2020年网络检测论文范文.doc

网络检测论文范文 论文既是探讨问题进行学术研究的一种手段，又是描述学术研究成果进行学术交流的一种工具。关于网络检测的论文应该怎么写? 网络异常流量检测研究 摘要:异常流量检测是目前IDS入侵检测系统)研究的一个重要分支,实时异常检测的前提是能够实时,对大规模高速网络流量进行异常检测首先要面临高速流量载荷问题,由于测度、分析和存储等计算机资源的限制,无法实现全网络现流量的实时检测,因此,抽样测度技术成为高速网络流量测度的研究重点。 关键词:网络异常流量检测 一、异常流量监测基础知识 异常流量有许多可能的,包括新的应用系统与业务上线、计算机病毒、黑客入侵、网络蠕虫、拒绝网络服务、使用非法软件、网络设备故障、非法占用网络带宽等。网络流量异常的检测方法可以归结为以下四类:统计异常检测法、基于机器学习的异常检测方法、基于数据挖掘的异常检测法和基于神经网络的异常检测法等。用于异常检测的5种统计模型有:操作模型。该模型假设异常可通过测量结果和指标相比较得到,指标可以根据经验或一段时间的统计平均得到。方差。计算参数的方差,设定其置信区间,当测量值超出了置信区间的范围时表明可能存在异常。多元模型。操作模型的扩展,通过同时分析多个参数实现检测。马尔可夫过程模型。将每种类型事件定义为系统状态,用状态转移矩阵来表示状态的变化。若对应于发生事件的状态转移矩阵概率较小,则该事件可能是异常事件。时间序列模型。将测度按时间排序,如一新事件在该时间发生的概率较低,则该事件可能是异常事件。 二、系统介绍分析与设计 本系统运行在子网连接主干网的出口处,以旁路的方式接入边界的交换设备中。从交换设备中流过的数据包,经由软件捕获,处理,分析和判断,可以对以异常流量方式出现的攻击行为告警。本系统需要检测的基本的攻击行为如下:(1)ICMP攻击(2)TCP攻击,包括但不限于SYNFlood、RSTFlood(3)IPNULL攻击(4)IPFragmentation攻击(5)IPPrivateAddressSpace攻击(6)UDPFlood攻击(7)扫描攻击不同于以特征、规则和策略为基础的入侵检测系统(IntrusionDetectionSystems),本研究着眼于建立正常情况下网络流量的模型,通过该模型,流量异常检测系统可以实时地发现所观测到的流量与正常流量模型之间的偏差。当偏差达到一定程度引发流量分配的变化时,产生系统告警(ALERT),并由网络中的其他设备来完成对攻击行为的阻断。系统的核心技术包括网络正常流量模型的获取、及对所观察流量的汇聚和分析。由于当前网络以IPv4为主体,网络通讯中的智能分布在主机上,而不是集中于网络交换设备,而在TCP/IP协议中和主机操作系统中存在大量的漏洞,况且网络的使用者的误用(misuse)也时有发生,这就使得网络正常流量模型的建立存在很大的难度。为达到保障子网的正常运行的最终目的,在本系统中,采用下列方式来建立多层次的网络流量模型: (1)会话正常行为模型。根据IP报文的五元组(源地址、源端口、目的地址、目的端口和协议),TCP和UDP报文可以构成流(flow)或伪流(pseudo-flow)。两个五元组中源和目的相反的流可以构成一个会话。由于ICMP的特殊性,对于ICMP的报文,分别进行处理:ICMP(query)消息构成独立会话,而ICMP错误(error)消息则根据报文中包含的IP报头映射到由IP报头所制定的会话中去。每一类协议(TCP/UDP/ICMP)的正常行为由一个有限状态及刻画。在这个状态机中,如果一个事件的到来导致了错误状态的出现,那么和状态机关联的计数器对错误累加。协议状态机是一种相对严格的行为模型,累加的错误计数本身并不一定代表发现了攻击行为。 (2)流量规则特征模型。在正常的网络流量中,存在着稳定的规则特征。比如一个IP收到和发出的含SYN标志位和含FIN标志位的报文的比值、一个IP的出度和入度的比值以及一个IP的平均会话错误数等。这些网络不变量是检验在一定时间区间内,一个IP是否行为异常的标准之一。这个模型要求对会话表中的会话摘要(一个含有会话特征的向量)进行汇聚,在会话正常行为模型基础上增加攻击行为判断的准确程度。 (3)网络流量关联模型。把一些流量特征(如字节数、报文数、会话错误数等)在一定时间区间内的累加值记录下来,可以看作时间序列。通过对序列的分析,可以找到长期的均值、方差、周期、趋势等特征。当攻击行为发生时,观察到的一些流量特征会偏离其长期特征。这种特征偏离的相关性就提供了判断是否攻击已发生的一个依据。 三、大规模流量异常检测框架 异常检测通常需要描述正常网络行为,网络行为模型越准确,异常检测算法效果越好。在大规模流量异常检测中通常通过网络探针了解单个实体或结点的行为来推测整个网络行为,基于网络断层成像(worktomography)思想通过使用探针测量推断网络特征,这是检测非协作(noncooperative)网络异常和非直接管理控制网络异常的有效手段。对于单个管理域,基于实体研究可以向网络管理者提供有用信息,例如网络拓扑。在单个结点使用一些基本的网络设计和流量描述的方法,可以检测网络异常和性能瓶颈。然后触发网络管理系统的告警和恢复机制。为了对大规模网络的性能和行为有一个基本的了解,需要收集和处理大量网络信息。有时,全局网络性能信息不能直接获得,只有综合所获得的本地网络信息才能对全局网络行为有个大致的了解。因为不存在准确的正常网络操作的统计模型,使得难以描述异常网络模型的统计行为,也没有单个变量或参数能包括正常网络功能的各个方面。需要从多个统计特征完全不同的矩阵中合成信息的问题。为解决该问题,有人提出利用操作矩阵关联单个参数信息。但导致算法的计算复杂度较高,为了满足异常检测的实时性要求,本文关联本地和全局数据检测网络异常。尽管本章利用行为模型对IPForwarding异常进行检测,但该方法并不仅限于检测本地异常。通过关联多条网络链路的时间序列数据,也可以检测类似于空间的网络异常。因此,该方法可以扩展到其他类型的大规模网络数据和其他大规模网络异常。 参考文献: 1司伟红.浅析网络攻击常用方法.科技广场,xx,7:36-38. 2卿斯汉等.入侵检测技术研究综述.通信学报,xx,25(7):20-25. 3戴英侠、连一峰、王航.系统安全与入侵检测.北京:清华大学出版社,xx:24-26. 网络入侵检测系统初探 【摘要】本文针对网络入侵检测系统进行了相关的研究。首先对入侵检测的概念做了简要的叙述，其次着重分析了当前的入侵检测技术，对目前网络安全中存在的问题和入侵检测系统的发展趋势做了简明的论述。 【关键词】网络安全;入侵检测 0.引言 随着计算机技术、通信技术和信息技术的飞速发展，各种各样的网络应用已经越来越广泛地渗透到人类地生活、工作的各个领域。特别是通过Inter，人们可以极为方便地产生、发送、获取和利用信息。Inter在给人们带来巨大便利的同时，也产生了许多意想不到的问题，网络安全就是其中一个突出的问题。造成Inter不安全的原因，一方面是Inter本身设计的不安全以及操作系统、应用软件等存在着安全漏洞;另一方面是由于网络安全的发展落后于网络攻击的发展。目前网络中应用最广、功能最强大的安全工具莫过于防火墙，但是防火墙的安全功能是有限的，它很难防止伪造IP攻击。因此，发展一种新的网络安全防御手段来加强网络安全性便成了亟待解决的问题。入侵检测是帮助系统对付网络内部攻击和外部攻击的一种解决方案。入侵检测技术是当今一种非常重要的动态安全技术，它与静态防火墙技术等共同使用，可以大大提高系统的安全防护水平。 1.入侵检测的概念及功能 入侵就是指任何试图危及信息资源的机密性、完整性和可用性的行为。而入侵检测就是对入侵行为的发觉，它通过从计算机网络或系统中的若干关键点收集信息，并对这些信息进行分析，从而发现网络系统中是否有违反安全策略的行为和遭到攻击的迹象。通常入侵检测系统(IntrusionDetectionSystem，IDS)是由软件和硬件组成的。入侵检测是防火墙的合理补充，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。另外，它也扩展了系统管理员的安全管理能力，有助于提高信息安全基础结构的完整性，是对原有安全系统的一个重要补充。入侵检测系统收集计算机系统和网络的信息，并对这些信息加以分析，对被保护的系统进行安全审计、监控、攻击识别并做出实时的反应。 入侵检测的主要功能包括：(1)监视、分析用户及系统活动;(2)系统构造和弱点的审计;(3)映已知进攻的活动模式并进行相关人士报警;(4)模式的统计分析;(5)要系统和数据文件的完整性;(6)的审计跟踪管理，并识别用户违反安全策略的行为。 2.入侵检测的信息 对于入侵检测系统而言，输入数据的选择是首先需要解决的问题，目前的入侵检测系统的数据主要包括：(1)操作系统的审计记录;(2)系统日志;(3)应用程序日志;(4)基于网络数据的信息源;(4)其他安全产品的数据源。 3.入侵检测系统的基本模型 在入侵检测系统的发展过程中，大致经历了集中式、层次式和集成式三个阶段，代表这三个阶段的入侵检测系统的基本模型分别是通用入侵检测模型(Denning模型)、层次化入侵检测模型(IDM)和管理式入侵检测模型(SNMP-IDSM)。 3.1通用入侵检测模型 Denning于1987年最早提出一个通用的入侵检测模型(如图2.1所示)。 该模型由6个部分组成：(1)主体(Subject);(2)对象(Object);(3)审计记录(AuditRecords);(4)活动简档(ActivityProfile);(5)异常记录(AnomalyRecord);(6)活动规则。 3.2IDM模型 StevenSnapp在设计和开发分布式入侵检测系统DIDS时，提出一个层次化的入侵检测模型，简称IDM。该模型将入侵检测分为六个层次，分别为：数据(data)、事件(event)、主体(subject)、上下文(context)、威胁(threat)、安全状态(securitystate)。 IDM模型给出了在推断网络中的计算机受攻击时数据的抽象过程。也就是说，它给出了将分散的原始数据转换为高层次有关入侵和被监测环境的全部安全假设过程。通过把收集到的分散数据进行加工抽象和数据关联操作，IDM构造了一台虚拟的机器环境，这台机器由所有相连的主机和网络组成。将分布式系统看成一台虚拟计算机的观点简化了跨越单机入侵行为的识别。IDM也应用于只有单台计算机的小型网络。 3.3SNMP-IDSM模型 随着网络技术的飞速发展，网络攻击手段也越来越复杂，攻击者大都是通过合作的方式来攻击某个目标系统，而单独的IDS难以发现这种类型的入侵行为。然而，如果IDS系统也能够像攻击者那样合作，就有可能检测到入侵者。这样就要有一种公共的语言和统一的数据表达格式，能够让IDS系统之间顺利交换信息，从而实现分布式协同检测。北卡罗莱那州立大学的FelixWu等人从网络管理的角度考虑IDS模型，突出了基于SNMP的IDS模型，简称SNMP-IDSM.。 SNMP-IDSM以SNMP为公共语言来实现IDS系统之间的消息交换和协同检测，它定义了IDS-MIB，使得原始事件和抽象事件之间关系明确，并且易于扩展。SNMP-IDSM定义了用来描述入侵事件的管理信息库MIB，并将入侵事件分析为原始事件(RawEvent)和抽象事件(AbstractEvent)两层结构。原始事件指的是引起安全状态迁移的事件或者是表示单个变量迁移的事件，而抽象事件是指分析原始事件所产生的事件。原始事件和抽象事件的信息都用四元组来描述。 4.入侵检测的分类和分析方法 4.1入侵检测的分类 通过对现有的入侵检测系统和技术研究，可对入侵检测系统进行如下分类： 根据目标系统的类型可以将入侵检测系统分为两类： (1)基于主机(Host-Based)的IDS。通常，基于主机的入侵检测系统可以监测系统事件和操作系统下的安全记录以及系统记录。当有文件发生变化时，入侵检测系统就将新的记录条目与攻击标记相比较，看它们是否匹配。(2)基于网络(Network-Based)的IDS。该系统使用原始网络数据包作为数据源，利用一个运行在混杂模式下的网络适配器来实时监测并分析通过网络的所有通信业务。 根据入侵检测系统分析的数据，数据源可以是主机系统日志、网络数据包、应用程序的日志、防火墙报警日志以及其他入侵检测系统的报警信息等，可以将入侵检测系统分为基于不同分析数据源的入侵检测系统。 根据入侵检测方法可以将入侵检测系统分为两类： (1)异常IDS。该类系统利用被监控系统正常行为的信息作为检测系统中入侵、异常活动的依据。 (2)误用IDS。误用入侵检测系统根据已知入侵攻击的信息(知识、模式)来检测系统的入侵和攻击。 根据检测系统对入侵攻击的响应方式，可以将入侵检测系统分为两类： (1)主动的入侵检测系统。它在检测出入侵后，可自动的对目标系统中的漏洞采取修补、强制可疑用户(可能的入侵者)退出系统以及关闭相关服务等对策和响应措施。 (2)被动的入侵检测系统。它在检测出对系统的入侵攻击后只是产生报警信息通知系统安全管理员，至于之后的处理工作则有系统管理员完成。 根据系统各个模块运行的分步方式，可以将入侵检测系统分为两类： (1)集中式入侵检测系统。系统的各个模块包括数据的收集与分析以及响应都集中在一台主机上运行，这种方式适用于网络环境比较简单的情况。 (2)分布式入侵检测系统。系统的各个模块分布在网络中不同的计算机、设备上，一般而言，分布性主要体现在数据收集模块上，如果网络环境比较复杂、数据量比较大，那么数据分析模块也会分布，一般是按照层次性的原则进行组织。 当前众多的入侵检测系统和技术，基本上是根据检测方法、目标系统、信息数据源来设计的。 4.2入侵检测的分析方法 从入侵检测的角度来说，分析是指对用户和系统活动数据进行有效的组织、及特征提取，以鉴别出感兴趣的攻击。这种行为的鉴别可以实时进行，也可以事后分析，在很多情况下，事后的进一步分析是为了寻找行为的责任人。入侵检测的方法主要由误用检测和异常检测组成。 误用检测对于系统事件提出的问题是：这个活动是恶意的吗?误用检测涉及到对入侵指示器已知的具体行为的解码信息，然后为这些指示器过滤事件数据。要想执行误用检测，需要有一个对误用行为构成的良好理解，有一个可靠的用户活动记录，有一个可靠的分析活动事件的方法。 异常检测需要建立正常用户行为特征轮廓，然后将实际用户行为和这些特征轮廓相比较，并标示正常的偏离。异常检测的基础是异常行为模式系统误用。轮廓定义成度量集合。度量衡量用户特定方面的行为。每一个度量与一个阈值相联系。异常检测依靠一个假定：用户表现为可预测的、一致的系统使用模式。 有些入侵检测方法既不是误用检测也不属异常检测的范围。这些方案可应用于上述两类检测。它们可以驱动或精简这两种检测形式的先行活动，或以不同于传统的影响检测策略方式。这类方案包括免疫系统方法、遗传算法、基于代理检测以及数据挖掘技术。 5.入侵检测系统的局限性与发展趋势 5.1入侵检测系统的局限性 现有的IDS系统多采用单一体系结构，所有的工作包括数据的采集、分析都由单一主机上的单一程序来完成。而一些分布式的IDS只是在数据采集上实现了分布式，数据的分析、入侵的发现还是由单一个程序完成。这样的结构造成了如下的缺点： (1)可扩展性较差。单一主机检测限制了监测的主机数和网络规模，入