浅谈入侵检测技术

湖南机电职业技术学院毕业设计（论文）第Ⅱ页目录1引言...................................................11.1入侵检测技术的提出.......................................11.2网络入侵检测的研究史.....................................41.2.1以Denning模型为基础的早期技术..................................41.2.2中期：以统计学理论与专家系统相结合..............................51.2.3基于网络的NIDS为主流的入侵检测.................................51.3本课题研究的途径与意义...................错误!未定义书签。2入侵检测技术原理................................................................72.1入侵检测技术第一步——信息收集................................................72.1.1网络入侵检测技术模块方式..................................................82.1.2主机入侵检测技术模块方式..................................................82.1.3信息来源的四个方面........................................................82.2入侵检测技术的第二步——信号分析.............................................102.2.1模式匹配................................................................112.2.2统计分析................................................................112.2.3完整性分析...............................................................113入侵检测技术功能概要...........................................................124入侵检测技术分析...............................................................134.1入侵分析按其检测技术规则分类.................................................144.1.1基于特征的检测技术规则...................................................144.1.2基于统计的检测技术规则...................................................144.2一些新的分析技术.............................................................144.2.1统计学方法...............................................................144.2.2入侵检测技术的软计算方法.................................................154.3.3基于专家系统的入侵检测技术方法...........................................155入侵检测技术发展方向...........................................................165.1分布式入侵检测技术与通用入侵检测技术架构.....................................165.2应用层入侵检测技术...........................................................165.3智能的入侵检测技术...........................................................175.4入侵检测技术的评测方法.......................................................17湖南机电职业技术学院毕业设计（论文）第Ⅱ页5.5网络安全技术相结合...........................................................176建立数据分析模型...............................................................186.1测试数据的结构...............................................................186.2数据中出现的攻击类型.........................................................216.2.1攻击（Attacks）..........................................................216.2.2发现训练集中的攻击类型...................................................226.2.3其他主流的攻击类型.......................................................24结论.............................................................................26致谢.............................................................................27参考文献.........................................................................28湖南机电职业技术学院毕业设计（论文）第1页1引言聚类是模式识别研究中非常有用的一类技术。用聚类算法的异常检测技术就是一种无监督的异常检测技术技术，这种方法可以在未标记的数据上进行，它将相似的数据划分到同一个聚类中，而将不相似的数据划分到不同的聚类，并为这些聚类加以标记表明它们是正常还是异常，然后将网络数据划分到各个聚类中，根据聚类的标记来判断网络数据是否异常。本课题是网络入侵检测技术的研究，主要介绍模式识别技术中两种聚类算法，K-means算法和迭代最优化算法，并阐述此算法在入侵检测技术技术中的应用原理，接着分析这两种算法具体应用时带来的利弊，最后针对算法的优缺点提出自己改进的算法，并对此算法进行分析，可以说这种算法是有监督和无监督方法的结合，是K-means算法和迭代最优化算法的折中，是一种较理想的算法。通过研究本课题，可以了解入侵检测技术技术的发展历程，及国内外研究水平的差距，熟悉各种入侵检测技术原理方法的异同，以便今后对某种检测技术方法作进一步的改进时能够迅速切入要点；在对入侵检测技术技术研究的同时，认真学习了模式识别这门课程，这是一门交叉学科，模式识别已经在卫星航空图片解释、工业产品检测技术、字符识别、语音识别、指纹识别、医学图像分析等许多方面得到了成功的应用，但所有这些应用都是和问题的性质密不可分的，学习过程中接触了许多新理论和新方法，其中包括数据挖掘，统计学理论和支持向量机等，极大的拓展了自己的知识面，这所带来的收获已经不仅仅停留在对入侵检测技术技术研究这个层面。湖南机电职业技术学院毕业设计（论文）第2页2入侵检测技术的发展史2.1入侵检测技术的提出随着Internet高速发展，个人、企业以及政府部门越来越多地依靠网络传递信息,然而网络的开放性与共享性容易使它受到外界的攻击与破坏,信息的安全保密性受到严重影响。网络安全问题已成为世界各国政府、企业及广大网络用户最关心的问题之一。在计算机上处理业务已由基于单机的数学运算、文件处理，基于简单连结的内部网络的内部业务处理、办公自动化等发展到基于企业复杂的内部网、企业外部网、全球互联网的企业级计算机处理系统和世界范围内的信息共享和业务处理。在信息处理能力提高的同时，系统的连结能力也在不断的提高。但在连结信息能力、流通能力提高的同时，基于网络连接的安全问题也日益突出，黑客攻击日益猖獗，防范问题日趋严峻：●具WarroonResearch的调查，1997年世界排名前一千的公司几乎都曾被黑客闯入。●据美国FBI统计，美国每年因网络安全造成的损失高达75亿美元。●Ernst和Young报告，由于信息安全被窃或滥用，几乎80%的大型企业遭受损失。●在最近一次黑客大规模的攻击行动中，雅虎网站的网络停止运行3小时，这令它损失了几百万美金的交易。而据统计在这整个行动中美国经济共损失了十多亿美金。由于业界人心惶惶，亚马逊(Amazon.com)、AOL、雅虎(Yahoo!)、eBay的股价均告下挫，以科技股为主的纳斯达克指数(Nasdaq)打破过去连续三天创下新高的升势，下挫了六十三点，杜琼斯工业平均指数周三收市时也跌了二百五十八点。遇袭的网站包括雅虎、亚马逊和Buy.com、MSN.com、网上拍卖行eBay以及新闻网站CNN.com，估计这些袭击把Internet交通拖慢了百分二十。目前我国网站所受到黑客的攻击，还不能与美国的情况相提并论，因为我们在用户数、用户规模上还都处在很初级的阶段，但以下事实也不能不让我们深思：1993年底，中科院高能所就发现有黑客侵入现象，某用户的权限被升级为超级权限。当系统管理员跟踪时，被其报复。1994年，美国一位14岁的小孩通过互联网闯入中科院网络中心和清华的主机，并向我方系统管理员提出警告。1996年，高能所再次遭到黑客入侵，私自在高能所主机上建立了几十个帐户，经追踪发现是国内某拨号上网的用户。同期，国内某ISP发现黑客侵入其主服务器并湖南机电职业技术学院毕业设计（论文）第3页删改其帐号管理文件，造成数百人无法正常使用。进入1998年，黑客入侵活动日益猖獗，国内各大网络几乎都不同程度地遭到黑客的攻击：7月，江西169网被黑客攻击，造成该网3天内中断网络运行2次达30个小时，工程验收推迟20天；同期，上海某证券系统被黑客入侵；8月，印尼事件激起中国黑客集体入侵印尼网点，造成印尼多个网站瘫痪，但与此同时，中国的部分站点遭到印尼黑客的报复；同期，西安某银行系统被黑客入侵后，提走80.6万元现金；9月，扬州某银行被黑客攻击，利用虚存帐号提走26万元现金。每年全球因计算机网络的安全系统被破坏而造成的经济损失达数百亿美元。进入新世纪之后，上述损失将达2000亿美元以上。看到这些令人震惊的事件，不禁让人们发出疑问：网络还安全吗？试图破坏信息系统的完整性、机密性、可信性的任何网络活动都称为网络入侵。防范网络入侵最常用的方法就是防火墙。防火墙（Firewall）是设置在不同网络（如可信任的企业内部网和不可信任的公共网）或网络安全域之间的一系列部件的组合,它属于网络层安全技术,其作用是为了保护与互联网相连的企业内部网络或单独节点。它具有简单实用的特点，并且透明度高，可以在不修改原有网络应用系统的情况下达到一定的安全要求。但是，防火墙只是一种被动防御性的网络安全工具，仅仅使用防火墙是不够的。首先