入侵檢測(cè)論文

開篇：寫作不僅是一種記錄，更是一種創(chuàng)造，它讓我們能夠捕捉那些稍縱即逝的靈感，將它們永久地定格在紙上。下面是小編精心整理的12篇入侵檢測(cè)論文，希望這些內(nèi)容能成為您創(chuàng)作過程中的良師益友，陪伴您不斷探索和進(jìn)步。

第1篇

關(guān)鍵詞入侵檢測(cè)異常檢測(cè)誤用檢測(cè)

在網(wǎng)絡(luò)技術(shù)日新月異的今天，論文基于網(wǎng)絡(luò)的計(jì)算機(jī)應(yīng)用已經(jīng)成為發(fā)展的主流。政府、教育、商業(yè)、金融等機(jī)構(gòu)紛紛聯(lián)入Internet，全社會(huì)信息共享已逐步成為現(xiàn)實(shí)。然而，近年來，網(wǎng)上黑客的攻擊活動(dòng)正以每年10倍的速度增長。因此，保證計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)以及整個(gè)信息基礎(chǔ)設(shè)施的安全已經(jīng)成為刻不容緩的重要課題。

1防火墻

目前防范網(wǎng)絡(luò)攻擊最常用的方法是構(gòu)建防火墻。

防火墻作為一種邊界安全的手段，在網(wǎng)絡(luò)安全保護(hù)中起著重要作用。其主要功能是控制對(duì)網(wǎng)絡(luò)的非法訪問，通過監(jiān)視、限制、更改通過網(wǎng)絡(luò)的數(shù)據(jù)流，一方面盡可能屏蔽內(nèi)部網(wǎng)的拓?fù)浣Y(jié)構(gòu)，另一方面對(duì)內(nèi)屏蔽外部危險(xiǎn)站點(diǎn)，以防范外對(duì)內(nèi)的非法訪問。然而，防火墻存在明顯的局限性。

(1)入侵者可以找到防火墻背后可能敞開的后門。如同深宅大院的高大院墻不能擋住老鼠的偷襲一樣，防火墻有時(shí)無法阻止入侵者的攻擊。

(2)防火墻不能阻止來自內(nèi)部的襲擊。調(diào)查發(fā)現(xiàn)，50％的攻擊都將來自于網(wǎng)絡(luò)內(nèi)部。

(3)由于性能的限制，防火墻通常不能提供實(shí)時(shí)的入侵檢測(cè)能力。畢業(yè)論文而這一點(diǎn)，對(duì)于層出不窮的網(wǎng)絡(luò)攻擊技術(shù)來說是至關(guān)重要的。

因此，在Internet入口處部署防火墻系統(tǒng)是不能確保安全的。單純的防火墻策略已經(jīng)無法滿足對(duì)安全高度敏感部門的需要，網(wǎng)絡(luò)的防衛(wèi)必須采用一種縱深的、多樣化的手段。

由于傳統(tǒng)防火墻存在缺陷，引發(fā)了入侵檢測(cè)IDS(IntrusionDetectionSystem)的研究和開發(fā)。入侵檢測(cè)是防火墻之后的第二道安全閘門，是對(duì)防火墻的合理補(bǔ)充，在不影響網(wǎng)絡(luò)性能的情況下，通過對(duì)網(wǎng)絡(luò)的監(jiān)測(cè)，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展系統(tǒng)管理員的安全管理能力(包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng))，提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性，提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。現(xiàn)在，入侵檢測(cè)已經(jīng)成為網(wǎng)絡(luò)安全中一個(gè)重要的研究方向，在各種不同的網(wǎng)絡(luò)環(huán)境中發(fā)揮重要作用。

2入侵檢測(cè)

2．1入侵檢測(cè)

入侵檢測(cè)是通過從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)違反安全策略的行為和遭到攻擊的跡象，并做出自動(dòng)的響應(yīng)。其主要功能是對(duì)用戶和系統(tǒng)行為的監(jiān)測(cè)與分析、系統(tǒng)配置和漏洞的審計(jì)檢查、重要系統(tǒng)和數(shù)據(jù)文件的完整性評(píng)估、已知的攻擊行為模式的識(shí)別、異常行為模式的統(tǒng)計(jì)分析、操作系統(tǒng)的審計(jì)跟蹤管理及違反安全策略的用戶行為的識(shí)別。入侵檢測(cè)通過迅速地檢測(cè)入侵，在可能造成系統(tǒng)損壞或數(shù)據(jù)丟失之前，識(shí)別并驅(qū)除入侵者，使系統(tǒng)迅速恢復(fù)正常工作，并且阻止入侵者進(jìn)一步的行動(dòng)。同時(shí)，收集有關(guān)入侵的技術(shù)資料，用于改進(jìn)和增強(qiáng)系統(tǒng)抵抗入侵的能力。

入侵檢測(cè)可分為基于主機(jī)型、基于網(wǎng)絡(luò)型、基于型三類。從20世紀(jì)90年代至今，英語論文已經(jīng)開發(fā)出一些入侵檢測(cè)的產(chǎn)品，其中比較有代表性的產(chǎn)品有ISS(IntemetSecuritySystem)公司的Realsecure，NAI(NetworkAssociates，Inc)公司的Cybercop和Cisco公司的NetRanger。

2．2檢測(cè)技術(shù)

入侵檢測(cè)為網(wǎng)絡(luò)安全提供實(shí)時(shí)檢測(cè)及攻擊行為檢測(cè)，并采取相應(yīng)的防護(hù)手段。例如，實(shí)時(shí)檢測(cè)通過記錄證據(jù)來進(jìn)行跟蹤、恢復(fù)、斷開網(wǎng)絡(luò)連接等控制；攻擊行為檢測(cè)注重于發(fā)現(xiàn)信息系統(tǒng)中可能已經(jīng)通過身份檢查的形跡可疑者，進(jìn)一步加強(qiáng)信息系統(tǒng)的安全力度。入侵檢測(cè)的步驟如下：

收集系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動(dòng)的狀態(tài)和行為的信息

入侵檢測(cè)一般采用分布式結(jié)構(gòu)，在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)(不同網(wǎng)段和不同主機(jī))收集信息，一方面擴(kuò)大檢測(cè)范圍，另一方面通過多個(gè)采集點(diǎn)的信息的比較來判斷是否存在可疑現(xiàn)象或發(fā)生入侵行為。

入侵檢測(cè)所利用的信息一般來自以下4個(gè)方面：系統(tǒng)和網(wǎng)絡(luò)日志文件、目錄和文件中的不期望的改變、程序執(zhí)行中的不期望行為、物理形式的入侵信息。

(2)根據(jù)收集到的信息進(jìn)行分析

常用的分析方法有模式匹配、統(tǒng)計(jì)分析、完整性分析。模式匹配是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。

統(tǒng)計(jì)分析方法首先給系統(tǒng)對(duì)象(如用戶、文件、目錄和設(shè)備等)創(chuàng)建一個(gè)統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性。測(cè)量屬性的平均值將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較。當(dāng)觀察值超出正常值范圍時(shí)，就有可能發(fā)生入侵行為。該方法的難點(diǎn)是閾值的選擇，閾值太小可能產(chǎn)生錯(cuò)誤的入侵報(bào)告，閾值太大可能漏報(bào)一些入侵事件。

完整性分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓模ㄎ募湍夸浀膬?nèi)容及屬性。該方法能有效地防范特洛伊木馬的攻擊。

3分類及存在的問題

入侵檢測(cè)通過對(duì)入侵和攻擊行為的檢測(cè)，查出系統(tǒng)的入侵者或合法用戶對(duì)系統(tǒng)資源的濫用和誤用。工作總結(jié)根據(jù)不同的檢測(cè)方法，將入侵檢測(cè)分為異常入侵檢測(cè)(AnomalyDetection)和誤用人侵檢測(cè)(MisuseDetection)。

3．1異常檢測(cè)

又稱為基于行為的檢測(cè)。其基本前提是：假定所有的入侵行為都是異常的。首先建立系統(tǒng)或用戶的“正常”行為特征輪廓，通過比較當(dāng)前的系統(tǒng)或用戶的行為是否偏離正常的行為特征輪廓來判斷是否發(fā)生了入侵。此方法不依賴于是否表現(xiàn)出具體行為來進(jìn)行檢測(cè)，是一種間接的方法。

常用的具體方法有：統(tǒng)計(jì)異常檢測(cè)方法、基于特征選擇異常檢測(cè)方法、基于貝葉斯推理異常檢測(cè)方法、基于貝葉斯網(wǎng)絡(luò)異常檢測(cè)方法、基于模式預(yù)測(cè)異常檢測(cè)方法、基于神經(jīng)網(wǎng)絡(luò)異常檢測(cè)方法、基于機(jī)器學(xué)習(xí)異常檢測(cè)方法、基于數(shù)據(jù)采掘異常檢測(cè)方法等。

采用異常檢測(cè)的關(guān)鍵問題有如下兩個(gè)方面：

(1)特征量的選擇

在建立系統(tǒng)或用戶的行為特征輪廓的正常模型時(shí)，選取的特征量既要能準(zhǔn)確地體現(xiàn)系統(tǒng)或用戶的行為特征，又能使模型最優(yōu)化，即以最少的特征量就能涵蓋系統(tǒng)或用戶的行為特征。(2)參考閾值的選定

由于異常檢測(cè)是以正常的特征輪廓作為比較的參考基準(zhǔn)，因此，參考閾值的選定是非常關(guān)鍵的。

閾值設(shè)定得過大，那漏警率會(huì)很高；閾值設(shè)定的過小，則虛警率就會(huì)提高。合適的參考閾值的選定是決定這一檢測(cè)方法準(zhǔn)確率的至關(guān)重要的因素。

由此可見，異常檢測(cè)技術(shù)難點(diǎn)是“正常”行為特征輪廓的確定、特征量的選取、特征輪廓的更新。由于這幾個(gè)因素的制約，異常檢測(cè)的虛警率很高，但對(duì)于未知的入侵行為的檢測(cè)非常有效。此外，由于需要實(shí)時(shí)地建立和更新系統(tǒng)或用戶的特征輪廓，這樣所需的計(jì)算量很大，對(duì)系統(tǒng)的處理性能要求很高。

3．2誤用檢測(cè)

又稱為基于知識(shí)的檢測(cè)。其基本前提是：假定所有可能的入侵行為都能被識(shí)別和表示。首先，留學(xué)生論文對(duì)已知的攻擊方法進(jìn)行攻擊簽名(攻擊簽名是指用一種特定的方式來表示已知的攻擊模式)表示，然后根據(jù)已經(jīng)定義好的攻擊簽名，通過判斷這些攻擊簽名是否出現(xiàn)來判斷入侵行為的發(fā)生與否。這種方法是依據(jù)是否出現(xiàn)攻擊簽名來判斷入侵行為，是一種直接的方法。

常用的具體方法有：基于條件概率誤用入侵檢測(cè)方法、基于專家系統(tǒng)誤用入侵檢測(cè)方法、基于狀態(tài)遷移分析誤用入侵檢測(cè)方法、基于鍵盤監(jiān)控誤用入侵檢測(cè)方法、基于模型誤用入侵檢測(cè)方法。誤用檢測(cè)的關(guān)鍵問題是攻擊簽名的正確表示。

誤用檢測(cè)是根據(jù)攻擊簽名來判斷入侵的，根據(jù)對(duì)已知的攻擊方法的了解，用特定的模式語言來表示這種攻擊，使得攻擊簽名能夠準(zhǔn)確地表示入侵行為及其所有可能的變種，同時(shí)又不會(huì)把非入侵行為包含進(jìn)來。由于多數(shù)入侵行為是利用系統(tǒng)的漏洞和應(yīng)用程序的缺陷，因此，通過分析攻擊過程的特征、條件、排列以及事件間的關(guān)系，就可具體描述入侵行為的跡象。這些跡象不僅對(duì)分析已經(jīng)發(fā)生的入侵行為有幫助，而且對(duì)即將發(fā)生的入侵也有預(yù)警作用。

誤用檢測(cè)將收集到的信息與已知的攻擊簽名模式庫進(jìn)行比較，從中發(fā)現(xiàn)違背安全策略的行為。由于只需要收集相關(guān)的數(shù)據(jù)，這樣系統(tǒng)的負(fù)擔(dān)明顯減少。該方法類似于病毒檢測(cè)系統(tǒng)，其檢測(cè)的準(zhǔn)確率和效率都比較高。但是它也存在一些缺點(diǎn)。

3．2．1不能檢測(cè)未知的入侵行為

由于其檢測(cè)機(jī)理是對(duì)已知的入侵方法進(jìn)行模式提取，對(duì)于未知的入侵方法就不能進(jìn)行有效的檢測(cè)。也就是說漏警率比較高。

3．2．2與系統(tǒng)的相關(guān)性很強(qiáng)

對(duì)于不同實(shí)現(xiàn)機(jī)制的操作系統(tǒng)，由于攻擊的方法不盡相同，很難定義出統(tǒng)一的模式庫。另外，誤用檢測(cè)技術(shù)也難以檢測(cè)出內(nèi)部人員的入侵行為。

目前，由于誤用檢測(cè)技術(shù)比較成熟，多數(shù)的商業(yè)產(chǎn)品都主要是基于誤用檢測(cè)模型的。不過，為了增強(qiáng)檢測(cè)功能，不少產(chǎn)品也加入了異常檢測(cè)的方法。

4入侵檢測(cè)的發(fā)展方向

隨著信息系統(tǒng)對(duì)一個(gè)國家的社會(huì)生產(chǎn)與國民經(jīng)濟(jì)的影響越來越大，再加上網(wǎng)絡(luò)攻擊者的攻擊工具與手法日趨復(fù)雜化，信息戰(zhàn)已逐步被各個(gè)國家重視。近年來，入侵檢測(cè)有如下幾個(gè)主要發(fā)展方向：

4．1分布式入侵檢測(cè)與通用入侵檢測(cè)架構(gòu)

傳統(tǒng)的IDS一般局限于單一的主機(jī)或網(wǎng)絡(luò)架構(gòu)，對(duì)異構(gòu)系統(tǒng)及大規(guī)模的網(wǎng)絡(luò)的監(jiān)測(cè)明顯不足，再加上不同的IDS系統(tǒng)之間不能很好地協(xié)同工作。為解決這一問題，需要采用分布式入侵檢測(cè)技術(shù)與通用入侵檢測(cè)架構(gòu)。

4．2應(yīng)用層入侵檢測(cè)

許多入侵的語義只有在應(yīng)用層才能理解，然而目前的IDS僅能檢測(cè)到諸如Web之類的通用協(xié)議，而不能處理LotusNotes、數(shù)據(jù)庫系統(tǒng)等其他的應(yīng)用系統(tǒng)。許多基于客戶／服務(wù)器結(jié)構(gòu)、中間件技術(shù)及對(duì)象技術(shù)的大型應(yīng)用，也需要應(yīng)用層的入侵檢測(cè)保護(hù)。

4．3智能的入侵檢測(cè)

入侵方法越來越多樣化與綜合化，盡管已經(jīng)有智能體、神經(jīng)網(wǎng)絡(luò)與遺傳算法在入侵檢測(cè)領(lǐng)域應(yīng)用研究，但是，這只是一些嘗試性的研究工作，需要對(duì)智能化的IDS加以進(jìn)一步的研究，以解決其自學(xué)習(xí)與自適應(yīng)能力。

4．4入侵檢測(cè)的評(píng)測(cè)方法

用戶需對(duì)眾多的IDS系統(tǒng)進(jìn)行評(píng)價(jià)，評(píng)價(jià)指標(biāo)包括IDS檢測(cè)范圍、系統(tǒng)資源占用、IDS自身的可靠性，從而設(shè)計(jì)出通用的入侵檢測(cè)測(cè)試與評(píng)估方法與平臺(tái)，實(shí)現(xiàn)對(duì)多種IDS的檢測(cè)。

4．5全面的安全防御方案

結(jié)合安全工程風(fēng)險(xiǎn)管理的思想與方法來處理網(wǎng)絡(luò)安全問題，將網(wǎng)絡(luò)安全作為一個(gè)整體工程來處理。從管理、網(wǎng)絡(luò)結(jié)構(gòu)、加密通道、防火墻、病毒防護(hù)、入侵檢測(cè)多方位全面對(duì)所關(guān)注的網(wǎng)絡(luò)作全面的評(píng)估，然后提出可行的全面解決方案。

綜上所述，入侵檢測(cè)作為一種積極主動(dòng)的安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，使網(wǎng)絡(luò)系統(tǒng)在受到危害之前即攔截和響應(yīng)入侵行為，為網(wǎng)絡(luò)安全增加一道屏障。隨著入侵檢測(cè)的研究與開發(fā)，并在實(shí)際應(yīng)用中與其它網(wǎng)絡(luò)管理軟件相結(jié)合，使網(wǎng)絡(luò)安全可以從立體縱深、多層次防御的角度出發(fā)，形成人侵檢測(cè)、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)監(jiān)控三位一體化，從而更加有效地保護(hù)網(wǎng)絡(luò)的安全。

參考文獻(xiàn)

l吳新民．兩種典型的入侵檢測(cè)方法研究．計(jì)算機(jī)工程與應(yīng)用，2002；38(10)：181—183

2羅妍，李仲麟，陳憲．入侵檢測(cè)系統(tǒng)模型的比較．計(jì)算機(jī)應(yīng)用，2001；21(6)：29～31

3李渙洲．網(wǎng)絡(luò)安全與入侵檢測(cè)技術(shù)．四川師范大學(xué)學(xué)報(bào)．2001；24(3)：426—428

4張慧敏，何軍，黃厚寬．入侵檢測(cè)系統(tǒng)．計(jì)算機(jī)應(yīng)用研究，2001；18(9)：38—4l

第2篇

關(guān)鍵詞：網(wǎng)絡(luò)安全，入侵檢測(cè)

 

隨著計(jì)算機(jī)技術(shù)以及網(wǎng)絡(luò)信息技術(shù)的高速發(fā)展, 許多部門都利用互聯(lián)網(wǎng)建立了自己的信息系統(tǒng), 以充分利用各類信息資源。但在連接信息能力、流通能力提高的同時(shí),基于網(wǎng)絡(luò)連接的安全問題也日益突出。在現(xiàn)今的網(wǎng)絡(luò)安全技術(shù)中，常用的口令證、防火墻、安全審計(jì)及及加密技術(shù)等等，都屬于靜態(tài)防御技術(shù)，而系統(tǒng)面臨的安全威脅越來越多，新的攻擊手段也層出不窮，僅僅依靠初步的防御技術(shù)是遠(yuǎn)遠(yuǎn)不夠的，需要采取有效的手段對(duì)整個(gè)系統(tǒng)進(jìn)行主動(dòng)監(jiān)控。入侵檢測(cè)系統(tǒng)是近年來網(wǎng)絡(luò)安全領(lǐng)域的熱門技術(shù)，是保障計(jì)算機(jī)及網(wǎng)絡(luò)安全的有力措施之一。

1 入侵檢測(cè)和入侵檢測(cè)系統(tǒng)基本概念

入侵檢測(cè)（Intrusion Detection）是動(dòng)態(tài)的跟蹤和檢測(cè)方法的簡稱， 是對(duì)入侵行為的發(fā)覺，它通過旁路偵聽的方式，對(duì)計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。

入侵檢測(cè)的軟件和硬件組成了入侵檢測(cè)系統(tǒng)（IDS:Intrusion Detection System）,IDS是繼防火墻之后的第二道安全閘門，它在不影響網(wǎng)絡(luò)性能的情況下依照一定的安全策略，對(duì)網(wǎng)絡(luò)的運(yùn)行狀況進(jìn)行監(jiān)測(cè)。它能夠幫助網(wǎng)絡(luò)系統(tǒng)快速發(fā)現(xiàn)網(wǎng)絡(luò)攻擊的發(fā)生，對(duì)得到的數(shù)據(jù)進(jìn)行分析，一旦發(fā)現(xiàn)入侵，及進(jìn)做出響應(yīng)，包括切斷網(wǎng)絡(luò)連接、記錄或者報(bào)警等。由于入侵檢測(cè)能在不影響網(wǎng)絡(luò)性能的情況下對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，為系統(tǒng)提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的有效保護(hù)。因此，為網(wǎng)絡(luò)安全提供高效的入侵檢測(cè)及相應(yīng)的防護(hù)手段，它以探測(cè)與控制為技術(shù)本質(zhì)，能彌補(bǔ)防火墻的不足，起著主動(dòng)防御的作用，是網(wǎng)絡(luò)安全中極其重要的部分。免費(fèi)論文。

2　入侵檢測(cè)系統(tǒng)的分類

入侵檢測(cè)系統(tǒng)根據(jù)其檢測(cè)數(shù)據(jù)來源分為兩類：基于主機(jī)的入侵檢測(cè)系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)。

基于主機(jī)的入侵檢測(cè)系統(tǒng)的檢測(cè)目標(biāo)是主機(jī)系統(tǒng)和系統(tǒng)本地用戶。其原理是根據(jù)主機(jī)的審計(jì)數(shù)據(jù)和系統(tǒng)日志發(fā)現(xiàn)可疑事件。該系統(tǒng)通常運(yùn)行在被監(jiān)測(cè)的主機(jī)或服務(wù)器上，實(shí)時(shí)檢測(cè)主機(jī)安全性方面如操作系統(tǒng)日志、審核日志文件、應(yīng)用程序日志文件等情況，其效果依賴于數(shù)據(jù)的準(zhǔn)確性以及安全事件的定義。基于主機(jī)的入侵檢測(cè)系統(tǒng)具有檢測(cè)效率高，分析代價(jià)小，分析速度快的特點(diǎn)，能夠迅速并準(zhǔn)確地定位入侵者，并可以結(jié)合操作系統(tǒng)和應(yīng)用程序的行為特征對(duì)入侵進(jìn)行進(jìn)一步分析、響應(yīng)。基于主機(jī)的入侵檢測(cè)系統(tǒng)只能檢測(cè)單個(gè)主機(jī)系統(tǒng)。

基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)搜集來自網(wǎng)絡(luò)層的信息。這些信息通常通過嗅包技術(shù)，使用在混雜模式的網(wǎng)絡(luò)接口獲得。基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)可以監(jiān)視和檢測(cè)網(wǎng)絡(luò)層的攻擊。它具有較強(qiáng)的數(shù)據(jù)提取能力。在數(shù)據(jù)提取的實(shí)時(shí)性、充分性、可靠性方面優(yōu)于基于主機(jī)日志的入侵檢測(cè)系統(tǒng)。基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)可以對(duì)本網(wǎng)段的多個(gè)主機(jī)系統(tǒng)進(jìn)行檢測(cè)，多個(gè)分布于不同網(wǎng)段上的基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)可以協(xié)同工作以提供更強(qiáng)的入侵檢測(cè)能力。

3　入侵檢測(cè)方法

入侵檢測(cè)方法主要分為異常入侵檢測(cè)和誤用入侵檢測(cè)。

異常入侵檢測(cè)的主要前提條件是將入侵性活動(dòng)作為異常活動(dòng)的子集，理想狀況是異常活動(dòng)集與入侵性活動(dòng)集等同，這樣，若能檢測(cè)所有的異常活動(dòng)，則可檢測(cè)所有的入侵活動(dòng)。但是，入侵性活動(dòng)并不總是與異常活動(dòng)相符合。這種活動(dòng)存在4種可能性：（1）入侵性而非異常；（2）非入侵性且異常；（3）非入侵性且非異常；（4）入侵且異常。異常入侵要解決的問題是構(gòu)造異常活動(dòng)集，并從中發(fā)現(xiàn)入侵性活動(dòng)子集。異常入侵檢測(cè)方法依賴于異常模型的建立。不同模型構(gòu)成不同的檢測(cè)方法，異常檢測(cè)是通過觀測(cè)到的一組測(cè)量值偏離度來預(yù)測(cè)用戶行為的變化，然后作出決策判斷的檢測(cè)技術(shù)。

誤用入侵檢測(cè)是通過將預(yù)先設(shè)定的入侵模式與監(jiān)控到的入侵發(fā)生情況進(jìn)行模式匹配來檢測(cè)。它假設(shè)能夠精確地將入侵攻擊按某種方式編碼，并可以通過捕獲入侵攻擊將其重新分析整理，確認(rèn)該入侵行為是否為基于對(duì)同一弱點(diǎn)進(jìn)行入侵攻擊方法的變種，入侵模式說明導(dǎo)致安全事件或誤用事件的特征、條件、排列和關(guān)系。免費(fèi)論文。根據(jù)匹配模式的構(gòu)造和表達(dá)方式的不同，形成了不同的誤用檢測(cè)模型。誤用檢測(cè)模型能針對(duì)性地建立高效的入侵檢測(cè)系統(tǒng)，檢測(cè)精度高，誤報(bào)率低，但它對(duì)未知的入侵活動(dòng)或已知入侵活動(dòng)的變異檢測(cè)的性能較低。

4　入侵檢測(cè)系統(tǒng)的評(píng)估

對(duì)于入侵檢測(cè)系統(tǒng)的評(píng)估，主要的性能指標(biāo)有：（1）可靠性，系統(tǒng)具有容錯(cuò)能力和可連續(xù)運(yùn)行；（2）可用性，系統(tǒng)開銷要最小，不會(huì)嚴(yán)重降低網(wǎng)絡(luò)系統(tǒng)性能；（3）可測(cè)試，通過攻擊可以檢測(cè)系統(tǒng)運(yùn)行；（4）適應(yīng)性，對(duì)系統(tǒng)來說必須是易于開發(fā)的，可添加新的功能，能隨時(shí)適應(yīng)系統(tǒng)環(huán)境的改變；（5）實(shí)時(shí)性，系統(tǒng)能盡快地察覺入侵企圖以便制止和限制破壞；（6）準(zhǔn)確性，檢測(cè)系統(tǒng)具有較低的誤警率和漏警率；（7）安全性，檢測(cè)系統(tǒng)必須難于被欺騙和能夠保護(hù)自身安全。免費(fèi)論文。

5　入侵檢測(cè)的發(fā)展趨勢(shì)

入侵檢測(cè)作為一種積極主動(dòng)的安全防護(hù)技術(shù)，提供了對(duì)攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危險(xiǎn)之前攔截和響應(yīng)入侵，但它存在的問題有：誤報(bào)率和漏報(bào)率高、檢測(cè)速度慢，對(duì)IDS自身的攻擊，缺乏準(zhǔn)確定位與處理機(jī)制、缺乏性能評(píng)價(jià)體系等。在目前的入侵檢測(cè)技術(shù)研究中，其主要的發(fā)展方向可概括為：

（1）大規(guī)模分布式入侵檢測(cè)

（2）寬帶高速網(wǎng)絡(luò)的實(shí)時(shí)入侵檢測(cè)技術(shù)

（3）入侵檢測(cè)的數(shù)據(jù)融合技術(shù)

（4）與網(wǎng)絡(luò)安全技術(shù)相結(jié)合

6　結(jié)束語

隨著計(jì)算機(jī)技術(shù)以及網(wǎng)絡(luò)信息技術(shù)的高速發(fā)展，入侵檢測(cè)技術(shù)已成為計(jì)算機(jī)安全策略中的核心技術(shù)之一。它作為一種積極主動(dòng)的防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，為網(wǎng)絡(luò)安全提供高效的入侵檢測(cè)及相應(yīng)的防護(hù)手段。入侵檢測(cè)作為一個(gè)新的安全機(jī)制開始集成到網(wǎng)絡(luò)系統(tǒng)安全框架中。

[參考文獻(xiàn)]

[1]張杰，戴英俠.入侵檢測(cè)系統(tǒng)技術(shù)現(xiàn)狀及其發(fā)展趨勢(shì)[J].計(jì)算機(jī)與通信，2002,96]：28－32.

[2]陳明.網(wǎng)絡(luò)安全教程[M].北京：清華大學(xué)出版社，2004,1.

[3]羅守山.入侵檢測(cè)[M].北京:北京郵電大學(xué)出版社，2004.

[4]戴云，范平志，入侵檢測(cè)系統(tǒng)研究綜述[J].計(jì)算機(jī)工程與應(yīng)用，2002,4.

第3篇

【關(guān)鍵詞】數(shù)據(jù)庫入侵；檢測(cè)技術(shù)

1數(shù)據(jù)庫入侵檢測(cè)技術(shù)

計(jì)算機(jī)數(shù)據(jù)庫能夠安全有效的使用。入侵技術(shù)的檢測(cè)具有如下功能：（1）能有效的對(duì)用戶的行為進(jìn)行監(jiān)控與分析；（2）對(duì)計(jì)算機(jī)系統(tǒng)運(yùn)行的變化弱點(diǎn)進(jìn)行審計(jì)分析；（3）在檢測(cè)到入侵并識(shí)別之后進(jìn)行預(yù)警；（4）對(duì)計(jì)算機(jī)系統(tǒng)的異常信息進(jìn)行分析，并對(duì)關(guān)鍵的信息進(jìn)行評(píng)估分析；（5）對(duì)檢測(cè)到操作系統(tǒng)的異常情況進(jìn)行跟蹤處理。一般的計(jì)算機(jī)入侵系統(tǒng)主要包括如圖1所示。

1.1數(shù)據(jù)庫入侵檢測(cè)技術(shù)

計(jì)算機(jī)入侵檢測(cè)技術(shù)是在互聯(lián)網(wǎng)技術(shù)快速發(fā)展的時(shí)代背景下，為了保證計(jì)算機(jī)數(shù)據(jù)庫的安全而產(chǎn)生的。可以在計(jì)算機(jī)運(yùn)行的過程中，對(duì)一些有可能危害計(jì)算機(jī)運(yùn)行安全的網(wǎng)站或者病毒進(jìn)行阻攔，防止出現(xiàn)病毒入侵計(jì)算機(jī)數(shù)據(jù)庫的情況，保證計(jì)算機(jī)數(shù)據(jù)庫的安全。利用入侵檢測(cè)技術(shù)，但計(jì)算機(jī)出現(xiàn)病毒即將入侵的情況時(shí)，檢測(cè)系統(tǒng)就會(huì)自動(dòng)響起報(bào)警系統(tǒng)，這些計(jì)算機(jī)管理人員就會(huì)通過報(bào)警聲得知計(jì)算機(jī)出現(xiàn)安全問題，可以立即采取促使，阻止并且的入侵行為，保護(hù)計(jì)算機(jī)數(shù)據(jù)庫的安全。入侵檢測(cè)技術(shù)還可以對(duì)計(jì)算機(jī)內(nèi)部自帶的一些系統(tǒng)出現(xiàn)的入侵行為進(jìn)行防范，入侵檢測(cè)技術(shù)對(duì)一些可以收集一些沒有授權(quán)的信息，可以提前這些信息進(jìn)行入侵的防范工作，當(dāng)在計(jì)算機(jī)運(yùn)行時(shí)出現(xiàn)入侵行為以后能夠及時(shí)的做出反應(yīng)。將入侵檢測(cè)系統(tǒng)應(yīng)用在計(jì)算機(jī)數(shù)據(jù)庫的安全管理之中，可以起到對(duì)計(jì)算機(jī)安全的監(jiān)控作用，通過對(duì)計(jì)算機(jī)運(yùn)行的實(shí)時(shí)監(jiān)控和監(jiān)測(cè)，保證能夠第一時(shí)間發(fā)展其中的問題。利用計(jì)算機(jī)監(jiān)測(cè)系統(tǒng)，還可以減輕計(jì)算機(jī)檢測(cè)人員的工作量，能夠使他們有更多的時(shí)間去制定解決入侵病毒，提高計(jì)算機(jī)數(shù)據(jù)安全管理的效率。

1.2入侵檢測(cè)常用的兩種方法

1.2.1誤用檢測(cè)方法誤用檢測(cè)是入侵檢測(cè)技術(shù)中最常用的的一種檢測(cè)方法，利用誤用檢測(cè)的方法，可以總結(jié)過去入侵的經(jīng)驗(yàn)教訓(xùn)，分析過去對(duì)計(jì)算機(jī)數(shù)據(jù)庫出現(xiàn)入侵的具體情況的解決措施，總結(jié)出入侵的主要規(guī)律。通過對(duì)這些入侵規(guī)律的不斷了解，并且對(duì)計(jì)算機(jī)的運(yùn)行情況進(jìn)行監(jiān)測(cè)，就可以發(fā)展計(jì)算機(jī)是否存在病毒入侵的情況。如果發(fā)現(xiàn)計(jì)算機(jī)數(shù)據(jù)庫存在著病毒入侵的情況，通過誤用檢測(cè)的方法，可以快速的分析出入侵的原因和情況，以至于能夠快速準(zhǔn)的制定解決方案。但是誤用檢測(cè)對(duì)系統(tǒng)內(nèi)部的入侵情況不能及時(shí)的做出反應(yīng)，因?yàn)檎`用方法不可能獨(dú)立的應(yīng)用，職能依靠于一種具體的系統(tǒng)來進(jìn)行，這就會(huì)影響系統(tǒng)的移植性，造成不能對(duì)一些從未出現(xiàn)過的病毒進(jìn)行檢測(cè)，降低了檢測(cè)的準(zhǔn)確性。1.2.2異常檢測(cè)方法異常檢測(cè)方法是在計(jì)算機(jī)運(yùn)行的基礎(chǔ)上，通過對(duì)計(jì)算機(jī)運(yùn)行是否存在入侵情況的假設(shè)來進(jìn)行的。在利用異常檢測(cè)的方法進(jìn)行系統(tǒng)的監(jiān)測(cè)時(shí)，通過將一些正常使用的模式和非正常使用的模式進(jìn)行對(duì)比分析，從對(duì)比出的不同結(jié)果來發(fā)現(xiàn)系統(tǒng)中存在的入侵行為。這種異常檢測(cè)的方法和誤用檢測(cè)方法不同，不用依賴系統(tǒng)進(jìn)行操作，降低了對(duì)系統(tǒng)入侵行為的局限性，可以檢測(cè)出新型入侵行為。但是異常檢測(cè)方法也存在著一些問題，例如異常檢測(cè)方法雖然能夠檢測(cè)出入侵行為，但是不能對(duì)入侵行為進(jìn)行具體的描述，就會(huì)導(dǎo)致系統(tǒng)在檢測(cè)的過程中容易發(fā)生失誤問題。

2數(shù)據(jù)挖掘技術(shù)在數(shù)據(jù)庫入侵檢測(cè)中的應(yīng)用

為了防止數(shù)據(jù)庫數(shù)據(jù)的額損失，防止出現(xiàn)數(shù)據(jù)庫入侵問題，計(jì)算機(jī)數(shù)據(jù)管理專家不斷的根據(jù)先進(jìn)的互聯(lián)網(wǎng)數(shù)據(jù)庫的特點(diǎn)進(jìn)行研究和分析。將入侵檢測(cè)技術(shù)應(yīng)用到計(jì)算機(jī)數(shù)據(jù)庫的數(shù)據(jù)安全管理中，可以有效的對(duì)計(jì)算機(jī)運(yùn)行時(shí)出現(xiàn)的一些病毒或者是一些非正常的訪問進(jìn)行阻擋，防止出現(xiàn)惡意軟件入侵?jǐn)?shù)據(jù)庫的情況，保護(hù)了數(shù)據(jù)庫數(shù)據(jù)的安全。2.1數(shù)據(jù)挖掘技術(shù)概述在對(duì)數(shù)據(jù)庫的入侵情況進(jìn)行檢測(cè)時(shí)，可以利用數(shù)據(jù)挖掘技術(shù)。可以對(duì)數(shù)據(jù)庫之中的一些不完整的數(shù)據(jù)和正常完整的數(shù)據(jù)進(jìn)行區(qū)分，并且可以將不完整的數(shù)據(jù)信息進(jìn)行徹底的清除。

2.2數(shù)據(jù)庫入侵檢測(cè)中常用的數(shù)據(jù)挖掘方法

2.2.1關(guān)聯(lián)規(guī)則的挖掘使用關(guān)聯(lián)規(guī)則的挖掘首先要在數(shù)據(jù)庫中找出記錄集合，通過對(duì)記錄集合分析和檢測(cè)，發(fā)現(xiàn)其中數(shù)據(jù)之間存在的相似之處，借助頻繁項(xiàng)集生成的規(guī)則，對(duì)數(shù)據(jù)進(jìn)行挖掘。2.2.2序列模式的挖掘使用序列模式的挖掘也是為了發(fā)展數(shù)據(jù)庫之中的數(shù)據(jù)存在的相似點(diǎn)。利用序列模式的挖掘的優(yōu)勢(shì)，主要就是體現(xiàn)在可以對(duì)數(shù)據(jù)庫記錄之間時(shí)間窗口的挖掘，可以在對(duì)數(shù)據(jù)庫中的數(shù)據(jù)進(jìn)行審計(jì)時(shí)找出其中存在的規(guī)律。

3結(jié)語

近幾年，隨著社會(huì)經(jīng)濟(jì)的快速發(fā)展，已經(jīng)進(jìn)去到了互聯(lián)網(wǎng)時(shí)代。網(wǎng)絡(luò)技術(shù)被廣泛到生產(chǎn)生活中。為企業(yè)的發(fā)展了巨大的作用，但是在網(wǎng)絡(luò)技術(shù)快速發(fā)展的背景下，也為企業(yè)的發(fā)展帶來了巨大的安全隱患。網(wǎng)絡(luò)操作存在著病毒入侵的風(fēng)險(xiǎn)，隨時(shí)可能對(duì)數(shù)據(jù)庫中的企業(yè)的信息安全造成威脅，病毒入侵可能導(dǎo)致企業(yè)的商業(yè)機(jī)密泄露，影響企業(yè)在市場(chǎng)中的競(jìng)爭力。為了提高對(duì)計(jì)算機(jī)數(shù)據(jù)庫的安全管理，本論文對(duì)數(shù)據(jù)庫入侵檢測(cè)技術(shù)進(jìn)行了分析，希望能夠?qū)θ肭謾z測(cè)技術(shù)的推廣起到借鑒作用，保障網(wǎng)絡(luò)信息的基本安全。

參考文獻(xiàn)

[1]張嵐.計(jì)算機(jī)數(shù)據(jù)庫入侵檢測(cè)技術(shù)分析[J].信息與電腦(理論版),2014(06):120.

第4篇

論文摘要：隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和廣泛應(yīng)用，信息安全問題正日益突出顯現(xiàn)出來，受到越來越多的關(guān)注。文章介紹了網(wǎng)絡(luò)信息安全的現(xiàn)狀．探討了網(wǎng)絡(luò)信息安全的內(nèi)涵，分析了網(wǎng)絡(luò)信息安全的主要威脅，最后給出了網(wǎng)絡(luò)信息安全的實(shí)現(xiàn)技術(shù)和防范措施．以保障計(jì)算機(jī)網(wǎng)絡(luò)的信息安全，從而充分發(fā)揮計(jì)算機(jī)網(wǎng)絡(luò)的作用。

論文關(guān)鍵詞：計(jì)算機(jī)，網(wǎng)絡(luò)安全，安全管理，密鑰安全技術(shù)

當(dāng)今社會(huì)．網(wǎng)絡(luò)已經(jīng)成為信息交流便利和開放的代名詞．然而伴隨計(jì)算機(jī)與通信技術(shù)的迅猛發(fā)展．網(wǎng)絡(luò)攻擊與防御技術(shù)也在循環(huán)遞升，原本網(wǎng)絡(luò)固有的優(yōu)越性、開放性和互聯(lián)性變成了信息安全隱患的便利橋梁．網(wǎng)絡(luò)安全已變成越來越棘手的問題在此．筆者僅談一些關(guān)于網(wǎng)絡(luò)安全及網(wǎng)絡(luò)攻擊的相關(guān)知識(shí)和一些常用的安全防范技術(shù)。

1網(wǎng)絡(luò)信息安全的內(nèi)涵

網(wǎng)絡(luò)安全從其本質(zhì)上講就是網(wǎng)絡(luò)上的信息安全．指網(wǎng)絡(luò)系統(tǒng)硬件、軟件及其系統(tǒng)中數(shù)據(jù)的安全。網(wǎng)絡(luò)信息的傳輸、存儲(chǔ)、處理和使用都要求處于安全狀態(tài)可見．網(wǎng)絡(luò)安全至少應(yīng)包括靜態(tài)安全和動(dòng)態(tài)安全兩種靜態(tài)安全是指信息在沒有傳輸和處理的狀態(tài)下信息內(nèi)容的秘密性、完整性和真實(shí)性：動(dòng)態(tài)安全是指信息在傳輸過程中不被篡改、竊取、遺失和破壞。

2網(wǎng)絡(luò)信息安全的現(xiàn)狀

中國互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)的《第23次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》。報(bào)告顯示，截至2008年底，中國網(wǎng)民數(shù)達(dá)到2．98億．手機(jī)網(wǎng)民數(shù)超1億達(dá)1．137億。

Research艾瑞市場(chǎng)咨詢根據(jù)公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局統(tǒng)計(jì)數(shù)據(jù)顯示．2006年中國(大陸)病毒造成的主要危害情況：“瀏覽器配置被修改”是用戶提及率最高的選項(xiàng)．達(dá)20．9％．其次病毒造成的影響還表現(xiàn)為“數(shù)據(jù)受損或丟失”18％．“系統(tǒng)使用受限”16．1％．“密碼被盜”13．1％．另外“受到病毒非法遠(yuǎn)程控制”提及率為6．1％“無影響”的只有4．2％。

3安全防范重在管理

在網(wǎng)絡(luò)安全中．無論從采用的管理模型，還是技術(shù)控制，最重要的還是貫徹始終的安全管理管理是多方面的．有信息的管理、人員的管理、制度的管理、機(jī)構(gòu)的管理等．它的作用也是最關(guān)鍵的．是網(wǎng)絡(luò)安全防范中的靈魂。

在機(jī)構(gòu)或部門中．各層次人員的責(zé)任感．對(duì)信息安全的認(rèn)識(shí)、理解和重視程度，都與網(wǎng)絡(luò)安全息息相關(guān)所以信息安全管理至少需要組織中的所有雇員的參與．此外還需要供應(yīng)商、顧客或股東的參與和信息安全的專家建議在信息系統(tǒng)設(shè)計(jì)階段就將安全要求和控制一體化考慮進(jìn)去．則成本會(huì)更低、效率會(huì)更高那么做好網(wǎng)絡(luò)信息安全管理．至少應(yīng)從下面幾個(gè)方面人手．再結(jié)合本部門的情況制定管理策略和措施：

①樹立正確的安全意識(shí)．要求每個(gè)員工都要清楚自己的職責(zé)分工如設(shè)立專職的系統(tǒng)管理員．進(jìn)行定時(shí)強(qiáng)化培訓(xùn)．對(duì)網(wǎng)絡(luò)運(yùn)行情況進(jìn)行定時(shí)檢測(cè)等。

2）有了明確的職責(zé)分工．還要保障制度的貫徹落實(shí)．要加強(qiáng)監(jiān)督檢查建立嚴(yán)格的考核制度和獎(jiǎng)懲機(jī)制是必要的。

③對(duì)網(wǎng)絡(luò)的管理要遵循國家的規(guī)章制度．維持網(wǎng)絡(luò)有條不紊地運(yùn)行。

④應(yīng)明確網(wǎng)絡(luò)信息的分類．按等級(jí)采取不同級(jí)別的安全保護(hù)。

4網(wǎng)絡(luò)信息系統(tǒng)的安全防御

4．1防火墻技術(shù)

根據(jù)CNCERT／CC調(diào)查顯示．在各類網(wǎng)絡(luò)安全技術(shù)使用中．防火墻的使用率最高達(dá)到76．5％。防火墻的使用比例較高主要是因?yàn)樗鼉r(jià)格比較便宜．易安裝．并可在線升級(jí)等特點(diǎn)防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障，以防止發(fā)生不可預(yù)測(cè)的、潛在破壞性的侵入。它通過監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況．以此來實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。

4．2認(rèn)證技術(shù)

認(rèn)證是防止主動(dòng)攻擊的重要技術(shù)．它對(duì)開放環(huán)境中的各種消息系統(tǒng)的安全有重要作用．認(rèn)證的主要目的有兩個(gè)：

①驗(yàn)證信息的發(fā)送者是真正的主人

2）驗(yàn)證信息的完整性，保證信息在傳送過程中未被竄改、重放或延遲等。

4．3信息加密技術(shù)

加密是實(shí)現(xiàn)信息存儲(chǔ)和傳輸保密性的一種重要手段信息加密的方法有對(duì)稱密鑰加密和非對(duì)稱密鑰加密．兩種方法各有所長．可以結(jié)合使用．互補(bǔ)長短。

4．4數(shù)字水印技術(shù)

信息隱藏主要研究如何將某一機(jī)密信息秘密隱藏于另一公開的信息中．然后通過公開信息的傳輸來傳遞機(jī)密信息對(duì)信息隱藏而吉．可能的監(jiān)測(cè)者或非法攔截者則難以從公開信息中判斷機(jī)密信息是否存在．難以截獲機(jī)密信息．從而能保證機(jī)密信息的安全隨著網(wǎng)絡(luò)技術(shù)和信息技術(shù)的廣泛應(yīng)用．信息隱藏技術(shù)的發(fā)展有了更加廣闊的應(yīng)用前景。數(shù)字水印是信息隱藏技術(shù)的一個(gè)重要研究方向．它是通過一定的算法將一些標(biāo)志性信息直接嵌到多媒體內(nèi)容中．但不影響原內(nèi)容的價(jià)值和使用．并且不能被人的感覺系統(tǒng)覺察或注意到。

4．5入侵檢測(cè)技術(shù)的應(yīng)用

人侵檢測(cè)系統(tǒng)(IntrusionDetectionSystem簡稱IDS)是從多種計(jì)算機(jī)系統(tǒng)及網(wǎng)絡(luò)系統(tǒng)中收集信息．再通過這此信息分析入侵特征的網(wǎng)絡(luò)安全系統(tǒng)IDS被認(rèn)為是防火墻之后的第二道安全閘門．它能使在入侵攻擊對(duì)系統(tǒng)發(fā)生危害前．檢測(cè)到入侵攻擊．并利用報(bào)警與防護(hù)系統(tǒng)驅(qū)逐入侵攻擊：在入侵攻擊過程中．能減少入侵攻擊所造成的損失：在被入侵攻擊后．收集入侵攻擊的相關(guān)信息．作為防范系統(tǒng)的知識(shí)．添加入策略集中．增強(qiáng)系統(tǒng)的防范能力．避免系統(tǒng)再次受到同類型的入侵入侵檢測(cè)的作用包括威懾、檢測(cè)、響應(yīng)、損失情況評(píng)估、攻擊預(yù)測(cè)和支持。入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)．是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。

第5篇

關(guān)鍵詞：計(jì)算機(jī) 網(wǎng)絡(luò)信息 安全保密技術(shù)

隨著計(jì)算機(jī)網(wǎng)絡(luò)的產(chǎn)生和快速發(fā)展，不斷改變著人類的生活方式。可以通過計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)發(fā)送電子郵件，進(jìn)行網(wǎng)絡(luò)辦公，網(wǎng)絡(luò)學(xué)習(xí)，處理銀行事務(wù)，國家機(jī)關(guān)處理要?jiǎng)?wù)等等。但是計(jì)算機(jī)網(wǎng)絡(luò)也是一把雙刃劍，許多不法分子或者病毒等等“不速之客”嚴(yán)重威脅著人們的計(jì)算機(jī)網(wǎng)絡(luò)信息的安全，甚至?xí){到國家機(jī)關(guān)和部隊(duì)中的信息安全，加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)信息安全保密工作至關(guān)重要。計(jì)算機(jī)安全保密技術(shù)的提出成為近些年來非常熱門的話題，越來越受到人們的關(guān)注。以下將對(duì)計(jì)算機(jī)網(wǎng)絡(luò)信息安全保密技術(shù)具體分析。

1. 計(jì)算機(jī)網(wǎng)絡(luò)信息安全保密技術(shù)的概述

關(guān)于計(jì)算機(jī)網(wǎng)絡(luò)信息的安全保密工作主要是通過對(duì)計(jì)算機(jī)系統(tǒng)的安全和數(shù)據(jù)保護(hù)以及對(duì)信息保密來實(shí)現(xiàn)的。計(jì)算機(jī)的系統(tǒng)安全主要是指通過一定的安全技術(shù)，來進(jìn)行保護(hù)計(jì)算機(jī)的硬件、應(yīng)用的軟件和操作系統(tǒng)、數(shù)據(jù)等等，防止被破壞、入侵的過程。主要是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)防止受到入侵和剖壞，以保護(hù)系統(tǒng)的可靠運(yùn)行和網(wǎng)絡(luò)的不中斷。信息保密是指對(duì)計(jì)算機(jī)信息系統(tǒng)中的信息資源進(jìn)行控制的過程。現(xiàn)在網(wǎng)絡(luò)病毒或者不法分子的入侵越來越多，所以加強(qiáng)計(jì)算機(jī)安全保密技術(shù)非常關(guān)鍵。

2. 計(jì)算機(jī)網(wǎng)絡(luò)信息安全的現(xiàn)狀

計(jì)算機(jī)網(wǎng)絡(luò)具有開放性和資源的共享性等等特點(diǎn)，正是由于這些特點(diǎn)，計(jì)算機(jī)安全和保密技術(shù)越來越突出。當(dāng)前計(jì)算機(jī)網(wǎng)絡(luò)信息所面臨的安全非常多，尤其是對(duì)電腦來說，安全問題至關(guān)重要。這些病毒主要有：計(jì)算機(jī)病毒的入侵和危害、計(jì)算機(jī)電磁信號(hào)的泄露、網(wǎng)絡(luò)通信協(xié)議的安全泄露、在計(jì)算機(jī)系統(tǒng)中安裝竊密的裝置等等威脅，將會(huì)帶來意想不到的后果，對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)信息安全和保密工作刻不容緩。

3. 計(jì)算機(jī)網(wǎng)絡(luò)信息安全保密的常用技術(shù)

3.1 網(wǎng)絡(luò)安全技術(shù)

對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)的安全和保密工作主要涉及的問題是網(wǎng)絡(luò)協(xié)議的完備性。主要措施是加強(qiáng)網(wǎng)絡(luò)脆弱性的檢測(cè)和防火墻、入侵檢測(cè)的技術(shù)。網(wǎng)絡(luò)脆弱性檢測(cè)技術(shù)，主要是通過計(jì)算機(jī)“黑客”攻擊而演變出來的探測(cè)軟件的集合，主要包括的對(duì)象有網(wǎng)絡(luò)操作系統(tǒng)、協(xié)議、防火墻、口令等等安全保密措施進(jìn)行保密工作；對(duì)這些軟件的探測(cè)和攻擊，可以對(duì)安全網(wǎng)路的防護(hù)做出具體的評(píng)估，以不斷改進(jìn)安全保密措施。防火墻的安全技術(shù)，主要是對(duì)網(wǎng)絡(luò)上流通的信息的識(shí)別和過濾，已達(dá)到阻止一些信息的作用，這是內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)進(jìn)行安全隔離的系統(tǒng)。入侵檢測(cè)技術(shù)，主要是通過發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)的異常訪問，并判斷出一些入侵行為的發(fā)生，已達(dá)到阻止和反攻擊的目的。

3.2 病毒防治技術(shù)

計(jì)算機(jī)的病毒對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)信息安全具有非常大的威脅。典型特征是，進(jìn)行潛伏、復(fù)制和破壞。防治計(jì)算機(jī)病毒的方法；發(fā)現(xiàn)了病毒進(jìn)行解剖，最后在滅殺。對(duì)計(jì)算機(jī)病毒的主要防治工作可以在服務(wù)器上裝載防病毒的裝置；也可以不定期的使用防毒軟件對(duì)計(jì)算機(jī)進(jìn)行檢測(cè)；還可以在網(wǎng)絡(luò)接口上安裝防病毒的芯片等，這些方法也可以結(jié)合使用也達(dá)到病毒防治的作用。

3.3 加強(qiáng)數(shù)據(jù)庫的安全技術(shù)

加強(qiáng)數(shù)據(jù)庫的安全技術(shù)，首先制定出正確的安全策略；在利用一定的技術(shù)手段對(duì)數(shù)據(jù)庫進(jìn)行保護(hù)（比如密鑰口令的分段管理，數(shù)據(jù)加密保護(hù)，身份認(rèn)證，信息加密，防病毒傳染等等保護(hù)措施）；然后對(duì)數(shù)據(jù)庫管理系統(tǒng)進(jìn)行安全保密；在制定數(shù)據(jù)庫的榮滅備份；最后在數(shù)據(jù)庫的周圍警戒和出入控制等措施。

3.4 鑒別技術(shù)

鑒別技術(shù)的主要工作發(fā)現(xiàn)非法用戶對(duì)網(wǎng)絡(luò)信息的修改和竊取等。鑒別技術(shù)也被稱為認(rèn)證技術(shù)。鑒別技術(shù)主要有；對(duì)身份的鑒別，目的是為了驗(yàn)證合法用戶，使系統(tǒng)決定是否能夠上網(wǎng)；在一個(gè)是對(duì)信息過程的鑒別；還有一個(gè)是對(duì)防抵賴的鑒別，主要是對(duì)重要的文書或者契約發(fā)生了否認(rèn)和抵賴進(jìn)行防止工作。

3.5 對(duì)訪問的控制

這一個(gè)工作是計(jì)算機(jī)信息系統(tǒng)安全中的一個(gè)關(guān)鍵性的技術(shù)。主要是由訪問控制原則和訪問的機(jī)制構(gòu)成的。訪問控制原則可以確定授予每一個(gè)用戶的限制條件；訪問機(jī)制是實(shí)現(xiàn)訪問策略的預(yù)定的訪問控制功能。

4. 加強(qiáng)網(wǎng)絡(luò)信息安全的輔助措施

主要關(guān)于加強(qiáng)電腦的保密工作具體有（1）設(shè)置8位以上的開機(jī)密碼，以防止他們破解、更改，密碼要定期更換。（2）電腦必須配備安全的殺毒軟件。（3）不得讓無關(guān)的工作人員使用電腦。（4）電腦在使用打印機(jī)、傳真機(jī)等設(shè)備時(shí)，不得與其它非電腦網(wǎng)絡(luò)進(jìn)行連接，嚴(yán)禁在電腦上使用無線設(shè)備。（5）對(duì)于電腦的維修要嚴(yán)格按照程序進(jìn)行。（6）責(zé)任人要定期對(duì)電腦進(jìn)行核對(duì)、清查工作，發(fā)現(xiàn)丟失后及時(shí)向有關(guān)部門報(bào)告。

結(jié)語

隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展，對(duì)于網(wǎng)絡(luò)信息安全保密工作越來越重要，所以要不斷加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)信息的安全保密技術(shù)，才能確保計(jì)算機(jī)信息系統(tǒng)的安全可靠。

參考文獻(xiàn)

[1] 周碧英 淺析計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)[期刊論文]-甘肅科技 2008（3）

[2] 王治 計(jì)算機(jī)網(wǎng)絡(luò)安全探討[期刊論文]-科技創(chuàng)新導(dǎo)報(bào) 2008（21）

第6篇

1研究背景

計(jì)算機(jī)網(wǎng)絡(luò)是信息社會(huì)的基礎(chǔ)，已經(jīng)進(jìn)入了社會(huì)的各個(gè)角落，經(jīng)濟(jì)、文化、軍事和社會(huì)生活越來越多的依賴計(jì)算機(jī)網(wǎng)絡(luò)。然而，計(jì)算機(jī)在給人們帶來巨大便利的同時(shí)，也帶來了不可忽視的問題，計(jì)算機(jī)病毒給網(wǎng)絡(luò)系統(tǒng)的安全運(yùn)行帶來了極大的挑戰(zhàn)。2003年1月25日，突如其來的“蠕蟲王”病毒，在互聯(lián)網(wǎng)世界制造了類似于“9.11”的恐怖襲擊事件，很多國本論文由整理提供家的互聯(lián)網(wǎng)也受到了嚴(yán)重影響。同樣，前兩年的“熊貓燒香”病毒再次為計(jì)算機(jī)網(wǎng)絡(luò)安全敲起了警鐘。那么，面對(duì)網(wǎng)絡(luò)世界的威脅，人類總在試圖尋找各種方面來進(jìn)行克服和攻關(guān)。入侵檢測(cè)技術(shù)作為解決計(jì)算機(jī)病毒危害的方法之一，對(duì)其進(jìn)行研究就成為可能。

2計(jì)算機(jī)病毒的發(fā)展趨勢(shì)

計(jì)算機(jī)病毒的花樣不斷翻新，編程手段越來越高，防不勝防。特別是Internet的廣泛應(yīng)用，促進(jìn)了病毒的空前活躍，網(wǎng)絡(luò)蠕蟲病毒傳播更快更廣，Windows病毒更加復(fù)雜，帶有黑客性質(zhì)的病毒和特洛依木馬等有害代碼大量涌現(xiàn)。據(jù)《中華人民共和國工業(yè)和信息化部信息安全協(xié)調(diào)司》計(jì)算機(jī)病毒檢測(cè)周報(bào)（2009.3.29—2009.4.4）公布的消息稱：“木馬”及變種、“木馬下載者”及變種、“灰鴿子”及變種、“U盤殺手”及變種、網(wǎng)游大盜“及變種等病毒及變種對(duì)計(jì)算機(jī)安全網(wǎng)絡(luò)的安全運(yùn)行構(gòu)成了威脅。對(duì)計(jì)算機(jī)病毒及變種的了解可以使我們站在一定的高度上對(duì)變種病毒有一個(gè)較清楚的認(rèn)識(shí)，以便今后針對(duì)其采取強(qiáng)而有效的措施進(jìn)行診治。變種病毒可以說是病毒發(fā)展的趨向，也就是說：病毒主要朝著能對(duì)抗反病毒手段和有目的的方向發(fā)展。

3計(jì)算機(jī)病毒檢測(cè)的基本技術(shù)

3.1計(jì)算機(jī)病毒入侵檢測(cè)技術(shù)。計(jì)算機(jī)病毒檢測(cè)技術(shù)作為計(jì)算機(jī)病毒檢測(cè)的方法技術(shù)之一，它是一種利用入侵者留下的痕跡等信息來有效地發(fā)現(xiàn)來自外部或者內(nèi)部的非法入侵技術(shù)。它以探測(cè)與控制為技術(shù)本質(zhì)，起著主動(dòng)防御的作用，是計(jì)算機(jī)網(wǎng)絡(luò)安全中較重要的內(nèi)容。

3.2智能引擎技術(shù)。智能引擎技術(shù)發(fā)展了特征代碼掃描法的優(yōu)點(diǎn)，同時(shí)也對(duì)其弊端進(jìn)行了改進(jìn)，對(duì)病毒的變形變種有著非常準(zhǔn)確本論文由整理提供的智能識(shí)別功能，而且病毒掃描速度并不會(huì)隨著病毒庫的增大而減慢。

3.3嵌入式殺毒技術(shù)。嵌入式殺毒技術(shù)是對(duì)病毒經(jīng)常攻擊的應(yīng)用程序或者對(duì)象提供重點(diǎn)保護(hù)的技術(shù)，它利用操作系統(tǒng)或者應(yīng)用程序提供的內(nèi)部接口來實(shí)現(xiàn)。它能對(duì)使用頻率高、使用范圍廣的主要的應(yīng)用軟件提供被動(dòng)式的保護(hù)。

3.4未知病毒查殺技術(shù)。未知病毒查殺技術(shù)是繼虛擬執(zhí)行技術(shù)后的又一大技術(shù)突破，它結(jié)合了虛擬技術(shù)和人工智能技術(shù)，實(shí)現(xiàn)了對(duì)未知病毒的準(zhǔn)確查殺。

4計(jì)算機(jī)病毒檢測(cè)技術(shù)的發(fā)展現(xiàn)狀

目前，國外一些研究機(jī)構(gòu)已經(jīng)研發(fā)出了應(yīng)用于不同操作系統(tǒng)的幾種典型的計(jì)算機(jī)病毒檢測(cè)技術(shù)。這些計(jì)算機(jī)病毒檢測(cè)技術(shù)基本上是基于服務(wù)器、網(wǎng)絡(luò)以及變種病毒的。基于服務(wù)器的入侵檢測(cè)技術(shù)采用服務(wù)器操作系統(tǒng)的檢測(cè)序列作為主要輸入源來檢測(cè)侵入行為，而大多數(shù)基于計(jì)算機(jī)變種病毒的檢測(cè)技術(shù)則以預(yù)防和消除計(jì)算機(jī)病毒作為終結(jié)目標(biāo)的。早期的計(jì)算機(jī)病毒檢測(cè)技術(shù)主要用來預(yù)防和消除傳統(tǒng)的計(jì)算機(jī)病毒；然而，為了更好地應(yīng)對(duì)計(jì)算機(jī)病毒的花樣不斷翻新，編程手段越來越高的形勢(shì)，最新的計(jì)算機(jī)病毒檢測(cè)方法技術(shù)更多地集中用于預(yù)防和消除計(jì)算機(jī)變種病毒，打好計(jì)算機(jī)病毒對(duì)抗與反對(duì)抗的攻堅(jiān)戰(zhàn)。

總之，由于計(jì)算機(jī)病毒的變種更新速度加快，表現(xiàn)形式也更加復(fù)雜，那么計(jì)算機(jī)病毒檢測(cè)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全運(yùn)行防護(hù)中所起的作用就顯得至關(guān)重要，因此受到了廣泛的重視。相信隨著計(jì)算機(jī)病毒檢測(cè)技術(shù)的不斷改進(jìn)和提高，將會(huì)有更加安全可靠的計(jì)算機(jī)病毒檢測(cè)技術(shù)問世，更好維護(hù)網(wǎng)絡(luò)安全，造福于全世界。

5計(jì)算機(jī)病毒檢測(cè)方法技術(shù)的作用

計(jì)算機(jī)病毒檢測(cè)技術(shù)本論文由整理提供在計(jì)算機(jī)網(wǎng)絡(luò)安全防護(hù)中起著至關(guān)重要的作用，主要有：①堵塞計(jì)算機(jī)病毒的傳播途徑，嚴(yán)防計(jì)算機(jī)病毒的侵害；②計(jì)算機(jī)病毒的可以對(duì)計(jì)算機(jī)數(shù)據(jù)和文件安全構(gòu)成威脅，那么計(jì)算機(jī)病毒檢測(cè)技術(shù)可以保護(hù)計(jì)算機(jī)數(shù)據(jù)和文件安全；③可以在一定程度上打擊病毒制造者的猖獗違法行為；④最新病毒檢測(cè)方法技術(shù)的問世為以后更好應(yīng)對(duì)多變的計(jì)算機(jī)病毒奠定了方法技術(shù)基礎(chǔ)。

雖然，計(jì)算機(jī)病毒檢測(cè)技術(shù)的作用很大，但并不能完全防止計(jì)算機(jī)病毒的攻擊，我們必須提高警惕，充分發(fā)揮主觀能動(dòng)性。因此，加強(qiáng)IT行業(yè)從業(yè)人員的職業(yè)道德教育、加快完善計(jì)算機(jī)病毒防止方面的法律法規(guī)、加強(qiáng)國際交流與合作同樣顯得刻不容緩。也許只有這樣計(jì)算機(jī)計(jì)算機(jī)病毒檢測(cè)技術(shù)才能更好發(fā)揮作用，我們才能更好防止日益變化和復(fù)雜的計(jì)算機(jī)病毒的攻擊。超級(jí)秘書網(wǎng)

6結(jié)語

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，計(jì)算機(jī)給人類經(jīng)濟(jì)、文化、軍事和社會(huì)活動(dòng)帶來更多便利的同時(shí)，也帶來了相當(dāng)巨大的安全挑戰(zhàn)。現(xiàn)代信息網(wǎng)絡(luò)面臨著各種各樣的安全威脅，有來自網(wǎng)絡(luò)外面的攻擊，比如網(wǎng)絡(luò)黑客、計(jì)算機(jī)病毒及變種等。因此合理有效的計(jì)算機(jī)病毒檢測(cè)技術(shù)是防治計(jì)算機(jī)病毒最有效，最經(jīng)濟(jì)省力，也是最應(yīng)該值得重視本論文由整理提供的問題。研究計(jì)算機(jī)病毒檢測(cè)技術(shù)有利于我們更好地防止計(jì)算機(jī)病毒的攻擊，有利于我們更好地維護(hù)計(jì)算機(jī)網(wǎng)絡(luò)世界的安全，使得計(jì)算機(jī)網(wǎng)絡(luò)真正發(fā)揮其積極的作用，促進(jìn)人類經(jīng)濟(jì)、文化、軍事和社會(huì)活動(dòng)的健康。

參考文獻(xiàn)：

[1]卓新建，鄭康鋒，辛陽.《計(jì)算機(jī)病毒原理與防治》，北京郵電大學(xué)出版社，2007年8月第二版.

[2]郝文化.《防黑反毒技術(shù)指南》，機(jī)械工業(yè)出版社，2004年1月第一版.

[3]程勝利，談冉，熊文龍等.《計(jì)算機(jī)病毒與其防治技術(shù)》，清華大學(xué)出版社，2004年9月第一版.

[4]張仁斌，李鋼，侯.《計(jì)算機(jī)病毒與反病毒技術(shù)》.清華大學(xué)出版社，2006年6月.

[5]傅建明，彭國軍，張煥國.《計(jì)算機(jī)病毒與對(duì)抗》.武漢大學(xué)出版社，2004年版.

[6]吳萬釗，吳萬鐸.《計(jì)算機(jī)病毒分析與防治大全》.學(xué)苑出版社.1993年10月.

第7篇

隨著信息產(chǎn)業(yè)的高速發(fā)展，眾多企業(yè)都利用互聯(lián)網(wǎng)建立了自己的信息系統(tǒng)，以充分利用各類信息資源。但是我們?cè)谙硎苄畔a(chǎn)業(yè)發(fā)展帶給我們的便利的同時(shí)，也面臨著巨大的風(fēng)險(xiǎn)。我們的系統(tǒng)隨時(shí)可能遭受病毒的感染、黑客的入侵，這都可以給我們?cè)斐删薮蟮膿p失。本文主要介紹了信息系統(tǒng)所面臨的技術(shù)安全隱患，并提出了行之有效的解決方案。

關(guān)鍵字：信息系統(tǒng) 信息安全 身份認(rèn)證 安全檢測(cè)

Abstract：

Along with the high-speed development of information industries， the multitudinous enterprise has established their own information system using the Internet to use each kind of information resource. But while we enjoy the information industries development to take to our convenient， we also faced the huge risk. Our system possibly suffers viral infection， hacker’s invasion; this all may create massive loss to us. This article mainly introduced the technical security hidden danger， which the information system faces， and proposed the effective solution.

Keywords：Information system

Information security

Status authentication

Safe examination

一、目前信息系統(tǒng)技術(shù)安全的研究

1. 企業(yè)信息安全現(xiàn)狀分析

隨著信息化進(jìn)程的深入，企業(yè)信息安全己經(jīng)引起人們的重視，但依然存在不少問題。一是安全技術(shù)保障體系尚不完善，企業(yè)花了大量的金錢購買了信息安全設(shè)備，但是技術(shù)保障不成體系，達(dá)不到預(yù)想的目標(biāo):二是應(yīng)急反應(yīng)體系沒有經(jīng)常化、制度化:三是企業(yè)信息安全的標(biāo)準(zhǔn)、制度建設(shè)滯后。

2003年5月至2004年5月，在7072家被調(diào)查單位中有4057家單位發(fā)生過信息網(wǎng)絡(luò)安全事件，占被調(diào)查總數(shù)的58%。調(diào)查結(jié)果表明，造成網(wǎng)絡(luò)安全事件發(fā)生的主要原因是安全管理制度不落實(shí)和安全防范意識(shí)薄弱。其中，由于未修補(bǔ)或防范軟件漏洞導(dǎo)致發(fā)生安全事件的占安全事件總數(shù)的“%，登錄密碼過于簡單或未修改密碼導(dǎo)致發(fā)生安全事件的占19%.

對(duì)于網(wǎng)絡(luò)安全管理情況的調(diào)查:調(diào)查表明，近年來，使用單位對(duì)信息網(wǎng)絡(luò)安全管理工作的重視程度普遍提高，80%的被調(diào)查單位有專職或兼職的安全管理人員，12%的單位建立了安全組織，有2%的單位請(qǐng)信息安全服務(wù)企業(yè)提供專業(yè)化的安全服務(wù)。調(diào)查表明，認(rèn)為單位信息網(wǎng)絡(luò)安全防護(hù)能力“較高”和“一般”的比較多，分別占44%。但是，被調(diào)查單位也普遍反映用戶安全觀念薄弱、安全管理員缺乏培訓(xùn)、安全經(jīng)費(fèi)投入不足和安全產(chǎn)品不能滿足要求等問題，也說明目前安全管理水平和社會(huì)化服務(wù)的程度還比較低 。

2.

企業(yè)信息安全防范的任務(wù)

信息安全的任務(wù)是多方面的，根據(jù)當(dāng)前信息安全的現(xiàn)狀，制定信息安全防范的任務(wù)主要是:

從安全技術(shù)上，進(jìn)行全面的安全漏洞檢測(cè)和分析，針對(duì)檢測(cè)和分析的結(jié)果制定防范措施和完整的解決方案;正確配置防火墻、網(wǎng)絡(luò)防病毒軟件、入侵檢測(cè)系統(tǒng)、建立安全認(rèn)證系統(tǒng)等安全系統(tǒng)。

從安全管理上，建立和完善安全管理規(guī)范和機(jī)制，切實(shí)加強(qiáng)和落實(shí)安全管理制度，增強(qiáng)安全防范意識(shí)。

信息安全防范要確保以下幾方面的安全。網(wǎng)絡(luò)安全:保障各種網(wǎng)絡(luò)資源(資源、實(shí)體、載體)穩(wěn)定可靠地運(yùn)行、受控合法地使用。信息安全:保障存儲(chǔ)、傳輸、應(yīng)用的機(jī)密性(Confidentiality )、完整性(Integrity)、抗否認(rèn)性(non-Repudiation) ，可用性(Availability)。其他安全:病毒防治、預(yù)防內(nèi)部犯罪。

二、計(jì)算機(jī)網(wǎng)絡(luò)中信息系統(tǒng)的安全防范措施

（一）網(wǎng)絡(luò)層安全措施

①防火墻技術(shù)

防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)，越來越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境之中，尤其以接入Internet網(wǎng)絡(luò)為甚。

防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測(cè))出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。在邏輯上，防火墻是一個(gè)分離器，一個(gè)限制器，也是一個(gè)分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動(dòng)，保證了內(nèi)部網(wǎng)絡(luò)的安全 。

防火墻是網(wǎng)絡(luò)安全的屏障：一個(gè)防火墻(作為阻塞點(diǎn)、控制點(diǎn))能極大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。由于只有經(jīng)過精心選擇的應(yīng)用協(xié)議才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略：通過以防火墻為中心的安全方案配置，能將所有安全軟件(如口令、加密、身份認(rèn)證、審計(jì)等)配置在防火墻上。對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)：如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并做出日志記錄，同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。防止內(nèi)部信息的外泄：通過利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離，從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問題對(duì)全局網(wǎng)絡(luò)造成的影響。除了安全作用，有的防火墻還支持具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN 。通過VPN，將企事業(yè)單位在地域上分布在全世界各地的LAN或?qū)Ｓ米泳W(wǎng)，有機(jī)地聯(lián)成一個(gè)整體。不僅省去了專用通信線路，而且為信息共享提供了技術(shù)保障。

②入侵檢測(cè)技術(shù)

IETF 將一個(gè)入侵檢測(cè)系統(tǒng)分為四個(gè)組件：事件產(chǎn)生器(Event Generators )；事件分析器(Event Analyzers )；響應(yīng)單元(Response Units)和事件數(shù)據(jù)庫(Event Data Bases )。事件產(chǎn)生器的目的是從整個(gè)計(jì)算環(huán)境中獲得事件，并向系統(tǒng)的其他部分提供此事件。事件分析器分析得到的數(shù)據(jù)，并產(chǎn)生分析結(jié)果。響應(yīng)單元?jiǎng)t是對(duì)分析結(jié)果做出反應(yīng)的功能單元，它可以做出切斷連接、改變文件屬性等強(qiáng)烈反應(yīng)，也可以只是簡單的報(bào)警。事件數(shù)據(jù)庫是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，它可以是復(fù)雜的數(shù)據(jù)庫，也可以是簡單的文本文件。

根據(jù)檢測(cè)對(duì)象的不同，入侵檢測(cè)系統(tǒng)可分為主機(jī)型和網(wǎng)絡(luò)型。基于主機(jī)的監(jiān)測(cè)。主機(jī)型入侵檢測(cè)系統(tǒng)就是以系統(tǒng)日志、應(yīng)用程序日志等作為數(shù)據(jù)源，當(dāng)然也可以通過其他手段(如監(jiān)督系統(tǒng)調(diào)用)從所在的主機(jī)收集信息進(jìn)行分析。主機(jī)型入侵檢測(cè)系統(tǒng)保護(hù)的一般是所在的系統(tǒng)。這種系統(tǒng)經(jīng)常運(yùn)行在被監(jiān)測(cè)的系統(tǒng)之上，用以監(jiān)測(cè)系統(tǒng)上正在運(yùn)行的進(jìn)程是否合法。最近出現(xiàn)的一種ID ( Intrusion Detection )：位于操作系統(tǒng)的內(nèi)核之中并監(jiān)測(cè)系統(tǒng)的最底層行為。所有這些系統(tǒng)最近已經(jīng)可以被用于多種平臺(tái)。網(wǎng)絡(luò)型入侵檢測(cè)。它的數(shù)據(jù)源是網(wǎng)絡(luò)上的數(shù)據(jù)包。往往將一臺(tái)機(jī)子的網(wǎng)卡設(shè)于混雜模式(Promise Mode )，對(duì)所有本網(wǎng)段內(nèi)的數(shù)據(jù)包并進(jìn)行信息收集，并進(jìn)行判斷。一般網(wǎng)絡(luò)型入侵檢測(cè)系統(tǒng)擔(dān)負(fù)著保護(hù)整個(gè)網(wǎng)段的任務(wù)。

轉(zhuǎn)貼于 對(duì)各種事件進(jìn)行分析，從中發(fā)現(xiàn)違反安全策略的行為是入侵檢測(cè)系統(tǒng)的核心功能。從技術(shù)上，入侵檢測(cè)分為兩類：一種基于標(biāo)志(C Signature-Based )，另一種基于異常情況(Abnormally-Based )。

（二）服務(wù)器端安全措施 只有正確的安裝和設(shè)置操作系統(tǒng)，才能使其在安全方面發(fā)揮應(yīng)有的作用。下面以WIN2000 SERVER 為例。

①正確地分區(qū)和分配邏輯盤。

微軟的IIS經(jīng)常有泄漏源碼/溢出的漏洞，如果把系統(tǒng)和IIS放在同一個(gè)驅(qū)動(dòng)器會(huì)導(dǎo)致系統(tǒng)文件的泄漏甚至入侵者遠(yuǎn)程獲取ADMIN。本系統(tǒng)的配置是建立三個(gè)邏輯驅(qū)動(dòng)器，C盤20G，用來裝系統(tǒng)和重要的日志文件，D盤20G放IIS， E盤20G放FTP，這樣無論IIS或FTP出了安全漏洞都不會(huì)直接影響到系統(tǒng)目錄和系統(tǒng)文件。因?yàn)椋琁IS和FTP是對(duì)外服務(wù)的，比較容易出問題。而把IIS和FTP分開主要是為了防止入侵者上傳程序并從IIS中運(yùn)行。

②正確地選擇安裝順序。

一般的人可能對(duì)安裝順序不太重視，認(rèn)為只要安裝好了，怎么裝都可以的。很多時(shí)候正是因?yàn)楣芾韱T思想上的松懈才給不法分子以可乘之機(jī)。Win2000在安裝中有幾個(gè)順序是一定要注意的：

首先，何時(shí)接入網(wǎng)絡(luò)：Win2000在安裝時(shí)有一個(gè)漏洞，在你輸入Administrator密碼后，系統(tǒng)就建立了ADMIN$的共享，但是并沒有用你剛剛輸入的密碼來保護(hù)它這種情況一直持續(xù)到你再次啟動(dòng)后，在此期間，任何人都可以通過ADMIN$進(jìn)入你的機(jī)器；同時(shí)，只要安裝一完成，各種服務(wù)就會(huì)自動(dòng)運(yùn)行，而這時(shí)的服務(wù)器是滿身漏洞，非常容易進(jìn)入的，因此，在完全安裝并配置好Win2000 SERVER之前，一定不要把主機(jī)接入網(wǎng)絡(luò)。

其次，補(bǔ)丁的安裝：補(bǔ)丁的安裝應(yīng)該在所有應(yīng)用程序安裝完之后，因?yàn)檠a(bǔ)丁程序往往要替換/修改某些系統(tǒng)文件，如果先安裝補(bǔ)丁再安裝應(yīng)用程序有可能導(dǎo)致補(bǔ)丁不能起到應(yīng)有的效果，例如： IIS的HotFix就要求每次更改IIS的配置都需要安裝，盡管很麻煩，卻很必要。

（三）安全配置

①端口：：端口是計(jì)算機(jī)和外部網(wǎng)絡(luò)相連的邏輯接口，從安全的角度來看，僅打開你需要使用的端口會(huì)比較安全，配置的方法是在網(wǎng)卡屬性——TCP/IP——高級(jí)——選項(xiàng)——TCP/IP篩選中啟用TCP/IP篩選，不過對(duì)于Win2000的端口過濾來說，有一個(gè)不好的特性：只能規(guī)定開哪些端口，不能規(guī)定關(guān)閉哪些端口;這樣對(duì)于需要開大量端口的用戶就比較麻煩。

②IIS： IIS是微軟的組件中漏洞最多的一個(gè)，平均兩三個(gè)月就要出一個(gè)漏洞，而微軟的IIS默認(rèn)安裝又實(shí)在不敢恭維，所以IIS的配置是我們的重點(diǎn)，所以在本系統(tǒng)的WWW服務(wù)器采取下面的設(shè)置：

首先，把操作系統(tǒng)在C盤默認(rèn)安裝的Inetpub目錄徹底刪掉，在D盤建一個(gè)Inetpub在IIS管理器中將主目錄指向D： \Inetpub。

其次，在IIS安裝時(shí)默認(rèn)的scripts等虛擬目錄一概刪除，這些都容易成為攻擊的目標(biāo)。我們雖然已經(jīng)把Inetpub從系統(tǒng)盤挪出來了，但這樣作也是完全必要的。如果需要什么權(quán)限的目錄可以在需要的時(shí)候再建，需要什么權(quán)限開什么。特別注意寫權(quán)限和執(zhí)行程序的權(quán)限，沒有絕對(duì)的必要千萬不要給。

③應(yīng)用程序配置：在IIS管理器中刪除必須之外的任何無用映射，必須指出的是ASP， ASP和其它確實(shí)需要用到的文件類型。我們不需要IIS提供的應(yīng)用程序的映射，刪除所有的映射，具體操作：在IIS管理器中右擊主機(jī)一屬性一WWW服務(wù)編輯一主目錄配置一應(yīng)用程序映射，然后就一個(gè)個(gè)刪除這些映射。點(diǎn)擊“確定”退出時(shí)要讓虛擬站點(diǎn)繼承剛才所設(shè)定的屬性。

經(jīng)過了Win2000 Server的正確安裝與正確配置，操作系統(tǒng)的漏洞得到了很好的預(yù)防，同時(shí)增加了補(bǔ)丁，這樣子就大大增強(qiáng)了操作系統(tǒng)的安全性能。

雖然信息管理系統(tǒng)安全性措施目前已經(jīng)比較成熟，但我們切不可馬虎大意，只有不斷學(xué)習(xí)新的網(wǎng)絡(luò)安全知識(shí)、采取日新月異的網(wǎng)絡(luò)安全措施，才能保證我們的網(wǎng)絡(luò)安全防御真正金湯。

參考文獻(xiàn)

[1]劉海平，朱仲英.一個(gè)基于ASP的在線會(huì)員管理信息系統(tǒng).微型電腦應(yīng)用.2002 （10）

[2]東軟集團(tuán)有限公司，NetEye防火墻使用指南3.0，1-3

[3]賈晶，陳元，王麗娜編著，信息系統(tǒng)的安全與保密，第一版，1999.01，清華大學(xué)出版社

[4] Eric Maiwald，Wi1liEducation， Security Planning & Disaster Recovery，2003，Posts & Telecommunications Press， PP. 86-94

[5]楊兵.網(wǎng)絡(luò)系統(tǒng)安全技術(shù)研究及其在寶鋼設(shè)備采購管理系統(tǒng)中的應(yīng)用：（學(xué)位論文）.遼寧：東北大學(xué)，2002

[6]劉廣良.建設(shè)銀行計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)安全管理策略研究：（學(xué)位論文）.湖南：湖南大學(xué).2001

第8篇

摘要數(shù)據(jù)挖掘是一種通用的數(shù)據(jù)處理技術(shù)，它從大量的數(shù)據(jù)中提取人們感興趣的內(nèi)容的過程。將數(shù)據(jù)挖掘技術(shù)應(yīng)用到網(wǎng)絡(luò)安全當(dāng)中，建立網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，是數(shù)據(jù)挖掘技術(shù)應(yīng)用的一個(gè)新領(lǐng)域。本文介紹了數(shù)據(jù)挖掘技術(shù)在入侵檢測(cè)中運(yùn)用的必要性、必然性和可行性。

關(guān)鍵詞：數(shù)據(jù)挖掘；入侵檢測(cè)；必要性；必然性；可行性

隨著計(jì)算機(jī)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)的資源共享程度進(jìn)一步加強(qiáng)，在資源共享的過程中，網(wǎng)絡(luò)安全問題備受重視，傳統(tǒng)的入侵檢測(cè)系統(tǒng)面對(duì)海量的信息數(shù)據(jù)，不能及時(shí)有效的分析處理這些數(shù)據(jù)，而數(shù)據(jù)挖掘技術(shù)的運(yùn)用正好能夠滿足入侵檢測(cè)系統(tǒng)的要求，合理的分析數(shù)據(jù)，有效處理數(shù)據(jù)。

一、數(shù)據(jù)挖掘技術(shù)與入侵檢測(cè)分析

數(shù)據(jù)挖掘是從大量的、不完全的、有噪聲的、模糊的、隨機(jī)的數(shù)據(jù)集中識(shí)別有效的、新穎的、潛在有用的，以及最終可理解的模式的過程。它是一門涉及面很廣的交叉學(xué)科，包括機(jī)器學(xué)習(xí)、數(shù)理統(tǒng)計(jì)、神經(jīng)網(wǎng)絡(luò)、數(shù)據(jù)庫、模式識(shí)別、粗糙集、模糊數(shù)學(xué)等相關(guān)技術(shù)。由于它是一門受到來自各種不同領(lǐng)域的研究者關(guān)注的交叉性學(xué)科，因此導(dǎo)致了很多不同的術(shù)語名稱。其中，最常用的術(shù)語是“知識(shí)發(fā)現(xiàn)”和“數(shù)據(jù)挖掘”。相對(duì)來講，數(shù)據(jù)挖掘主要流行于統(tǒng)計(jì)界、數(shù)據(jù)分析、數(shù)據(jù)庫和管理信息系統(tǒng)界；而知識(shí)發(fā)現(xiàn)則主要流行于人工智能和機(jī)器學(xué)習(xí)界。

入侵檢測(cè)是一種試圖通過觀察行為、安全日志或?qū)徲?jì)資料來檢測(cè)發(fā)現(xiàn)針對(duì)計(jì)算機(jī)或網(wǎng)絡(luò)入侵的技術(shù)，這種檢測(cè)通過手工或?qū)＜蚁到y(tǒng)軟件對(duì)日志或其他網(wǎng)絡(luò)信息進(jìn)行分析來完成。而更廣義的說法是：識(shí)別企圖侵入系統(tǒng)非法獲得訪問權(quán)限行為的過程，它通過對(duì)計(jì)算機(jī)系統(tǒng)或計(jì)算機(jī)網(wǎng)絡(luò)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)系統(tǒng)或網(wǎng)絡(luò)中是否有違反安全策略的行為和被攻擊的跡象。作為一種積極主動(dòng)地安全防護(hù)技術(shù)，入侵檢測(cè)提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)防護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和對(duì)入侵做出響應(yīng)。強(qiáng)大的入侵檢測(cè)軟件的出現(xiàn)極大的方便了網(wǎng)絡(luò)的管理，其實(shí)時(shí)報(bào)警為網(wǎng)絡(luò)安全增加了又一道保障。

計(jì)算機(jī)網(wǎng)絡(luò)中每天都會(huì)產(chǎn)生海量的網(wǎng)絡(luò)數(shù)據(jù)，主機(jī)也會(huì)產(chǎn)生大量的系統(tǒng)數(shù)據(jù)和日志信息。能否從如此豐富的歷史數(shù)據(jù)中找到我們所感興趣的信息，這是最為關(guān)鍵的一點(diǎn)，也是最為困難的一點(diǎn)。數(shù)據(jù)挖掘正是一種可以從包含大量冗余信息的數(shù)據(jù)里快速提取出盡可能多的有用信息的數(shù)據(jù)分析工具。因此研究者從數(shù)據(jù)的角度找到了數(shù)據(jù)挖掘和入侵檢測(cè)的交匯點(diǎn)，將二者結(jié)合起來，并在實(shí)踐中證明了將數(shù)據(jù)挖掘應(yīng)用于入侵檢測(cè)的可行性。目前，將數(shù)據(jù)挖掘應(yīng)用于入侵檢測(cè)已經(jīng)成為一個(gè)研究熱點(diǎn)。在這個(gè)研究領(lǐng)域，影響比較大的主要是Columbia University的Wenke Lee研究組和Portnoy，后繼的研究者大多沿襲了Wenke Lee和Portnoy的研究路線，并在此基礎(chǔ)上作了相應(yīng)改進(jìn)或者采用數(shù)據(jù)挖掘與其他智能技術(shù)相結(jié)合的方法。

二、數(shù)據(jù)挖掘在入侵檢測(cè)中運(yùn)用的必要性

入侵檢測(cè)就是通過運(yùn)用一些分析方法對(duì)數(shù)據(jù)進(jìn)行分析、提煉、評(píng)價(jià)，再識(shí)別出正常和異常的數(shù)據(jù)或者對(duì)潛在的新型入侵做出預(yù)測(cè)。在入侵檢測(cè)技術(shù)中采用數(shù)據(jù)挖掘技術(shù)有以下幾點(diǎn)必要性：

第一，網(wǎng)絡(luò)結(jié)構(gòu)日趨復(fù)雜，網(wǎng)上業(yè)務(wù)種類和業(yè)務(wù)數(shù)量急劇增多，網(wǎng)絡(luò)管理人員進(jìn)行決策的依據(jù)是反映網(wǎng)絡(luò)狀況和網(wǎng)絡(luò)行為的海量歷史數(shù)據(jù)，顯然沒有必要也不應(yīng)該把所有的原始數(shù)據(jù)全部提交給網(wǎng)絡(luò)管理人員，而是要對(duì)其進(jìn)行分析，生成與管理和決策問題相關(guān)的信息。

第二，由于時(shí)間的變化，數(shù)據(jù)也發(fā)生變化，數(shù)據(jù)中所含有的信息和知識(shí)也隨之發(fā)生變化，因此舊的模型需要更新，這就要求重新在數(shù)據(jù)挖掘系統(tǒng)上，在包含新數(shù)據(jù)的情況下來建立新的模型，然后將新的模型用于應(yīng)用系統(tǒng)。

第三，數(shù)據(jù)挖掘技術(shù)能夠解決從數(shù)據(jù)角度對(duì)網(wǎng)絡(luò)性能進(jìn)行評(píng)價(jià)的問題。數(shù)據(jù)挖掘是一個(gè)從數(shù)據(jù)集數(shù)據(jù)庫中提取隱含的、明顯未知的、具有潛在用處的信息的過程。數(shù)據(jù)挖掘的結(jié)構(gòu)是一個(gè)概念化知識(shí)，該知識(shí)反映了數(shù)據(jù)的內(nèi)在特性，是對(duì)數(shù)據(jù)所包含的信息的更高層次的抽象。如果把數(shù)據(jù)挖掘技術(shù)應(yīng)用到入侵檢測(cè)中，以偵聽到的數(shù)據(jù)集作為分析對(duì)象，運(yùn)用分類分析方法和聯(lián)系分析方法就可以對(duì)業(yè)務(wù)進(jìn)行分類并能找到數(shù)據(jù)之間的相互關(guān)系，這樣就可以從數(shù)據(jù)角度去評(píng)價(jià)審計(jì)數(shù)據(jù)集，從而達(dá)到了入侵檢測(cè)的目標(biāo)。

第四，由于不同來源的數(shù)據(jù)具有不同的性質(zhì)，也就要求采用不同的數(shù)據(jù)挖掘算法發(fā)現(xiàn)其中隱藏的規(guī)律；而不同的數(shù)據(jù)挖掘算法也要求采用不同的特征數(shù)據(jù)，因此，對(duì)于不同類型的入侵檢測(cè)數(shù)據(jù)，采用不同的數(shù)據(jù)挖掘算法發(fā)現(xiàn)其中的規(guī)則。對(duì)描述系統(tǒng)缺陷和已知攻擊方法的數(shù)據(jù)，由于決策樹方法具有較高的精度和效率，我們采用分類判定樹算法進(jìn)行處理，以發(fā)現(xiàn)其中的分類規(guī)則，對(duì)于審計(jì)數(shù)據(jù)采用分類和關(guān)聯(lián)分析相結(jié)合的方法，以發(fā)現(xiàn)關(guān)鍵屬性間的協(xié)同工作，對(duì)于系統(tǒng)調(diào)用序列數(shù)據(jù)，則采用序列模式挖掘算法，對(duì)于IP數(shù)據(jù)包等時(shí)態(tài)數(shù)據(jù)，將有關(guān)屬性按時(shí)間排成序列，采用時(shí)態(tài)數(shù)據(jù)挖掘方法進(jìn)行分析。

三、數(shù)據(jù)挖掘在入侵檢測(cè)中運(yùn)用的必然性

入侵檢測(cè)是一種新興的關(guān)于計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)安全問題的解決方案。主要有兩種，濫用檢測(cè)和異常檢測(cè)。濫用檢測(cè)是對(duì)利用已知的系統(tǒng)缺陷和已知的入侵方法進(jìn)行入侵活動(dòng)的檢測(cè)。濫用檢測(cè)的優(yōu)點(diǎn)是可以有針對(duì)性地建立高效的入侵檢測(cè)系統(tǒng),其主要缺陷是不能檢測(cè)未知的入侵，也不能檢測(cè)已知入侵的變種，因此可能發(fā)生漏報(bào)。異常入侵由用戶的異常行為和對(duì)電腦資源的異常使用產(chǎn)生。異常檢測(cè)需要建立目標(biāo)系統(tǒng)及其用戶的正常活動(dòng)模型，然后基于這個(gè)模型對(duì)系統(tǒng)和用戶的實(shí)際活動(dòng)進(jìn)行審計(jì)，以判定用戶的行為是否對(duì)系統(tǒng)構(gòu)成威脅。由于入侵檢測(cè)系統(tǒng)本身應(yīng)用的特殊性，要求它具有準(zhǔn)確性、全局性、可擴(kuò)展性、可伸縮性以及環(huán)境適應(yīng)性和本身的魯棒性。到目前為止，研究人員已經(jīng)提出或?qū)崿F(xiàn)了許多方法，但是沒有一種模型能夠完全滿足以上這些要求。而數(shù)據(jù)挖掘技術(shù)則正好在智能性、自適應(yīng)性以及可操作性方面有著特殊的優(yōu)勢(shì)，喬治梅森大學(xué)的研發(fā)人員發(fā)展了關(guān)聯(lián)挖掘在入侵檢測(cè)方面的重要的應(yīng)用，并提出了一種新型的應(yīng)用于異常檢測(cè)的多重檢測(cè)方法。綜合各種最新的研究成果并應(yīng)用后挖掘技術(shù)，將濫用檢測(cè)和異常檢測(cè)融為一體，采用數(shù)據(jù)挖掘技術(shù)實(shí)現(xiàn)基于內(nèi)容的智能化入侵檢測(cè)系統(tǒng)IDSDM (Intrusion Detection System using Data Mining techniques)，對(duì)在IDS(Intrusion Detection System)系統(tǒng)中最大限度上發(fā)揮數(shù)據(jù)挖掘技術(shù)的優(yōu)點(diǎn)作了一個(gè)有益的嘗試。

四、數(shù)據(jù)挖掘在入侵檢測(cè)中運(yùn)用的可行性

數(shù)據(jù)挖掘通常應(yīng)用于市場(chǎng)行銷、金融投資、生產(chǎn)制造等領(lǐng)域，但在入侵檢測(cè)設(shè)計(jì)領(lǐng)域中運(yùn)用數(shù)據(jù)挖掘技術(shù)對(duì)網(wǎng)絡(luò)業(yè)務(wù)進(jìn)行分析也具有明顯優(yōu)勢(shì)。其可行性主要表現(xiàn)在以下幾個(gè)方面：首先，網(wǎng)絡(luò)中檢測(cè)的數(shù)據(jù)種類繁多，監(jiān)測(cè)到的數(shù)據(jù)量量非常大，具有穩(wěn)定的數(shù)據(jù)來源，非常適合進(jìn)行數(shù)據(jù)挖掘。其次，網(wǎng)絡(luò)中偵聽到的數(shù)據(jù)按其所具有的不同屬性是可以進(jìn)行分類的，同時(shí)，不同的數(shù)據(jù)之間的確存有某種相關(guān)性，如一個(gè)連接往往伴隨另一個(gè)連接發(fā)生。因此，運(yùn)用數(shù)據(jù)挖掘技術(shù)對(duì)審計(jì)數(shù)據(jù)進(jìn)行挖掘能夠得到有價(jià)值的信息。再次，從各種渠道所獲得的審計(jì)數(shù)據(jù)經(jīng)過加工處理之后適合運(yùn)用數(shù)據(jù)挖掘中的聯(lián)系分析方法。現(xiàn)在國內(nèi)外己有一些研究機(jī)構(gòu)利用數(shù)據(jù)挖掘和神經(jīng)網(wǎng)絡(luò)技術(shù)進(jìn)行入侵檢測(cè)，釗對(duì)一些入侵行為獲得了較為理想的結(jié)果。美國哥倫比亞大學(xué)的Wenky Lcc在他的論文中詳細(xì)論述了將一種數(shù)據(jù)挖掘框架用于構(gòu)建入侵檢測(cè)規(guī)則和模型的方案，得到了一些實(shí)驗(yàn)數(shù)據(jù)和仿真結(jié)果，進(jìn)而在理論上和實(shí)驗(yàn)上證明了將數(shù)據(jù)挖掘技術(shù)應(yīng)用于入侵檢測(cè)的可行性。無論是異常檢測(cè)還是濫用檢測(cè)，都可利用數(shù)據(jù)挖掘技術(shù)提高檢測(cè)的精度。

參考文獻(xiàn)：

[1]劉文濤.Linux網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)[M].北京:電子工業(yè)出版社.2004

[2]唐國軍、李建華.入侵檢測(cè)技術(shù)[M].北京:清華大學(xué)出版社.2004

[3]Rebecca Gurley Brace.入侵檢測(cè)原理[M].北京:人民郵電出版社.2001

第9篇

論文關(guān)鍵詞：計(jì)算機(jī)網(wǎng)絡(luò)安全 入侵檢測(cè)技術(shù)

一、入侵檢測(cè)系統(tǒng)的分類

在計(jì)算機(jī)網(wǎng)絡(luò)中，入侵檢測(cè)通常可以分為兩大類，即入侵檢測(cè)和入侵防御。入侵檢測(cè)是指在網(wǎng)絡(luò)中，用其特定的安全方案，對(duì)網(wǎng)絡(luò)的操作進(jìn)行及時(shí)的檢測(cè)和控制，如果有惡意的程序?qū)ζ浒l(fā)起攻擊，要能及時(shí)的發(fā)現(xiàn)并進(jìn)行阻止，從而提高網(wǎng)絡(luò)監(jiān)測(cè)的安全性、保密性和完整性。但是隨著計(jì)算機(jī)網(wǎng)絡(luò)的不斷發(fā)展，越來越多的黑客來時(shí)蓄意破壞網(wǎng)站，盜取資料，安全隱患也越來越大，我們使用的傳統(tǒng)的入侵檢測(cè)技術(shù)和防火墻已經(jīng)應(yīng)付不了目前存在的很多安全問題，所以就誕生了新的入侵防御系統(tǒng)，它通過對(duì)經(jīng)過的數(shù)據(jù)進(jìn)行檢測(cè)來了解其中存在的潛在的危險(xiǎn)，從而摒棄那些存在危險(xiǎn)或者有可能存在危險(xiǎn)的數(shù)據(jù)和文件，從根源阻斷它們對(duì)系統(tǒng)帶來的威脅從而保護(hù)網(wǎng)絡(luò)的安全性和保密性。

入侵監(jiān)測(cè)系統(tǒng)和入侵防御系統(tǒng)兩者之間也存在很明顯的區(qū)別，入侵檢測(cè)系統(tǒng)只是對(duì)網(wǎng)絡(luò)進(jìn)行一個(gè)“體檢”，找出可能存在問題的地方，但是不能對(duì)整個(gè)網(wǎng)絡(luò)作出防御措施；而入侵防御系統(tǒng)無法自身識(shí)別出存在危險(xiǎn)的數(shù)據(jù)和文件，它需要入侵檢測(cè)系統(tǒng)的相互合作，通過入侵檢測(cè)系統(tǒng)檢測(cè)出存在危險(xiǎn)的數(shù)據(jù)，及時(shí)阻止這些數(shù)據(jù)的擴(kuò)散，把它們攔在門外，保證網(wǎng)絡(luò)的安全性。

二、入侵檢測(cè)技術(shù)在維護(hù)計(jì)算機(jī)網(wǎng)絡(luò)安全中的應(yīng)用

2.1 基于網(wǎng)絡(luò)的入侵檢測(cè)

基于網(wǎng)絡(luò)的入侵檢測(cè)有兩種基本形式，即軟件的和硬件的，但是這兩種形式的檢測(cè)方式在工作流程上有著異曲同工之處。為了將整個(gè)網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行實(shí)時(shí)的檢測(cè)和控制，就必須把網(wǎng)絡(luò)接口設(shè)置為混雜模式，這樣就可以在數(shù)據(jù)流過的時(shí)候?qū)?jīng)過的數(shù)據(jù)進(jìn)行控制分析，將這些數(shù)據(jù)和那些具備攻擊性質(zhì)的數(shù)據(jù)作比較，找出那些存在攻擊性或者存在潛在危險(xiǎn)的數(shù)據(jù)，將這些數(shù)據(jù)攔截下來，保障網(wǎng)絡(luò)的安全運(yùn)行，對(duì)于攔截下的存在問題的數(shù)據(jù)，要做好及時(shí)的記錄，作為以后遇到問題可以參考的依據(jù)。

2.1.1 入侵檢測(cè)的體系結(jié)構(gòu)

網(wǎng)絡(luò)入侵檢測(cè)主要由Agent、Console以及Manager三個(gè)部分組成。其中Agent是用來對(duì)經(jīng)過的數(shù)據(jù)作出檢測(cè)，找出那些存在威脅的數(shù)據(jù)，并及時(shí)把這些數(shù)據(jù)發(fā)送到管理器；Console主要是搜集信息和數(shù)據(jù)，顯示那些存在危險(xiǎn)的數(shù)據(jù)，并從現(xiàn)實(shí)的這些數(shù)據(jù)中找出真正有攻擊性的數(shù)據(jù)并把它們發(fā)送到管理器上；Manager主要是給警告信息發(fā)出的信號(hào)給予響應(yīng)，同時(shí)Manager也執(zhí)行從控制臺(tái)發(fā)來的指令，再把接收來的警告信息發(fā)送到控制臺(tái)。

2.1.2 入侵檢測(cè)的工作模式

基于網(wǎng)絡(luò)的入侵檢測(cè)，在整個(gè)網(wǎng)絡(luò)中要布置多個(gè)入侵檢測(cè)，一般都是部署在每個(gè)網(wǎng)段的中部，而且不同的網(wǎng)絡(luò)結(jié)構(gòu)也不一樣，所以自然網(wǎng)絡(luò)連接形式也不一樣。如果在網(wǎng)段中連接方式是總線式集線器，那么就把和集線器力的任何一個(gè)端口連接；如果是太網(wǎng)交換機(jī)，因?yàn)榻粨Q機(jī)自身存在一定的缺陷，是無法實(shí)現(xiàn)資源的共享的，所以在整個(gè)網(wǎng)段中只安排一個(gè)是不可行的，因此，可以把入侵檢測(cè)系統(tǒng)和交換機(jī)中用于調(diào)試的端口進(jìn)行連接，也可以把它放在數(shù)據(jù)流經(jīng)過的關(guān)鍵地段，這樣就可以取得經(jīng)過的全部數(shù)據(jù)。

2.1.3 攻擊響應(yīng)及升級(jí)攻擊特征庫、自定義攻擊特征

入侵檢測(cè)系統(tǒng)響應(yīng)惡意文件的方式有很多種，如發(fā)送郵件、查殺進(jìn)程、通知管理員、記錄日志、把用戶的賬號(hào)自動(dòng)注銷、把正在進(jìn)行的會(huì)話切斷、建立一個(gè)報(bào)告并發(fā)送等等。堆攻擊特征庫進(jìn)行升級(jí)時(shí)可以自動(dòng)從相關(guān)網(wǎng)站或者是地址中把有用的信息下載下來，在把這些信息反饋給控制臺(tái)，由控制臺(tái)把這些信息添加帶攻擊特征庫中。對(duì)網(wǎng)絡(luò)進(jìn)行管理的人員可以按照自身的設(shè)備條件和資源狀況來自定義設(shè)定特征庫，對(duì)單位的網(wǎng)絡(luò)系統(tǒng)和整體資源進(jìn)行全面的保護(hù)。

2.2 對(duì)于主機(jī)的入侵檢測(cè)

對(duì)公司主機(jī)的入侵檢測(cè)一般不會(huì)對(duì)所有電腦全部進(jìn)行，而是從中挑選重點(diǎn)檢測(cè)的主機(jī)，分析和判斷該主機(jī)在日志審核系統(tǒng)、網(wǎng)絡(luò)連接上存在的問題。一旦發(fā)現(xiàn)可疑情況，那么入侵檢測(cè)系統(tǒng)就會(huì)對(duì)主機(jī)上存在問題的部分采取相應(yīng)的措施來保護(hù)網(wǎng)絡(luò)系統(tǒng)。基于主機(jī)的入侵檢測(cè)系統(tǒng)具有以下功能：全程監(jiān)控用戶在網(wǎng)絡(luò)上的一切操作；對(duì)陣個(gè)系統(tǒng)進(jìn)行持續(xù)的評(píng)估，保持?jǐn)?shù)據(jù)的完整性；及時(shí)更新特征庫的數(shù)據(jù)，建立全新的安全維護(hù)系統(tǒng)；對(duì)未經(jīng)允許的操作或者是存在危險(xiǎn)的數(shù)據(jù)做出及時(shí)的警報(bào)；將有用的信息收集起來，作為以后的參考資料。基于主機(jī)的入侵檢測(cè)系統(tǒng)全面細(xì)致的主機(jī)進(jìn)行了保護(hù)，提高了網(wǎng)絡(luò)的安全性和保密性，節(jié)約了資源，節(jié)省了成本。

三、入侵檢測(cè)技術(shù)存在的問題

雖然入侵檢測(cè)系統(tǒng)既有很大的優(yōu)勢(shì)，但是在很多方面它還存在很多的缺陷，主要是體現(xiàn)在以下幾個(gè)方方面：

第一：雖然網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)可以對(duì)網(wǎng)段里的數(shù)據(jù)進(jìn)行檢測(cè)和控制，發(fā)現(xiàn)存在的問題，但是如果不在這一網(wǎng)段，那么該系統(tǒng)就無法檢測(cè)出來，所如期能檢測(cè)系統(tǒng)的檢測(cè)范圍有一定的局限性，無法對(duì)全局作出檢測(cè)，但是如果增加傳感器的數(shù)量，就勢(shì)必會(huì)增加成本。

第二：入侵檢測(cè)系統(tǒng)的檢測(cè)方法一般是通過對(duì)數(shù)據(jù)進(jìn)行特征分析，這種檢測(cè)方法對(duì)一般普通的問題成效較為明顯，但是有一些復(fù)雜的難以識(shí)別的問題，檢測(cè)系統(tǒng)就可能無法分辨，這就造成存在一定的安全隱患。

第三：入侵檢測(cè)系統(tǒng)在網(wǎng)絡(luò)上數(shù)據(jù)檢測(cè)時(shí)需要進(jìn)行大量的數(shù)據(jù)分析，這也可能會(huì)影響網(wǎng)絡(luò)的質(zhì)量和性能。

第四：網(wǎng)絡(luò)入侵檢測(cè)技術(shù)在處理會(huì)話加密問題上存在一定的困難，因?yàn)橛捎诂F(xiàn)階段的技術(shù)，對(duì)加密通道的攻擊較少，但是隨著社會(huì)發(fā)展，這類問題會(huì)越來越多。

第五：雖然入侵檢測(cè)系統(tǒng)可以檢測(cè)網(wǎng)絡(luò)上存在的問題，但是它自身的防御能力卻很弱，如果它一旦受到惡意數(shù)據(jù)的攻擊，那么就很難抵抗，但是它可以與防火墻進(jìn)行聯(lián)動(dòng)，那些攻擊文件通過防火墻，防火墻就會(huì)立即采取隔離措施，這樣也能達(dá)到保護(hù)自身的目的。

四、總結(jié)

雖然現(xiàn)在入侵檢測(cè)系統(tǒng)已經(jīng)得到廣泛的應(yīng)用，但是它自身還是存在很多局限性，所以在發(fā)展上還不是很成熟，很多單位在入侵檢測(cè)系統(tǒng)的選擇上都是采用了基于主機(jī)和網(wǎng)絡(luò)相結(jié)合的方式。但是這會(huì)在發(fā)展，所以入侵檢測(cè)系統(tǒng)也在不斷的發(fā)展，在數(shù)據(jù)收集和檢測(cè)、網(wǎng)絡(luò)異常的檢測(cè)、專家系統(tǒng)濫用檢測(cè)以及貝葉斯推理異常檢測(cè)等等檢測(cè)技術(shù)上發(fā)展的越來越成熟。總之，提高計(jì)算機(jī)網(wǎng)絡(luò)的安全性不僅僅需要自身技術(shù)的發(fā)展，同時(shí)還需要政府以及企業(yè)進(jìn)行維護(hù)和管理，只有這樣我國的計(jì)算機(jī)網(wǎng)絡(luò)事業(yè)才能發(fā)展的更好，才能給人們的生活帶來更多的方便。

參考文獻(xiàn)：

[1]胥瓊丹.入侵檢測(cè)技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全維護(hù)中的應(yīng)用[J].電腦知識(shí)與技術(shù)，2010，11

第10篇

關(guān)鍵詞：校園網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；網(wǎng)絡(luò)監(jiān)聽

中圖分類號(hào)：TP393.18 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1674-7712 (2012) 10-0118-01

一、引言

隨著全球計(jì)算機(jī)信息網(wǎng)絡(luò)的產(chǎn)生和發(fā)展，信息傳遞速度大大提高，根本上加強(qiáng)信息交流、資源共享、科學(xué)計(jì)算和科研合作的能力，促進(jìn)了國家教育和科研事業(yè)的迅速發(fā)展。與其它網(wǎng)絡(luò)一樣，校園網(wǎng)的網(wǎng)絡(luò)安全問題也是當(dāng)前各高校面臨的一個(gè)主要問題而如何維護(hù)并加強(qiáng)校園網(wǎng)的網(wǎng)絡(luò)安全成為則成為一個(gè)值得人們關(guān)注的焦點(diǎn)問題。

二、網(wǎng)絡(luò)監(jiān)聽與網(wǎng)絡(luò)安全

（一）網(wǎng)絡(luò)監(jiān)聽技術(shù)的原理

截獲網(wǎng)絡(luò)中的通信數(shù)據(jù)是網(wǎng)絡(luò)監(jiān)聽的最終目的，其方法是對(duì)網(wǎng)絡(luò)協(xié)議進(jìn)行分析，分析網(wǎng)絡(luò)監(jiān)聽的能夠?qū)崿F(xiàn)的功能是：在網(wǎng)絡(luò)中不同計(jì)算機(jī)之間相互進(jìn)行數(shù)據(jù)交換時(shí)，所有連接在一起的計(jì)算機(jī)主機(jī)都能夠接受發(fā)送的數(shù)據(jù)包，在包頭中含有目標(biāo)主機(jī)的正確地址，所有，只有與發(fā)送的數(shù)據(jù)包中目標(biāo)地址相同的計(jì)算機(jī)主機(jī)才能夠正確接收到數(shù)據(jù)包，而其他的計(jì)算機(jī)主機(jī)都會(huì)丟棄數(shù)據(jù)包，但是如果計(jì)算機(jī)主機(jī)在監(jiān)聽模式的時(shí)候，主機(jī)都會(huì)將接收到的數(shù)據(jù)包保存下來，而不再對(duì)數(shù)據(jù)包中的目標(biāo)地址進(jìn)行分析，然后人們可以對(duì)數(shù)據(jù)包進(jìn)行分析，最終得到網(wǎng)絡(luò)通信中的數(shù)據(jù)內(nèi)容。

（二）網(wǎng)絡(luò)監(jiān)聽的優(yōu)點(diǎn)和缺點(diǎn)

1.網(wǎng)絡(luò)監(jiān)聽的優(yōu)點(diǎn)

（1）成本低廉：能夠在較少的監(jiān)測(cè)點(diǎn)上進(jìn)行相關(guān)配置，就可以監(jiān)聽到網(wǎng)絡(luò)中發(fā)生的任何入侵行為。

（2）功能強(qiáng)大：能夠監(jiān)測(cè)主機(jī)入侵檢測(cè)系統(tǒng)所監(jiān)測(cè)不到的特殊性的網(wǎng)絡(luò)攻擊，例如拒絕服務(wù)攻擊(DOS Teardrop)等等。

（3）獨(dú)立性強(qiáng)：基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)與其相對(duì)應(yīng)的計(jì)算機(jī)主機(jī)的操作系統(tǒng)無關(guān)，而計(jì)算機(jī)主機(jī)的入侵檢測(cè)系統(tǒng)必須運(yùn)行在指定的操作系統(tǒng)中。

2.網(wǎng)絡(luò)監(jiān)聽的缺點(diǎn)

（1）網(wǎng)絡(luò)監(jiān)聽只是對(duì)系統(tǒng)漏洞進(jìn)行檢測(cè)的作用，其本身不能起到維護(hù)網(wǎng)絡(luò)安全的作用，必須與防火墻等軟件聯(lián)合使用，其在維護(hù)網(wǎng)絡(luò)安全中只是一個(gè)輔助的作用。

（2）針對(duì)本工程來說，只是可以對(duì)所有數(shù)據(jù)都進(jìn)行監(jiān)聽或者某一個(gè)端口、某一個(gè)IP、某一種協(xié)議進(jìn)行簡單的有限制監(jiān)聽。如：不能同時(shí)對(duì)指定的某兩個(gè)端口進(jìn)行監(jiān)聽，也不能同時(shí)對(duì)指定的某兩個(gè)IP進(jìn)行監(jiān)聽。

（三）非法網(wǎng)絡(luò)監(jiān)聽的防范

網(wǎng)絡(luò)監(jiān)聽常常要保存大量的信息，對(duì)收集的信息進(jìn)行大量的整理工作，因此，正在進(jìn)行監(jiān)聽的機(jī)器對(duì)用戶的請(qǐng)求響應(yīng)很慢。所以可以通過以下幾點(diǎn)來防范非法監(jiān)聽。

1.網(wǎng)絡(luò)分段。網(wǎng)絡(luò)分段不僅僅是控制網(wǎng)絡(luò)廣播風(fēng)暴的一種基本方法，同時(shí)也是保證網(wǎng)絡(luò)安全的必要措施，網(wǎng)絡(luò)分段是將網(wǎng)絡(luò)資源與非法用戶相互隔離開來，從而達(dá)到防止非法監(jiān)聽的目的。

2.數(shù)據(jù)加密。網(wǎng)絡(luò)通信數(shù)據(jù)經(jīng)過加密之后，雖然通過網(wǎng)絡(luò)監(jiān)聽仍然可以得到傳輸?shù)臄?shù)據(jù)信息，但卻無法正確顯示，但是使用數(shù)據(jù)加密會(huì)使得網(wǎng)絡(luò)傳輸?shù)乃俣认陆担胰绻用芗夹g(shù)比較簡單，也很容易被攻破，所以，計(jì)算機(jī)管理者和操作者即要考慮網(wǎng)絡(luò)的安全問題，也要考慮網(wǎng)絡(luò)傳輸?shù)乃俣葐栴}。

3.使用虛擬局域網(wǎng)。使用虛擬局域網(wǎng)(VLAN)技術(shù)，將以太網(wǎng)數(shù)據(jù)通信轉(zhuǎn)換成為點(diǎn)到點(diǎn)的數(shù)據(jù)通信，能夠防止多數(shù)基于網(wǎng)絡(luò)監(jiān)聽的非法入侵。

三、安全策略在校園網(wǎng)絡(luò)中的應(yīng)用

（一）網(wǎng)絡(luò)監(jiān)聽策略。校園網(wǎng)面臨的安全問題來自多方面，主要存在于校園網(wǎng)的網(wǎng)絡(luò)外部和內(nèi)部，而來自校園網(wǎng)內(nèi)部的攻擊應(yīng)該占主要地位。校園網(wǎng)中大部分是正在學(xué)習(xí)知識(shí)的學(xué)生，他們?nèi)藬?shù)眾多，求知欲強(qiáng)，好奇心更強(qiáng)，而且有些同學(xué)的網(wǎng)絡(luò)知識(shí)水平也很高。這樣就使得他們成為了校園網(wǎng)中潛在的威脅。

網(wǎng)絡(luò)監(jiān)聽技術(shù)可以對(duì)校園網(wǎng)絡(luò)進(jìn)行故障診斷和分析，首先通過監(jiān)聽收集網(wǎng)絡(luò)通信中傳輸?shù)乃袛?shù)據(jù)，然后對(duì)這些數(shù)據(jù)進(jìn)行詳細(xì)分析，可以解決在多協(xié)議、多拓?fù)涞木W(wǎng)絡(luò)上的各種問題，并且能夠排除網(wǎng)絡(luò)故障，從而能夠得到報(bào)表等形式的數(shù)據(jù)分析結(jié)果，對(duì)于網(wǎng)絡(luò)的良好運(yùn)行是強(qiáng)大的支持。

網(wǎng)絡(luò)監(jiān)聽技術(shù)可以對(duì)校園網(wǎng)絡(luò)進(jìn)行安全分析，及時(shí)發(fā)現(xiàn)各種侵害校園網(wǎng)絡(luò)安全的行為，達(dá)到維護(hù)校園網(wǎng)絡(luò)安全的目的。例如：可以分析網(wǎng)絡(luò)監(jiān)聽到的數(shù)據(jù)信息，截獲發(fā)送不法信息的IP地址，找到網(wǎng)絡(luò)威脅的源頭，再設(shè)置防火墻拒絕非法IP的訪問。

（二）入侵檢測(cè)策略。入侵檢測(cè)(IDS)是主動(dòng)保護(hù)自身不受到攻擊和威脅的一種網(wǎng)絡(luò)安全技術(shù)，它是網(wǎng)絡(luò)防火墻之后的第二道安全防線，能夠?qū)Ψ阑饓Φ陌踩胧┻M(jìn)行相應(yīng)補(bǔ)充，管理員可以在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中設(shè)置關(guān)鍵點(diǎn)，入侵檢測(cè)系統(tǒng)從這些關(guān)鍵點(diǎn)收集數(shù)據(jù)信息，對(duì)這些數(shù)據(jù)信息進(jìn)行分析，從而判斷網(wǎng)絡(luò)中是否有遭到入侵的情況和違反安全策略的行為，一旦入侵檢測(cè)系統(tǒng)發(fā)現(xiàn)出現(xiàn)攻擊時(shí)，會(huì)啟動(dòng)防火墻禁止這些IP地址訪問，時(shí)刻保護(hù)內(nèi)部和外部的網(wǎng)絡(luò)攻擊，這種結(jié)合的方式集成了防火墻和入侵檢測(cè)系統(tǒng)的所有，不但能夠?qū)W(wǎng)絡(luò)攻擊進(jìn)行實(shí)時(shí)監(jiān)控，還能夠提高網(wǎng)絡(luò)信息安全結(jié)構(gòu)的完整性，從而降低網(wǎng)絡(luò)非法入侵造成的損失。

（三）防火墻策略。防火墻是由軟件和硬件共同組合而成的，是在網(wǎng)絡(luò)層面上構(gòu)造的一道保護(hù)屏障，通過對(duì)劉靜的網(wǎng)絡(luò)通信數(shù)據(jù)進(jìn)行實(shí)時(shí)掃描，禁止某些網(wǎng)絡(luò)攻擊，從而避免在這些攻擊在計(jì)算機(jī)上繼續(xù)執(zhí)行。防火墻不但可以對(duì)不使用的端口進(jìn)行關(guān)閉，還能夠禁止制定端口的數(shù)據(jù)流出，封鎖病毒的侵入，通過對(duì)特殊站點(diǎn)設(shè)置訪問禁止，來禁用不明入侵者的所有通信數(shù)據(jù)。

四、總結(jié)

計(jì)算機(jī)網(wǎng)絡(luò)安全問題是當(dāng)今最令人頭疼的問題。通過對(duì)校園網(wǎng)的網(wǎng)絡(luò)系統(tǒng)面臨的安全問題的分析與研究。

對(duì)于校園網(wǎng)這個(gè)大的局域網(wǎng)來說，無論是運(yùn)用防火墻技術(shù)，還是利用入侵檢測(cè)系統(tǒng)，要做的就是分析在網(wǎng)內(nèi)傳輸?shù)模òòl(fā)自網(wǎng)內(nèi)的和發(fā)送到網(wǎng)內(nèi)的）數(shù)據(jù)中，哪些信息是安全的，是有利的，哪些是不安全的，是有破壞作用的。

要維護(hù)網(wǎng)絡(luò)的安全，僅僅依靠被動(dòng)地檢測(cè)是遠(yuǎn)遠(yuǎn)不夠，我們需要主動(dòng)地防御惡意的攻擊，并且要做好長期而充分的準(zhǔn)備去迎接挑戰(zhàn)。

參考文獻(xiàn)

[1]趙.校園網(wǎng)絡(luò)安全的改進(jìn)[D].重慶大學(xué)碩士畢業(yè)論文,2006:14-16

[2]楊守君.黑客技術(shù)和網(wǎng)絡(luò)安全[M].北京:中國對(duì)外翻譯出版社,2000:115-118

[3]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)（第四版）[M]．大連：大連理工大學(xué)出版社，2003:2-6

[4]吳玉,李嵐.基于網(wǎng)絡(luò)數(shù)據(jù)獲取技術(shù)的網(wǎng)絡(luò)監(jiān)聽的檢測(cè)和防范[J].信息技術(shù),2007,8:142-144

[5]韓紅宇.面向校園網(wǎng)的網(wǎng)絡(luò)監(jiān)聽技術(shù)研究[J].中國科技信息,2005,24:12

第11篇

【關(guān)鍵詞】網(wǎng)絡(luò)安全技術(shù)；入侵檢測(cè)；入侵檢測(cè)系統(tǒng)

1.引言

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和應(yīng)用范圍的擴(kuò)大，人們?cè)絹碓揭蕾囉诰W(wǎng)絡(luò)進(jìn)行信息的處理。信息基礎(chǔ)設(shè)施己成為國民經(jīng)濟(jì)的一個(gè)重要支撐點(diǎn)，作為信息基礎(chǔ)設(shè)施的一個(gè)重要組成部分，信息安全關(guān)系到國家的存亡，經(jīng)濟(jì)的發(fā)展，社會(huì)的穩(wěn)定。隨著網(wǎng)絡(luò)攻擊工具和攻擊手法的日趨復(fù)雜化多樣化，僅靠傳統(tǒng)的網(wǎng)絡(luò)安全防范措施己無法滿足對(duì)網(wǎng)絡(luò)安全的要求，因此，網(wǎng)絡(luò)安全是目前一項(xiàng)十分重要的任務(wù)。入侵檢測(cè)系統(tǒng)(Intrusion Detection System，IDS)是近年來發(fā)展迅速的一種新型的網(wǎng)絡(luò)安全技術(shù)。

入侵檢測(cè)系統(tǒng)是指能夠通過分析與系統(tǒng)安全相關(guān)的數(shù)據(jù)來檢測(cè)入侵活動(dòng)的系統(tǒng)，包括入侵檢測(cè)的軟件和硬件的組合。從系統(tǒng)所執(zhí)行的功能上來考慮，入侵檢測(cè)系統(tǒng)必須包括如下三個(gè)功能部件：提供事件記錄流的數(shù)據(jù)收集部件、發(fā)現(xiàn)入侵跡象的分析引擎和基于分析引擎的結(jié)果產(chǎn)生的響應(yīng)部件。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)作為新一代的動(dòng)態(tài)安全防范技術(shù)，它通過對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或系統(tǒng)中若干關(guān)鍵點(diǎn)數(shù)據(jù)的收集，并對(duì)其進(jìn)行分析，從而發(fā)現(xiàn)是否有違反安全策略的行為和被攻擊的跡象。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)能檢測(cè)到誰正在攻擊當(dāng)前的網(wǎng)絡(luò)，從而及時(shí)通知網(wǎng)絡(luò)管理員進(jìn)行響應(yīng)，減少入侵行為帶來的損失，也能知道網(wǎng)絡(luò)是如何被攻擊的，從而有助于安全專家分析攻擊過程，由此得出系統(tǒng)或配置方面的漏洞，防止再次受到同樣的攻擊。一個(gè)完備的入侵檢測(cè)系統(tǒng)一定是基于主機(jī)和基于網(wǎng)絡(luò)兩種方式兼?zhèn)涞南到y(tǒng)。不同的體系結(jié)構(gòu)。不同的技術(shù)途徑實(shí)現(xiàn)的入侵檢測(cè)系統(tǒng)都各有優(yōu)缺點(diǎn)，具體采用那種模型和技術(shù)，都要根據(jù)具體的環(huán)境來選擇。

2.入侵檢測(cè)系統(tǒng)的整體結(jié)構(gòu)

為了讓入侵檢測(cè)系統(tǒng)能最大程度的發(fā)揮作用，我們必須在關(guān)鍵地點(diǎn)部署入侵檢測(cè)系統(tǒng)。考慮到路由器上安全設(shè)置的功能相當(dāng)于簡單的防火墻，可以依據(jù)眾所周知的端口，在網(wǎng)絡(luò)層阻止特定的數(shù)據(jù)包，但是當(dāng)數(shù)據(jù)包使用其他端口通過路由器時(shí)，路由器的安全設(shè)置就不起作用了，所以我們?cè)谕獠柯酚善骱头阑饓χg放置一臺(tái)IDS，這樣，當(dāng)數(shù)據(jù)包通過路由器時(shí)，也會(huì)被IDS監(jiān)聽到，同時(shí)路由器可以預(yù)先過濾掉一些網(wǎng)絡(luò)流量。不把IDS放在網(wǎng)絡(luò)外面的原因是：那樣可能會(huì)增加很多不確定的報(bào)警，而且會(huì)讓IDS受到攻擊的危險(xiǎn)大大增加。這個(gè)是外部IDS，監(jiān)控內(nèi)外網(wǎng)絡(luò)之間的數(shù)據(jù)，它是基于特征的入侵檢測(cè)技術(shù)。另外，我們?cè)趦?nèi)網(wǎng)交換機(jī)上部署內(nèi)網(wǎng)IDS，采用基于策略的IDS。因?yàn)榭紤]到系統(tǒng)因?yàn)椴荒芗皶r(shí)更新攻擊特征，而錯(cuò)過檢測(cè)到最新攻擊的可能。我們?cè)趦?nèi)部采用基于策略的IDS。它的好處是使IDS管理員不必不間斷的更新攻擊規(guī)則，只需設(shè)置網(wǎng)絡(luò)中正常的操作行為準(zhǔn)則。其他的都認(rèn)為是不正常的可疑的。而且因?yàn)榛诓呗缘腎DS只需要定義少量可接收的行為規(guī)則，因而比通用IDS的性能更好。但是一般而言基于策略的IDS不適合同外部連接的網(wǎng)絡(luò)。因?yàn)楹屯獠窟B接的數(shù)據(jù)種類太多。系統(tǒng)的拓?fù)浣Y(jié)構(gòu)如下圖所示：

系統(tǒng)的拓?fù)浣Y(jié)構(gòu)圖

3.入侵檢測(cè)系統(tǒng)建立的軟、硬件選擇

3.1 入侵檢測(cè)系統(tǒng)（IDS）的硬件選擇

IDS選擇硬件時(shí)，必須考慮到將要監(jiān)視的網(wǎng)絡(luò)的規(guī)模，探測(cè)器的性能必須和所要監(jiān)視的網(wǎng)絡(luò)的規(guī)模相匹配。使用IDS的目標(biāo)是檢測(cè)網(wǎng)絡(luò)上感興趣的數(shù)據(jù)流，所以匹配的探測(cè)器的關(guān)鍵是保證所有的包都被捕獲和記錄。顯然，偶爾的丟包是會(huì)發(fā)生的，目標(biāo)是構(gòu)建一個(gè)好的IDS系統(tǒng)，使得由于硬件的局限性而引起的丟包可能減少到最小。因此我們的目標(biāo)是：

（1）盡量減少丟包。

（2）保證安裝的系統(tǒng)能夠完成預(yù)計(jì)要完成的任務(wù)。

（3）節(jié)約開支。

例如，我們可以對(duì)四個(gè)最關(guān)鍵的硬件作出以下選擇：

1）處理器

選擇使用intel Pentium IV 3.06Ghz處理器。所以使用這種處理器，關(guān)鍵在于它使用了超線程技術(shù)。這種技術(shù)模擬了多個(gè)處理器系統(tǒng)，保證了系統(tǒng)在運(yùn)行其他進(jìn)程時(shí)，允許snort在另一個(gè)管道中持續(xù)運(yùn)行而不會(huì)喪失大部分處理器性能，從而在實(shí)際上限制了任何網(wǎng)絡(luò)監(jiān)視的暫停。當(dāng)然，使用這種處理器，限制了我們對(duì)操作系統(tǒng)的選擇，因?yàn)橹挥性趙indows系統(tǒng)上才能最充分的發(fā)揮其性能。

2）內(nèi)存

內(nèi)存的大小直接影響到系統(tǒng)的運(yùn)行速度。目前x86系統(tǒng)所使用的RAM價(jià)格便宜，可用選用x86，對(duì)系統(tǒng)配置2G的內(nèi)存。

3）存儲(chǔ)介質(zhì)

在選擇存儲(chǔ)介質(zhì)前，必須確定每天如何操作IDS。如果是建立一個(gè)庫存儲(chǔ)每天的日志文件，那么硬盤較小就可以了，但如果打算每周或者每月備份一次日志文件，那么硬盤就需要大容量了。結(jié)合我們實(shí)際使用的系統(tǒng)，需要每日備份日志文件，但周末需要系統(tǒng)記錄3日的數(shù)據(jù)，且現(xiàn)在硬盤價(jià)格很便宜，所以系統(tǒng)仍使用大容量硬盤160G。

4）網(wǎng)卡

選擇2塊網(wǎng)卡，一塊網(wǎng)卡用于正常的網(wǎng)絡(luò)通信，另一塊網(wǎng)卡用于監(jiān)聽。網(wǎng)卡的選擇必須和連接的交換機(jī)的速率相匹配，否則丟包明顯，甚至無法抓包。因此針對(duì)連接不同交換機(jī)的IDS選擇百兆、千兆intel網(wǎng)卡。

3.2 IDS操作系統(tǒng)的選擇。

為安裝snort時(shí)通常要考慮易用性、成熟性、兼容性、通用性等因素。選擇操作系統(tǒng)平臺(tái)。

首先，系統(tǒng)管理員對(duì)操作系統(tǒng)最有效的選擇就是他最熟悉的操作系統(tǒng)。例如如果對(duì)windonws及其軟件的使用非常熟悉，但是在linux方面卻完全是個(gè)新手，那么很顯然應(yīng)選擇windows。另一個(gè)影響我們選擇的因素是操作系統(tǒng)的易用性。在任何一種操作系統(tǒng)上安裝snort都會(huì)比較復(fù)雜。相對(duì)而言，在windows上安裝和使用snort比較容易。雖然在windows系統(tǒng)上運(yùn)行snort有一些技術(shù)復(fù)雜度，例如winpcap問題、內(nèi)核升級(jí)問題以及系統(tǒng)修復(fù)問題等等，但是很容易找到解決任何可能出現(xiàn)的問題的相關(guān)文檔。我們還需要考慮性能問題，雖然windows不如unix擁有出色的性能，但是我們也考慮到硬件對(duì)操作系統(tǒng)的影響非常大，而x86架構(gòu)系統(tǒng)的硬件現(xiàn)在非常便宜，完全可以彌補(bǔ)windows性能上的不足。綜上，得出選擇IDS平臺(tái)的黃金法則：“選擇最熟悉的并且是能夠最容易地被集成到現(xiàn)有環(huán)境的平臺(tái)。”通常我們選擇windows作為系統(tǒng)的操作系統(tǒng)。

4.IDS系統(tǒng)的實(shí)現(xiàn)

結(jié)合系統(tǒng)結(jié)構(gòu)及安全要求，在整個(gè)系統(tǒng)中部署兩類IDS，一個(gè)是部署在外部防火墻和路由器之間，監(jiān)控內(nèi)外網(wǎng)之間的數(shù)據(jù)，它是基于特征的入侵檢測(cè)技術(shù)的。另一類連接在內(nèi)網(wǎng)的交換機(jī)上，監(jiān)控內(nèi)網(wǎng)中的數(shù)據(jù)流，它是基于策略的入侵檢測(cè)技術(shù)。

4.1 內(nèi)部IDS的實(shí)現(xiàn)

內(nèi)部網(wǎng)絡(luò)，通常采用基于策略的IDS。為了讓IDS正常工作，必須定義規(guī)則或者攻擊特征，當(dāng)出現(xiàn)新的攻擊行為特征時(shí)，我們必須及時(shí)把該特征增加到規(guī)則文件內(nèi)，只要不斷的及時(shí)更新規(guī)則，就可以保證IDS檢測(cè)到最新的攻擊。但這里面存在一個(gè)問題，當(dāng)新的攻擊已經(jīng)存在，系統(tǒng)尚未及時(shí)做好規(guī)則文件，而此時(shí)網(wǎng)絡(luò)中恰巧發(fā)生了這種攻擊行為，就無法知道這種攻擊的存在了。

基于策略的IDS系統(tǒng)工作方式完全和通用IDS系統(tǒng)相反，它僅僅定義網(wǎng)絡(luò)中可以接受的行為，包括特定主機(jī)之間的特定通信類型、特定協(xié)議等。它的核心概念是：不屬于可接收行為列表的操作都是潛在的入侵。

基于策略的IDS的好處是，使IDS管理員不必再及時(shí)不斷的更新攻擊規(guī)則，只需設(shè)置網(wǎng)絡(luò)中正常的操作行為準(zhǔn)則。其他的都是不正常的可疑的。而且因?yàn)榛诓呗缘腎DS只需要定義少量可接收的行為規(guī)則，因而比通用IDS的性能更好。但是一般而言基于策略的IDS不適合同外部連接的網(wǎng)絡(luò)。因?yàn)楹屯獠窟B接的數(shù)據(jù)種類太多，無法一一羅列。

4.2 外部IDS的實(shí)現(xiàn)

部署在外部防火墻和路由器之間，監(jiān)控內(nèi)外網(wǎng)之間的數(shù)據(jù)，它是基于特征的入侵檢測(cè)技術(shù)。

一般通過以下幾個(gè)步驟實(shí)現(xiàn)：

1）系統(tǒng)安裝，通常安裝微軟的windows 2000 sever；

2）安裝snort；

3）配置snort。

這項(xiàng)技術(shù)目前已比較成熟，在這里不再贅述。

5.結(jié)論

前面所述的方案基本保證了企業(yè)當(dāng)前系統(tǒng)流暢、安全的運(yùn)行。但隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展，還會(huì)有更復(fù)雜、對(duì)安全要求更高的應(yīng)用出現(xiàn)。因此我們還要在這條道路上繼續(xù)走下去。今后對(duì)網(wǎng)絡(luò)安全系統(tǒng)的建設(shè)將堅(jiān)持技術(shù)和管理并重。

在擁有先進(jìn)手段的前提下，對(duì)于網(wǎng)絡(luò)安全問題來說最重要的應(yīng)該是網(wǎng)絡(luò)安全思想，可以說有好的安全思想可以避免絕大多數(shù)的安全問題，所以安全思想意識(shí)應(yīng)放在網(wǎng)絡(luò)安全的首要位置。可以采用更加先進(jìn)的網(wǎng)絡(luò)安全體系架構(gòu)、密碼算法、防火墻、入侵檢測(cè)系統(tǒng)和病毒防治軟件等來保衛(wèi)系統(tǒng)的安全。比這些技術(shù)層次上安全措施更為重要的是一套良好的安全制度和安全思想，它們才是確保系統(tǒng)安全的根本

總之網(wǎng)絡(luò)攻擊手段的多元化、復(fù)雜化、智能化，使網(wǎng)絡(luò)安全的形勢(shì)日益嚴(yán)峻，保衛(wèi)網(wǎng)絡(luò)安全將是一個(gè)持久和艱巨的過程，任重而道遠(yuǎn)，需要不斷學(xué)習(xí)，不斷開發(fā)、掌握和使用與安全威脅相斗爭的各種安全技術(shù)和手段。希望有更多的人能加入到研究和維護(hù)網(wǎng)絡(luò)安全的行列中，為保護(hù)網(wǎng)絡(luò)安全做出自己的貢獻(xiàn)。

參考文獻(xiàn)

[1]李家春,李之棠.入侵檢測(cè)系統(tǒng)[J].計(jì)算機(jī)應(yīng)用研究,2001.

[2]許榕生,劉寶旭,楊澤明等.黑客攻擊技術(shù)揭秘[M].機(jī)械工業(yè)出版社,2002.

[3]于磊.網(wǎng)絡(luò)安全利器——snort[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2003.

第12篇

關(guān)鍵詞：數(shù)據(jù)挖掘；網(wǎng)絡(luò)安全；入侵檢測(cè)；算法

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2017）08-0049-03

數(shù)據(jù)挖掘（Data Mining）技術(shù)的定義是從現(xiàn)有的數(shù)據(jù)庫中提取有用知識(shí)的技術(shù)。這幾年的科學(xué)理論研究成果表明，把數(shù)據(jù)挖掘技術(shù)添加入侵檢測(cè)系統(tǒng)（Intrusion Detection System，IDS）中來，并從中選擇有效地特征點(diǎn)，構(gòu)造出合適的測(cè)試模型，不但能提升整個(gè)系統(tǒng)設(shè)備的入侵檢測(cè)的功能，而且也會(huì)影響系統(tǒng)的誤報(bào)率和漏報(bào)率。隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，計(jì)算機(jī)網(wǎng)絡(luò)在給人們帶來了許多方便的同時(shí)，也產(chǎn)生了一些負(fù)面作用。如系統(tǒng)與軟件漏洞等，也為個(gè)別非法入侵者提供了可乘之機(jī)。而為了防止內(nèi)部或外部非法使用者對(duì)計(jì)算機(jī)進(jìn)行攻擊，工程師設(shè)計(jì)出了入侵檢測(cè)系統(tǒng)（httrusion Detection System，IDS）。

1入侵檢測(cè)的技術(shù)理論

入侵檢測(cè)技術(shù)的主要功能是監(jiān)控網(wǎng)絡(luò)系統(tǒng)各主機(jī)的運(yùn)行狀態(tài)，監(jiān)測(cè)出各種潛在攻擊行為、或者潛在的木馬程序，這樣就可以IDS系統(tǒng)資源具有可用性、完備性與安全性。

我們可以從監(jiān)測(cè)數(shù)據(jù)目標(biāo)的方向，把入侵檢測(cè)系統(tǒng)IDS區(qū)分為根據(jù)內(nèi)核主機(jī)的IDS、根據(jù)網(wǎng)絡(luò)的IDS和根據(jù)應(yīng)用的IDS等眾多種類別。本論文主要是根據(jù)網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)IDS的構(gòu)造進(jìn)行深入的解析。

研究人員也可以從分析數(shù)據(jù)檢測(cè)方法的異同點(diǎn)方向，把入侵檢測(cè)系統(tǒng)劃分為以下幾大類別：

1）誤用檢測(cè)（MISuse Detection）。又稱為根據(jù)特征的檢測(cè)方法，它把已知的攻擊行為標(biāo)識(shí)成一個(gè)特征庫，再去比對(duì)現(xiàn)有已發(fā)生的動(dòng)作行為，如果有檢測(cè)結(jié)果具有相似性則表明它是一個(gè)入侵行為。誤報(bào)率低是這種方法的優(yōu)點(diǎn)，但是對(duì)主機(jī)的攻擊行為達(dá)到一定數(shù)量級(jí)時(shí)，將使特征庫變得很龐大，僅能檢測(cè)到特征庫中已標(biāo)識(shí)的攻擊行為是這一方法缺點(diǎn)。

2）異常檢測(cè)（Anomaly Detection）。又叫作根據(jù)行為的檢測(cè)，它也是事先構(gòu)建一個(gè)正常的特征庫，然后再繼續(xù)搜集使用者的行為或使用資源狀況，來判定這是否為一種入侵行為。這種方法的優(yōu)點(diǎn)是通用性較強(qiáng)，跟系統(tǒng)本身無直接聯(lián)系，同時(shí)也可以檢測(cè)出未知的攻擊方法。但受到正常框架的局限，也無法對(duì)整個(gè)系統(tǒng)的全部用戶行為進(jìn)行全面的描述，并且各個(gè)用戶的行為也會(huì)發(fā)生變化的，因此會(huì)發(fā)生誤檢率值升高的缺點(diǎn)。

把以上兩種方法綜合起來，肯定能取得更好的效果。傳統(tǒng)的入侵檢測(cè)系統(tǒng)IDS只是將異常檢測(cè)和誤用檢測(cè)作為兩個(gè)獨(dú)立部分加入到檢測(cè)系統(tǒng)中，為了充分利用兩種檢測(cè)的優(yōu)點(diǎn)，可將異常檢測(cè)和誤用檢測(cè)相結(jié)合構(gòu)成新的IDS基本規(guī)則：凡是能與正常行為模式庫匹配的行為稱為正常行為，凡是與異常行為模式庫匹配的行為稱為人侵行為，這樣可以在一定程度上減少誤報(bào)率和漏報(bào)率，提高入侵檢測(cè)的準(zhǔn)確性。但是需要手動(dòng)來更新行為模式庫的方法，也是浪費(fèi)人力和物力。為了提高人侵z測(cè)的速度，可以將數(shù)據(jù)挖掘技術(shù)的一些算法如：分類算法、聚類算法、關(guān)聯(lián)規(guī)則算法、序列規(guī)則算法等，應(yīng)用到入侵檢測(cè)系統(tǒng)的設(shè)計(jì)當(dāng)中。于是，不論是否發(fā)生入侵行為，系統(tǒng)就能有效跟蹤識(shí)別，并自動(dòng)更新規(guī)則庫算法，從而促進(jìn)整個(gè)檢測(cè)系統(tǒng)性能的優(yōu)化。

要獲取入侵檢測(cè)的數(shù)據(jù)源，研究人員利用一些專用的抓包軟件來實(shí)現(xiàn)，在Windows平臺(tái)下抓包工具軟件，主要有Winpcap等工具，而Unix平臺(tái)下，可以利用Arpwatch和Tcpdump軟件工具來抓包。數(shù)據(jù)挖掘技術(shù)的數(shù)據(jù)分析階段也可再細(xì)分，它的響應(yīng)部分可劃分為被動(dòng)響應(yīng)與主動(dòng)響應(yīng)這兩類。

2數(shù)據(jù)挖掘技術(shù)簡介

數(shù)據(jù)挖掘（Data Mining）技術(shù)可以看作是從眾多的數(shù)據(jù)源中提取人們需要的模式的算法過程。這里的數(shù)據(jù)挖掘的對(duì)象可以是數(shù)據(jù)源或其他文件系統(tǒng)，或者是Web資源之類的其他數(shù)據(jù)的集合；數(shù)據(jù)挖掘并不是一個(gè)直線延展型的過程，也可把它比作是一個(gè)不斷螺旋上升、反復(fù)的、且具有眾多步驟、繁雜的處理過程。

數(shù)據(jù)挖掘算法能夠做到預(yù)測(cè)未來趨勢(shì)及行為，從而做出具有前瞻性知識(shí)的決策。數(shù)據(jù)挖掘的根本目的是從數(shù)據(jù)特征庫中，搜尋出有意義的隱含知識(shí)，可以按功能區(qū)分它的類別：

1）聚類

平時(shí)我們輸入的數(shù)據(jù)可能無任何類型標(biāo)記，而聚類是把數(shù)據(jù)按一定的規(guī)則劃分到各個(gè)集合中，其中對(duì)象可劃分為多個(gè)類或簇，劃分后同一個(gè)簇中的對(duì)象具有很高的相似性，可是我們也發(fā)現(xiàn)不同簇中的對(duì)象差異卻很大。

2）關(guān)聯(lián)分析

關(guān)聯(lián)分析可以查找數(shù)據(jù)庫中眾多數(shù)據(jù)之間的聯(lián)系，主要包括是序列模式與關(guān)聯(lián)規(guī)則。序列模式分析則主要研究數(shù)據(jù)之間的因果關(guān)系，比如買了手機(jī)的用戶可能會(huì)在幾個(gè)月內(nèi)買手機(jī)套；關(guān)聯(lián)規(guī)則是指監(jiān)測(cè)出其中某一對(duì)象與其他類對(duì)象之間的關(guān)聯(lián)依賴性，比如：關(guān)聯(lián)分析方法在分析用戶在買牙膏的同時(shí)，存在買牙刷的可能性。

3）概念描述

數(shù)據(jù)庫中的數(shù)據(jù)是紛繁復(fù)雜的，專家們總期望用最簡易的描述形式，來表達(dá)匯集的數(shù)據(jù)源。概念描述是概括出同一類別對(duì)象的對(duì)應(yīng)特征，并且描述出它的內(nèi)涵。

4）偏差檢測(cè)

偏差檢測(cè)包涵眾多隱藏的知識(shí)，比如數(shù)值不規(guī)則的變化、不符合規(guī)則的實(shí)例、模型預(yù)測(cè)值和監(jiān)測(cè)結(jié)果的偏差、分類中的異常特例等。

5）自動(dòng)預(yù)測(cè)趨勢(shì)和行為

數(shù)據(jù)挖掘自動(dòng)在大型數(shù)據(jù)庫中提出描述主要數(shù)據(jù)類的模型，進(jìn)行監(jiān)測(cè)與分類，搜尋出未來的數(shù)據(jù)趨勢(shì)或預(yù)測(cè)性信息。

數(shù)據(jù)挖掘算法是最近幾年創(chuàng)新融合，引入到入侵檢測(cè)系統(tǒng)的一類技術(shù)。其優(yōu)點(diǎn)是能從主機(jī)的大量紛繁復(fù)雜的日志文件與網(wǎng)絡(luò)數(shù)據(jù)中，提取出我們想要的、且未發(fā)現(xiàn)的規(guī)律理論。利用數(shù)據(jù)挖掘算法保障我們的網(wǎng)絡(luò)安全，這是研究人員的一種大膽創(chuàng)新嘗試。當(dāng)前條件下，對(duì)數(shù)據(jù)挖掘算法的研究已進(jìn)入一個(gè)新的階段，同時(shí)它也是一個(gè)通用性很強(qiáng)的技術(shù)。在入侵檢測(cè)系統(tǒng)中，把入侵檢測(cè)看作數(shù)據(jù)分析過程，將安全數(shù)據(jù)引入特定的數(shù)據(jù)挖掘算法，可以產(chǎn)生一個(gè)具有良好的擴(kuò)展效果，自適應(yīng)性較強(qiáng)的入侵檢測(cè)系統(tǒng)。截至目前，數(shù)據(jù)挖掘算法應(yīng)用到入侵檢測(cè)上的主要有關(guān)聯(lián)、序列、分類和聚類這幾個(gè)模型方面。

3數(shù)據(jù)挖掘算法在入侵檢測(cè)系統(tǒng)中的應(yīng)用

數(shù)據(jù)挖掘是對(duì)存放在數(shù)據(jù)庫或其他信息數(shù)據(jù)庫中的數(shù)據(jù)進(jìn)行提取，挖掘出對(duì)人類有用知識(shí)的過程。

把數(shù)據(jù)挖掘技術(shù)融合到入侵檢測(cè)系統(tǒng)中，再分析相關(guān)以往的數(shù)據(jù)，挖掘提取出各個(gè)用戶的行為特征、分析入侵行為的隱含規(guī)律，從而構(gòu)建一個(gè)完備的特征庫來進(jìn)行入侵檢測(cè)。該過程主要分為以下幾步。數(shù)據(jù)收集來源于網(wǎng)絡(luò)，主要是根據(jù)網(wǎng)絡(luò)來檢測(cè)系統(tǒng)數(shù)據(jù)，常用的工具有TCPDUMP等。

利用Snort的工作原理來舉例，擴(kuò)展系統(tǒng)主要在規(guī)則匹配方面，通過系統(tǒng)測(cè)試實(shí)驗(yàn)，分析攻擊行為的典型特征，總結(jié)出攻擊數(shù)據(jù)庫大小模式與時(shí)間的內(nèi)在聯(lián)系。

下面可以模擬出一個(gè)實(shí)驗(yàn)環(huán)境：

IP地址為172.16.5.2的主機(jī)配置為PIV 3.2G，內(nèi)存4G，操作系統(tǒng)為Windows 7；這幾臺(tái)分機(jī)的IP地址分別為172.16.5.21；172.16.5.36；172.16.5.480

實(shí)驗(yàn)主要步驟：通過TcpDump這個(gè)工具軟件捕獲一組絡(luò)數(shù)據(jù)包，通過本系統(tǒng)記錄約20min傳送來的數(shù)據(jù)包，分別利用3臺(tái)分機(jī)對(duì)一臺(tái)主機(jī)進(jìn)行攻擊，測(cè)試不同攻擊類型的數(shù)據(jù)包。

異常分析器則采用K-Meoils算法（即聚類分析算法），實(shí)驗(yàn)數(shù)據(jù)分析表明：人為增大了聚類半徑R，可能會(huì)導(dǎo)致攻擊數(shù)據(jù)包與正常數(shù)包被系統(tǒng)歸類到同一個(gè)聚類，而誤檢率必然因數(shù)值的增大而變大。誤檢率因數(shù)值的增大而增大，因數(shù)值的減小而漸漸減小。同時(shí)，若某種類型的攻擊數(shù)據(jù)包的數(shù)目變更數(shù)值，檢測(cè)系統(tǒng)會(huì)將其認(rèn)定為正常類，因此數(shù)值越小，也將導(dǎo)致誤檢率越高。若聚類設(shè)置半徑R=6，加人挖掘技術(shù)的檢測(cè)系統(tǒng)，明顯比Snort最初的檢測(cè)速度還快，而且誤檢率也更低。

特征提取器采用Apriori算法關(guān)聯(lián)分析，支持度設(shè)為50%，置信度參數(shù)設(shè)為100%，參數(shù)值設(shè)置為1000，實(shí)驗(yàn)結(jié)果顯示以下3條新的入侵檢測(cè)規(guī)則：

Alert tcp 172.16.5.2l 2450->172.16.5.2 80

（msg：“poli-cy：externalnet attempt to access 172.16.5.2”；classtype：at-temptesd-recon；）

Alert tcp 172.16.5.36 1850->172.16.5.2 21

（msg：“poli-cy：extemalnet attempt to OCCCSS 172.16.5.2”；classtype：at-tempted-recon；）

Alert tcp 172.16.5.48 2578->172.16.1.2 1080

（msg：“policy：extemalnet attempt to access 172.16.5.2”；elasstype：at-tempted-reeon；）

以上實(shí)驗(yàn)結(jié)果的分析表明：異常日志受到特征提取器的影響，檢測(cè)系統(tǒng)挖掘提取出新類型攻擊的規(guī)則，同時(shí)可以檢測(cè)新類型攻擊行為。

在數(shù)據(jù)挖掘中，預(yù)處理訓(xùn)練數(shù)據(jù)的好壞，也會(huì)影響提取的用戶特征，并間接影響分析出規(guī)則的正確性。入侵檢測(cè)系統(tǒng)中，可以建立包含入侵者的行為的模型數(shù)據(jù)庫，那么以后建立起的檢測(cè)系統(tǒng)將不能識(shí)別出該入侵行為，從而造成漏報(bào)或誤報(bào)的情況。因此，用于訓(xùn)練的數(shù)據(jù)一定不能包含任何入侵行為，且數(shù)據(jù)挖掘算法要事先格式化成需要處理的形式。

在預(yù)處理過的數(shù)據(jù)中，數(shù)據(jù)挖掘算法從中提取用戶行為特征庫，再對(duì)所得的特征規(guī)則進(jìn)行相應(yīng)更新，建立起用戶行為規(guī)則庫。入侵檢測(cè)系統(tǒng)依據(jù)規(guī)則庫的規(guī)則，再對(duì)當(dāng)前用戶的行為進(jìn)行檢測(cè)，再對(duì)得到的結(jié)果采取不同的對(duì)方式。

數(shù)據(jù)挖掘主要過程可以分為原始數(shù)據(jù)的采集、數(shù)據(jù)的預(yù)處理、最后數(shù)據(jù)的挖掘這三個(gè)步驟來進(jìn)行。數(shù)據(jù)挖掘技術(shù)主要包括關(guān)聯(lián)分析、聚類分析和分類分析、序列模式分析等四類。基于數(shù)據(jù)挖掘的入侵檢測(cè)系統(tǒng)研究是針對(duì)數(shù)據(jù)挖掘與入侵檢測(cè)的眾多特點(diǎn)，構(gòu)造出恰當(dāng)?shù)耐诰蚰Ｐ停跐M足實(shí)際網(wǎng)絡(luò)安全的前提下，實(shí)現(xiàn)兩者的有效融合。

1）序列模式分析。序列模式分析主要是指搜尋出在一定的段時(shí)間T內(nèi)，有出現(xiàn)數(shù)據(jù)特征甲，然后有特征乙出現(xiàn)，而后特征丙也出現(xiàn)了，即序列甲 乙 丙，出現(xiàn)頻度較高之類知識(shí)。由于網(wǎng)絡(luò)攻擊和時(shí)間變量存在關(guān)聯(lián)，因此在關(guān)聯(lián)分析基礎(chǔ)上進(jìn)行序列模式分析，可以進(jìn)一步分析攻擊行為時(shí)間相關(guān)性。它主要運(yùn)用序列分析發(fā)現(xiàn)入侵行為的序列關(guān)，系.挖掘安全事件之間先后關(guān)系，從而提取出入侵行為的時(shí)間序列特征。序列模式挖掘的大部分方法都采用了類Apriori算法的變異，使用的參數(shù)設(shè)置和約束條件均有所不同。另一種挖掘此類模式的方法為序列模式生長技術(shù)，它是基于數(shù)據(jù)庫投影的，類似于無選項(xiàng)生成的頻繁模式挖掘增長方式。

2）關(guān)聯(lián)規(guī)則挖掘。研究人員認(rèn)為：關(guān)聯(lián)規(guī)則挖掘是數(shù)據(jù)挖掘技術(shù)算法中應(yīng)用最廣泛的，也是最先被引人入侵檢測(cè)的技術(shù)。關(guān)聯(lián)規(guī)則分析是采用改變可信度與支持度原定規(guī)定數(shù)值的技術(shù)，它主要包括兩個(gè)步驟：第一是監(jiān)別不低于用戶規(guī)定的、最小支持度參數(shù)值的頻繁項(xiàng)目集；然后從中構(gòu)建出可信度不低于用戶規(guī)定的、最小可信度參數(shù)值的規(guī)則。值得一提的是，現(xiàn)在已有多種關(guān)聯(lián)規(guī)則算法（如Apriori算法）引入到入侵檢測(cè)系統(tǒng)中。

3）聚類分析。聚類是指用來分析對(duì)一個(gè)數(shù)據(jù)對(duì)象的集合，但與此不同的是，這個(gè)要區(qū)分的類是不可知的。聚類就是將數(shù)據(jù)對(duì)象劃分成多個(gè)簇或類，具有較高相似度的對(duì)象被分在同一個(gè)簇中，而不同簇中的對(duì)象卻有較大的差異。相異度是用來描述對(duì)象屬性的參數(shù)值。用在入侵檢測(cè)中的聚類分析主要包括兩種，第一種是入侵行為遠(yuǎn)小于正常行為的數(shù)目，第二種是人侵行為和正常行為顯著不同的。常用的聚類技術(shù)主要有：根據(jù)模型的方法（model-based method）劃分方法（partitioning meth-od）、）和層次方法（hierarchical method）、根據(jù)網(wǎng)格的方法（grid-based method）、根據(jù)密度的方法（density-based method）等。

4數(shù)據(jù)挖掘技術(shù)研究的前沿技術(shù)

數(shù)據(jù)挖掘技術(shù)是一門融合多門學(xué)科的嶄新技術(shù)，其中包括信息檢索、神經(jīng)網(wǎng)絡(luò)、數(shù)據(jù)可視化、數(shù)據(jù)庫應(yīng)用技術(shù)、統(tǒng)計(jì)學(xué)原理、模式識(shí)別、高端計(jì)算、機(jī)器自學(xué)習(xí)、信號(hào)處理DSP和空間數(shù)據(jù)研究等。數(shù)據(jù)挖掘技術(shù)可以和其他技術(shù)相結(jié)合，如粗集、模糊邏輯、遺傳算法、決策樹理論、人工神經(jīng)網(wǎng)絡(luò)以及規(guī)則歸納法等等。

下面介紹幾種最新的數(shù)據(jù)挖掘技術(shù)，可以與之相結(jié)合應(yīng)用到入侵檢測(cè)系統(tǒng)中的技術(shù)：

1）膜糊數(shù)據(jù)挖掘技術(shù)

在數(shù)據(jù)挖掘過程中，審計(jì)數(shù)據(jù)中一定含有量化特征，量化數(shù)據(jù)分隔在置信度、支持度兩個(gè)參數(shù)值區(qū)域中。這種劃分方法的尖銳邊界（sharp boundary），這一問題也影響著IDS的檢測(cè)性能。為克服尖銳邊界所帶來的一系列問題，Bridges把特征量化細(xì)分為模糊隸屬度值的等類別。Bridges使用模糊邏輯算法與關(guān)聯(lián)規(guī)則挖掘算法、數(shù)據(jù)頻繁情節(jié)挖掘算法三類相結(jié)合，綜合應(yīng)用上述方法來開發(fā)數(shù)據(jù)挖掘技術(shù)。

2）多級(jí)近似（level-wise）挖掘技術(shù)

若發(fā)生頻率較低的某些正常行為，其支持度不會(huì)超過預(yù)定的數(shù)值；在數(shù)據(jù)挖掘過程中，若降低支持度的數(shù)值，也能取得許多與頻率值高的服務(wù)類別相近的模式。多級(jí)近似挖掘技術(shù)被專家們提出來為解決這一矛盾，它的原理是：首先提取出與頻率高的中心屬性值關(guān)聯(lián)的模式，而后再把支持度數(shù)值降低，從中提取出與頻率值低的屬性值相關(guān)的那些模式。該模式挖掘技術(shù)提取的過程中，要注意控制那些舊的中心屬性的添加：必須至少包括一個(gè)“新”（低頻繁度）的中心屬性值作為備選項(xiàng)目集。這樣，每次循環(huán)演算獲得的模式就轉(zhuǎn)變?yōu)橛扇啃碌闹行膶傩詷?gòu)成的，或者是由舊中心屬性與新中心屬性綜合構(gòu)成。

3）遺傳算法技術(shù)

遺傳算法（genetic algoritm）是指模擬自然生物進(jìn)化遺傳模式和采用大自然選擇的一種最優(yōu)算法技術(shù)，遺傳算法有效解決了大量數(shù)據(jù)的繁雜無序的特性。基于遺傳算法的數(shù)據(jù)挖掘技術(shù)主要研究方向還是在分類系統(tǒng)方面，對(duì)于關(guān)聯(lián)規(guī)則的研究，挖掘應(yīng)用較少。比如Shi使用遺傳算法則可以自動(dòng)優(yōu)化隸屬度函數(shù)的參數(shù)。遺傳算法技術(shù)是將若干問題可能的解，按某種形式進(jìn)行合理的編碼，編碼后的解我們稱之為染色體（個(gè)體）。然后選擇幾個(gè)染色體組成原始種群，再針對(duì)每個(gè)染色體進(jìn)行分析，再根據(jù)選定的函數(shù)統(tǒng)計(jì)出適應(yīng)值，以便讓性能較優(yōu)的染色體具有較好的適應(yīng)值。選取適應(yīng)值好的染色體進(jìn)行相應(yīng)的復(fù)制，再經(jīng)過遺傳算法：選擇、重組（交叉）、變異，來創(chuàng)造出一種更新的且更適應(yīng)環(huán)境的染色體，形成更新的種群。不斷循環(huán)繁殖、進(jìn)化，最后收斂到一個(gè)最適應(yīng)系統(tǒng)環(huán)境的體中，從而使得問題得到最優(yōu)解。

4）決策樹技術(shù)

決策樹方法技術(shù)是指用信息論方法獲得值的一種數(shù)據(jù)挖掘技術(shù)。在數(shù)據(jù)庫概念中，決策樹技術(shù)采用的是信息論中的信息增益（互信息），來搜尋含有MAX信息量的屬性字段，組建決策樹中的一個(gè)節(jié)點(diǎn)，再基于該屬性字段的異同來獲取數(shù)值，也就建成了樹的分支。在任意的分支子集中，重復(fù)構(gòu)建樹的下層分支與節(jié)點(diǎn)的過程。決策樹方法技術(shù)，不但可以實(shí)現(xiàn)數(shù)據(jù)規(guī)則的可視化，構(gòu)造過程中也不需要浪費(fèi)較長時(shí)間，精度較高的輸出結(jié)果，也容易讓人理解，所以在知識(shí)發(fā)現(xiàn)系統(tǒng)中，決策樹方法技術(shù)得到廣泛的應(yīng)用。

5）人工神經(jīng)網(wǎng)絡(luò)技術(shù)

神經(jīng)網(wǎng)絡(luò)由大量的處理單元組成，單元間進(jìn)行交互是通過帶有權(quán)值的連接來實(shí)現(xiàn)的。神經(jīng)網(wǎng)絡(luò)可以通過添加連接或刪除連接的方法、改變單元狀，改變連接的權(quán)值來標(biāo)識(shí)異常事件。神經(jīng)網(wǎng)絡(luò)在數(shù)據(jù)較大、領(lǐng)域知識(shí)不完備以及存在噪聲數(shù)據(jù)的情況下，發(fā)揮強(qiáng)有力的非線性處理能力，達(dá)到傳統(tǒng)符號(hào)學(xué)習(xí)方法意想不到的效果。把神經(jīng)網(wǎng)絡(luò)的自學(xué)習(xí)、自組織功能與數(shù)據(jù)挖掘技術(shù)相結(jié)合，應(yīng)用到入侵檢測(cè)系統(tǒng)中，可以提高入侵檢測(cè)的效率，避免了人工輸入規(guī)則，較好地處理帶噪聲的數(shù)據(jù)。

6）Agent Agent技術(shù)

該技術(shù)目前尚無統(tǒng)一的定義，普遍的觀點(diǎn)是一種處于平臺(tái)環(huán)境下的計(jì)算機(jī)系統(tǒng)，為實(shí)現(xiàn)算法程序的初衷，它能實(shí)現(xiàn)在一定的系統(tǒng)中自主靈活地運(yùn)行。一個(gè)完善的Agent能夠與環(huán)境中的其他Agent相互協(xié)作，并從它的經(jīng)驗(yàn)中不斷地學(xué)習(xí)，共同完成原定的任務(wù)。分布式入侵檢測(cè)系統(tǒng)基于Agent和數(shù)據(jù)挖掘的分布式結(jié)構(gòu)，在各種特性上構(gòu)造了移動(dòng)Agent的自治性和智能路由性，在一定程度上滿足了入侵檢測(cè)系統(tǒng)的要求，當(dāng)檢測(cè)環(huán)境變化時(shí)或者需要保護(hù)機(jī)器數(shù)目發(fā)生變化，入侵檢測(cè)系統(tǒng)則不要做較大修改；或者當(dāng)新的正常使用模式與新的攻擊類型模式時(shí)，系統(tǒng)可以自動(dòng)擴(kuò)充相關(guān)知識(shí)庫并及時(shí)鑒別，從而提高其擴(kuò)展性和環(huán)境適應(yīng)性。

5小結(jié)