介紹了各種信息技術(shù)及其在局域網(wǎng)信息安全中的作用和地位。

隨著現(xiàn)代網(wǎng)絡(luò)通信技術(shù)的應(yīng)用和發(fā)展，互聯(lián)網(wǎng)迅速發(fā)展起來，國家逐步進(jìn)入到網(wǎng)絡(luò)化、共享化，我國已經(jīng)進(jìn)入到信息化的新世紀(jì)。在整個(gè)互聯(lián)網(wǎng)體系巾，局域網(wǎng)是其巾最重要的部分，公司網(wǎng)、企業(yè)網(wǎng)、銀行金融機(jī)構(gòu)網(wǎng)、政府、學(xué)校、社區(qū)網(wǎng)都屬于局域網(wǎng)的范疇。局域網(wǎng)實(shí)現(xiàn)了信息的傳輸和共享，為用戶方便訪問互聯(lián)網(wǎng)、提升業(yè)務(wù)效率和效益提供了有效途徑。但是由于網(wǎng)絡(luò)的開放性，黑客攻擊、病毒肆虐、木馬猖狂都給局域網(wǎng)的信息安全帶來了嚴(yán)重威脅。

信息技術(shù)是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論和信息論諸多學(xué)科的技術(shù)。信息技術(shù)的應(yīng)用就是確保信息安全，使網(wǎng)絡(luò)信息免遭黑客破壞、病毒入侵、數(shù)據(jù)被盜或更改。網(wǎng)絡(luò)已經(jīng)成為現(xiàn)代人生活的一部分，局域網(wǎng)的安全問題也閑此變得更為重要，信息技術(shù)的應(yīng)用必不可少。

1網(wǎng)絡(luò)安全的概念及產(chǎn)生的原因

1.1網(wǎng)絡(luò)安全的概念

計(jì)算機(jī)網(wǎng)絡(luò)安全是指保護(hù)計(jì)算機(jī)、網(wǎng)絡(luò)系統(tǒng)硬件、軟件以及系統(tǒng)中的數(shù)據(jù)不因偶然的或惡意的原因而遭到破壞、更改和泄密，確保系統(tǒng)能連續(xù)和可靠地運(yùn)行，使網(wǎng)絡(luò)服務(wù)不巾斷。從本質(zhì)上來講，網(wǎng)絡(luò)安全就是網(wǎng)絡(luò)上的信息安全。網(wǎng)絡(luò)系統(tǒng)的安全威脅主要表現(xiàn)在主機(jī)可能會(huì)受到非法入侵者的攻擊，網(wǎng)絡(luò)中的敏感信息有可能泄露或被修改。從內(nèi)部網(wǎng)向公共網(wǎng)傳送的信息可能被他人竊聽或篡改等等。典型的網(wǎng)絡(luò)安全威脅主要有竊聽、重傳、偽造、篡改、非授權(quán)訪問、拒絕服務(wù)攻擊、行為否認(rèn)、旁路控制、電磁／射頻截獲、人員疏忽。

網(wǎng)絡(luò)安全包括安全的操作系統(tǒng)、應(yīng)用系統(tǒng)以及防病毒、防火墻、入侵檢測、網(wǎng)絡(luò)監(jiān)控、信息審計(jì)、通信加密、災(zāi)難恢復(fù)和完全掃描等。它涉及的領(lǐng)域相當(dāng)廣泛，這是因?yàn)槟壳暗母鞣N通信網(wǎng)絡(luò)中存在著各種各樣的安全漏洞和威脅。從廣義上講，凡是涉及網(wǎng)絡(luò)上信息的保密性、完整性、可性、真實(shí)性和可控性的相關(guān)技術(shù)和理論，都是網(wǎng)絡(luò)安全所要研究的領(lǐng)域。網(wǎng)絡(luò)安全歸納起來就是信息的存儲(chǔ)安全和傳輸安全。

1.2網(wǎng)絡(luò)安全產(chǎn)生的原因

1.2.1操作系統(tǒng)存在安全漏洞

任何操作系統(tǒng)都不是無法摧毀的“饅壘”。操作系統(tǒng)設(shè)計(jì)者留下的微小破綻都給網(wǎng)絡(luò)安全留下了許多隱患，網(wǎng)絡(luò)攻擊者以這些“后門”作為通道對網(wǎng)絡(luò)實(shí)施攻擊。局域網(wǎng)中使用的操作系統(tǒng)雖然都經(jīng)過大量的測試與改進(jìn)，但仍有漏洞與缺陷存在，入侵者利用各種工具掃描網(wǎng)絡(luò)及系統(tǒng)巾的安全漏洞，通過一些攻擊程序?qū)W(wǎng)絡(luò)進(jìn)行惡意攻擊，嚴(yán)重時(shí)造成網(wǎng)絡(luò)的癱瘓、系統(tǒng)的拒絕服務(wù)、信息的被竊取或篡改等。

1.2.2 TCP／lP協(xié)議的脆弱性

當(dāng)前特網(wǎng)部是基于TCP／IP協(xié)議，但是陔?yún)f(xié)議對于網(wǎng)絡(luò)的安全性考慮得并不多。且，南于TCtVIP協(xié)議在網(wǎng)絡(luò)上公布于眾，如果人們對TCP／IP很熟悉，就可以利川它的安全缺陷來實(shí)施網(wǎng)絡(luò)攻擊。

1.2.3網(wǎng)絡(luò)的開放性和廣域性設(shè)計(jì)

網(wǎng)絡(luò)的開放性和廣域性設(shè)計(jì)加大了信息的保密難度.這其巾還包括網(wǎng)絡(luò)身的布線以及通信質(zhì)量而引起的安全問題。互聯(lián)網(wǎng)的全開放性使網(wǎng)絡(luò)可能面臨來自物理傳輸線路或者對網(wǎng)絡(luò)通信協(xié)議以及對軟件和硬件實(shí)施的攻擊；互聯(lián)網(wǎng)的同際性給網(wǎng)絡(luò)攻擊者在世界上任何一個(gè)角落利州互聯(lián)網(wǎng)上的任何一個(gè)機(jī)器對網(wǎng)絡(luò)發(fā)起攻擊提供機(jī)會(huì)，這也使得網(wǎng)絡(luò)信息保護(hù)更加難。

1.2.4計(jì)算機(jī)病毒的存在

計(jì)算機(jī)病毒是編制或者存計(jì)箅機(jī)程序巾插入的一組旨在破壞計(jì)箅機(jī)功能或數(shù)據(jù)，嚴(yán)重影響汁算機(jī)軟件、硬件的正常運(yùn)行，并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或程序代碼。計(jì)算機(jī)病毒具有傳染性、寄生性、隱蔽性、觸發(fā)性、破壞性幾大特點(diǎn)。大量涌現(xiàn)的病毒在網(wǎng)上傳播極快，給全球地嗣的網(wǎng)絡(luò)安全帶來了巨大災(zāi)難。

1.2.5網(wǎng)絡(luò)結(jié)構(gòu)的不安全性

特網(wǎng)是一個(gè)南無數(shù)個(gè)局域網(wǎng)連成的大網(wǎng)絡(luò)，它是一種網(wǎng)問網(wǎng)技術(shù)。當(dāng)l主機(jī)與另一局域網(wǎng)的主機(jī)進(jìn)行通信時(shí)，它們之間互相傳送的數(shù)據(jù)流要經(jīng)過很多機(jī)器重重轉(zhuǎn)發(fā)，這樣攻擊者只要利用l臺(tái)處于用戶的數(shù)據(jù)流傳輸路徑上的主機(jī)就有可能劫持用戶的數(shù)據(jù)包。

2信息技術(shù)在互聯(lián)網(wǎng)中的應(yīng)用

2.1信息技術(shù)的發(fā)展現(xiàn)狀和研究背景

信息網(wǎng)絡(luò)安全研究在經(jīng)歷了通信保密、數(shù)據(jù)保護(hù)后進(jìn)入網(wǎng)絡(luò)信息安全研究階段，當(dāng)前已經(jīng)…現(xiàn)了一些比較成熟的軟件和技術(shù)，如：防火墻、安全路由器、安全網(wǎng)關(guān)、黑客人侵檢測、系統(tǒng)脆弱性掃描軟件等。信息網(wǎng)絡(luò)安全是一個(gè)綜合、交叉的學(xué)科，應(yīng)從安全體系結(jié)構(gòu)、安全協(xié)議、現(xiàn)代密碼理論、信息分析和監(jiān)控以及信息安全系統(tǒng)等方面綜合開展研究，使各部分相互協(xié)同，共同維護(hù)網(wǎng)絡(luò)安全。

國外的信息安全研究起步較早，早在20世紀(jì)70年代美國就在網(wǎng)絡(luò)安全技術(shù)基礎(chǔ)理論研究成果“計(jì)算機(jī)保密模型(Beu&Lapaduh模型)”的基礎(chǔ)上，提出了“可信計(jì)箅機(jī)系統(tǒng)安全評(píng)估準(zhǔn)則(TESEC)”以及后來的關(guān)于網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)庫方面的相關(guān)解釋，彤成了安全信息系統(tǒng)體系結(jié)構(gòu)的準(zhǔn)則。安全協(xié)議作為信息安全的重要內(nèi)容，處于發(fā)展提高階段，仍存在局限性和漏洞。密碼學(xué)作為信息安全的關(guān)鍵技術(shù)，近年來空前活躍，美、歐、亞各洲舉行的密碼學(xué)和信息安全學(xué)術(shù)會(huì)議頻繁。自從美國學(xué)者于1976年提出了公開密鑰密碼體制后，成為當(dāng)前研究的熱點(diǎn)，克服了網(wǎng)絡(luò)信息系統(tǒng)密鑰管理的閑舴，同時(shí)解決了數(shù)字簽名問題。另外南于計(jì)箅機(jī)運(yùn)算速度的不斷提高和網(wǎng)絡(luò)安全要求的不斷提升，各種安全技術(shù)不斷發(fā)展，網(wǎng)絡(luò)安全技術(shù)存21世紀(jì)將成為信息安全的關(guān)鍵技術(shù)。

2.2信息技術(shù)的應(yīng)用

2.2.1網(wǎng)絡(luò)防病毒軟件

存網(wǎng)絡(luò)環(huán)境下，病毒的傳播擴(kuò)散越來越快，必須有適合于局域網(wǎng)的全方位防病毒產(chǎn)品。針對局域網(wǎng)的渚多特性，應(yīng)該有一個(gè)基于服務(wù)器操作系統(tǒng)平的防病毒軟件和針對各種桌面操作系統(tǒng)的防病毒軟件。如果局域網(wǎng)和互聯(lián)網(wǎng)相連，則川到網(wǎng)大防病毒軟件來加強(qiáng)上網(wǎng)計(jì)算機(jī)的安全。如果使用郵件存網(wǎng)絡(luò)內(nèi)部進(jìn)行信息交換.則需要安裝基于郵件服務(wù)器平的郵件防病毒軟件，用于識(shí)別出隱藏在電子郵件和附件巾的病毒最好的策略是使川全方位的防病毒產(chǎn)品，針對網(wǎng)絡(luò)巾所有可能的病毒攻擊點(diǎn)設(shè)置對應(yīng)的防病毒軟件。通過全方位、多層次的防病毒系統(tǒng)的配置，定期或不定期地動(dòng)升級(jí)，保護(hù)局域網(wǎng)免受病毒的侵襲。

2.2.2防火墻技術(shù)

防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)；上的應(yīng)用性安全技術(shù)，越來越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境巾，尤其以接入lnlernel網(wǎng)絡(luò)的局域網(wǎng)為典型。防火墻是網(wǎng)絡(luò)安全的屏障：一個(gè)防火墻能檄大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。南于只有經(jīng)過精心選擇的應(yīng)州協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略：通過以防火墻為中心的安全方案配置，能將所有安全軟件如口令、加密、身份認(rèn)證、審計(jì)等配置在防火墻上。對網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)：如果所有的訪問都經(jīng)過防火墻，那么防火墻就能記錄下這些訪問并做出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。

防火墻技術(shù)是企業(yè)內(nèi)外部網(wǎng)絡(luò)問非常有效的一種實(shí)施訪問控制的手段，邏輯上處于內(nèi)外部網(wǎng)之問，確保內(nèi)部網(wǎng)絡(luò)正常安全運(yùn)行的一組軟硬件的有機(jī)組合，川來提供存取控制和保密服務(wù)。存引人防火墻之后，局域網(wǎng)內(nèi)網(wǎng)和外部網(wǎng)之問的通信必須經(jīng)過防火墻進(jìn)行，某局域網(wǎng)根據(jù)網(wǎng)絡(luò)決策者及網(wǎng)絡(luò)擘家共同決定的局域網(wǎng)的安全策略來設(shè)置防火墻，確定什么類型的信息可以通過防火墻。可見防火墻的職責(zé)就是根據(jù)規(guī)定的安全策略，對通過外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)的信息進(jìn)行檢企，符合安全策略的予以放行，不符合的不予通過。

防火墻是一種有效的安全工具，它對外屏蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)，限制外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的訪問。但是它仍有身的缺陷，對于內(nèi)部網(wǎng)絡(luò)之問的入侵行為和內(nèi)外勾結(jié)的入侵行為很難發(fā)覺和防范，對于內(nèi)部網(wǎng)絡(luò)之間的訪問和侵害，防火墻則得無能為力。

2.2.3漏洞掃描技術(shù)

漏洞掃描技術(shù)是要弄清楚網(wǎng)絡(luò)巾存在哪些安全隱患、脆弱點(diǎn)，解決網(wǎng)絡(luò)層安全問題。各種大型網(wǎng)絡(luò)不僅復(fù)雜而且不斷變化，僅僅依靠網(wǎng)絡(luò)管理員的技術(shù)和經(jīng)驗(yàn)尋找安全漏洞、做出風(fēng)險(xiǎn)評(píng)估得很不現(xiàn)實(shí)。要解決這一問題，必須尋找一種能金找網(wǎng)絡(luò)安全漏洞、評(píng)估并提…修改建議的網(wǎng)絡(luò)安全掃描工具，利刖優(yōu)化系統(tǒng)配置和打補(bǔ)丁等各種方式最大可能地彌補(bǔ)最新的安全漏洞和消除安全隱患。存網(wǎng)絡(luò)安全程度要水不高的情況下，可以利用各種黑客工具對網(wǎng)絡(luò)實(shí)施模擬攻擊，暴露出：網(wǎng)絡(luò)的漏洞，冉通過相關(guān)技術(shù)進(jìn)行改善。

2.2.4密碼技術(shù)

密碼技術(shù)是信息安全的核心與關(guān)鍵。密碼體制按密鑰可以分為對稱密碼、非對稱密碼、混合密碼3種體制。另外采用加密技術(shù)的網(wǎng)絡(luò)系統(tǒng)不僅不需要特殊網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的支持，而且在數(shù)據(jù)傳輸過程巾也不會(huì)對所經(jīng)過網(wǎng)絡(luò)路徑的安全程度做出要求，真正實(shí)現(xiàn)了網(wǎng)絡(luò)通信過程端到端的安全保障。非對稱密碼和混合密碼是當(dāng)前網(wǎng)絡(luò)信息加密使川的主要技術(shù)。

信息加密技術(shù)的功能主要是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息等網(wǎng)絡(luò)資源的安全。信息加密的方法有3種，一是網(wǎng)絡(luò)鏈路加密方法：目的是保護(hù)網(wǎng)絡(luò)系統(tǒng)節(jié)點(diǎn)之間的鏈路信息安全；二是網(wǎng)絡(luò)端點(diǎn)加密方法：目的是保護(hù)網(wǎng)絡(luò)源端川戶到口的川戶的數(shù)據(jù)安全；二是網(wǎng)絡(luò)節(jié)點(diǎn)加密方法：目的是對源節(jié)點(diǎn)到目的節(jié)點(diǎn)之間的傳輸鏈路提供保護(hù)川戶可以根據(jù)實(shí)際要求采川不同的加密技術(shù)。

2.2.5入侵檢測技術(shù)。

入侵檢測系統(tǒng)對計(jì)算機(jī)和網(wǎng)絡(luò)資源上的惡意使川行為進(jìn)行識(shí)別和響應(yīng)。入侵檢測技術(shù)同時(shí)監(jiān)測來自內(nèi)部和外部的人侵行為和內(nèi)部剛戶的未授權(quán)活動(dòng)，并且對網(wǎng)絡(luò)入侵事件及其過程做fIj實(shí)時(shí)響應(yīng)，是維護(hù)網(wǎng)絡(luò)動(dòng)態(tài)安全的核心技術(shù)。入侵檢測技術(shù)根據(jù)不同的分類標(biāo)準(zhǔn)分為基于行為的入侵檢測和基于知識(shí)的人侵檢測兩類。根據(jù)使用者的行為或資源使?fàn)顩r的正常程度來判斷是否發(fā)生入侵的稱為基于行為的入侵檢測，運(yùn)用已知的攻擊方法通過分析入侵跡象來加以判斷是否發(fā)生入侵行為稱為基于知識(shí)的入侵檢測。通過對跡象的分析能對已發(fā)生的入侵行為有幫助，并對即將發(fā)生的入侵產(chǎn)生警戒作用

3結(jié)語

篇9

關(guān)鍵詞：網(wǎng)絡(luò)安全；入侵檢測；聚類分析；差異度

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2008)27-2049-02

The Smallest Difference Cluster Exceptionally Is Invading In The Examination Application

ZHENG Guan-zhen, XU Hui-zeng

(Dongying Vocational College, Dongying 257091, China)

Abstract: Studied with emphasis exceptionally has invaded the examination system model. Exists in view of the existing model to trains the data demand to be high, the rate of false alarm higher question, proposed one kind based on the smallest difference cluster invasion examination method. This method the sector scalar, the ordinal number variable, the dual variable nominal variable type's attribute maps on sector [0,1], calculates between each data object as well as with each bunch of difference, has solved exceptionally the invasion well.

Key words: network security; invasion examination; cluster analysis; difference

隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)應(yīng)用的普及和發(fā)展，計(jì)算機(jī)系統(tǒng)安全越來越受到人們的重視。安全計(jì)算機(jī)系統(tǒng)是基于計(jì)算機(jī)機(jī)密性、完整性和可用性的實(shí)現(xiàn)[1]。傳統(tǒng)計(jì)算機(jī)系統(tǒng)的安全是通過設(shè)計(jì)一定的安全策略，即通過身份認(rèn)證、訪問控制和審計(jì)等技術(shù)來保護(hù)計(jì)算機(jī)系統(tǒng)免遭入侵[2]。但是越來越多的攻擊者利用各種漏洞實(shí)施攻擊，通過監(jiān)控特權(quán)進(jìn)程的系統(tǒng)調(diào)用進(jìn)行攻擊，如系統(tǒng)服務(wù)、setuid程序等[3]。這些應(yīng)用程序由于具有特殊權(quán)限，可以訪問特殊資源，攻擊者利用它們可以實(shí)現(xiàn)其破壞或控制系統(tǒng)的目標(biāo)。

針對網(wǎng)絡(luò)中的各種安全威脅，產(chǎn)生了許多關(guān)于網(wǎng)絡(luò)安全的技術(shù)。主要有以下幾類：主機(jī)安全技術(shù)、身份認(rèn)證技術(shù)、訪問控制技術(shù)、加密技術(shù)、防火墻技術(shù)、安全審計(jì)技術(shù)、安全管理技術(shù)和入侵檢測技術(shù)等。入侵檢測是一種比較新興的網(wǎng)絡(luò)安全技術(shù)。入侵檢測系統(tǒng)主要是采用誤用檢測技術(shù)，如模式匹配、協(xié)議分析、狀態(tài)轉(zhuǎn)換分析。這些方法均只能準(zhǔn)確地檢測已知的入侵行為，并不能檢測未知的入侵行為，具有局限性，所以在入侵檢測中引入聚類分析。聚類分析[4]是將一組數(shù)據(jù)對象通過計(jì)算它們屬性之間的綜合差別，將差別較小的對象放在一個(gè)簇中。如果網(wǎng)絡(luò)中的入侵行為與合法行為存在一定的差異，那么采用聚類的方法就可以將網(wǎng)絡(luò)中的入侵行為聚集為一簇，從而發(fā)現(xiàn)入侵行為。

1 異常入侵檢測系統(tǒng)模型

1.1 入侵檢測

ID就是對入侵行為的發(fā)現(xiàn)[4]。入侵檢測是基于兩個(gè)基本假設(shè)，即用戶和程序的行為是可見的；正常行為與入侵行為是可區(qū)分的。它通過收集并分析計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)信息，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊過的跡象。因此入侵檢測具有事前預(yù)警和事后發(fā)覺的功能。這種技術(shù)可以大大提高了網(wǎng)絡(luò)系統(tǒng)的安全。

入侵檢測主要包括數(shù)據(jù)采集、數(shù)據(jù)分析和響應(yīng)三個(gè)部分。

1.2 異常入侵檢測系統(tǒng)模型

異常入侵檢測技術(shù)識(shí)別主機(jī)或網(wǎng)絡(luò)中異常的或不尋常行為。它假設(shè)攻擊與正常的活動(dòng)有很大的差別。異常檢測首先收集一段時(shí)間操作活動(dòng)的歷史數(shù)據(jù)；再建立代表主機(jī)、用戶或網(wǎng)絡(luò)連接的正常行為描述；然后收集事件數(shù)據(jù)并使用一些不同的方法來決定所檢測到的事件是否偏離了正常行為模式，從而判斷是否發(fā)生了入侵行為。

異常入侵檢測是通過已知來推導(dǎo)未知的技術(shù)。目前常用的方法主要是概率統(tǒng)計(jì)、神經(jīng)網(wǎng)絡(luò)、數(shù)據(jù)挖掘中的分類和聚類方法以及人工免疫等。

1.2.1 網(wǎng)絡(luò)連接記錄的數(shù)據(jù)結(jié)構(gòu)

通過分析會(huì)發(fā)現(xiàn)黑客在重新控制目標(biāo)主機(jī)之前，均要與目標(biāo)主機(jī)建立連接。對此，本文提出通過對網(wǎng)絡(luò)的連接記錄進(jìn)行監(jiān)測建立入侵檢測系統(tǒng)。其目的是為了發(fā)現(xiàn)網(wǎng)絡(luò)中異常的連接記錄。

1.2.2 數(shù)據(jù)采集模塊設(shè)計(jì)

對入侵檢測系統(tǒng)來說[5]，數(shù)據(jù)采集是系統(tǒng)正常工作的基礎(chǔ)。對于網(wǎng)絡(luò)入侵檢測系統(tǒng)，網(wǎng)絡(luò)數(shù)據(jù)截獲模塊就是實(shí)現(xiàn)網(wǎng)絡(luò)入侵檢測系統(tǒng)高效工作的基礎(chǔ)。在設(shè)計(jì)整個(gè)入侵檢測系統(tǒng)時(shí)，必須要有一種好的數(shù)據(jù)包捕獲機(jī)制來保證網(wǎng)絡(luò)數(shù)據(jù)截獲模塊工作穩(wěn)定可靠，防止漏包，為整個(gè)入侵檢測模塊穩(wěn)定可靠地提供數(shù)據(jù)，

1.2.3 系統(tǒng)總體設(shè)計(jì)

遵循入侵檢測系統(tǒng)的標(biāo)準(zhǔn)流程，即數(shù)據(jù)收集、數(shù)據(jù)分析、結(jié)果處理的流程對網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行分析處理。筆者提出基于數(shù)據(jù)挖掘的異常模式入侵檢測系統(tǒng)。檢測系統(tǒng)主要由以下四個(gè)部分組成，即數(shù)據(jù)采集、數(shù)據(jù)分析、結(jié)果處理和用戶界面。

2 最小差異度的聚類算法

2.1 差異度相關(guān)定義

很多聚類算法只考慮元素與類之間的距離，而沒有考慮類大小產(chǎn)生的影響。通過區(qū)間標(biāo)量[6]、序數(shù)變量和二元變量標(biāo)稱變量類型的屬性映射到區(qū)間[0,1]上，然后再對所有屬性計(jì)算差異度并按最小差異度進(jìn)行聚類，這就使得所有屬性的差異度在概念上是一致的[7]。

基于最小差異度聚類的入侵檢測方法對所有攻擊的檢測率較高，對于DoS攻擊的檢測率最高，對于PROBE攻擊檢測率也是一般；而對于U2R和R2L的檢測率卻較低。此外，誤報(bào)率FR和發(fā)現(xiàn)未見攻擊類型的檢測率一般，說明該入侵檢測方法已經(jīng)具有了發(fā)現(xiàn)未知入侵行為的能力。

2.2 基于最小差異度聚類的入侵檢測方法

聚類的入侵檢測方法就是假設(shè)網(wǎng)絡(luò)中的入侵行為是可以區(qū)分的, 而且通過聚類能將具有入侵企圖的數(shù)據(jù)劃分為單獨(dú)的類, 從而將合法行為與非法行為區(qū)分開來。最小差異度的聚類

方法就是先計(jì)算每個(gè)對象與已有類的差異度; 然后將該對象賦予與它差異度最小的類, 就得到了一種新的基于最小差異度聚類的入侵檢測方法。通過對訓(xùn)練集進(jìn)行聚類, 得到一系列不同大小的類。本文根據(jù)類的特征值CF( Ci) 大小對類作標(biāo)志并進(jìn)行排序, 然后按一定比例將類劃分為合法類和非法類。在入侵檢測的過程中, 計(jì)算新收到的數(shù)據(jù)對象與已有的類的差異度, 利用最小差異度的聚類。如果新的數(shù)據(jù)對象被劃入非法的類中, 則判定為入侵行為; 反之則為合法行為。

3 最小差異度聚類實(shí)現(xiàn)異常入侵檢測模型

3.1 測試環(huán)境

本次測試是對入侵檢測的模塊進(jìn)行測試。測試數(shù)據(jù)來自KDD Cup1999 數(shù)據(jù)集, 因此在單機(jī)上就可以進(jìn)行, 不需要網(wǎng)絡(luò)

環(huán)境。單機(jī)采用個(gè)人電腦, 基本配置如下:

硬件環(huán)境 CPU為Intel( R) Celeron( R) CPU2. 13 GHz, 內(nèi)存為512 MB。

軟件環(huán)境 操作系統(tǒng)Windows XP SP2, 數(shù)據(jù)庫SQL Server2000。

3.2 測試數(shù)據(jù)準(zhǔn)備

本次測試使用的數(shù)據(jù)為KDD Cup1999 數(shù)據(jù)集。該數(shù)據(jù)集是模擬局域網(wǎng)上采集來的9 個(gè)星期的網(wǎng)絡(luò)連接數(shù)據(jù), 包含了約4 900 000條模擬攻擊記錄, 總共22 種攻擊, 分為DoS、R2L、U2R、PROBE 四大類。每條記錄由41 個(gè)特征刻畫, 其中包括7個(gè)分類特征和34 個(gè)數(shù)值型特征。

3.3 測試結(jié)果

基于最小差異度聚類的入侵檢測方法對所有攻擊的檢測率較高, 達(dá)到了75.57% ～79.11%，效果一般; 對于DoS攻擊的檢測率最高，達(dá)到了87.21% ～91.37% ;對于PROBE 攻擊檢測率也是一般；而對于U2R 和R2L 的檢測率卻較低。此外，誤報(bào)率FR和發(fā)現(xiàn)未見攻擊類型的檢測率一般，分別達(dá)到了8.02% ～13.65% 和1.21% ～39.54% , 但還是說明該入侵檢測方法已經(jīng)具有了發(fā)現(xiàn)未知入侵行為的能力。

4 結(jié)束語

異常檢測是IDS研究中重要而比較困難的領(lǐng)域。本文研究了異常入侵檢測系統(tǒng)模型，并對模型進(jìn)行了分析，提出了最小差異度聚類實(shí)現(xiàn)異常入侵檢測模型的方法，通過算法進(jìn)行實(shí)現(xiàn)，并采用了KDD Cup1999數(shù)據(jù)集。數(shù)據(jù)運(yùn)行表明，所提出的模型的算法是合理而有效的。

參考文獻(xiàn)：

[1] 隆益民.網(wǎng)絡(luò)入侵及檢測[J].計(jì)算機(jī)工程與科學(xué),2001,37(1):27-30.

[2] 黃錦,李家濱.防火墻日志信息的入侵檢測研究[J].計(jì)算機(jī)工程,2001,26(9):115－117.

[3] 蘇瑜睿,馮登國.基于非層次聚類的異常檢測模型[C]//中國計(jì)算機(jī)大會(huì)論文集.北京:清華大學(xué)出版社,2005.

[4] HAN Jia-wei, KAMBER M.數(shù)據(jù)挖掘概念與技術(shù)[M].范明,孟小峰,譯.北京:機(jī)械工業(yè)出版社,2001:222-224.

[5] 李波.基于數(shù)據(jù)挖掘的異常模式入侵檢測研究[D].沈陽:東北大學(xué),2005.

[6] 張彬,胡茜.入侵檢測概念、過程分析和部署[J].數(shù)據(jù)通信,2004,(12):45-48.

[7] 賀躍,鄭建軍,朱蕾.一種基于熵的連續(xù)屬性離散算法[J].計(jì)算機(jī)應(yīng)用,2005,25(3):637-638.

[8] 蔣盛益,李慶華.基于引力的入侵檢測方法[J].系統(tǒng)仿真學(xué)報(bào),2005,17(9):2202-2206.

[10] 嚴(yán)曉光,褚學(xué)征.聚類在網(wǎng)絡(luò)入侵的異常檢測中的應(yīng)用[J].計(jì)算機(jī)系統(tǒng)應(yīng)用,2005,(10):78-80.

[11] 伊勝偉,劉D,魏紅芳.基于數(shù)據(jù)挖掘的入侵檢測系統(tǒng)智能結(jié)構(gòu)模型[J].計(jì)算機(jī)工程與設(shè)計(jì),2005,26(29):2464-2466,2472.

篇10

論文摘要：隨著信息化步伐的不斷加快，計(jì)算機(jī)網(wǎng)絡(luò)給人們帶來了很大的便捷，但是與此同時(shí)也給人們帶來了很大的隱患。計(jì)算機(jī)網(wǎng)絡(luò)安全已經(jīng)受到了人們的高度重視，人們也已經(jīng)對其提出了很多防范策略，并且得到了很好的好評(píng)。

隨著網(wǎng)絡(luò)的日益發(fā)展以及計(jì)算機(jī)網(wǎng)絡(luò)安全問題的不斷出現(xiàn)，對網(wǎng)絡(luò)安全防范粗略的研究必然成為必然趨勢。計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)普遍的使用，使得人們在學(xué)習(xí)和工作中享受計(jì)算機(jī)網(wǎng)絡(luò)帶來的便捷的同時(shí)被越來越多的安全隱患所傷害。因此，計(jì)算機(jī)網(wǎng)絡(luò)安全防范策略的研究和實(shí)施是網(wǎng)絡(luò)化發(fā)展的必然趨勢。

1 計(jì)算機(jī)網(wǎng)絡(luò)安全存在的問題

1.1 計(jì)算機(jī)病毒較多

計(jì)算機(jī)病毒是一種人為編制的特殊程序代碼，可將自己附著在其他程序代碼上以便傳播，可自我復(fù)制、隱藏和潛伏，并帶有破壞數(shù)據(jù)、文件或系統(tǒng)的特殊功能。當(dāng)前，計(jì)算機(jī)病毒是危害計(jì)算機(jī)網(wǎng)絡(luò)安全最普遍的一種方法，同時(shí)其危害是非常大的，尤其是一些通過網(wǎng)絡(luò)傳播的流行性病毒，這些病毒不僅危害性大，而且傳播速度非常快，傳播形式多樣，因此，要想徹底清除這些病毒是很困難的，因此，網(wǎng)絡(luò)安全存在著巨大的隱患。

1.2 盜用IP地址

盜用IP地址現(xiàn)象非常普遍，這不僅影響了網(wǎng)絡(luò)的正常運(yùn)行，而且一般被盜用的地址權(quán)限都很高，因而也給用戶造成了較大的經(jīng)濟(jì)損失。盜用IP地址就是指運(yùn)用那些沒有經(jīng)過授權(quán)的IP地址，從而使得通過網(wǎng)上資源或隱藏身份進(jìn)行破壞網(wǎng)絡(luò)的行為的目的得以實(shí)現(xiàn)。目前，網(wǎng)絡(luò)上經(jīng)常會(huì)發(fā)生盜用IP地址，這不僅嚴(yán)重侵害了合法使用網(wǎng)絡(luò)人員的合法權(quán)益，而且還導(dǎo)致網(wǎng)絡(luò)安全和網(wǎng)絡(luò)正常工作受到負(fù)面影響。

1.3 攻擊者對網(wǎng)絡(luò)進(jìn)行非法訪問和破壞

網(wǎng)絡(luò)可分為內(nèi)網(wǎng)和外網(wǎng)，網(wǎng)絡(luò)受到攻擊也分為來自外部的非法訪問和網(wǎng)絡(luò)攻擊以及來自內(nèi)部的非法訪問和網(wǎng)絡(luò)攻擊。無論是哪種網(wǎng)絡(luò)攻擊都要經(jīng)過三個(gè)步驟：搜集信息-目標(biāo)的選擇、實(shí)施攻擊-上傳攻擊程序、下載用戶數(shù)據(jù)。

1.4 垃圾郵件和病毒郵件泛濫

電子郵件系統(tǒng)是辦公自動(dòng)化系統(tǒng)的基本需求，隨著信息化的快速發(fā)展，郵件系統(tǒng)的功能和技術(shù)已經(jīng)非常成熟，但是也避免不了垃圾郵件和病毒郵件的傳送。垃圾郵件和病毒郵件是全球問題，2011年初，俄羅斯在全球垃圾郵件市場上的份額增長了4%-5%。垃圾郵件和病毒郵件是破壞網(wǎng)絡(luò)營銷環(huán)境的罪魁之一，垃圾郵件影響了用戶網(wǎng)上購物的信心，從而進(jìn)一步危害到了電子商務(wù)網(wǎng)站的發(fā)展。垃圾郵件和病毒郵件對人們的影響不僅表現(xiàn)在時(shí)間上，而且也影響了安全。垃圾郵件和病毒郵件占用了大量的網(wǎng)絡(luò)資源。使得正常的業(yè)務(wù)運(yùn)作變得緩慢。另外，垃圾郵件與一些病毒和入侵等關(guān)系越來越密切，其已經(jīng)成為黑客發(fā)動(dòng)攻擊的重要平臺(tái)。

2 計(jì)算機(jī)網(wǎng)絡(luò)安全的防范策略

2.1 計(jì)算機(jī)病毒的安全與防范技術(shù)

在網(wǎng)絡(luò)環(huán)境下，防范計(jì)算機(jī)病毒僅采用單一的方法來進(jìn)行已經(jīng)無任何意義，要想徹底清除網(wǎng)絡(luò)病毒，必須選擇與網(wǎng)絡(luò)適合的全方位防病毒產(chǎn)品。如果對互聯(lián)網(wǎng)而言，除了需要網(wǎng)關(guān)的防病毒軟件，還必須對上網(wǎng)計(jì)算機(jī)的安全進(jìn)行強(qiáng)化；如果在防范內(nèi)部局域網(wǎng)病毒時(shí)需要一個(gè)具有服務(wù)器操作系統(tǒng)平臺(tái)的防病毒軟件，這是遠(yuǎn)遠(yuǎn)不夠的，還需要針對各種桌面操作系統(tǒng)的防病毒軟件；如果在網(wǎng)絡(luò)內(nèi)部使用電子郵件進(jìn)行信息交換時(shí)，為了識(shí)別出隱藏在電子郵件和附件中的病毒，還需要增加一套基于郵件服務(wù)器平臺(tái)的郵件防病毒軟件。由此可見，要想徹底的清除病毒，是需要使用全方位的防病毒產(chǎn)品進(jìn)行配合。另外，在管理方面，要打擊盜版，因?yàn)楸I版軟件很容易染上病毒，訪問可靠的網(wǎng)站，在下載電子郵件附件時(shí)要先進(jìn)行病毒掃描，確保無病毒后進(jìn)行下載，最重要的是要對數(shù)據(jù)庫數(shù)據(jù)隨時(shí)進(jìn)行備份。

2.2 身份認(rèn)證技術(shù)

系統(tǒng)對用戶身份證明的核查的過程就是身份認(rèn)證，就是對用戶是否具有它所請求資源的存儲(chǔ)使用權(quán)進(jìn)行查明。用戶向系統(tǒng)出示自己的身份證明的過程就是所謂的身份識(shí)別。一般情況下，將身份認(rèn)證和身份識(shí)別統(tǒng)稱為身份認(rèn)證。隨著黑客或木馬程序從網(wǎng)上截獲密碼的事件越來越多，用戶關(guān)鍵信息被竊情況越來越多，用戶已經(jīng)越來越認(rèn)識(shí)到身份認(rèn)證這一技術(shù)的重要性。身份認(rèn)證技術(shù)可以用于解決用戶的物理身份和數(shù)字身份的一致性問題，給其他安全技術(shù)提供權(quán)限管理的依據(jù)。對于身份認(rèn)證系統(tǒng)而言，合法用戶的身份是否易于被其他人冒充，這是最重要的技術(shù)指標(biāo)。用戶身份如果被其他不法分子冒充，不僅會(huì)對合法用戶的利益產(chǎn)生損害，而且還會(huì)對其他用戶的利益甚至整個(gè)系統(tǒng)都產(chǎn)生危害。由此可知，身份認(rèn)證不僅是授權(quán)控制的基礎(chǔ)，而且還是整個(gè)信息安全體系的基礎(chǔ)。身份認(rèn)證技術(shù)有以下幾種：基于口令的認(rèn)證技術(shù)、給予密鑰的認(rèn)證鑒別技術(shù)、基于智能卡和智能密碼鑰匙 (UsBKEY)的認(rèn)證技術(shù)、基于生物特征識(shí)別的認(rèn)證技術(shù)。對于生物識(shí)別技術(shù)而言，其核心就是如何獲取這些生物特征，并將之轉(zhuǎn)換為數(shù)字信息、存儲(chǔ)于計(jì)算機(jī)中，并且完成驗(yàn)證與識(shí)別個(gè)人身份是需要利用可靠的匹配算法來進(jìn)行的。

2.3 入侵檢測技術(shù)

入侵檢測就是對網(wǎng)絡(luò)入侵行為進(jìn)行檢測，入侵檢測技術(shù)屬于一種積極主動(dòng)地安全保護(hù)技術(shù)，它對內(nèi)部攻擊、外部攻擊以及誤操作都提供了實(shí)時(shí)保護(hù)。入侵檢測一般采用誤用檢測技術(shù)和異常監(jiān)測技術(shù)。1）誤用檢測技術(shù)。這種檢測技術(shù)是假設(shè)所有的入侵者的活動(dòng)都能夠表達(dá)為征或模式，對已知的入侵行為進(jìn)行分析并且把相應(yīng)的特征模型建立出來，這樣就把對入侵行為的檢測變成對特征模型匹配的搜索，如果與已知的入侵特征匹配，就斷定是攻擊，否則，便不是。對已知的攻擊，誤用入侵檢測技術(shù)檢測準(zhǔn)確度較高，但是對已知攻擊的變體或者是一些新型的攻擊的檢測準(zhǔn)確度則不高。因此，要想保證系統(tǒng)檢測能力的完備性是需要不斷的升級(jí)模型才行。目前，在絕大多數(shù)的商業(yè)化入侵檢測系統(tǒng)中，基本上都是采用這種檢測技術(shù)構(gòu)建。2）異常檢測技術(shù)。異常檢測技術(shù)假設(shè)所有入侵者活動(dòng)都與正常用戶的活動(dòng)不同，分析正常用戶的活動(dòng)并且構(gòu)建模型，把所有不同于正常模型的用戶活動(dòng)狀態(tài)的數(shù)量統(tǒng)計(jì)出來，如果此活動(dòng)與統(tǒng)計(jì)規(guī)律不相符，則表示可以是入侵行為。這種技術(shù)彌補(bǔ)了誤用檢測技術(shù)的不足，它能夠檢測到未知的入侵。但是，在許多環(huán)境中，建立正常用戶活動(dòng)模式的特征輪廓以及對活動(dòng)的異常性進(jìn)行報(bào)警的閾值的確定都是比較困難的，另外，不是所有的非法入侵活動(dòng)都在統(tǒng)計(jì)規(guī)律上表示異常。今后對入侵檢測技術(shù)的研究主要放在對異常監(jiān)測技術(shù)方面。

另外，計(jì)算機(jī)網(wǎng)絡(luò)安全防范策略還包括一些被動(dòng)防范策略。被動(dòng)式防范策略主要包括隱藏IP地址、關(guān)閉端口、更換管理員賬戶等，本文只對以上三種進(jìn)行分析。1）隱藏IP地址。在網(wǎng)絡(luò)安全方面，IP地址的作用是非常大的，如果IP地址被攻擊者盜用，他就可以向這個(gè)IP發(fā)動(dòng)各種進(jìn)攻。用服務(wù)器能夠?qū)崿F(xiàn)IP地址的隱藏，服務(wù)器使用后，其他用戶只能對服務(wù)器IP地址進(jìn)行探測，而根本檢測不到用戶的IP地址，也就是說，隱藏IP地址的目的實(shí)現(xiàn)了，用戶上網(wǎng)安全得到了很好的保護(hù)；2）關(guān)閉不必要的端口。一般情況下，黑客要想攻擊你的計(jì)算機(jī)，首先對你的計(jì)算機(jī)端口進(jìn)行掃描，如果安裝了端口監(jiān)視程序，這會(huì)有警告提示。另外，還可以通過關(guān)閉不必要的端口來解決此問題；3）更換管理員賬戶。管理員賬戶的權(quán)限最高，如果這個(gè)賬戶被攻擊，那么危害將會(huì)很大。而截獲管理員賬戶的密碼又是黑客入侵常用的手段之一，因此，要對管理員賬戶進(jìn)行重新配置。

3 結(jié)束語

計(jì)算機(jī)網(wǎng)絡(luò)給人們帶來便捷的同時(shí)也帶了隱患，要想是計(jì)算機(jī)網(wǎng)絡(luò)發(fā)揮出其更大的作用，人們必須對這些隱患采取一定的措施來進(jìn)行防止。引起計(jì)算機(jī)網(wǎng)絡(luò)安全問題的因素不同，所采取的防范策略也不同，因此，防范策略的實(shí)施和運(yùn)用也不要盲目，否則不僅沒有緩解網(wǎng)絡(luò)安全問題，反而使得網(wǎng)絡(luò)安全問題更加嚴(yán)重，人們受到更大的危害。

參考文獻(xiàn)

[1] 林敏，李哲宇.影響計(jì)算機(jī)網(wǎng)絡(luò)安全的因素探討[J].科技資訊，2007，(20).

[2] 胡瑞卿，田杰榮.關(guān)于網(wǎng)絡(luò)安全防護(hù)的幾點(diǎn)思考[J].電腦知識(shí)與技術(shù)，2008(16).

[3] 王建軍，李世英.計(jì)算機(jī)網(wǎng)絡(luò)安全問題的分析與探討[J].赤峰學(xué)院學(xué)報(bào):自然科學(xué)版，2009(1).

[4] 華建軍.計(jì)算機(jī)網(wǎng)絡(luò)安全問題探究[J].科技信息，2007(9).