基于网络的入侵检测

开篇：润墨网以专业的文秘视角，为您筛选了八篇基于网络的入侵检测范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

基于网络的入侵检测范文第1篇

【关键词】支持向量机；网络入侵；检测

中图分类号：TN711文献标识码： A 文章编号：

一、前言

支持向量机的网络入侵检测非常重要，网络入侵的行为对于个人、团体以及国家都是极其不利的行为，因此，我们需要制定严格和有效的方法来开展基于支持向量机的网络入侵检测，以保证网络的安全，为我们更好的利用网络奠定基础。

二、网络入侵检测系统的概念和功能

入侵，简单的说就是未经授权的访问，就是系统的一个使用者对系统的访问和操作超出了他的使用权限。入侵检测，顾名思义就是对入侵行为的发觉。根据ICSA ( International Computer Security Association国际计算机安全协会)的定义，入侵检测技术就是通过从计算机网络或计算机系统中的若干关键点收集信息，并对这些信息进行分析，从而发现网络或系统中是否有违反安全策略的行为和遭受攻击的迹象的一种安全技术。它针对计算机和网络资源上的恶意使用行为进行识别，并进行相应的处理，是防火墙的合理补充，可以帮助系统对付各种攻击，被认为是防火墙之后的第二道安全闸门。

入侵检测系统(Intrusion Detection System，简称IDS)是执行入侵检测的软件与硬件结合而成的计算机系统，是安全体系的一种防范措施，它试图检测、识别、和隔离入侵企图或计算机的未授权使用。入侵检测系统通过收集网络或系统中的有关信息和数据，进行分析，发现隐藏在其中的攻击者的足迹，并获取攻击证据和做出响应阻止攻击者的行为，最后进行数据恢复。与其它安全产品不同，入侵检测系统具有更多的智能，它可以将得到的数据进行分析，得出有用的结论，并采取适当的对抗措施。

具体来讲，入侵检测系统主要有以下功能:

1监视并分析用户和系统的活动，查找非法用户和合法用户的越权操作；

2检测系统配置的正确性和安全漏洞，并提示管理员修补漏洞；

3评估系统关键资源的和数据文件的完整性，检查系统程序和数据的一致性与正确性；

4识别已知的攻击行为；

5统计分析异常行为；

6对操作系统进行日志管理，并识别违反安全策略的用户活动；

7能够实时对检测到的入侵行为做出反应，如告警、中止进程、阻断连接等。

三、入侵检测的必要性

在我国，工nternet网络应用正处于高速发展阶段，电子政务、电子商务等新型应用不断出现。 然而，伴随互联网规模的日益发展，网络安全问题也显得越来越严重。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然或者恶意的原因而遭到破坏、更改和泄露，系统能连续可靠正常地运行，网络服务不中断。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论及信息论等多学科的综合性学科。广义上讲，凡是涉及到网络上信息的机密性(Confidentiality)、完整性((Integrity)，可用性(Availability)、真实性(Authenticity)和可控性(Controllability)的相关技术和理论都是网络安全所研究的领域。

四、基于支持向量机的入侵检测系统

基于支持向量机的入侵检测系统主要山审计数据预处理器、支持向量机分类器和决策系统3部分组成，审计数据预处理器用来对大量的系统审计纪录进行处理或变换。山于支持向量机的分类器只能对维数相同的数字向量进行分类，但系统审计数据中的数据小但长度小尽相同，而且很有可能小是数字类型，所以必须将原始数据转换成支持向量机能够识别的数字向量。支持向量机分类器对这些数字向量进行分类，产生判决结果。

可用于入侵检测的数据类型很多，这里我们选用系统调用序列进行仿真。Forrest等人在研究中发现:系统关键程序的执行，可以通过程序执行过程中所使用的系统调用序列(也称为执行迹((trace))来描述一个正常行为可以山其执行迹局部模式，即系统调用短序列来描述，其程序执行代码具有相对的稳定性。在异常行为中，可能出现和正常情况有一定的差别的系统调用短序列。也就是说，在正常的系统调用中出现的都是正常的短序列，而异常的执行迹中除了正常的短序列以外，还会出现异常的短序列。判断该执行迹是正常的还是异常的就转化为识别执行迹中短序列是正常的还是异常的。这里，我们使用支持向量机来实现对短序列的分类。

在下面的计算机仿真中，我们选用MIT(Massachusetts Institute of Technology)人工智能实验室(AI Lab。)公开提供的lpr数据进行仿真，以此为例来详细讨论基于支持向量机的入侵检测系统的工作过程。

1数据预处理和短序列长度的选择

该数据集中的每个执行迹数据文件山两列数据构成，第1列为进程标识符，第2列为进程的系统调用命令在系统调用名称列表(mapping file)中的索引值，如‘5'代表‘opera。进程标识符相同的系统调用构成一个进程的执行迹。因为该数据已是数字序列，预处理的主要目的是得到该执行迹的系统调用短序列。具体做法是用长度为k的窗u在程序执行迹上滑动来得到这个执行迹的短序列。那么，长度k选取何值是最介适的?系统调用短序列反映了进程执行过程中系统调用之间的次序关系。如果选取的短序列长度为1，就丢掉了系统调用的次序信息，而长度太大，就丢掉了系统执行的局部信息状况，无法正确反映正常和异常情况下的局部序列调用状况。

2获得训练样本

支持向量机的参数是通过训练得到的，所以需要获得两类训练样本，即正常短序列样本和异常短序列样本。 我们用长度为k的滑动窗日对已知正常的系统调用执行迹进行扫描，可以得到正常的系统调用短序列样本。山于入侵的非法活动只占程序执行的一小部分，所以异常短序列只占异常执行迹的很小一部分。当我们用长度为k的滑动窗日对于异常的执行迹进行扫描时，会得到一组既有正常短序列又有异常短序列的系统调用短序列列表。将这组短序列列表与已获得的正常短序列样本进行比较，小同于正常短序列的那些系统调用短序列就构成了异常短序样本。

3决策准则

我们需要设定某些判断规则来提高整个检测系统的性能。这些规则主要有两种一种是根据异常系统调用短序列的数目进行判断。首先我们选定一个闭值，然后对于给定系统进程执行迹的短序列进行分类，如果异常系统调用短序列的数目超过闭值，则判定为异常；反之，则判定为正常。另一种规则是根据异常系统调用短序列在整个系统调用短序列中所占的百分比进行判断。该方法与第1种方法相似，也需要选定闭值，先对给定进程执行迹的短序列进行分类，然后统计异常系统调用短序列所占的百分比。如果百分比大于闭值，则判定为异常；反之则判定为正常。山于以上两种方法简单、有效，所以在系统中常常得到应用。

五、异常入侵检测方法

异常入侵检测的主要前提条件是将入侵性活动作为异常活动的子集。理想状况是异常活动集与入侵性活动集等同。这样，若能检测所有的异常活动，则可检测所有的入侵性活动。但是，入侵性活动并不总是与异常活动相符合。这种活动存在四种可能性:(1)入侵性而非异常；(2)非入侵性且异常；(3)非入侵性且非异常；(4)入侵且异常。异常入侵要解决的问题就是构造异常活动集并从中发现入侵性活动子集。异常入侵检测方法依赖于异常模型的建立，不同模型构成不同的检测方法。

六、结束语

网络入侵检测的方式需要从具体的网络特性出发，选用合适的检测方式来对其进行检测，在检测的过程中要严格控制检测的质量，明确检测的目的所在，尽量的提高检测的效率和水平，提高网络入侵检测的效果。

参考文献

[1] 钱权,耿焕同,王煦法.基于SVM的入侵检测系统[J].计算机工程.2006(09)

基于网络的入侵检测范文第2篇

【关键词】 网络运行 安全 入侵检测技术

随着计算机网络运行安全问题的日益凸显，入侵检测技术作为一个新型的主动防御网络攻击安全技术成为保护网络运行安全的重要措施之一。入侵检测技术虽然利用传统手段访问者进行检查，但是可以进一步扩展系统管理员的安全管理能力，提高网络系统安全基础结构的完整性，同时与防火墙合用还可弥补防火墙的缺陷，可共同抵御外网攻击，保护网络系统能够正常运行。

一、入侵检测技术基本概念

入侵检测技术主要针对非法或者未授权情况下的入侵行为进行检测，并对计算机网络或者网络系统中若干关键点的信息进行全面采集、分析，并对计算机系统、网络系统中的违法安全策略行为或者被攻击迹象进行全面检查[1]。如果在一个计算机系统或者网络系统中安装了入侵检测系统（IDS），便可对系统中某些特定范围实现实时监控，当系统受到外网攻击时可迅速检测并作出响应。具体的入侵检测/响应流程如图1。

二、计算机网络运行安全中入侵检测技术应用策略

2.1 采集入侵信息策略

数据是入侵检测技术发挥作用的重要因素之一，常规情况下检测数据源主要涵盖：系统、网络日志、文件以及目录中保密事项、执行程序中的限制操作行为、入侵物理形式信息等等。

在计算机网络应用进程中，入侵检测技术若需要采集所有相关信息，则需要在每个网段中部署一个以上的IDS，并根据对应的网络结构特征运用多样连接形式的数据采集方式；同时，可在交换机内部或者防火墙的数据流入口或者出口处设置入侵检测系统，这样便可以有效采集相应的关键核心数据。

若需要采集网络系统中不同类别的关键信息，一方面需要根据检测对象合理扩大检测的范围、设置截取网络数据包；另一方面则需要对网络系统中的薄弱环节进行重点分析。而对于整个计算机网络系统而言，产生入侵行为相对较少，只需要建一个数据群进行集中处理即可，重点应加强对入侵行为的针对性分析能力。

2.2 分析、检测入侵信息策略

在计算机网络运行安全保护中，入侵检测系统可对各类系统漏洞、网络协议等进行全面分析，且在安全策略、原则基础上利用自身的异常检测、滥用检测模型进行分析过程模拟，科学辨识异常或者明显的攻击行为，最终构建一个分析结果形成报警信息发送至管理控制中心。对于TCP/IP 协议网络则运用探测引擎技术，利用旁路侦听方式对流经网络的所有数据包实现动态监测，并根据用户设置的相关安全策略进行分析检测，可有效辨识各类网络安全事件，并将相关定位、报警信息发送至管理控制中心。

2.3 响应入侵信息策略

对于入侵报警信息，入侵检测系统将采取积极的响应措施，主要操作包含：告警网络引擎、告知管理控制平台、给安全管理人员发生邮件、向控制中心通报实时对话情况，详细记录现场事件日志，并根据安全策略设置合理调整网络配置，并终止不良入侵行为，对于部分特定用户的相关程序仍然给予执行[2]。同时，在防御外网攻击中还可以结合防火墙的优势，构建一个协调模型以及网络完全防御体系。当计算机网络正常运行时，防火墙的过滤机制可对流经的数据包进行对比，对非授信数据包采取过滤处理，而对于绕过防火墙的数据包则可以利用入侵检测技术及时对网络攻击行为进行检测并迅速作出响应，从而实现有效防御各类网络攻击行为。

三、结语

计算机网络运行安全防范属于是一个整体的系统行为，其涉及多个层次的多项防御策略、技术，虽然入侵检测技术作为现代计算机网络安全的防御体系中一个重要的组成部分，但是其主要功能在于发现计算机网络运行中的安全问题。因此，在计算机网络运行安全保护中，入侵检测技术仍然需要联合其他安全技术，相互配合、协作，以此来增强自身的安全事件动态监测与响应能力，从而为企业提供一个更为安全的网络运行环境。

参考文献

基于网络的入侵检测范文第3篇

关键词：Snort；IPv6；入侵检测系统

中图分类号：TP393.08文献标识码：A文章编号：1007-9599 （2010） 13-0000-02

Snort-based IPv6 Network Intrusion Detection System Design and Implementation

Xiao Lihua1,Fu Yu2

(1.Hanzhong 96501 Troops,Hanzhong723000,China;2.Beijing 96602 Troops,Beijing102401,China)

Abstract:Based on Snort architecture,designed a system for IPv6 intrusion detection system,the system belongs to the functional modules are analyzed,and presented a detailed design.

Keywords:Snort;IPv6;Intrusion detection system

一、引言

随着IPv6的部署和网络技术的发展，一些基于新型攻击方式的网络入侵的事件也开始出现，因此，部署有效的网络安全技术，开发针对IPv6网络的入侵检测系统就变得非常重要。由于IPv6在IPv4的基础上做出了比较大的调整和改善，它在协议特性、地址格式和报文结构等方面均有比较大的变化，这就需要在入侵检测系统的开发上进行详细的设计。本文拟实现基于snort的IPv6网络入侵检测系统。

二、Snort系统概述

Snort入侵检测系统是一个模块化设计的应用最为广泛的一个入侵检测产品，对捕获的数据包进行分析，匹配入侵行为的特征。一旦发现入侵的迹象，便会触发预警或记录。其功能涵盖了内容检索、协议分析、侦测缓冲溢出、隐秘端口扫描、内容匹配，等多个方面的检测，因此适用于复杂的网络环境。

三、入侵检测系统总体设计

（一）系统总体结构

本文所设计的入侵检测系统遵循了Snort系统的模块化思想，以Snort系统的主体结构作为模块的架构，并在原有基础上为模块增加了IPv6的协议支持。系统的整体结构包含以下几个部分，如图所示：

图中，数据包捕获模块的功能是提供数据信息，抓取IPv4/IPv6数据包；双协议栈解析模块的功能是对数据包捕获模块抓取的数据包进行详细的协议分析，以搜索入侵检测行为；数据包预处理模块的功能是对数据包进行数据包重组、TCP流重组等处理，提供完整的IP数据包给检测引擎处理模块；规则解析模块的功能是维护检测规则库；检测引擎处理模块的功能是对网络入侵攻击事件进行实时检测。

（二）系统工作流程

由于本系统要检测的是基于IPV6的网络入侵，因此采用双协议栈技术来使得IPv6节点与IPv4节点兼容。下图所示为双协议栈的结构，IPv6和IPv4两者都以相同的平台进行承载。

在双协议栈的平台上，将支持IPv6协议的内容引入Snort系统原有结构，检测系统首先进行各个模块的初始化；然后从网络上捕获原始数据包，这些数据包处理后送到协议解码模块进行解码，然后送往预处理模块对数据包进行规范化处理。之后，由检测引擎处理模块对数据包进行规则匹配检测，判断入侵行为的存在。

四、入侵检测系统详细设计

（一）数据包捕获模块的设计

Snort系统为实现数据包的捕获，引入了Libpcap库函数，从系统的数据链路层快速捕获数据包。随着网络技术的持续发展，当数据包流量较大时，Libpcap库函数也会出现难以对高速的网络流量进行及时有效的处理的情况，这会导致大量的数据包在数据包流量较大时被丢弃。针对这种情况，在应用Libpcap实现抓包的基础上，IPv6入侵检测系统还引入了其他技术，包括内存映射技术、NAPI技术来实现数据包捕获的效率的提升。

（二）协议解析模块的设计

结合网络协议的高度规则性，在数据包的报头的固定位置进行取值，结合提取数值的属性来决定下一步的动作。由于摒弃了简单的模式匹配，入侵检测的效率明显提高了，入侵检测的应用范围也得到了扩展，同时提升了准确率。具体实现方法是：将IPv6解析部分嵌入到Snort系统统原有的IPv4解析模块中，实现IPv4/IPv6双协议解析功能。考虑到原始数据包的网络协议格式是多种多样的，协议解析模块采用协议分析技术，以协议层次自下而上的顺序进行解码。协议层次包括：数据链路层、网络层、传输层及其上层。

（三）数据包预处理模块的设计

数据包预处理模块的功能是对数据包进行前期的处理，以便于下一步骤的检测模块处理。在Snort原有预处理器基础上，为了能够支持IPv6协议的入侵检测，还需引入IPv6重组预处理器以及端口扫描预处理器。IPv6分片重组预处理器会在系统内存里开辟缓冲区以将先期到达的分片包存存储其中，只有所有的数据分片全部到达，才会开始对分片进行重组，并将重组之后的分片数据重新组装为一个IPv6数据包，传输至检测引擎处理模块进行下一步的操作。IPv6端口扫描预处理器是对IPv6端口扫描进行探测和发现。这是由于对一个攻击者来说，攻击的前奏是端口扫描。

（四）规则解析模块的设计

由于基于SNORT的IPv6入侵检测系统是基于特征匹配技术而实现的，入侵的特征在系统中是以规则的形式体现的，因此，网络中的攻击类型就以一条规则来表示。如果检测到有数据包和规则库中的规则匹配，就可以判断有入侵发生。具体的做法是，采用Snort系统链表结构，并在其基础上增加支持IPv6技术的规则链表，包括IPv6、ICMPv6等。这样的模式为系统带来了更好的组织方式和比较优化的结构。由于基于Snort的入侵检测系统应用十分广泛，IPv4的检测规则也为数众多，因此基于IPv6入侵检测也需要对相关的检测规则进行编写，并存入系统规则库中。

（五）检测引擎处理模块的设计

检测引擎处理模块结合具体的入侵规则对IPv4/IPv6入侵事件进行检测。通过将系统内部的入侵特征库与预处理模块提供的数据包相匹配，来判定是否有入侵攻击行为发生。具体的工作流程为：将规则树与解码后的数据报文进行匹配的，假如探测到条与规则匹配的报文，则判定为一个攻击，假如没有找到匹配的规则，就表示这是一个安全的报文。此模块以Snort系统模式匹配算法为基础，用port group技术来行规则的匹配。

（六）告警输出模块的设计

在对数据包进行检测之后，需要记录和显示检测的结果。系统的响应模块根据管理员的具体配置能够进行日志记录、发送入侵通知邮件、记录入侵记录、对阻断入侵等操作。基于Snort的IPv6入侵检测系统根据网络安全实际需求对改造了原有的快速报警模块，使之支持IPv6信息的输出，并使用到输出插件进行数据包协议解析。

五、结束语

本文在对Snort系统进行简单分析的基础上，对其工作原理和系统结构进行了梳理。并基于Snort系统，结合网络入侵的安全防护需求，设计了一个针对IPv6体系的入侵检测系统，对系统总体结构进行了详细设计，并介绍了系统主体流程，对系统所属的各功能模块进行了分析，提出了详细的设计方案。

参考文献：

[1]褚玲瑜,吴学智,齐文娟.IPv6的安全问题探讨[J].微计算机信息,2006,22,1:10-12

[2]张岳公,李大兴.IPv6下的网络攻击和入侵分析[J].计算机科学,2006,33,2:100-102

[3]崔丽丽.互联网协议IPv6技术概述及其在中国市场的发展前景[J].怀化学院学报,2006,25,8:92-94

基于网络的入侵检测范文第4篇

关键词：计算机网络安全；数据挖掘；入侵检测系统；IPv6网络

中图分类号：TP393.08

在我们的现实生活中，IPv6网络逐渐被商用化，而且所走向的领域越来越宽泛，在生活各领域的使用也越来越普及。IPv6网络在技术上与IPv4相比有明显的提高，同时还改善了一定的网络安全问题[1]。但是，在使用的过程中，仍然存在一定的安全漏洞。面对各式各样的新型攻击行为，有关的网络安全问题也不断的被凸现出来。因此，在当代网络信息技术中如何有效的对IPv6网络的安全进行保护是一项紧要的课题。入侵检测（Intrusion Detection）是指在网络上能够主动地抵抗任何可能破坏或损害网络信息的完整性、保密性的行为的侵入。在计算机网络中，入侵检测，一般有两种形式存在：误用检测（Misused Detection）和异常检测（Anonmaly Detection）[2]。在国家“十二五”规划中，由于IPv6网络的检测技术非常具有代表性，而被列入其中，因此，网络安全的信息技术已成为我国计算机研究领域的一个热点。

1 传统入侵检测的现状

网络安全入侵检测作为第二道防线，隐藏于防火墙之后，对网络的安全发挥着主动防御的功能[3]。但是，IPv6网络是一种新型的网络，也并非有传统网络升级过来的。因此。IPv6网络有其自身的数据格式，已经存在的入侵检测不能适应IPv6的网络环境，难以对IPv6网络的安全起到一个良好的检测作用[4]。因此，在IPv6网络发展得今天，网络安全主要出现在这几方面：第一，传统的网速无法与IPv6的网络速度并行。可以说，IPv6的网速是传统网速的1000倍以上，因此在数据的传输过程中，入侵检测的数据非常庞大，无法进行仔细的分析，从而影响检测系统的准确性与有效性[5]。第二，新的攻击行为不断深入。IPv6网络环境是最新的，而所用的检测系统还是传统型的，新的网络环境滋生新的攻击行为，使得攻击行为的入侵无法被别出来，因而检测系统无法被检测到。最后一点就是，传统的网络环境对IPv6协议的排斥，因为IPv6网络中存在一系列的安全协议，在技术上属于领先水平，而传统的网络无法与之匹配，因此，入侵检测系统并没有达到IPv6网络的检测的目标。

2 数据挖掘在检测系统中的运用

数据挖掘的入侵检测（Data Mining Based on the Intrusion Detection），该技术的目的就是利用数据挖掘技术在数据中提取有效的数据，而不需要经过一些列复杂的程序[6]。例如，无需经过知识的检验，就可消除某些特定的元素，在数据中心分析出一些有意义的规则，并利用其中的有效规则生成新的规则，以便后期的使用。数据挖掘是一种被隐藏在数据库中的信息，并且很容易的被理解，在IPv6网络中，利用数据挖掘技术，可以有效地发现用户在使用过程中的行为。数据挖掘运用到检测系统中，不但能易于识别攻击行为和正常行为。利用数据挖掘检测系统能够提高检测的效率，同时还能保证任何一项检测系统的效能，并不会影响其他系统的检测作用。基于数据挖掘的入侵检测系统，是由监测器、模型产生、引擎和数据仓库四部分构成[7]。这四部分的联合运作，能够有效地检测出各种入侵监测。

3 基于数据挖掘的入侵检测系统的分析

如前文所述，基于数据挖掘的入侵检测系统的结构包括四个方面。但是在其运行的过程中其功能分为七部分。对于网络中数据的设计与接受是由传感器来完成的；对传感器接手的数据进行过滤，并将其转换成合适的格式存入数据库则由数据接收器来进行；数据库对永久性的数据进行保存，以避免数据传输后，发生数据丢失；而数据挖掘器则是利用挖掘技术学习数据库中的数据；特征提取器就是为了能够让用户在使用过程中对数据进行分析而设计的；在将数据进行分析之后，还应经过检测器将数据从数据库中根据一定的规则提取出来，最后将所得数据按照一定的规则存放于规则库中。所谓的数据挖掘系统就是由这下功能完成的。当然在数据挖掘过程中，并非一步而成，还需经过数据的准备、数据挖掘、数据表述和分析的步骤对数据进行处理。在数据挖掘的入侵检测系统中，为了能够检测出异常事件和正常事件需要建立规则库。同时应当定时的对规则库进行维护。将正常的行为与异常行为分别建立不同的规则库。在数据挖掘入侵系统中，建立两个规则库是为了能够将数据进行有序的排放，若是规则库遭到侵袭时，其中一个规则库还能够继续的进行其他的操作程序，可以很好的保证IPV6网络的安全性。

4 基于数据挖掘的检测系统必要性

在网络安全性不断遭到挑战的情况下，基于挖掘数据的入侵检测系统不仅在建立的过程时成本低，并且还能够在发现攻击时及时的进行辨别，减少网络安全引起的损失。因此，在网络安全日益严峻的情况下，数据挖掘的检测系统对IPv6网络安全起到一个很好的保护性。数据挖掘入侵的检测系统并不需要依赖于其他技术上的维护，IPv6网络系统中的数据挖掘检测系统在操作上能够在攻击行为将证据转移时，很快的将其寻找，维护IPv6网络的安全。

5 结束语

保障网络信息的安全是目前信息技术领域非常重要的一项任务，，基于各种技术对数据的破坏性，由此带来的经济损失是非常大的。因此，数据挖掘入侵检测系统对保障IPv6网络的安全有极大的保护作用。在数据挖掘的技术的处理过程中，其在程序上与操作技上都存在一定的技术性。因此，在异常行为对IPV6网络进行攻击时，数据挖掘入侵检测系统不仅能够将其识别出来，还能够有效地进行防御，发挥其对网络的第二道防御作用。

参考文献：

[1]吴建平，林嵩，徐恪.可演进的新一代互联网体系结构研究进展[J].计算机学报，2012（06）：1094-1108.

[2]纪祥敏，陈秋妹，景林.面向下一代互联网的异常检测模型研究[J].福建电脑，2013（01）：7-10.

[3]耿震华，侯彬彬，陆菊康.基于SNMP的入侵检测系统的设计与实现[J].计算机工程与设计，2009（06）：12-13.

[4]胡华平，张怡，陈海涛.面向大规模网络的入侵检测与预警系统研究[J].国防科技大学学报，2012（12）：21-25.

[5]胡敏，潘雪增，平玲娣.基于数据挖掘的实时入侵检测技术的研究[J].计算机应用研究，2012（01）：105-108.

[6]纪祥敏，景林.基于数据挖掘的IPv6异常检测研究[J].福建电脑，2013（07）：44-45.

[7]吴际，黄传河，王丽娜.基于数据挖掘的入侵检测系统研究[J].计算机工程与应用，2013（10）：191-192.

作者简介：朱庆友（1975-），男，安徽怀远人，硕士，讲师，主要从事网络技术及应用、电子商务。

作者单位：亳州职业技术学院，安徽亳州 236000

基于网络的入侵检测范文第5篇

方法。通过仿真实验和性能对比验证了该方法的有效性，对战术数据链系统的安全设计有一定的指导意义。

【关键词】战术数据链无线入侵检测演化算法神经网络

A Tactical Datalink Wireless Intrusion Detection Method Based on an Evolutionary Neural Network

CHEN Mingde， YU Xin

（Southwest China Institute of Electronic Technology， Chengdu 610036）

Abstract： Based on the principles of evolutionary algorithms and neural networks， According to the typical intrusion event in the tactical datalink wireless network， an intrusion detection method based on an evolutionary neural network was proposed. The efficacy of the proposed method was validated via experimental results， which offered guidance to the future security design of tactical datalink systems.

Key words： Tactical Datalink， Wireless Intrusion Detection， Evolutionary Algorithms， Neural Networks

一、引言

现代信息化战场上，战术数据链在C4ISR系统中发挥的作用越来越重要。因此，战术数据链无线网络往往成为敌方首要攻击目标。目前，针对战术数据链的攻击已不仅仅局限于传统的物理层信号干扰，还包括网络干扰阻塞、信息窃取欺骗等多种无线入侵方式[1]。从国内外研究情况来看，针对战术数据链无线入侵的研究主要集中在物理层信号干扰上[2，3]，还没有相关文献对战术数据链其他方面的无线入侵方式进行详细研究。本文针对战术数据链无线网络的典型无线入侵事件，设计了一种基于演化神经网络的检测算法，并通过仿真验证了该方法的有效性。

二、战术数据链无线入侵典型方式

针对战术数据链的无线入侵主要目的在于降低对方通过数据链获取信息优势的能力，其主要方式包括：压制干扰、网络干扰、信息窃取及信息欺骗四种。（1）压制干扰是指在对方数据链无线通信频率上人为地发送一定功率的干扰信号，以使对方无线链路接收机降低或丧失接收数据链信息的能力，属于传统的无线入侵方式。战术数据链受到压制干扰后，会导致无线链路中信息发送成功率突然下降，甚至链路完全中断。（2）网络干扰是指通过向对方数据链无线链路发送大量无效信息，以使对方数据链大量网络资源被非法占用。战术数据链在受到网络干扰后，网络业务流量会急剧增加，网络中出现信息拥塞，合法网络成员无法获取所需的网络资源来传输业务，网络性能严重下降。（3）信息窃取是指伪装对方数据链网络的合法成员，企图加入对方网络，并从网络中窃取收集战场态势、作战计划、指挥控制指令、作战平台实时位置、合法网络成员地址等高价值信息。战术数据链信息一旦被成功窃取，数据链网络中的作战平台部署、行动计划等关键信息可能会直接暴露给敌方，导致严重后果。（4）信息欺骗是指在基本掌握对方数据链网络的工作参数的情况下，向对方数据链网络发送错误信息，或者接收对方信息进行篡改后重新发送，这些信息一般包括：敌我双方态势、作战指令等作战关键信息。如果上述欺骗/篡改信息被按照正常处理，将导致执行方做出错误判断和决策。

三、战术数据链无线入侵检测方法

目前，常用的网络入侵检测方法主要分为误用检测和异常检测两大类[4，5]。误用检测通常采用基于规则的方法，根据已储备的有关已知攻击特点的信息进行入侵检测。这类方法在检测已知类型的入侵时具有较高的可靠性，即较低的FP（false positive）率。但是无法检测未遇到过的类型的攻击，而且当出现新类型的攻击时，还必须手动更新已知攻击特点信息数据库。异常检测使用常规入侵模式进行建模，将任何偏离模型的事件归为异常事件。

战术数据链无线网络区别于一般的无线网络，针对战术数据链无线网络的无线入侵还没有已知的固定方式。因此，这里只能采用异常检测方法对战术数据链无线网络无线入侵事件进行检测识别。最近几年，包括规则学习[6]、隐马尔科夫模型[7]、支持向量机[8]以及神经网络[9-12]等在内的机器学习方法已被成功应用于网络入侵检测。由于神经网络具备从有限的、带噪声的以及不完整的信息中泛化出检测模型的能力，因此该模型不仅能够检测出已知攻击，而且还能够检测出从未遇到过的新类型的攻击[9]。所以神经网络被看作是一种很有潜力的入侵检测技术。

四、基于演化神经网络的战术数据链无线入侵检测算法

神经网络在应用时需要完成三个关键步骤，即特征选择、结构设计和权值调整[9]。通常来说，特征选择和结构设计是单独进行的。但是，输入特征子集和神经网络的结构是相关的，对神经网络的性能具有联合的贡献。若同时优化输入特征和网络结构，为了评估选择的特征和网络结构带来的联合优势，必须在找到近似最优的特征子集和网络结构以后学习连接权值。但是该方法会给适应度评估带来噪声，从而使优化效率降低，优化精度下降。因此，本文设计的演化神经网络能够同时利用演化算法优化输入特征、网络结构和连接权值。

具体来说，初始神经网络种群通过随机权值以及全连接生成。首先，评估所有初始或者被选出的个体的适应度值，然后从父代和子代个体中选出最好的部分个体，并对这部分个体执行子网交叉算子，最后再执行启发式变异算子。神经网络演化过程如表1所示。

4.1特征选择

特征选择是指从原始特征集中选择使某种评估标准最优的特征子集。其目的是根据一些准则选出最小的特征子集，使得任务如分类、回归等达到和特征选择前近似甚至更好的效果。通过特征选择，一些和任务无关或者冗余的特征被删除，简化的数据集常常会得到更精确的模型，也更容易理解[14]。

为了更准确的检测入侵事件，我们选择了战术数据链无线网络的一些性能指标的统计量，以及一些典型的网络异常事件作为候选特征，包括（但不局限于以下所列条目）：（a）网络业务流量；（b）接收信号强度；（c）无线丢包率；（d）指令传输时延；（e）网内重复成员；（f）网内不明成员；（g）不明入网申请；（h）消息计数器异常；（i）消息帧结构错误；（j）消息格式错误。

4.2编码表示

我们使用前馈神经网络结构。为了同时执行特征选择、结构优化以及连接权值训练，我们使用了一种混合的编码方式[13]，即用1个连接矩阵和1个节点向量表示1个个体，如图1所示。连接矩阵如图1（a）所示，规模为（h+n）×（m+h），其中m和h分别表示输入节点和隐节点的最大数目，n表示输出节点的数目。矩阵第i行第j列元素wij为一实数，表示从节点j到节点m+i的权值，wij=0表示从节点j到节点m+i没有连接。由于前馈神经网络只有1条直接连接，所以最右上三角矩阵元素值都为0。

节点向量如图1（b）所示，规模为m+h维，向量中元素值只能取0或1，用于表示元素所在向量中的索引对应的节点是否可用（1可用，0不可用）。前m个元素表示输入节点，后h个元素表示隐节点。

如前一小节所示，特征输入候选集包括网络业务流量、接收信号强度和无线丢包率等共10种，即前馈神经网络中的输入节点的最大数目m=10。编码方式中节点向量前m个输入节点位按照上一小节候选特征从（a）到（j）的顺序排列。例如，编码1010010110表示选择了候选特征集中的网络业务流量、无线丢包率、网内不明成员、消息计数器异常和消息帧结构错误。

4.3适应度评估

为了同时演化输入特征和网络结构，适应度函数不仅考虑了检测准确率，而且还包含了输入节点数目惩罚因子和隐节点数目惩罚因子。某个个体a的适应度函数fit（a）定义如下：

fit（a）=ρ（a）×ψ（a）×φ（a）

其中，ρ表示检测准确率，ψ表示输入节点数目的惩罚因子，φ表示隐节点数目的惩罚因子。个体a的检测准确率定义如下：

ρ（a）=pos（a）/S

其中，pos表示正确的检测分类数目，S表示包括正常和异常实例在内的检测总数目。

惩罚因子ψ定义如下：

ψ（a）=1-（num_in（a）-min_in）×para_in

其中，num_in表示输入节点数目，min_in表示输入节点的最小数目，para_in为用户定义的参数，用于控制输入节点数目对适应度函数的影响程度。

惩罚因子φ定义如下：

φ（a）=1-（num_hid（a）-min_hid）×para_hid

其中num_hid表示隐节点数目，min_hid表示隐节点的最小数目，para_hid为用户定义的参数，用于控制隐节点数目对适应度函数的影响。

4.4子网交叉算子

节点i生成的子网Gen（i）定义如下：

其中，M为输入节点集合，H为隐节点集合，P为输出节点集合，ConIn（i）表示节点i的所有输入连接集合，ConOut（i）表示节点i的所有输出连接集合。

其中，w_adapt表示连接权值调整，node_del表示节点删除，node_add表示节点添加，pm表示变异概率，pWA和pND为用户定义参数并且满足0

五、仿真和验证

5.1数据集

我们使用KDD Cup 1999的部分数据集验证演化神经网络进行入侵检测时的有效性，共包含4大类：正常事件、拒绝服务攻击（DOS，Denial of Service）、远程用户到本地的非授权访问（R2L，Remote to Local）和探测攻击（Probe）。此外，我们模拟战术数据链无线网络中的典型入侵事件对某数据链网络实施入侵，并生成相关数据集，记为REAL。这些事件主要包括：网络干扰、信息窃取、信息欺骗等。

训练数据集中的10%用于训练神经网络，各类训练集样本数目如表3所示。神经网络演化完后，我们从种群中选出最好的个体并使用标记过的测试集进行测试，各类测试集样本数目如表4所示，其中“已知”表示攻击类型存在于训练集中，“未知”表示攻击类型不存在于训练集中。

5.2结果和分析

用EvoNN表示演化神经网络入侵检测方法，实验时还比较了与其它基于神经网络的方法之间的性能，这些方法包括RWNN[10]、BMPNN[11]和ENN[12]。实验结果如表5所示。从结果可以发现，除了在R2L上的检测率低于RWNN以外，EvoNN在所有测试上均达到了最高的检测率，此外，EvoNN还具备最低的FP率。

此外，表6给出了EvoNN针对不同测试集，获得表5中结果时最终演化选择的特征子集：

六、结论

本文对战术数据链无线入侵检测技术进行了研究，提出了一种基于演化神经网络的入侵检测方法，并通过仿真实验验证了该方法的有效性。未来信息化战场条件下，战术数据链将面临敌方各种各样恶意无线入侵攻击。本文提出的入侵检测方法战术数据链系统的安全防护设计有一定的参考意义。

参考文献

[1]袁秀丽，周洪宇，周谷.世界网络战发展现状的初步研究[J].信息化研究， 2010，（08）：20-21.

[2]殷璐，严建钢，樊严. Link-16战术数据链抗干扰性能评估与仿真[J].航天电子对抗， 2007，（03）：40-42.

[3]林茂森，殷璐，李相全. JTIDS抗干扰性能与仿真[J].通信对抗， 2007，（01）：36-39.

[4]唐正军.入侵检测技术导论.北京：机械工业出版社，2004.16-85.

[5]王利平.无线局域网入侵检测技术研究[D].华中科技大学， 2008：15-17.

[6] L. Li， D. Yang， F. Shen. A novel rule-based intrusion detection system using data mining [C] // Proceedings of 2010 IEEE International Conference on Computer Science and Information Technology， 2010， 6： 169-172.

[7] S. B. Cho. Incorporating soft computing techniques into a probabilistic intrusion detection system [J]. IEEE Transactions on Systems， Man， and Cybernetics， Part C： Applications and Reviews， 2002， 32（2）： 154-160.

[8] G. Zhu， J. Liao. Research of intrusion detection based on support vector machine [C] // Proceedings of International Conference on Advanced Computer Theory and Engineering， 2008， 434-438.

[9] S. J. Han， S. B. Cho. Evolutionary neural networks for anomaly detection based on the behavior of a program [J]. IEEE Transactions on Systems， Man， and Cybernetics， Part B， 2006， 36（3）： 559-570.

[10] L. Yu， B. Chen， J. Xiao. An integrated system of intrusion detection based on rough set and wavelet neural network [C] // Proceedings of the Third International Conference on Natural Computation， 2007， 3： 194-199.

[11] T. P. Tran， T. Jan. Boosted modified probabilistic neural network （BMPNN） for network intrusion detection [C] // Proceedings of International Joint Conference on Neural Networks， 2006， 2354-2361.

[12] E. Michailidis， S. K. Katsikas， E. Georgopoulos. Intrusion detection using evolutionary neural networks [C] // Proceedings of Panhellenic Conference on Informatics， 2008， 8-12.

基于网络的入侵检测范文第6篇

关键词入侵检测异常检测误用检测

在网络技术日新月异的今天，写作论文基于网络的计算机应用已经成为发展的主流。政府、教育、商业、金融等机构纷纷联入Internet，全社会信息共享已逐步成为现实。然而，近年来，网上黑客的攻击活动正以每年10倍的速度增长。因此，保证计算机系统、网络系统以及整个信息基础设施的安全已经成为刻不容缓的重要课题。

1防火墙

目前防范网络攻击最常用的方法是构建防火墙。

防火墙作为一种边界安全的手段，在网络安全保护中起着重要作用。其主要功能是控制对网络的非法访问，通过监视、限制、更改通过网络的数据流，一方面尽可能屏蔽内部网的拓扑结构，另一方面对内屏蔽外部危险站点，以防范外对内的非法访问。然而，防火墙存在明显的局限性。

(1)入侵者可以找到防火墙背后可能敞开的后门。如同深宅大院的高大院墙不能挡住老鼠的偷袭一样，防火墙有时无法阻止入侵者的攻击。

(2)防火墙不能阻止来自内部的袭击。调查发现，50％的攻击都将来自于网络内部。

(3)由于性能的限制，防火墙通常不能提供实时的入侵检测能力。写作毕业论文而这一点，对于层出不穷的网络攻击技术来说是至关重要的。

因此，在Internet入口处部署防火墙系统是不能确保安全的。单纯的防火墙策略已经无法满足对安全高度敏感部门的需要，网络的防卫必须采用一种纵深的、多样化的手段。

由于传统防火墙存在缺陷，引发了入侵检测IDS(IntrusionDetectionSystem)的研究和开发。入侵检测是防火墙之后的第二道安全闸门，是对防火墙的合理补充，在不影响网络性能的情况下，通过对网络的监测，帮助系统对付网络攻击，扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)，提高信息安全基础结构的完整性，提供对内部攻击、外部攻击和误操作的实时保护。现在，入侵检测已经成为网络安全中一个重要的研究方向，在各种不同的网络环境中发挥重要作用。

2入侵检测

2．1入侵检测

入侵检测是通过从计算机网络系统中的若干关键点收集信息并对其进行分析，从中发现违反安全策略的行为和遭到攻击的迹象，并做出自动的响应。其主要功能是对用户和系统行为的监测与分析、系统配置和漏洞的审计检查、重要系统和数据文件的完整性评估、已知的攻击行为模式的识别、异常行为模式的统计分析、操作系统的审计跟踪管理及违反安全策略的用户行为的识别。入侵检测通过迅速地检测入侵，在可能造成系统损坏或数据丢失之前，识别并驱除入侵者，使系统迅速恢复正常工作，并且阻止入侵者进一步的行动。同时，收集有关入侵的技术资料，用于改进和增强系统抵抗入侵的能力。

入侵检测可分为基于主机型、基于网络型、基于型三类。从20世纪90年代至今，写作英语论文已经开发出一些入侵检测的产品，其中比较有代表性的产品有ISS(IntemetSecuritySystem)公司的Realsecure，NAI(NetworkAssociates，Inc)公司的Cybercop和Cisco公司的NetRanger。

2．2检测技术

入侵检测为网络安全提供实时检测及攻击行为检测，并采取相应的防护手段。例如，实时检测通过记录证据来进行跟踪、恢复、断开网络连接等控制；攻击行为检测注重于发现信息系统中可能已经通过身份检查的形迹可疑者，进一步加强信息系统的安全力度。入侵检测的步骤如下：

收集系统、网络、数据及用户活动的状态和行为的信息

入侵检测一般采用分布式结构，在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息，一方面扩大检测范围，另一方面通过多个采集点的信息的比较来判断是否存在可疑现象或发生入侵行为。

入侵检测所利用的信息一般来自以下4个方面：系统和网络日志文件、目录和文件中的不期望的改变、程序执行中的不期望行为、物理形式的入侵信息。

(2)根据收集到的信息进行分析

常用的分析方法有模式匹配、统计分析、完整性分析。模式匹配是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。

统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述，统计正常使用时的一些测量属性。测量属性的平均值将被用来与网络、系统的行为进行比较。当观察值超出正常值范围时，就有可能发生入侵行为。该方法的难点是阈值的选择，阈值太小可能产生错误的入侵报告，阈值太大可能漏报一些入侵事件。

完整性分析主要关注某个文件或对象是否被更改，包括文件和目录的内容及属性。该方法能有效地防范特洛伊木马的攻击。

3分类及存在的问题

入侵检测通过对入侵和攻击行为的检测，查出系统的入侵者或合法用户对系统资源的滥用和误用。写作工作总结根据不同的检测方法，将入侵检测分为异常入侵检测(AnomalyDetection)和误用人侵检测(MisuseDetection)。

3．1异常检测

又称为基于行为的检测。其基本前提是：假定所有的入侵行为都是异常的。首先建立系统或用户的“正常”行为特征轮廓，通过比较当前的系统或用户的行为是否偏离正常的行为特征轮廓来判断是否发生了入侵。此方法不依赖于是否表现出具体行为来进行检测，是一种间接的方法。

常用的具体方法有：统计异常检测方法、基于特征选择异常检测方法、基于贝叶斯推理异常检测方法、基于贝叶斯网络异常检测方法、基于模式预测异常检测方法、基于神经网络异常检测方法、基于机器学习异常检测方法、基于数据采掘异常检测方法等。

采用异常检测的关键问题有如下两个方面：

(1)特征量的选择

在建立系统或用户的行为特征轮廓的正常模型时，选取的特征量既要能准确地体现系统或用户的行为特征，又能使模型最优化，即以最少的特征量就能涵盖系统或用户的行为特征。

(2)参考阈值的选定

由于异常检测是以正常的特征轮廓作为比较的参考基准，因此，参考阈值的选定是非常关键的。

阈值设定得过大，那漏警率会很高；阈值设定的过小，则虚警率就会提高。合适的参考阈值的选定是决定这一检测方法准确率的至关重要的因素。

由此可见，异常检测技术难点是“正常”行为特征轮廓的确定、特征量的选取、特征轮廓的更新。由于这几个因素的制约，异常检测的虚警率很高，但对于未知的入侵行为的检测非常有效。此外，由于需要实时地建立和更新系统或用户的特征轮廓，这样所需的计算量很大，对系统的处理性能要求很高。

3．2误用检测

又称为基于知识的检测。其基本前提是：假定所有可能的入侵行为都能被识别和表示。首先，写作留学生论文对已知的攻击方法进行攻击签名(攻击签名是指用一种特定的方式来表示已知的攻击模式)表示，然后根据已经定义好的攻击签名，通过判断这些攻击签名是否出现来判断入侵行为的发生与否。这种方法是依据是否出现攻击签名来判断入侵行为，是一种直接的方法。

常用的具体方法有：基于条件概率误用入侵检测方法、基于专家系统误用入侵检测方法、基于状态迁移分析误用入侵检测方法、基于键盘监控误用入侵检测方法、基于模型误用入侵检测方法。误用检测的关键问题是攻击签名的正确表示。

误用检测是根据攻击签名来判断入侵的，根据对已知的攻击方法的了解，用特定的模式语言来表示这种攻击，使得攻击签名能够准确地表示入侵行为及其所有可能的变种，同时又不会把非入侵行为包含进来。由于多数入侵行为是利用系统的漏洞和应用程序的缺陷，因此，通过分析攻击过程的特征、条件、排列以及事件间的关系，就可具体描述入侵行为的迹象。这些迹象不仅对分析已经发生的入侵行为有帮助，而且对即将发生的入侵也有预警作用。

误用检测将收集到的信息与已知的攻击签名模式库进行比较，从中发现违背安全策略的行为。由于只需要收集相关的数据，这样系统的负担明显减少。该方法类似于病毒检测系统，其检测的准确率和效率都比较高。但是它也存在一些缺点。

3．2．1不能检测未知的入侵行为

由于其检测机理是对已知的入侵方法进行模式提取，对于未知的入侵方法就不能进行有效的检测。也就是说漏警率比较高。

3．2．2与系统的相关性很强

对于不同实现机制的操作系统，由于攻击的方法不尽相同，很难定义出统一的模式库。另外，误用检测技术也难以检测出内部人员的入侵行为。

目前，由于误用检测技术比较成熟，多数的商业产品都主要是基于误用检测模型的。不过，为了增强检测功能，不少产品也加入了异常检测的方法。

4入侵检测的发展方向

随着信息系统对一个国家的社会生产与国民经济的影响越来越大，再加上网络攻击者的攻击工具与手法日趋复杂化，信息战已逐步被各个国家重视。近年来，入侵检测有如下几个主要发展方向：

4．1分布式入侵检测与通用入侵检测架构

传统的IDS一般局限于单一的主机或网络架构，对异构系统及大规模的网络的监测明显不足，再加上不同的IDS系统之间不能很好地协同工作。为解决这一问题，需要采用分布式入侵检测技术与通用入侵检测架构。

4．2应用层入侵检测

许多入侵的语义只有在应用层才能理解，然而目前的IDS仅能检测到诸如Web之类的通用协议，而不能处理LotusNotes、数据库系统等其他的应用系统。许多基于客户／服务器结构、中间件技术及对象技术的大型应用，也需要应用层的入侵检测保护。

4．3智能的入侵检测

入侵方法越来越多样化与综合化，尽管已经有智能体、神经网络与遗传算法在入侵检测领域应用研究，但是，这只是一些尝试性的研究工作，需要对智能化的IDS加以进一步的研究，以解决其自学习与自适应能力。

4．4入侵检测的评测方法

用户需对众多的IDS系统进行评价，评价指标包括IDS检测范围、系统资源占用、IDS自身的可靠性，从而设计出通用的入侵检测测试与评估方法与平台，实现对多种IDS的检测。

4．5全面的安全防御方案

结合安全工程风险管理的思想与方法来处理网络安全问题，将网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、防火墙、病毒防护、入侵检测多方位全面对所关注的网络作全面的评估，然后提出可行的全面解决方案。

综上所述，入侵检测作为一种积极主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，使网络系统在受到危害之前即拦截和响应入侵行为，为网络安全增加一道屏障。随着入侵检测的研究与开发，并在实际应用中与其它网络管理软件相结合，使网络安全可以从立体纵深、多层次防御的角度出发，形成人侵检测、网络管理、网络监控三位一体化，从而更加有效地保护网络的安全。

参考文献

l吴新民．两种典型的入侵检测方法研究．计算机工程与应用，2002；38(10)：181—183

2罗妍，李仲麟，陈宪．入侵检测系统模型的比较．计算机应用，2001；21(6)：29～31

3李涣洲．网络安全与入侵检测技术．四川师范大学学报．2001；24(3)：426—428

4张慧敏，何军，黄厚宽．入侵检测系统．计算机应用研究，2001；18(9)：38—4l

基于网络的入侵检测范文第7篇

关键词：网络入侵检测；BP算法；入侵攻击

中图分类号：TP393.08 文献标识码：A 文章编号：1006-8937（2012）11-0083-02

随着计算机网络技术与网络通信产业的高速发展，信息技术和网络对当今社会的科教、经济、文化和电子商务等各个领域具有非常大的贡献。然而随着社会对计算机网络的依赖越来越大，出现了越来越多关于影响计算机网络安全的事件，目前有计算机杀毒软件、木马防御软件以及网络防火墙等软件，都起到一定的防御作用，但是在新的网络入侵攻击方式下，却常常无能为力。所以近些年来，计算机网络入侵检测技术越来越受到欢迎，它可以适应主动性攻击，有自主学习能力，能够更新入侵攻击规则库等功能。

网络入侵检测技术的应用，的确可以弥补防火墙、杀毒软件的缺陷，提高计算机网络安全的性能。但是传统的网络入侵检测技术存在一些问题，例如漏/误报率高、网络实时检测能力不高、检测的速率较低等问题。

如何解决以上提出的问题，就需要对传统的网络入侵检测技术进行改进，提高新的网络入侵检测方法。本文提出了基于BP神经网络算法的网络入侵检测技术，它是能够很好适应当前海量数据检测，较低入侵检测漏/误报率的方法。

1 传统入侵检测技术的模型与不足

1.1 传统入侵检测的发展

20世纪70年代后，随着计算机网络技术的发展，计算机的大规模及超大规模集成电路的高速发展，计算机的性能变高体积变小，在社会上应用计算机的用户也越来越多，遍布全世界。传统的防火墙开始不能够满足计算机安全的新需求，于是入侵检测技术也登上了应用舞台。它的发展主要包括几个时期，分别是：早期研究、基于主机入侵检测系统研究、基于网络入侵检测系统研究和基于智能网络入侵检测系统研究。

早期研究主要是1983年，（Stanford Research Institue）用统计方法分析IBM大型机的 （System Management Facility）记录，这就是网络入侵检测的雏形。

基于主机的入侵检测系统出现在20世纪80年代初期，那时网络规模还比较小，而且网络之间也没有完全互连。在此网络环境下，检查可疑行为的审计记录相对比较容易，也比较简单，通过对攻击的事后分析就可以防止随后的攻击。

基于网络的入侵检测系统需要原始的网络数据源，它把服务器的网卡设为混杂模式，该服务器的主机能够实时接收和分析网络中数据包，进而能够检测是否存在入侵行为，基于网络的入侵检测系统需要随机模式下的网络适配器来实时检测并分析通过网络的所有的网络通信业务数据。

基于智能网络入侵检测系统研究主要包括，神经网络、数据挖掘技术、人工免疫、容错技术等不断渗透或融入到智能的入侵检测技术中，将网络入侵检测系统的发展提高到一个新的台阶。

1.2 传统入侵检测的过程

传统的入侵检测的过程可以分为三个阶段，网络数据收集阶段、数据分析处理阶段及检测响应阶段。

①网络数据收集阶段。从入侵检测系统的信息源中收集网络数据，收集到的数据内容包括网络用户活动的行为和日志情况等。数据收集的网络数据范围广，入侵检测系统的检查范围也变得越大。一般情况下，基于网络的入侵检测的数据源，属于多源数据源，数据量较大，而基于主机的入侵检测系统的数据源属于单一，数据量比较小。

②数据分析处理。入侵检测系统从信息源中收集到大量的网络包数据，每秒钟都有源源不断的网络包，从海量的网络数据中，通过定好规则库，把大量的属于正常的网络数据包给过滤掉，剩下的小部分疑似网络攻击的异常行为的数据信息。因此如何快速处理数据，是当今入侵检测技术需要解决的热点问题。

③检测响应。当发现到网络包里面包含异常事件时，入侵检测系统就会及时对攻击情况作出类型判断，采取相应的响应来处理。常见的响应方式有：自动终止攻击、终止用户连接、记录事件的相关信息、向安全管理人员发出提示性电子邮件等。

1.3 传统入侵检测技术的特点

传统的通用入侵检测模型比较适合基于主机的入侵检测系统，对应基于网络的入侵检测系统来说，存在着许多问题：

①误/漏报率高。由于传统的入侵检测系统在处理网络数据包时，检测的方法比较传统，只能按照现有的规则来判断是否是异常事件，但是一遇到基于网络的入侵检测系统，检测海量数据包，就不是那么得心应手了，有限的时间，要处理好大量的数据，方法单一，使得最终检测出来的结果误/漏报率高。

②网络实时检测能力不高。传统的入侵检测技术方法比较单一，没有比较灵活的检查算法，所以在检测的时候，很难及时把结果处理出来，因此在一定程度下，实时检测性较差，影响了检测效果。

③检测的速率较低。传统入侵检测技术方法相关产品已不能适应交换技术和高带宽环境的发展，在大流量冲击、多IP分片情况下都可能造入侵检测系统的崩溃或丢包，所以检测的速率也不是很理想。

2 BP神经网络算法概述

2.1 BP神经网络算法

人工神经网络是一种应用类似于大脑神经突触联接的结构进行信息处理的数学模型。神经网络是一种运算模型，由大量的节点（或称神经元）和之间相互联接构成。

输入:给定训练集Xtrain，其中每一个训练样本都是由一组输入和一组输出构成，所有的输入和输出都是[0,1]之间的浮点数据（如果不是，要首先通过数据变换把它们映射到[0,1]区间）；神经网络结构：隐含层节点数目；神经网络每个节点的、参数化了的特征函数。

输出:神经网络每个节点特征函数的参数。

①按照有序导数计算公式计算总体误差对于每个参数的有序导数公式（函数）。

②任意选择一组数据作为初始参数，一般选取（0,0,…,0），把这组初始参数作为当前参数。

③根据当前参数和总体误差计算公式计算总体误差，如果误差足够小，就把当前参数作为输出，退出；否则，继续下面的步骤。

④根据参数调整公式和当前参数数值，计算总体误差对于各参数的有序导数数值。

⑤计算各个参数的调整大小，并计算调整后的参数大小。把调整后的参数作为当前参数，回到第三步。

2.2 神经网络计算过程

BP神经网络算法在工作过程中，首先对神经网络的参数进行初始化处理，然后计算出隐藏层单元的个数、计算输出层单元的输出个数、计算输出层单元出现的误差，当误差在允许范围内，则结束，输出相应的结果；如果误差不在允许范围内，则要调整中间层到输出层连接的权值和输出层单元，再调整输入层到中间层的连接权值和输出单元，同时更新学习的次数，当学习次数大于上限值，则结束，输出结果；如果还没到上限值，则反复地进行误差调整，直至满足算法的误差要求。最终输出结果。

3 网络入侵检测的结果

该设计方案已经在广东省潮州市某大型企业中应用，具体实验情况包括以下几个方面。

3.1 实验环境

该实验在真实网络入侵环境下进行检测。该应用平台的硬件包括由1台服务器和25台客户机构成。

入侵检测时，以25台主机同时对企业的内部财务系统进行访问，对公司的服务器进行。

3.2 实验结果

改进前和改进后的实验结果如下表1所示。

通过实验的结果比较，改过后的入侵检测系统比改进前入侵检测系统，提高了准确率，同时也降低了误报率和漏报。结论证明改进后的基于BP神经网络入侵检测系统达到预期目标。

4 结 语

本文从实际出发，通过科学改进，设计开发出一种基于BP算法网络入侵检测技术的有效方法，充分地利用了算法设计思想，并应用到实际项目中，最终达到预期的效果。总体来说，入侵检测在网络安全应用中是越来越广泛的，但是随着海量网络数据的发展，入侵检测技术要不断的更新检测算法，来适应网络对技术的要求。

参考文献：

[1] 李秀改,候媛彬.基于神经网络BP算法的模糊自适应控制器的研究与实现[J].电气传动自动化,2000,(4).

[2] 周川,董秀成.基于神经网络模型母线保护的运用研究[J].成都纺织高等专科学校学报,2007,(3).

基于网络的入侵检测范文第8篇

关键词：入侵检测技术；异常检测；误用检测；IDS

中图分类号：TP393文献标识码：A文章编号：1009-3044(2011)15-3285-03

About Network Intrusion Detection Technology Research

HE Wen-bin

(College of Technology, Xiaogan University, Xiaogan 432000, China)

Abstract: With the rapid development of the computer network, people nowadays pay more attention to the security of the computer network, thus how to maintain such matter has become the focus of social concerns in the complicated and diversified network world. Currently, the technology of intrusion detection is a comparatively effective way to solve the condition of network attack, which adopts the computer network or some key points in the computer system to collect information and analyze it, thus discovering whether there is behavior against the security policy and signs of attack in the network or system. The technology of detection is one of the core technologies to ensure the security of the computer network, which has important significance and profound impacts on the network applications.

Key words: technology of intrusion detection; abnormal detection; misuse detection; IDS

近年来，网上黑客的攻击活动正以每年10倍的速度增长。因此，保证计算机系统、网络系统以及整个信息基础设施的安全已经成为刻不容缓的重要课题。入侵检测技术是继防火墙、数据加密等传统安全保护措施后新一代的安全保障技术，它能对计算机和网络资源的恶意使用行为进行识别和响应[1]。

本文首先从概念、功能和检测方法等方面入手介绍了计算机网络入侵检测技术，然后从当前网络现状出发分析了目前可采用的入侵检测技术,最后从多层次防御的角度出发提出了入侵检测技术的发展方向。

1 常见网络入侵方法的简析

随着网络的发展，人们对网络的了解越来越深入和透彻。不过在这可喜的局面背后，却出现了另一类网络人群――黑客。为了捍卫我们自己网络的安全，了解黑客们常用的入侵手段是必不可少的。其常见的方法分为以下18种：

1）拒绝服务。进攻者用大量的请求信息冲击网站，从而有效地阻塞系统，使运行速度变慢，甚至网站崩溃。这种使计算机过载的方法常常被用来掩盖对网站的入侵。

2）扫描器。通过广泛地扫描因特网来确定计算机、服务器和连接的类型。

3）嗅觉器。暗中搜寻正在网上传输的个人网络信息包，用以获取密码甚至整个信息包的内容。

4）网上欺骗。伪造电子邮件，用它们哄骗用户输入关键信息，如邮箱账号、个人密码或信用卡等。

5）特洛伊木马。这种程序包含有探测一些软件弱点所在的指令，安装在计算机上，用户一般很难察觉。

6）后门。黑客为了防止原来进入的通道被察觉，开发的一些隐蔽进入通道（俗称“后门”）。

7）恶意小程序。一种微型程序，它能够滥用计算机资源，修改硬盘上的文件，发出伪造的电子邮件以及偷窃密码。

8）进攻拨号程序。能够自动的拨出成千上万个电话号码，用来搜寻一个通过调制解调器连接的进入通道。

9）逻辑炸弹。是嵌入计算机软件中的一种指令，它能够触发对计算机的恶意操作。

10）密码破解。入侵者破解系统的登录或管理密码及其他一些关键口令。

11）社交工程。通过与没有戒心的公司雇员交谈，从中得到有价值的信息，从而获得或猜出对方网络的漏洞（如猜出密码），进而控制公司计算机系统。

12）垃圾搜寻。通过对公司垃圾的搜寻和分析，获得有助于闯入这家公司计算机系统的有用信息。

13）系统漏洞。入侵者利用操作系统漏洞，进入系统主机并获取整个系统的控制权。

14）应用程序漏洞。与系统漏洞的方式相似，也可能获取整个系统的控制权。

15）配置漏洞。通常指系统管理员本身的错误。

16）协议/设计漏洞。指通信协议或网络设计本身存在的漏洞。

17）身份欺骗。包括用户身份欺骗和IP地址欺骗，以及硬件地址欺骗和软件地址欺骗。

18）炸弹。利用系统或程序的小毛病，对目标发送大量的报文，或者非法的会引起系统出错的数据包等，导致系统或服务停止响应、死机甚至重启系统的攻击。

2 网络入侵检测技术的概述

入侵检测（Intrusion Detection）是对入侵行为的检测，是指“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图”。入侵检测是检测和响应计算机误用的学科，其作用包括威慑、检测、响应、损失情况评估、攻击预测和支持。

入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。

入侵检测技术（IDS）可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的系统[2]。包括系统外部的入侵和内部用户的非授权行为，是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。

进行入侵检测的软件与硬件的组合便是入侵检测系统（IntrusionDetectionSystem，简称IDS）[3]。入侵检测系统的典型代表是ISS公司的RealSecure。它是计算机网络上自动实时的入侵检测和响应系统。它无妨碍地监控网络传输并自动检测和响应可疑的行为，在系统受到危害之前截取和响应安全漏洞和内部误用，从而最大程度地为企业网络提供安全。

3 网络入侵检测技术的研究

3.1 异常入侵检测技术

异常入侵检测MD[4]（Anomaly Detection）又称为基于行为的检测，指根据使用者的行为或资源使用状况的正常程度来判断是否入侵，而不依赖于具体行为是否出现来检测。其基本前提是：假定所有的入侵行为都是异常的。建立系统或用户的“正常”行为特征轮廓，通过比较当前的系统或用户的行为是否偏离正常的行为特征轮廓来判断是否发生了入侵。此方法不依赖于是否表现出具体行为来进行检测，是一种间接的方法。

常用的方法有：统计异常检测方法、基于特征选择异常检测方法、基于贝叶斯推理异常检测方法、基于贝叶斯网络异常检测方法、基于模式预测异常检测方法、基于神经网络异常检测方法、基于机器学习异常检测方法、基于数据采掘异常检测方法。

采用异常检测的关键问题有如下两个方面：

1）特征量的选择。在建立系统或用户的行为特征轮廓的正常模型时，选取的特征量既要能准确地体现系统或用户的行为特征，又能使模型最优化，即以最少的特征量就能涵盖系统或用户的行为特征。

2）参考阈值的选定。由于异常检测是以正常的特征轮廓作为比较的参考基准，阈值设定得过大，那漏警率会很高；阈值设定的过小，则虚警率就会提高。因此，合适的参考阈值的选定是决定这一检测方法准确率的至关重要的因素。

由此可见，异常检测技术难点是“正常”行为特征轮廓的确定、特征量的选取、特征轮廓的更新。由于受这几个因素的制约，异常检测的虚警率很高，但对于未知的入侵行为的检测非常有效。

3.2 误用入侵检测技术

误用入侵检测[5]又称为基于知识的检测，是指根据已知的入侵模式来检测入侵。其基本前提是：假定所有可能的入侵行为都能被识别和表示。对已知的攻击方法进行攻击签名（指用一种特定的方式来表示已知的攻击模式）表示，然后根据已经定义好的攻击签名，通过判断这些攻击签名是否出现来判断入侵行为的发生与否。此方法是依据是否出现攻击签名来判断入侵行为，是一种直接的方法。

常用的方法有：基于条件概率误用入侵检测方法、基于专家系统误用入侵检测方法、基于状态迁移分析误用入侵检测方法、基于键盘监控误用入侵检测方法、基于模型误用入侵检测方法。

误用检测的关键问题是攻击签名的正确表示。误用入侵检测将收集到的信息与已知的攻击签名模式库进行比较，从中发现违背安全策略的行为。由于只需要收集相关的数据，这样系统的负担明显减少。该方法类似于病毒检测系统，其检测的准确率和效率都比较高。但是它也存在一些缺点。

1）不能检测未知的入侵行为。其检测机理是对已知的入侵方法进行模式提取，然而对于未知的入侵方法就不能进行有效的检测。也就是说漏警率比较高。

2）与系统的相关性很强。对于不同实现机制的操作系统，由于攻击的方法不尽相同，很难定义出统一的模式库。另外，误用检测技术也难以检测出内部人员的入侵行为。

4 常用入侵检测系统

4.1入侵检测系统的主要功能

1）监视分析用户及系统活动；

2）核查系统配置和漏洞；

3）识别已知攻击的行为并向相关人士报警；

4）异常行为模式的统计分析；

5）评估系统关键资源和数据文件的完整性；

6）操作系统的审计跟踪管理，并识别用户违反安全策略的行为。

4.2 常用入侵检测系统模型简介

4.2.1 Denning模型

1987 年Denning 提出了一种抽象的通用入侵检测的模型。该模型主要由主体、对象、审计记录、活动简档、异常记录、活动规则6部分组成，如图1所示。

4.2.2 入侵检测系统的CIDF模型

为了使分布于不同主机上的IDS能够相互通信，交换检测数据和分析结果，以检测跨时间段的大范围攻击，Stuart Staniford-Chen等人提出了公共入侵检测框架Common Intrusion Detection Framework，简称CIDF[6]。该模型主要由事件生成器、事件分析器、事件数据库、事件响应器4部分组成，如图2所示。

5 结束语

该文介绍的Denning模型和CIDF模型能够有效的检测出网络入侵行为，对计算机网络具有相当的保护作用。入侵检测作为一种积极主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，使网络系统在受到危害之前即拦截和响应入侵行为，为网络安全增加一道屏障。我们相信，随着入侵检测技术的研究与开发，并在实际应用中与其它网络管理软件相结合，使网络安全可以从立体纵深、多层次防御的角度出发，形成人侵检测、网络管理、网络监控三位一体化，从而更加有效地保护网络的安全。

参考文献：

[1] 常秉琨,李莉.计算机网络入侵检测技术探讨[J].网络安全技术与应用,2009(4).

[2] 李建华.入侵检测技术[M].北京:清华大学出版社,2008.

[3] 杨智君.入侵检测技术研究综述[J].计算机工程与设计,2006,27(12).

[4] 宋连涛.基于异常的入侵检测技术研究[D].南京:河海大学,2006.

[5] 宋世杰.基于序列模式挖掘的误用入侵检测系统及其关键技术研究[J].计算机科学与技术,2006(3).