基于网络的入侵检测范例(3篇)

666作文网 0 2026-07-16

基于网络的入侵检测范文

关键词:计算机网络安全;数据挖掘;入侵检测系统;IPv6网络

中图分类号:TP393.08

在我们的现实生活中,IPv6网络逐渐被商用化,而且所走向的领域越来越宽泛,在生活各领域的使用也越来越普及。IPv6网络在技术上与IPv4相比有明显的提高,同时还改善了一定的网络安全问题[1]。但是,在使用的过程中,仍然存在一定的安全漏洞。面对各式各样的新型攻击行为,有关的网络安全问题也不断的被凸现出来。因此,在当代网络信息技术中如何有效的对IPv6网络的安全进行保护是一项紧要的课题。入侵检测(IntrusionDetection)是指在网络上能够主动地抵抗任何可能破坏或损害网络信息的完整性、保密性的行为的侵入。在计算机网络中,入侵检测,一般有两种形式存在:误用检测(MisusedDetection)和异常检测(AnonmalyDetection)[2]。在国家“十二五”规划中,由于IPv6网络的检测技术非常具有代表性,而被列入其中,因此,网络安全的信息技术已成为我国计算机研究领域的一个热点。

1传统入侵检测的现状

网络安全入侵检测作为第二道防线,隐藏于防火墙之后,对网络的安全发挥着主动防御的功能[3]。但是,IPv6网络是一种新型的网络,也并非有传统网络升级过来的。因此。IPv6网络有其自身的数据格式,已经存在的入侵检测不能适应IPv6的网络环境,难以对IPv6网络的安全起到一个良好的检测作用[4]。因此,在IPv6网络发展得今天,网络安全主要出现在这几方面:第一,传统的网速无法与IPv6的网络速度并行。可以说,IPv6的网速是传统网速的1000倍以上,因此在数据的传输过程中,入侵检测的数据非常庞大,无法进行仔细的分析,从而影响检测系统的准确性与有效性[5]。第二,新的攻击行为不断深入。IPv6网络环境是最新的,而所用的检测系统还是传统型的,新的网络环境滋生新的攻击行为,使得攻击行为的入侵无法被别出来,因而检测系统无法被检测到。最后一点就是,传统的网络环境对IPv6协议的排斥,因为IPv6网络中存在一系列的安全协议,在技术上属于领先水平,而传统的网络无法与之匹配,因此,入侵检测系统并没有达到IPv6网络的检测的目标。

2数据挖掘在检测系统中的运用

数据挖掘的入侵检测(DataMiningBasedontheIntrusionDetection),该技术的目的就是利用数据挖掘技术在数据中提取有效的数据,而不需要经过一些列复杂的程序[6]。例如,无需经过知识的检验,就可消除某些特定的元素,在数据中心分析出一些有意义的规则,并利用其中的有效规则生成新的规则,以便后期的使用。数据挖掘是一种被隐藏在数据库中的信息,并且很容易的被理解,在IPv6网络中,利用数据挖掘技术,可以有效地发现用户在使用过程中的行为。数据挖掘运用到检测系统中,不但能易于识别攻击行为和正常行为。利用数据挖掘检测系统能够提高检测的效率,同时还能保证任何一项检测系统的效能,并不会影响其他系统的检测作用。基于数据挖掘的入侵检测系统,是由监测器、模型产生、引擎和数据仓库四部分构成[7]。这四部分的联合运作,能够有效地检测出各种入侵监测。

3基于数据挖掘的入侵检测系统的分析

如前文所述,基于数据挖掘的入侵检测系统的结构包括四个方面。但是在其运行的过程中其功能分为七部分。对于网络中数据的设计与接受是由传感器来完成的;对传感器接手的数据进行过滤,并将其转换成合适的格式存入数据库则由数据接收器来进行;数据库对永久性的数据进行保存,以避免数据传输后,发生数据丢失;而数据挖掘器则是利用挖掘技术学习数据库中的数据;特征提取器就是为了能够让用户在使用过程中对数据进行分析而设计的;在将数据进行分析之后,还应经过检测器将数据从数据库中根据一定的规则提取出来,最后将所得数据按照一定的规则存放于规则库中。所谓的数据挖掘系统就是由这下功能完成的。当然在数据挖掘过程中,并非一步而成,还需经过数据的准备、数据挖掘、数据表述和分析的步骤对数据进行处理。在数据挖掘的入侵检测系统中,为了能够检测出异常事件和正常事件需要建立规则库。同时应当定时的对规则库进行维护。将正常的行为与异常行为分别建立不同的规则库。在数据挖掘入侵系统中,建立两个规则库是为了能够将数据进行有序的排放,若是规则库遭到侵袭时,其中一个规则库还能够继续的进行其他的操作程序,可以很好的保证IPV6网络的安全性。

4基于数据挖掘的检测系统必要性

在网络安全性不断遭到挑战的情况下,基于挖掘数据的入侵检测系统不仅在建立的过程时成本低,并且还能够在发现攻击时及时的进行辨别,减少网络安全引起的损失。因此,在网络安全日益严峻的情况下,数据挖掘的检测系统对IPv6网络安全起到一个很好的保护性。数据挖掘入侵的检测系统并不需要依赖于其他技术上的维护,IPv6网络系统中的数据挖掘检测系统在操作上能够在攻击行为将证据转移时,很快的将其寻找,维护IPv6网络的安全。

5结束语

保障网络信息的安全是目前信息技术领域非常重要的一项任务,,基于各种技术对数据的破坏性,由此带来的经济损失是非常大的。因此,数据挖掘入侵检测系统对保障IPv6网络的安全有极大的保护作用。在数据挖掘的技术的处理过程中,其在程序上与操作技上都存在一定的技术性。因此,在异常行为对IPV6网络进行攻击时,数据挖掘入侵检测系统不仅能够将其识别出来,还能够有效地进行防御,发挥其对网络的第二道防御作用。

参考文献:

[1]吴建平,林嵩,徐恪.可演进的新一代互联网体系结构研究进展[J].计算机学报,2012(06):1094-1108.

[2]纪祥敏,陈秋妹,景林.面向下一代互联网的异常检测模型研究[J].福建电脑,2013(01):7-10.

[3]耿震华,侯彬彬,陆菊康.基于SNMP的入侵检测系统的设计与实现[J].计算机工程与设计,2009(06):12-13.

[4]胡华平,张怡,陈海涛.面向大规模网络的入侵检测与预警系统研究[J].国防科技大学学报,2012(12):21-25.

[5]胡敏,潘增,平玲娣.基于数据挖掘的实时入侵检测技术的研究[J].计算机应用研究,2012(01):105-108.

[6]纪祥敏,景林.基于数据挖掘的IPv6异常检测研究[J].福建电脑,2013(07):44-45.

[7]吴际,黄传河,王丽娜.基于数据挖掘的入侵检测系统研究[J].计算机工程与应用,2013(10):191-192.

作者简介:朱庆友(1975-),男,安徽怀远人,硕士,讲师,主要从事网络技术及应用、电子商务。

作者单位:亳州职业技术学院,安徽亳州236000

基于网络的入侵检测范文篇2

【关键词】网络安全;入侵检测;IPv6;入侵检测系统框架

Abstract:Inthispaper,thecurrentstatusofnetworksecurityisdiscussed,followedbyanalysisofthetrendofInternettransitionfromIPv4toIPv6versionanditscharacteristicsanddefect.BasedoncomparingthecharacteristicsofnetworkintrusiondetectiontechnologyfortraditionalIPv4andIPv6,thispapercitesandanalyzesthemethodstransitiontechnologyfromIPv4toIPv6.Finally,anappropriateframeworkofintrusiondetectionsystemforcurrentIPv4/IPv6environmentisproposed.

Keywords:networksecurity;intrusiondetection;IPv6;IntrusionDetectionSystemFramework

1.引言

随着互联网的快速发展,网络上的恶意攻击行为日益增多,形形的病毒、木、蠕虫层出不穷,对网络信息安全构成了巨大威胁.为了应对越来越严重的网络安全问题,对网络流进行实时分析和检测就显得极为必要。入侵检测系统[1](IntrusionDetectionSystem,IDS)作为一种积极主动、实时动态的网络安全防范技术,越来越受到人们的关注。它通过收集、分析计算机网络或系统中若干关键点数据以判断是否有违反安全策略的行为和被攻击的迹象,帮助系统对付网络攻击,扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高信息安全基础结构的完整性,从而提供对内外攻击和误操作的实时保护。随着下一代网络中IPV6安全机制的引进,网络层的安全性得到增强。同时,IPV6安全机制的应用对传统入侵检测系统也提出了新的要求和挑战。

2.IPv4向IPv6过渡中的安全问题分析

在IPv6网络逐渐替换IPv4网络的过渡过程中,随着过渡技术的应用及网络结构变得越来越复杂,在网络安全方面产生了越来越多的不容忽视的问题[2]。这些过渡技术存在的或带来的安全问题主要有:

采用翻译过渡技术,有两个问题需要关注。其一是网络地址翻译、协议翻译网关联合应用层网关对数据报进行翻译处理时,会破坏数据报传输中端到端的安全性;其二是网络层安全技术不匹配的问题。网络层安全协议的主要作用是对在网络上正常传送的数据进行了最大程度的保密和防止更改,而网络层协议-地址翻译技术的目的是对网络中传送的数据报进行协议和地址的变换,这就带来了网络安全协议技术与网络层协议-地址翻译技术不匹配的问题。

采用隧道过渡技术,由于隧道技术的设计中没有网络安全方面的考虑,以及自身的技术特点,给网络安全带来了众多的问题。在一个已安装设置各种安全设备的网络中,当加入隧道技术后,这些安全设备的功能会受到隧道的影响。当有数据报经过隧道的时候,隧道不会对数据报进行安全方面的检查,恶意的数据报往往可借用隧道来避开网络中的安全检查。

采用双栈过渡技术,就是在一台主机上同时运行两种版本的网络层协议。这两种网络层协议在技术上存在不相关性,他们之间的协调配合的不完善往往会造成一些安全方面的缺陷,给攻击者带来机会。

相较于前两种过渡技术,双栈过渡技术在安全技术和可行性方面都相对来说有优势,所带来的安全隐患也相对较小。

3.IPv4、IPv6网络中入侵检测技术特点

传统的第一代和第二代IDS通常采用模式匹配技术,这种技术是对所有网络数据包与攻击数据库的攻击特征进行匹配,依次来判定数据包中是否有攻击存在。目前,入侵检测系统采用的典型模式匹配算法有BruteForce、Boyer-Moore、Aho-Corasick、Set-wiseBoyer-Moor-Horspool和Aho-Corasick-Boyer-Moore等算法。

IPv6入侵检测技术,可定义为对攻击者使用IPv6网络协议对计算机和网络资源上的恶意使用行为进行识别和响应的处理过程。由于IPv6协议和IPv4不兼容,所以在IPv6下入侵检测可能面临很多新的问题。

首先,IPv6相对IPv4在数据报头上有了很大的变动,所以原来的入侵检测产品在IPv6网络上不能直接使用。IPv4下,IP头部和TCP头部是紧接在一起的,而且其长度是固定的,所以入侵检测系统很容易找到头部,并使用相应的策略。然而在IPv6下TCP/UDP头的位置有了根本的变化,它们不再是紧接在一起的,通常中间还隔有其它的扩展头部,如路由选项头部,AH/ESP头部等。防火墙必须读懂整个数据包才能进行过滤,这对入侵检测的处理性能会有很大的影响。针对IPv6的Socket套接口函数已经在RFC2133(BasicSocketInterFaceExtendsforIPv6)中定义,以前的应用程序都必须参考该新的API做相应的改动。

其次,在IPv6如果使用传输模式进行端到端的加密,则IDS无法工作,因为IDS无法理解接收到的加密数据包。解决方案之一是让IDS能对这些数据包进行解密,但这样势必会带来新的安全问题。同时IPv6的可靠性是否如最初所设想的那样,也有待时间的考验。

3.1IPv4/IPv6双栈入侵检测系统的实现

实现IPv4/IPv6双栈入侵检测系统,关键要使现有的协议解码模块具有IPv6协议解码功能。协议解码分析的类型,从第二层来说,主要分析的是以太网。从第三层来说,有IPv4的包类型,也有IPv6的包类型,还有隧道方式,如IPv6INIPv4TUNNEL和IPv4INIPv6TUNNEL等类型的数据包。

协议解码,就是按照协议的数据结构和属性对数据包进行分析,对号入座。图1是具备IPv6协议解码功能的协议解码流程图。

由图1可知,首先我们从Ethemet上抓包,然后将包解出,在解包的过程中把相应的包信息填充完整,通过规则检测、输出等模块中的分析,判断出该包是IPv4包还是IPv6包,如类型为0x0800就是IPv4数据包,0x86DD就是IPv6数据包,然后将以太网的源和目的地址存放起来留作后用,继续分析下一层(第三层)的数据结构,在这里我们主要分析IPv4和IPv6的包头结构。

3.2IPv6环境中的NIDS模块设计

整个NIDS系统从逻辑上分为数据采集、数据分析和结果输出三部分。符合CIDF的规范。系统由数据包捕获模块、协议解析模块、规则处理模块、分析检测模块、存储模块和响应模块6个模块组成,体系结构框图如图2所示。

3.3IPv6环境中的NIDS模块功能

(1)数据包捕获模块

该模块是网络人侵检测系统的基本组成部分,是实现整个入侵检测系统的基础。数据包捕获模块的主要功能就是从以太网上捕获数据包。对于不同的操作系统,捕获数据包的实现方式也不同。

(2)协议解析模块

协议解析模块的主要功能是对捕获到的数据包进行详细的协议分析,对数据报进行逐层剥离.分析各个协议的报头和数据部分,检测出每个数据包的类型和特征,在此基础上进一步的分析是否有入侵行为发生。

(3)规则处理模块

规则处理模块的功能就是把事先定义好的入侵规则库从文件中读取出来,进行解析,然后读入内存中相应的变量之中。规则库是一个入侵检测系统的知识库,它的丰富与否决定了入侵检测系统的性能,入侵检测库越丰富,系统检测到的入侵行为就会越多。

(4)分析检测模块

该模块主要的功能是根据入侵规则库进行协议分析,看是否有入侵行为的发生。入侵检测功能就是由此模块实现的。入侵检测模块将协议解析模块的分析结果和规则库进行匹配,如果两者匹配成功,就说明有入侵行为发生。

(5)存储模块

此模块的主要功能是存储网络信息。由于网络数据包很多,所以必须及时地把它们存储起来,供事后分析IP协议的分布情况,以及某个IP的活动情况等等。这个模块中主要考虑的是存贮哪些信息以及存储的手段。

(6)响应模块

当系统检测到入侵时,通过响应模块来处理相关的事情。响应模块可采取多种措施对检测引擎检测到的入侵行为进行响应,如传送消息给防火墙、截断外部入侵行为等,也可以只是向管理员进行简单的报警,由管理员根据入侵情况再采取必要的防御措施。

4.结论

本文从IPv4向IPv6逐步过渡的角度入手,结合入侵检测系统的发展趋势,通过安全层面分析目前流行的三种过渡技术,从而得出基于IPv4/IPv6网络环境中采用双栈入侵检测系统有较强的优势和可行性,并对比了传统网络和IPv6环境下的入侵检测技术特点,提出了一个较为合理的IPv4/IPv6双栈入侵检测系统,以及IPv6环境中的NIDS的模块框架以供参考。

参考文献

[1]Rebdcca?Gurley?Bace.入侵检测[M].北京:人民邮电出版社,2001:1-26.

[2]SilviaHagen.Ipv6精髓.技桥[M].北京:清华大学出版社,2004:56-80.

[3]肖天庆,任翔.新一代国际互联网协议IPv6与IPv4的比较研究[J].红河学院学报.,2010,8(2).

[4]蒲宝卿.高校校园网1Pv4向1Pv6过渡策略的分析与研究[J].甘肃高师学报,2010,15(2).

基于网络的入侵检测范文

关键词关键词:人工免疫原理;Agent;网络安全;入侵检测;克隆选择

中图分类号:TP309文献标识码:A文章编号:16727800(2014)002013902

0引言

近年来,电子商务发展迅猛,人们的生活也越来越离不开网络。在网络使用过程中,会伴随着许多重要信息,如:银行账号密码、个人身份信息、电话号码、电子邮箱等。这些信息的保密,形成了一个重要的概念——网络安全。

威胁网络安全的行为主要是网络攻击,网络攻击可分为被动攻击和主动攻击。被动攻击是指通过系统正常的外部接口,收集不属于自己的信息或发送非正常的数据,如:嗅探、欺骗、DDoS等。主动攻击是指非法侵入系统内部,盗取重要信息或者进行危害性高的操作,如:木马、蠕虫、病毒等。

随着网络的高速化、庞大化、复杂化和攻击手段的日益高明、隐晦、多变化,研究保卫网络安全的入侵检测系统势在必行。入侵检测是通过收集网络中的信息进行分析,从而发现网络或系统中是否有异常行为的一种技术,能够帮助系统应对网络攻击。

1免疫系统与入侵检测系统的相似性

免疫系统能够识别“自我”与“非我”成分,并将非我成分排除,系统内部自组织、自协调,具有智能性。而入侵检测系统则是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。正常的网络事件类似于自我成分,非正常的网络事件类似于非我成分,免疫系统和入侵检测系统不谋而合,都是识别非我成分。

经过简单抽象,在人工免疫系统中可构建四类对象。首先是系统的边界,即系统环境,负责其它成分间信息的提供;然后是自我成分的模拟,其中抗体和自体都属于自我成分,抗体是主要演化对象;最后是抗原,属于非我成分。

通过模仿生物免疫系统,将人工免疫原理与免疫算法以及面向Agent设计技术相结合,用于构建网络入侵检测系统,能够获得如生物免疫系统般的智能性、通用性和自治性等特点,从而提高入侵检测系统的效率,有着无可比拟的发展前景。

2分布式Agent系统

Step3:抗体突变。抗体先进行突变操作,通过较高的突变率搜索解空间。然后计算自身适应值,抗体中有两个适应值:一是抗体与自体间的正向适应值,用于衡量抗体的误检率;二是抗体与抗原间的反向适应值,可以衡量抗体的检测率。计算两个实体间的亲和度,若得出的亲和度大于亲和度阈值,则认为两者亲和,适应值增加。比较抗体间适应值大小时,应先比较正向适应值,后比较反向适应值。

Step4:抗体学习。抗体随机选取一个比自己适应值高的优秀抗体进行学习。先找出编码中所有相异的位置,随机选择其中一个位置,从该位置开始,使用优秀抗体的编码替换自己的编码,遇到相同的编码时,停止学习。重新计算自身适应值,若比之前差,则调高亲和度阈值;若比之前好,则调低亲和度阈值。亲和度阈值影响着抗体在解空间的覆盖范围。亲和度阈值越高,覆盖范围越小,误检率越低;亲和度阈值越低,覆盖范围越大,检测率越高。

Step5:抗体成熟。若正向适应值不为0,跳过本步骤;若正向适应值为0,则抗体成熟。成熟抗体生成克隆抗体,让克隆抗体参与Step3和Step4。如果修改后的克隆抗体不如原抗体优秀,则删除克隆抗体;如果比原抗体优秀,则用克隆抗体替换成熟抗体。这使得成熟抗体还有进化的可能,并且只会向更好的方向进行。

Step6:结束条件。判断成熟抗体是否能够检测所有的抗原,如果能,算法结束;如果还不能,跳转回Step3。

4结语

本文将人工免疫原理与面向Agent设计技术相结合,提出了一种系统模型,并对核心算法流程进行了阐述。但是,所建模型仍较简单,设计出更适合用户使用的网络入侵检测系统,将是下一步的研究方向。

参考文献:

[1]覃俊,易云飞,李林.改进k均值聚类算法在网络入侵检测中的应用研究[J].中南民族大学学报:自然科学版,2008,3(27):7578.

[2]黄潜,覃俊,易云飞.基于移动Agent的入侵检测系统研究[J].软件导刊,2008,7(6):188190.

[3]易云飞,张志平,蔡永乐,等.kmeans算法在网络入侵检测中的应用研究[J].软件导刊,2013,12(2):124126.

  • 下一篇:成长中的酸甜苦辣作文(收集12篇)
    上一篇:一件令我难忘的事作文(收集19篇)
    相关文章
    1. 网络新闻传播概论范例(3篇)

      网络新闻传播概论范文2016年2月19日,在党的新闻舆论工作座谈会上强调指出,党的新闻舆论工作是治国理政、定国安邦的大事,要从党的工作全局出发把握定位,坚持党的领导,坚持正确政..

      666作文网 0 2026-07-14

    2. 家务劳动的收获范例(3篇)

      家务劳动的收获范文篇1关键词:家庭财富基础;刘易斯模型;修正一、问题的提出改革开放以来,我国经济迅速发展,工业企业也随之发展起来。工业部门主要是依靠注入资本,以及农村部门..

      666作文网 1 2026-07-13

    3. 城市停车管理办法范例(3篇)

      城市停车管理办法范文一、两个新建停车场的使用和客运车停放安排1、马兰滩停车场(西客站)停放的客运车共计43台。包括:古交到河口的公交客运车(11台)和古交到东塔(11台)、原相(8台)..

      666作文网 1 2026-07-12

    4. 网络信息安全管理体系范例(3篇)

      网络信息安全管理体系范文篇1随着我国通信业和信息化的发展,通信网络作为传递信息的一种重要载体为大家所熟知。在全球信息化进程中,通信网络的普及和演进也潜移默化地改变着..

      666作文网 1 2026-07-12

    5. 贫困家庭经济状况范例(3篇)

      贫困家庭经济状况范文篇1主题词:单亲贫困救助机制对策建议1、__x街道单亲贫困家庭状况1、1__x街道单亲家庭概况据2011年人口普查数据反映,单亲家庭468户。单亲家庭绝大多数..

      666作文网 1 2026-07-11

    6. 网络信息传输的基本原理范例(3篇)

      网络信息传输的基本原理范文随着网络技术的产生与发展、电子商务应用的日益广泛,会计信息系统从相对独立、封闭的状况向网络化发展已成为必然趋势,从而对传统会计的理论与实..

      666作文网 1 2026-07-11

    7. 社区防灾减灾方案范例(3篇)

      社区防灾减灾方案范文一、活动内容(一)全面开展宣传教育活动1.由区民政局牵头,各街道办事处和相关部门配合,在全区范围内全面开展防灾减灾宣传教育活动。什字等重点地段和人员..

      666作文网 1 2026-07-10

    8. 企业能源管理系统方案范例(3篇)

      企业能源管理系统方案范文关键词:人力资源管理;企业绩效;企业战略人力资源管理是可以划分为微观管理和宏观管理的。微观管理较为重视人力资源管理对个体造成的影响。与之相反,..

      666作文网 1 2026-07-10