入侵检测系统数据流重组研究

入侵检测系统数据流重组研究作者：李玮学位授予单位：合肥工业大学相似文献(10条)1.学位论文李宏军Linux平台下高速网络入侵检测数据采集的实现2006网络技术的快速发展和网络应用环境的不断普及，加大了人们对网络的依赖性，同时也带来了日益突出的信息安全问题。过去采用的传统的加密和防火墙技术己经不能完全满足安全需求，入侵检测技术作为一种主动预防的安伞手段，越来越显示出重要性。同时，高速局域网和光纤通信等新技术的应用给网络性能和流量带宽带来了巨大的增长。从最初以K为单位的网络速度到10M/100M网络，到现在干兆网络，这些变革对IDS的处理性能提出了更高的要求。高速网络下的实时入侵检测己经成为入侵检测研究领域的一个热点和难点，而如何实现千兆环境下的实时报文监测是提高入侵检测能力的一个普遍问题，因此对于高速网络环境入侵检测数据采集的研究是非常有意义的。本文首先对IDS、数据采集技术、大规模网络环境下数据采集的要求等方面的知识进行了介绍与分析。根据现有的入侵检测中数据采集技术面对大规模网络所存在的不足，参考了相关领域的知识，提出了基于Linux平台的高速网络数据采集器，阐述了数据采集器的体系结构、关键技术实现、过滤及预处理功能的实现。依据Linux的开源性及良好的网络特性、Linux内核网络协议栈的设计思想、并借鉴了清华大学以CERNET网络管理与流量计费为背景开发的Linuxflow高性能可扩展的网络被动测量系统的实现，本文建立了一套专用于高速网络数据包采集的协议栈。在此基础上，分析了Linux平台下数据采集影响系统性能的因素，提出了提高系统性能的方案。同时，作为IDS的数据采集模块，还提供了对原始网络报文进行过滤、预处理等功能，提高了检测模块检测效率。2.学位论文杨小东基于匹配树算法的入侵检测系统研究与设计2004本文主要介绍了在WindowsXP环境下，基于匹配树算法的入侵检测系统分析设计和实现方法。开发该系统的主要目的是解决当前网络入侵检测系统的一些缺陷，并进一步深入研究入侵检测系统。本文首先介绍了关于入侵检测的基本原理，黑客攻击原理和常用方法。然后，主要介绍了具体的网络入侵检测系统的设计和实现方法。最后，总结了目前网络入侵检测系统所面临的主要发展障碍，提出了解决这些问题的一些方法和思路，指出了网络入侵检测系统今后的研究方向和发展趋势，为以后的研究做出了一定的方向性指导。本文设计和实现的实时网络入侵检测系统主要包括六个功能模块：数据采集模块、数据解析模块、入侵检测模块、入侵跟踪与取证模块、数据库模块和响应模块。该系统具备一个详尽而简单的攻击模型规则库，高效的检测算法，能够实时跟踪和取证黑客入侵行为。因此该系统具有检测效率高、可扩展性好、完备性、自身安全性、简单易用的特点。本系统可以对常见的攻击行为进行很好的检测和响应，并且在攻击数量较大情况下，其报警准确率和检测效率优于Snort系统，能够达到预期的检测目的。由此可知本系统在检测分布式入侵行为方面，比Snort系统有更大的优势。3.期刊论文张艳艳.彭新光.ZhangYanyan.PengXinguang虚拟健壮主机入侵检测的实验研究-计算机应用与软件2010,27(4)基于时序、频率等特性,系统调用序列已成为基于主机的入侵检测系统重要的数据源之一,然而,基于主机的入侵检测系统相当脆弱.提出利用虚拟机来健壮主机入侵检测的数据采集,并通过实验从虚拟机外部采集了系统调用序列号,从理论和试验的角度证明了该方法的正确性;同时还对虚拟环境占用CPU时间的百分比进行了分析,证明了该方法的可行性.4.学位论文杨海斌校园网组网与入侵检测系统的研究2005本文首先以湖南理工职业技术学院校园网规划和设计为背景，从校园网的概念及相关计算机网络技术入手，比较详细地论述了校园网设计与实现的整个过程。论文简要介绍了Internet和校园网的概念，并对校园网的组网需求进行了分析，比较了各种组网技术的优缺点。从实用的角度重点论述了校园网的结构选型、网络层次结构、系统总体设计、设备选型、综合布线系统以及三层交换技术和网络安全技术等。入侵检测系统中的入侵检测引擎的设计和实现是本文的核心部分。在该入侵检测系统中有两个入侵检测引擎：一个是基于统计分析方法的异常检测引擎；另一个是基于攻击模式库的特征模式匹配检测引擎。本文对入侵检测系统的审计数据采集、网络数据采集、攻击模式库的设计、报警和响应、信息发布等模块中的设计和实现技术作了论述。本文中参照了当前诸多校园网和金融网络方面的相关组网形式和成熟的网络技术，在实际应用中，达到了预期效果。5.学位论文王海燕基于移动Agent的入侵检测系统的研究与设计2009目前，对入侵检测系统的研究主要集中在入侵检测系统模型和入侵检测技术两个方面。现有的系统模型随着网络规模的扩大和人们需求的不断增长，将增加传输负载，造成通信“瓶颈”。传统的数据处理技术处理能力有限，检测效率低下，在需要处理的数据量呈指数级增长的情况下，难以完成检测任务，识别未知攻击。本文在对传统入侵检测系统模型和检测原理的研究分析和参考了相关研究成果的基础上，将传统的入侵检测技术与移动Agent技术结合起来，采用典型移动代理系统IBMAglet设计了一种基于移动代理的入侵检测系统框架，并设计了不同功能的移动代理，并且对移动agent平台与入侵检测系统设计实现过程中所遇到的关键问题给出了相应的解决办法。在系统的设计上，以两个模块(核心控制端和受检端)和5个代理(数据采集Agent、协议分析Agent、入侵检测Agent、入侵报警Agent和遍历Agent)来构建此系统模型。在检测功能的实现上，使用了协议分析和模式匹配相结合的方法，有效地缩小了目标的匹配范围，提高了检测速度；在决策过程中引入了关联分析的方法，能够更好的发现多个攻击之间的内在联系。本文在数据采集方面借助了Jpcap库的支持，实现了在内核层更高效获取数据包；在数据分析方面引入了协议分析技术，利用了协议的规则性提高了入侵检测的速度和效率。各个子功能模块都通过移动Agent及其相互合作来实现，本文对移动agent在入侵检测中的应用以及入侵检测与其它技术的结合具有一定的参考和促进作用。6.期刊论文吴冬亮.胡平.周永平.周雪.WUDong-liang.HUPing.ZHOUYong-ping.ZHOUXue智能入侵检测在企业MIS中的研究与应用-微处理机2007,28(3)阐述了智能入侵检测在企业管理中的重要性,提出了具体的入侵检测模型,描述了数据采集和处理、神经网络训练和检测.系统防止了内部人员的误操作和有意破坏,是智能入侵检测在企业MIS中的有效应用.7.学位论文冯姗入侵检测中数据采集技术的研究2005网络技术的快速发展和网络应用环境的不断普及,加大了人们对网络的依赖性,同时也带来了日益突出的信息安全问题.过去采用的传统的加密和防火墙技术己经不能完全满足安全需求,入侵检测技术作为一种主动预防的安全手段,越来越显示出重要性.Snort系统是一个开放源代码的网络入侵检测系统,提供给遍布世界范围内的众多爱好者研究和维护该系统的机会,也为入侵检测系统的发展奠定了基础.因此对Snort系统进行研究是非常有意义的.本文首先介绍了入侵检测系统的基础知识,简述了入侵检测的发展背景和历史,对入侵检测系统的研究现状和发展趋势做出了综合性的描述.入侵检测技术是本文研究的重点,以Snort系统为研究对象,剖析了其组成结构和工作模式,探讨了Snort系统中的协议解析模块、规则检测模块和检测引擎模块.针对Snort系统的检测引擎中的模式匹配算法,类比了Boyer-Moore算法和AC-BM算法的优缺点,并对目前利用规则优化的方法来提高匹配效率的技术做了简单描述.在配置Snort系统时,根据我的网络情况和系统性能对配置选项做出了详细的说明,对使用Snort系统中所连接的Mysql数据库的生成和数据的导入也给出了描述.通过对Snort系统作的简单的测试,分析了Snort系统还存在的问题.数据采集技术决定了一个入侵检测系统是否能够有效的、准确的检测攻击行为.在这部分内容中,对目前最易实施的网络攻击手段——拒绝服务攻击,进行了分析,指明了引起这种攻击的一个原因——碎片数据包,并针对碎片采集的重组算法给出了分析和改进.结合Snort系统中的碎片处理插件Frag2和流重组插件TcpStream说明了碎片处理过程和流重组过程.在本文小结中首先对目前已有的部分入侵检测系统做出了对比.然后对Snort系统研究的结果给出了改进方向,并提出了入侵检测系统今后所面临的挑战.8.学位论文李俊实时入侵检测系统的分析与研究Analysis&ResearchofReal-TimeIntrusionDetectionSystem2000该文主要分为七章.第一章是前言,提出黑客行为的危害性以及入侵检测的必要性;第二章简要地介绍了入侵的定义、对象和类型;第三章讨论了入侵检测的定义、原理和分类;第四章分析了入侵检测的数据采集技术,其中详细讨论了网络监听的原理、实现和优化,并介绍了日志记录的方法;第五章对入侵检测的信号分析技术进行了研究,从基于行为和基于知识两方面着手,论述了概率统计方法和人工神经网络方法,并分析了几种基于人工智能的检测方法,给出了一个基于模糊关系的不确定性推理方法;第六章讨论入侵检测系统的体系结构,首先介绍了一个著名的通用入侵检测数学模型,然后给出了一个基于移动代理技术的入侵检测系统体系结构;最后在第七章进一步探讨了入侵检测的关键在于安全策略,介绍了P'2DR安全模型,并对入侵检测系统的弱点与发展做了总结和展望.9.期刊论文黄昆基于CVE入侵检测系统的数据采集-散装水泥2004,(3)结合实际需要开发一个基于CVE的实时入侵检测专家系统.课题以国际公开的CVE列表所列漏洞为主要研究对象,深入探讨了系统的数据采集方式及实现.10.学位论文卢广网络安全中入侵检测系统的设计与实现2003网络安全中的入侵检测是对计算机系统资源和网络资源的恶意行为进行识别和响应。网络安全中的入侵检测系统是近年来出现的新型网络安全技术，也是重要的网络安全工具，它可以对系统或网络资源进行实时检测，及时发现闯入系统或网络的入侵者，也可预防合法用户的误操作。本文首先讨论了信息安全与网络安全的关系、安全性威胁、黑客的入侵过程、系统和网络中的安全漏洞。然后简单的介绍了入侵检测系统的现状，对两种入侵检测系统的比较，提出了将基于主机和基于网络的入侵检测技术相结合的入侵检测系统。结合实际的项目开发，重点介绍了网络安全中入侵检测系统的设计思想与实现的关键技术。入侵检测系统中的入侵检测引擎的设计和实现是本文的核心部分。在该入侵检测系统中有两个入侵检测引擎：一个是基于统计分析方法的异常检测引擎；另一个是基于攻击模式库的特征模式匹配检测引擎。本文对入侵检测系统的审计数据采集、网络数据采集、攻击模式库的设计、报警和响应、信息发布等模块中的设计和实现技术作了论述。本文链接：授权使用：上海海事大学(wflshyxy)，授权号：8494a791-047c-4523-bbab-9e090082b45b下载时间：2010年10月8日