入侵检测论文范例【最新4篇】

【导言】此例“入侵检测论文范例【最新4篇】”的范文资料由阿拉题库网友为您分享整理，以供您学习参考之用，希望这篇资料对您有所帮助，喜欢就复制下载支持吧！

入侵检测论文【第一篇】

关键词入侵检测异常检测误用检测

在网络技术日新月异的今天，写作论文基于网络的计算机应用已经成为发展的主流。政府、教育、商业、金融等机构纷纷联入Internet，全社会信息共享已逐步成为现实。然而，近年来，网上黑客的攻击活动正以每年10倍的速度增长。因此，保证计算机系统、网络系统以及整个信息基础设施的安全已经成为刻不容缓的重要课题。

1防火墙

目前防范网络攻击最常用的方法是构建防火墙。

防火墙作为一种边界安全的手段，在网络安全保护中起着重要作用。其主要功能是控制对网络的非法访问，通过监视、限制、更改通过网络的数据流，一方面尽可能屏蔽内部网的拓扑结构，另一方面对内屏蔽外部危险站点，以防范外对内的非法访问。然而，防火墙存在明显的局限性。

(1)入侵者可以找到防火墙背后可能敞开的后门。如同深宅大院的高大院墙不能挡住老鼠的偷袭一样，防火墙有时无法阻止入侵者的攻击。

(2)防火墙不能阻止来自内部的袭击。调查发现，50％的攻击都将来自于网络内部。

(3)由于性能的限制，防火墙通常不能提供实时的入侵检测能力。写作毕业论文而这一点，对于层出不穷的网络攻击技术来说是至关重要的。

因此，在Internet入口处部署防火墙系统是不能确保安全的。单纯的防火墙策略已经无法满足对安全高度敏感部门的需要，网络的防卫必须采用一种纵深的、多样化的手段。

由于传统防火墙存在缺陷，引发了入侵检测IDS(IntrusionDetectionSystem)的研究和开发。入侵检测是防火墙之后的第二道安全闸门，是对防火墙的合理补充，在不影响网络性能的情况下，通过对网络的监测，帮助系统对付网络攻击，扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)，提高信息安全基础结构的完整性，提供对内部攻击、外部攻击和误操作的实时保护。现在，入侵检测已经成为网络安全中一个重要的研究方向，在各种不同的网络环境中发挥重要作用。

2入侵检测

2．1入侵检测

入侵检测是通过从计算机网络系统中的若干关键点收集信息并对其进行分析，从中发现违反安全策略的行为和遭到攻击的迹象，并做出自动的响应。其主要功能是对用户和系统行为的监测与分析、系统配置和漏洞的审计检查、重要系统和数据文件的完整性评估、已知的攻击行为模式的识别、异常行为模式的统计分析、操作系统的审计跟踪管理及违反安全策略的用户行为的识别。入侵检测通过迅速地检测入侵，在可能造成系统损坏或数据丢失之前，识别并驱除入侵者，使系统迅速恢复正常工作，并且阻止入侵者进一步的行动。同时，收集有关入侵的技术资料，用于改进和增强系统抵抗入侵的能力。

入侵检测可分为基于主机型、基于网络型、基于型三类。从20世纪90年代至今，写作英语论文已经开发出一些入侵检测的产品，其中比较有代表性的产品有ISS(IntemetSecuritySystem)公司的Realsecure，NAI(NetworkAssociates，Inc)公司的Cybercop和Cisco公司的NetRanger。

2．2检测技术

入侵检测为网络安全提供实时检测及攻击行为检测，并采取相应的防护手段。例如，实时检测通过记录证据来进行跟踪、恢复、断开网络连接等控制；攻击行为检测注重于发现信息系统中可能已经通过身份检查的形迹可疑者，进一步加强信息系统的安全力度。入侵检测的步骤如下：

收集系统、网络、数据及用户活动的状态和行为的信息

入侵检测一般采用分布式结构，在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息，一方面扩大检测范围，另一方面通过多个采集点的信息的比较来判断是否存在可疑现象或发生入侵行为。

入侵检测所利用的信息一般来自以下4个方面：系统和网络日志文件、目录和文件中的不期望的改变、程序执行中的不期望行为、物理形式的入侵信息。

(2)根据收集到的信息进行分析

常用的分析方法有模式匹配、统计分析、完整性分析。模式匹配是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。

统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述，统计正常使用时的一些测量属性。测量属性的平均值将被用来与网络、系统的行为进行比较。当观察值超出正常值范围时，就有可能发生入侵行为。该方法的难点是阈值的选择，阈值太小可能产生错误的入侵报告，阈值太大可能漏报一些入侵事件。

完整性分析主要关注某个文件或对象是否被更改，包括文件和目录的内容及属性。该方法能有效地防范特洛伊木马的攻击。

3分类及存在的问题

入侵检测通过对入侵和攻击行为的检测，查出系统的入侵者或合法用户对系统资源的滥用和误用。写作工作总结根据不同的检测方法，将入侵检测分为异常入侵检测(AnomalyDetection)和误用人侵检测(MisuseDetection)。

3．1异常检测

又称为基于行为的检测。其基本前提是：假定所有的入侵行为都是异常的。首先建立系统或用户的“正常”行为特征轮廓，通过比较当前的系统或用户的行为是否偏离正常的行为特征轮廓来判断是否发生了入侵。此方法不依赖于是否表现出具体行为来进行检测，是一种间接的方法。

常用的具体方法有：统计异常检测方法、基于特征选择异常检测方法、基于贝叶斯推理异常检测方法、基于贝叶斯网络异常检测方法、基于模式预测异常检测方法、基于神经网络异常检测方法、基于机器学习异常检测方法、基于数据采掘异常检测方法等。

采用异常检测的关键问题有如下两个方面：

(1)特征量的选择

在建立系统或用户的行为特征轮廓的正常模型时，选取的特征量既要能准确地体现系统或用户的行为特征，又能使模型最优化，即以最少的特征量就能涵盖系统或用户的行为特征。

(2)参考阈值的选定

由于异常检测是以正常的特征轮廓作为比较的参考基准，因此，参考阈值的选定是非常关键的。

阈值设定得过大，那漏警率会很高；阈值设定的过小，则虚警率就会提高。合适的参考阈值的选定是决定这一检测方法准确率的至关重要的因素。

由此可见，异常检测技术难点是“正常”行为特征轮廓的确定、特征量的选取、特征轮廓的更新。由于这几个因素的制约，异常检测的虚警率很高，但对于未知的入侵行为的检测非常有效。此外，由于需要实时地建立和更新系统或用户的特征轮廓，这样所需的计算量很大，对系统的处理性能要求很高。

3．2误用检测

又称为基于知识的检测。其基本前提是：假定所有可能的入侵行为都能被识别和表示。首先，写作留学生论文对已知的攻击方法进行攻击签名(攻击签名是指用一种特定的方式来表示已知的攻击模式)表示，然后根据已经定义好的攻击签名，通过判断这些攻击签名是否出现来判断入侵行为的发生与否。这种方法是依据是否出现攻击签名来判断入侵行为，是一种直接的方法。

常用的具体方法有：基于条件概率误用入侵检测方法、基于专家系统误用入侵检测方法、基于状态迁移分析误用入侵检测方法、基于键盘监控误用入侵检测方法、基于模型误用入侵检测方法。误用检测的关键问题是攻击签名的正确表示。

误用检测是根据攻击签名来判断入侵的，根据对已知的攻击方法的了解，用特定的模式语言来表示这种攻击，使得攻击签名能够准确地表示入侵行为及其所有可能的变种，同时又不会把非入侵行为包含进来。由于多数入侵行为是利用系统的漏洞和应用程序的缺陷，因此，通过分析攻击过程的特征、条件、排列以及事件间的关系，就可具体描述入侵行为的迹象。这些迹象不仅对分析已经发生的入侵行为有帮助，而且对即将发生的入侵也有预警作用。

误用检测将收集到的信息与已知的攻击签名模式库进行比较，从中发现违背安全策略的行为。由于只需要收集相关的数据，这样系统的负担明显减少。该方法类似于病毒检测系统，其检测的准确率和效率都比较高。但是它也存在一些缺点。

3．2．1不能检测未知的入侵行为

由于其检测机理是对已知的入侵方法进行模式提取，对于未知的入侵方法就不能进行有效的检测。也就是说漏警率比较高。

3．2．2与系统的相关性很强

对于不同实现机制的操作系统，由于攻击的方法不尽相同，很难定义出统一的模式库。另外，误用检测技术也难以检测出内部人员的入侵行为。

目前，由于误用检测技术比较成熟，多数的商业产品都主要是基于误用检测模型的。不过，为了增强检测功能，不少产品也加入了异常检测的方法。

4入侵检测的发展方向

随着信息系统对一个国家的社会生产与国民经济的影响越来越大，再加上网络攻击者的攻击工具与手法日趋复杂化，信息战已逐步被各个国家重视。近年来，入侵检测有如下几个主要发展方向：

4．1分布式入侵检测与通用入侵检测架构

传统的IDS一般局限于单一的主机或网络架构，对异构系统及大规模的网络的监测明显不足，再加上不同的IDS系统之间不能很好地协同工作。为解决这一问题，需要采用分布式入侵检测技术与通用入侵检测架构。

4．2应用层入侵检测

许多入侵的语义只有在应用层才能理解，然而目前的IDS仅能检测到诸如Web之类的通用协议，而不能处理LotusNotes、数据库系统等其他的应用系统。许多基于客户／服务器结构、中间件技术及对象技术的大型应用，也需要应用层的入侵检测保护。

4．3智能的入侵检测

入侵方法越来越多样化与综合化，尽管已经有智能体、神经网络与遗传算法在入侵检测领域应用研究，但是，这只是一些尝试性的研究工作，需要对智能化的IDS加以进一步的研究，以解决其自学习与自适应能力。

4．4入侵检测的评测方法

用户需对众多的IDS系统进行评价，评价指标包括IDS检测范围、系统资源占用、IDS自身的可靠性，从而设计出通用的入侵检测测试与评估方法与平台，实现对多种IDS的检测。

4．5全面的安全防御方案

结合安全工程风险管理的思想与方法来处理网络安全问题，将网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、防火墙、病毒防护、入侵检测多方位全面对所关注的网络作全面的评估，然后提出可行的全面解决方案。

综上所述，入侵检测作为一种积极主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，使网络系统在受到危害之前即拦截和响应入侵行为，为网络安全增加一道屏障。随着入侵检测的研究与开发，并在实际应用中与其它网络管理软件相结合，使网络安全可以从立体纵深、多层次防御的角度出发，形成人侵检测、网络管理、网络监控三位一体化，从而更加有效地保护网络的安全。

参考文献

l吴新民．两种典型的入侵检测方法研究．计算机工程与应用，2002；38(10)：181—183

2罗妍，李仲麟，陈宪．入侵检测系统模型的比较．计算机应用，2001；21(6)：29～31

3李涣洲．网络安全与入侵检测技术．四川师范大学学报．2001；24(3)：426—428

4张慧敏，何军，黄厚宽．入侵检测系统．计算机应用研究，2001；18(9)：38—4l

5蒋建春，冯登国．网络入侵检测原理与技术．北京：国防工业出版社，2001

入侵检测论文【第二篇】

关键词数据库入侵；检测技术

1数据库入侵检测技术

计算机数据库能够安全有效的使用。入侵技术的检测具有如下功能：（1）能有效的对用户的行为进行监控与分析；（2）对计算机系统运行的变化弱点进行审计分析；（3）在检测到入侵并识别之后进行预警；（4）对计算机系统的异常信息进行分析，并对关键的信息进行评估分析；（5）对检测到操作系统的异常情况进行跟踪处理。一般的计算机入侵系统主要包括如图1所示。

数据库入侵检测技术

计算机入侵检测技术是在互联网技术快速发展的时代背景下，为了保证计算机数据库的安全而产生的。可以在计算机运行的过程中，对一些有可能危害计算机运行安全的网站或者病毒进行阻拦，防止出现病毒入侵计算机数据库的情况，保证计算机数据库的安全。利用入侵检测技术，但计算机出现病毒即将入侵的情况时，检测系统就会自动响起报警系统，这些计算机管理人员就会通过报警声得知计算机出现安全问题，可以立即采取促使，阻止并且的入侵行为，保护计算机数据库的安全。入侵检测技术还可以对计算机内部自带的一些系统出现的入侵行为进行防范，入侵检测技术对一些可以收集一些没有授权的信息，可以提前这些信息进行入侵的防范工作，当在计算机运行时出现入侵行为以后能够及时的做出反应。将入侵检测系统应用在计算机数据库的安全管理之中，可以起到对计算机安全的监控作用，通过对计算机运行的实时监控和监测，保证能够第一时间发展其中的问题。利用计算机监测系统，还可以减轻计算机检测人员的工作量，能够使他们有更多的时间去制定解决入侵病毒，提高计算机数据安全管理的效率。

入侵检测常用的两种方法

误用检测方法误用检测是入侵检测技术中最常用的的一种检测方法，利用误用检测的方法，可以总结过去入侵的经验教训，分析过去对计算机数据库出现入侵的具体情况的解决措施，总结出入侵的主要规律。通过对这些入侵规律的不断了解，并且对计算机的运行情况进行监测，就可以发展计算机是否存在病毒入侵的情况。如果发现计算机数据库存在着病毒入侵的情况，通过误用检测的方法，可以快速的分析出入侵的原因和情况，以至于能够快速准的制定解决方案。但是误用检测对系统内部的入侵情况不能及时的做出反应，因为误用方法不可能独立的应用，职能依靠于一种具体的系统来进行，这就会影响系统的移植性，造成不能对一些从未出现过的病毒进行检测，降低了检测的准确性。异常检测方法异常检测方法是在计算机运行的基础上，通过对计算机运行是否存在入侵情况的假设来进行的。在利用异常检测的方法进行系统的监测时，通过将一些正常使用的模式和非正常使用的模式进行对比分析，从对比出的不同结果来发现系统中存在的入侵行为。这种异常检测的方法和误用检测方法不同，不用依赖系统进行操作，降低了对系统入侵行为的局限性，可以检测出新型入侵行为。但是异常检测方法也存在着一些问题，例如异常检测方法虽然能够检测出入侵行为，但是不能对入侵行为进行具体的描述，就会导致系统在检测的过程中容易发生失误问题。

2数据挖掘技术在数据库入侵检测中的应用

为了防止数据库数据的额损失，防止出现数据库入侵问题，计算机数据管理专家不断的根据先进的互联网数据库的特点进行研究和分析。将入侵检测技术应用到计算机数据库的数据安全管理中，可以有效的对计算机运行时出现的一些病毒或者是一些非正常的访问进行阻挡，防止出现恶意软件入侵数据库的情况，保护了数据库数据的安全。数据挖掘技术概述在对数据库的入侵情况进行检测时，可以利用数据挖掘技术。可以对数据库之中的一些不完整的数据和正常完整的数据进行区分，并且可以将不完整的数据信息进行彻底的清除。

数据库入侵检测中常用的数据挖掘方法

关联规则的挖掘使用关联规则的挖掘首先要在数据库中找出记录集合，通过对记录集合分析和检测，发现其中数据之间存在的相似之处，借助频繁项集生成的规则，对数据进行挖掘。序列模式的挖掘使用序列模式的挖掘也是为了发展数据库之中的数据存在的相似点。利用序列模式的挖掘的优势，主要就是体现在可以对数据库记录之间时间窗口的挖掘，可以在对数据库中的数据进行审计时找出其中存在的规律。

3结语

近几年，随着社会经济的快速发展，已经进去到了互联网时代。网络技术被广泛到生产生活中。为企业的发展了巨大的作用，但是在网络技术快速发展的背景下，也为企业的发展带来了巨大的安全隐患。网络操作存在着病毒入侵的风险，随时可能对数据库中的企业的信息安全造成威胁，病毒入侵可能导致企业的商业机密泄露，影响企业在市场中的竞争力。为了提高对计算机数据库的安全管理，本论文对数据库入侵检测技术进行了分析，希望能够对入侵检测技术的推广起到借鉴作用，保障网络信息的基本安全。

参考文献

[1]张岚。计算机数据库入侵检测技术分析[J].信息与电脑(理论版),2014(06):120.

[2]李艳红。计算机数据库入侵检测技术的探讨[J].电子测试，2014(20):141-142.

入侵检测论文【第三篇】

关键字：入侵检测；协议分析；模式匹配；智能关联a

1引言

入侵检测技术是继“防火墙”、“数据加密”等传统安全保护措施后新一代的安全保障技术，它对计算机和

网络资源上的恶意使用行为进行识别和响应，不仅检测来自外部的入侵行为，同时也监督内部用户的未授权活动。但是随着网络入侵技术的发展和变化以及网络运用的不断深入，现有入侵检测系统暴露出了诸多的问题。特别是由于网络流量增加、新安全漏洞未更新规则库和特殊隧道及后门等原因造成的漏报问题和IDS攻击以及网络数据特征匹配的不合理特性等原因造成的误报问题，导致IDS对攻击行为反应迟缓，增加安全管理人员的工作负担，严重影响了IDS发挥实际的作用。

本文针对现有入侵监测系统误报率和漏报率较高的问题，对几种降低IDS误报率和漏报率的方法进行研究。通过将这几种方法相互结合，能有效提高入侵检测系统的运行效率并能大大简化安全管理员的工作，从而保证网络

安全的运行。

2入侵检测系统

入侵是对信息系统的非授权访问及(或)未经许可在信息系统中进行操作，威胁计算机或网络的安全机制(包括机密性、完整性、可用性)的行为。入侵可能是来自外界对攻击者对系统的非法访问，也可能是系统的授权用户对未授权的内容进行非法访问，入侵检测就是对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程。入侵检测系统IDS(IntrusionDetectionSystem)是从多种计算机系统机及网络中收集信息，再通过这些信息分析入侵特征的网络安全系统。

现在的IDS产品使用的检测方法主要是误用检测和异常检测。误用检测是对不正常的行为进行建模，这些行为就是以前记录下来的确认了的误用或攻击。目前误用检测的方法主要是模式匹配，即将每一个已知的攻击事件定义为一个独立的特征，这样对入侵行为的检测就成为对特征的匹配搜索，如果和已知的入侵特征匹配，就认为是攻击。异常检测是对正常的行为建模，所有不符合这个模型的事件就被怀疑为攻击。现在异常检测的主要方法是统计模型，它通过设置极限阈值等方法，将检测数据与已有的正常行为比较，如果超出极限阈值，就认为是入侵行为。

入侵检测性能的关键参数包括：(1)误报：实际无害的事件却被IDS检测为攻击事件。(2)漏报：攻击事件未被IDS检测到或被分析人员认为是无害的。

3降低IDS误报率方法研究

智能关联

智能关联是将企业相关系统的信息(如主机特征信息)与网络IDS检测结构相融合，从而减少误报。如系统的脆弱性信息需要包括特定的操作系统(OS)以及主机上运行的服务。当IDS使用智能关联时，它可以参考目标主机上存在的、与脆弱性相关的所有告警信息。如果目标主机不存在某个攻击可以利用的漏洞，IDS将抑制告警的产生。

智能关联包括主动和被动关联。主动关联是通过扫描确定主机漏洞；被动关联是借助操作系统的指纹识别技术，即通过分析IP、TCP报头信息识别主机上的操作系统。

被动指纹识别技术的工作原理

被动指纹识别技术的实质是匹配分析法。匹配双方一个是来自源主机数据流中的TCP、IP报头信息，另一个是特征数据库中的目标主机信息，通过将两者做匹配来识别源主机发送的数据流中是否含有恶意信息。通常比较的报头信息包括窗口(WINDOWSIZE)、数据报存活期(TTL)、DF(dontfragment)标志以及数据报长(Totallength)。

窗口大小(wsize)指输入数据缓冲区大小，它在TCP会话的初始阶段由OS设定。数据报存活期指数据报在被丢弃前经过的跳数(hop);不同的TTL值可以代表不同的操作系统(OS),TTL=64,OS=UNIX;TTL=12,OS=Windows。DF字段通常设为默认值，而OpenBSD不对它进行设置。数据报长是IP报头和负载(Payload)长度之和。在SYN和SYNACK数据报中，不同的数据报长代表不同的操作系统，60代表Linux、44代表Solaris、48代表Windows2000。

IDS将上述参数合理组合作为主机特征库中的特征(称为指纹)来识别不同的操作系统。如TTL=64,初步判断OS=Linux/OpenBSD;如果再给定wsize的值就可以区分是Linux还是OpenBSD。因此，(TTL,wsize)就可以作为特征库中的一个特征信息。被动指纹识别技术工作流程

具有指纹识别技术的IDS系统通过收集目标主机信息，判断主机是否易受到针对某种漏洞的攻击，从而降低误报率。

因此当IDS检测到攻击数据包时，首先查看主机信息表，判断目标主机是否存在该攻击可利用的漏洞；如果不存在该漏洞，IDS将抑制告警的产生，但要记录关于该漏洞的告警信息作为追究法律责任的依据。这种做法能够使安全管理员专心处理由于系统漏洞产生的告警。

告警泛滥抑制

IDS产品使用告警泛滥抑制技术可以降低误报率。在利用漏洞的攻击势头逐渐变强之时，IDS短时间内会产生大量的告警信息；而IDS传感器却要对同一攻击重复记录，尤其是蠕虫在网络中自我繁殖的过程中，这种现象最为重要。

所谓“告警泛滥”是指短时间内产生的关于同一攻击的告警。IDS可根据用户需求减少或抑制短时间内同一传感器针对某个流量产生的重复告警。这样。网管人员可以专注于公司网络的安全状况，不至于为泛滥的告警信息大伤脑筋。告警泛滥抑制技术是将一些规则或参数(包括警告类型、源IP、目的IP以及时间窗大小)融入到IDS传感器中，使传感器能够识别告警饱和现象并实施抵制操作。有了这种技术，传感器可以在告警前对警报进行预处理，抑制重复告警。例如，可以对传感器进行适当配置，使它忽略在30秒内产生的针对同一主机的告警信息；IDS在抑制告警的同时可以记录这些重复警告用于事后的统计分析。

告警融合

该技术是将不同传感器产生的、具有相关性的低级别告警融合成更高级别的警告信息，这有助于解决误报和漏报问题。当与低级别警告有关的条件或规则满足时，安全管理员在IDS上定义的元告警相关性规则就会促使高级别警告产生。如扫描主机事件，如果单独考虑每次扫描，可能认为每次扫描都是独立的事件，而且对系统的影响可以忽略不计；但是，如果把在短时间内产生的一系列事件整合考虑，会有不同的结论。IDS在10min内检测到来自于同一IP的扫描事件，而且扫描强度在不断升级，安全管理人员可以认为是攻击前的渗透操作，应该作为高级别告警对待。例子告诉我们告警融合技术可以发出早期攻击警告，如果没有这种技术，需要安全管理员来判断一系列低级别告警是否是随后更高级别攻击的先兆；而通过设置元警告相关性规则，安全管理员可以把精力都集中在高级别警告的处理上。元警告相关性规则中定义参数包括时间窗、事件数量、事件类型IP地址、端口号、事件顺序。

4降低IDS漏报率方法研究

特征模式匹配方法分析

模式匹配是入侵检测系统中常用的分析方法，许多入侵检测系统如大家熟知的snort等都采用了模式匹配方法。

单一的模式匹配方法使得IDS检测慢、不准确、消耗系统资源，并存在以下严重问题：

(1)计算的负载过大，持续该运算法则所需的计算量极其巨大。

(2)模式匹配特征搜索技术使用固定的特征模式来探测攻击，只能探测明确的、唯一的攻击特征，即便是基于最轻微变换的攻击串都会被忽略。

(3)一个基于模式匹配的IDS系统不能智能地判断看似不同字符串/命令串的真实含义和最终效果。在模式匹配系统中，每一个这样的变化都要求攻击特征数据库增加一个特征记录。这种技术攻击运算规则的内在缺陷使得所谓的庞大特征库实际上是徒劳的，最后的结果往往是付出更高的计算负载，而导致更多的丢包率，也就产生遗漏更多攻击的可能，特别是在高速网络下，导致大量丢包，漏报率明显增大。

可见传统的模式匹配方法已不能适应新的要求。在网络通信中，网络协议定义了标准的、层次化、格式化的网络数据包。在攻击检测中，利用这种层次性对网络协议逐层分析，可以提高检测效率。因此，在数据分析时将协议分析方法和模式匹配方法结合使用，可以大幅度减少匹配算法的计算量，提高分析效率，得到更准确的检测结果。超级秘书网

协议分析方法分析

在以网络为主的入侵检测系统中，由于把通过网络获得的数据包作为侦测的资料来源，所以数据包在网络传输中必须遵循固定的协议才能在电脑之间相互沟通，因此能够按照协议类别对规则集进行分类。协议分析的原理就是根据现有的协议模式，到固定的位置取值(而不式逐一的去比较),然后根据取得的值判断其协议连同实施下一步分析动作。其作用是非类似于邮局的邮件自动分捡设备，有效的提高了分析效率，同时还能够避免单纯模式匹配带来的误报。

根据以上特点，能够将协议分析算法用一棵协议分类树来表示，如图2所示。这样，当IDS进行模式匹配时，利用协议分析过滤许多规则，能够节省大量的时间。在任何规则中关于TCP的规则最多，大约占了50%以上，因此在初步分类后，能够按照端口进行第二次分类。在两次分类完成后，能够快速比较特征库中的规则，减少大量不必要的时间消耗。如有必要，还可进行多次分类，尽量在规则树上分叉，尽可能的缩减模式匹配的范围。

每个分析机的数据结构中包含以下信息：协议名称、协议代号以及该协议对应的攻击检测函数。协议名称是该协议的唯一标志，协议代号是为了提高分析速度用的编号。为了提高检测的精确度，可以在树中加入自定义的协议结点，以此来细化分析数据，例如在HTTP协议中可以把请求URL列入该树中作为一个结点，再将URL中不同的方法作为子节点。

分析机的功能是分析某一特定协议的数据，得出是否具有攻击的可能性存在。一般情况下，分析机尽可能的放到树结构的叶子结点上或尽可能的靠近叶子结点，因为越靠近树根部分的分析机，调用的次数越多。过多的分析机聚集在根部附近会严重影响系统的性能。同时叶子结点上的协议类型划分越细，分析机的效率越高。

因此，协议分析技术有检测快、准确、资源消耗少的特点，它利用网络协议的高度规则性快速探测攻击的存在。

5结束语

本文对几种降低IDS误报率和漏报率的方法进行分析研究，通过将这几种方法相互结合，能有效提高入侵检测系统的运行效率并能大大简化安全管理员的工作，从而保证网络安全的运行。由于方法论的问题，目前IDS的误报和漏报是不可能彻底解决的。因此，IDS需要走强化安全管理功能的道路，需要强化对多种安全信息的收集功能，需要提高IDS的智能化分析和报告能力，并需要与多种安全产品形成配合。只有这样，IDS才能成为网络安全的重要基础设施。

参考文献：

[1]张杰，戴英侠。入侵检测系统技术现状及其发展趋势[J].计算机与通信，2002(6):28-32.

[2]唐洪英，付国瑜。入侵检测的原理与方法[J].重庆工学院学报，2002(4):71-73.

[3]戴连英，连一峰，王航。系统安全与入侵检测技术[M].北京：清华大学出版社，2002(3).

[4]郑成兴。网络入侵防范的理论与实践[M].北京：机械工业出版社，2006:48-56.

[5]耿麦香。网络入侵检测技术研究[J].科技情报开发与经济，2003,13(12):217-218.

入侵检测论文【第四篇】

关键词：光纤扰动入侵检测带通放大器

光纤传感包含对外界信号（被测量）的感知和传输两种功能。所谓感知（或敏感），是指外界信号按照其变化规律使光纤中传输的光波的物理特征参量（如强度、波长、频率、相位和偏振态等）发生变化后，测量光参量的变化。这种“感知”实质上是外界信号对光纤中传播的光波实施调制。根据被外界信号调制的光波的物理特征参量的变化情况，可以将光波的调制分为光强度调制、光频率调制、光波长调制以及光相位和偏振调制等五种类型。外界扰动（如振动、弯曲、挤压等情况）对光纤中光通量的影响属于功能型光强调制。对微弯曲的检测一般采用周期微弯检测方法，需要借用传感板人为地使光纤周期性弯曲，从而使光强得到调制，一般用来检测微小位移，可以作成工业压力传感器，其精度较高，设计也比较复杂。而光纤扰动入侵检测的目的是检测入侵，不需要很高的精度，因为高精度反而容易产生误报警，因此不能采用上述方法。本文提出一种利用不同入侵对象（如人、风等）的扰动调制频率的范围不同，采用一般多模光纤，在后续电路采用带通滤波器进行带通放大，滤出入侵扰动信号的调制频率，有效实现入侵检测的方法。根据对入侵对象及入侵频率的分析，对0．1～30Hz的带通滤波器电路进行了设计与仿真，有效滤除了电源纹波、温度漂移的影响，并设计了扰动检测系统。在实际应用中，将该入侵检测系统安装在某区域或特殊物体上，如篱笆或需检测对象上，能够有效地检测入侵、篡改、替换等非授权活动。

1扰动原理

1．1光纤特性

光纤是由折射率不同的石英材料组成的细圆柱体。圆柱体的内层称为纤芯，外层称为包层，光线（或光信号）在纤芯内进行传输。设纤芯的折射率为n1，包层的折射率为n2，要使光线只在纤芯内传输而不致通过包层逸出，必须在纤芯与包层的界面处形成全反射的条件，即满足n1＞n2。

光纤除了折射率参数外还有其它参数，如相对折射率、数值孔径N·A、衰减、模式（单模、多模）等。对于本系统，衰减参数比较重要，在光纤中峰值强度（光功率）为I0的光脉冲从左端注入光纤纤芯，光沿着光纤传播时，其强度按指数规律递减，即：

I（z）＝I0e－αZ(1)

其中，I0——进入光纤纤芯(Z＝0处)的初始光强；

Z——沿光纤的纵向距离；

α——光强衰减系数。

光功率在光纤的衰减情况如图1所示。光纤衰减率的定义为：光在光纤中每传播1km，光强所损耗的分贝数。即：

衰减率＝－10lg(I/I0)db／km)(2)

光纤的衰减率只与衰减系数有关，引起光衰减的原因很多，如材料的吸收、弯曲损耗和散射损耗等，光纤扰动入侵检测主要是利用不同外界扰动对光纤的微扰损耗而产生的不同强度调制频率来探测扰动入侵的。

1．2微扰损耗

光纤中的微扰损耗是指由光纤的几何不均匀性引起的损耗，其中包括由内部因素和外部干扰引起的不均匀性，如宏观结构上折射率和直径的不均匀性、微弯曲等。根据光纤传输理论，这种不均匀性引起的损耗或以散射形式出现，或以模式耦合的形式出现。模式耦合是指光纤的传导模之间、传导模与辐射模之间的能量交换或能量传递。这就意味着通过光纤的光会受到衰减。一般情况下，制造和使用光纤时要减小和避免这些损耗，但是光纤扰动入侵检测主要是利用这些耗损对光的衰减来探测入侵的存在，因此研究这些耗损，特别是微弯损耗是比较重要的。微弯损耗是由模式间的机械感应耦合引起的。光纤中的传导模变换成包层模，并从纤芯中消失。当沿光纤的机械微扰的空间周期与光纤内相邻的模式的波数差一致时，这种损耗就增加。近似的实验关系如下：

光纤微弯曲损耗∝(纤芯半径／光纤半径)2·(2／N·A)4(3)

其中，N·A为光纤的数值孔径，当光从空气入射到光纤端面时，只有入射方向处于某一光锥内的光线在进入光纤之后才能留在纤芯内，而从光锥外入射的光线即使进入光纤，也会从包层逸出。这个光锥半角的正弦称为光纤的数值孔径。

1．3LED光源特性

图4带通滤波器仿真电路图

LED光源的光学特性主要有波长、线宽、输出功率、光纤耦合等。LED的中心发射波长λ取决于半导体材料的能隙Eg，其公式为：

λ＝hc/Eg≈／Eg(μm)(4)

其中？熏h为普朗克常数，c为光速。LED的线宽一般为其中心波长的5％量极，因为增益的选择性会使线宽变窄。制造LED的常用材料如表1所示。

表1制造LED的常用材料列表

材料发射波长/nm光谱

GaP700红

GaAlAs650～850红至近红外

GaAs900近红外

InGaAs1200～1700近红外

850nm波长的LED输出功率通常在1～10mW范围内，波长小于850nm的器件，其可用功率显著减小。所有LED的输出功率及波长都随温度变化，在850nm时，输出功率和波长的典型温度系数分别为0．5％C－1和0．3nmC－1，因此热稳定度对于光纤扰动入侵检测是需要考虑的因素。

2硬件技术方案

光纤扰动入侵检测系统原理框图如图2所示。系统主要包括：载频信号源电路、LED光源、PIN光电探测器、光纤、扰动入侵检测、报警传输接口电路等。

2．1传感电路的设计

载频信号源电路的目的是为增加LED的发射功率，同时在接收端对缓变LED光电流实现检测。光电发射与接收电路由LED光源、光纤、PIN光电探测器等三个部分组成，组成传感单元，如图3所示。LED采用美国安捷伦(Agilent)公司的HFBR0400系列低功耗、高效LED，其型号为HFBR－1424，发射光波波长为850nm，125MHz带宽，截止频率为35MHz，输出光功率为50～100μW。光纤传输长度为4km，工作温度范围为－40℃～85℃，适合与50／125μm、62．5／125μm、100／140μm等光纤耦合。目前光纤通信中普遍使用PIN二极管进行光检测，将光信号转变为电流信号，但因电流信号很弱，仅有pA级，故很难将其有效地转换为伏级电压以供后继电路进行信号处理使用；以前通常采用价格昂贵的高性能运算放大器构成放大电路，但实验结果不很理想，且容易受到外界电磁干扰的影响；为克服这些缺点，采用美国安捷伦公司生产的HFBR2416，它是将PIN光检测器和前置放大器集成在一起的新型光接插器件。HFBR2416主要特点如下：(1)将PIN光检测器与前置放大器集成在一起，可直接输出较大的电压信号；(2)只需少量外部元件便可构成高性能的光接收电路，典型带宽高达125MHz；(3)可用于模拟和数字光通信系统，抗干扰性能好；(4)与HFBR0400系列其它产品兼容，符合国际工业标准，适用性好；(5)具有多种封装形式，体积小、重量轻；(6)价格便宜。其具体技术参数如表2所示。

表2HFBR2416技术参数表

参数符合最小值最大值一般值单位注释

电源电压

输出电压

输出阻抗Zo30Ωf=50MHz

响应度/μs波长850，50MH

上升/下降时间Tr/=100μW,peak

脉宽失真=100μW,peak

带通BW125MHz

2．2带通滤波器的设计与仿真

扰动信号通过放大与带通滤波器鉴别后，检测出扰动信号，并产生报警。上述电路中最主要的为带通滤波器。调制信号经LED由电信号变为光信号，光信号经光纤传输后，到PIN由光信号变电信号后进行放大，放大器输出频率为100kHz、幅度为500mV的脉冲。实验证明扰动信号在输出波形上表现为波形幅度的缩小，变化范围为mV量级，由放大器的放大倍数可估算扰动造成的光通量的变化，为几十μV左右。根据人行动的特点，其运动频率应该在～30Hz范围内，根据上述考虑，设计了一个带通滤波器，将以下的低频滤掉，这样就将光电流与系统的缓慢漂移略去，将高于30Hz的信号滤掉，就可以滤掉载频以及电源纹波。图4为带通滤波器仿真电路图，图5为滤波器仿真输出与输入比较图。从图5中可以看出，采用有源带通滤波器的设计可以将频率为20Hz的模拟的扰动信号检测出来。在实际电路中根据仿真电路设计了滤波器硬件电路，实现对一定频率的扰动信号的检测。单次扰动信号和连续扰动信号时滤波器输出波形如图6、图7所示。在没有扰动信号时，滤波器无输出，当有一定频率的扰动信号时，滤波器输出脉冲信号，此信号经整形放大后可以驱动继电器产生报警，或通过无线传输到远端做进一步处理。