入侵檢測論文精品(七篇)

序論：寫作是一種深度的自我表達。它要求我們深入探索自己的思想和情感，挖掘那些隱藏在內(nèi)心深處的真相，好投稿為您帶來了七篇入侵檢測論文范文，愿它們成為您寫作過程中的靈感催化劑，助力您的創(chuàng)作。

篇(1)

入侵檢測系統(tǒng)（IDS）可以對系統(tǒng)或網(wǎng)絡資源進行實時檢測，及時發(fā)現(xiàn)闖入系統(tǒng)或網(wǎng)絡的入侵者，也可預防合法用戶對資源的誤操作。本論文從入侵檢測的基本理論和入侵檢測中的關鍵技術出發(fā),主要研究了一個簡單的基于網(wǎng)絡的windows平臺上的個人入侵檢測系統(tǒng)的實現(xiàn)(PIDS，PersonalIntrusionDetectionSystem)。論文首先分析了當前網(wǎng)絡的安全現(xiàn)狀，介紹了入侵檢測技術的歷史以及當前入侵檢測系統(tǒng)的關鍵理論。分析了Windows的網(wǎng)絡體系結構以及開發(fā)工具Winpcap的數(shù)據(jù)包捕獲和過濾的結構。最后在Winpcap系統(tǒng)環(huán)境下實現(xiàn)本系統(tǒng)設計。本系統(tǒng)采用異常檢測技術，通過Winpcap截取實時數(shù)據(jù)包，同時從截獲的IP包中提取出概述性事件信息并傳送給入侵檢測模塊，采用量化分析的方法對信息進行分析。系統(tǒng)在實際測試中表明對于具有量化特性的網(wǎng)絡入侵具有較好的檢測能力。最后歸納出系統(tǒng)現(xiàn)階段存在的問題和改進意見,并根據(jù)系統(tǒng)的功能提出了后續(xù)開發(fā)方向。

關鍵詞：網(wǎng)絡安全；入侵檢測；數(shù)據(jù)包捕獲；PIDS

1.1網(wǎng)絡安全概述

1.1.1網(wǎng)絡安全問題的產(chǎn)生

可以從不同角度對網(wǎng)絡安全作出不同的解釋。一般意義上，網(wǎng)絡安全是指信息安全和控制安全兩部分。國際標準化組織把信息安全定義為“信息的完整性、可用性、保密性和可靠性”；控制安全則指身份認證、不可否認性、授權和訪問控制。

互聯(lián)網(wǎng)與生俱有的開放性、交互性和分散性特征使人類所憧憬的信息共享、開放、靈活和快速等需求得到滿足。網(wǎng)絡環(huán)境為信息共享、信息交流、信息服務創(chuàng)造了理想空間，網(wǎng)絡技術的迅速發(fā)展和廣泛應用，為人類社會的進步提供了巨大推動力。然而，正是由于互聯(lián)網(wǎng)的上述特性，產(chǎn)生了許多安全問題：

(1)信息泄漏、信息污染、信息不易受控。例如，資源未授權侵用、未授權信息流出現(xiàn)、系統(tǒng)拒絕信息流和系統(tǒng)否認等，這些都是信息安全的技術難點。

(2)在網(wǎng)絡環(huán)境中，一些組織或個人出于某種特殊目的，進行信息泄密、信息破壞、信息侵權和意識形態(tài)的信息滲透，甚至通過網(wǎng)絡進行政治顛覆等活動，使國家利益、社會公共利益和各類主體的合法權益受到威脅。

(3)網(wǎng)絡運用的趨勢是全社會廣泛參與，隨之而來的是控制權分散的管理問題。由于人們利益、目標、價值的分歧，使信息資源的保護和管理出現(xiàn)脫節(jié)和真空，從而使信息安全問題變得廣泛而復雜。

(4)隨著社會重要基礎設施的高度信息化，社會的“命脈”和核心控制系統(tǒng)有可能面臨更大的威脅。

1.1.2網(wǎng)絡信息系統(tǒng)面臨的安全威脅

目前網(wǎng)絡信息系統(tǒng)面臨的安全威脅主要有:

(1)非法使用服務:這種攻擊的目的在于非法利用網(wǎng)絡的能力，網(wǎng)絡上的非授權訪問應該是不可能的。不幸的是，用于在網(wǎng)絡上共享資源及信息的工具、程序存在許多安全漏洞，而利用了這些漏洞就可以對系統(tǒng)進行訪問了。

(2)身份冒充;這種攻擊的著眼點在于網(wǎng)絡中的信任關系，主要有地址偽裝IP欺騙和用戶名假冒。

(3)數(shù)據(jù)竊取:指所保護的重要數(shù)據(jù)被非法用戶所獲取，如入侵者利用電磁波輻射或搭線竊聽等方式截獲用戶口令、帳號等重要敏感信息。

(4)破壞數(shù)據(jù)完整性:指通過非法手段竊得系統(tǒng)一定使用權限，并刪除、修改、偽造某些重要信息，以干擾用戶的正常使用或便于入侵者的進一步攻擊。

1.1.3對網(wǎng)絡個人主機的攻擊

對方首先通過掃描來查找可以入侵的機器，即漏洞探測；接著確定該機器的IP地址；然后利用相應的攻擊工具發(fā)起某種攻擊。

篇(2)

關鍵詞:神經(jīng)網(wǎng)絡系統(tǒng)入侵檢測系統(tǒng)網(wǎng)絡安全

入侵檢測作為一種主動防御技術,彌補了傳統(tǒng)安全技術的不足。其主要通過監(jiān)控網(wǎng)絡與系統(tǒng)的狀態(tài)、用戶行為以及系統(tǒng)的使用情況,來檢測系統(tǒng)用戶的越權使用以及入侵者利用安全缺陷對系統(tǒng)進行入侵的企圖,并對入侵采取相應的措施。

一、入侵檢測系統(tǒng)概述

入侵檢測系統(tǒng)(IntrusionDetectionSystem,簡稱IDS)可以認為是進行入侵檢測過程時所需要配置的各種軟件和硬件的組合。對一個成功的入侵檢測系統(tǒng)來講,它不但可使系統(tǒng)管理員時刻了解計算機網(wǎng)絡系統(tǒng)(包括程序、文件和硬件設備等)的任何變更,還能給網(wǎng)絡安全策略的制訂提供指南。更為重要的一點是,對它的管理和配置應該更簡單,從而使非專業(yè)人員能非常容易地進行操作。而且,入侵檢測的規(guī)模還應根據(jù)網(wǎng)絡威脅、系統(tǒng)構造和安全需求的改變而改變。入侵檢測系統(tǒng)在發(fā)現(xiàn)入侵后,會及時做出響應,包括切斷網(wǎng)絡連接、記錄事件和報警等。

二、入侵檢測系統(tǒng)的功能

1.檢測入侵。檢測入侵行為是入侵檢測系統(tǒng)的核心功能,主要包括兩個方面:一方面是對進出主機或者網(wǎng)絡的數(shù)據(jù)進行監(jiān)控,檢查是否存在對系統(tǒng)的異常行為;另一方面是檢查系統(tǒng)關鍵數(shù)據(jù)和文件的完整性,看系統(tǒng)是否己經(jīng)遭到入侵行為。前者的作用是在入侵行為發(fā)生時及時發(fā)現(xiàn),使系統(tǒng)免受攻擊;后者一般是在系統(tǒng)遭到入侵時沒能及時發(fā)現(xiàn)和阻止,攻擊的行為已經(jīng)發(fā)生,但可以通過攻擊行為留下的痕跡了解攻擊行為的一些情況,從而避免再次遭受攻擊。對系統(tǒng)資源完整性的檢查也有利于我們對攻擊者進行追蹤,對攻擊行為進行取證。

2.抗欺騙。入侵檢測系統(tǒng)要識別入侵者,入侵者就會想方設法逃避檢測。逃避檢測的方法很多,總結起來可分為誤報和漏報兩大類。一種使入侵檢測系統(tǒng)誤報的實現(xiàn)形式,是快速告普信息的產(chǎn)生讓系統(tǒng)無法反應以致死機,這其實是通用的網(wǎng)絡攻擊方式一拒絕服務攻擊在入侵檢測系統(tǒng)上的體現(xiàn)。與誤報相比,漏報更具危險性,即躲過系統(tǒng)的檢測,使系統(tǒng)對某些攻擊方式失效。入侵檢測系統(tǒng)無法統(tǒng)一漏報和誤報的矛盾,目前的入侵檢測產(chǎn)品一般會在兩者間進行折衷,并且進行調整以適應不同的應用環(huán)境。

3.記錄、報警和響應。入侵檢測系統(tǒng)在檢測到攻擊后,應該采取相應的措施來阻止攻擊或者響應攻擊。作為一種主動防御策略,它必然應該具備此功能。入侵檢測系統(tǒng)首先應該記錄攻擊的基本情況,其次應該能夠及時發(fā)出報警。好的入侵檢測系統(tǒng),不僅應該把相關數(shù)據(jù)記錄在文件或數(shù)據(jù)庫中,還應該提供好的報表打印功能。必要時,系統(tǒng)還應該采取必要的響應行為,如拒絕接受所有來自某臺計算機的數(shù)據(jù)、追蹤入侵行為等。

三、神經(jīng)系統(tǒng)網(wǎng)絡在入侵檢測系統(tǒng)中的應用

目前計算機入侵的現(xiàn)狀是入侵的數(shù)量日益增長、入侵個體的入侵手段和目標系統(tǒng)多種多樣,因此要確切的描述入侵特征非常困難,入侵規(guī)則庫和模式庫的更新要求難以得到滿足,這就要求入侵檢測應該具有相當大的智能性和靈活性,這是多項人工智能技術被相繼應用到入侵檢測中的原因。

1.傳統(tǒng)入侵檢測中存在的問題。我們先來分析一下傳統(tǒng)IDS存在的問題。傳統(tǒng)IDS產(chǎn)品大多都是基于規(guī)則的,而這一傳統(tǒng)的檢測技術有一些難以逾越的障礙:

(1)在基于規(guī)則的入侵檢測系統(tǒng)中,所有的規(guī)則可理解為“IF一THEN”形式,也就是說,這一規(guī)則表述的是一種嚴格的線性關系,缺乏靈活性和適應性,當網(wǎng)絡數(shù)據(jù)出現(xiàn)信息不完整、變形失真或攻擊方法變化時,這種檢測方法將失效,因此引起較高的誤警率和漏報率。

(2)隨著攻擊類型的多樣化,必然導致規(guī)則庫中的規(guī)則不斷增多,當這些規(guī)則增加到一定程度,會引起系統(tǒng)檢測效率的顯著降低,在流量較高時,可造成丟包等現(xiàn)象。此外,攻擊方法的不斷發(fā)展,使得傳統(tǒng)的入侵檢測系統(tǒng)無法有效地預測和識別新的攻擊方法,使系統(tǒng)的適應性受到限制。

(3)傳統(tǒng)的用來描述用戶行為特征的度量一般是憑感覺和經(jīng)驗的,這些度量是否能有效地描述用戶行為很難估計。有些度量當考慮所有用戶可能是無效的,但當考慮某些特別的用戶時,可能又非常有用。

2.神經(jīng)網(wǎng)絡在入侵檢測中的應用

作為人工智能(AD)的一個重要分支,神經(jīng)網(wǎng)絡在入侵檢測領域得到了很好的應用。神經(jīng)網(wǎng)絡技術在入侵檢測系統(tǒng)中用來構造分類器,主要用于資料特征的分析,以發(fā)現(xiàn)是否為一種入侵行為。如果是一種入侵行為,系統(tǒng)將與已知入侵行為的特征進行比較,判斷是否為一種新的攻擊行為,從而決定是進行丟棄還是進行存盤、報警、發(fā)送資料特征等工作。神經(jīng)網(wǎng)絡在入侵檢測中的具體實現(xiàn)方法一般有兩種:

(1)系統(tǒng)或模式匹配系統(tǒng)合并在一起

這種方法不是像以前一樣在異常檢測中用神經(jīng)網(wǎng)絡代替現(xiàn)有的統(tǒng)計分析部分,而是用神經(jīng)網(wǎng)絡來過濾出數(shù)據(jù)當中的可疑事件,并把這些事件轉交給專家系統(tǒng)處理。這種結構可以通過減少專家系統(tǒng)的誤報來提高檢測系統(tǒng)的效用。因為神經(jīng)網(wǎng)絡將確定某一特別事件具有攻擊跡象的概率,我們就可以確定一個閩值來決定事件是否轉交給專家系統(tǒng)作進一步分析,這樣一來,由于專家系統(tǒng)只接收可疑事件的數(shù)據(jù),它的靈敏度就會大大增加(通常,專家系統(tǒng)以犧牲靈敏度來減少誤報率)。這種結構對那些投資專家系統(tǒng)技術的機構大有好處,因為它提高了系統(tǒng)的效用,同時還保護了在現(xiàn)有IDS上的投資。

(2)網(wǎng)絡作為一個獨立的特征檢測系統(tǒng)

在這個結構中,神經(jīng)網(wǎng)絡從網(wǎng)絡流中接受數(shù)據(jù),并對數(shù)據(jù)進行分析。任何被識別為帶有攻擊跡象的事件都將被轉交給安全管理員或自動入侵應答系統(tǒng)來處理。這種方法在速度方面超過了以前的方法,因為它只有一個單獨的分析層。另外,隨著神經(jīng)網(wǎng)絡對攻擊特征的學習,這種結構的效用也會不斷提高,它不同于第一種方法,不會受專家系統(tǒng)分析能力的限制,而最終將超越專家系統(tǒng)基于規(guī)則的種種限制。

參考文獻:

篇(3)

關鍵詞入侵檢測異常檢測誤用檢測

在網(wǎng)絡技術日新月異的今天，基于網(wǎng)絡的計算機應用已經(jīng)成為發(fā)展的主流。政府、教育、商業(yè)、金融等機構紛紛聯(lián)入Internet，全社會信息共享已逐步成為現(xiàn)實。然而，近年來，網(wǎng)上黑客的攻擊活動正以每年10倍的速度增長。因此，保證計算機系統(tǒng)、網(wǎng)絡系統(tǒng)以及整個信息基礎設施的安全已經(jīng)成為刻不容緩的重要課題。

1 防火墻

目前防范網(wǎng)絡攻擊最常用的方法是構建防火墻。

防火墻作為一種邊界安全的手段，在網(wǎng)絡安全保護中起著重要作用。其主要功能是控制對網(wǎng)絡的非法訪問，通過監(jiān)視、限制、更改通過網(wǎng)絡的數(shù)據(jù)流，一方面盡可能屏蔽內(nèi)部網(wǎng)的拓撲結構，另一方面對內(nèi)屏蔽外部危險站點，以防范外對內(nèi)的非法訪問。然而，防火墻存在明顯的局限性。

(1)入侵者可以找到防火墻背后可能敞開的后門。如同深宅大院的高大院墻不能擋住老鼠的偷襲一樣，防火墻有時無法阻止入侵者的攻擊。

(2)防火墻不能阻止來自內(nèi)部的襲擊。調查發(fā)現(xiàn)，50％的攻擊都將來自于網(wǎng)絡內(nèi)部。

(3)由于性能的限制，防火墻通常不能提供實時的入侵檢測能力。畢業(yè)論文 而這一點，對于層出不窮的網(wǎng)絡攻擊技術來說是至關重要的。

因此，在Internet入口處部署防火墻系統(tǒng)是不能確保安全的。單純的防火墻策略已經(jīng)無法滿足對安全高度敏感部門的需要，網(wǎng)絡的防衛(wèi)必須采用一種縱深的、多樣化的手段。

由于傳統(tǒng)防火墻存在缺陷，引發(fā)了入侵檢測IDS(Intrusion Detection System)的研究和開發(fā)。入侵檢測是防火墻之后的第二道安全閘門，是對防火墻的合理補充，在不影響網(wǎng)絡性能的情況下，通過對網(wǎng)絡的監(jiān)測，幫助系統(tǒng)對付網(wǎng)絡攻擊，擴展系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視、進攻識別和響應)，提高信息安全基礎結構的完整性，提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護?，F(xiàn)在，入侵檢測已經(jīng)成為網(wǎng)絡安全中一個重要的研究方向，在各種不同的網(wǎng)絡環(huán)境中發(fā)揮重要作用。

2 入侵檢測

2．1 入侵檢測

入侵檢測是通過從計算機網(wǎng)絡系統(tǒng)中的若干關鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)違反安全策略的行為和遭到攻擊的跡象，并做出自動的響應。其主要功能是對用戶和系統(tǒng)行為的監(jiān)測與分析、系統(tǒng)配置和漏洞的審計檢查、重要系統(tǒng)和數(shù)據(jù)文件的完整性評估、已知的攻擊行為模式的識別、異常行為模式的統(tǒng)計分析、操作系統(tǒng)的審計跟蹤管理及違反安全策略的用戶行為的識別。入侵檢測通過迅速地檢測入侵，在可能造成系統(tǒng)損壞或數(shù)據(jù)丟失之前，識別并驅除入侵者，使系統(tǒng)迅速恢復正常工作，并且阻止入侵者進一步的行動。同時，收集有關入侵的技術資料，用于改進和增強系統(tǒng)抵抗入侵的能力。

入侵檢測可分為基于主機型、基于網(wǎng)絡型、基于型三類。從20世紀90年代至今，英語論文 已經(jīng)開發(fā)出一些入侵檢測的產(chǎn)品，其中比較有代表性的產(chǎn)品有ISS(Intemet Security System)公司的Realsecure，NAI(Network Associates，Inc)公司的Cybercop和Cisco公司的NetRanger。

2．2 檢測技術

入侵檢測為網(wǎng)絡安全提供實時檢測及攻擊行為檢測，并采取相應的防護手段。例如，實時檢測通過記錄證據(jù)來進行跟蹤、恢復、斷開網(wǎng)絡連接等控制；攻擊行為檢測注重于發(fā)現(xiàn)信息系統(tǒng)中可能已經(jīng)通過身份檢查的形跡可疑者，進一步加強信息系統(tǒng)的安全力度。入侵檢測的步驟如下：

收集系統(tǒng)、網(wǎng)絡、數(shù)據(jù)及用戶活動的狀態(tài)和行為的信息

入侵檢測一般采用分布式結構，在計算機網(wǎng)絡系統(tǒng)中的若干不同關鍵點(不同網(wǎng)段和不同主機)收集信息，一方面擴大檢測范圍，另一方面通過多個采集點的信息的比較來判斷是否存在可疑現(xiàn)象或發(fā)生入侵行為。

入侵檢測所利用的信息一般來自以下4個方面：系統(tǒng)和網(wǎng)絡日志文件、目錄和文件中的不期望的改變、程序執(zhí)行中的不期望行為、物理形式的入侵信息。

(2)根據(jù)收集到的信息進行分析

常用的分析方法有模式匹配、統(tǒng)計分析、完整性分析。模式匹配是將收集到的信息與已知的網(wǎng)絡入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進行比較，從而發(fā)現(xiàn)違背安全策略的行為。

統(tǒng)計分析方法首先給系統(tǒng)對象(如用戶、文件、目錄和設備等)創(chuàng)建一個統(tǒng)計描述，統(tǒng)計正常使用時的一些測量屬性。測量屬性的平均值將被用來與網(wǎng)絡、系統(tǒng)的行為進行比較。當觀察值超出正常值范圍時，就有可能發(fā)生入侵行為。該方法的難點是閾值的選擇，閾值太小可能產(chǎn)生錯誤的入侵報告，閾值太大可能漏報一些入侵事件。

完整性分析主要關注某個文件或對象是否被更改，包括文件和目錄的內(nèi)容及屬性。該方法能有效地防范特洛伊木馬的攻擊。

3 分類及存在的問題

入侵檢測通過對入侵和攻擊行為的檢測，查出系統(tǒng)的入侵者或合法用戶對系統(tǒng)資源的濫用和誤用。工作總結 根據(jù)不同的檢測方法，將入侵檢測分為異常入侵檢測(Anomaly Detection)和誤用人侵檢測(Misuse Detection)。

3．1 異常檢測

又稱為基于行為的檢測。其基本前提是：假定所有的入侵行為都是異常的。首先建立系統(tǒng)或用戶的“正?！毙袨樘卣鬏喞?，通過比較當前的系統(tǒng)或用戶的行為是否偏離正常的行為特征輪廓來判斷是否發(fā)生了入侵。此方法不依賴于是否表現(xiàn)出具體行為來進行檢測，是一種間接的方法。

常用的具體方法有：統(tǒng)計異常檢測方法、基于特征選擇異常檢測方法、基于貝葉斯推理異常檢測方法、基于貝葉斯網(wǎng)絡異常檢測方法、基于模式預測異常檢測方法、基于神經(jīng)網(wǎng)絡異常檢測方法、基于機器學習異常檢測方法、基于數(shù)據(jù)采掘異常檢測方法等。

采用異常檢測的關鍵問題有如下兩個方面：

(1)特征量的選擇

在建立系統(tǒng)或用戶的行為特征輪廓的正常模型時，選取的特征量既要能準確地體現(xiàn)系統(tǒng)或用戶的行為特征，又能使模型最優(yōu)化，即以最少的特征量就能涵蓋系統(tǒng)或用戶的行為特征。

(2)參考閾值的選定

由于異常檢測是以正常的特征輪廓作為比較的參考基準，因此，參考閾值的選定是非常關鍵的。

閾值設定得過大，那漏警率會很高；閾值設定的過小，則虛警率就會提高。合適的參考閾值的選定是決定這一檢測方法準確率的至關重要的因素。

由此可見，異常檢測技術難點是“正常”行為特征輪廓的確定、特征量的選取、特征輪廓的更新。由于這幾個因素的制約，異常檢測的虛警率很高，但對于未知的入侵行為的檢測非常有效。此外，由于需要實時地建立和更新系統(tǒng)或用戶的特征輪廓，這樣所需的計算量很大，對系統(tǒng)的處理性能要求很高。

3．2 誤用檢測

又稱為基于知識的檢測。其基本前提是：假定所有可能的入侵行為都能被識別和表示。首先，留學生論文 對已知的攻擊方法進行攻擊簽名(攻擊簽名是指用一種特定的方式來表示已知的攻擊模式)表示，然后根據(jù)已經(jīng)定義好的攻擊簽名，通過判斷這些攻擊簽名是否出現(xiàn)來判斷入侵行為的發(fā)生與否。這種方法是依據(jù)是否出現(xiàn)攻擊簽名來判斷入侵行為，是一種直接的方法。

常用的具體方法有：基于條件概率誤用入侵檢測方法、基于專家系統(tǒng)誤用入侵檢測方法、基于狀態(tài)遷移分析誤用入侵檢測方法、基于鍵盤監(jiān)控誤用入侵檢測方法、基于模型誤用入侵檢測方法。誤用檢測的關鍵問題是攻擊簽名的正確表示。

誤用檢測是根據(jù)攻擊簽名來判斷入侵的，根據(jù)對已知的攻擊方法的了解，用特定的模式語言來表示這種攻擊，使得攻擊簽名能夠準確地表示入侵行為及其所有可能的變種，同時又不會把非入侵行為包含進來。由于多數(shù)入侵行為是利用系統(tǒng)的漏洞和應用程序的缺陷，因此，通過分析攻擊過程的特征、條件、排列以及事件間的關系，就可具體描述入侵行為的跡象。這些跡象不僅對分析已經(jīng)發(fā)生的入侵行為有幫助，而且對即將發(fā)生的入侵也有預警作用。

誤用檢測將收集到的信息與已知的攻擊簽名模式庫進行比較，從中發(fā)現(xiàn)違背安全策略的行為。由于只需要收集相關的數(shù)據(jù)，這樣系統(tǒng)的負擔明顯減少。該方法類似于病毒檢測系統(tǒng)，其檢測的準確率和效率都比較高。但是它也存在一些缺點。

3．2．1 不能檢測未知的入侵行為

由于其檢測機理是對已知的入侵方法進行模式提取，對于未知的入侵方法就不能進行有效的檢測。也就是說漏警率比較高。

3．2．2 與系統(tǒng)的相關性很強

對于不同實現(xiàn)機制的操作系統(tǒng)，由于攻擊的方法不盡相同，很難定義出統(tǒng)一的模式庫。另外，誤用檢測技術也難以檢測出內(nèi)部人員的入侵行為。

目前，由于誤用檢測技術比較成熟，多數(shù)的商業(yè)產(chǎn)品都主要是基于誤用檢測模型的。不過，為了增強檢測功能，不少產(chǎn)品也加入了異常檢測的方法。

4 入侵檢測的發(fā)展方向

隨著信息系統(tǒng)對一個國家的社會生產(chǎn)與國民經(jīng)濟的影響越來越大，再加上網(wǎng)絡攻擊者的攻擊工具與手法日趨復雜化，信息戰(zhàn)已逐步被各個國家重視。近年來，入侵檢測有如下幾個主要發(fā)展方向：

4．1 分布式入侵檢測與通用入侵檢測架構

傳統(tǒng)的IDS一般局限于單一的主機或網(wǎng)絡架構，對異構系統(tǒng)及大規(guī)模的網(wǎng)絡的監(jiān)測明顯不足，再加上不同的IDS系統(tǒng)之間不能很好地協(xié)同工作。為解決這一問題，需要采用分布式入侵檢測技術與通用入侵檢測架構。

4．2應用層入侵檢測

許多入侵的語義只有在應用層才能理解，然而目前的IDS僅能檢測到諸如Web之類的通用協(xié)議，而不能處理Lotus Notes、數(shù)據(jù)庫系統(tǒng)等其他的應用系統(tǒng)。許多基于客戶／服務器結構、中間件技術及對象技術的大型應用，也需要應用層的入侵檢測保護。

4．3 智能的入侵檢測

入侵方法越來越多樣化與綜合化，盡管已經(jīng)有智能體、神經(jīng)網(wǎng)絡與遺傳算法在入侵檢測領域應用研究，但是，這只是一些嘗試性的研究工作，需要對智能化的IDS加以進一步的研究，以解決其自學習與自適應能力。

4．4 入侵檢測的評測方法

用戶需對眾多的IDS系統(tǒng)進行評價，評價指標包括IDS檢測范圍、系統(tǒng)資源占用、IDS自身的可靠性，從而設計出通用的入侵檢測測試與評估方法與平臺，實現(xiàn)對多種IDS的檢測。

4．5 全面的安全防御方案

結合安全工程風險管理的思想與方法來處理網(wǎng)絡安全問題，將網(wǎng)絡安全作為一個整體工程來處理。從管理、網(wǎng)絡結構、加密通道、防火墻、病毒防護、入侵檢測多方位全面對所關注的網(wǎng)絡作全面的評估，然后提出可行的全面解決方案。

綜上所述，入侵檢測作為一種積極主動的安全防護技術，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護，使網(wǎng)絡系統(tǒng)在受到危害之前即攔截和響應入侵行為，為網(wǎng)絡安全增加一道屏障。隨著入侵檢測的研究與開發(fā)，并在實際應用中與其它網(wǎng)絡管理軟件相結合，使網(wǎng)絡安全可以從立體縱深、多層次防御的角度出發(fā)，形成人侵檢測、網(wǎng)絡管理、網(wǎng)絡監(jiān)控三位一體化，從而更加有效地保護網(wǎng)絡的安全。

參考文獻

l 吳新民．兩種典型的入侵檢測方法研究．計算機工程與應用，2002；38(10)：181—183

2 羅妍，李仲麟，陳憲．入侵檢測系統(tǒng)模型的比較．計算機應用，2001；21(6)：29～31

3 李渙洲．網(wǎng)絡安全與入侵檢測技術．四川師范大學學報．2001；24(3)：426—428

4 張慧敏，何軍，黃厚寬．入侵檢測系統(tǒng)．計算機應用研究，2001；18(9)：38—4l

篇(4)

摘要:入侵檢測系統(tǒng)與其他網(wǎng)絡安全設備的不同之處便在于，ids是一種積極主動的安全防護技術。生物免疫系統(tǒng)是機體保護自身的一種防御性結構，入侵檢測系統(tǒng)與生物免疫系統(tǒng)有著許多相似之處。論文在簡要介紹免疫機理在入侵檢測研究現(xiàn)狀的基礎上，著重探討一種針對當前計算機及其網(wǎng)絡運行的人工免疫系統(tǒng)（artificialimmunesystem，ais）的理論模型，以及一種基于免疫機理的入侵檢測系統(tǒng)的多子系統(tǒng)、多的體系結構。

目前，開放式網(wǎng)絡環(huán)境使人們充分享受著數(shù)字化，信息化給人們?nèi)粘５墓ぷ魃顚W習帶來的巨大便利,也因此對計算機網(wǎng)絡越來越強的依賴性，與此同時,各種針對網(wǎng)絡的攻擊與破壞日益增多，成為制約網(wǎng)絡技術發(fā)展的一大障礙。傳統(tǒng)的安全技術并不能對系統(tǒng)是否真的沒有被入侵有任何保證。入侵檢測系統(tǒng)已經(jīng)成為信息網(wǎng)絡安全其必不可少的一道防線。

人體內(nèi)有一個免疫系統(tǒng)，它是人體抵御病原菌侵犯最重要的保衛(wèi)系統(tǒng)，主要手段是依靠自身的防御體系和免疫能力。一些學者試圖學習和模仿生物機體的這種能力，將其移植到計算機網(wǎng)絡安全方面。相關研究很多都基于生物免疫系統(tǒng)的體系結構和免疫機制[5]?；诿庖呃碚摰难芯恳阎饾u成為目前人們研究的一個重要方向，其研究成果將會為計算機網(wǎng)絡安全提供一條新的途徑。

一、入侵檢測簡介

入侵即入侵者利用主機或網(wǎng)絡中程序的漏洞，對特權程序進行非法或異常的調用，使外網(wǎng)攻擊者侵入內(nèi)網(wǎng)獲取內(nèi)網(wǎng)的資源。入侵檢測即是檢測各種非法的入侵行為。入侵檢測提供了對網(wǎng)絡的實時保護，在系統(tǒng)受到危害時提前有所作為。入侵檢測嚴密監(jiān)視系統(tǒng)的各種不安全的活動，識別用戶不安全的行為。入侵檢測應付各種網(wǎng)絡攻擊，提高了用戶的安全性。入侵檢測[4]技術就是為保證網(wǎng)路系統(tǒng)的安全而設計的一種可以檢測系統(tǒng)中異常的、不安全的行為的技術。

二、基于免疫機理的入侵檢測系統(tǒng)

（一）入侵檢測系統(tǒng)和自然免疫系統(tǒng)用四元函數(shù)組來定義一個自然免疫系統(tǒng)∑nis[5]，∑nis=(xnis,ωnis,ynis,gnis)xnis是輸入，它為各種類型的抗原，令z表示所有抗原，抗原包括自身蛋白集合和病原體集合這兩個互斥的集合，即，用w表示自身蛋白集合，nw表示病原體集合，有s∪nw=z，w=ynis是輸出，只考慮免疫系統(tǒng)對病原體的識別而不計免疫效應，ynis取0或1，分別表示自然免疫系統(tǒng)判別輸入時的自身或非自身。

gnis是一個自然免疫系統(tǒng)輸入輸出之間的非線性關系函數(shù)，則有ynis=gnis(xnis)=ωnis為自然免疫系統(tǒng)的內(nèi)部組成。而根據(jù)系統(tǒng)的定義，入侵檢測系統(tǒng)可以表示為∑ids=(xids,ωids,yids,gids)

式中，xids是入侵檢測系統(tǒng)的輸入。令m表示是整個論域，整個論域也可以劃分成為兩個互斥的集合即入侵集合，表示為i和正常集合表示﹁i，有i∪﹁i=m，i∩﹁i=輸入xids，輸出yids，此時入侵檢測系統(tǒng)具有報警s和不報警﹁a兩種狀態(tài)，報警用1表示，不報警用0表示。

gids表示輸入與輸出之間的非線性函數(shù)關系，則有yids=gids(xids)=ωids是自然免疫系統(tǒng)的內(nèi)部組成。不同種類的檢測系統(tǒng)具有不同的ωids，產(chǎn)生不同的ωids，從而將輸入向量映射到輸出。

（二）基于自然免疫機理的入侵檢測系統(tǒng)的設計

自然免疫系統(tǒng)是一個識別病原菌的系統(tǒng)，與網(wǎng)絡入侵檢測系統(tǒng)有很多類似之處，因此自然免疫系統(tǒng)得到一個設計網(wǎng)絡入侵檢測系統(tǒng)的啟發(fā)，我們先來研究自然入侵檢測系統(tǒng)的動態(tài)防護性、檢測性能、自適應性以及系統(tǒng)健壯性這四個特性[5]。

1.動態(tài)防護性。

自然免疫系統(tǒng)可以用比較少的資源完成相對復雜的檢測任務。人體約有1016種病原體需要識別，自然免疫系統(tǒng)采用動態(tài)防護，任一時刻，淋巴檢測器只能檢測到病原體的一個子集，但淋巴檢測器每天都會及時更新，所以每天檢測的病原體是不同的，淋巴細胞的及時更新，來應對當前的待檢病原體。

2.檢測性能。

自然免疫系統(tǒng)具有非常強的低預警率和高檢測率。之所以具有這樣好的檢測性能，是因為自然免疫系統(tǒng)具有多樣性、多層次、異常檢測能力、獨特性等多種特性。

3.自適應性。

自然免疫系統(tǒng)具有良好的自適應性，檢測器一般情況下能夠檢測到頻率比較高的攻擊規(guī)則，很少或基本根本沒有檢測到入侵的規(guī)則，將會被移出常用檢測規(guī)則庫，這樣就會使得規(guī)則庫中的規(guī)則一直可以檢測到經(jīng)常遇到的攻擊?；诿庖邫C理的入侵檢測系統(tǒng)采用異常檢測方法檢測攻擊，對通過異常檢測到的攻擊提取異常特征形成新的檢測規(guī)則，當這些入侵再次出現(xiàn)時直接通過規(guī)則匹配直接就可以檢測到。

4.健壯性。

自然免疫系統(tǒng)采用了高度分布式的結構，基于免疫機理研究出的入侵檢測系統(tǒng)也包含多個子系統(tǒng)和大量遍布整個系統(tǒng)的檢測，每個子系統(tǒng)或檢測僅能檢測某一個或幾類入侵，而多個子系統(tǒng)或大量檢測器的集合就能檢測到大多數(shù)入侵，少量幾個的失效，不會影響整個系統(tǒng)的檢測能力[4]。

（三）基于免疫機理的入侵檢測系統(tǒng)體系架構

根據(jù)上述所討論的思想，現(xiàn)在我們提出基于免疫機理的入侵檢測系統(tǒng)aiids[1]，包括如下四個組成部分：

1.主機入侵檢測子系統(tǒng)。

其入侵信息來源于被監(jiān)控主機的日志。它由多個組成，主要監(jiān)控計算機網(wǎng)絡系統(tǒng)的完整保密以及可用性等方面。

2.網(wǎng)絡入侵子系統(tǒng)。

其入侵信息來源于局域網(wǎng)的通信數(shù)據(jù)包。該數(shù)據(jù)包一般位于網(wǎng)絡節(jié)點處，網(wǎng)絡入侵子系統(tǒng)首先對數(shù)據(jù)包的ip和tcp包頭進行解析，然后收集數(shù)據(jù)組件、解析包頭和提取組件特征、生成抗體和組件的檢測、協(xié)同和報告、優(yōu)化規(guī)則、掃描攻擊以及檢測機遇協(xié)議漏洞的攻擊和拒絕服務攻擊等。

3.網(wǎng)絡節(jié)點入侵子系統(tǒng)。

其入侵信息來源于網(wǎng)絡的通信數(shù)據(jù)包，網(wǎng)絡節(jié)點入侵子系統(tǒng)監(jiān)控網(wǎng)絡節(jié)點的數(shù)據(jù)包，對數(shù)據(jù)包進行解碼和分析。他包括多個應用層，用來檢測應用層的各種攻擊。

4.控制臺。

有各種信組件，包括交互組件以及通信組件，交互組件用于顯示當前被檢查的網(wǎng)絡系統(tǒng)的各種安全狀況，通信組件用于與子系統(tǒng)進行通信聯(lián)絡[5]。

篇(5)

論文摘要：網(wǎng)絡的入侵取證系統(tǒng)是對網(wǎng)絡防火墻合理的補充，是對系統(tǒng)管理員安全管理的能力的擴展，可使網(wǎng)絡安全的基礎結構得到完整性的提高。通過采集計算機網(wǎng)絡系統(tǒng)的相關一系列關鍵點信息，并系統(tǒng)分析，來檢測網(wǎng)絡是否存在違反了安全策略行為及遭到襲擊的現(xiàn)象。隨著計算機的普及，有計算機引發(fā)的案件也越發(fā)頻繁，該文即針對計算機基于網(wǎng)絡動態(tài)的網(wǎng)絡入侵取證作進一步的探討。 

計算機網(wǎng)絡的入侵檢測，是指對計算機的網(wǎng)絡及其整體系統(tǒng)的時控監(jiān)測，以此探查計算機是否存在違反安全原則的策略事件。目前的網(wǎng)絡入侵檢測系統(tǒng)，主要用于識別計算機系統(tǒng)及相關網(wǎng)絡系統(tǒng)，或是擴大意義的識別信息系統(tǒng)的非法攻擊，包括檢測內(nèi)部的合法用戶非允許越權從事網(wǎng)絡非法活動和檢測外界的非法系統(tǒng)入侵者的試探行為或惡意攻擊行為。其運動的方式也包含兩種，為目標主機上的運行來檢測其自身通信的信息和在一臺單獨機器上運行從而能檢測所有的網(wǎng)絡設備通信的信息，例如路由器、hub等。 

1 計算機入侵檢測與取證相關的技術 

1.1 計算機入侵檢測 

入侵取證的技術是在不對網(wǎng)絡的性能產(chǎn)生影響的前提下，對網(wǎng)絡的攻擊威脅進行防止或者減輕。一般來說，入侵檢測的系統(tǒng)包含有數(shù)據(jù)的收集、儲存、分析以及攻擊響應的功能。主要是通過對計算機的網(wǎng)絡或者系統(tǒng)中得到的幾個關鍵點進行信息的收集和分析，以此來提早發(fā)現(xiàn)計算機網(wǎng)絡或者系統(tǒng)中存在的違反安全策略行為以及被攻擊跡象。相較于其他的一些產(chǎn)品，計算機的入侵檢測系統(tǒng)需要更加多的智能，需要對測得數(shù)據(jù)進行分析，從而得到有用的信息。 

計算機的入侵檢測系統(tǒng)主要是對描述計算機的行為特征，并通過行為特征對行為的性質進行準確判定。根據(jù)計算機所采取的技術，入侵檢測可以分為特征的檢測和異常的檢測；根據(jù)計算機的主機或者網(wǎng)絡，不同的檢測對象，分為基于主機和網(wǎng)絡的入侵檢測系統(tǒng)以及分布式的入侵檢測系統(tǒng)；根據(jù)計算機不同的工作方式，可分為離線和在線檢測系統(tǒng)。計算機的入侵檢測就是在數(shù)以億記的網(wǎng)絡數(shù)據(jù)中探查到非法入侵或合法越權行為的痕跡。并對檢測到的入侵過程進行分析，將該入侵過程對應的可能事件與入侵檢測原則規(guī)則比較分析，最終發(fā)現(xiàn)入侵行為。按照入侵檢測不同實現(xiàn)的原來，可將其分為基于特征或者行為的檢測。 

1.2 計算機入侵取證 

在中國首屆計算機的取證技術峰會上指出，計算機的入侵取證學科是計算機科學、刑事偵查學以及法學的交叉學科，但由于計算機取證學科在我國屬于新起步階段，與發(fā)達國家在技術研究方面的較量還存在很大差距，其中，計算機的電子數(shù)據(jù)的取證存在困難的局面已經(jīng)對部分案件的偵破起到阻礙作用。而我國的計算機的電子數(shù)據(jù)作為可用證據(jù)的立法項目也只是剛剛起步，同樣面臨著計算機的電子數(shù)據(jù)取證相關技術不成熟，相關標準和方法等不足的窘境。 

計算機的入侵取證工作是整個法律訴訟過程中重要的環(huán)節(jié)，此過程中涉及的不僅是計算機領域，同時還需滿足法律要求。因而，取證工作必須按照一定的即成標準展開，以此確保獲得電子數(shù)據(jù)的證據(jù)，目前基本需要把握以下幾個原則：實時性的原則、合法性的原則、多備份的原則、全面性的原則、環(huán)境原則以及嚴格的管理過程。 

2 基于網(wǎng)絡動態(tài)的入侵取證系統(tǒng)的設計和實現(xiàn) 

信息科技近年來得到迅猛發(fā)展，同時帶來了日益嚴重的計算機犯罪問題，靜態(tài)取證局限著傳統(tǒng)計算機的取證技術，使得其證據(jù)的真實性、及時性及有效性等實際要求都得不到滿足。為此，提出了新的取證設想，即動態(tài)取證，來實現(xiàn)網(wǎng)絡動態(tài)狀況下的計算機系統(tǒng)取證。此系統(tǒng)與傳統(tǒng)取證工具不同，其在犯罪行為實際進行前和進行中開展取證工作，根本上避免取證不及時可能造成德證據(jù)鏈缺失?；诰W(wǎng)絡動態(tài)的取證系統(tǒng)有效地提高了取證工作效率，增強了數(shù)據(jù)證據(jù)時效性和完整性。 

2.1 計算機的入侵取證過程 

計算機取證，主要就是對計算機證據(jù)的采集，計算機證據(jù)也被稱為電子證據(jù)。一般來說，電子證據(jù)是指電子化的信息數(shù)據(jù)和資料，用于證明案件的事實，它只是以數(shù)字形式在計算機系統(tǒng)中存在，以證明案件相關的事實數(shù)據(jù)信息，其中包括計算機數(shù)據(jù)的產(chǎn)生、存儲、傳輸、記錄、打印等所有反映計算機系統(tǒng)犯罪行為的電子證據(jù)。

就目前而言，由于計算機法律、技術等原因限制，國內(nèi)外關于計算機的取證主要還是采用事后取證方式。即現(xiàn)在的取證工作仍將原始數(shù)據(jù)的收集過程放在犯罪事件發(fā)生后，但計算機的網(wǎng)絡特性是許多重要數(shù)據(jù)的存儲可能在數(shù)據(jù)極易丟失的存儲器中；另外，黑客入侵等非法網(wǎng)絡犯罪過程中，入侵者會將類似系統(tǒng)日志的重要文件修改、刪除或使用反取證技術掩蓋其犯罪行徑。同時，2004年fbi/csi的年度計算機報告也顯示，企業(yè)的內(nèi)部職員是計算機安全的最大威脅，因職員位置是在入侵檢測及防火墻防護的系統(tǒng)內(nèi)的，他們不需要很高的權限更改就可以從事犯罪活動。 

2.2 基于網(wǎng)絡動態(tài)的計算機入侵取證系統(tǒng)設計 

根據(jù)上文所提及的計算機入侵的取證缺陷及無法滿足實際需要的現(xiàn)狀，我們設計出新的網(wǎng)絡動態(tài)狀況下的計算機入侵的取證系統(tǒng)。此系統(tǒng)能夠實現(xiàn)將取證的工作提前至犯罪活動發(fā)生之前或者進行中時，還能夠同時兼顧來自于計算機內(nèi)、外犯罪的活動，獲得盡可能多的相關犯罪信息?；诰W(wǎng)絡動態(tài)的取證系統(tǒng)和傳統(tǒng)的取證系統(tǒng)存在的根本差別在于取證工作的開展時機不同，基于分布式策略的動態(tài)取證系統(tǒng)，可獲得全面、及時的證據(jù)，并且可為證據(jù)的安全性提供更加有效的保障。 

此外，基于網(wǎng)絡動態(tài)的入侵取證系統(tǒng)在設計初始就涉及了兩個方面的取證工作。其一是攻擊計算機本原系統(tǒng)的犯罪行為，其二是以計算機為工具的犯罪行為（或說是計算機系統(tǒng)越權使用的犯罪行為）。系統(tǒng)采集網(wǎng)絡取證和取證兩個方面涉及的這兩個犯罪的電子證據(jù)，并通過加密傳輸?shù)哪K將采集到的電子證據(jù)傳送至安全的服務器上，進行統(tǒng)一妥善保存，按其關鍵性的級別進行分類，以方便后續(xù)的分析查詢活動。并對已獲電子證據(jù)以分析模塊進行分析并生成報告?zhèn)溆?。通過管理控制模塊完成對整個系統(tǒng)的統(tǒng)一管理，來確保系統(tǒng)可穩(wěn)定持久的運行。 

2.3 網(wǎng)絡動態(tài)狀況下的計算機入侵取證系統(tǒng)實現(xiàn) 

基于網(wǎng)絡動態(tài)計算機的入侵取證系統(tǒng)，主要是通過網(wǎng)絡取證機、取證、管理控制臺、安全服務器、取證分析機等部分組成。整個系統(tǒng)的結構取證，是以被取證機器上運行的一個長期服務的守護程序的方式來實現(xiàn)的。該程序將對被監(jiān)測取證的機器的系統(tǒng)日志文件長期進行不間斷采集，并配套相應得鍵盤操作和他類現(xiàn)場的證據(jù)采集。最終通過安全傳輸?shù)姆绞綄⒁勋@電子數(shù)據(jù)證據(jù)傳輸至遠程的安全服務器，管理控制臺會即刻發(fā)送指令知道操作。 

網(wǎng)絡取證機使用混雜模式的網(wǎng)絡接口，監(jiān)聽所有通過的網(wǎng)絡數(shù)據(jù)報。經(jīng)協(xié)議分析，可捕獲、匯總并存儲潛在證據(jù)的數(shù)據(jù)報。并同時添加“蜜罐”系統(tǒng)，發(fā)現(xiàn)攻擊行為便即可轉移進行持續(xù)的證據(jù)獲取。安全服務器是構建了一個開放必要服務器的系統(tǒng)進行取證并以網(wǎng)絡取證機將獲取的電子證據(jù)進行統(tǒng)一保存。并通過加密及數(shù)字簽名等技術保證已獲證據(jù)的安全性、一致性和有效性。而取證分析機是使用數(shù)據(jù)挖掘的技術深入分析安全服務器所保存的各關鍵類別的電子證據(jù)，以此獲取犯罪活動的相關信息及直接證據(jù)，并同時生成報告提交法庭。管理控制臺為安全服務器及取證提供認證，以此來管理系統(tǒng)各個部分的運行。 

基于網(wǎng)絡動態(tài)的計算機入侵取證系統(tǒng)，不僅涉及本網(wǎng)絡所涵蓋的計算機的目前犯罪行為及傳統(tǒng)計算機的外部網(wǎng)絡的犯罪行為，同時也獲取網(wǎng)絡內(nèi)部的、將計算機系統(tǒng)作為犯罪工具或越權濫用等犯罪行為的證據(jù)。即取證入侵系統(tǒng)從功能上開始可以兼顧內(nèi)外部兩方面?；诰W(wǎng)絡動態(tài)的計算機入侵取證系統(tǒng)，分為證據(jù)獲取、傳輸、存儲、分析、管理等五大模塊。通過各個模塊間相互緊密協(xié)作，真正良好實現(xiàn)網(wǎng)絡動態(tài)的計算機入侵取證系統(tǒng)。 

3 結束語 

隨著信息科學技術的迅猛發(fā)展，給人們的生活和工作方式都帶來了巨大的變化，也給犯罪活動提供了更廣闊的空間和各種新手段。而基于網(wǎng)絡動態(tài)的計算機入侵取證系統(tǒng)，則通過解決傳統(tǒng)計算機的入侵取證系統(tǒng)瓶頸技術的完善，在犯罪活動發(fā)生前或進行中便展開電子取證工作，有效彌補了計算機網(wǎng)絡犯罪案件中存在的因事后取證導致的證據(jù)鏈不足或缺失。全面捕獲證據(jù)，安全傳輸至遠程安全服務器并統(tǒng)一妥善保存，且最終分析獲得結論以報告的形式用于法律訴訟中。但是作為一門新興的學科，關于計算機取證的具體標準及相關流程尚未完善，取證工作因涉及學科多且涵蓋技術項目廣，仍需不斷的深入研究。 

參考文獻： 

[1] 魏士靖.計算機網(wǎng)絡取證分析系統(tǒng)[d].無錫:江南大學,2006. 

[2] 李曉秋.基于特征的高性能網(wǎng)絡入侵檢測系統(tǒng)[d].鄭州:中國信息工程大學,2003. 

[3] 史光坤.基于網(wǎng)絡的動態(tài)計算機取證系統(tǒng)設計與實現(xiàn)[d].長春:吉林大學,2007. 

篇(6)

論文摘要： 從現(xiàn)有安全設施來看，TDCS網(wǎng)絡系統(tǒng)安全體系初步形成。但是，隨著計算機網(wǎng)絡的日益普及，各種安全威脅和計算機病毒也隨之而來?，F(xiàn)有的網(wǎng)絡安全系統(tǒng)雖然起到一定的防護作用，但并不能完全解決整個骨干網(wǎng)絡的系統(tǒng)安全問題。因此，擬采用基于遺傳算法和神經(jīng)網(wǎng)絡的入侵檢測技術，結合遺傳算法和神經(jīng)網(wǎng)絡各自的優(yōu)點，加強對TDCS網(wǎng)絡的監(jiān)視和防護。

1 TDCS網(wǎng)絡安全狀況

1.1 TDCS網(wǎng)絡安全現(xiàn)狀

TDCS（TrainOperation Dispatching Command System）是覆蓋全路的列車調度指揮管理系統(tǒng)，分為鐵道部、鐵路局和車站三級建設，能及時、準確地為全路各級調度指揮管理人員提供現(xiàn)代化的調度指揮手段和平臺，是鐵路運輸調度指揮現(xiàn)代化建設的標志。但是，隨著計算機網(wǎng)絡的日益普及，各種安全威脅和計算機病毒也隨之而來，這就導致TDCS網(wǎng)絡存在著安全隱患。

1.2 TDCS網(wǎng)絡安全存在的問題

在TDCS網(wǎng)絡中主要存在著以下幾方面安全問題：1）間接來自于互聯(lián)網(wǎng)的病毒威脅；2）操作系統(tǒng)的安全威脅；3）應用軟件的安全威脅；4）計算機設置的安全隱患；5）實時監(jiān)控能力弱。

2 TDCS網(wǎng)絡安全防護

2.1 TDCS網(wǎng)絡目前采取的安全防護措施

針對TDCS網(wǎng)絡存在的安全問題，結合各種技術和方法，目前全路系統(tǒng)信息安全防護體系采取的措施有：

1）防火墻系統(tǒng)。防火墻技術是實現(xiàn)子網(wǎng)邊界安全的重要技術。首先路由器將對網(wǎng)絡層安全進行初步保證，但路由器的訪問控制列表只能作為防火墻系統(tǒng)的一個重要補充，只能通過防火墻系統(tǒng)來實現(xiàn)復雜的安全控制。

2）身份認證系統(tǒng)。由于TDCS人員結構復雜，用戶眾多，安全意識參差不齊，所以用戶的工作內(nèi)容也不盡相同，對于如此重要的系統(tǒng)，目前采用的以靜態(tài)密碼為主的身份認證系統(tǒng)帶來的安全威脅是非常嚴重的，會造成比較大的安全風險。為了解決此類安全隱患，實用動態(tài)口令對TDCS用戶進行身份認證是非常必要的。

3）網(wǎng)絡防病毒系統(tǒng)。根據(jù)對病毒來源的分析，TDCS網(wǎng)絡防病毒系統(tǒng)主要體現(xiàn)在以下三個方面：第一，防病毒集中統(tǒng)一管理，就是在鐵路局內(nèi)部安裝防病毒軟件管理系統(tǒng)，對所有客戶端防病毒軟件進行統(tǒng)一管理；第二，服務器病毒防護，就是對各種服務器進行病毒掃描和清除；第三，桌面防毒防護，就是對各項桌面系統(tǒng)軟件進行病毒掃描和清楚。

4）入侵檢測系統(tǒng)。入侵檢測的主要功能是控制對網(wǎng)絡的非法控制，通過監(jiān)視、限制通過網(wǎng)絡的數(shù)據(jù)流，防止外對內(nèi)、內(nèi)對外的非法訪問，隔離內(nèi)部網(wǎng)和外部網(wǎng)，為監(jiān)視TDCS局域網(wǎng)安全提供便利。

5）安全漏洞評估系統(tǒng)。

2.2 TDCS網(wǎng)絡采用入侵檢測進行防護的好處

通過以上介紹，我們不難發(fā)現(xiàn)，在TDCS網(wǎng)絡安全體系中，入侵檢測系統(tǒng)是唯一一個通過數(shù)據(jù)和行為模式判斷其是否有效的系統(tǒng)。

形象地說，入侵檢測系統(tǒng)就是網(wǎng)絡攝像機，能夠捕獲并記錄網(wǎng)絡上的所有數(shù)據(jù)，同時它也是智能攝像機，能夠分析網(wǎng)絡數(shù)據(jù)并提煉出可疑的、異常的網(wǎng)絡數(shù)據(jù)，它還是X光攝像機，能夠穿透一些巧妙的偽裝，抓住實際的內(nèi)容。此外，它還是保安員的攝像機，能夠對入侵行為自動地進行反擊，如阻斷連接。

在TDCS網(wǎng)絡中引入入侵檢測技術，主要是實現(xiàn)對網(wǎng)絡的非法控制，通過監(jiān)視、限制通過網(wǎng)絡的數(shù)據(jù)流，給網(wǎng)絡系統(tǒng)提供對外部攻擊、內(nèi)部攻擊和誤操作的安全保護，為監(jiān)視TDCS局域網(wǎng)安全提供更多便利。

3 基于遺傳算法和神經(jīng)網(wǎng)絡的入侵檢測系統(tǒng)

3.1 傳統(tǒng)的IDS存在的問題

1）準確性差。傳統(tǒng)的統(tǒng)計方法需要依賴于一些假設，如審計數(shù)據(jù)（或用戶行為）的分布符合高斯分布，實際上用戶行為具有隨機性，這些假設有時可能無效，從而導致較高的錯誤率。

2）靈活性差。傳統(tǒng)的IDS對攻擊特征的刻畫只能是某些固定的序列，但現(xiàn)實中的入侵者利用的手段往往是有變化的，而要在入侵模式庫中反映出所有可能的變化是不可能的。

3）適應性差。入侵者的攻擊方法是在不斷發(fā)展的，但傳統(tǒng)的入侵檢測系統(tǒng)無法有效地預測和識別新的攻擊方法，使系統(tǒng)的適應性受到限制。

3.2 采用基于遺傳算法的神經(jīng)網(wǎng)絡IDS的好處

將遺傳算法全局搜索最優(yōu)和傳統(tǒng)神經(jīng)網(wǎng)絡局部尋優(yōu)結合起來，取長補短，既可以減小遺傳算法的搜索空間、提高搜索效率，又可以較容易地收斂到最優(yōu)解，為求解多目標優(yōu)化問題提供了新的策略。

4 結束語

目前在TDCS網(wǎng)絡安全系統(tǒng)中采用的IDS一般都是基于神經(jīng)網(wǎng)絡技術的，由于神經(jīng)網(wǎng)絡的設計主要依據(jù)設計者的經(jīng)驗在大樣本空間反復實驗來進行選取，尚無理論上的指導，因此在神經(jīng)網(wǎng)絡的初始連接權以及網(wǎng)絡結構的選擇上具有很大的隨機性，很難選取具有全局性的初始點，因而網(wǎng)絡求得全局最優(yōu)的可能性小。本文提出的技術很好的克服了這些缺點，較好地解決了問題。

參考文獻：

[1]鐵道部運輸局，鐵路列車調度指揮系統(tǒng)，北京：中國鐵道出版社，2006.10.

[2]高麗，鐵路站段計算機網(wǎng)絡故障解決方法[J].鐵路計算機應用，2006，13（9）：13-16.

[3]周明孫、樹棟，遺傳算法原理及應用，北京：國防工業(yè)出版社，1999.

篇(7)

    詞】電子政務;入侵檢測;信息安全;數(shù)據(jù)挖掘

    Research Survey on Intrusion Detection Based on the E-government Information Systems

    SHANG Lei

    (Shandong University of Political Science and Law,Jinan Shangdong,250013,China)

    【Abstract】With the development of computer technology and network technology, E-government was widely used. It also caused many security problems. As a proactive defense of the new technology, Intrusion Detection System (IDS)can be helpful for E-government information safely. This paper presented a summary of the current state of IDS based on E-government, and some directions for future research are addressed.

    【Key words】E-government;Intrusion-detection;Information security;Data mining

    0 引言

    隨著以互聯(lián)網(wǎng)為主要表現(xiàn)形式的信息通信技術的快速發(fā)展和廣泛應用,信息化為行政改革推波助瀾,發(fā)展電子政務成為21世紀全球范圍內(nèi)的一個不可扭轉的趨勢。電子政務的實施中涉及眾多重要的政府信息,甚至國家安全信息,這些信息承載著各級政府管理部門的信息傳遞與流程管理,比任何商務信息或個人信息更為敏感,因此信息安全問題是電子政務建設中至關重要的核心議題。

    電子政務系統(tǒng)面臨的安全威脅主要表現(xiàn)在以下幾個方面:(1)系統(tǒng)安全漏洞威脅。政務系統(tǒng)本身存在一些漏洞或缺陷,軟件安全性不高,為攻擊者利用,如操作系統(tǒng)漏洞、數(shù)據(jù)庫管理系統(tǒng)漏洞、通信協(xié)議本身的安全漏洞等。(2)計算機病毒。(3)外部入侵。政務網(wǎng)絡的開放性要求,給黑客攻擊帶來了便利。(4)內(nèi)部攻擊。如內(nèi)部人員的惡意破壞或越權訪問、內(nèi)部管理疏漏誤操作、管理人員濫用職權等。入侵檢測技術是應用在防御主動攻擊方面的一種動態(tài)網(wǎng)絡安全技術,提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護,應用于電子政務信息系統(tǒng)中,將很大程度的提高系統(tǒng)的防御能力。

    1 相關概念簡介

    1.1 電子政務

    關于電子政務(electronic government),國內(nèi)外的組織結構存在著不同的定義,在我國將其定義為:政府機構應用現(xiàn)代信息和通信技術,將管理和服務通過網(wǎng)絡技術進行集成, 在互聯(lián)網(wǎng)上實現(xiàn)政府組織結構和工作流程的優(yōu)化重組,超越時間、空間與部門分隔的限制,全方位地向社會提供優(yōu)質、規(guī)范、透明、符合國際水準的管理和服務。[1]電子政務的實施涉及政府機關內(nèi)部、其他機關、團體、企業(yè)和社會公眾,其中應用于G2G(政府間的電子政務)的系統(tǒng)如:電子辦公系統(tǒng)、電子培訓系統(tǒng)、業(yè)績評價系統(tǒng)、電子法規(guī)政策系統(tǒng)、電子公文系統(tǒng)、電子司法檔案系統(tǒng)等。應用于G2B(政府對企業(yè)的電子政務)的信息系統(tǒng)如:電子稅務系統(tǒng)、電子證照辦理系統(tǒng)、電子采購與招標系統(tǒng)等。G2C(政府對公民的電子政務)系統(tǒng):社會保險服務網(wǎng)絡、電子醫(yī)療服務系統(tǒng)、交通管理服務系統(tǒng)等。這些系統(tǒng)的共同特點是基于互聯(lián)網(wǎng)、存在信息的雙向交流、有一定的開放性,因此為保證電子政務的信息安全, 有必要對其信息和網(wǎng)絡系統(tǒng)進行專門的安全設計。

    1.2 入侵檢測

    1980 年,James P. Anderson 發(fā)表了論文《Computer Security Threat Monitoring and Surveillance》,文中第一次精確給出了入侵的概念,并將入侵劃分為:外部闖入、內(nèi)部授權用戶的越權使用和濫用三種類型,提出了用審計追蹤來監(jiān)視入侵威脅。1998 年,Ross Anderson 和 Abida Khattak 將信息檢索的技術引進了入侵檢測方面,隨后人工智能、分布式技術、神經(jīng)網(wǎng)絡技術的加入奠定了入侵檢測系統(tǒng)的設計基礎。

    人侵偵測系統(tǒng)( Intrusion Detection System ,IDS )[2]對計算機網(wǎng)絡及基于網(wǎng)絡的系統(tǒng)進行監(jiān)視,依據(jù)監(jiān)視結果針對不同的入侵行為采用不同的安全策略,以期最大程度地降低入侵帶來的危害,是一種主動檢測系統(tǒng)是否受到攻擊的網(wǎng)絡安全技術。入侵檢測系統(tǒng)的主要功能包括:監(jiān)視、分析用戶及系統(tǒng)活動;識別、反映已知進攻的活動模式;統(tǒng)計分析異常行為模式;審計、跟蹤管理操作系統(tǒng),識別用戶違反安全策略的行為等?？傮w來說,入侵檢測系統(tǒng)的發(fā)展經(jīng)歷了五個階段:基于主機的入侵檢測系統(tǒng),HIDS;基于多 主機的入侵檢測系統(tǒng);基于網(wǎng)絡入侵檢測系統(tǒng),NIDS;分布式入侵檢測系統(tǒng);以及面向大規(guī)模網(wǎng)絡的入侵檢測系統(tǒng)。[3]在技術上分為基于特征的檢測和基于異常的檢測,。通過對現(xiàn)有的入侵檢測系統(tǒng)研究,應用于入侵檢測的方法主要包括:專家系統(tǒng)、有限狀態(tài)機、統(tǒng)計分析、模式匹配、類神經(jīng)網(wǎng)絡、模糊理論、分布式處理等技術。 2 電子政

    務信息系統(tǒng)入侵檢測技術分析

    電子政務系統(tǒng)安全是多因素、多層次、多目標、動態(tài)變化的復雜系統(tǒng)工程,需要從整體上認識處理網(wǎng)絡、信息和應用的安全問題,尋求一種大規(guī)模應用環(huán)境下具有高安全性和一定開放性的安全體系結構,入侵檢測技術成為其中重要的研究方向。目前已有很多研究者投入到該領域的研究通過人工智能技術、移動技術、數(shù)據(jù)融合和信息關聯(lián)技術提高入侵檢測系統(tǒng)的功能和效率。   2.1 基于數(shù)據(jù)挖掘的入侵檢測技術

    將數(shù)據(jù)挖掘技術應用到入侵檢測系統(tǒng)中,是近年發(fā)展起來的熱點問題,哥倫比亞大學的Wenke Lee等人首先提出將數(shù)據(jù)挖掘技術應用于電子政務入侵檢測。[2]基本的數(shù)據(jù)挖掘技術包括:數(shù)據(jù)采集、數(shù)據(jù)預處理、模式發(fā)現(xiàn)、模式評估及知識表示,其中模式發(fā)現(xiàn)是整個過程的關鍵。數(shù)據(jù)挖掘技術可以在大量網(wǎng)絡數(shù)據(jù)及審計數(shù)據(jù)中挖掘出異?；蛉肭中缘男袨槟Ｊ?也可以找出用戶正常行為來創(chuàng)建用戶的正常行為庫,降低訓練集獲取的難度。目前用于電子政務入侵檢測的數(shù)據(jù)挖掘方法主要有序列分析、聚類分析、關聯(lián)分析、分類分析等。文獻[2]中提出了一種基于電子政務的數(shù)據(jù)挖掘異常入侵檢測模型,將模型的工作過程定義為數(shù)據(jù)采集、數(shù)據(jù)預處理、關聯(lián)挖掘、入侵檢測四步。文獻[4]提出基于最小距離的聚類算進行聚類分析,大大提高了電子政務信息系統(tǒng)的安全能力。

    2.2 基于多主體技術的入侵檢測

    協(xié)同工作是電子政務系統(tǒng)的重要特點,同時也是解決電子政務系統(tǒng)安全問題時必須考慮的因素。人工智能領域的多主體( multi-agent)協(xié)作技術能夠有效處理分散的、分布的、不同種類的在線信息資源,是構造大型、復雜、魯棒的分布式信息處理系統(tǒng)的有效解決方案。多agent技術最早出現(xiàn)于20世紀70年代的人工智能領域,用于解決大規(guī)模復雜問題的智能求解而發(fā)展起來的,[5]該技術的基本思想是把大的復雜系統(tǒng)分解為許多小的、可以實現(xiàn)相互通信、能夠彼此協(xié)調工作的自治系統(tǒng)(A-gent),然后通過這些自治A gent的交互、協(xié)作等智能行為完成復雜的任務求解。

    目前多agent技術在電子政務系統(tǒng)協(xié)同工作設計中應用非常廣泛,在文獻[5]中提出了一個基于多A gent的電子政務應用系統(tǒng)平臺模型,并在此基礎上設計了基于多A gent技術的網(wǎng)絡攻擊自動檢測及免疫系統(tǒng),利用多個子Agent的相互協(xié)作自動識別外部攻擊,以支持不同安全策略之間的互操作性,系統(tǒng)中分別定義了用戶接口Agent、認證Agent、授權Agent、審計Agent,它們由智能協(xié)作Agent進行協(xié)調管理。文獻[6]提出了一種基于環(huán)型協(xié)作機制的分布式入侵檢測系統(tǒng)模型,用于提高系統(tǒng)的安全性、高可靠性和協(xié)作能力。它將分布在各處的監(jiān)測站點組織成一個邏輯環(huán),由運行在環(huán)中的令牌來實現(xiàn)對協(xié)作的控制和驅動,從而提高網(wǎng)絡人侵檢測能力。

    3 結束語

    入侵檢測作為防火墻之后的第二道閘口正日益成為保障電子政務網(wǎng)絡系統(tǒng)安全的一種重要手段。人工智能、數(shù)據(jù)挖掘、分布式處理等技術的應用在一定程度上降低了入侵檢測的誤報率和漏報率,提高了系統(tǒng)的功能和效率,有效地保護了電子政務系統(tǒng)的安全。但該技術在電子政務安全領域的應用還處于研究和發(fā)展階段,還有許多問題有待解決,如對攻擊意圖的識別、攻擊模式自動獲取、以及與其他安全技術結合等問題。

    【參考文獻】

    [1]蔣毅.電子政務基礎[M].機械工業(yè)出版社,2006:31-33.

    [2]王悅.基于電子政務的數(shù)據(jù)挖掘異常入侵檢測技術[J].微計算機信息,2010,26(9-1):236-238.

    [3]張超,霍紅衛(wèi),錢秀檳,張玉清.入侵檢測系統(tǒng)概述[J].計算機工程與應用,2004,3:116-119.

    [4]朱景鋒.物聯(lián)網(wǎng)環(huán)境下電子政務信息系統(tǒng)入侵檢測技術分析與對策研究[J].科技通報,2012,4,28(4):130-132.