入侵检测论文范文

引言：寻求写作上的突破？我们特意为您精选了4篇入侵检测论文范文，希望这些范文能够成为您写作时的参考，帮助您的文章更加丰富和深入。

篇1

光纤传感包含对外界信号（被测量）的感知和传输两种功能。所谓感知（或敏感），是指外界信号按照其变化规律使光纤中传输的光波的物理特征参量（如强度、波长、频率、相位和偏振态等）发生变化后，测量光参量的变化。这种“感知”实质上是外界信号对光纤中传播的光波实施调制。根据被外界信号调制的光波的物理特征参量的变化情况，可以将光波的调制分为光强度调制、光频率调制、光波长调制以及光相位和偏振调制等五种类型。外界扰动（如振动、弯曲、挤压等情况）对光纤中光通量的影响属于功能型光强调制。对微弯曲的检测一般采用周期微弯检测方法，需要借用传感板人为地使光纤周期性弯曲，从而使光强得到调制，一般用来检测微小位移，可以作成工业压力传感器，其精度较高，设计也比较复杂。而光纤扰动入侵检测的目的是检测入侵，不需要很高的精度，因为高精度反而容易产生误报警，因此不能采用上述方法。本文提出一种利用不同入侵对象（如人、风等）的扰动调制频率的范围不同，采用一般多模光纤，在后续电路采用带通滤波器进行带通放大，滤出入侵扰动信号的调制频率，有效实现入侵检测的方法。根据对入侵对象及入侵频率的分析，对0．1～30Hz的带通滤波器电路进行了设计与仿真，有效滤除了电源纹波、温度漂移的影响，并设计了扰动检测系统。在实际应用中，将该入侵检测系统安装在某区域或特殊物体上，如篱笆或需检测对象上，能够有效地检测入侵、篡改、替换等非授权活动。

1扰动原理

1．1光纤特性

光纤是由折射率不同的石英材料组成的细圆柱体。圆柱体的内层称为纤芯，外层称为包层，光线（或光信号）在纤芯内进行传输。设纤芯的折射率为n1，包层的折射率为n2，要使光线只在纤芯内传输而不致通过包层逸出，必须在纤芯与包层的界面处形成全反射的条件，即满足n1＞n2。

光纤除了折射率参数外还有其它参数，如相对折射率、数值孔径N·A、衰减、模式（单模、多模）等。对于本系统，衰减参数比较重要，在光纤中峰值强度（光功率）为I0的光脉冲从左端注入光纤纤芯，光沿着光纤传播时，其强度按指数规律递减，即：

I（z）＝I0e－αZ(1)

其中,I0——进入光纤纤芯(Z＝0处)的初始光强；

Z——沿光纤的纵向距离；

α——光强衰减系数。

光功率在光纤的衰减情况如图1所示。光纤衰减率的定义为：光在光纤中每传播1km，光强所损耗的分贝数。即：

衰减率＝－10lg(I/I0)db／km)(2)

光纤的衰减率只与衰减系数有关，引起光衰减的原因很多，如材料的吸收、弯曲损耗和散射损耗等，光纤扰动入侵检测主要是利用不同外界扰动对光纤的微扰损耗而产生的不同强度调制频率来探测扰动入侵的。

1．2微扰损耗

光纤中的微扰损耗是指由光纤的几何不均匀性引起的损耗，其中包括由内部因素和外部干扰引起的不均匀性，如宏观结构上折射率和直径的不均匀性、微弯曲等。根据光纤传输理论，这种不均匀性引起的损耗或以散射形式出现，或以模式耦合的形式出现。模式耦合是指光纤的传导模之间、传导模与辐射模之间的能量交换或能量传递。这就意味着通过光纤的光会受到衰减。一般情况下，制造和使用光纤时要减小和避免这些损耗，但是光纤扰动入侵检测主要是利用这些耗损对光的衰减来探测入侵的存在，因此研究这些耗损，特别是微弯损耗是比较重要的。微弯损耗是由模式间的机械感应耦合引起的。光纤中的传导模变换成包层模，并从纤芯中消失。当沿光纤的机械微扰的空间周期与光纤内相邻的模式的波数差一致时，这种损耗就增加。近似的实验关系如下：

光纤微弯曲损耗∝(纤芯半径／光纤半径)2·(2／N·A)4(3)

其中，N·A为光纤的数值孔径，当光从空气入射到光纤端面时，只有入射方向处于某一光锥内的光线在进入光纤之后才能留在纤芯内，而从光锥外入射的光线即使进入光纤，也会从包层逸出。这个光锥半角的正弦称为光纤的数值孔径。

1．3LED光源特性

图4带通滤波器仿真电路图

LED光源的光学特性主要有波长、线宽、输出功率、光纤耦合等。LED的中心发射波长λ取决于半导体材料的能隙Eg，其公式为：

λ＝hc/Eg≈1.24／Eg(μm)(4)

其中?熏h为普朗克常数，c为光速。LED的线宽一般为其中心波长的5％量极，因为增益的选择性会使线宽变窄。制造LED的常用材料如表1所示。

表1制造LED的常用材料列表

材料发射波长/nm光谱

GaP700红

GaAlAs650～850红至近红外

GaAs900近红外

InGaAs1200～1700近红外

850nm波长的LED输出功率通常在1～10mW范围内，波长小于850nm的器件，其可用功率显著减小。所有LED的输出功率及波长都随温度变化，在850nm时，输出功率和波长的典型温度系数分别为0．5％C－1和0．3nmC－1，因此热稳定度对于光纤扰动入侵检测是需要考虑的因素。

2硬件技术方案

光纤扰动入侵检测系统原理框图如图2所示。系统主要包括：载频信号源电路、LED光源、PIN光电探测器、光纤、扰动入侵检测、报警传输接口电路等。

2．1传感电路的设计

载频信号源电路的目的是为增加LED的发射功率，同时在接收端对缓变LED光电流实现检测。光电发射与接收电路由LED光源、光纤、PIN光电探测器等三个部分组成，组成传感单元，如图3所示。LED采用美国安捷伦(Agilent)公司的HFBR0400系列低功耗、高效LED，其型号为HFBR－1424，发射光波波长为850nm，125MHz带宽，截止频率为35MHz，输出光功率为50～100μW。光纤传输长度为4km，工作温度范围为－40℃～85℃，适合与50／125μm、62．5／125μm、100／140μm等光纤耦合。目前光纤通信中普遍使用PIN二极管进行光检测，将光信号转变为电流信号，但因电流信号很弱，仅有pA级，故很难将其有效地转换为伏级电压以供后继电路进行信号处理使用；以前通常采用价格昂贵的高性能运算放大器构成放大电路，但实验结果不很理想，且容易受到外界电磁干扰的影响；为克服这些缺点，采用美国安捷伦公司生产的HFBR2416，它是将PIN光检测器和前置放大器集成在一起的新型光接插器件。HFBR2416主要特点如下：(1)将PIN光检测器与前置放大器集成在一起，可直接输出较大的电压信号；(2)只需少量外部元件便可构成高性能的光接收电路，典型带宽高达125MHz；(3)可用于模拟和数字光通信系统，抗干扰性能好；(4)与HFBR0400系列其它产品兼容，符合国际工业标准，适用性好；(5)具有多种封装形式，体积小、重量轻；(6)价格便宜。其具体技术参数如表2所示。

表2HFBR2416技术参数表

参数符合最小值最大值一般值单位注释

电源电压Voc-0.56.0V

输出电压Vsig-0.5VccV

输出阻抗Zo30Ωf=50MHz

响应度RP5.39.67mV/μs波长850，50MH

上升/下降时间Tr/tf6.33.3nsRp=100μW,peak

脉宽失真PWD2.50.4nsRp=100μW,peak

带通BW125MHz

篇2

1引言

计算机网络在我们的日常生活中扮演着越来越重要的角色，与此同时，出于各种目的，它正日益成为犯罪分子攻击的目标，黑客们试图使用他们所能找到的方法侵入他人的系统。为此，我们必须采取有效地对策以阻止这类犯罪发生。开发具有严格审计机制的安全操作系统是一种可行方案，然而综合考虑其实现代价，在许多问题上作出少许让步以换取减少系统实现的难度却又是必要的。因此，在操作系统之上，再加一层专门用于安全防范的应用系统成为人们追求的目标。入侵检测技术即是这样一种技术，它和其它安全技术一道构成计算机系统安全防线的重要组成部分。自从DorothyE.Denning1987年提出入侵检测的理论模型后[1]，关于入侵检测的研究方法就层出不穷[5-7]，基于不同检测对象及不同检测原理的入侵检测系统被研制并投放市场，取得了显著成效，然而，遗憾的是这些产品自成一体，相互间缺少信息交流与协作，而作为防范入侵的技术产品，这势必削弱了它们的防范能力，因而如何使不同的入侵检测系统构件能够有效地交流合作，共享它们的检测结果是当前亟待解决的一个问题。入侵检测系统框架的标准化，数据格式的标准化[2]为解决这一问题作了一个有益的尝试。本文主要针对入侵检测数据格式的标准化——通用入侵检测对象进行分析应用，并通过一个实际例子介绍了我们的具体实践过程。

入侵检测是指“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图”[2-4]。从技术上划分，入侵检测有两种模型[2，4]：①异常检测模型(AnomalyDetection)；②误用检测模型(MisuseDetection)。按照检测对象划分有：基于主机、基于网络及混合型三种。

入侵检测过程主要有三个部分[4]：即信息收集、信息分析和结果处理。

2通用入侵检测对象(GIDO)

为解决入侵检测系统之间的互操作性，国际上的一些研究组织开展了标准化工作，目前对IDS进行标准化工作的有两个组织：IETF的IntrusionDetectionWorkingGroup(IDWG)和CommonIntrusionDetectionFramework(CIDF)。CIDF早期由美国国防部高级研究计划局赞助研究，现在由CIDF工作组负责，是一个开放组织。CIDF规定了一个入侵检测系统应包括的基本组件。CISL(CommonIntrusionSpecificationLanguage，通用入侵规范语言)是CIDF组件间彼此通信的语言。由于CIDF就是对协议和接口标准化的尝试，因此CISL就是对入侵检测研究的语言进行标准化的尝试[8]。

CISL语言为了实现自定义功能，以S-表达式表示GIDO(GeneralizedIntrusionDetectionObjectis)，S-表达式以各类语义标识符(SemanticIdentifeers)为标记，分别有动作SID、角色SID、属性SID、原子SID、连接SID、指示SID和SID扩展名等类型。其范式如下：

<SExpression>：：=’(<SID><Data>’)’

<Data>：：=<SimpleAtom>

<Data>：：=<ArrayAtom>

<Data>：：=<SExpressionList>

<SExpressionList>：：=<SExpression>

<SExpressionList>：：=<SExpression><SExpressionList>

入侵检测组件交流信息时，以GIDO为标准数据格式传输内容，GIDO所包含的内容常来自于各类审计日志，网络数据包，应用程序的跟踪信息等。

CISL对S-表达式编码规则遵循递归原则，具体如下：

<SExpression>：：=’(<SID><Data>’)’

E[Sexpression]=length_encode(sid_encode(SID)E[Data])

sid_encode(SID)E[Data]

<Data>：：=<SimpleAtom>

E[Data]=Simple_encode(SimpleAtom)

<Data>：：=<ArrayAtom>

E[Data]=Array_encode(ArrayAtom)

<Data>：：=<SExpressionList>

E[Data]=E[SExpressionList]

<SExpressionList>：：=<SExpression>

E[SExpressionList]：：=E[SExpression]

<SExpressionList>：：=<SExpression><SExpressionList>

E[SExpressionList]：：=E[SExpression]e[SExpressionList]

对于每一个GIDO的基本成份SID，CISL都有规定的编码，通过这些编码本身的信息可知这些SID是原子SID还是非原子SID。原子SID在编码中不能继续分解，而是直接带有具体的值。值有简单类型和数组类型[8]。

GIDO以各类SID为标志，组成树形结构，根结点为该GIDO的标志SID，各子树的根结点为相应的对该GIDO所描述的事件起关键作用的SID。编码时，每棵子树的根结点前附加该子树所有孩子结点编码的总长度，以递归方式完成GIDO编码，一个详细的实例可参考文献[8]。3通用入侵检测对象的应用

我们以Linux环境为例，在检测口令猜测攻击中，系统的日志文件会产生以LOGIN_FAILED为标志的日志记录[9-10]。在IDS的事件产生器中，读取日志文件中含有LOGIN_FAILED的记录生成GIDO。

例：Jul3108：57：45zd213login[1344]LOGIN_FAILED1from192.168.0.211FORJohnAuthenticationfailure。相应的GIDO为：

{Login

{Outcome

{ReturnCodeACTION_FAILED}

)

(When

(BeginTimeJul3108：57：43)

)

(Initiator

(IPV4Address192.168.0.211)

(UsernameJohn)

)

(Receiver

(Hostnamezd213)

))

其编码过程除了遵循前面所描述的规则外，还使用了文献[2]所建议的各类API。它们分别用于生成存放GIDO的空树、向空树附加根结点、附加数据、附加子树及对整个树编码。

当一个GIDO由事件产生器完成编码后，便发送至事件分析器按一定的规则分析所接收的GIDOs以便确定是否有入侵发生，若有则将有关信息发至控制台。对口令猜测攻击的GIDO，一个可行的处理流程如图1所示。

假定系统检测到30秒内发生了三次或以上登录失败，认为系统受到入侵，便发出相应报警信息。则本例输出结果(从不同终端登录)如图2所示。

图1对口令猜测攻击事件产生的GIDO的处理流程

图2一个口令猜测攻击的模拟检测结果

4结束语

本文在深入分析入侵检测基本原理及入侵检测说明语言CISL基础上，对入侵检测对象GIDO的编码进行了详细说明。在系统设计的实践过程中，分别使用了入侵检测标准化组织提出的草案中包含的有关接口。但在本文中也只是针对一类特定入侵的事件说明如何生成并编码GIDOs。事实上，入侵检测系统各构件之间的通信本身也需要安全保障，这一点参考文献[8]，可利用GIDO的附加部分来实现，其中所用技术(诸如签名，加密等)可借鉴目前一些较成熟的安全通信技术。

参考文献

[1]DorothyE.DenningAnIntrusion-DetectionModel[J].IEEETransactionsonsoftwareEngineering，1987，13(2)：222-232

[2]蒋建春，马恒太等网络入侵检测综述[J].软件学报2000.11(11)：1460-1466

[3]GB/T18336，信息技术安全技术安全性评估标准[S]。

[4]蒋建春，冯登国。网络入侵检测原理与技术[M]，国防工业出版社，北京，2001

[5]KumarS，SpaffordEH，AnApplicationofPatterMatchinginIntrusionDetection[R]，TechnicalReportCSD-7r-94-013，DepartmentofComputerScience，PurdueUniversity，1994。

[6]JstinDoak.IntrusionDetection：TheApplicationofaFeatureSelection-AComparisonofAlgorithmsandtheApplicationofWideAreaNetworkAnalyzer[R].DepartmentofComputerScience，Universityofcolifornia，Davis1992.

[7]DusanBulatovic，DusanVelasevi.AdistributedIntrusionDetectionSystem[J]，JournalofcomputerSecurity.1999，1740：219-118

篇3

1引言

入侵检测技术是继“防火墙”、“数据加密”等传统安全保护措施后新一代的安全保障技术,它对计算机和

网络资源上的恶意使用行为进行识别和响应,不仅检测来自外部的入侵行为,同时也监督内部用户的未授权活动。但是随着网络入侵技术的发展和变化以及网络运用的不断深入,现有入侵检测系统暴露出了诸多的问题。特别是由于网络流量增加、新安全漏洞未更新规则库和特殊隧道及后门等原因造成的漏报问题和IDS攻击以及网络数据特征匹配的不合理特性等原因造成的误报问题,导致IDS对攻击行为反应迟缓,增加安全管理人员的工作负担,严重影响了IDS发挥实际的作用。

本文针对现有入侵监测系统误报率和漏报率较高的问题,对几种降低IDS误报率和漏报率的方法进行研究。通过将这几种方法相互结合,能有效提高入侵检测系统的运行效率并能大大简化安全管理员的工作,从而保证网络

安全的运行。

2入侵检测系统

入侵是对信息系统的非授权访问及(或)未经许可在信息系统中进行操作,威胁计算机或网络的安全机制(包括机密性、完整性、可用性)的行为。入侵可能是来自外界对攻击者对系统的非法访问,也可能是系统的授权用户对未授权的内容进行非法访问,入侵检测就是对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程。入侵检测系统IDS(IntrusionDetectionSystem)是从多种计算机系统机及网络中收集信息,再通过这些信息分析入侵特征的网络安全系统。

现在的IDS产品使用的检测方法主要是误用检测和异常检测。误用检测是对不正常的行为进行建模,这些行为就是以前记录下来的确认了的误用或攻击。目前误用检测的方法主要是模式匹配,即将每一个已知的攻击事件定义为一个独立的特征,这样对入侵行为的检测就成为对特征的匹配搜索,如果和已知的入侵特征匹配,就认为是攻击。异常检测是对正常的行为建模,所有不符合这个模型的事件就被怀疑为攻击。现在异常检测的主要方法是统计模型,它通过设置极限阈值等方法,将检测数据与已有的正常行为比较,如果超出极限阈值,就认为是入侵行为。

入侵检测性能的关键参数包括:(1)误报:实际无害的事件却被IDS检测为攻击事件。(2)漏报:攻击事件未被IDS检测到或被分析人员认为是无害的。

3降低IDS误报率方法研究

3.1智能关联

智能关联是将企业相关系统的信息(如主机特征信息)与网络IDS检测结构相融合,从而减少误报。如系统的脆弱性信息需要包括特定的操作系统(OS)以及主机上运行的服务。当IDS使用智能关联时,它可以参考目标主机上存在的、与脆弱性相关的所有告警信息。如果目标主机不存在某个攻击可以利用的漏洞,IDS将抑制告警的产生。

智能关联包括主动和被动关联。主动关联是通过扫描确定主机漏洞;被动关联是借助操作系统的指纹识别技术,即通过分析IP、TCP报头信息识别主机上的操作系统。

3.1.1被动指纹识别技术的工作原理

被动指纹识别技术的实质是匹配分析法。匹配双方一个是来自源主机数据流中的TCP、IP报头信息,另一个是特征数据库中的目标主机信息,通过将两者做匹配来识别源主机发送的数据流中是否含有恶意信息。通常比较的报头信息包括窗口(WINDOWSIZE)、数据报存活期(TTL)、DF(dontfragment)标志以及数据报长(Totallength)。

窗口大小(wsize)指输入数据缓冲区大小,它在TCP会话的初始阶段由OS设定。数据报存活期指数据报在被丢弃前经过的跳数(hop);不同的TTL值可以代表不同的操作系统(OS),TTL=64,OS=UNIX;TTL=12,OS=Windows。DF字段通常设为默认值,而OpenBSD不对它进行设置。数据报长是IP报头和负载(Payload)长度之和。在SYN和SYNACK数据报中,不同的数据报长代表不同的操作系统,60代表Linux、44代表Solaris、48代表Windows2000。

IDS将上述参数合理组合作为主机特征库中的特征(称为指纹)来识别不同的操作系统。如TTL=64,初步判断OS=Linux/OpenBSD;如果再给定wsize的值就可以区分是Linux还是OpenBSD。因此,(TTL,wsize)就可以作为特征库中的一个特征信息。3.1.2被动指纹识别技术工作流程

具有指纹识别技术的IDS系统通过收集目标主机信息,判断主机是否易受到针对某种漏洞的攻击,从而降低误报率。

因此当IDS检测到攻击数据包时,首先查看主机信息表,判断目标主机是否存在该攻击可利用的漏洞;如果不存在该漏洞,IDS将抑制告警的产生,但要记录关于该漏洞的告警信息作为追究法律责任的依据。这种做法能够使安全管理员专心处理由于系统漏洞产生的告警。

3.2告警泛滥抑制

IDS产品使用告警泛滥抑制技术可以降低误报率。在利用漏洞的攻击势头逐渐变强之时,IDS短时间内会产生大量的告警信息;而IDS传感器却要对同一攻击重复记录,尤其是蠕虫在网络中自我繁殖的过程中,这种现象最为重要。

所谓“告警泛滥”是指短时间内产生的关于同一攻击的告警。IDS可根据用户需求减少或抑制短时间内同一传感器针对某个流量产生的重复告警。这样。网管人员可以专注于公司网络的安全状况,不至于为泛滥的告警信息大伤脑筋。告警泛滥抑制技术是将一些规则或参数(包括警告类型、源IP、目的IP以及时间窗大小)融入到IDS传感器中,使传感器能够识别告警饱和现象并实施抵制操作。有了这种技术,传感器可以在告警前对警报进行预处理,抑制重复告警。例如,可以对传感器进行适当配置,使它忽略在30秒内产生的针对同一主机的告警信息;IDS在抑制告警的同时可以记录这些重复警告用于事后的统计分析。

3.3告警融合

该技术是将不同传感器产生的、具有相关性的低级别告警融合成更高级别的警告信息,这有助于解决误报和漏报问题。当与低级别警告有关的条件或规则满足时,安全管理员在IDS上定义的元告警相关性规则就会促使高级别警告产生。如扫描主机事件,如果单独考虑每次扫描,可能认为每次扫描都是独立的事件,而且对系统的影响可以忽略不计;但是,如果把在短时间内产生的一系列事件整合考虑,会有不同的结论。IDS在10min内检测到来自于同一IP的扫描事件,而且扫描强度在不断升级,安全管理人员可以认为是攻击前的渗透操作,应该作为高级别告警对待。例子告诉我们告警融合技术可以发出早期攻击警告,如果没有这种技术,需要安全管理员来判断一系列低级别告警是否是随后更高级别攻击的先兆;而通过设置元警告相关性规则,安全管理员可以把精力都集中在高级别警告的处理上。元警告相关性规则中定义参数包括时间窗、事件数量、事件类型IP地址、端口号、事件顺序。

4降低IDS漏报率方法研究

4.1特征模式匹配方法分析

模式匹配是入侵检测系统中常用的分析方法,许多入侵检测系统如大家熟知的snort等都采用了模式匹配方法。

单一的模式匹配方法使得IDS检测慢、不准确、消耗系统资源,并存在以下严重问题:

(1)计算的负载过大,持续该运算法则所需的计算量极其巨大。

(2)模式匹配特征搜索技术使用固定的特征模式来探测攻击,只能探测明确的、唯一的攻击特征,即便是基于最轻微变换的攻击串都会被忽略。

(3)一个基于模式匹配的IDS系统不能智能地判断看似不同字符串/命令串的真实含义和最终效果。在模式匹配系统中,每一个这样的变化都要求攻击特征数据库增加一个特征记录。这种技术攻击运算规则的内在缺陷使得所谓的庞大特征库实际上是徒劳的,最后的结果往往是付出更高的计算负载,而导致更多的丢包率,也就产生遗漏更多攻击的可能,特别是在高速网络下,导致大量丢包,漏报率明显增大。

可见传统的模式匹配方法已不能适应新的要求。在网络通信中,网络协议定义了标准的、层次化、格式化的网络数据包。在攻击检测中,利用这种层次性对网络协议逐层分析,可以提高检测效率。因此,在数据分析时将协议分析方法和模式匹配方法结合使用,可以大幅度减少匹配算法的计算量,提高分析效率,得到更准确的检测结果。超级秘书网

4.2协议分析方法分析

在以网络为主的入侵检测系统中,由于把通过网络获得的数据包作为侦测的资料来源,所以数据包在网络传输中必须遵循固定的协议才能在电脑之间相互沟通,因此能够按照协议类别对规则集进行分类。协议分析的原理就是根据现有的协议模式,到固定的位置取值(而不式逐一的去比较),然后根据取得的值判断其协议连同实施下一步分析动作。其作用是非类似于邮局的邮件自动分捡设备,有效的提高了分析效率,同时还能够避免单纯模式匹配带来的误报。

根据以上特点,能够将协议分析算法用一棵协议分类树来表示,如图2所示。这样,当IDS进行模式匹配时,利用协议分析过滤许多规则,能够节省大量的时间。在任何规则中关于TCP的规则最多,大约占了50%以上,因此在初步分类后,能够按照端口进行第二次分类。在两次分类完成后,能够快速比较特征库中的规则,减少大量不必要的时间消耗。如有必要,还可进行多次分类,尽量在规则树上分叉,尽可能的缩减模式匹配的范围。

每个分析机的数据结构中包含以下信息:协议名称、协议代号以及该协议对应的攻击检测函数。协议名称是该协议的唯一标志,协议代号是为了提高分析速度用的编号。为了提高检测的精确度,可以在树中加入自定义的协议结点,以此来细化分析数据,例如在HTTP协议中可以把请求URL列入该树中作为一个结点,再将URL中不同的方法作为子节点。

分析机的功能是分析某一特定协议的数据,得出是否具有攻击的可能性存在。一般情况下,分析机尽可能的放到树结构的叶子结点上或尽可能的靠近叶子结点,因为越靠近树根部分的分析机,调用的次数越多。过多的分析机聚集在根部附近会严重影响系统的性能。同时叶子结点上的协议类型划分越细,分析机的效率越高。

因此,协议分析技术有检测快、准确、资源消耗少的特点,它利用网络协议的高度规则性快速探测攻击的存在。

5结束语

本文对几种降低IDS误报率和漏报率的方法进行分析研究,通过将这几种方法相互结合,能有效提高入侵检测系统的运行效率并能大大简化安全管理员的工作,从而保证网络安全的运行。由于方法论的问题,目前IDS的误报和漏报是不可能彻底解决的。因此,IDS需要走强化安全管理功能的道路,需要强化对多种安全信息的收集功能,需要提高IDS的智能化分析和报告能力,并需要与多种安全产品形成配合。只有这样,IDS才能成为网络安全的重要基础设施。

参考文献:

[1]张杰,戴英侠.入侵检测系统技术现状及其发展趋势[J].计算机与通信,2002(6):28-32.

[2]唐洪英,付国瑜.入侵检测的原理与方法[J].重庆工学院学报,2002(4):71-73.

[3]戴连英,连一峰,王航.系统安全与入侵检测技术[M].北京:清华大学出版社,2002(3).

篇4

一、入侵检测系统概述

入侵检测系统(IntrusionDetectionSystem,简称IDS)可以认为是进行入侵检测过程时所需要配置的各种软件和硬件的组合。对一个成功的入侵检测系统来讲,它不但可使系统管理员时刻了解计算机网络系统(包括程序、文件和硬件设备等)的任何变更,还能给网络安全策略的制订提供指南。更为重要的一点是,对它的管理和配置应该更简单,从而使非专业人员能非常容易地进行操作。而且,入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后,会及时做出响应,包括切断网络连接、记录事件和报警等。

二、入侵检测系统的功能

1.检测入侵。检测入侵行为是入侵检测系统的核心功能,主要包括两个方面:一方面是对进出主机或者网络的数据进行监控,检查是否存在对系统的异常行为;另一方面是检查系统关键数据和文件的完整性,看系统是否己经遭到入侵行为。前者的作用是在入侵行为发生时及时发现,使系统免受攻击;后者一般是在系统遭到入侵时没能及时发现和阻止,攻击的行为已经发生,但可以通过攻击行为留下的痕迹了解攻击行为的一些情况,从而避免再次遭受攻击。对系统资源完整性的检查也有利于我们对攻击者进行追踪,对攻击行为进行取证。

2.抗欺骗。入侵检测系统要识别入侵者,入侵者就会想方设法逃避检测。逃避检测的方法很多,总结起来可分为误报和漏报两大类。一种使入侵检测系统误报的实现形式,是快速告普信息的产生让系统无法反应以致死机,这其实是通用的网络攻击方式一拒绝服务攻击在入侵检测系统上的体现。与误报相比,漏报更具危险性,即躲过系统的检测,使系统对某些攻击方式失效。入侵检测系统无法统一漏报和误报的矛盾,目前的入侵检测产品一般会在两者间进行折衷,并且进行调整以适应不同的应用环境。

3.记录、报警和响应。入侵检测系统在检测到攻击后,应该采取相应的措施来阻止攻击或者响应攻击。作为一种主动防御策略,它必然应该具备此功能。入侵检测系统首先应该记录攻击的基本情况,其次应该能够及时发出报警。好的入侵检测系统,不仅应该把相关数据记录在文件或数据库中,还应该提供好的报表打印功能。必要时,系统还应该采取必要的响应行为,如拒绝接受所有来自某台计算机的数据、追踪入侵行为等。

三、神经系统网络在入侵检测系统中的应用

目前计算机入侵的现状是入侵的数量日益增长、入侵个体的入侵手段和目标系统多种多样,因此要确切的描述入侵特征非常困难,入侵规则库和模式库的更新要求难以得到满足,这就要求入侵检测应该具有相当大的智能性和灵活性,这是多项人工智能技术被相继应用到入侵检测中的原因。

1.传统入侵检测中存在的问题。我们先来分析一下传统IDS存在的问题。传统IDS产品大多都是基于规则的,而这一传统的检测技术有一些难以逾越的障碍:

(1)在基于规则的入侵检测系统中,所有的规则可理解为“IF一THEN”形式,也就是说,这一规则表述的是一种严格的线性关系,缺乏灵活性和适应性,当网络数据出现信息不完整、变形失真或攻击方法变化时,这种检测方法将失效,因此引起较高的误警率和漏报率。

(2)随着攻击类型的多样化,必然导致规则库中的规则不断增多,当这些规则增加到一定程度,会引起系统检测效率的显著降低,在流量较高时,可造成丢包等现象。此外,攻击方法的不断发展,使得传统的入侵检测系统无法有效地预测和识别新的攻击方法,使系统的适应性受到限制。

(3)传统的用来描述用户行为特征的度量一般是凭感觉和经验的,这些度量是否能有效地描述用户行为很难估计。有些度量当考虑所有用户可能是无效的,但当考虑某些特别的用户时,可能又非常有用。

2.神经网络在入侵检测中的应用

作为人工智能(AD)的一个重要分支,神经网络在入侵检测领域得到了很好的应用。神经网络技术在入侵检测系统中用来构造分类器,主要用于资料特征的分析,以发现是否为一种入侵行为。如果是一种入侵行为,系统将与已知入侵行为的特征进行比较,判断是否为一种新的攻击行为,从而决定是进行丢弃还是进行存盘、报警、发送资料特征等工作。神经网络在入侵检测中的具体实现方法一般有两种:

(1)系统或模式匹配系统合并在一起

这种方法不是像以前一样在异常检测中用神经网络代替现有的统计分析部分,而是用神经网络来过滤出数据当中的可疑事件,并把这些事件转交给专家系统处理。这种结构可以通过减少专家系统的误报来提高检测系统的效用。因为神经网络将确定某一特别事件具有攻击迹象的概率,我们就可以确定一个闽值来决定事件是否转交给专家系统作进一步分析,这样一来,由于专家系统只接收可疑事件的数据,它的灵敏度就会大大增加(通常,专家系统以牺牲灵敏度来减少误报率)。这种结构对那些投资专家系统技术的机构大有好处,因为它提高了系统的效用,同时还保护了在现有IDS上的投资。

(2)网络作为一个独立的特征检测系统

在这个结构中,神经网络从网络流中接受数据,并对数据进行分析。任何被识别为带有攻击迹象的事件都将被转交给安全管理员或自动入侵应答系统来处理。这种方法在速度方面超过了以前的方法,因为它只有一个单独的分析层。另外,随着神经网络对攻击特征的学习,这种结构的效用也会不断提高,它不同于第一种方法,不会受专家系统分析能力的限制,而最终将超越专家系统基于规则的种种限制。