计算机网络入侵检测技术探讨

1、摘要介绍了 计算 机网络入侵检测技术的概念、 功能和检测方法， 描述了目前采用的入侵检测技术及其 发展方向。关键词入侵检测异常检测误用检测在网络技术日新月异的今天，代写论文 基于网络的计算机应用已经成为发展的主流。政府、教育 、商业、 金融 等机构纷纷联入Internet ，全社会信息共享已逐步成为现实。然而，近年来，网上黑客的攻击活动正以每年10 倍的速度增长。因此，保证计算机系统、网络系统以及整个信息基础设施的安全已经成为刻不容缓的重要课题。1 防火墙目前防范网络攻击最常用的方法是构建防火墙。防火墙作为一种边界安全的手段， 在网络安全保护中起着重要作用。 其主要功能是控制对网络的非法访问，

2、 通过监视、限制、更改通过网络的数据流，一方面尽可能屏蔽内部网的拓扑结构， 另一方面对内屏蔽外部危险站点， 以防范外对内的非法访问。然而， 防火墙存在明显的局限性。(1) 入侵者可以找到防火墙背后可能敞开的后门。如同深宅大院的高大院墙不能挡住老鼠的偷袭一样，防火墙有时无法阻止入侵者的攻击。(2) 防火墙不能阻止来自内部的袭击。调查发现，50的攻击都将来自于网络内部。(3) 由于性能的限制，防火墙通常不能提供实时的入侵检测能力。代写毕业论文而这一点，对于层出不穷的网络攻击技术来说是至关重要的。因此，在 Internet 入口处部署防火墙系统是不能确保安全的。单纯的防火墙策略已经无法满足对安全高度

3、敏感部门的需要，网络的防卫必须采用一种纵深的、多样化的手段。由于传统防火墙存在缺陷，引发了入侵检测IDS(Intrusion Detection System) 的研究和开发。入侵检测是防火墙之后的第二道安全闸门，是对防火墙的合理补充，在不影响网络性能的情况下，通过对网络的监测，帮助系统对付网络攻击，扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)，提高信息安全基础结构的完整性，提供对内部攻击、外部攻击和误操作的实时保护。现在，入侵检测已经成为网络安全中一个重要的研究方向，在各种不同的网络环境中发挥重要作用。2 入侵检测2 1 入侵检测入侵检测是通过从计算机网络系统中的若干关

4、键点收集信息并对其进行分析，从中发现违反安全策略的行为和遭到攻击的迹象，并做出自动的响应。 其主要功能是对用户和系统行为的监测与分析、 系统配置和漏洞的审计检查、重要系统和数据文件的完整性评估、已知的攻击行为模式的识别、 异常行为模式的统计分析、操作系统的审计跟踪管理及违反安全策略的用户行为的识别。 入侵检测通过迅速地检测入侵，在可能造成系统损坏或数据丢失之前，识别并驱除入侵者， 使系统迅速恢复正常工作，并且阻止入侵者进一步的行动。同时， 收集有关入侵的技术资料，用于改进和增强系统抵抗入侵的能力。入侵检测可分为基于主机型、基于网络型、基于代理型三类。从 20 世纪 90 年代至今， 代写英语

5、论文 已经开发出一些入侵检测的产品，其中比较有代表性的产品有ISS(Intemet SecuritySystem)公司的 Realsecure， NAI(NetworkAssociates， Inc) 公司的 Cybercop 和 Cisco 公司的NetRanger。2 2 检测技术入侵检测为网络安全提供实时检测及攻击行为检测， 并采取相应的防护手段。 例如，实时检测通过记录证据来进行跟踪、 恢复、断开网络连接等控制； 攻击行为检测注重于发现信息系统中可能已经通过身份检查的形迹可疑者， 进一步加强信息系统的安全力度。 入侵检测的步骤如下：收集系统、网络、数据及用户活动的状态和行为的信息入侵检

6、测一般采用分布式结构，在计算机网络系统中的若干不同关键点(不同网段和不同主机) 收集信息，一方面扩大检测范围，另一方面通过多个采集点的信息的比较来判断是否存在可疑现象或发生入侵行为。入侵检测所利用的信息一般来自以下 4 个方面：系统和网络日志文件、 目录和文件中的不期望的改变、程序执行中的不期望行为、物理形式的入侵信息。(2) 根据收集到的信息进行分析常用的分析方法有模式匹配、统计分析、 完整性分析。 模式匹配是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。统计分析方法首先给系统对象(如用户、文件、目录和设备等) 创建一个统计描述，统计正常使用时的一些

7、测量属性。测量属性的平均值将被用来与网络、系统的行为进行比较。当观察值超出正常值范围时，就有可能发生入侵行为。该方法的难点是阈值的选择， 阈值太小可能产生错误的入侵报告，阈值太大可能漏报一些入侵事件。完整性分析主要关注某个文件或对象是否被更改，包括文件和目录的内容及属性。该方法能有效地防范特洛伊木马的攻击。3 分类及存在的问题入侵检测通过对入侵和攻击行为的检测，查出系统的入侵者或合法用户对系统资源的滥用和误用。代写工作总结根据不同的检测方法，将入侵检测分为异常入侵检测(AnomalyDetection) 和误用人侵检测(Misuse Detection) 。3 1 异常检测又称为基于行为的检测

8、。 其基本前提是： 假定所有的入侵行为都是异常的。 首先建立系统或用户的 “正常 ”行为特征轮廓， 通过比较当前的系统或用户的行为是否偏离正常的行为特征轮廓来判断是否发生了入侵。 此方法不依赖于是否表现出具体行为来进行检测， 是一种间接的方法。常用的具体方法有： 统计异常检测方法、 基于特征选择异常检测方法、 基于贝叶斯推理异常检测方法、 基于贝叶斯网络异常检测方法、 基于模式预测异常检测方法、 基于神经网络异常检测方法、基于机器学习异常检测方法、基于数据采掘异常检测方法等。采用异常检测的关键问题有如下两个方面：(1) 特征量的选择在建立系统或用户的行为特征轮廓的正常模型时， 选取的特征量既要

9、能准确地体现系统或用户的行为特征，又能使模型最优化，即以最少的特征量就能涵盖系统或用户的行为特征。2)参考 阈值的选定由于异常检测是以正常的特征轮廓作为比较的参考基准， 因此，参考阈值的选定是非常关键的。阈值设定得过大，那漏警率会很高； 阈值设定的过小，则虚警率就会提高。 合适的参考阈值的选定是决定这一检测方法准确率的至关重要的因素。由此可见， 异常检测技术难点是 “正常 ”行为特征轮廓的确定、 特征量的选取、特征轮廓的更新。由于这几个因素的制约， 异常检测的虚警率很高， 但对于未知的入侵行为的检测非常有效。此外， 由于需要实时地建立和更新系统或用户的特征轮廓，这样所需的 计算 量很大，对系统

10、的处理性能要求很高。3 2误用检测又称为基于知识的检测。其基本前提是： 假定所有可能的入侵行为都能被识别和表示。首先，代写留学生 论文 对已知的攻击方法进行攻击签名(攻击签名是指用一种特定的方式来表示已知的攻击模式 ) 表示，然后根据已经定义好的攻击签名，通过判断这些攻击签名是否出现来判断入侵行为的发生与否。 这种方法是依据是否出现攻击签名来判断入侵行为，是一种直接的方法。常用的具体方法有： 基于条件概率误用入侵检测方法、基于专家系统误用入侵检测方法、基于状态迁移分析误用入侵检测方法、基于键盘监控误用入侵检测方法、基于模型误用入侵检测方法。误用检测的关键问题是攻击签名的正确表示。误用检测是根据

11、攻击签名来判断入侵的，根据对已知的攻击方法的了解，用特定的模式语言来表示这种攻击， 使得攻击签名能够准确地表示入侵行为及其所有可能的变种，同时又不会把非入侵行为包含进来。由于多数入侵行为是利用系统的漏洞和应用程序的缺陷，因此， 通过分析攻击过程的特征、条件、 排列以及事件间的关系，就可具体描述入侵行为的迹象。这些迹象不仅对分析已经发生的入侵行为有帮助，而且对即将发生的入侵也有预警作用。误用检测将收集到的信息与已知的攻击签名模式库进行比较，从中发现违背安全策略的行为。由于只需要收集相关的数据，这样系统的负担明显减少。该方法类似于病毒检测系统，其检测的准确率和效率都比较高。但是它也存在一些缺点。3

12、 2 1 不能检测未知的入侵行为由于其检测机理是对已知的入侵方法进行模式提取，对于未知的入侵方法就不能进行有效的检测。也就是说漏警率比较高。3 2 2 与系统的相关性很强对于不同实现机制的操作系统， 由于攻击的方法不尽相同，很难定义出统一的模式库。另外，误用检测技术也难以检测出内部人员的入侵行为。目前，由于误用检测技术比较成熟，多数的商业产品都主要是基于误用检测模型的。不过，为了增强检测功能，不少产品也加入了异常检测的方法。4 入侵检测的 发展 方向随着信息系统对一个国家的社会生产与国民经济 的影响越来越大， 再加上 网络攻击者的攻击工具与手法日趋复杂化，信息战已逐步被各个国家重视。近年来，

13、入侵检测有如下几个主要发展方向：4 1 分布式入侵检测与通用入侵检测架构传统的 IDS 一般局限于单一的主机或网络架构，对异构系统及大规模的网络的监测明显不足，再加上不同的 IDS 系统之间不能很好地协同工作。为解决这一问题，需要采用分布式入侵检测技术与通用入侵检测架构。4 2 应用层入侵检测许多入侵的语义只有在应用层才能理解，然而目前的IDS 仅能检测到诸如Web 之类的通用协议，而不能处理Lotus Notes、数据库系统等其他的应用系统。许多基于客户服务器结构、中间件技术及对象技术的大型应用，也需要应用层的入侵检测保护。4 3 智能的入侵检测入侵方法越来越多样化与综合化，尽管已经有智能体

14、、 神经网络与遗传算法在入侵检测领域应用研究，但是，这只是一些尝试性的研究工作，需要对智能化的IDS 加以进一步的研究，以解决其自学习与自适应能力。4 4 入侵检测的评测方法用户需对众多的IDS 系统进行评价，评价指标包括IDS 检测范围、系统资源占用、 IDS 自身的可靠性，从而设计出通用的入侵检测测试与评估方法与平台，实现对多种IDS 的检测。4 5 全面的安全防御方案结合安全工程风险管理的思想与方法来处理网络安全问题，将网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、防火墙、病毒防护、入侵检测多方位全面对所关注的网络作全面的评估，然后提出可行的全面解决方案。综上所述， 入侵检

15、测作为一种积极主动的安全防护技术，提供了对内部攻击、 外部攻击和误操作的实时保护， 使网络系统在受到危害之前即拦截和响应入侵行为，为网络安全增加一道屏障。 随着入侵检测的研究与开发， 并在实际应用中与其它网络管理软件相结合，使网络安全可以从立体纵深、 多层次防御的角度出发，形成人侵检测、 网络管理、网络监控三位一体化，从而更加有效地保护网络的安全。参考 文献l吴新民两种典型的入侵检测方法研究计算机工程与应用，2002； 38(10) ：181 1832罗妍，李仲麟，陈宪入侵检测系统模型的比较计算机应用，2001； 21(6)： 29313李涣洲网络安全与入侵检测技术四川师范大学学报2001；

16、24(3)：426 4284张慧敏，何军，黄厚宽入侵检测系统计算机应用研究，2001 ；18(9)： 38 4l5蒋建春，冯登国网络入侵检测原理与技术北京：国防工业 出版社， 20016粱晓诚入侵检测方法研究桂林工学院学报，2000； 20(7)： 303 306. 论文关键词 网络故障网络维护分类解决办法 论文摘要 网络故障极为普遍， 网络故障的种类也多种多样， 要在网络出现故障时及时对出现故障的网络进行维护， 以最快的速度恢复网络的正常运行， 掌握一套行之有效的网络维护理论、 方法和技术是关键。 就网络中常见故障进行分类， 并对各种常见网络故障提出相应的解决方法。随着 计算机的广泛应用和网

17、络的日趋流行，功能独立的多个计算机系统互联起来，互联形成日渐庞大的网络系统。计算机网络系统的稳定运转已与功能完善的网络软件密不可分。计算机网络系统， 就是利用通讯设备和线路将地理位置不同的、信息交换方式及网络操作系统等共享， 包括硬件资源和软件资源的共享：因此，如何有效地做好本单位计算机网络的日常维护工作，确保其安全稳定地运行，这是网络运行维护人员的一项非常重要的工作。在排除比较复杂网络的故障时，我们常常要从多种角度来测试和分析故障的现象，准确确定故障点。一、分析模型和方法(一 )七层的网络结构分析模型方法从网络的七层结构的定义和功能上逐一进行分析和排查， 这是传统的而且最基础的分析和测试方法

18、。 这里有自下而上和自上而下两种思路。 自下而上是： 从物理层的链路开始检测直到应用。 自上而下是： 从应用协议中捕捉数据包，分析数据包统计和流量统计信息， 以获得有价值的资料。(二 )网络连接结构的分析方法从网络的连接构成来看，大致可以分成客户端、网络链路、服务器端三个模块。1、客户端具备网络的七层结构，也会出现从硬件到软件、从驱动到应用程序、从设置错误到病毒等的故障问题。所以在分析和测试客户端的过程中要有大量的背景知识，有时PC 的发烧经验也会有所帮助。也可以在实际测试过程中询问客户端的用户，分析他们反映的问题是个性的还是共性的，这将有助于自己对客户端的进一步检测作出决定。2、来自网络链路

19、的问题通常需要网管、现场测试仪，甚至需要用协议分析仪来帮助确定问题的性质和原因。对于这方面的问题分析需要有坚实的网络知识和实践经验，有时实践经验会决定排除故障的时间。3、在分析服务器端的情况时更需要有网络应用方面的丰富知识，要了解服务器的硬件性能及配置情况、系统性能及配置情况、网络应用及对服务器的影响情况。(三 )工具型分析方法工具型分析方法有强大的各种测试工具和软件， 它们的自动分析能快速地给出网络的各种参数甚至是故障的分析结果，这对解决常见网络故障非常有效。(四 )综合及经验型分析方法靠时间、错误和成功经验的积累在大多数的阿络维护工作人员的工作中是采用这个方法的， 再依靠网管和测试工具迅速

20、定位网络的故障。二、计算机无法上网故障排除1、对于某台联网计算机上不了网的故障，首先要分别确定此计算机的网卡安装是否正确，是否存在硬件故障，网络配置是否正确在实际工作中我们一般采用Ping 本机的回送地址(127.0.0.1) 来判断网卡硬件安装和TCP/IP 协议的正确性。如果能 Ping 通，即说明这部分没有问题。如果出现超时情况，则要检查计算机的网卡是否与机器上的其它设备存在中断冲突的问题。通过查看系统属性中的设备管理器，查看是否在网络适配器的设备前面有黄色惊叹号或红色叉号，如有则说明硬件的驱动程序没有安装成功，可删除后重新安装。另外，要确保TCP/IP 协议安装的正确性，并且要绑定在你

21、所安装的网卡上。如果重新安装后还是Ping 不通回送地址，最好换上一块正常的网卡试一试。由于在局域网中划分了VLAN ，所以连在不同VLAN 中的计算机都有各自不同的IP 地址、子网掩码和网关。要在机器的网络属性中设定的IP 地址等数据与连接的 VLAN 相匹配，否则将出现网络不通的情况。当确保了计算机的硬件设备和网络配置正确后，接着就要查看计算机与交换机之间的双绞线，交换机的 RJ45 端口或交换机的配置是否有问题。此时我们要Ping 上网计算机所在VLAN 的网关，不通的话就要分段检查上面所说的各项。最简单的方法是检查双绞线，用线缆测试仪检测双绞线是否断开。双绞线没有问题， 就要查看交换机

22、的端口是否坏了。 交换机每一个端口都有状态指示灯以询问一下其它网管人员就可以排除了， 如果不放心可以对照查看。交换机的参数配置表也是网络管理员必备的资料之一， 并且随着网络用户的变化要不断地修改，检测到此，如果端口指示灯不亮，就只能是端口损坏了，可以把跳线接到正常使用的端口上排除其它原因，确定是端口的问题。2、一批联网 计算 机上不了网对于同时有一批计算机上不了网的故障，首先要找到这些计算机的共性，如是不是属于同一 VLAN 或接在同一交换机上的， 若这些计算机属于同一VLAN ，且属于计算机分别连接于不同的楼层交换机，那么检查一下路由器上是否有acl 限制，在路由器上对该VLAN的配置是否正

23、确，路由协议 (如我局的OSPF 协议 )是否配置正确。 若这些计算机属于同一交换机，则应到机房检查该交换机是否有电源松落情况，或该交换机CPU负载率是否很高，与上一级网络设备的链路是否正常。通常某交换机连接的所有电脑都不能正常与网内其它电脑通讯，这是典型的交换机死机现象， 可以通过重新启动交换机的方法解决。如果重新启动后故障依旧，则检查一下那台交换机连接的所有电脑，看逐个断开连接的每台电脑的情况，慢慢定位到某个故障电脑，会发现多半是某台电脑上的网卡故障导致的。故障通常是交换机的某个端口变得非常缓慢，最后导致整台交换机或整个堆叠慢下来。通过控制台检查交换机的状态，发现交换机的缓冲池增长得非常快，达到了90或更多。原因及解决方法为：首先应该使用其它电脑更换这个端口上原来的连接，看是否由这个端口连接的那台电脑的网络故障导致的，也可以重新设置出错的端口并重新启动交换机，个别时候，可能是这个端口损坏了。三、故障定位及排除的常用方法(一 )告警性能分析法通过网管获取告警和性能信息进行故障定位。我们单位使用了Siteview 网络网管， 可以对全单位的网络设备进行管理，平时多观察各设备CPU 负载率和各线路的流量。当有人反映不能连接至网络或网速很慢时，可通过网管观察计算机与交换机的连接情况，是否有时断时通的现象，交