文献检索综合报告 计算机网络入侵检测系统体系结构剖析.doc

文献检索综合报告计算机网络入侵检测系统体系结构剖析 系、专业： 学生姓名： 学 号： 完成时间：2010年10月30日目录1课题分析2检索策略2.1 选择检索工具2.2 选择检索词2.3 拟定检索式3检索步骤及检索结果3.1 谷歌搜索引擎3.2 中国期刊全文数据库（CNKI）3.3 万方数字化期刊全文数据库3.4 超星电子图书3.5 中文科技期刊数据库4检索效果评价4.1检索词的选择4.2检索技术4.3数据库的选择5文献综述1. 课题分析据FBI关于由于计算机犯罪所造成的经济损失的统计，仅2003年就达2000亿美元，由于网络黑客培训兴起以及黑客录像的大量传播，加上成为黑客的好奇心理以及利用黑客手段可以获取资料来牟取非法利益，越来越的人喜欢上了入侵，促使我国的网络入侵刑事案件呈现上升趋势。网络入侵轻者仅仅是个人资料丢失和一些轻微的破坏，严重的入侵不仅会让个人和公司蒙受巨大的经济损失，而且还极有可能发生资料泄密危害国家安全。2006年7月，美国海军10万官兵的信息资料网上泄密事件，这些信息资料多数属于机密信息。在我国也曾经发生过多起军人由于个人电脑或者工作电脑上网发生泄密事件，只是媒体报道较少。虽然很多个人电脑虽然安装了防火墙以及杀毒软件，但仍然不能够完全防止网络入侵，很多资料的泄密都是通过个人计算机上网而发生的。因此上网计算机的安全问题不容乐观，因此了解和掌握一定的网络入侵安全检查方法来减少由网络入侵带来的经济损失十分有必要。本作业利用自己这学期所学的文献检索课的知识，检索了有关计算机网络入侵方面方面的文献，经初步整理给出一篇肤浅的文献综述，有望许老师给予指正。2.检索策略2.1 选择检索工具检索工具名称访问方式检索年代文献类型谷歌搜索引擎 -2010网页中国期刊全文数据库（CNKI）22003-2010期刊论文万方数字化期刊全文数据库2003-2010期刊论文超星电子图书/2003-2010期刊论文中国专利数据库/2003-2010期刊论文2.2 选择检索词从课题字面选从课题内涵选（同义词、近义词、上下位词）计算机网络互联网(上位词)入侵黑客入侵(同义词)检测检查(近义词)体系结构软件体系结构（下位词）标准、对策、措施（限定词）2.3 拟定检索式由于不同检索工具的字段不同，因此将检索式（亦称提问式）在“检索步骤及检索结果”的各个具体检索工具中给出。 3. 检索步骤及检索结果3.1 谷歌搜索引擎3.1.1 检索式A篇名计算机网络入侵 and 检测 and 体系结构3.1.2 检索步骤与结果打开谷歌高级搜索：在第一行检索框内输入检索式A，“and”用空格形式表示。限定在“简体中文”和“网页标题”内检索。得到6条检索结果。经过筛选，选择其中2条： 1 【篇名】计算机网络入侵检测系统体系结构剖析 【摘要】正 引言 入侵检测技术是动态安全技术的最核心技术之一。国外早已开展了研究,在一些重要的政治、军事和经济网络上对非法入侵实施监控。这些系统在保障信息网络安全、尽早发现入侵攻击迹象、分析入侵攻击的技术手段方面发挥着重要的作用。人侵检测系统正在成为访问控制、加密认证、防火墙和虚拟子网后的又一安全防护手段,其研究模型除了应具备很高的准确性外,还应该【出处】信息安全与通信保密 2003年12期2 【篇名】 网络入侵检测体系结构【摘要】分析了当前主流Ad hoc网络入侵检测体系结构，给出了一种新的划分簇的策略和簇头选择方法。分析和实验表明该方法可以减少簇头节点的数量，延长网络的生存时间。【出处】计算机应用研究 2007年11期 3.2 中国期刊全文数据库(CNKI)3.2.1 检索式B.篇名计算机网络入侵and 检测 and 体系结构3.2.2检索步骤与结果用检索式B进行检索，命中277572条结果，经过筛选，选择其中6条：3【篇名】网络入侵检测中多模式匹配的状态编码方法【作者】 吴碧海; 赵有健【摘要】为了减少网络入侵检测系统的硬件实现方案中自动机占用的存储容量,提出了一种自动机状态的编码方法。该方法通过对自动机状态重新进行编号,使得多个状态能够用一个通配编号来表示,这样自动机中具有相同输入和下一状态的多条变迁就能被聚合为一条,大大减小了需要存储的变迁数目。可以证明状态编码方法能够将变迁数目减小到理论上最小值同时保证自动机恒定的处理速率。实验表明,对于常见特征串集,该方法可以将变迁数目减小98.9%以上。 【出处】清华大学学报(自然科学版)2009年 04期【原文】该数据库提供了全文。 4 【篇名】基于免疫系统和模糊逻辑的自适应网络入侵检测 【作者】王金水; 张东站; 施秀升; 赖兴瑞【摘要】Web服务和网络应用已经成为互联网上的最重要的沟通渠道之一,而相当一大部份的计算机网络安全漏洞都是由于Web自身的易受攻击性而导致的,且网络入侵又越来越难以被检测到。本文介绍了一种基于免疫系统和模糊逻辑的自适应网格入侵检测模型。通过改进候选项目集的产生方式,该模型分别建立了自然行为模式与入侵行为模式的模糊规则集。比较这两种规则集的不同,进而检测到网络入侵。另外,模型自动更新了基于免疫的模糊规则,从而可以提高检测新的网络入侵的能力。实验证明,在辨认不正常的入侵行为中,与没有进行模型更新和采用模糊规则的模型相比,该模型具有更高的效率。【出处】心智与计算2009年 01期【原文】该数据库提供了全文。5 【篇名】谈构建计算机入侵检测系统 【作者】王广胜【摘要】但随着技术的发展,网络日趋复杂,防火墙技术所表现出来的不足引出了人们对入侵检测系统(IDS)技术的研究和开发。本文就入侵检测系统定义、入侵检测系统分类、入侵检测系统功能模块作了一定的分析,并对入侵检测系统作了简单的前景预测。【出处】湖北生态工程职业技术学院学报2006年 03期【原文】该数据库提供了全文。6 【篇名】基于网络层次结构安全的校园网络安全防护体系解决方案 【作者】刘建炜【摘要】针对校园网环境的应用实际,设计建构一种基于监测系统的网络安全防护体系,采用 分布式体系结构,结合网络层次结构,充分利用诸如VLAN、ACL、HoneyPot、防火墙、堡垒主机、网络系统安全技术、数据库安全技术等网络安全技 术,以期达到在木桶效应中各种安全因素相互平衡的最佳效果,能够很好地解决校园网络所面临的各种安全威胁。【出处】教育探究2010年 01期【原文】该数据库提供了全文。7 【篇名】防火墙与入侵检测联动的研究与设计 【作者】李莉; 孙华【摘要】目前,网络攻击和入侵行为日趋复杂,单一的防御技术已经无法有效地保护网络。介绍防火墙、入侵检测技术的概念,设计一种防火墙和入侵检测系统联动的模型。使系统既能检测入侵行为,又能实时阻断攻击,从而达到提升系统整体防御能力的目的。【出处】现代计算机(专业版)2010年 07期【原文】该数据库提供了全文。8 【篇名】网络入侵检测系统安全通信协议的设计及验证 【作者】宋勇【摘要】针对网络入侵检测系统中各模块间安全通信存在的一些问题,提出了一种适用于网络入侵检测系统的网络安全协议,并在理论上证明了安全性。【出处】湖南民族职业学院学报2009年 04期【原文】该数据库提供了全文。3.3 万方数据知识服务平台（）3.3.1检索式C.篇名计算机网络and 入侵检测 and体系结构3.3.2检索步骤与结果用检索式C进行检索，命中201篇论文，经过筛选，分别选择5条：9【篇名】计算机网络入侵检测技术概述 【作者】刘发龙 Liu Falong 【摘要】防止网络入侵是网络安全中最重要的问题,网络黑客的入侵导致很多政府机关、企事业单位信息的泄露,因此,提高网络入侵检测的能力被提上了日程.本文对网络入侵检测从理论到实际进行了阐述,重点讨论了入侵检测系统的结构,使其有了很大的实用性.入侵检测是一种动态安全策略,文章从入侵检测技术的发展、检测系统的通用模型和分类以及检测方法四个方面对当前入侵检测的研究进行技术性综述,讨论了现有的入侵检测体系结构,详细分析了各种入侵检测方法,并在文中指出了当前入侵检测研究中存在的问题和今后发展的趋势.【出处】科技广场2010年06期【原文】该数据库提供了全文。10【篇名】否定选择算法在IDS中的应用研究 【作者】李海 【摘要】随着计算机网络的迅速发展,非法入侵不断增多,攻击手法日趋复杂多样,不仅给企业和个人造成巨大的经济损失,也直接关系到国家安全和社会稳定。入侵检测技术作为新一代主动的网络安全防护措施,已成为信息安全防护体系的重要组成部分。近年,人工免疫成为当前计算机智能领域的新兴研究热点。基于人工免疫的入侵检测技术也成为研究热点问题,它的主要特点是模拟生物免疫系统的基本原理、体系结构以及相关算法来实现对入侵行为的检测。 本文深入分析了当前入侵检测系统存在的自适应性差和可扩展性弱等问题,导致不能有效的检测未知入侵行为。通过对否定选择算法进行深入研究,分析算法中存在的缺乏适应性和需要大量的自体元素等不足,提出了解决方案。【出处】电子科技大学 2009年【原文】该数据库提供了全文。11【篇名】一种智能分布式入侵检测系统 【作者】孔伯煊 【摘要】入侵检测作为一种积极主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统遭受危害之前拦截和响应入侵。从网络安全立体纵深、多层次防御的角度出发，入侵检测理应受到人们的高度重视，这从国外入侵检测产品市场的蓬勃发展就可以看出。在国内，随着上网的关键部门、关键业务越来越多，迫切需要具有自主版权的入侵检测产品。但现状是入侵检测还不够成熟，处于发展阶段，或者是防火墙中集成较为初级的入侵检测模块，所以对于入侵检测系统的研究是很重要的。【出处】计算机软件与理论2008年05期【原文】该数据库提供了全文12【篇名】基于数据挖掘的入侵检测系统研究 【作者】王志飞 【摘要】基于数据挖掘技术,针对当前入侵检测系统的不足,把层次聚类算法与模糊c-均值算法相结合,设计出一种较优的入侵检测系统,实验证明该系统具有较高的检测率和良好的自适性。【出处】计算机软件与理论2009年10期【原文】该数据库提供了全文。13【篇名】新形势下计算机网络入侵检测技术的发展 【作者】杨明贤 【摘要】本文首先讨论了集中式的IOS体系结构,接着分析了入侵检测系统的局限性,最后研究了关键技术分析.因此本文具有深刻的理论意义和广泛的实际应用.【出处】科技创新导报2009年17期【原文】该数据库提供了全文。3.4 超星电子图书3.4.1 检索式D书名=计算机网络 入侵检测3.4.2 检索步骤与结果用检索式D进行检索，命中4条结果：14【书名】防火墙、入侵检测与VPN 【作者】马春光【摘要】本书以安全防御为中心，全面系统地讲述了网络安全的3种主要技术防火墙、入侵检测和VPN，以及围绕这3项技术构建安全防御体系的方法。本书分为3部分，共15章，内容包括防火墙基础知识、防火墙的关键技术、主流防火墙的部署与实现、防火墙厂商及产品介绍、防火墙技术的发展趋势、入侵检测技术概述、主流入侵检测产品介绍、入侵检测技术的发展趋势、VPN基础知识、VPN的隧道技术、VPN的加解密技术、VPN的密钥管理技术、VPN的身份认证技术、VPN厂商及产品介绍、VPN技术的发展趋势等。 【出版】 北京邮电大学出版社 2008年8月第1版16开pp25129.00元15【书名】入侵检测 【作者】罗守山主编【摘要】入侵检测作为网络与信息安全领域的一项重要技术，是整个安全防护体系的重要组成部分。作为信息安全专业本科生教材，本书对入侵检测的理论与应用做了介绍。内容包括：网络安全的模型与技术介绍；入侵检测系统概述，包括入侵检测的发展历史与入侵检测系统基本模块介绍；一些黑客技术介绍；包括一些对基本攻击的描述与木马技术介绍；入侵检测的工作原理与方法介绍，包括基于数据挖掘技术的入侵检测模型、基于数据融合技术的入侵检测模型、可入侵容忍的分布式协同入侵检测系统体系结构、一个面向企业网的分布式入侵检测系统体系结构设计等；典型的入侵检测系统介绍；入侵检测的发展方向等。 【出版】 北京邮电大学出版社 2004年4月第1版16开pp20923.00元16【书名】网络入侵检测系统的设计与实现 【作者】唐正军等编著【摘要】这是国内第一本全面覆盖网络入侵检测系统从设计基础到源码实现的技术书籍。本书所介绍的知识清晰全面，从入侵检测的概念、网络数据流的捕获技术开始，到入侵检测的不同方法，如基于专家系统的入侵检测、基于统计分析的入侵检测等等，最后是对系统具体源代码实现内核的深入剖析，可使用户对于入侵检测技术有一个比较全面的理解。读者如果想要学习入侵检测技术，可以从阅读本书中介绍的知识开始。 【出版】 电子工业出版社 2002年4月第1版16开pp54158.00元 17【书名】银行干部计算机安全知识读本 【作者】沈昌祥主编【摘要】中国人民银行业务技能专题培训教材第003号:本书包括三部分内容。第一部分介绍了信息安全的基本概念，信息安全和金融安全、国家安全的关系以及银行计算机系统面临的威胁类型、方式、和危害；第二部分介绍了银行计算机信息系统中常见的各类信息安全技术的基本知识；第三部分介绍了信息安全管理的有关法律、法规、策略和措施等方面的基本知识。【出版】中国经济 2001年10月第1版32开pp37927.00元3.5 中文科技期刊数据库3.5.1检索式E.名称=计算机网络and入侵检测 3.6.2检索步骤与结果用检索式E进行检索，命中发明专利8892条，经过筛选，分别选择4条：18【发明名称】网络设备入侵检测的方法【发 明 人】闫自凯【专 利 号】CN200610000284.X【摘 要】本发明公开了一种网络设备入侵检测的方法,包括：(1)监测各通信端口流量, 超出设定阈值时启动入侵检测流程；(2)入侵检测流程启动,嗅探器按照设定的嗅 探条件截取数据包并将其复制后发送至控制平面,由该控制平面对所述数据包进行 解包分析,并将解析结果与预设的特征库进行匹配,若存在匹配项,则所述控制平 面启动相应的安全策略；若不存在匹配项,则进入步骤(3)；(3)改变嗅探器的嗅 探条件,重新截取数据包进行解包分析,由所述控制平面将分析结果与预设的特征 库进行匹配,确定入侵类型后启动相应的安全策略。本发明实现简单、成本较低。【原 文】 该数据库提供了专利说明书全文。19【发明名称】用于检测并防止网络环境中的洪流攻击的系统和方法【发 明 人】韦绍弘;段钢;陈钟强;谢冰【专 利 号】CN200610172369.6【摘 要】一种用于处理网络业务数据的方法,包括：接收包；以及,确定上述包是 不是之前所丢弃的正在被重发的包。一种用于处理网络业务内容的方法包括： 接收多个报头,上述多个报头具备各自的第一字段值；以及,确定上述各自的 报头的第一字段值是否形成第一规定模式。一种用于处理网络业务内容的方法 包括：接收多个包；以及,确定洪流攻击的存在而无需用SYN位跟踪上述多个 包的每一个。【原 文】 该数据库提供了专利说明书全文。20【发明名称】网络入侵检测/抵御系统及方法【发 明 人】雷公武【专 利 号】CN200710064533.6【摘 要】本发明公开了一种网络入侵检测/抵御系统,包括报文接收单元、报文检 测单元以及与报文检测单元连接的报文发送单元,报文接收单元和报文检测 单元之间串接有接入控制单元,用于提取接入的数据报文的信息,将数据报 文信息与预设的处理策略进行匹配,并将所匹配处理策略为检测的数据报文 发送给报文检测单元。本发明还公开了一种网络入侵检测/抵御方法,提取接 入的数据报文的信息,将数据报文信息与预设的处理策略进行匹配,并对所 匹配处理策略为检测的数据报文执行报文检测。通过本发明公开的系统及方 法,减少了系统开销,优化了IDS/IPS系统的处理性能。【原 文】 该数据库提供了专利说明书全文。21【发明名称】基于IPv6网络环境的入侵检测系统及方法【发 明 人】姚国祥;罗伟其;官全龙;张焕明;林良超;张慧平;高志;朱国程;魏林锋;叶赛枝;莫乐群【专 利 号】CN200810220692.5【摘 要】本发明为基于IPv6网络环境的入侵检测系统及方法,其中系统包括协议 集合和规则库模块、数据包捕获模块、IPV6协议解析模块、协议分析和状态 跟踪模块、规则分析及包检测模块、报警及日志模块。本发明很好地解决了IPv6 的新标准、新特性给入侵检测系统带来的移植方面新问题,提高了数据包的捕 获能力、改善了IDS的检测手段、提高IDS了的安全检测能力。【原 文】 该数据库提供了专利说明书全文。4.检索效果评价4.1检索词的选择4.1.1从课题字面选择从课题字面选择的检索词，其相互间的关系多为限定关系，即利用布尔逻辑与进行组配，可提高查准率。例如，本课题从字面选出：计算机网络、入侵、检测、体系结构。本报告选择2003-2010年（近七年）。4.1.2从课题内涵选择一个课题如果仅从字面选择检索词，则会影响查全率。还应当从课题的内在涵义中选择，多为同义词、近义词、上下位词，当然，也有限定词（用于进一步提高查准率）。例如，本报告选出下列同义词：互联网、计算机病毒、保护、防护、管理。例如，“计算机网络”与“互联网”互为同义词，在检索式中用布尔逻辑或进行组配。4.2检索技术 4.2.1布尔检索所选择的检索工具都具有布尔逻辑与、逻辑或检索技术，只是具体算符的表示方法略有不同，例如baidu检索词之间的空格代表“布尔逻辑与”。使用“布尔逻辑与”组配技术，缩小了检索范围，增强了检索的专指性，可提高检索信息的查准率；使用“布尔逻辑或”检索技术，扩大了检索范围，能提高检索信息的查全率。4.2.2限制检索A字段限制：在现代检索工具中，为了确定检索词在文献记录中出现的位置，采用字段（或叫检索项、检索入口）来限制查找的范围，从而提高查全率或查准率。下表给出在所选检索工具中拟定检索式时采用的字段。字段名称检索工具篇名关键词摘要主题词篇名/关键词谷歌搜索引擎网页标题中国期刊全文数据库书名主题万方数据知识服务平台论文标题摘要 超星电子图书书名 主题词 中文科技期刊数据库名称摘要B年代限制：20032010年。C匹配限制：为提高查全率，均选用了模糊匹配检索。4.3数据库的选择本报告限定在中文检索工具，均选择了综合型的检索工具，因为所选的检索工具几乎能囊括国内的文献资料。从上述检索工具的检索情况看出，“中国期刊全文数据库”的查全率是最好的。但从检索的查准率来看，“中文科技期刊数据库”是最好的。“谷歌搜索引擎”、“ 万方数据知识服务平台”的检索途径较少，灵活性差，而且不能限定检索时间。“超星电子图书”的文献量较少。5. 文献综述 首先网络入侵检测的理解可以用通俗易懂的语言来形容入侵检测就是一道高级的把门大将。 对于现如今社会的进步发展很之大我们随眼可见，也随着信息系统对一个国家的社会生产与国名经济的影响越来越大以及网络的攻击工具与手法越来越多的复杂化，信息战已经慢慢成为国际重视的一个大方面。今年来，入侵检测的发展方向我总结为这几个方面，本论文首先对入侵检测研究现状进行了分析和总结，提出了入侵检测技术面临的问题和研究发展趋势。 本文对网络入侵检测技术的主要技术难点进行了研究和实践。 第一， 在分析广泛攻击的基础上，针对分布式入侵检测系统面临的协作和自身安全问题，提出了一个分布式入侵检测系统的数据共享策略和合作访问控制策略模型。该策略模型对分布式入侵检测系统中组件间的合作和信息共享提供了一个安全保障，各参与主机通过合作集检测广泛入侵，通过风险集机制抵御复杂攻击的潜在入侵，从而降低了关键信息的泄露并且减小复杂攻击对分布式入侵检测系统攻击成功的风险。 第二， 对目前比较常见的一种网络攻击拒绝访问攻击（DoS）对网络性能所产生的影响进行了试验测试，给出了3种包丢弃攻击模式对网络性能影响的定量分析结果，该结果对进一步判断攻击的行为有一定的指导意义。 第三， 在试验测试的基础上，以NIDES/STAT模型为基础。首先我们来了解什么事入侵检测，入侵检测是通过从计算机网络系统中的若干关键点收集信息并对其进行分析，从中发现违反安全策略的行为和遭到攻击的迹象，并做出自动的响应。其主要功能是对用户和系统行为的监测与分析、系统配置和漏洞的审计检查、重要系统和数据文件的完整性评估、已知的攻击行为模式的识别、异常行为模式的统计分析、操作系统的审计跟踪管理及违反安全策略的用户行为的识别。入侵检测通过迅速地检测入侵，在可能造成系统损坏或数据丢失之前，识别并驱除入侵者，使系统迅速恢复正常工作，并且阻止入侵者进一步的行动。同时，收集有关入侵的技术资料，用于改进和增强系统抵抗入侵的能力。在从它的类型上分以下它又可分为基于主机型、基于网络型、基于代理型三类。入侵检测为网络安全提供实时检测及攻击行为检测，并采取相应的防护手段。例如，实时检测通过记录证据来进行跟踪、恢复、断开网络连接等控制；攻击行为检测注重于发现信息系统中可能已经通过身份检查的形迹可疑者，进一步加强信息系统的安全力度。入侵检测的步骤如下：收集系统、网络、数据及用户活动的状态和行为的信息入侵检测一般采用分布式结构，在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息，一方面扩大检测范围，另一方面通过多个采集点的信息的比较来判断是否存在可疑现象或发生入侵行为。入侵检测所利用的信息一般来自以下4个方面：系统和网络日志文件、目录和文件中的不期望的改变、程序执行中的不期望行为、物理形式的入侵信息。我们在从根据收集到的信息进行分析常用的分析方法有模式匹配、统计分析、完整性分析。模式匹配是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述，统计正常使用时的一些测量属性。测量属性的平均值将被用来与网络、系统的行为