计算机网络入侵检测技术探讨的论文.docVIP

　　计算机网络入侵检测技术探讨的论文 摘要介绍了计算机网络入侵检测技术的概念、功能和检测方法，描述了目前采用的入侵检测技术及其发展方向。 关键词入侵检测异常检测误用检测 在网络技术日新月异的今天，代写论文基于网络的计算机应用已经成为发展的主流。政府、教育、商业、金融等机构纷纷联入inter，全社会信息共享已逐步成为现实。然而，近年来，网上黑客的攻击活动正以每年10倍的速度增长。因此，保证计算机系统、网络系统以及整个信息基础设施的安全已经成为刻不容缓的重要课题。 1 防火墙 目前防范网络攻击最常用的方法是构建防火墙。 防火墙作为一种边界安全的手段，在网络安全保护中起着重要作用。其主要功能是控制对网络的非法访问，通过监视、限制、更改通过网络的数据流，一方面尽可能屏蔽内部网的拓扑结构，另一方面对内屏蔽外部危险站点，以防范外对内的非法访问。然而，防火墙存在明显的局限性。 (1)入侵者可以找到防火墙背后可能敞开的后门。如同深宅大院的高大院墙不能挡住老鼠的偷袭一样，防火墙有时无法阻止入侵者的攻击。 (2)防火墙不能阻止来自内部的袭击。调查发现，50％的攻击都将来自于网络内部。 (3)由于性能的限制，防火墙通常不能提供实时的入侵检测能力。代写毕业论文 而这一点，对于层出不穷的网络攻击技术来说是至关重要的。 因此，在inter入口处部署防火墙系统是不能确保安全的。单纯的防火墙策略已经无法满足对安全高度敏感部门的需要，网络的防卫必须采用一种纵深的、多样化的手段。. 由于传统防火墙存在缺陷，引发了入侵检测ids(intrusion detection system)的研究和开发。入侵检测是防火墙之后的第二道安全闸门，是对防火墙的合理补充，在不影响网络性能的情况下，通过对网络的监测，帮助系统对付网络攻击，扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)，提高信息安全基础结构的完整性，提供对内部攻击、外部攻击和误操作的实时保护。现在，入侵检测已经成为网络安全中一个重要的研究方向，在各种不同的网络环境中发挥重要作用。 2 入侵检测 2．1 入侵检测 入侵检测是通过从计算机网络系统中的若干关键点收集信息并对其进行分析，从中发现违反安全策略的行为和遭到攻击的迹象，并做出自动的响应。其主要功能是对用户和系统行为的监测与分析、系统配置和漏洞的审计检查、重要系统和数据文件的完整性评估、已知的攻击行为模式的识别、异常行为模式的统计分析、操作系统的审计跟踪管理及违反安全策略的用户行为的识别。入侵检测通过迅速地检测入侵，在可能造成系统损坏或数据丢失之前，识别并驱除入侵者，使系统迅速恢复正常工作，并且阻止入侵者进一步的行动。同时，收集有关入侵的技术资料，用于改进和增强系统抵抗入侵的能力。 入侵检测可分为基于主机型、基于网络型、基于代理型三类。从20世纪90年代至今，代写英语论文 已经开发出一些入侵检测的产品，其中比较有代表性的产品有iss(intemet security system)公司的realsecure，nai(aly detection)和误用人侵检测(misuse detection)。 3．1 异常检测 又称为基于行为的检测。其基本前提是：假定所有的入侵行为都是异常的。首先建立系统或用户的“正常”行为特征轮廓，通过比较当前的系统或用户的行为是否偏离正常的行为特征轮廓来判断是否发生了入侵。此方法不依赖于是否表现出具体行为来进行检测，是一种间接的方法。 常用的具体方法有：统计异常检测方法、基于特征选择异常检测方法、基于贝叶斯推理异常检测方法、基于贝叶斯网络异常检测方法、基于模式预测异常检测方法、基于神经网络异常检测方法、基于机器学习异常检测方法、基于数据采掘异常检测方法等。 采用异常检测的关键问题有如下两个方面： (1)特征量的选择 在建立系统或用户的行为特征轮廓的正常模型时，选取的特征量既要能准确地体现系统或用户的行为特征，又能使模型最优化，即以最少的特征量就能涵盖系统或用户的行为特征。 (2)参考阈值的选定 由于异常检测是以正常的特征轮廓作为比较的参考基准，因此，参考阈值的选定是非常关键的。 阈值设定得过大，那漏警率会很高；阈值设定的过小，则虚警率就会提高。合适的参考阈值的选定是决定这一检测方法准确率的至关重要的因素。 由此可见，异常检测技术难点是“正常”行为特征轮廓的确定、特征量的选取、特征轮廓的更新。由于这几个因素的制约，异常检测的虚警率很高，但对于未知的入侵行为的检测非常有效。此外，由于需要实时地建立和更新系统或用户的特征轮廓，这样所需的计算量很大，对系统的处理性能要求很高。 3．2 误用检测 又称为基于知识的检测。其基本前提是：假定所有可能的入侵行为都能被识别和表示。首先，代写留学生论文 对已知的攻击方法进行攻击签名(攻