入侵检测技术毕业论文 Last updated on the afternoon of January 3, 2021毕业设计开题报告学生姓名徐盼学号专业计算机网络技术班级网络201401班指导教师刘烨开题时间2016年10月20日黄冈职业技术学院电子信息学院电子信息学院毕业设计开题报告学业作品题目入侵检测技术应用学生姓名徐盼学号专业计算机网络技术班级网络201401班指导教师刘烨完成日期2016年11月20日目录摘要近年来随着计算机网络的迅速发展，网络安全问题越来越受到人们的重视。

从网络安全角度来看，防火墙等防护技术只是被动安全防御技术，只是尽量阻止攻击或延缓攻击，只会依照特定的规则，允许或是限制传输的数据通过。

在网络环境下不但攻击手段层出不穷，而且操作系统、安全系统也可能存在诸多未知的漏洞，这就需要引入主动防御技术对系统安全加以补充，目前主动防御技术主要就是入侵检测技术。

本文从入侵检测技术的发展入手，研究、分析了入侵检测技术和入侵检测系统的原理、应用、信息收集和分析、数据的处理及其优缺点和未来的发展方向。

关键词：网络安全，网络入侵，入侵检测技术，入侵检测系统第一章绪论入侵检测技术的提出随着Internet高速发展，个人、企业以及政府部门越来越多地依靠网络传递信息,然而网络的开放性与共享性容易使它受到外界的攻击与破坏,信息的安全保密性受到严重影响。

网络安全问题已成为世界各国政府、企业及广大网络用户最关心的问题之一。

在计算机上处理业务已由基于单机的数学运算、文件处理，基于简单连结的内部网络的内部业务处理、办公自动化等发展到基于企业复杂的内部网、企业外部网、全球互联网的企业级计算机处理系统和世界范围内的信息共享和业务处理。

在信息处理能力提高的同时，系统的连结能力也在不断的提高。

但在连结信息能力、流通能力提高的同时，基于网络连接的安全问题也日益突出，黑客攻击日益猖獗，防范问题日趋严峻：具WarroonResearch的调查，1997年世界排名前一千的公司几乎都曾被黑客闯入；据美国FBI统计，美国每年因网络安全造成的损失高达75亿美元；Ernst和Young报告，由于信息安全被窃或滥用，几乎80%的大型企业遭受损失；看到这些令人震惊的事件，不禁让人们发出疑问："网络还安全吗"试图破坏信息系统的完整性、机密性、可信性的任何网络活动都称为网络入侵。

防范网络入侵最常用的方法就是防火墙。

防火墙（Firewall）是设置在不同网络（如可信任的企业内部网和不可信任的公共网）或网络安全域之间的一系列部件的组合,它属于网络层安全技术,其作用是为了保护与互联网相连的企业内部网络或单独节点。

它具有简单实用的特点，并且透明度高，可以在不修改原有网络应用系统的情况下达到一定的安全要求。

但是，防火墙只是一种被动防御性的网络安全工具，仅仅使用防火墙是不够的。

首先，入侵者可以找到防火墙的漏洞，绕过防火墙进行攻击。

其次，防火墙对来自内部的攻击无能为力。

它所提供的服务方式是要么都拒绝，要么都通过,不能检查出经过他的合法流量中是否包含着恶意的入侵代码，这是远远不能满足用户复杂的应用要求的。

对于以上提到的问题，一个更为有效的解决途径就是入侵检测技术。

在入侵检测技术之前，大量的安全机制都是根据从主观的角度设计的,他们没有根据网络攻击的具体行为来决定安全对策，因此，它们对入侵行为的反应非常迟钝，很难发现未知的攻击行为，不能根据网络行为的变化来及时地调整系统的安全策略。

而入侵检测技术正是根据网络攻击行为而进行设计的，它不仅能够发现已知入侵行为，而且有能力发现未知的入侵行为，并可以通过学习和分析入侵手段，及时地调整系统策略以加强系统的安全性。

入侵检测技术的历史1980月，为美国空军做了一份题为“ComputerSecurityThreatMonitoringSureillance”（计算机安全威胁监控与监视）的技术报告，第一次详细的阐述了入侵检测的概念。

他提出了一种对计算机系统风险和威胁的分类方法，并将威胁分为了外部渗透、内部渗透和不法行为三种，还提出了利用审计跟踪数据监视入侵活动的思想。

这份报告被公认为是入侵检测的开山之作。

1984年-1986年，乔治敦大学的DorothyDenning和SRI/CSL（SRI公司计算机科学实验室）的PeterNeumann研究出了一种实时入侵检测系统模型，取名为IDES（入侵检测专家系统）。

该模型独立于特定的系统平台、应用环境、系统弱点以及入侵类型，为构建入侵系统提供了一个通用的框架。

1988年，SRI/CSL的TeresaLunt等改进了Denning的入侵检测模型，并研发出了实际的IDES。

1989年，加州大学戴维斯分校的ToddHeberlein写了一篇论文《ANetworkSecurityMonitor》，该监控器用于捕获TCP/IP分组，第一次直接将网络流作为审计数据来源，因而可以在不将审计数据转换成统一格式的情况下监控异种主机，网络入侵检测从此诞生。

1990SecurityMonitor)。

该系统第一次直接将网络作为审计数据的来源，因而可以在不将审计数计转化成统一的格式情况下监控异种主机。

同时两大阵营正式形成：基于网络的IDS和基于主机的IDS。

入侵检测是一门综合性技术，既包括实时检测技术，也有事后分析技术。

尽管用户希望通过部署IDS来增强网络安全，但不同的用户需求也不同。

由于攻击的不确定性，单一的IDS产品可能无法做到面面俱到。

因此，IDS的未来发展必然是多元化的，只有通过不断改进和完善才能更好地协助网络进行安全防御。

入侵检测技术的发展已经历了四个主要阶段：第一阶段是以基于协议解码和模式匹配为主的技术，其优点是对于已知的攻击行为非常有效，各种已知的攻击行为可以对号入座，误报率低；缺点是高超的黑客采用变形手法或者新技术可以轻易躲避检测，漏报率高。

第二阶段是以基于模式匹配+简单协议分析+异常统计为主的技术，其优点是能够分析处理一部分协议，可以进行重组；缺点是匹配效率较低，管理功能较弱。

这种检测技术实际上是在第一阶段技术的基础上增加了部分对异常行为分析的功能。

第三阶段是以基于完全协议分析+模式匹配+异常统计为主的技术，其优点是误报率、漏报率和滥报率较低，效率高，可管理性强，并在此基础上实现了多级分布式的检测管理；缺点是可视化程度不够，防范及管理功能较弱。

第四阶段是以基于安全管理+协议分析+模式匹配+异常统计为主的技术，其优点是入侵管理和多项技术协同工作，建立全局的主动保障体系，具有良好的可视化、可控性和可管理性。

以该技术为核心，可构造一个积极的动态防御体系，即IMS——入侵管理系统。

本课题研究的途径与意义聚类是模式识别研究中非常有用的一类技术。

用聚类算法的异常检测技术就是一种无监督的异常检测技术技术，这种方法可以在未标记的数据上进行，它将相似的数据划分到同一个聚类中，而将不相似的数据划分到不同的聚类，并为这些聚类加以标记表明它们是正常还是异常，然后将网络数据划分到各个聚类中，根据聚类的标记来判断网络数据是否异常。

本课题是网络入侵检测技术的研究，主要介绍模式识别技术中两种聚类算法，K-means算法和迭代最优化算法，并阐述此算法在入侵检测技术技术中的应用原理，接着分析这两种算法具体应用时带来的利弊，最后针对算法的优缺点提出自己改进的算法，并对此算法进行分析，可以说这种算法是有监督和无监督方法的结合，是K-means算法和迭代最优化算法的折中，是一种较理想的算法。

通过研究本课题，可以了解入侵检测技术技术的发展历程，及国内外研究水平的差距，熟悉各种入侵检测技术原理方法的异同，以便今后对某种检测技术方法作进一步的改进时能够迅速切入要点；在对入侵检测技术技术研究的同时，认真学习了模式识别这门课程，这是一门交叉学科，模式识别已经在卫星航空图片解释、工业产品检测技术、字符识别、语音识别、指纹识别、医学图像分析等许多方面得到了成功的应用，但所有这些应用都是和问题的性质密不可分的，学习过程中接触了许多新理论和新方法，其中包括数据挖掘，统计学理论和支持向量机等，极大的拓展了自己的知识面，这所带来的收获已经不仅仅停留在对入侵检测技术技术研究这个层面上。

第二章入侵检测技术原理入侵检测的工作流程入侵检测系统由数据收集、数据提取、数据分析、事件处理等几个部份组成。

数据收集入侵检测的第一步是数据收集，内容包括系统、网络运行、数据及用户活动的状态和行为，而且，需要在计算机网络系统中的若干不同关键点（不同网段和不同主机）收集数据。

入侵检测很大程度上依赖于收集数据的准确性与可靠性，因此，必须使用精确的软件来报告这些信息，因为黑客经常替换软件以搞混和移走这些数据，例如替换被程序调用的子程序、库和其它工具。

数据的收集主要来源以下几个方面：系统和网络日志文件、目录和文件不期望的改变、程序不期望的行为、物理形式的入侵数据。

数据提取数据提取从收集到的数据中提取有用的数据，以供数据分析之用。

对收集到的有关系统、网络运行、数据及用户活动的状态和行为等数据通过三种技术手段进行分析：模块匹配、统计分析和完整性分析。

结果处理记录入侵事件，同时采取报警、中断连接等措施.入侵检测技术的检测模型从技术上划分，入侵检测有两种检测模型：异常检测模型异常检测模型：检测与可接受行为之间的偏差。

如果可以定义每项可接受的行为，那么每项不可接受的行为就应该是入侵。

首先总结正常操作应该具有的特征（用户轮廓），用户轮廓是指各种行为参数及其阈值的集合。

当用户活动与正常行为有重大偏离时即被认为是入侵。

这种检测模型漏报率低，误报率高。

因为不需要对每种入侵行为进行定义，所以能有效检测未知的入侵。

异常检测的模型如图2-1所示。

图2-1异常检测模型误用检测模型误用检测模型：检测与已知的不可接受行为之间的匹配程度。

如果可以定义所有的不可接受行为，那么每种能够与之匹配的行为都会引起告警。

收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。

这种检测模型误报率低、漏报率高。

对于已知的攻击，它可以详细、准确地报告出攻击类型，但是对未知攻击的效果有限，而且特征库必须不断更新。

误用检测的模型如图2-2所示。

图2-2误用检测模型第三章入侵检测技术功能概要·监督并分析用户和系统的活动·检查系统配置和漏洞·检查关键系统和数据文件的完整性·识别代表已知攻击的活动模式·对反常行为模式的统计分析·对操作系统的校验管理，判断是否有破坏安全的用户活动。

·提高了系统的监察能力·跟踪用户从进入到退出的所有活动或影响·识别并报告数据文件的改动·发现系统配置的错误，必要时予以更正·识别特定类型的攻击，并向相应人员报警，以作出防御反应·可使系统管理人员最新的版本升级添加到程序中·允许非专家人员从事系统安全工作·为信息安全策略的创建提供指导入侵检测技术作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。