入侵检测论文精选(九篇)

第1篇：入侵检测论文范文

关键字:入侵检测;协议分析;模式匹配;智能关联a

1引言

入侵检测技术是继“防火墙”、“数据加密”等传统安全保护措施后新一代的安全保障技术,它对计算机和

网络资源上的恶意使用行为进行识别和响应,不仅检测来自外部的入侵行为,同时也监督内部用户的未授权活动。但是随着网络入侵技术的发展和变化以及网络运用的不断深入,现有入侵检测系统暴露出了诸多的问题。特别是由于网络流量增加、新安全漏洞未更新规则库和特殊隧道及后门等原因造成的漏报问题和IDS攻击以及网络数据特征匹配的不合理特性等原因造成的误报问题,导致IDS对攻击行为反应迟缓,增加安全管理人员的工作负担,严重影响了IDS发挥实际的作用。

本文针对现有入侵监测系统误报率和漏报率较高的问题,对几种降低IDS误报率和漏报率的方法进行研究。通过将这几种方法相互结合,能有效提高入侵检测系统的运行效率并能大大简化安全管理员的工作,从而保证网络

安全的运行。

2入侵检测系统

入侵是对信息系统的非授权访问及(或)未经许可在信息系统中进行操作,威胁计算机或网络的安全机制(包括机密性、完整性、可用性)的行为。入侵可能是来自外界对攻击者对系统的非法访问,也可能是系统的授权用户对未授权的内容进行非法访问,入侵检测就是对企图入侵、正在进行的入侵或已经发生的入侵进行识别的过程。入侵检测系统IDS(IntrusionDetectionSystem)是从多种计算机系统机及网络中收集信息,再通过这些信息分析入侵特征的网络安全系统。

现在的IDS产品使用的检测方法主要是误用检测和异常检测。误用检测是对不正常的行为进行建模,这些行为就是以前记录下来的确认了的误用或攻击。目前误用检测的方法主要是模式匹配,即将每一个已知的攻击事件定义为一个独立的特征,这样对入侵行为的检测就成为对特征的匹配搜索,如果和已知的入侵特征匹配,就认为是攻击。异常检测是对正常的行为建模,所有不符合这个模型的事件就被怀疑为攻击。现在异常检测的主要方法是统计模型,它通过设置极限阈值等方法,将检测数据与已有的正常行为比较,如果超出极限阈值,就认为是入侵行为。

入侵检测性能的关键参数包括:(1)误报:实际无害的事件却被IDS检测为攻击事件。(2)漏报:攻击事件未被IDS检测到或被分析人员认为是无害的。

3降低IDS误报率方法研究

3.1智能关联

智能关联是将企业相关系统的信息(如主机特征信息)与网络IDS检测结构相融合,从而减少误报。如系统的脆弱性信息需要包括特定的操作系统(OS)以及主机上运行的服务。当IDS使用智能关联时,它可以参考目标主机上存在的、与脆弱性相关的所有告警信息。如果目标主机不存在某个攻击可以利用的漏洞,IDS将抑制告警的产生。

智能关联包括主动和被动关联。主动关联是通过扫描确定主机漏洞;被动关联是借助操作系统的指纹识别技术,即通过分析IP、TCP报头信息识别主机上的操作系统。

3.1.1被动指纹识别技术的工作原理

被动指纹识别技术的实质是匹配分析法。匹配双方一个是来自源主机数据流中的TCP、IP报头信息,另一个是特征数据库中的目标主机信息,通过将两者做匹配来识别源主机发送的数据流中是否含有恶意信息。通常比较的报头信息包括窗口(WINDOWSIZE)、数据报存活期(TTL)、DF(dontfragment)标志以及数据报长(Totallength)。

窗口大小(wsize)指输入数据缓冲区大小,它在TCP会话的初始阶段由OS设定。数据报存活期指数据报在被丢弃前经过的跳数(hop);不同的TTL值可以代表不同的操作系统(OS),TTL=64,OS=UNIX;TTL=12,OS=Windows。DF字段通常设为默认值,而OpenBSD不对它进行设置。数据报长是IP报头和负载(Payload)长度之和。在SYN和SYNACK数据报中,不同的数据报长代表不同的操作系统,60代表Linux、44代表Solaris、48代表Windows2000。

IDS将上述参数合理组合作为主机特征库中的特征(称为指纹)来识别不同的操作系统。如TTL=64,初步判断OS=Linux/OpenBSD;如果再给定wsize的值就可以区分是Linux还是OpenBSD。因此,(TTL,wsize)就可以作为特征库中的一个特征信息。3.1.2被动指纹识别技术工作流程

具有指纹识别技术的IDS系统通过收集目标主机信息,判断主机是否易受到针对某种漏洞的攻击,从而降低误报率。

因此当IDS检测到攻击数据包时,首先查看主机信息表,判断目标主机是否存在该攻击可利用的漏洞;如果不存在该漏洞,IDS将抑制告警的产生,但要记录关于该漏洞的告警信息作为追究法律责任的依据。这种做法能够使安全管理员专心处理由于系统漏洞产生的告警。

3.2告警泛滥抑制

IDS产品使用告警泛滥抑制技术可以降低误报率。在利用漏洞的攻击势头逐渐变强之时,IDS短时间内会产生大量的告警信息;而IDS传感器却要对同一攻击重复记录,尤其是蠕虫在网络中自我繁殖的过程中,这种现象最为重要。

所谓“告警泛滥”是指短时间内产生的关于同一攻击的告警。IDS可根据用户需求减少或抑制短时间内同一传感器针对某个流量产生的重复告警。这样。网管人员可以专注于公司网络的安全状况,不至于为泛滥的告警信息大伤脑筋。告警泛滥抑制技术是将一些规则或参数(包括警告类型、源IP、目的IP以及时间窗大小)融入到IDS传感器中,使传感器能够识别告警饱和现象并实施抵制操作。有了这种技术,传感器可以在告警前对警报进行预处理,抑制重复告警。例如,可以对传感器进行适当配置,使它忽略在30秒内产生的针对同一主机的告警信息;IDS在抑制告警的同时可以记录这些重复警告用于事后的统计分析。

3.3告警融合

该技术是将不同传感器产生的、具有相关性的低级别告警融合成更高级别的警告信息,这有助于解决误报和漏报问题。当与低级别警告有关的条件或规则满足时,安全管理员在IDS上定义的元告警相关性规则就会促使高级别警告产生。如扫描主机事件,如果单独考虑每次扫描,可能认为每次扫描都是独立的事件,而且对系统的影响可以忽略不计;但是,如果把在短时间内产生的一系列事件整合考虑,会有不同的结论。IDS在10min内检测到来自于同一IP的扫描事件,而且扫描强度在不断升级,安全管理人员可以认为是攻击前的渗透操作,应该作为高级别告警对待。例子告诉我们告警融合技术可以发出早期攻击警告,如果没有这种技术,需要安全管理员来判断一系列低级别告警是否是随后更高级别攻击的先兆;而通过设置元警告相关性规则,安全管理员可以把精力都集中在高级别警告的处理上。元警告相关性规则中定义参数包括时间窗、事件数量、事件类型IP地址、端口号、事件顺序。

4降低IDS漏报率方法研究

4.1特征模式匹配方法分析

模式匹配是入侵检测系统中常用的分析方法,许多入侵检测系统如大家熟知的snort等都采用了模式匹配方法。

单一的模式匹配方法使得IDS检测慢、不准确、消耗系统资源,并存在以下严重问题:

(1)计算的负载过大,持续该运算法则所需的计算量极其巨大。

(2)模式匹配特征搜索技术使用固定的特征模式来探测攻击,只能探测明确的、唯一的攻击特征,即便是基于最轻微变换的攻击串都会被忽略。

(3)一个基于模式匹配的IDS系统不能智能地判断看似不同字符串/命令串的真实含义和最终效果。在模式匹配系统中,每一个这样的变化都要求攻击特征数据库增加一个特征记录。这种技术攻击运算规则的内在缺陷使得所谓的庞大特征库实际上是徒劳的,最后的结果往往是付出更高的计算负载,而导致更多的丢包率,也就产生遗漏更多攻击的可能,特别是在高速网络下,导致大量丢包,漏报率明显增大。

可见传统的模式匹配方法已不能适应新的要求。在网络通信中,网络协议定义了标准的、层次化、格式化的网络数据包。在攻击检测中,利用这种层次性对网络协议逐层分析,可以提高检测效率。因此,在数据分析时将协议分析方法和模式匹配方法结合使用,可以大幅度减少匹配算法的计算量,提高分析效率,得到更准确的检测结果。超级秘书网

4.2协议分析方法分析

在以网络为主的入侵检测系统中,由于把通过网络获得的数据包作为侦测的资料来源,所以数据包在网络传输中必须遵循固定的协议才能在电脑之间相互沟通,因此能够按照协议类别对规则集进行分类。协议分析的原理就是根据现有的协议模式,到固定的位置取值(而不式逐一的去比较),然后根据取得的值判断其协议连同实施下一步分析动作。其作用是非类似于邮局的邮件自动分捡设备,有效的提高了分析效率,同时还能够避免单纯模式匹配带来的误报。

根据以上特点,能够将协议分析算法用一棵协议分类树来表示,如图2所示。这样,当IDS进行模式匹配时,利用协议分析过滤许多规则,能够节省大量的时间。在任何规则中关于TCP的规则最多,大约占了50%以上,因此在初步分类后,能够按照端口进行第二次分类。在两次分类完成后,能够快速比较特征库中的规则,减少大量不必要的时间消耗。如有必要,还可进行多次分类,尽量在规则树上分叉,尽可能的缩减模式匹配的范围。

每个分析机的数据结构中包含以下信息:协议名称、协议代号以及该协议对应的攻击检测函数。协议名称是该协议的唯一标志,协议代号是为了提高分析速度用的编号。为了提高检测的精确度,可以在树中加入自定义的协议结点,以此来细化分析数据,例如在HTTP协议中可以把请求URL列入该树中作为一个结点,再将URL中不同的方法作为子节点。

分析机的功能是分析某一特定协议的数据,得出是否具有攻击的可能性存在。一般情况下,分析机尽可能的放到树结构的叶子结点上或尽可能的靠近叶子结点,因为越靠近树根部分的分析机,调用的次数越多。过多的分析机聚集在根部附近会严重影响系统的性能。同时叶子结点上的协议类型划分越细,分析机的效率越高。

因此,协议分析技术有检测快、准确、资源消耗少的特点,它利用网络协议的高度规则性快速探测攻击的存在。

5结束语

本文对几种降低IDS误报率和漏报率的方法进行分析研究,通过将这几种方法相互结合,能有效提高入侵检测系统的运行效率并能大大简化安全管理员的工作,从而保证网络安全的运行。由于方法论的问题,目前IDS的误报和漏报是不可能彻底解决的。因此,IDS需要走强化安全管理功能的道路,需要强化对多种安全信息的收集功能,需要提高IDS的智能化分析和报告能力,并需要与多种安全产品形成配合。只有这样,IDS才能成为网络安全的重要基础设施。

参考文献:

[1]张杰,戴英侠.入侵检测系统技术现状及其发展趋势[J].计算机与通信,2002(6):28-32.

[2]唐洪英,付国瑜.入侵检测的原理与方法[J].重庆工学院学报,2002(4):71-73.

[3]戴连英,连一峰,王航.系统安全与入侵检测技术[M].北京:清华大学出版社,2002(3).

[4]郑成兴.网络入侵防范的理论与实践[M].北京:机械工业出版社,2006:48-56.

第2篇：入侵检测论文范文

关键词：云计算；演化博弈；分布式入侵检测；趋势预测

中图分类号：TP183 文献标识码：A 文章编号：1009-3044（2016）10-0178-03

Abstract： For the lack of distributed IDS behavior analysis method in cloud computing environment， this paper proposes a model based on evolutionary game theory for distributed IDS in cloud behavior analysis and prediction， depict strategy selection trend of participator behavior with replicator dynamics equation， describe convergence trend of dynamic situation with evolutionary stable strategy， and analyse the effect on IDS behavior on different profit and loss condition. Then the paper gives out a reasonable security management suggestion for manager consider. Finally， an experiment is designed over analysis for the model to show the effectiveness of the proposed method.

Key words： cloud computing； evolutionary game； distributed intrusion detection system； trend prediction

1 概述

近年来，随着云计算的蓬勃发展，云计算的新技术、新应用正慢慢延伸到人们的日常工作和生活中，发挥着越来越重要的作用。云计算技术的进步在给人们带来方便和好处的同时，也对人们的信息安全工作提出了新的要求。云计算环境下的安全技术主要包括云资源访问控制、密文处理、数据可用性、隐私保护、虚拟安全技术等[1]。其中，对云资源的访问控制的研究仍然是一大研究热点。学者们对云资源访问控制的研究主要包括安全审计、等级保护、访问控制、入侵检测、信任评估等。其中，入侵检测技术以其主动性、全面性、智能性等优势备受青睐。然而，随着云环境的异构性与复杂性不断增强，传统网络下的入侵检测技术方案并不再能很好适应云计算日趋智能化、系统化、综合化的环境。

针对云环境日益扩大化、复杂化以及单一设备的负载过于集中等问题，学者们纷纷提出适用于云环境下的新型入侵检测模型：Dermott等[2]提出一种基于DS证据理论的协作式跨域云入侵检测系统，Akramifard等[3]则从用户行为模式分类的角度出发，提出一种基于多级模糊神经网的云入侵检测系统。其中，云环境下的分布式入侵检测系统以其独立性、灵活性、可扩展性、错误扩散小、协作性等[4]的优势越来越受到学者们的关注。Li、Kumar等[5-6]提出了一种基于云理论的分布式入侵检测系统，Li[7]提出了一种基于人工神经网的云分布式入侵检测系统，Zhang等[8]提出了一种基于粗糙集的云分布式入侵检测系统。

虽然学者们在云环境下的入侵检测技术研究做了较多工作，但很少有学者对云分布式入侵检测系统行为趋势分析、系统行为发展预测进行深入研究。本文将演化博弈理论应用于云环境下的分布式入侵检测系统行为趋势分析预测，从参与人有限理性的立场出发，提出一种基于演化博弈理论的云分布式入侵检测系统行为分析预测模型，分析讨论不同损益条件对检测系统行为的影响，得出合理的安全管理方案。最后，通过实验验证该模型的理论以及预测结果的正确性。

2 基于演化博弈理论的行为分析预测模型

本文将全部云分布式入侵检测系统看作一个种群，云中的所有分布式入侵检测系统个体是该种群的个体。各个检测系统彼此独立、对等，通过相互之间交换信息，并结合自身现状，作出是否协同工作的决定。种群中有不同比例的群体选取特定行动，将采用不同行动的入侵检测系统抽象成不同“类型”的博弈方，“类型”会随着博弈方策略而改变。执行特定行动的种群个体随机配对，组成参与人组合，也即不同策略选取组合的搭配。

3 基于演化博弈模型的云入侵检测系统行为预测

模型中的入侵检测系统作为思维有限理性的角色，对所处环境、信息并不能做到全完掌握，或可能由于自身原因做出错误决策，使得博弈结果不能总达到最佳。

从检测系统博弈的复制动态方程的鞍点来看，由于，复制动态具备稳健性的演化趋向为和，和都是稳定的演化趋向，也都是检测系统可能的策略选择。若C为定值，当协同工作带来的额外收益（G）与规避风险的保守工作带来的收益（H）之差越大，值越偏向于0，部分面积越大，代表检测系统选取协同工作策略的概率越大；相反，若部分为定值，若协同工作的成本（C）越大，值越偏向于1，代表检测系统拒绝协作、单干的概率越大。例如一般的基础设施即服务（IaaS）设备协同工作的成本（C）一般都不会改变，为提高检测系统协同工作的概率，可尝试减少回避协作带来的收益，或增大协同工作带来的额外收益，以保证云服务设备能够得到更大的保障。

4 实验分析

4.1 数据设定与模拟

本文对模型中的变量进行赋值：取H=10；G=6；C=3，实验结果如图3所示。

4.2 实验结果分析

图3描绘出了随着云入侵检测系统之间的长期博弈过程的进行，检测系统之间博弈策略选取趋势的总体相位图。由图中可观察到，检测系统存在协作与独立工作的可能，如前文分析，即便选择协作的检测系统数量高达70%，也会渐渐趋向于选择独立工作。此时若依前文结论，将协同工作的成本（C）减小为1.9，检测系统之间策略选取趋势的相位图将如图4所示，检测系统独立工作的可能性减少，而与其他检测系统协同工作的可能性增大，由此说明减小检测系统协同工作成本确实有助于增大检测系统协同工作的可能，从而验证了前文的结论。同理将回避收益（H）减少时也将有同样效果。

5 结束语

本文应用基于过程分析的演化博弈理论提出一种云分布式入侵检测系统行为分析预测博弈模型，这种有限理性的演化博弈更符合现实客观条件，通过归纳检测系统的策略收敛方向，以及不同损益对检测系统行为策略趋势造成的影响，实现了对系统的安全分析，为安全方案规划提供参考依据。通过实验验证了该方法的理论，以及预测结果的正确性。然而，由于演化稳定策略本身存在无法描述系统受到随机效应影响时的长期稳态的局限，博弈模型本身还有待完善，未来进一步的工作将研究可应对随机性问题的安全分析演化博弈模型，使分析的结论更准确完善。

参考文献：

[1] 冯登国， 张敏， 张妍， 等. 云计算安全研究[J]. 软件学报， 2011， 22（1）：71-83.

[2] ?ine MacDermott， Qi Shi， Kashif Kifayat. Collaborative Intrusion Detection in Federated Cloud Environments[J]. Journal of Computer Sciences and Applications， 2015， 3（3A）： 10-20.

[3] Akramifard H， Mohammad Khanli L， Balafar M A，et al. Intrusion Detection in the Cloud Environment Using Multi-Level Fuzzy Neural Networks[C]//Proceedings of the International Conference on Security and Management （SAM）. The Steering Committee of The World Congress in Computer Science， Computer Engineering and Applied Computing （WorldComp）， 2015： 75.

[4] 马恒太， 蒋建春， 陈伟锋. 基于Agent的分布式入侵检测系统模型[J].软件学报， 2000， 11（10）：1312-1319.

[5] Han Li， Qiu-xin Wu. A Distributed Intrusion Detection Model based on Cloud Theory[C]//Cloud Computing and Intelligent Systems （CCIS）， 2012 IEEE 2nd International Conference on. IEEE， 2012， 1： 435-439.

[6] Manish Kumar. Distributed Intrusion Detection System Scalability Enhancement using Cloud Computing[J]. Computer Science & Telecommunications， 2014， 41（1）.

[7] Zhe Li. A Neural Network based Distributed Intrusion Detection System on Cloud Platform[D]. The University of Toledo. 2013.

第3篇：入侵检测论文范文

与有线网络相比无线网络具有可移动性、不受线缆限制、组网灵活等优点，因此无线局域网在日常生活以及工作中都得到了广泛的应用，也因此，WLAN的入侵检测技术受到了使用者的普遍重视。本文主要研究了无线网所面临的威胁，并对WLAN入侵检测技术的不完整和将来的发展趋势进行了归纳与分析。

关键词:

入侵检测;无线网络;有线网络

0引言

伴着网络的快速发展，无线网络已经成为人们生活中的重要组成元素。但是无线网络的开放性却使其更易受到非法进攻，从而使得无线网络(WLAN)的安全问题研究日渐受到各方瞩目与重视。与传统有线网络比起来，WLAN开启研发较晚，发展也略显迟缓，且未构成严整体系，因此基于无线网络的入侵检测研究相对也就并未臻至充分、全面。本文则特别着重阐述无线局域网面对的主要威胁、入侵检测的技术特征，连同该技术呈现的不足以及未来发展目标也一并给出完整论述。

1无线局域网面对的威胁

一方面，无线网络与传统有线网络只是在传输方式上有区别，因此常规的有线网络中的安全风险如病毒、恶意攻击、非授权访问等在无线网络中也都是并行而共同存在的。另一方面，无线网络与有线网络在安全上也会带来一定的差异，重点体现在物理层和链路层上，因此无线网络在传输环节将更易受到攻击，可能会遭遇比有线网络更为频密的安全威胁。目前，针对WLAN的攻击主要有:嗅探窃听、伪装入侵、中间人攻击、拒绝服务攻击、暴力攻击、不法AP等。在此，则针对各类攻击的原理展开讨论，现分述如下。

1．1嗅探窃听嗅探窃听是无线局域网(WLAN)的首位攻击方法，运用了WLAN信道敞开的不足。进攻者经常在WLAN信号覆盖领域内截取报文，得到锐敏讯息。

1．2伪装入侵伪装入侵是指进攻者将本身的不法设备伪装成正当设备，是一种隐蔽等级较高的潜藏进攻方法。如果进攻者顺利诱骗对象网络，而变身为对象网络中的正当站点或正当接入点，进攻者就随即可以获得当地网络赋予的对应考察权力。

1．3中心人攻击中心人攻击是进攻者发动的针对某个网络的主机发配到另外一台主机的包实行操纵的攻击。这种攻击极具代表性，由于其中包含了当网络数据经过互联网传送时全部可能出现的攻击。攻击实现过程如图1所示。

1．4拒绝服务进攻拒绝服务(DenialofService，DoS)，形成的进攻行为可以称作攻击。这种进攻不是以得到网络的掌控权限和信息的走访权限当作目的，而是依据将网络、操作系统或应用程序的限定资源消耗，致使计算机或网络无法展开常规工作，同时也无法提供正常的服务。

1．5暴力进攻暴力进攻(Brute-ForceAttack)是通过运用数字、字母和字符的随意结合，估测用户名和口令，屡次完成探索性考察。同时，凭借其关联系统的速率，每分钟可以发起多达千万次的探索性进攻。对安全系统进行的暴力进攻将会耗费很长时间，而且进攻的成果多是无望的。

1．6不法APAP是WLAN的主要接入设备，而不法AP则是未经网络管理职员允许或委托的无线接入点。由于IEEE802.11对AP并未形成严格规定和限制，因此攻击者很容易搭建非法AP，再通过非法AP对网络和无线用户发起攻击。

2WLAN入侵检测技术

入侵(Intrusion)是指在非授权下对计算机资源的完备性、机密性、可用性造成威迫的各种预谋设计行为。入侵检测系统(IntrusionDetectionSystem，IDS)是一种自动对网络安全施行监督，如果发现危险信息就发出提醒或执行阻断措施的网络安全防御设备［1］。而与其他设备的不同之处在于IDS是一种主动的安全防护设备。WLAN入侵检测技术即是在常见入侵检测技术上加入了些无线局域网络的检测，固然可以从不同的方向对其进行划分，然而从技术达成上，多数情况下可以将其分为误用检测技术和异常检测技术，下面将详尽研究这2种入侵检测技术。

2．1异常检测异常检测是对以往操作的特征进行总结，得出以往操作的样式，通过其中一些行为与正常行为的表象差距来估计是否为入侵。主要过程如下:在综合归纳良性操作通常具备的特征之后，建立正常行为的判断指标，当某一行为和正常的行为偏差较大、即达到设定阈值时，就可断定其可归属入侵行为。

2．2误用检测误用检测(也叫滥用检测)是理解、提取入侵行为等不寻常操作的特征，设立特征库。在检测阶段利用特征库对网罗到的数据进行比对，按照比对成效鉴定是不是入侵行为［2］。误用检测系统是建立在可以运用某种形式或者特征判定手段而对所有己知的入侵实行科学、精准评析与辨识这一基础事实之上的。该系统的研究关键是如何明确形成定制的进攻特征样式可以覆盖与真实进攻有关联的全部因素，和对入侵行为特征的标识匹配。为此，如果要想达成传统概念上针对进攻行为能够获得理想准确检查效率的误用检测系统，就需要保证全部进攻行为均可利用数学语言进行科学规范表达。误用检测系统的实现手段主要有专家系统、基于模型的入侵检测、状态转换、条件概率技术和键盘监控技术等。在此，则对其展开进一步说明论述。

2．2．1专家系统专家系统是依据完整的知识库而设立的、基于规则的实用性核心方法。知识库的完整则有赖于审计记载的全面与实时性。如果能够制定得到充足、且具普适性的准则，就能检查出任何一个入侵的细小变化。

2．2．2基于模型的入侵检测基于模型的入侵检测系统的实现是利用设定的情景脚本、再根据可观察的活动来执行推断。经由观测，即可判定一定入侵情景的一连串行为，并且检验得出入侵计划。基于模型的入侵检测一般是由入侵者、预期者和解释者3个模块而组织构成。

2．2．3状态转移分析技术入侵行为是由进攻者实施的一连串的操作处理，能够控制系统从某种初始情境转变到一个受到威胁的状态。开始状态是指系统还未受到检测入侵时的情况，而危险状态是指攻击完毕后的情况，此时系统行为可演绎为一张状态转换图，伴着对审计数据的理解，系统实施状态转移［3］。这种分析研究的关键是了解入侵行为的每个步骤对系统处境的转移作用，从而能够检验出联合进攻者、以及能够运用用户会话对系统实现进攻的各类行为举措。

2．2．4条件概率技术条件概率的入侵检测方法将入侵手段对照一个事件序列，而后凭借观察事件发生的情况来估计产生的入侵。此种技术是基于事件序列，最终依据贝叶斯定理实施推理。条件概率的检测方法是基于概率观点的常规方法。具体是把贝叶斯方法实施了改进，其不足之处则是先验概率不易设定，同时事件的需求也较难满足。

2．2．5键盘监控技术实现时，通过假定入侵与指定的击键序列相对应，而后侦察客户的击键形式，再将此种模式与入侵模式进行匹配，由此可以检验得出当下的入侵行为。但是该技术只是辨别击键，因而检测不到非法恶意程序发起的自主攻击，但是其实现起来却较为简洁、高效。

3防火墙、入侵检测系统、入侵防御系统之间的区别和联系

通常在信息安全方面，防火墙、入侵检测系统等都是极其重要的安全防护设备。具体地，防火墙是根据互联网协议地址或者服务器端口来辨识和筛选数据包。但其不足则表现在:不能辨别和阻拦内部攻击，也许还会引起正确的数据包出现非预期拦截。为弥补防火墙的不足，能对外部进攻实施全部防御，一般将入侵检测系统连接在防火墙与网络设备中间［4］。对安全级别较高的网络来说，入侵检测系统是时下的优势选择。使用入侵检测系统采集网络数据信息，并把这些信息归纳、分析，从而有效识别攻击。总之，防火墙、入侵检测系统、入侵防御系统之间既有区别又有联系，只有将这3种技术予以专业、科学结合、并综合运用，才能实现最佳的安全保障效果。

4WLAN入侵检测的不足

现如今，对无线网络的入侵检测大都处于研究阶段，特别是我国仅仅处于加速起步阶段。所以无线网络领域的防范方面课题依然难以满足现时需求。综论时下研究背景可知，入侵检测技术主要存在以下不足，具体描述为:

1)入侵检测系统滞后于网络的成长速率，所以无法检测出各类新攻击，无法拦截全部数据。而若拦截网络的所有数据包，并剖析、匹配其中是否含有某种进攻的特性却会消耗不少时间和体系资源［5］。

2)不一样的入侵检测系统配置，即使得在网络有差别时就可能运用了各有不同的入侵检测技术。而且当下的入侵检测系统之间不允许讯息互换，这就使得察觉到进攻时很难找到进攻的开端，甚至由此而使入侵者获得了攻击的大漏洞。

3)目前各个系统之间的入侵检测不能实时协调合作，缺乏信息的交流，导致寻找入侵行为的源头颇为困难。甚至，各种系统之间的相互排斥反而有可能给入侵攻击者提供相应的便利和漏洞。

4)组织结构上还存在问题，现如今许多的入侵检测系统都是由曾经的根据网络或计算机的入侵检测系统改进、改良而得来的，在组织构造等方面无法使分布、开放等要求得到圆满解决。

5WLAN入侵检测的发展方向

目前，入侵检测的研究已经整合展现了众多新的发展方向。在技术上，神经网络、遗传算法、数据挖掘、免疫算法、数据融合技术等均可以尝试与传统WLAN入侵检测相结合，以此来实现对无线局域网的更为严密的安全保护。虽然经过多年的研究进展，无线局域网(WLAN)入侵检测技术已经达到了一定技术水平，但仍然有许多问题需要获得改进与完善［6］。综合分析后，可得研究结论如下:

1)入侵检测分析技术有待加强。如今的WLAN入侵检测技术所验证的入侵行径存在着许多误报和漏报，难以对WLAN网络做到高端安全保护。

2)网络管制能力有待加强。伴着网络数据的不断增加，对网络数据的解析和处理正日渐趋于困难，因此需要加强入侵检测系统的处理能力。

3)高度集成。入侵检测系统不仅需要监督互联网上的信息，还要具备对添加配置提供支持的功能。在网络配置发生非常规状况时，能够对该配置实施管制。将来的入侵检测系统应该是一个将互联网监控、入侵检测和互联网管制等功能融合联系在一起，并可以对互联网进行全面保护的系统。

6结束语

伴着无线网(WLAN)的迅猛成长，人们对其安全问题也愈发提升了重视与关注程度。入侵检测技术是防御网络进攻的根本手段之一，所以使用入侵检测技术来实现无线局域网不受威胁即已成为当下的重点研究课题［7］。本文阐述了WLAN入侵检测技术的发展现状及其存在的安全威胁，讨论了WLAN入侵检测技术是WLAN避免受到非法攻击者实施攻击行为的重要手段，分析了WLAN入侵检测的不足及其将来的发展方向。

参考文献:

［2］郑洪英，侯梅菊，王渝．入侵检测中的快速特征选择方法［J］．计算机工程，2010，36(6):262－264．

［3］薛潇，刘以安，魏敏．一种入侵检测的分类方法研究［J］．计算机工程与应用，2010，46(30):98－100．

［4］魏广科．基于WLAN的入侵检测系统研究与设计［J］．计算机与现代化，2010(8):203－206．

［5］蒋建春，马恒太，任党恩，等．网络安全入侵检测:研究综述［J］．软件学报，2000，11(11):1460－1466．

［6］朱会东，黄艳，黄永丽．无线局域网中的入侵检测研究与设计［J］．计算机技术与发展，2007，17(6):173－175．

第4篇：入侵检测论文范文

关键词：计算机数据库；入侵检测

中图分类号：TP393文献标识码：A文章编号：1007-9599 (2011) 24-0000-01

Computer Database Intrusion Detection Technology

Li Chaozhi

(Xiangtan City Public Security Bureau Network and Mobile Technology,Xiangtan411100,China)

Abstract:A computer database in the application will run into all kinds of security issues,computer database of intrusion detection technology has become increasingly obvious importance of its computer security play a role in protection,the technology has been in the field of information security widespread concern in this article only to the computer database intrusion detection technology,some aspects of the simple discussion of the Analysis.

Keywords:Computer database;Intrusion detection

入侵检测技术是对计算机网络和计算机的数据库进行多重的关卡和信息认证设置，对网络上的异常动作或者是一些对数据库进行强行攻击的行为作出自动反应的自检技术和检测系统。这是一种自动保护网络资源和数据库资源的安全保护技术。假如您的计算机的防火墙被攻击或者被绕开时，入侵检测技术就会及时发现这种行为，并在出现严重后果之前进行报警，封掉IP或进行反击等，保证您的计算机安全。一般情况下，入侵技术会在计算机的数据库中一些关键点设置网络陷阱，对病毒或者其他的网络攻击手段进行采集分析，然后分析是否遭受到了攻击，做出响应，防止入侵。

一、计算机数据库入侵检测技术的功能

按照入侵检测技术检测的方法进行分类，计算机机数据库入侵检测技术的功能可以分为反常入侵检测功能和误用入侵检测的功能。

（一）反常入侵检测功能。用户平时使用计算机的习惯行为特征会被计算机存储在数据库的特征之中的，检测系统将用户做出的行为和计算机数据库中存储的特征进行比较，假如发现比较结果相差比较大，就表明出现了反常情况了。这种方法具有能够在大量的数据中掌握检测的规则和知识，因为不用依赖经验就可以在大量的信息数据中收集人们感兴趣的，喜欢的，事先不知道的规律和知识进行检测。

（二）误用入侵检测功能。网络上出现的一些攻击行为会被存储到计算机的误用数据库特征里面，计算机对用户做出的一些使用行为和存储的特征进行比较，假如比较的结果与入侵行为特征相一致的时候，就会被判定为入侵行为。被保存在误用知识库里的入侵行为规则是可以进行随时的修改、添加、保存在数据库中的，这些规则都是由专业人士进行定义，对审计数据进行比较的。这种功能虽然能够拥有很高的检测准确率，但是由于只能对已知的攻击行为进行检测，无法对一些没有被发现的攻击入侵行为进行比较。不过这个不足是可以利用反常检测的方法来进行弥补的，所以在现实中，计算机数据库的入侵检测技术是误用检测技术和反常检测技术结合起来使用的。

二、当前入侵检测所面临的问题

我国计算机的普及也没有多少年，对于入侵检测技术的应用时间算起来也就相对比较短，结合我国目前计算机数据库入侵检测技术发展的状况而言，这项技术还不是很完善，发展的速度也比较缓慢，对于新检测理论的应用和开发也多停留在研究阶段，高新的技术也多没有投入使用，所以我国的入侵检测技术还是存在许多问题的。

（一）检测误报和漏报率比较高。数据库入侵检测系统的设定是按照“宁可错杀不可放过”的模式进行设定的，这与其要保护的是一个庞大的数据库系统有关。但是这种设定非常的严格，导致一些并不是攻击行为和病毒文件经过设置的关卡时都被错误的检测出来了，这个问题不仅对检测效率产生了影响，也降低了系统的服务质量。

（二）检测效率低下。只要是在计算机网络中，任何一个编程，任何一个行为的检测都需要经过一个庞大的计算过程，同样，入侵与反入侵也是需要计算机应用二进制算法进行一个庞大的计算过程。庞大的计算过程本就会影响效益，而而异常检测则更是增加了计算量，维护计算机的正常用户的活动时时记录更新着的事件，以保障用户正常稳定的对计算机的使用，但是这个数据的更新和记录过程会使得计算机的检测量越来越大，而普遍采用的专家系统编码和匹配攻击特征的误用检测技术在对规则集进行解释时就会形成一个高昂运行费用。

（三）自身防护性能差。通过对前面的检测系统的功能简介可知，我国当前的系统检测中因为设计人员的限制和系统的一些问题，这项技术在自我防护方面的能力比较差，这样就使得计算机系统被病毒或者其他行为攻击之后就会造成整个系统的崩溃和瘫痪，结果要么就是计算机检测数据库要么对这次攻击行为没有做好记录，要么就是系统被攻破，数据库被外界入侵了。

（四）可扩展性不够好，缺乏动机性。现在的计算机用户的心态一般都是计算机的检测系统安装之后就似乎可以一劳永逸了。反正计算机数据库入侵检测技术也不会自动升级，尽管现在可以对网络上出现的一些新的病毒进行更新，但是可升级性和可维护性依旧很差，这个问题即对用户造成困扰也对检测技术人员产生困扰。

三、计算机数据库入侵检测技术的应用和发展方向

（一）入侵检测技术的应用。随着我国当前入侵检测技术的发展，计算机网络的安全已经受到了人们的普遍关注了，特别是设计到一些秘密的计算机及其网络，比如说涉及到国家安全秘密的计算机和网络或者是涉及到公司商业秘密的计算机和网络，这些秘密的泄漏将会给国家或者是公司带来及其重大的损失。所以说的计算机安全就更加的重要了。计算机泄密的可能主要出现在硬件泄密、软件泄密、网络泄密、系统防范体系漏洞泄密等，入侵检测技术应用于其中是对其的一种保证作用，防止黑客们的攻击，所以在现实中，计算机数据库入侵检测技术会利用各种检测新技术对计算机进行防护。如：IDS的应用。在落实的过程中可以进行对Apriori算法进行更新，建立计算机数据库入侵检测系统模型，建立统一的数据库知识标准方面进行应用落实。

（二）发展方向。数据库手段发展日趋复杂化，计算机数据库入侵检测系统也主要有以下几种发展方向：分布式数据库入侵检测的应用，层次化数据库入侵检测技术的发展，数据库入侵检测技术的智能化，数据库入侵检测技术评测标准化。这些方向并不是我国选择性的去发展，而是各方面都需要积极主动的去发展，因为这个时代叫“信息”，因为这个时代需要信息的高度安全。

参考文献：

[1]乐瑞卿.计算机数据库入侵检测技术的探讨[J].科技创新论坛,2011

第5篇：入侵检测论文范文

1.课程设置作为物联网工程专业高年级开设的一门限选课，入侵检测技术既不能像信息安全专业开设的专业基础课那么深入详尽，也不能像普及式的任选深度，课程设置采用40课时，其中教学课时30课时，实验课时为10课时。

2.教学内容和实验内容的设计和实施物联网安全较之传统互联网安全涵盖的范围更广，但是其“源科学”是计算机科学，因此本课程的授课内容仍以IP网络中的入侵检测技术和计算机安全为主，增加了无线传感器网络WSN和射频识别技术RFID技术的安全问题，再加上异种网络互联互通产生的新安全问题及技术作为物联网安全的主体内容。秉承实验是这门课程获得良好教学效果的关键思想，本节将不同阶段的重要知识点和对应的实验内容设计详述如下。

2.1传统IP网络的入侵检测技术“入侵检测技术”这门课程主要涉及到的重要知识点包括：入侵检测的基本概念、入侵方法与手段、入侵检测系统数据源、基于主机的入侵检测系统、基于网络的入侵检测系统、检测引擎、告警与响应、入侵检测系统的评估、入侵检测系统的应用等。其中原理性、理论性的内容主要体现在入侵检测的原理、检测算法、评估的指标体系等。图1是标准化组织提出的IDS的总体框架，该图分三个检测阶段（检测前、检测中、检测后），囊括了上述所有重要的知识点。（1）入侵前涉及入侵检测的基本概念、入侵方法与手段、入侵检测系统数据源等知识点。重点讲授基于网络的入侵检测的数据采集技术，引入实验1——网络数据包的捕获及协议的简单分析。（2）入侵中知识点涉及IDS的各种检测原理与方法。检测方法分为误用检测、异常检测和其它检测方法。重点讲授滥用检测普遍采用的利用特征串匹配的方法、各种异常检测模型也是很重要的辅助检测方法，比如数学模型（方差模型、均方差模型、）马尔科夫链和模糊逻辑。检测又分为基于主机的检测、基于网络的检测和分布式检测。为了呈现不同原理、不同检测方法的效果，设计了实验2——审计日志的获取和简单分析，对比实验1有利于学生体会基于主机的检测方法和基于网络的检测方法的不同。（3）入侵后涉及IDS的警报响应、警报冗余消除、警报后处理技术和意图识别技术等知识点。重点讲授对于几种典型攻击，IDS的攻击报警信息和警报后处理技术，让学生认识警报含义、不同的报警格式和方式。至此，学生应该对IDS的整个工作流程有了全面的认识。为了让学生融会贯通所有知识点，设计了实验3——Snort开源IDS的构建和使用。让学生在指定的实验室环境下安装，使用IDS，老师在实验室局域网与公网断开时，运行若干典型的攻击脚本，确保Snort能抓取到攻击实例，让学生利用所学的安全知识，模拟安全管理员分析攻击态势。对于传统IP网络上的入侵检测技术的教授，可以让学生牢记图1，有助于理清各阶段的重要知识点，在相关实验中体会攻击理论性知识的应用，是这门课程获得良好教学效果的关键。

2.2物联网安全技术物联网涵盖内容非常宽泛。实际上目前物联网的构成除了传统IP网络外，各式各样的无线传感器网络WirelessSensorNetwork（WSN）构成了物联网的主体。与传统IP网络不同，WSN因其特点导致其相同的安全需求有着完全不通的安全技术。重点知识点按WSN的分层协议体系结构讲授每一层上存在的安全问题以及典型攻击。比如，物理层：各种物理破坏以及导致的信息泄露和各种拥塞攻击；数据链路层：各种耗尽攻击和碰撞攻击；网络层：各种路由攻击、泛洪攻击、女巫攻击；应用层：污水池攻击、蠕虫洞攻击等。为了使学生了解和掌握不同的攻击的原理、攻击过程和方式，设计了实验4——WSN上的各种攻击实验演示。

2.3物联网互通产生的安全问题和安全技术由于此部分内容还属于当前研究热点，在课程中将作为物联网的全新内容介绍。重点抓住一些典型攻击案例讲述互联互通中产生的安全问题及解决方法。为此设计了实验5作为典型案例。实验5——跨网络的DDoS攻击，展示了在IP网络中已经克服的DDoS攻击，互通后的残余DDos攻击流量仍然超出WSN能够承受的范围，会导致WSN网络服务质量下降，甚至耗尽WSN宝贵的能量和带宽资源。

3.实验内容设计(1)设计型实验实验1——网络数据包的捕获及协议的简单分析。网络数据包是基于网络的入侵检测系统的重要数据源，网络数据包的捕获是基于网络的入侵检测系统实现的第一步。通过该实验，使学生了解和掌握基于Socket和libpcap的网络数据包的捕获方法，理解和掌握基于网络入侵检测系统的源数据的捕获、协议分析的基本原理和实现方法。同时使学生熟悉在Linux下的C语言开发技能。实验2——主机审计日志的获取和简单分析。主机审计日志数据是基于主机入侵检测系统的重要数据源，审计数据获取的质量和数量，决定了入侵检测的有效程度。通过该实验使学生了解Linux系统的日志系统和基于主机的入侵检测系统的原理。(2)综合型实验实验3——Snort开源IDS的构建和使用。让学生根据校园网实验室环境下的需求搭建，利用Snort及第三方软件搭建一个真实的入侵检测系统。根据需求选择已有的预处理插件、检测规则，最后有针对性地完成几个相应规则的编写，并进行正确性测试。断网后在运行几个典型攻击脚本，让学生分析Snort抓获的攻击警报，做出安全态势汇报。(3)验证型实验实验4——WSN上的各种攻击实验。学生利用一些攻击类软件工具和硬件设施完成一些可能的攻击。攻击的罗列使学生了解和掌握不同的攻击的原理、攻击过程和方式，加深对入侵检测的必要性的理解；实验5——跨网络的DDoS攻击。将传统IP网络通过特定网关与实验室特定的无线传感器网络相连，在IP网络中发起DDoS攻击，将目标锁定在传感器网络内。在IP网络上安装流量观测器，让学生直观地看到攻击流量的路径。然后在网关上启动DDoS攻击检测，过滤掉98%的攻击流量，让学生观察此时无线传感器网络的性能情况，比较两种情况，得出实验结论。

4.考核体系该课程的考核采用平时成绩和期末考核成绩加权平均的方式。考虑到课程的宗旨在于加强学生动手能力，同时为了减轻学生的学习负担，平时成绩强调考核动手能力，平时作业紧扣五个实用性实验，均为实验为铺垫和准备，实际上5个综合实验成绩占50%，期末的理论考核以开放式论文形式让学生根据自己对IDS的了解和兴趣选择和IDS相关的题目撰写论文，占50%。

二、结语

第6篇：入侵检测论文范文

【关键词】网络安全 入侵检测

一、现在网络安全隐患

随着计算机技术的发展在连结信息能力、流通能力提高的同时，基于网络连接的安全问题也日益突出，很多组织正在致力于提出更多的更强大的主动策略和方案来增强网络的安全性，然而另一个更为有效的解决途径就是入侵检测。在入侵检测之前，大量的安全机制都是根据从主观的角度设计的，他们没有根据网络攻击的具体行为来决定安全对策。因此，它们对入侵行为的反应非常迟钝，很难发现未知的攻击行为，不能根据网络行为的变化来及时地调整系统的安全策略。而入侵检测正是根据网络攻击行为而进行设计的，它不仅能够发现已知入侵行为，而且有能力发现未知的入侵行为，并可以通过学习和分析入侵手段，及时地调整系

统策略以加强系统的安全性。

二、入侵检测的定义

入侵检测是从系统(网络)的关键点采集信息并分析信息，察看系统(网络)中是否有违法安全策略的行为，保证系统(网络)的安全性，完整性和可用性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。

三、入侵检测的系统功能构成

一个入侵检测系统的功能结构如图一所示，它至少包含事件提取、入侵分析、入侵响应和远程管理四部分功能。

入侵分析的任务就是在提取到的运行数据中找出入侵的痕迹，将授权的正常访问行为和非授权的不正常访问行为区分开，分析出入侵行为并对入侵者进行定位。

入侵响应功能在分析出入侵行为后被触发，根据入侵行为产生响应。

由于单个入侵检测系统的检测能力和检测范围的限制，入侵检测系统一般采用分布监视集中管理的结构，多个检测单元运行于网络中的各个网段或系统上，通过远程管理功能在一台管理站点上实现统一的管理和监控。

四、入侵检测系统分类

入侵检测系统根据其检测数据来源分为两类：基于主机的入侵检测系统和基于网络的入侵检测系统。

1.基于网络的入侵检测系统

基于网络的入侵检测系统通过网络监视来实现数据提取。在internet中，局域网普遍采用ieee 802.3协议。该协议定义主机进行数据传输时采用子网广播的方式，任何一台主机发送的数据包，都会在所经过的子网中进行广播，也就是说，任何一台主机接收和发送的数据都可以被同一子网内的其他主机接收。在正常设置下，主机的网卡对每一个到达的数据包进行过滤，只将目的地址是本机的或广播地址的数据包放入接收缓冲区，而将其他数据包丢弃，因此，正常情况下网络上的主机表现为只关心与本机有关的数据包，但是将网卡的接收模式进行适当的设置后就可以改变网卡的过滤策略，使网卡能够接收经过本网段的所有数据包，无论这些数据包的目的地是否是该主机。网卡的这种接收模式被称为混杂模式，目前绝大部分网卡都提供这种设置，因此，在需要的时候，对网卡进行合理的设置就能获得经过本网段的所有通信信息，从而实现网络监视的功能。在其他网络环境下，虽然可能不采用广播的方式传送报文，但目前很多路由设备或交换机都提供数据报文监视功能。

2.基于网络的入侵检测系统

基于主机的入侵检测系统将检测模块驻留在被保护系统上，通过提取被保护系统的运行数据并进行入侵分析来实现入侵检测的功能。

基于主机的入侵检测系统可以有若干种实现方法：

检测系统设置以发现不正当的系统设置和系统设置的不正当更改对系统安全状态进行定期检查以发现不正常的安全状态。

基于主机日志的安全审计，通过分析主机日志来发现入侵行为。基于主机的入侵检测系统具有检测效率高，分析代价小，分析速度快的特点，能够迅速并准确地定位入侵者，并可以结合操作系统和应用程序的行为特征对入侵进行进一步分析。目前很多是基于主机日志分析的入侵检测系统。基于主机的入侵检测系统存在的问题是：首先它在一定程度上依赖于系统的可靠性，它要求系统本身应该具备基本的安全功能并具有合理的设置，然后才能提取入侵信息；即使进行了正确的设置，对操作系统熟悉的攻击者仍然有可能在入侵行为完成后及时地将系统日志抹去，从而不被发觉；并且主机的日志能够提供的信息有限，有的入侵手段和途径不会在日志中有所反映，日志系统对有的入侵行为不能做出正确的响应，例如利用网络协议栈的漏洞进行的攻击，通过ping命令发送大数据包，造成系统协议栈溢出而死机，或是利用arp欺骗来伪装成其他主机进行通信，这些手段都不会被高层的日志记录下来。在数据提取的实时性、充分性、可靠性方面基于主机日志的入侵检测系统不如基于网络的入侵检测系统。

五、入侵检测技术的发展方向

近年对入侵检测技术有几个主要发展方向:

(1)分布式入侵检测与通用入侵检测架构

传统的ids一般局限于单一的主机或网络架构，对异构系统及大规模的网络的监测明显不足。同时不同的ids系统之间不能协同工作能力，为解决这一问题，需要分布式入侵检测技术与通用入侵检测架构。

(2)应用层入侵检测

许多入侵的语义只有在应用层才能理解，而目前的ids仅能检测如web之类的通用协议，而不能处理如lotus notes、数据库系统等其他的应用系统。许多基于客户、服务器结构与中间件技术及对象技术的大型应用，需要应用层的入侵检测保护。

(3)智能的入侵检测

入侵方法越来越多样化与综合化，尽管已经有智能体、神经网络与遗传算法在入侵检测领域应用研究，但是这只是一些尝试性的研究工作，需要对智能化的ids加以进一步的研究以解决其自学习与自适应能力。

入侵检测产品仍具有较大的发展空间，从技术途径来讲，我们认为，除了完善常规的、传统的技术（模式识别和完整性检测）外，应重点加强统计分析的相关技术研究。

参考文献：

第7篇：入侵检测论文范文

关键词：入侵检测系统；Agent；基于Agent的入侵检测系统模型

1.前言

随着计算机网络与因特网技术的飞速发展，信息共享日益广泛化，已深入到人们日常工作和生活的各个领域。由于人们对信息共享的依赖逐渐增强，作为信息共享基础的信息安全技术就显得尤为重要。入侵检测系统(IDS)是信息安全保障模型的一个重要组成部分，同时也是动态安全技术的核心技术之一。

2.入侵检测系统

入侵检测系统(Intrusion Detection System，IDS)是试图实现检测入侵行为的计算机系统。它对系统进行实时监控，获取系统的审计数据或网络数据包，并对所获得的数据进行分析、判断，一旦发现异常或入侵情况，发出报警并采取相应的保护措施。

3.入侵检测系统的局限性

目前的IDS存在着一定的局限性，尽管开发者一直针对这些局限性，改进和改良现有的技术。但是有些局限性是其固有的，是由IDS的体系结构造成的。其中最主要的局限性如下所示：

（1）存在单点失效问题

如果IDS自身因受到攻击或其它原因而不能正常工作时，则整个网络将失去保护。

（2）灵活性较差

目前的IDS是与操作系统紧密相关的。且当进行升级或重新配置时需要进行重新启动。

（3）有限的响应能力

传统的入侵检测系统主要关注于检测攻击。尽管检测十分有效，但是系统管理员常常无法立即分析入侵检测系统的报告并采取相应的行动，从而使攻击者在系统管理员采取行动前有机可乘。

（4）缺乏有效性

虽然一些分布式IDS在数据收集上实现了分布式，而数据的分析、入侵的检测还是由单个程序来完成的。当要求处理的事件非常多时，就无法对事件进行实时分析，从而导致IDS因来不及处理过量数据或丢失网络数据包而失效。

4.Agent

Agent是在某一环境中持续运行的、具有自治性的软件实体。Agent可分为静态智能Agent和移动Agent两种。

（1）静态智能Agent

静态智能Agent是能为用户执行特定任务、具有一定程度的智能以允许自主执行部分任务并以一种合适的方式与环境相互作用的软件程序。其主要特性包括：自治性、协同性、响应性和预动性。

（2）移动Agent

移动Agent指一个能够在网络节点间自主迁移的软件实体。它保留了静态智能Agent的一些特性，但是它主要强调其移动性。

正是由于Agent有如此多的特性，因此，将Agent应用到IDS中是实现入侵检测的一种新的方式。

5.基于Agent的入侵检测系统模型

基于Agent的入侵检测系统模型如图5-1所示。图中检测规则是以自治Agent为组织单元，共有3类自治Agent，即入侵检测Agent(Intrusion Detect Agent，IDA)、通信服务Agent(Transmit Service Agent，TSA)和心跳检查 Agent(Heart Detect Agent，HAD)。

图5-1 基于Agent的入侵检测系统模型

5.1 IDA的处理流程

IDA的处理流程，一般都经过以下几个步骤：

    （1）获取检测数据源。

    （2）进行安全检测、模式匹配或异常越界判断，确定可疑度。

（3）根据检测结果，按规则库的定义进行响应。

（4）与其他IDA通信，对可疑级别达到一定程度的事件进行可疑广播。

    （5）如果需要将数据传送给其他IDA，就通过TSA将数据传送给它们。 

（6）产生检测报告。

5.2 基于Agent的入侵检测系统模型的特点

基于Agent的入侵检测系统模型具有以下几个特点：

    （1）若有一个IDA出现问题或者受到破坏，则只有该IDA所检测的部分无效，HDA会很快检测到它的状态，并进行相应的处理，使危害限制在最小的范围内。

（2）系统的可扩充性好，无论是增加检测主机还是在主机中增加IDA都简单方便。 

（3）可以减少数据量，由于一些IDA是检测基于网络跨主机的信息，需要相关主机上的Agent为它收集信息，这些Agent可以进行预检查，采取一些措施减少数据量，这对于减少网络流量和进行有效的检测是有意义的。

    （4）灵活性，由于IDA的独立性，它可以独立地启动和停止，也可以进行动态配置，而不影响其他IDA的正常运行。要收集新数据或检测新的入侵，只需对原IDA进行重新配置或增加一个新IDA就可以了。

    （5）不同IDA可以选用不同的检测数据源，由于Agent是独立实现的，因此，它的数据来源就可以是多种多样的，这样IDS就可以既包括基于主机的IDA，也可以包括基于网络的IDA，超越了传统入侵检测模型的界限。

    （6）由于不同的IDA是独立的，它们可以分别开发，而且可以使用不同的语言开发，只需遵循统一的通信协议和采用相同的通信规则就可以了。

6.结语

本文在对IDS进行深入研究的基础上，提出的一种新的基于Agent的入侵检测系统模型。通过理论分析，此系统的特点包括可扩展性、可动态配置、集成性、有效性、便于维护、升级和可自动响应等，极大地改善了入侵检测系统的性能，因此，具有十分广阔的应用前景。

第8篇：入侵检测论文范文

【关键词】粒子群;异常检测;入侵检测

1.引言

现在互联网规模早超出地区性了，其规模在全球还不断地扩大。网络的四通八达，使得用户在访问网络资源时更快捷，更方便和内容更丰富。但网络是一种资源共享平台，在访问过程中安全问题日益突出。没有采取保护措施的网络用户极易受到来自黑客，病毒和蠕虫的攻击。因此如何保护用户在访问资源时，不受攻击变得十分重要。

当今攻击网络的手段是多种多样的，不同的攻击手段，对网络造成的破坏程度是不一样的。由于各种网络协议存在安全漏洞，因此要想避免网络技术上的漏洞是不可能的。但另一方面正是由于黑客不断的对网络进行攻击，给互联网络造成了不小的损失。

为了应对来自网络的攻击，网络科研单位的技术人员因此开发出了各种网络安全技术，同时也不断改进已有的网络安全性技术。这些设备主要有防火墙，防毒墙和入侵检测系

统。如果防火墙是第一道防护墙，那么入侵检测系统就是第二道防护墙，因此，入侵检测系统在防护设备中有着不可替代的作用。入侵检测系统是一种较为成熟的安全系统。本文以已有的入侵检测技术为基础，提出了一种新的检测方法。将粒子群技术应用到入侵检测的算法中尚属首次。

2.入侵检测技术简介

入侵检测技术的目的就是阻止网络入侵行为的发生。当今已知的网络攻击方式有两种：①已知模式的攻击，②未知模式的攻击。为了应对这两种网络攻击的方式，入侵检测技术开发出了两种检测技术：①误用检测，②异常检测[1]。误用检测是一种基于串匹配模型技术，当一个行为事件进入侵检测系统，误用检测就会根据行为事件的特征进行模式，来判断这个行为是正常的还是异常的[2]。误用检测的不足之处是在进行模式匹配的时候只能根据已知的行为事件的属性为依据，因此，该种技术只能检测出已知模式的网络攻击。异常检测是基于统计分析的检测技术，异常检测技术对网络行为的检测能力强于误用检测。异常检测最大的优势是能够同时检测出已知的网络和未知的网络攻击。由于异常检测的检测技术是根据统计学的来区分正常行为和异常行为，因此异常检测具有自我学习能力，这使得该技术在检测网络行为的属性时具有一定的智能性。异常检测技术与计算机技术相融合的有以下几种：基于神经网络的入侵检测，基于遗传算法的入侵检测和基于数据挖掘的入侵检测。入侵检测技术与其它技术融合还有：基于免疫的入侵检测技术和基于入侵容忍的入侵检测技术[2]。

3.粒子群的几个重要基本概念

种群：种群是群体的概念，最常见的种群有鸟类，鱼群。

粒子：粒子是种群中的个体，鸟群和鱼群中的个体就是种群中的粒子。

适应度函数：适应度函数能够为种群的粒子的搜索方向和寻找最优解提供依据，加快种群的收敛速度[8]。

目标函数：目标函数的目的是使得粒子在搜索空间寻找最优解，该函数的期望值就是粒子的最优解[8]。

粒子间的协作：如果粒子群中某个粒子找到了最优解，那么其它粒子可以通过粒子之间的相互学习来调整粒子的飞行的速度和方向使得粒子找到最优解。粒子在搜索空间中不会重复搜索同一个位置，这将加快种群收敛速度[10]。

4.网络数据包以及其属性的研究

在正常状态的网络流量中，一组数据包含有的包个数为10-15个，一般不会超过30个。在数据包分组中数据包个数大于20个的几率小于5%[6]。当网络被攻击时，网络中的包组数目将明显地变大并且一般都超过50.不同强度的攻击数据包组数目分布不同，越强烈的攻击，其包组数目就越大，包组数目甚至达到几百个[6]。网络链路中的常见数据包有①TCP数据包，②UDP数据包，③ICMP数据包，④Ip数据包。根据网络中数据包的大小，可将数据包分为长报文数据包和短报文数据包。长报文的字节数≥1024的个字节，短报文的字节数≤64个字节数。

检测函数：

时：

如果当前链路中某种数据包数量≈正常状态下链路中该数据包的数量，那么这时黑客攻击网络的几率很小。

如果当前链路中某种数据包的数量大于或远大于正常状态下链路中该种数据包的数量，那么这时数据包越大或个数越多，则此时网络被黑客攻击网络的几率较大。

讨论：①如果：

那么该种数据包被要求检测的概率较小。

②如果：

如果网络链路中某种数据包的数量偏离正常链路中该种数据包的越大，那么该种数据包被要求检测的概率较大。

网络数据包行为属性：入侵检测系统能够检测出来自网络具有攻击行为数据包的属性，在网络收发的数据中，这些数据包的属性有两类：①正常，②异常。正常属性的行为与异常属性的行为的逻辑关系式反对对立面得逻辑关系。因此，日常来自网络所有数据包的属性可分为三类：正常，异常和部分正常和部分异常。

5.粒子群算法在检测网络数据包属性上的应用

5.1 粒子群算法简介

粒子群算法寻找最优解的算法。由于粒子在寻找最优解时能够相互协作，因此当种群中的某个粒子找到了最优解，那么与其它粒子通过相互协作同样能够使其它粒子也找到最优解。为了使粒子在搜索空间中较快的找到最优解，算法需通过中适应函数来控制和调整种群中每个粒子自身飞行的方向和速度。如果粒子在搜索空间中找到了十分符合目标函数期望值，则此时粒子也就找到了最优解。粒子群求解的过程中加快粒子的收敛速度，也就加快了种群的收敛速度[12]。

5.2 粒子群在病毒上的应用

在某种未知的数据包组成的粒子群，在这个粒子群众每个数据包都具有自身固有的属性，所以在本文中将所有某种未知属性的数据包的属性提取出来，把数据包组成一个粒子群。而这些由某种未知数据包组成的粒子群都要在搜索空间中找到自己的最优解。因此还需构建一个搜索空间，使得每一个粒子在搜索空间中都能找到最优解。为了加快粒子群的收敛速度这里将某种已知数据包的属性种类按照一定的规模组成若干个搜索空间。这样使得求解空间中的粒子在搜索空间中都能较快的找到最优值。

基于粒子具有上述的特点，为了将粒子群技术应用在入侵检测的技术上，在这里需要建立两个函数：这两个函数分别是目标函数和适应函数，这两个函数具体形式如下：

（1）目标函数：

目标函数是用来描述粒子寻找最优解的衡量标准。n=某种未知网络数据包的大小属性值，m=该种已知网络数据包的大小属性值。

（2）适应函数：

适应函数的作用用来调整粒子飞行的方向，使得粒子的飞行的逐步接近最优解。

n=某种未知网络数据包的大小属性值，m=该种已知网络数据包的大小属性值。

5.3 粒子群参数初始化

粒子群算法在求最优化问题时，每个粒子根据如下公式来更新自己的速度和新的位置[11]

[11]

⑴

xk+1=xk+vk+1[11] ⑵

在式⑴中r1和r2为（0，1）之间的随机数，c1和c2为学习因子，一般取c1=c2=2，为惯性权重，取较大值粒子群算法具有较强的全局搜索能力，取较小值粒子群算法倾向于局部搜索。速度vk+1可以设定在vmax和vmin之间，当超过这个区域时，就取对应的上下限（下转封三）（上接第76页）值。xk位置也可设定在一定的[xmin，xmax]区间范围内，由式⑴⑵所组成的粒子群算法一般称为基本粒子算法。在此基础上，如果将惯性性权重的取值根据迭代次数依次递减，此时粒子群算被称为惯性权重线性递减粒子群算法，一般情况下，将的初值设置为0.9，然后按照迭代次数线性递减到0.4。惯性权重线性递减粒子群算法是粒子群算法研究领域一种比较常用的算法模型，因此本文采用上述惯性权重线性递减粒子群算法对病毒种群构成的粒子群进行研究[9]。

5.4 求解空间粒子群和搜索空间粒子群的划分

（1）求解空间粒子种群的划分

从求解空间中取出一个粒子，求解空间中剩余粒子个数为：n1，n2，n3，……nn;其属性值分别为n1'，n2'，n3'，……nn'。

将求解空间中的某个粒子的属性值与求解空间中所有粒子的属性值进行比较。

属性判定函数：

令x=j，如果粒子j与求解空间中的粒子属性的比较有以下的结论：

，，

，，……

则将求解空间中这n个粒子组成一个子种群，并且将这n个粒子从求解空间种群分离出去，组成一个独立的求解空间A1。

再将剩余求解空间中依次取出粒子重复以上的过程⑴，直到将求解空间种群中的粒子划分为若干子种群A1，A2，A3，A4……An。

（2）搜索空间粒子种群的划分

从求搜索间中取出一个粒子，求搜索空间中剩余粒子个数为：n1，n2，n3，……nn;其属性值分别为n1'，n2'，n3'，……nn'。

将搜索空间中的某个粒子的属性值与搜索空间中所有粒子的属性值进行比较。

属性判定函数：

令x=j，如果粒子j与搜索空间中的粒子属性的比较有以下的结论：

，，

，，……

则将搜索空间中这n个粒子组成一个子种群，并且将这n个粒子从搜索空间种群分离出去，组成一个独立的搜索空间B1。再将剩余搜索空间中依次取出粒子重复以上的过程⑵，直到将搜索空间种群中的粒子划分为若干独立的搜索空间种群B1，B2，B3，B4……Bn。

5.5 粒子群技术在检测病毒上的实现

在子种群A1，A2，A3，A4……An，中依次选出一个种群An，在种群A1中提取粒子a，粒子a的属性值为a'。

在子种群B1，B2，B3，B4……Bn中依次选出一个种群Bn，种群Bn中有粒子数b1，b2，b3，b4……bn，粒子群的属性值分别为b1，b2，b3，b4……bn。

（1）标函数：

本文中令，n=某种未知数据包的大小属性值，m=该种已知数据包的大小属性值。

粒子a寻找最优解过程如下：

，，，

，……

如果存在，则粒子a找到了最优解。

如果粒子群A中的粒子a找到了最优解，那么粒子群A中的其它粒子根据粒子群中粒子协作和竞争机制，同样能够很快地找到自身的最优解。根据相同的理由种群A1，A2，A3，A4……An，都能很快找到各自的最优解。

（2）适应函数：

适应函数的作用用来调整粒子飞行的方向，使得粒子的飞行的逐步接近最优解。

n=某种未知数据包的大小属性值，m=该种已知数据包的大小属性值。

①当：

有：

如果时：有以下讨论：

由，可得n>m，但目标函数中：，需要n≈m。

为了使n无限接近于m，达到n≈m的目的，因此在搜索空间中需要寻找属性值比粒子m属性值大的粒子，这样才能找到粒子的最优解。

②当：

有：

如果时，有以下讨论：

由，可得n

为了使n无限接近于m，达到n≈m的目的，因此在搜索空间中需要寻找属性值比粒子m属性值小的粒子，这样才能找到粒子的最优解。

③当：

有：

如果时，则此时粒子在搜索空间中找到了最优解。

5.6 粒子群技术的检测算法：

（1）初始化搜索空间中的粒子群。

（2）初始化求解空间中的粒子群。

（3）将未知种类病毒组成的种群，划分成若干个子种群，并且将子种群中的粒子数目控制在30以内。

（4）同样将搜索空间中的粒子种群划分为若干个的子种群，并且将子种群中的粒子数目控制在30以内。

（5）某个未知属性数据包组成的粒子群在搜索空间中寻找最优的解。

（6）使用适应函数不断调整粒子飞行的方向和速度。

（7）如果粒子群中的某些粒子在第一次搜索中未找到最优解，将这些粒子提取出来组成一个新的粒子群。

（8）将新组成的粒子群在下一个搜索空间寻找最优解。

5.7 粒子群技术在异常检测上应用的算法

（1）使用入侵检测系统监视网络中的流量。

（2）检测的数据包中捕获有异常的数据包。

（3）在入侵检测系统中保存在该数据包。

（4）提取未知数据包的属性，并计算出属性的值。

（5）通过粒子群算法来进行未知属性数据包与已知数据包的属性比对

（6）通过属性值的计算和属性值的比较，得出相应的结论来判断数据包是异常还是正常。

6.结束语

本文提出的新的检测算法是基于现有的入侵检测算法，并首次将粒子群技术应用到入侵检测的异常检测中。这是本文的创新点。异常检测是一种成熟的检测技术，异常检测技术与其它技术相结合的应用前景十分广泛，随着计算机技术和人工智能技术的发展，将会出现更多的新异常检测算法。随着入侵检测技术不断的发展，这必将遏制网络攻击事件的发生，网络攻击事件的成功率将会有明显的下降。

参考文献

[1]阎巧，谢维信，异常检测技术的研究与发展[J].西安电子科技大学学报，2002，2（29）1.

[2]金文进，杨武.异常检测技术研究综述[J].软件导刊，2008，1.

[3]任照松，印润远.基于统计方法的入侵检测模型[J].上海水产大学学报，2005，6（14）：2.

[4]王艳华，马志华，臧露.入侵检测技术在网络安全中的应用与研究[J].信息技术，2009，6.

[5]刘陶，叶君耀，朱永宣.一种基于统计方法的入侵检测模型的研究[J].微计算机信息，2007，23：10-3.

[6]孙知信著.网络异常流量识别与监控技术研究[M].清华大学出版社，2009.

[7]刘芳.网络流量监测与控制[M].北京邮电大学出版社，2009.8

[8]高海兵，周驰，高亮.广义粒子群优化模型[J].计算机学报，2005（28）.

[9]刘志雄，梁华.粒子群算法中随机数参数的设置与实验分析[J].控制理论与应用，2010（27）.

[10]朱丽莉，杨志鹏，袁华.粒子群优化算法分析及研究进展[J].2007.

[11]朱龙云，陈瀚宁，申海.生物启发计算[M].清华大学出版社，2013.

[12]潘峰，李位星，高琪.粒子群优化算法与多目标优化[M].北京理工大学出版社，2013.

[13]Frans David，王建新，王斌.基于异常的特征的入侵检测系统模型[J].计算机技术与自动化，2004，9（23）：3.

第9篇：入侵检测论文范文

关键词:贝叶斯优化算法;入侵检测;分类

中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)03-696-02

A Study on the Immersion and Examining Technology on the Basis of Bayesian Optimization Algorithm

PU Shi

(The Modern Technological Center of Neijiang Normal University, Neijiang 641112, China)

Abstract: As the erroneous of the present immersion and examining technology occur frequently, the author of this paper puts forward a Bayesian Optimization Algorithm, aiming to introduce the practicable method of a sliding window technology and improve this examining shill. By means of Bayesian Optimization Algorithm, the author intends to compare the experiment of Probe, DoS, UaR, R2L. Consequently, this method can complete the classification of the immersion and examination, meanwhile improving the ratio of correctness.

Key words: bayesian optimization algorithm; immersion and examining; classification

网络入侵检测技术通过分析数据包包头信息、网络流量和网络连接的各个特征属性来检测网络中存在的入侵行为,区分正常网络应用和恶意攻击。早在20世纪80年代就已经展开了对入侵检测技术的研究,根据所检测数据的来源不同,入侵检测技术经历了基于主机的入侵检测技术、基于网络的入侵检测技术和分布式入侵检测技术三个发展时期。不论是基于主机的入侵检测系统还是基于网络的入侵检测系统,早期的结构都是集中式的,数据采集模块和数据分析模块都位于同一台机器上,这和网络逐渐走向分布式、异构性的趋势并不符合。

根据采用检测方法的不同,现有的入侵检测技术从总体上可以分为三类:误用检测[1],异常检测[2]和混合检测[3]。目前,用于入侵检测技术研究方法有神经网络(Neural Network NN)、信息理论、支持向量机(Support vector machine, SVM)、贝叶斯统计(Bayesian Static)等。本文主要针对贝叶斯算法要么计算量大,要么信息丧失严重这一特点,引入免疫算法中的亲和度和浓度概念,提出了贝叶斯优化算法(Bayesian Optimization Algorithm BSOA),并通过检测技术的评价指标对数据进行仿真计算,得到了较好的结果。

1 优化贝叶斯算法在入侵检测中应用

1.1 贝叶斯算法

贝叶斯理论适合解决不确定事件,而入侵检测系统的性能指标和功能指标,都可用精确的数学公式描述和计算,可以把模糊的指标具体量化。检测率,P(B|A)表示系统在入侵情况发生的条件下,入侵检测系统能正确发出警报的概率;误报率,P(B|A)表示系统在没有实际入侵情况发生的条件下,入侵检测系统发出警报的概率;漏报率P(B|A)表示系统在入侵情况发生的条件下,入侵检测系统却检测不到而未发出警报的概率;正确率,P(B|A)表示系统在没有入侵情况发生的条件下,入侵检测系统未发警报的概率,属正确状态。在入侵检测中关键问题在于分类,用基于贝叶斯统计方法可以这样简单考虑,ki为第i个检测对象属性,{Aj}表示第j个入侵检测分类,可以用数学公式表示如下:

1.2 贝叶斯优化算法

由以上过程可知,该方法虽然能完成入侵检测的分类,但在存在以下不足:①如果不简化,计算量很大,而且很难计算,是一个不可实行的方法;②按照朴素贝叶斯方法简化,易于实现,但是过多地简化使得很多有用的信息丧失[10]。基于此引入免疫算法中的亲和度与浓度,作为贝叶斯优化算法(Bayesian Optimization Algorithm,BOA)。本如下假设:个体为某个入侵检测对象;种群为入侵检测分类。这样将个体适应度概率与个体浓度概率一起作为优良个体的选择依据,选择低浓度、高适应度的个体,能够有效地保持种群的多样性,克服容易陷入局部最优问题。设有N个个体,每个由S={0,1}中的M个分类组成,则第j个分类的信息熵为:

式中:Pij表示第i个检测对象在第j个入侵检测分类中出现概率。

若入侵检测分类j所有状态相同,那么Hj(N)=0。平均信息熵:■它反映多样性。由此得到两种入侵检测分类u和v的亲和度:

Auv的取值范围为(0,1],Auv越大表示两种入侵检测分类相似度越高,Auv=1表示两种入侵检测分类完全相同。这样可定义为:

这样每个入侵检测个体评价指标变为:

式中:pif为入侵检测分类适应度概率;pid为入侵检测分类浓度概率;α为常数调节因子。这样选择能够很好地保持入侵检测的多样性,提高算法的性能。

2.3 BSOA算法的总体框架设计

BSOA算法的总体框架如图1所示,分为训练阶段和检测阶段两部分,训练阶段按以下步骤处理:

1) 数据预处理。对符号型字段编码为数值型数据,同时对所有数据进行归一化处理。设输入数据为(α1,α2, …,αn),平均值为:

标准方差为:

归一化后的值为:

2) 随机生成初始种群。

3) 由个体的基因位确定所选择的特征、权重以及SVM训练模型参数,根据适应度函数计算每个个体的适应度函数值,计算交叉率和变异率。

4) 对被选中的两个个体进行交叉操作,产生后代个体。对被选中的个体进行变异操作。根据赌选择法按照个体的适应度丞数值大小对个体进行选择操作,并保留种群中的最优个体直接进入下一代种群。由此产生新的种群。

5) 重复执行3),直到满足适应度要求或进化到最大代数,选择当前种群的最优个体作为最优解。

检测阶段,根据选择的最优特征子集及其权重和BSOA优化参数建立BSOA检测模型,对待分类个体进行判断。

2 仿真与分析

2.1 检测技术的评价指标

为了评估检测技术的优劣,需要一系列的定量评价指标。主要的评价指标包括分类正确率、漏警率、误警率、检测时延和学习能力等。

分类正确率=被正确分类的测试样本个数/全体测试样本个数(9)

漏警率=攻击样本中被认为是正常样本的个数/全体攻击样本个数(10)

误警率=正常样本中被认为是攻击样本的个数/全体正常样本个数(11)

2.2 窗宽对结果影响

在入侵检测研究中,窗宽长度的选择,对于分类精度影响较大。在研究中针对19个窗口在mat lab中仿真,实验数据表明随着窗宽长度的增大,引进的噪声也会增大,导致预测精度的下降,耗费更多的训练及测试时间。表1是在matlab仿真实验中,所得相关数据集的实验结果。可以看出,随着窗宽增加,分类预测精度有所提高,但提高幅度有限。考虑到运算速度,我们选择窗宽15。

2.3 仿真数据集

实验数据来源于KDD CUP99数据集,该数据集由麻省理工学院林肯实验室提供。KDD CUP99数据集分为训练集和测试集两部分,包含了监听到的大量网络连接信息。每条连接信息包含4l维特征,包括基本特征集、内容特征集、流量特征集和主机流量特征集。训练数据集中的每个网络连接都被标记为正常或攻击,可能的取值包括Normal、Probe、DoS、U2R(User to Root)和R2L(Remote to Local)五种类型。在仿真中,将实验数据集分为四个部分:Probe数据集、DoS数据集、R2R数据集和U2R数据集,各个数据集的样本数量如表2所示。

2.4 仿真结果与分析

实验在Matlab 7.0环境中运行。BSOA的实验结果如表3所示。通过对各类数据集(Probe、DoS、U2R、R2L)的测试集进行实验,由仿真结果可以看出,对特征进行维数约减和空间变换后,不仅入侵特征的数量基本减少了一半,而且正确检测率仍然取得了满意的结果。

3 结论

本文在贝叶斯算法基础上,针对其局限性:要么计算量大,要么信息丧失严重这一特点。提出了改进贝叶斯优化算法,并使用该方法对入侵检测正确率进行实验仿真,并和Bayesian Belief Network方法比较,结果表明贝叶斯优化算法具有更好的分类预测性能。

参考文献:

[1] Denning D.E.An Intrusion-Detection Model[J].IEEE Transactions on Sofhvare Engineering.1987,13(2):222-232.

[2] Anderson J P. Computer security threat monitoring and surveillance[R]. Technical Report,79F296400,Fort Washington:James P.Anderson Company,1980.