网络入侵的方法与检测论文

网络入侵的方法与检测论文（精选12篇）

网络入侵的方法与检测论文 篇1

1 引言

随着计算机网络技术在近十年的迅速普及, 人们的生活、学习越来越依赖网络技术, 越来越多的人得益网络的快捷和便利, 比如使用网上购物、远程教育等网络应用。据最新的IDC数据显示, 固定互联网宽度接入用户达到1.86亿户, 移动互联网用户达到8.2亿户, 因此网络安全问题也就越显得重要, 了解网络攻击的方法和手段, 对这些网络安全问题进行相应的检测和防范才能保证我们安全的使用网络。

2 网络攻击方法与手段

网络安全的困境由来已久;就是因为在设计复杂的软件系统时, 一方面由于对所以可能出现的情况判断不足, 导致系统留有漏洞, 另一方面由于技术的迅速发展, 新技术的应用使得老系统难以应对新的网络环境, 而升级这些系统由于成本、使用习惯等原因往往难以实现;所以, 我们现实的网络环境的网络威胁的种类很多, 下面我们分析几类典型的网络入侵手法:

2.1 漏洞扫描

通过扫描网络上服务器或远程主机的各种TCP/IP端口以及端口提供的服务, 就能搜集到被扫描目标主机的很多信息, 从而分析出目标主机存在哪些漏洞。目前, 扫描器可分为端口扫描器和漏洞扫描器, 端口扫描器可以获取目标服务器主机开放端口的相关信息, 例如:扫描到主机开放了1433端口, 则说明该主机配置了sql server服务器, 这些信息对一般人并没有太大的价值, 因为他们对这些服务的细节并不了解, 当然也不清楚系统的漏洞在哪里, 但对于专业的黑客来讲, 这些信息就成为攻击系统所必须的关键信息。而漏洞扫描工具就是直接扫描目标主机中可能包含的已知漏洞, 黑客可以利用漏洞扫描的结果直接进行攻击。虽然漏洞扫描的方式可以直接给出漏洞, 但实际这种扫描的方式并不构成直接的威胁, 因为扫描到的漏洞大多是已知的公开的漏洞, 系统管理员早已修补了这些广为流传的漏洞, 因此, 真正威胁网络安全的方式是使用端口扫描器, 经验丰富的黑客只要看到端口扫描的信息, 就可以马上判断系统有那些危险的漏洞。

端口扫描的原理就是利用在socket套接字基础上的connect () 函数的调用[1], 与目标主机的端口进行网络连接, 如果连接成功, 说明该端口处于侦听状态, 从而进一步能判断提供了什么网络服务。该函数原型如下:

int connect (int sockfd, struct sockaddr*serv_addr, int addrlen) ;

其中:sockfd:标识一个套接字。serv_addr:套接字想要连接的主机地址和端口号。addrlen:缓冲区的长度。成功则返回0, 失败返回-1;根据函数返回值可以判断端口是否连接成功。

使用connect () 方式的优点是不需要root权限就可以调用函数进行连接, 而且可以同时使用多个套接字并行连接, 加快了扫描连接的速度, 当多个连接并行, 出现网络拥塞时, 可以调整connect的超时时间;一般connect的超时时间在75秒到几分钟之间。当有网络延迟时就会全部阻塞, 而设置socket为非拥塞模式, 同时设置select () 函数较短的等待时间, 这样连接失败等待很短的时间就释放资源, 就防止了拥塞, 加速了连接。

但connect () 通过TCP与目标主机端口建立连接的过程会被服务器记录在log文件里, 很容易被管理员或防火墙发现, 从而关闭连接, 所以, 很多真正实施攻击的黑客不会采用这种方法, 转而使用更为隐蔽的扫描方式。

这种技术的原理就是“化整为零”, 不再使用TCP三次握手建立完整的连接过程, 而是针对连接的某一步骤入手, 进行分析标志位的信息来看端口是否开放;主要有TCP FIN扫描、TCP XMAS扫描和IP分片扫描等几种方式, TCP FIN原理是TCP连接结束时, 当向目标主机端口发送一个设置了FIN位的数据报, 关闭的端口会回应设置RST位的数据报, 而开放的端口会忽略对FIN数据报的回复, 将它丢弃。因此可以根据收到RST数据报来判断目标主机的端口是否开放。这种方式就有很好的隐蔽性, 不容易被检测到, 但有些系统并没有遵循回复FIN数据报的规定, 会出现误判的情况。而TCP XMAS扫描的实现方式和TCP FIN方式类似, 也是发送设置相应标记的数据报, 关闭的端口会回复RST数据报。IP分片扫描的方式是将TCP探测数据包分成较小的IP数据包, TCP报头被分成若干段放入IP包中, 穿过防火墙到达目标主机后再合成相应的TCP报文, 所以它能绕过防火墙的检测, 达到隐藏的目的。

2.2 口令破解

如果能用管理员或某个用户账号登录系统, 就不需要端口扫描了, 直接能获得整个主机的很多信息和资源, 甚至能控制这些主机, 使其成为网络攻击的傀儡机[2]。所以, 很多黑客从破解用户的账号口令入手实施攻击。

而很多用户在选择自己的口令时, 选用很短的口令, 美国普渡大学曾做过专门的调查, 对7000多个用户的账号口令进行统计, 结果有3%的用户密码不超过3位, 58%的用户密码不超过7位, 不仅如此, 更为严重的是很多人在选择口令时, 使用自己的名字、电话或字典中常见的单词。这让口令破解变的很容易实现, 破译过程由编制的程序来完成的。大概数小时就可以把字典里的单词都完成测试, 其中有很多就是用户设定的密码。有研究者收集了unix口令文件近14000加密的口令, 然后尝试用户姓名、字典中的单词、单词的不同排列等方法, 研究的结果令人震惊, 共有近3/4的口令被猜出。

2.3 脚本攻击

随着人们对网络安全的重视, 系统的漏洞在逐渐减少, 于是黑客又把目光投向了脚本攻击, 它利用常见的交互式动态网页实施攻击因为在动态网页中, 一般都有把用户输入的内容输出的功能, 如果用户输入了非法的脚本代码, 而系统又没有对用户的输入做检查时, 就能轻易让攻击者执行恶意的脚本代码, 从而实现非法的目的, 其中最经典的要数SQL注入攻击的登录验证, 在登录时, 编程者设计的登录代码一般是这样:

S e l e c t*f r o m u s e r w h e r user name=’request (“username”) ’and password=’request (“password”) ’

如果在登录框里输入”1 or‘1’=’1’”的内容, 则登录代码就会演变成这样:

Select*from user wher username=’1’o‘1’=’1’and password=’1’or‘1’=’1’

因为’1’=’1’恒成立, 所以用户就能通过登录验证进入系统。随着这个漏洞被广泛的流传, 大多程序员在设计web程序时都会过滤掉用户输入的非法字符来避免这样的漏洞被利用, 然而攻击者依然可以利用把非法字符转换成ASCII码, 然后再用转换函数把ASCI码值还原为特殊的字符, 继续利用这样的漏洞。

2.4 缓冲区溢出攻击

缓冲区溢出是黑客们常用的攻击手段, 是因为开发操作系统以及应用程序的编程语言大都没有对边界进行检查, 存在缓冲区溢出漏洞。所谓缓冲区指的是一段连续内存空间, 当在程序设计时, 由于疏忽或是故意向缓冲区内写入的数据超过了缓冲区设定的容量, 就产生了缓冲区溢出的安全问题, 内存单位中缓冲区之外的单元被写入的数据覆盖, 正常情况下, 这种溢出错误导致应用程序的出错或者运行中止, 但是, 当攻击者精心设计程序代码, 使得覆盖缓冲区之外的内存单元后, 把堆栈返回的地址区域覆盖为自己设定的函数或代码入口, 就能执行攻击者编写的程序, 可以执行任意操纵, 对系统的危害很大。

例如:有程序段如下:

int main (int argc, char**argv) {

char buf[20];

strcpy (buf, argv[1]) ;

Return 0;}

当命令行参数的内容超过20字节时就会使buf区填满而产生缓冲区溢出, 如果对bu填充的内容精心构造, 使得覆盖缓冲区之外的EIP (指令指针) 的地址为自己程序的入口地址, 就能实现缓冲区溢出的攻击了。

3 网络入侵检测

目前入侵检测的产品有很多种, 其中著名的开放源码网络入侵检测程序Snort就是其中的代表。Snort由数据包截获模块、数据包预处理模块、规则匹配模块和告警输出模块组成[3], 其检测的原理是采用的libpcap库来捕获链路层的数据包, 然后对数据包进行预处理, 比如对分片的数据包进行重组等, 使经过预处理后的数据包符合协议规则, 接着把数据包送入检测引擎进行规则检测, 检测包头是TCP包、IP包还是UDP包, 然后进行数据包内容的匹配, 若匹配成功则调用报警函数进行报警记录。例如有snort规则如下:

a l e r t t c p$E X T E R N A L_N E T a n y->$HOME_NET 22 (msg:"SCAN SSH Version m a p a t t e m p t";f l o w:t o_s e r v e r, e s t a b l i s h e d;c o n t e n t:"Ve r s i o n_M a p p e r";n o c a s e;classtype:network-scan;sid:1638;rev:5;)

当数据包目标端口为22, 内容包含“Version_Mapper”, 并且不区分大小写, snort就会报警输出“SCAN SSH Version map attempt”的信息, 让我们警惕有人在扫描SSH服务端口, 从而及时做出反应, 防止攻击者下一步试图登录远程主机。

4 结束语

目前网络安全的形式不容乐观, 网络攻击的手段和方法不断更新[4], 随着网络购物的兴起, 由网络安全问题所造成的损失也越来越大, 另外, 随着网络知识的广泛传播, 对于网络相关知识的学习变得更加方便, 掌握网络安全技术的门槛逐渐降低, 这些都成为威胁网络安全的因素, 所以, 研究网络攻击的检测和对之进行防范就显得刻不容缓。

参考文献

[1]fyodor, Remote OS detection via TCP/IP Stack FingerPrinting.http://www.insecure.org/nmap/nmapfingerprinting-article.txt.1998.10

[2]Andrew S.Tanenbaum, 潘爱民译.计算机网络 (第四版) , 清华大学出版社, 2004.

[3]胡道元, 闵京华.网络安全[M].北京:清华大学出版社, 2004:264-285

[4]连一峰.入侵检测综述[J].网络安全技术与应用.2003 (3) :47-49

网络入侵的方法与检测论文 篇2

经过精心配置的Win服务器可以防御90%以上的入侵和渗透，但是，就象上一章结束时所提到的：系统安全是一个连续的过程，随着新漏洞的出现和服务器应用的变化，系统的安全状况也在不断变化着；同时由于攻防是矛盾的统一体，道消魔长和魔消道长也在不断的转换中，因此，再高明的系统管理员也 不能保证一台正在提供服务的服务器长时间绝对不被入侵，所以，安全配置服务器并不是安全工作的结束，相反却是漫长乏味的安全工作的开始，本文我们将初步探讨Win2000服务器入侵检测的初步技巧，希望能帮助您长期维护服务器的安全。入侵的检测主要还是根据应用来进行，提供了相应的服务就应该有相应的检测分析系统来进行保护，对于一般的主机来说，主要应该注意以下几个方面：

1。基于80端口入侵的检测

WWW服务大概是最常见的服务之一了，而且由于这个服务面对广大用户，服务的流量和复杂度都很高，所以针对这个服务的漏洞和入侵技巧也最多。对于NT来说，IIS一直是系统管理员比较头疼的一部分，不过好在IIS自带的日志功能从某种程度上可以成为入侵检测的得力帮手。IIS自带的日志文件默认存放在System32/LogFiles目录下，一般是按24小时滚动的，在IIS管理器中可以对它进行详细的配置。

我们假设一台WEB服务器，开放了WWW服务，你是这台服务器的系统管理员，已经小心地配置了IIS，使用W3C扩展的日志格式，并至少记录了时间(Time)、客户端IP(Client IP)、方法(Method)、URI资源(URI Stem)、URI查询(URI Query)，协议状态(Protocol Status)，我们用最近比较[/size]流行的Unicode漏洞来进行分析：打开IE的窗口，在地址栏输入：127。0。0。1/scripts/。。%c1% 1c。。/winnt/system32/cmd。exe?/c+dir默认的情况下你可以看到目录列表，让我们来看看IIS的日志都记录了些什么，打开Ex010318。log(Ex代表W3C扩展格式，后面的一串数字代表日志的记录日期)：07：42：58 127。0。0。1 GET /scripts/。。。。/winnt/system32cmd。exe /c+dir 200上面这行日志表示在格林威治时间07：42：58(就是北京时间23：42：58)，有一个家伙(入侵者)从127。0。0。1的IP在你的机器上利用Unicode漏洞(%c1%1c被解码为，实际的情况会因为Windows版本的不同而有略微的差别)运行了cmd。exe，参数是/c dir，运行结果成功(HTTP 200代表正确返回)。

大多数情况下，IIS的日志会忠实地记录它接收到的任何请求(也有特殊的不被IIS记录的攻击，这个我们以后再讨论)。但是，IIS的日志动辄数十兆、流量大的网站甚至数十G，人工检查几乎没有可能，唯一的选择就是使用日志分析软件，用任何语言编写一个日志分析软件(其实就是文本过滤器)都非常简单。

告诉大家一个简单的方法，比方说你想知道有没有人从80端口上试图取得你的Global。asa文件，可以使用以下的命令：find Global。asa ex010318。log /i。这个命令使用的是NT自带的find。exe工具，可以轻松的从文本文件中找到你想过滤的字符串，Global。asa是需要查询的字符串，ex010318。log是待过滤的文本文件，/i代表忽略大小写。因为我无意把这篇文章写成微软的Help文档，所以关于这个命令的其他参数以及它的增强版FindStr。exe的用法请去查看Win2000的帮助文件，

无论是基于日志分析软件或者是Find命令，你都可以建立一张敏感字符串列表，包含已有的IIS漏洞(比如+。htr)以及未来将要出现的漏洞可能会调用的资源(比如Global。asa或者cmd。exe)，通过过滤这张不断更新的字符串表，一定可以尽早了解入侵者的行动。

需要提醒的是，使用任何日志分析软件都会占用一定的系统资源，因此，对于IIS日志分析这样低优先级的任务，放在夜里空闲时自动执行会比较合适，如果再写一段脚本把过滤后的可疑文本发送给系统管理员，那就更加完美了。同时，如果敏感字符串表较大，过滤策略复杂，我建议还是用C写一个专用程序会比较合算。

2。基于安全日志的检测

通过基于IIS日志的入侵监测，我们能提前知道窥伺者的行踪(如果你处理失当，窥伺者随时会变成入侵者)，但是IIS日志不是万能的，它在某种情况下甚至不能记录来自80端口的入侵，根据我对IIS日志系统的分析，IIS只有在一个请求完成后才会写入日志，换言之，如果一个请求中途失败，日志文件中是不会有它的踪影的(这里的中途失败并不是指发生HTTP400错误这样的情况，而是从TCP层上没有完成HTTP请求，例如在POST大量数据时异常中断)，对于入侵者来说，就有可能绕过日志系统完成大量的活动。而且，对于非80 Only的主机，入侵者也可以从其它的服务进入服务器，因此，建立一套完整的安全监测系统是非常必要的。

Win2000自带了相当强大的安全日志系统，从用户登录到特权的使用都有非常详细的记录，可惜的是，默认安装下安全审核是关闭的，以至于一些主机被黑后根本没法追踪入侵者。所以，我们要做的第一步是在管理工具-本地安全策略-本地策略-审核策略中打开必要的审核，一般来说，登录事件与账户管理是我们最关心的事件，同时打开成功和失败审核非常必要，其他的审核也要打开失败审核，这样可以使得入侵者步步维艰，一不小心就会露出马脚。仅仅打开安全审核并没有完全解决问题，如果没有很好的配置安全日志的大小及覆盖方式，一个老练的入侵者就能够通过洪水般的伪造入侵请求覆盖掉他真正的行踪。通常情况下，将安全日志的大小指定为50MB并且只允许覆盖7天前的日志可以避免上述情况的出现。

除了安全日志，系统日志和应用程序日志也是非常好的辅助监测工具，一般来说，入侵者除了在安全日志中留下痕迹(如果他拿到了Admin权限，那么他一定会去清除痕迹的)，在系统和应用程序日志中也会留下蛛丝马迹，作为系统管理员，要有不放过任何异常的态度，这样入侵者就很难隐藏他们的行踪。

3。文件访问日志与关键文件保护

除了系统默认的安全审核外，对于关键的文件，我们还要加设文件访问日志，记录对它们的访问。

文件访问有很多的选项：访问、修改、执行、新建、属性更改一般来说，关注访问和修改就能起到很大的监视作用。

例如，如果我们监视了系统目录的修改、创建，甚至部分重要文件的访问(例如cmd。exe，net。exe，system32目录)，那么，入侵者就很难在不引起我们注意的情况下安放后门。要注意的是，监视的关键文件和项目不能太多，否则不仅增加系统负担，还会扰乱日常的日志监测工作。关键文件不仅仅指的是系统文件，还包括有可能对系统管理员和其他用户构成危害的任何文件，例如系统管理员的配置、桌面文件等等，这些都是有可能被用来窃取系统管理员资料和密码的。

4。进程监控

网络入侵的方法与检测论文 篇3

【关键词】网络入侵、防御技术、服务器、网关、入侵技术

一、网络入侵简介：

网络入侵是指利用各种计算机技术手段，非法的侵入他人系统，在未经他人允许的前提下，获得访问权限。进行数据的占有，修改甚至破坏。而为了达到这样的目的，通常采用的入侵攻击方式有很多。简单介绍如下：破解口令密码。口令密码是用户为了保护信息安全，设置的口令，破解了口令就拥有了用户的相应权限。破解方式有：暴力数据字典破解、权限占有破解、肉鸽记录密码等多种方式。还可以利用计算机缓冲区的溢出、对计算机开放的端口进行不断的扫描，占用破解。又或者绕过防范从后门进行网络攻击入侵。可以说攻击入侵技术积累至今已经有众多的方式和技术，无法用数字去具体统计。美国的专门机构曾经将它分成了四大类。第一类，用试探扫描的芳芳去宣召漏洞；第二类，通过权限占有进行攻击；第三类，利用木马或者大量访问的攻击方式致使服务无法进行，令服务器瘫痪，第四类，我们常常说的反检测入侵。逃过检测手段获得攻击的机会。

二、网络入侵检测技术

（一）网络入侵检测技术简介：网络入侵检测是通过动态实时的追踪方法，及时对各种入侵做出反应。发现正在发生的危险，从而实现入侵防御或者入侵反攻击的手段。技术多采用在网络和服务器中各个断电设置检测，多路侦聽，一旦有设置好的类似网络入侵的行为被发现，就发出警报。提示入侵及时做出防御措施。根据使用者要求追踪入侵来源甚至反向攻击。

网络入侵检测技术和防火墙技术能够互相辅助。当入侵技术绕过或者通过技术手段越过了防火墙。那么入侵检测技术就发挥了第二层次的保护作用。它在网络环境内不断监听，对事先设置好的各种危险入侵行为进行检测，一旦发现就说明有黑客实现了入侵。这时候它可以切断网络，记录攻击行为，修改日志，及时发出警报等等操作。这种检测虽然在不断运行中，但是它并不会影响网络运行的效率，是新兴的网络安全技术。

（二）网络入侵检测技术的分类方式：

网络入侵检测根据分类方法不同有不同的划分。首先从作用划分，可以划分为检测和防御两大类。检测是指利用实时监听的方式，在黑客的恶性攻击出现时甚至将要出现时，及时的发现。而入侵防御是检测发生后的第二阶段。丢弃掉恶性攻击的文件，切断攻击源。 根据检测的数据来分：分为攻击网络主机、攻击内网、同时攻击网络主机和内网三种不同方式。根据拓扑结构和网络架构来划分可以分为分布式攻击、层次式攻击。

（三）入侵检测的体系结构

网络入侵检测的体系结构通常由三部分组成，分别为Agent、Console以及Manager。其中Agent的作用是对网段内的数据包进行监视，找出攻击信息并把相关的数据发送至管理器；Console的主要作用是负责收集代理处的信息，显示出所受攻击的信息，把找出的攻击信息及相关数据发送至管理器；Manager的主要作用则是响应配置攻击警告信息，控制台所发布的命令也由Manager来执行，再把代理所发出的攻击警告发送至控制台。

（四）入侵检测系统的评估

对于入侵检测系统的评估，主要的性能指标有：可靠性，系统具有容错能力和可连续运行；可用性，系统开销要最小，不会严重降低网络系统性能；可测试，通过攻击可以检测系统运行；适应性，对系统来说必须是易于开发的，可添加新的功能，能随时适应系统环境的改变；实时性，系统能尽快地察觉入侵企图以便制止和限制破坏；准确性，检测系统具有较低的误警率和漏警率；安全性，检测系统必须难于被欺骗和能够保护自身安全

三、网络入侵检测方法介绍

异常入侵检测的主要前提条件是将入侵性活动作为异常活动的子集，理想状况是异常活动集与入侵性活动集等同，这样，若能检测所有的异常活动，则可检测所有的入侵活动。但是，入侵性活动并不总是与异常活动相符合。。异常入侵要解决的问题是构造异常活动集，并从中发现入侵性活动子集。异常入侵检测方法依赖于异常模型的建立。误用入侵检测是通过将预先设定的入侵模式与监控到的入侵发生情况进行模式匹配来检测。它假设能够精确地将入侵攻击按某种方式编码，并可以通过捕获入侵攻击将其重新分析整理，确认该入侵行为是否为基于对同一弱点进行入侵攻击方法的变种，入侵模式说明导致安全事件或误用事件的特征、条件、排列和关系。根据匹配模式的构造和表达方式的不同，形成了不同的误用检测模型。

四、入侵检测技术的不足之处

首先，入侵检测通常式实现内网的监控，所以只会对相同网段进行，不可以跨网段。如果使用硬件设备实现跨越网段检测就会增加系统开支。检测的内容需要进行预先设置，以匹配的方式进行寻找，如果遇到计算量大，或者刚刚出现的新攻击手段，入侵检测就很难发现入侵。虽然成为了防火墙技术的有效补充，但是并不能真正的实现互动。在通过防火墙后，检测技术即使发现，防火墙也无法再次产生防范作用。浪费了防火墙的隔断功能。

参考文献：

[1]刘积芬，非负矩阵分解降维的入侵检测方法[J]，计算机工程与应用，2012（30）.

[2]张雪芹，顾春华，吴吉义，异常检测中支持向量机最优模型选择方法[J]，电子科技大学学报.2011（04）.

[3]梅海彬，龚俭，张明华，基于警报序列聚类的多步攻击模式发现研究[J]，通信学报.2011（05）.

[4]熊伟，胡汉平，王祖喜，杨越，基于突变级数的网络流量异常检测[J]，华中科技大学学报（自然科学版），2011（01）.

[5]张雪芹，顾春华，吴吉义，基于约简支持向量机的快速入侵检测算法[J]，华南理工大学学报（自然科学版），2011（02）.

网络入侵的方法与检测论文 篇4

关键词：入侵检测,数据挖掘,聚类分析,关联分析

1 入侵检测概念

入侵检测主要过程包括:数据采集、数据分析、响应过程。数据采集是从网络系统的多个点进行, 采集内容包括系统日志、网络数据包、重要文件以及用户活动的状态与行为等。数据分析则通过模式匹配、异常检测和完整性检测三种技术手段对采集的数据进行分析。

2 入侵检测分类

按照检测对象划分:

基于主机:系统分析的数据是计算机操作系统的事件日志、应用程序的事件日志、系统调用、端口调用和安全审计记录。主机型入侵检测系统保护的一般是所在的主机系统。是由代理来实现的, 代理是运行在目标主机上的小的可执行程序, 它们与命令控制台通信。

基于网络:系统分析的数据是网络上的数据包。网络型入侵检测系统担负着保护整个网段的任务, 基于网络的入侵检测系统由遍及网络的传感器组成。

混合型:基于网络和基于主机的入侵检测系统都有不足之处, 会造成防御体系的不全面, 综合了基于网络和基于主机的混合型入侵检测系统既可以发现网络中的攻击信息, 也可以从系统日志中发现异常情况。

3 网络数据收集

以太网数据传输系统正常工作的时候, 应用程序只能接收到以本主机为目标主机的数据包, 其它数据包将被丢弃不作处理。因此要截获到流经网卡的不属于自己主机的数据, 必须绕过系统正常工作的处理机制, 直接访问数据链路层, 截获相关数据, 并进行过滤处理, 这样就可以截获流经网卡的所有数据。

利用Tcpdump就可以实现网络数据包的捕获, 它将网络中传送的数据包的“头”完全截获下来提供分析, 并支持针对网络层、协议、主机、网络或端口的过滤。其中用户对数据包的检查或者处理程序可以通过回调 (Callback) 机制进行调用。

对于TCP协议的数据包, Tcpdump截获的数据信息包含如下:

时间戳源IP地址源端口>目的IP地址目的端口TCP标志数据的序列号

响应序列号接收缓存的窗口大小优先级选项

对于UDP协议的数据包, Tcpdump截获的数据信息包含如下:

时间戳源IP地址源端口>目的端口数据包长度

4 数据预处理

由于从网络上截获的数据是二进制的, 首先要对二进制网络数据进行预处理, 处理成适合数据挖掘的格式。由于在同一段时间内, 网络上可能会同时建立很多连接, 这些连接数据包是按时间顺序排列的, 这样就会导致不同连接的数据包相互穿插。因此, 为了收集有关连接的信息, 需要把所有关于一条连接的所有数据包整理成一条连接记录, 首先把截获的二进制数据包文件转换成ASCII格式的分组数据包, 一个数据包一行, 将这些数据包按照时间戳排序。然后再把这些数据包处理成一组由属性特征组成的连接记录。用一个脚本程序扫描ASCII格式文件中的每行数据, 把属于同一连接的所有数据包总结成一条连接记录, 对每条TCP连接, 脚本程序完成的工作:

在连接建立阶段, 检查TCP三次握手是否正常, 如果没有正常建立连接, 检查连接的结束状态以及连接建立不成功的原因。

在数据传输阶段, 监控所有的数据包和控制包, 记录与连接有关的某些统计值。

在连接结束阶段, 检查连接结束的状态。

5 数据挖掘算法在入侵检测中的应用

数据挖掘从存储的大量数据中识别出有效的、新的、具有潜在用途及最终可以理解的知识。以数据为中心, 把入侵检测看成一个数据分析过程, 利用数据挖掘的方法从审计数据或数据流中提取出感兴趣的知识。提取的知识表示为概念、规则、规律、模式等形式, 并用这些知识去检测异常入侵和已知的入侵。目前应用到入侵检测中的数据挖掘算法有:将它们能起到不同的效果。

(1) 关联分析算法:关联分析算法可以挖掘出记录中不同属性之间的关联关系。利用审计数据中各数据项之间的关系, 作为构造用户所使用的模式的基础。

(2) 序列分析算法:序列分析算法可以获取记录之间在时间窗口中的关系, 可以发现审计数据中一些经常以某种规律出现的事件序列模式。这些频繁发生的事件序列模式可以在构造入侵检测模型时选择有效的统计特征。使用关联分析数据挖掘和序列分析数据挖掘算法可以得到正常行为的模式, 用于异常入侵检测。

(3) 聚类分析对未经标记的训练数据, 进行特征分析, 通过K中心点算法 (或其它算法) 在不具备任何领域知识背景的情况下执行入检测功能。

(4) 分类分析算法:它将一个数据集合映射成预先定义好的若干类别, 利用该算法进行入侵检测的方法是:先收集用户或应用程序的“正常”和“非正常”的审计数据, 然后用一个分类算法得到规则集, 用它来预测新的审计数据属于正常还是异常。

数据挖掘技术的优点在于:系统能够从大量的审计数据中自动产生精确的适用的检测模型, 使入侵检测系统适用于任何计算环境;不需要用户提供主观的评价信息, 善于发现容易被主观忽视和隐藏的信息。

6 入侵检测过程分析

入侵检测过程分为三部分:信息收集、信息分析和结果处理。

信息收集:入侵检测的第一步是信息收集, 收集内容包括系统、网络、数据及用户活动的状态和行为。由放置在不同网段的传感器或不同主机的代理来收集信息, 包括系统和网络日志文件、网络流量、非正常的目录和文件改变、非正常的程序执行。

信息分析:收集到的有关系统、网络、数据及用户活动的状态和行为等信息, 被送到检测引擎, 检测引擎驻留在传感器中, 一般通过三种技术手段进行分析:模式匹配、统计分析和完整性分析。当检测到某种误用模式时, 产生一个告警并发送给控制台。

结果处理:控制台按照告警产生预先定义的响应采取相应措施, 可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性, 也可以只是简单的报警。

参考文献

[1]蒋建春, 冯登国.网络入侵检测原理与技术[M].北京.国防工业出版社, 2001.

网络入侵的方法与检测论文 篇5

简单的方法就是检查系统日志、进程表和文件系统，查看是否存在一些“奇怪的”消息、进程或者文件。例如：

两个运行的inetd进程（应该只有一个）；

.ssh以root的EUID运行而不是以root的UID运行；

在“/”下的RPC服务的核心文件；

新的setuid/setgid程序；

大小迅速增长的文件；

df和du的结果不相近；

perfmeter/top/BMC Patrol/SNMP（以上都是一些监控的程序）的监视器与vmstat/ps的结果不符，远高于平时的网络流量；

dev下的普通文件和目录条目，尤其是看起来名称比较正常的；

/tc/passwd和/etc/shadow，下是否有不正常或者没有密码的账号存在；

/tmp、/var/tmp和其他有可写权限的目录下的奇怪文件名，这里所指的奇怪是指名字类似于“…”的（3个点），

如果您发现这样的名称，但实际上却是个目录的话，那么你的系统十有八九存在问题。

也要注意查看/.rhosts，/etc/hosts.equiv，/.ssh/known_hosts和~/.rhosts，看看是否有不合适的新条目存在。

另外，还要密切注意那些隐蔽的信任关系。例如，NFS上主机之间是怎么挂载的？哪台主机有关于别的主机的.hosts、.shosts和hosts.equiv条目？哪台主机有.netrc文件？该主机与谁共享网段？您应该继续对它做一番调查。通常攻击者不止破坏一台主机，他们从一台主机跳到另一台，隐藏好踪迹，并开放尽可能多的后门。

网络入侵的方法与检测论文 篇6

关键词：移动Agent；入侵检测技术；网络安全

中图分类号：TP393.08 文献标识码：A文章编号：1007-9599(2011)07-0000-01

Network Intrusion Detection Technology Based on Mobile Agent

Su Zikang,Yang Jichao

(School of Information and Electrical Engineering,CUMT,Xuzhou221008,China)

Abstract:With the development of network security technology,

Intrusion Detection System(IDS) has been applied to Network more and more common.But there are many defects in conventional IDS.The mobile agent

-based combine the distributed computer technology and AI,remedies the defects.This paper researches Mobile Agent System(MAS) on its

architecture,communication system,data security,research status and development trends.

Keywords:Mobile Agent;Intrusion detection technology;Network security

一、入侵检测（IDS）概述

入侵检测是指“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作，检测到对系统的闯入或闯入的企图”。其实现方法也有许多种，最常用的就是防火墙技术。但是目前的入侵检测技术普遍存在许多缺陷：比如现有的入侵检测系统检测速度远小于网络传输速度，会导致误报和漏报；入侵检测产品和其它网络安全产品结合存在诸多问题；基于网络的入侵检测系统对加密的数据流不能进行检测；入侵检测系统体系结构问题。

二、移动Agent的特点

移动Agent因其分布式协同处理和智能化的特点，弥补传统入侵检测系统的不足，正引起研究者的重视并成为未来入侵检测的一个发展方向。基于Agent的入侵检测系统具有以下的优点：

1.Agent能够减轻网络负载和网络时延。2.Agent异步自主运行，具有自然异构性，单个的Agent出现故障时，并不会将故障扩展到整个网络。3.Agent能在异构网络环境下很好的工作运行，可对各种网络平台和设备实现应用层互操作。4.多Agent协作能力，且可以多点检测，跨越传统基于主机和网络的入侵检测边界。

三、移动Agent的结构和工作原理

基于移动Agent的系统由用户Agent和服务器端的Agent Host(AH)两个基本部分组成。AH为每个移动Agent服务，同时为每个Agent建立了运行环境和服务接口，通过Agent传输协议ATP实现Agent在网络中不同主机间的移动。其工作原理如下图 1所示：

Public Network

User`s Agent

Server/database.etc

图 1 移动Agent的工作原理示意

移动Agent有远程节点（Remote User）发出，它本质上是一段程序代码，可以在异构网络不同移动Agent平台自主迁移，并可和其他Agent通讯交互来完成所需任务。移动Agent通过无线网络迁移到目的服务器节点，通过服务器提供服务获得期望的数据信息。同时由服务器的信息存储数据库（Information Store）记录移动Agent数据处理现场和其他相关信息。

四、移动Agent的通信

移动Agent的通信方式很多，包括消息传递、RPC和Agent通信语言ACL等。但是，当一个任务相当复杂的时，假使用单个的Agent来完成该任务，就会使得设计出来的Agent常复杂甚至很难实现，这就需要通过设计多个移动Agent协作来完成。因此，各个Agent之间必然需要进行交互，来完成协作。这种交互指的就是Agent之问的通信。常用黑板系统和消息通信实现多个Agent间通信。

五、移动Agent系统的安全性

典型移动Agent系统包含Agent本身、主机以及连接各主机的网络。图 2是简化移动Agent系统简化模型。

图 2 移动Agent系统模型

可见移动Agent系统安全性主要涉及：移动Agent通信安全、Agent自身安全、Agent服务器安全三方面。移动Agent通信安全涉及通过修改或伪造错误数据流来实现破坏的主动攻击和通过偷听或监视传送来获得正在传输信息的被动攻击。Agent自身安全是指其重要参数和数据可能受到包括伪装、拒绝服务、窃听及篡改的攻击。Agent服务器作为运行移动Agent的平台更容易受到攻击。目前，针对移动Agent的安全对策也主要从以上三个所涉及的方面出发设计和实现的。

六、结束语

传统的入侵检测技术有很多固有缺点，不能适应不断更新的网络攻击手段。而基于移动Agent入侵检测技术凭借自身出色的分布自治性和智能性，提高了网络安全系统的安全性和可靠性。移动Agent可与无线局域网实现很好配合，使信息服务和数据共享更为有效，弥补了网络自身存在的许多问题。但由于Agent的可以动性，系统安全性会受到一定威胁，基于移动Agent的安全性问题还需要经一步研究。

参考文献：

[1]王珺,王崇骏,谢俊元,陈世福.基于Agent的网络入侵检测技术的研究[J].计算机科学,2006 Vol.33No.12

网络入侵的方法与检测论文 篇7

随着互联网技术与计算机技术的不断发展,互联网得到了广泛的普及,为人们的生活、学习、工作带来了无限的便利,可以说人们已经无法离开互联网。互联网为人们带来便利的同时,也带来了新的问题,也就是互联网网络安全问题。随着互联网犯罪率的逐年升高以及恶劣程度逐渐加剧,网络安全越来越多地引起了人们的更深入的关注。网络入侵检测一直是人们研究互联网技术的热点问题之一,随着互联网入侵类型以及技术的不断更新,传统常规的网络入侵检测方法已经不能够满足现阶段网络入侵检测要求;提高网络入侵检测系统检测率以及检测效率是研究网络入侵检测方法的主要问题之一[1,2]。

基于统计学习理论发展起来的支持向量机因为其具有较强的泛化能力以及处理非线性问题的能力,同时在局收敛性、处理非线性问题、小数据样本等问题上要优于其他机器学习算法,因此其在网络入侵检测系统中得到了广泛的应用。但是其算法存在稀疏性差、核函数容易受到条件制约等缺陷[3]。

因此,本文研究一种基于混合核函数的最小二乘支持向量机作为网络入侵检测模型的核心算法,使用粒子群优化算法对最小二乘支持向量机的各个参数进行优化。RBF核函数属于局部核函数,Polynomial核函数属于全局核函数。局部核函数与全局核函数区别在于:局部核函数具有较强的学习能力以及较弱的泛化能力;全局核函数正好相反,其具有较强的泛化能力以及较弱的学校能力。因此将上述两种核函数进行混合,构造一种新型混合函数,以发挥两种核函数的优势,规避其劣势。

1混合函数PSO-LSSVM

1.1最小二乘支持向量机

Vapnik基于统计学习理论提出一种依据最小化结构风险原理的小样本学习方法,这种学习方法辨识支持向量机,简称SVM。

设定xi是n维输入向量,yi是一维输出值,l是样本数量,你们训练样本集合表示为:

令 φ 作高维特征映射,H是高维特征空间,则有线性可分的非线性映射关系:φ:Rn→ H。在高维特征空间H中,拟合样本集合可以表示为[4]:

将每个训练样本进行线性拟合,但要保证在误差在要求范围内,设定两个松弛因子 ξ 和 ξ*,其不小于零值,则误差最小化可表示为:

式中c为惩罚系数。

约束条件为:

Suykens等提出一种最小二乘支持向量机,简称LS-SVM,其基于正则化原理,使用最小二乘函数以及等式约束将式(2)、式(3)转化为:

约束条件转化为:

对应的Lagrange函数为:

式中:ai为Lagrange乘子,ai≥ 0(i = 1,2,⋯,l) 。

对式(5)求偏导数得到:

式中:I是l阶的单位矩阵;K是核函数矩阵。

由式(7)解出回归函数,表示为[5]:

1.2混合函数LS-SVM

支持向量机的很多特性通常受到核函数的类型影响。常见的传统核函数有:

(1)Polynomial核函数:

(2)RBF核函数:

(3)Sigmoid核函数:

RBF核函数属于局部核函数,Polynomial核函数属于全局核函数。局部核函数与全局核函数区别在于,局部核函数具有较强的学习能力以及较弱的泛化能力,全局核函数正好相反,其具有较强的泛化能力以及较弱的学校能力。因此可以上述两种核函数进行混合,构造一种新型混合函数,以发挥两种核函数的优势,规避其劣势。混合函数可以表示为[6]:

式中:γ 为RBF核函数惩罚系数;q为Polynomial核函数核阶数;a为混合权重系数,a ∈[0,1] 。RBF核函数即为a为0时的混合函数;Polynomial核函数即为a为1时的混合函数。

由上述分析可知,核函数的核矩阵均是半正定的。 其满足运行由简单构建块构造复杂核的闭性质。

若K1,K2是X × X的核,X ∈ Rn,f (x) 属于X上实值函数,那么下列组合函数还是核函数:

故新的混合函数仍满足条件[7]。

1.3 PSO优化算法

PSO优化算法是由Eberhart和Kennedy研究的一种使用实数求解的,易于实现的基于群体智能的全局搜索算法。

设定在D维空间中,一个群体是通过m个粒子组合而成,其中,设定第i个粒子具的位置是xi,具有的速度是vi。其中xi= (xi1,xi2,...,xi D),i = 1,2,...,m,vi= (vi1,vi2,...,vi D)。寻找每个粒子的最优位置,也就是个体极值,表示为Pbesti= ( pi1,pi2,...,pi D)以及所有粒子的最优位置,也就是全局极值,表示为Gbesti= (g1,g2,...,gD)。 之后各个粒子根据下列公式推算其粒子下一次迭代的速度和位置:

式中:k为第k次迭代;d = 1,2,...,D;c1, c2为学习因子, 通常c1= c2= 2.05 ;w为惯性权重;rand1和rand2为0~1的随机数[8];

设定惯性权重w的取值随着当前迭代次数增加而线性减小:

式中:wmin为最后权重,通常wmin= 0.45 ;T为现在迭代次数;Tmax为迭代次数最大值,Tmax= 200;wmax为初始权重[9],通常wmax= 0.9;

1.4基于混合核函数的PSO-LSSVM算法

首先需要对RBF核函数参数 γ 和惩罚系数c这两个参数进行优化,方能使用基于传统RBF核函数支持向量机的粒子群优化算法。基于混合核函数的PSO-LSSVM优化算法为了得到最好的性能,需要对RBF核函数参数 γ 、惩罚系数c 、Polynomial核函数核阶数q以及混合权重a这4个参数进行优化[10]。

2实验研究

2.1数据来源

在实验室的Intel i7 2620QM,16 GB RAM,1 TB硬盘,Windows 7操作系统环境的工作站中使用Matlab网络入侵检测模型进行模拟仿真研究,数据来源于著名的KDD CUP99数据库。KDD CUP99数据库涵盖了各种类型网络入侵攻击数据,最典型的有以下四类:

(1)Probe:扫描攻击();

(2)DOS:拒绝服务攻击;

(3)U2L:未授权使用本地超级权限访问攻击;

(4)U2R:远程用户未授权访问攻击[11]。

由于KDD CUP99数据库非常庞大,不可能对数据库中所有数据进行提取使用,因此只从KDD CUP99数据库随机提出一定的样本数据用于实验分析。提取样本数量如下:

(1)50个Probe扫描攻击样本;

(2)200个DOS拒绝服务攻击样本;

(3)100个U2L未授权使用本地超级权限访问攻击样本;

(4)80个U2R远程用户未授权访问攻击样本;

(5)1 000个正常样本。

2.2数据处理

通常使用误报率、检测率以及检测时间对网络入侵检测方法的检测性能进行评价:

为了消除少量样本数据的特征对支持向量机性能的影响,需要对样本数据做归一化处理:

式中:xstd是样本的特征标准差;n是用于训练的样本数量[12]。

通过粒子群优化算法寻优后的混合核函数最小二乘支持向量机的RBF核函数参数 γ、惩罚系数c、Poly- nomial核函数核阶数q以及混合权重a这4个参数,如表1所示[13]。

2.3实验结果分析

为了对本文研究的基于混合函数PSO-LSSVM网络入侵检测算法性能做出评价,使用基于传统的RBF核的LSSVM网络入侵检测算法进行对比。使用相同的训练样本对两种方法进行训练,之后再用相同的测试数据于相同的环境下进行测试实验。两种方法的检测率和误报率结果如表2所示。

通过对比测试结果可以看出,与基于传统的RBF核的LSSVM算法相比,基于混合函数PSO-LSSVM算法能够寻找到更优的最小二乘支持向量机的各个参数,使得网络入侵检测系统具有更好的检测性能,提高了网络入侵检测系统的检测率,降低了误报率。

使用基于混合函数PSO-LSSVM网络入侵检测算法以及使用基于传统的RBF核的LSSVM网络入侵检测算法的检测时间对比数据[14]见表3。

从对比数据可以看出,相比较基于传统的RBF核的LSSVM算法,基于混合函数PSO-LSSVM算法使用训练时间和检测时间更少,有效提高检测的效率。

为了更好的验证本文研究的基于传统的RBF核的LSSVM算法的网络入侵检测系统的优势,使用集合PSO优化算法的BP神经网络算法建立网络入侵检测系统。 其应用于入侵检测效果对比如图11所示[15]。

对比结果表明,LSSVM算法能够有效避免使用庞大训练样本的BP神经网络容易陷入局部最小值以及收敛速度低等问题。因此,对于网络入侵检测这种高维数、训练样本数量小以及线性不可分模型,使用本文研究的LSSVM算法能够有效实现入侵检测功能。

3结论

网络入侵的方法与检测论文 篇8

网络入侵检测是信息安全领域的研究热点和难点。随着网络规模愈加庞大和复杂, 构建合适、高效的适用于分布式网络的入侵检测模型难度也越来越大。从使用的方法上看, 现有网络入侵检测技术大多通过统计学、机器学习或神经网络等方法训练检测模型, 然后将该模型用于实时的网络入侵检测。在这个过程中, 为了更为精准地描述网络状态, 科研及工程技术人员需要抽取更多能够表征网络真实状态的特征参数, 比如某个时间间隔内的协议分布比例, 某个分布节点出入的网络流量等。参数越多, 描述网络状态的能力就越强, 所代表的网络状态就越真实客观, 但也带来了一些新的问题, 比如用于表征网络状态的向量“高维化”。高维向量使得网络入侵模型训练及检测过程中的计算量大幅增加, 这对实时性和准确性要求较高的网络入侵检测技术来说是一项较大挑战。近些年来, 随着网络入侵检测技术的发展, 越来越有效的检测方法被提出[1,2], 当这些方法需要处理代表复杂网络状态的高维数据时, 需考虑实时性。维数越高, 实时性的问题就会越明显, 特别是在需要进行大量欧氏距离运算的检测模型中更是如此[3]。因此, 如何在网络入侵检测模型中有效降低维数非常重要。

1 相关研究工作

高维数据的降维问题是机器学习领域内的研究热点, 广泛地应用在诸如文本分类、人脸识别、图像分割等领域。降维技术分可为无监督降维、有监督降维和半监督降维三大类。无监督降维方法不需要标记数据的类别, 通过分析数据自身分布特点降低维数。比如近邻保持降维技术就采用了“假设近邻向量之间在高维空间中可以相互表示, 那么在降维后的低维空间中仍然可以互相表示”[4,5]的思路进行降维。无监督降维不需要使用标记的数据, 因此省去了标记数据的工作量, 工程实现代价较低, 但由于缺少标记数据的支撑, 理论上只是在降维过程中保持数据的分布特征, 没有考虑在降维过程中进行聚类, 以提升数据的可区分性;有监督降维方法则不同, 它需要大量标记的数据, 在标记数据的帮助下使得“降维后的低维空间中, 相似数据‘更为紧密地’聚在一起”, 进而建立降维模型[6], 提升聚类效果。由于需要对数据做大量的标记工作, 因此代价较高, 但理论上性能更好;半监督降维技术使用较少的标记数据和大量的非标记数据进行降维, 兼顾无监督降维和有监督降维的优点, 受到了科研人员的重视[7,8]。从国内近些年来的研究文献看, 虽然已有半监督技术的相关研究[9], 但鲜有将半监督应用于特征降维, 并在此基础上提出网络入侵检测方法的工作。本文基于此, 研究半监督降维技术在网络入侵检测中的应用, 提出了一种基于半监督降维 (SSDR) 技术和BP神经网络的入侵检测方法, 并基于公用数据集进行了仿真实验。对比实验表明:这是一种能够在降低维数的前提下, 保持合理的检测率和误报率的网络入侵检测方法, 具有较高的工程应用价值。

2 基于半监督降维机制的网络入侵检测方法

2.1 框架

采用半监督降维方法的网络入侵检测模型框架结构如图1所示。从图1中可以看出, 来自Internet的原始网络流量数据进入被保护网络之前, 需要经过三大模块的处理:数据采集与处理、高维数据的半监督降维、网络入侵检测。其中“数据采集与处理”是对最原始的网络数据包进行解析、统计, 得出能够代表网络特征的高维向量, 这是一个工程实现的问题。“半监督降维”则对此高维向量降低维数, 目的是提升后续模块“网络入侵检测模型”的实时性。图1的网络入侵检测模块, 采用的是基于BP神经网络的入侵检测模型。

2.2 半监督降维SSDR介绍

ZHANG[7]提出的SSDR (Semi-Supervised Dimension Reduction) 降维算法是一种基于最优化问题的半监督降维算法。算法的基本思想是利用少量标记样本和大量未标记样本, 构造一个变换矩阵W。该变换矩阵可以将高维向量x投射到低维空间 (y=WTx) , 并在此过程中尽量考虑: (1) 大量未标记数据降维后的主成分最大化 (即PCA) ; (2) 标记样本降维后所属类间距最大化; (3) 标记样本类内间距最小化, 即式 (1) 的最大值求解。

式中, W= (w1, w2, …, wd) 是由d个列向量组成的矩阵 (d是低维空间维数) , 用于将高维向量x映射到低维空间。式 (1) 中的3个部分分别表示未标记、类间和类内降维后向量之间的欧氏距离平方和的平均值。求式 (1) 的最大值得到的W即可被用于高维向量的降维, 因此式 (1) 的求解过程可看作降维模型的训练过程。训练过程输入的数据分为3部分:未标记样本对;不同类样本对和同类样本对。若输入的两个样本对属于未标记数据, 则代入式 (1) 的第一部分计算;如果输入的两个样本属于不同类 (Cannot-Link, (xi, xj) ∈C) 数据, 则代入式 (1) 的第二部分计算;若输入的样本对属于同一类的 (Must-Link, (xi, xj) ∈M) , 则代入式 (1) 的第三部分计算。在训练数据上表现最好的变换矩阵W可使得式 (1) 的值最大。

为了调整类内和类间样本由于绝对数值差异较大而对最终结果产生的影响, 分别引入了α和β两个系数进行二者之间的平衡。

2.3 适用性分析

由于网络自身的组成和应用特点, 在网络入侵检测领域, 大量未标记的样本获取是较为容易的, 可由分布在各节点的传感器采集, 但是, 带标记的正常或入侵样本的获取难度则相当大, 这是因为需要针对采集的样本进行分析, 归类 (正常或攻击) , 从而需要耗费大量时间。半监督降维技术由于只需少量标记样本, 能够使得入侵检测系统的工程实现、运行维护难度降低, 在保证性能的同时, 避免大量样本的标记工作, 具有明显的适用性。

3 实验及仿真

仿真实验分两部分进行: (1) 采用检测率和误报率两个指标, 在著名公用数据集KDD CUP99[11]上对比降维前后的网络入侵检测模型的检测性能。实验数据采用的攻击数据为多种攻击类型的混合。为了说明半监督降维技术的优势, 同时还对降维前后的算法运行时间进行了对比; (2) 针对DOS、PROBE和U2R等类型的攻击, 对比了不同攻击类型经过半监督降维后的检测效果。

3.1 实验数据与平台

第一部分实验采用美国国防部高级计划研究局 (DARPA) 用于入侵检测系统评估的KDD CUP99数据集。该数据集分为训练集和测试集两大部分。本文从kddcup.data_10_percent_corrected训练集中, 抽取了4 406条数据混合在一起, 用于模拟未标记数据;随机抽取其中10条正常数据和10条攻击数据模拟少量标记样本。为了检验降维的效果, 本文另从KDD CUP99的correct测试集中, 抽取了5 669条攻击数据和6 060条正常数据组合为测试数据集。KDD CUP99的原始数据为41维向量, 本文实验将其降维为3维向量。

第二部分实验测试数据主要有三部分:拒绝服务类 (DOS) 攻击测试数据、扫描类 (PROBE) 攻击测试数据、权限提升类 (U2R) 攻击测试数据。

半监督降维算法中的参数α和β分别设置为1和20。实验环境方面, 采用Matlab 7.1 for Windows XP。硬件方面的主要参数为:CPU-Intel酷睿2 T8100, 2.1GHz;内存2GB。

3.2 实验结果与对比

基于BP神经网络的网络入侵检测模型降维前后10组检测率、误报率实验数据对比结果如图2所示 (说明:实验选取的是三层BP神经网络, 降维前隐层网络的神经元节点个数为8, 降维后为4) 。

由图2可见, 降维后的检测性能 (检测率和误报率) 和降维前相差无几, 说明半监督降维可以在降维同时保持检测模型的检测性能。考虑到降维的主要目的是为了减少向量维数进而提升检测模型的实时性———缩短训练时间和检测时间。因此, 本文也对降维后的检测模型训练和检测时间进行了对比。

基于BP神经网络的网络入侵检测模型降维前后训练时间和检测时间对比结果如图3所示。

从图3可以看出:将KDDCUP99训练和测试数据从41维向量降为3维向量后, 单回合训练时间 (从2.0313降至1.2188, 降幅39.99%) 和检测时间 (从0.0781降至0.0625, 降幅19.97%) 有大幅下降。降维带来的实时性提升是明显的。

为了进一步验证算法的有效性, 本文分别针对不同攻击类型的检测效果进行测试, 得到如表1所示的结果。

从表1可以看出, 拒绝服务类 (DOS) 和扫描类 (PROBE) 攻击的检测效率较高, 而权限提升类攻击 (U2R) 的检测效率相对较低。这是因为DOS和PROBE两类攻击所引起的网络状态变化比正常状态较为明显 (比如大量的握手请求、频繁的端口扫描等) , 而U2R类攻击引起的网络状态变化和正常网络操作模式相比区别不大。因此, 为了能够更为有效地检测出这种类型的攻击, 现代入侵检测系统应考虑建立更为准确和全面的检测模型。

4 结语

本文针对网络入侵检测中高维数据带来的运行效率问题, 研究基于半监督学习的降维机制在网络入侵检测中的应用, 提出了基于半监督降维技术和BP神经网络的入侵检测方法。基于著名公用数据集的对比实验表明:本文提出的方法可以利用少量的标记样本和大量的未标记样本, 在保持检测性能的同时提升检测模型的运算速度, 进而提高入侵检测系统的实时性。半监督降维技术兼具有监督降维和无监督降维的优点, 省去了大量样本标记工作量, 且具有与降维前性能相当的检测率和误报率。展望以后的研究工作, 作者拟结合降维技术研究领域的最新研究成果, 研究网络入侵检测模型的特征降维方法, 进一步提升检测模型的实时性, 同时获得更好的检测性能。

参考文献

[1]Wang Wei, Zhang Pengtao, Tan Ying, et al.Animmune local concentration based virus detection approach[J].Journal of Zhejiang University:Science C, 2011, 12 (6) :251-266.

[2]Laurens Hellemons, Luuk Hendriks, Rick Hofstede, et al.SSHCure:A Flow-Based SSH Intrusion Detection System[C]//Lecture Notes in Computer Science, Dependable Networks and Services, 2012, 7279:8697.

[3]李洋, 方滨兴, 郭莉, 等.基于直推式方法的网络异常检测方法[J].软件学报, 2007, 18 (10) :2595-2604.

[4]Sam Roweis, Lawrence K Saul.Nonlinear Dimensionality Reduction by Locally Linear Embedding[J].Science, 2000, 290 (22) :2323-2326.

[5]He X, Cai D, Yan S, et al.Neighborhood preserving embedding[C]//Proceedings of the 10th IEEE International Conference on Computer Vision, 2005:1208-1213.

[6]Tang W, Zhong S.Pairwise Constraints-guided Dimensionality Reduction[C]//SDM’06-Workshop on Feature Selection for Data Mining, Bethesda, MD, 2006.

[7]Zhang D Q, Zhou Z H, Chen S C.Semi-Supervised Dimensionality Reduction[C]//Proceedings of the 7th SIAM International Conference on Data Mining (SDM’07) , Minneapolis, MN, 2007:629-634.

[8]Tong Bin, Einoshin Suzuki.Subclass-oriented Dimension Reduction with Constraint Transformation and Manifold Regularization[C]//Advances in Knowledge Discovery and Data Mining (PAKDD) , Part II, LNAI6119, Springer-Verlag, Hyderabad, India, 2010:1-13.

[9]肖宇, 于剑.基于近邻传播算法的半监督聚类[J].软件学报, 2008, 19 (11) :2803-2813.

[10]The Berkeley Segmentation Dataset and Benchmark[DB/OL].http://www.eecs.berkeley.edu/Research/Projects/CS/vision/bsds/.

网络入侵的方法与检测论文 篇9

1 基于80端口入侵的检测

www服务是最常见的的服务之一了。由于这个服务面对众多的用户, 服务的流量和复杂度都很高, 所以针对这个服务的入侵手段、技巧也最多。对于NT来说, IIS一直是系统管理员比较头疼的一部分。不过好在IIS自带的日志功能从某种程度上可以成为入侵检测的得力帮手。IIS自带的日志文件默认存放在System32/LogFiles目录下, 一般是24小时滚动的, 在IIS管理器中可以对它进行详细的配置。假设某台WEB服务器开放了WWW服务, 并且已经小心地配置了IIS, 使用W3C扩展的日志格式, 并至少记录了时间 (TIME) 、客户端 (Clint IP) 、方法 (method) 、URI资源 (URI Stem) 、URI查询 (URI Query) 、协议状态 (Protocol Status) , 我们用比较流行的Unicode漏洞来进行分析:打开IE的窗口, 在地址栏输入:127.0.0.1/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir默认的情况下可以看到目录列表。现在来看看IIS的日志都记录了些什么, 打开Ex010318.log (Ex代表W3C扩展格式, 数字代表记录日期) 。02:35:26127.0.0.1 GET/scrits/../winnt/system32cmd.exe/c+200上面这行日志表示在格林威治时间02:35:26, 有一个入侵者从127.0.0.1的IP在你的计算机上利用Unicode漏洞 (.%c1%1c..被解码为“”实际的情况会因为Windows版本的不同而略有不同) 运行了cmd.exe, 参数是/c+200, 运行结果成功 (HTTP200代表正确返回) 。大多数情况下, IIS的日志会忠实地记录它收到的任何请求 (也有特殊的不被IIS记录的攻击, 在此暂时不作讨论) 。但是, IIS的日志动辄数10MB、流量大的网站甚至多达数10GB, 人工检查几乎没有可能。唯一的选择就是使用日志分析软件, 用任何语言编写一个日志分析软件 (其实就是文本过滤器) 都非常简单。比方我们想知道有没有人从80端口试图取得Global.asa文件, 可以使用以下的命令:find“Global.asa”ex010318.log/i这个命令使用的是NT自带的find.exe工具, 可以轻松地从文本文件中找到你想过滤的字符串, “Global.asa”是需要查询的字符串, “ex010318.log”是待过滤的文本文件, “/i”代表忽略大小写。 (关于这个命令的其他参数以及它的增强版FindStr.exe的用法可以查看Win2000的帮助文件) 。无论是基于日志分析软件或者是Find命令, 我们都可以建立一张敏感字符串列表, 它包含已有的IIS漏洞 (比如“+.hrt”) 以及漏洞可能会调用的资源 (比如Global.asa或者cmd.exe) , 通过过滤这张不断更新的字符串表, 一定可以尽早了解入侵的发生与否。

2 基于安全日志的检测

通过基于IIS日志的入侵监测, 我们能及时知道窥视者的行踪 (如果你处理失当, 窥视者随时会成为入侵者) 。但是IIS日志不是万能的, 它在某种情况下甚至不能记录来自80端口的入侵;IIS只有在一个请求完成后才会写入日志, 换言之, 如果一个请求中途失败, 日志文件中不会有它的踪影的 (这里所说的中途失败并不是指发生HTTP400错误这样的情况, 而是从TCP层上没有完成HTTP请求, 例如在POST大量数据时异常中断) , 对于入侵者来说, 就有可能绕过日志系统完成大量的活动。而且, 对于非80 Only的主机, 入侵者也可以从其他的服务进入服务器, 因此, 建立一套完整的安全监测系统是非常必要的。Win 2000自带了相当强大的安全日志系统, 从用户登录到特权的使用都有非常详细的记录, 可惜的是, 默认安装下安全审核是关闭的, 以至于一些主机被黑后没法追踪入侵者。所以, 我们要做的第一步是在“管理工具”-→“本地安全策略”-→“本地策略”-→“审核策略”中打开必要的审核。一般来说, 登录事件与账户管理是我们最关心的事件, 同时打开“成功和失败”的审核非常必要, 其他的审核也要打开失败审核, 这样可以使得入侵者步步艰难, 一不小心就会露出马脚。但是, 仅仅打开安全审核并没有完全解决问题, 如果没有很好的配置安全日志的大小及覆盖方式, 一个老练的入侵者就能够通过洪水般的伪造入侵请求覆盖掉他真正的行踪。通常情况下, 将安全日志的大小指定为50MB并且字只允许覆盖7天前的日志可以避免上述情况的出现。除了安全日志, 系统日志和应用程序日志也是非常好的辅助监测工具。一般来说, 入侵者除了在安全日志中留下痕迹 (如果他拿到了Admin权限, 那么他一定会去清除痕迹的) , 在系统和应用程序日志中也会留下蛛丝马迹。作为系统管理员, 要有不放过任何异常的态度, 这样入侵者就很难遁形。

3 文件访问日志与关键文件保护

除了系统默认的安全审核外, 对于关键的文件, 我们还可以加设文件访问日志, 记录对它们的访问状况。文件访问有很多的选项:访问、修改、执行、新建、属性更改……, 一般来说, 关注访问和修改就能起到很大的监视作用。如果我们监视了系统目录的修改、创建, 甚至部分重要文件的访问 (例如cmd.exe, net.exe, system32目录) , 那么, 入侵者就很难在不引起我们注意的情况下安放后门。要注意的是, 监视的关键文件和项目不能太多, 否则不仅增加系统负担, 还会扰乱日常的日志监测工作。关键文件不仅仅指的是系统文件, 还包括有可能对系统管理员和其他用户构成危害的任何文件 (例如系统管理员的配置、桌面文件等等) , 这些都是有可能被用来窃取系统管理员资料和密码的。

4 进程监控

进程监控技术是追踪木马后门的另一个有力武器, 90%以上的木马和后门是以进程的形式存在的。作为系统管理员, 了解服务器上运行的每个进程是职责之一 (否则不要说安全, 就连系统优化都没办法做) 。做一份每台服务器运行的进程列表非常必要, 能帮助管理员一眼就能发现入侵进程, 异常的用户进程或者异常的资源占用都有可能是非法进程。除了进程外, dll也是危险的东西, 例如把原本是exe类型的木马改写为dll后, 使用rundll32运行就比较有迷惑性。

5 注册表校验

通常, 木马或者后门都会利用注册表来再次运行自己。所以, 通过校验注册表来发现入侵也是常用的手法之一。如果一个入侵者只懂得使用流行的木马, 那么由于普通木马只能写入特定的几个键值 (比如run、runonce等等) , 查找起来是相对容易的。但是对于可以自己编写或改写木马的人来说, 注册表的任何地方都可以藏身, 靠手工查找就很难了。应对的方法是监控对注册表的任何改动, 这样改写注册表的木马就没办法遁形了。用注册表监控软件加上定期对注册表进行备份, 万一注册表被非法修改, 我们也能在最短的时间内解决问题。

6 端口监控

虽然不使用端口的木马早已经出现, 但是大多数的后门和木马还是使用TCP连接的。监控端口的状况对于由于种种原因不能封锁端口的主机来说就非常重要的了。对于系统管理员来说, 了解自己服务器上开放的端口甚至比对进程的监控更加重要。常常使用netstat查看服务器的端口状况是一个良好的习惯, 但是这样很麻烦;而且NT的安全日志有一个缺陷, 它记录的只是机器名而不是IP。如果你没有入侵检测软件, 你也可以用脚本来查看IP日志记录的, 命令如下:

netstat-n-p tcp 10>>netstat.log (每10秒钟自动查看一次TCP的连接状况) 。

基于这个命令, 我们做一个netlog.bat文件:

这个脚本将会自动记录时间和TCP连接状况。需要注意的是:如果网站的访问量比较大, 一旦发现异常的端口记录, 我们可以使用特殊的程序来关联端口、可执行文件和进程 (inzider就可以发现服务器监听的端口并找出与该端口关联的文件) , 这样无论是使用TCP还是UDP的木马都无处藏身。

7 陷阱技术

早期的陷阱技术只是一个伪装的端口服务用来监测扫描, 随着“矛”和“盾”的不断升级, 现在的陷阱服务或者陷阱主机已经越来越完善, 越来越像真正的服务, 不仅能截获半开式扫描, 还能伪装服务器一端的回应并记录入侵者的行为, 从而帮助判断入侵者的身份。在实际运用中, 系统管理员对基础知识的掌握情况直接关系到他的安全敏感度。只有知识丰富、身经百战、仔细小心的系统管理员才能未雨绸缪, 从一点点的蛛丝马迹中发现入侵者的影子, 了解其入侵的行踪。

摘要：文章对网络入侵检测的几个关键点及其通过相应的几种简便有效的检测手段来发现入侵者的方法进行了探讨。

关键词：入侵,检测,方法

参考文献

[1]高健.Windows 2000+IIS入侵图解教程[M].北京:科学普及出版社, 2004, 5.

[2]王群.网络安全[M].北京:人民邮电出版社, 2006, 1.

[3]秘密客.反追踪黑客指南[M].北京:中国铁道出版社, 2006, 3.

网络入侵检测系统的分析与研究 篇10

一、入侵检测技术

1980年, James P.Anderson在题为《ComputSecurity Threat Monitoring and Surveillance》 (《计算机安全威胁监控和监视》) 的技术报告中, 第一次详细阐述了入侵检测的概念。他提出了一种对计算机系统风险和威胁的分类方法, 并将威胁分为内部渗透、外部渗透和不法行为3种, 提出了利用审计跟踪数据监视活动的思想。入侵检测技术就是依据这一思想建立起来的一种积极主动的安全防护技术, 它提供了对内部攻击、外部攻击和误操作的实时保护, 能在网络系统受到危害之前进行拦截和响应。它主要完成以下功能:监视、分析用户和系统的活动检查系统的配置和漏洞;评估关键系统和数据的完整性;识别代表已知的攻击活动模式;对反常行为模式进行统计分析;对操作系统进行校验管理, 判断是否有破坏安全的用户行为。

二、入侵检测技术分类

根据不同的结构和监听策略, 入侵检测系统主要分为两类:基于主机的入侵检测系统 (HIDS) 和基于网络的入侵检测系统 (NIDS) 。

(一) 主机型入侵检测系统

主机型入侵检测系统通常是安装在被重点检测的主机之上, 主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判断。HIDS一般监视WindowsNT上的系统、事件、安全日志以及Unix环境中的SYSLOG文件。一旦发现这些文件发生任何变化, IDS将比较新的日志记录与攻击签名以发现他们是否匹配。主机型入侵检测系统具有以下优点:对分析“可能的攻击行为”非常有用;非常适用于加密和交换环境;比较实时的检测和应答;不需要额外的硬件。它的弱点是:如果把HIDS安装在需要保护的设备上, 则会降低系统的效率。另外, 它还依赖于服务器固有的日志和监视能力。

(二) 网络型入侵检测系统

网络型入侵检测系统一般放在比较重要的网段内不停的监视网段中的各种数据包, 并对每一个数据包或可疑的数据包进行特征分析。如果数据包与系统内置的某些规则吻合, 入侵检测系统就会发出警报甚至直接切断网络连接。目前大部分入侵检测产品都是基于网络的。网络入侵检测系统的优点是:它不会在业务系统的主机中安装额外的软件, 从而不会影响主机的CPU、I/O与磁盘等资源的使用, 不会影响业务系统的性能;当网络入侵检测系统发生故障时不会影响正常业务的运行;部署一个网络入侵检测系统的风险远低于布置一个主机型入侵检测系统。但是, 网络入侵检测系统只检查它直接连接网段的通信, 不能检测在不同网段的网络数据包, 在使用交换以太网的环境中就会出现监测范围的局限。而安装多台网络入侵检测系统的传感器会使部署整个系统的成本大大增加。

三、入侵检测技术的发展趋势

入侵检测技术可以用于文件系统的完整性检测、用户行为检测和网络异常检测等.但是仅仅发现入侵行为还不够, 还必须采取进一步的措施以制止攻击, 避免造成进一步危害, 如改变网络配置、切断连接、向攻击者发出警告信息、进行反击等。理想的情况是, 在入侵行为造成危害之前就已经采取了必要的措施。

(一) 分布式入侵检测

为了克服基于主机的入侵检测和基于网络的入侵检测的不足, 现在人们又提出了一种新的入侵检测技术, 即分布式入侵检测 (Distributed IntrusionDetection System, 简称DIDS) .分布式入侵检测有两方面的含义, 一是对分布式攻击的入侵检测技术, 二是入侵检测系统采用分布式计算技术.分布式入侵检测技术主要有层次式入侵检测和协作式入侵检测两类.协作式入侵检测系统各分布部件之间不存在主从之分, 相互协作, 优点是比较灵活, 系统的容错能力较强, 各分布部件可以独立工作;缺点是各分布部件之间的协调算法比较复杂, 缺少一个统一的处理模块, 不利于对全局的安全事件的理解。而层次式入侵检测系统则把系统分成若干层次, 上层部件控制下层部件, 它的优点是系统由控制中心统一控制, 有利于大规模入侵事件的检测, 效率比协作式高;缺点是如果主控模块遭到破坏, 则整个系统的工作会受到影响, 系统的可扩充性也较差.目前流行的Manager Agent结构不仅可以监控整个网络的入侵和攻击行为、审查日志文件, 还可以进行实时入侵活动的探测, 代表了网络分布式入侵检测技术的发展趋势。

(二) 入侵检测技术和防火墙技术相结合

将入侵检测技术和防火墙技术相结合, 可以起到互补的作用。一方面, 防火墙不能拒绝内部攻击, 而且在策略配置上容易发生遗漏或错误, 而利用NIDS则可以弥补这样的不足.两者功能结合的具体实施方法为NIDS利用传感器收集事件, 分析器通过异常检测或误用检测方法检测入侵或入侵企图。若发现异常, 通知管理器做出反应, 还要通知防火墙, 并动态修改防火墙的规则, 断开或屏蔽可疑主机通信流量。这样可以更加有针对性地拒绝攻击, 更加有针对性地实现防火墙的配置。另一方面, NIDS不能有效地防止对自身的攻击, 但通过访问防火墙可以调整NIDS的分析器, 使之不分析被防火墙屏蔽了的在内部网之外的流量类型, 减小NIDS的负载, 提高网络性能。

(三) 主动防御技术

另外一种常用的技术是采用主动防御技术, 也就是所谓的陷阱网络。陷阱网络是一种专门让黑客攻陷的网络或主机, 在主动引入机制或诱骗机制的作用下, 将黑客的入侵行为引入到一个可以控制的范围, 消耗其时间, 了解其使用的方法和技术, 追踪其来源, 记录其犯罪证据。陷阱网络系统适用于各种规格的网络, 在网络防火墙、入侵检测系统等安全措施的配合下, 能弥补原有安全防御的不足, 大大地提升网络安全性能.采取主动防御的入侵检测技术将会对入侵检测体系结构产生影响, 是目前研究的热点。

(四) 基于免疫学的入侵检测

基于免疫学的入侵检测系统也是近来兴起的新技术。免疫计算机与人体免疫系统类似, 它是根据系统调用序列区分正常行为和异常行为, 类似于免疫系统根据肽链区分自身物质和非自身物质, 只有和正常行为模式数据库相匹配的行为才被视为正常, 否则视为入侵.同时, 由于正常行为数据库是根据操作经验产生的, 而且该数据库与本地操作环境有关, 因此每个结点的数据库均不同, 有效地提高了结点和网络的安全性。

入侵检测作为一种积极主动的安全防护技术, 提供了对内部攻击、外部攻击和误操作的实时保护, 从网络安全立体纵深、多层次防御的角度出发, 入侵检测理应受到高度重视。但是, 我国内的入侵检测现状还是仅仅停留在研究和实验样品 (缺乏升级和服务) 阶段, 或者是防火墙中集成较为初级的入侵检测模块。

可见, 入侵检测技术及其产品还具有较大的发展空间。

参考文献

[1]吉根林, 帅克, 孙志挥.数据挖掘技术及应用[J].南京师大学报, 2000, (23) :25～27.

[2]张琨, 徐永红, 王珩, 等.基于免疫学的入侵检测系统模型[J].南京理工大学学报, 2002, (26) :337～340.

[3]矫健, 韩芳溪, 毛忠东.网络攻击手段及防御系统设计[J].计算机工程与应用, 2003, (3) :168～170.

[4]路璐, 马先立.利用网络入侵检测系统与防火墙的功能结合构建安全网络模型[J].计算机应用研究, 2002, (10) :93～95.

网络入侵的方法与检测论文 篇11

关键词：移动代理技术；入侵检测；系统；分析研究

计算机和网络技术已经走进了我们日常的生活，包括工作、娱乐、社区、交通和通信，都需要依赖计算机和网络。网络给我们带来了巨大的便利，同时也由于我们过分的依赖于网络，我们也越来越感觉到网络带来的负面影响。信息网络必须要有足够的安全措施，才能确保网络信息的保密性、完整性和安全性。

一、移动代理系统的分类

（一）移动代理环境（MAE）。移动代理运行环境可以提供安全，正确的运行环境，实现移动代理的移动、执行状态的建立、启动、实施的约束机制、容错策略、安全控制、通信机制，并提供基本服务模块。它一般建立在操作系统之上，为MA提供运行的环境。MA只能存活在MAE中的软件实体。

（二）移动代理。移动代理的移动就是从一个移动代理运行环境移动到另一个移动代理运行环境。一般而言，移动代理要具有如下的特征：

1.代理模型。代理模型主要代理的是智能部分的内部结构，它包括有一些特性，如代理的自治、学习、协调、写作、反应和预动等特性。当然，从研究人员的角度出发，他们关心的还是代理移动的框架，所以我们现在关注的还主要是和代理的自治性有关的情况。

2.计算模型。计算模型是从运行方式考虑，如MA是编译运行还是解释运行，是通过线程方式还是以进程方式生存于运行环境中等。所以说它决定代理是以通信还是以移动的方式来完成任务，从而达到最佳的运行效果。

3.安全模型。它本身是一个开放的系统，MAE既有可能接受不信任的移动代理，也有可能到不信任的MAE中去执行，因此，就要从安全性方面去考虑。移动代理的安全模型主要是用于如何保证代理的完整性，防止它携带的数据泄露，代理和服务器的相互验证以及代理的授权和服务器的资源存取控制策略等。

4.通信模型。它存在于分布式应用中，主要用于用户、静态代理、其他移动代理、其他移动代理系统甚至是其他非移动代理系统等实体。为了实现它特定的功能，就需要具备与这些实体通信的能力，特别是需要具有协商、协作、解决问题的能力，促进代理间的通信手段必须方便灵活，这是通信模型所必须解决的。

5.迁移模型。他解决的的主要是代理如何移动的问题，从三个方面来说：一是代理要移动是怎样刮起代理、俘获代理的运行状态并把代码及有关数据打包；二是以什么方式把代码传送到目的地；三是如何让接受代理并恢复代理的运行。

除此之外，还有命名和定位模型、服务定位模型等特征。例如，移动代理系统会产生很多不同的主机，他们的目的往往都是不同的，所以就需要有命名和定位，从而保证代理名字的唯一和方便查找等功能。还有需要满足服务的手段，当本地服务不能满足时，需要及时提供所需的服务站点，便于前往该地提供良好的服务等。从这些方面，我们就能发现移动代理系统有很多优越性，值得我们研究和分析。

二、将移动代理与入侵检测结合的原因

基于Agent的分布式入侵检测系统可将多种入侵检测分别装载在不同的Agent中，并动态地让这些Agent分布到整个网络上，通过这些Agent的交互、协作完成对网络内外入侵检测。Agent是独立运行的实体，能够在不改变系统别的组件的情况下进行增减。另外，Agent可以在引入更复杂环境之前进行独立测试，Agent也可以与其他Agent协作，通过交换信息，帮助提供更复杂的检测结果，Agent可相互独立地启动和停止，减少检测系统的单点失效。具体而言，基于Agent的入侵检测系统可以获得如下优点。

1.独立性，它是个可以独立运行的实体程序，自己进行开发和调试。把它放入具体的环境中，可以进行独立测试。

2.灵活性，在操作中可以独立启动和停止，也可以进行动态配置，不会影响其他方面的正常运行。即使要收集新数据或检测新类型的入侵，也可以对原Agent进行重新配置或增加新Agent来实现。

3.可扩充性，在操作简单的基础上，它可以作为检测实体独立运行，同时也可以放入分布式的环境中作为一个零部件帮助协作检测，这也是它非常明显的一个优点。

4.错误扩散小，从整体上说，该软件系统本身的错误不会影响其它方面的运行。如果系统某个方面出现问题或者受到损坏，它仅仅会影响相关的检测部分失效，并且快速的检测到它的状态，并作出相应处理，使危害面限制到最小化。

5.数据来源不受限制，因为它本身具有独立性，不受其他方面的影响，所以系统可以选择不同的数据源。通过不同的数据源来选择相应的形式，这也是它非常明显的一个优点。

6.兼容性，它不同于传统的入侵检测模型，它既有主机的Agent，又有基于网络的Agent。在入侵检测的过程中，检测方法上不受限制，所以具有非常强的兼容性，只要是有效的入侵检测方法都可以加入到模型中来。

此外，还有它的协作性和语言特征也是其很大的优点。虽然在操作上它比其他软件系统更加简便，但是通过彼此协作，它可以进行更加复杂的入侵检测。因为它的独立性，他可以自行开发和调试，在不同的平台上使用不同的编程语言开发，更值得关注的是，只要遵循统一的通讯协议和通信格式，它们之间就可以进行通信协作。

结语

在未来的生活中，我们会遇到很多网络入侵攻击的情况，网络安全也成为严重的隐患，所以我们要更加关注保护网络使用者安全装置的软件系统中来，用更为精巧的控制技术和攻击同步化技术来帮助使用者防御网络入侵攻击。作为计算机专业的研究人员，我们不仅要明确网络带来生活便利的同时也带来了安全的隐患。因此研究高效的网络安全防护和检测技术，帮助专业人员了解新的入侵检测系统的性能，对于开发研究新的网络安全监测系统具有重要的意义。

参考文献：

[1]熊伟.入侵检测系统的研究与实现[D]武汉：武汉科技大学，2006

[2]韩东海，王超，李群.入侵检测系统及实例剖析[M].北京：清华大学出版社，2002

网络入侵的方法与检测论文 篇12

当前主要的复杂网络入侵检测模型有隐马尔可夫模型、支持向量机和神经网络等入侵检测模型[2—4]。最小二乘支持向量机 (least square support vector machine, LSSVM) 是一种解决高维、非线性分类问题的机器学习, 较好克服了神经网络泛化推广能力差、支持向量机训练时间长等缺陷, 成为网络入侵检测一个主要研究方向[5]。网络入侵检测有多种入侵行为, 是一种典型多分类问题, LSSVM只能求解两分类问题。传统方法采用“一对一”方式进行两两组合, 构建网络入侵多分类器, 对于n类网络状态问题, 共需要n× (n-1) /2个二类入侵分类器, 这样决策函数数目多, 入侵检测相当费时, 影响网络入侵检测的实时性[6]。同时LSSVM的网络入侵检测能力很大程度上依赖于其参数, 当前主要参数优化方法有:梯度下降法、遗传算法和粒子群算法等[7,8]。其中粒子群优化 (PSO) 算法概念简单、实现容易、参数易调整, 在解决LSSVM参数优化问题最为广泛[9]。但PSO算法与其他智能优化算法一样, 存在收敛速度慢、全局搜索能力差等缺点, 有时会导致参数选择不恰当, 对网络入侵检测结果产生不利影响[10]。

为了提高网络入侵检测效果, 提出一种基于粗到精分层技术的多层网络入侵检测模型 (IPSO-LSS-VM) 。首先将拥挤度因子和隔离度因子引入PSO算法保证粒子群的多样性, 以防止局部极值出现;然后采用IPSO算法优化LSSVM参数, 以提高LSSVM的分类性能;最后利用由粗到精策略构造多层的网络入侵分类器, 采用KDD 99数据集进行仿真测试, 本文算法适用于基本的网络环境, 并不局限于局域网。

1由粗到精概念下的网络入侵分类器设计

网络入侵检测是一个多分类问题, LSSVM只能求解两分类问题, 对于5类网络状态问题, 采用传统“一对一”的方式进行两两组合, 共需要5×4/2=10个二类网络入侵分类器, 这样决策函数数目多, 分类费时, 因此本文对传统“一对一”策略进行改进, 提出一种由粗到精的串并行级联策略, 具体如图1所示。分类器的第一层分为3部分, 即Probe、Do S和U2R、R2L归为2类, 此时只需构造3×2/2=3个判决函数;在第二层上, 针对上述合并的4种入侵, 分别构造一个独立的二分类器, 则总共需要构造4个分类器, 对于某一种网络状态, 仅需要通过4个入侵分类器即可判别出所属类型, 通过由粗到精的策略, 降低计算时间。网络状态标识见表1。

网络入侵类型分类流程如下:

(1) 根据二分类别分类方法, 由n组训练样本 (xi, yi) 求出3个LSSVM判决函数。

(2) 利用m组样本 (x1i, y1i) , (x2i, y2i) , (x3i, y3i) 分别求出3个LSSVM判决函数。

(3) 输入待识别的网络状态x, 由 (1) 得到的判决函数求得3个判决标识 (y1, y2, …, y6) 。

(4) 设置一个计算每一类得票数向量, v (x) =[v1 (x) , …, v4 (x) ]T, 并初始化v (x) =0。

(5) 由步骤 (2) 中3个判决标识计算得票数。当yi=j时, vj (x) =vj (x) +1;其中i=1, 2, …, 6;j=1, 2, 3, 4。

(6) 选定得票数最高的向量所属网络状态类别作为x的网络状态。

(7) 如果所属网络状态标识为属于3~7类别, 则结束。否则, 判断所属类别选择对应的二层分类器。

(8) 根据选择的分类器, 利用LSSVM的判决函数求得判决标识。

(9) 根据标识对应得出所属网络状态类型, 结束。

2多层网络入侵分类器参数优化

由于选择LSSVM建立网络入侵分类器, 而LSS-VM的性能与其参数密切相关, 因此要获得高性能的网络入侵分类器, 必须选择最优的LSSVM参数。

2.1改进粒子群优化算法

为了克服PSO算法缺陷, 提出一种基于拥挤度因子和隔离度因子的改进粒子群算法 (IPSO) 。当粒子和当前极值之间满足式 (4) 时, 即粒子位于Pg为中心, σ'为半径的圆周内时, 则粒子计数器count+1, 当count满足式 (5) 时, 对剩下的粒子进行重新初始化, 其中σ'为拥挤度因子, isolation为隔离度因子, popsize为种群。

由于有popsize/isolation仍然保持在局部极值附近, 即X (t) 的维数由原来的popsize下降到popsize/isolation, 因此算法依然收敛, 同时由于popsize-popsize/isolation个粒子重新初始化所带来的扰动影响, 使得Pg变化增加, 较好地克服了局部极值出现。

采用经典函数Rastrigin作为测试对象[12], 采用标准粒子群优化 (PSO) 算法作为对比算法。Rastrigin函数定义如下

IPSO算法和PSO算法的最优解收敛过程如图2所示。从图2可知, IPSO算法第20代左右陷入局部极值, 但是第300代左右跳出局部极值, 最终达到最优解, 而PSO算法陷入局部极值后, 一直就没有跳入局部极值, 从而得不到最优解。

IPSO算法和PSO算法以Pg为中心圆域内的粒子的个数如图3所示, 从图3可知, IPSO算法由于引入了拥挤度因子, 当粒子群陷入局部极值, 对粒子群重新进行初始化, 保持了粒子群的多样性, 在第300代左右粒子获取了新的Pg。仿真对比结果表明, 结果验证了前面的假设, 本文对PSO进行改进是有效的, 可行性, 有助于粒子群跳出局部最优。

2.2分类器参数优化流程

为了直观说明LSSVM参数对网络入侵分类器性能的影响, 对1 000个正常和入侵两种状态样本 (为了简化问题, 将所有非正常网络行为都归为入侵类) , 其中, 前800个样本用于训练, 后200个用来测试, 不同的γ、σ的检测结果见表2。

由表2可知, 在相同样本集下, 不同的LSSVM参数, 分类器性能相差很大, 这说明LSSVM参数对网络入侵检测结果具有十分重要影响。分类器参数优化流程如图4所示。

3仿真测试

3.1数据集及对比模型

数据来源于KDD CUP 99的数据集, 由于KDD CUP 99数据集中含有字符型数据, LSSVM不能直接处理, 因此先将字符型数据转换成整型数据。训练集从文件kddcup.data_10_percent.gz中随机选取1 000条记录, 验证集从文件corrected.g中随机选取500条记录, 每一个数据集包含41个特征属性。为了使IPSO-LSSVM的结果具有可比性, 采用PSO算法优化LSSVM (PSO-LSSVM) , 其中网络入侵分类器采用分层策略构建;采用IPSO算法优化LSSVM (LSSVM) , 其中网络入侵分类器采用“一对一”策略构建作为对比实验。性能评价指标为:检测率、误报率和运行速度。

3.2检测结果对比

PSO-LSSVM、LSSVM和IPSO-LSSVM的检测率和误报率如图5和图6所示。从图5和图6可知, 相对于对比模型, IPSO-LSSVM的检测结果最佳, 这表明采用IPSO算法可以获得比PSO算法更优的LSSVM参数, 同时采用由粗到精的策略构造多层网络入侵检测分类器, 从而建立了更优的网络入侵检测模型, 有效降低了网络入侵检测的误报率, 网络入侵的检测率得到提高。

3.3检测速度对比

为了检测模型的运行速度, 采用模型对验证集的检测时间作为衡量指标, 各模型的检测时间 (秒, s) 见表3。从表3可知, 相对于PSO-LSSVM、LSSVM, IP-SO-LSSVM检测速度得到大幅度提高, 主要由于IP-SO-LSSVM采用了分层技术, 减少了计算时间, 同时对PSO算法进行改进, 加快了收敛速度, 因此, IP-SO-LSVM能够更加满足现代网络入侵检测系统的实时性、在线要求。

4结束语

在网络入侵检测过程中, LSSVM参数和分类器构建十分重要, 在分析当前模型存在问题的基础上, 构建了一种IPSO-LSSVM的网络入侵检测模型, 仿真结果表明, 相对于其他模型, IPSO-LSSVM不仅可以加快网络入侵检测速度, 提高了网络入侵的检测率, 同时误报率明显降低。

摘要：复杂网络具有开放性、互联性和共享性, 易受到大规模的入侵, 采用传统“一对一”方式构建网络入侵检测器, 检测费时, 实时性检测差。为了提高复杂网络入侵检测性能, 提出一种引入由粗到精分层概念的多层网络入侵检测模型。在传统的LSSVM分类器基础上, 对分类过程进一步细分, 建立一种由粗到精策略, 构造多层的网络入侵分类器, 在精细分类层, 将引入拥挤度和隔离度因子的粒子群优化分类器。以提高入侵分类器性能。最后采用KDD 99数据集进行仿真测试。结果表明, 相对于其它检测模型, 该模型不仅加快了入侵检测速度, 满足入侵检测实时性;同时提高了网络入侵检测率, 为网络安全提供了有效保证。

关键词：复杂网络,粒子群优化算法,网络入侵,分类器

参考文献

[1] 段丹青, 陈松乔, 杨卫平, 等.使用粗糙集和支持向量机检测入侵.小型微型计算机系统, 2008;29 (4) :627—630

[2] Kim D S, Nguyen H N, Ohn S Y.et al.Fusions of GA and SVM for anomaly detection in intrusion detection system.Advances in Neural Networks.Berlin/Heidelberg:Springer Verlag, 2005:415—420

[3] 孙宁青.基于神经网络和CFS特征选择的网络入侵检测系统.计算机工程与科学, 2010;32 (6) :37—39

[4] Sung A H.Identify important features for intrusion detection using support vector machines and neural networks.IEEE Proceedings of the 2003 Symposium on Application and the Internet, 2003:209—217

[5] 余生晨, 王树, 高晓燕, 等.网络入侵检测系统中的最佳特征组合选择方法.计算机工程, 2008;34 (1) :150—153

[6] Vilaplana V, Marques F, Salembier P.Binary partition trees for objectdetection.IEEE Transaction on Image Processing, 2008;17 (11) :2201—2216

[7] 陈春燕.小波神经网络改进算法在故障诊断中的应用.科技通报, 2012;10 (28) :31—33

[8] 杨雅辉, 姜电波, 沈晴霓, 等.基于改进的GHSOM的入侵检测研究.通信学报, 2011;32 (1) :121—126

[9] 牟琦, 毕孝儒, 库向阳.基于GQPSO算法的网络入侵特征选择方法.计算机工程, 2011;37 (14) :103—116