網絡檢測論文

論文既是探討問題進行學術研究的一種手段，又是描述學術研究成果進行學術交流的一種工具。關於網絡檢測的論文應該怎麼寫?

　　網絡檢測論文篇一：

網絡異常流量檢測研究

摘要:異常流量檢測是目前IDS入侵檢測系統)研究的一個重要分支,實時異常檢測的前提是能夠實時,對大規模高速網絡流量進行異常檢測首先要面臨高速流量載荷問題,由於測度、分析和存儲等計算機資源的限制,無法實現全網絡現流量的實時檢測,因此,抽樣測度技術成爲高速網絡流量測度的研究重點。

關鍵詞:網絡 異常流量 檢測

一、異常流量監測基礎知識

異常流量有許多可能的來源,包括新的應用系統與業務上線、計算機病毒、黑客入侵、網絡蠕蟲、拒絕網絡服務、使用非法軟件、網絡設備故障、非法佔用網絡帶寬等。網絡流量異常的檢測方法可以歸結爲以下四類:統計異常檢測法、基於機器學習的異常檢測方法、基於數據挖掘的異常檢測法和基於神經網絡的異常檢測法等。用於異常檢測的5種統計模型有:①操作模型。該模型假設異常可透過測量結果和指標相比較得到,指標可以根據經驗或一段時間的統計平均得到。②方差。計算參數的方差,設定其置信區間,當測量值超出了置信區間的範圍時表明可能存在異常。③多元模型。操作模型的擴展,透過同時分析多個參數實現檢測。④馬爾可夫過程模型。將每種類型事件定義爲系統狀態,用狀態轉移矩陣來表示狀態的變化。若對應於發生事件的狀態轉移矩陣概率較小,則該事件可能是異常事件。⑤時間序列模型。將測度按時間排序,如一新事件在該時間發生的概率較低,則該事件可能是異常事件。

二、系統介紹分析與設計

本系統執行在子網連接主幹網的出口處,以旁路的方式接入邊界的交換設備中。從交換設備中流過的數據包,經由軟件捕獲,處理,分析和判斷,可以對以異常流量方式出現的攻擊行爲告警。本系統需要檢測的基本的攻擊行爲如下:(1)ICMP攻擊(2)TCP攻擊,包括但不限於SYN Flood、RST Flood(3)IP NULL攻擊(4)IP Fragmentation攻擊(5)IP Private Address Space攻擊(6)UDP Flood攻擊(7)掃描攻擊不同於以特徵、規則和策略爲基礎的入侵檢測系統(Intrusion Detection Systems),本研究着眼於建立正常情況下網絡流量的模型,透過該模型,流量異常檢測系統可以實時地發現所觀測到的流量與正常流量模型之間的偏差。當偏差達到一定程度引發流量分配的變化時,產生系統告警(ALERT),並由網絡中的其他設備來完成對攻擊行爲的阻斷。系統的核心技術包括網絡正常流量模型的獲取、及對所觀察流量的匯聚和分析。由於當前網絡以IPv4爲主體,網絡通訊中的智能分佈在主機上,而不是集中於網絡交換設備,而在TCP/IP協議中和主機操作系統中存在大量的漏洞,況且網絡的使用者的誤用(misuse)也時有發生,這就使得網絡正常流量模型的建立存在很大的難度。爲達到保障子網的正常執行的最終目的,在本系統中,採用下列方式來建立多層次的網絡流量模型:

(1)會話正常行爲模型。根據IP報文的五元組(源地址、源端口、目的地址、目的端口和協議),TCP和UDP報文可以構成流(flow)或僞流(pseudo-flow)。兩個五元組中源和目的相反的流可以構成一個會話。由於ICMP的特殊性,對於ICMP的報文,分別進行處理:ICMP(query)消息構成獨立會話,而ICMP錯誤(error)消息則根據報文中包含的IP報頭映射到由IP報頭所制定的會話中去。每一類協議(TCP/UDP/ICMP)的正常行爲由一個有限狀態及刻畫。在這個狀態機中,如果一個事件的到來導致了錯誤狀態的出現,那麼和狀態機關聯的計數器對錯誤累加。協議狀態機是一種相對嚴格的行爲模型,累加的錯誤計數本身並不一定代表發現了攻擊行爲。

(2)流量規則特徵模型。在正常的網絡流量中,存在着穩定的規則特徵。比如一個IP收到和發出的含SYN標誌位和含FIN標誌位的報文的比值、一個IP的出度和入度的比值以及一個IP的平均會話錯誤數等。這些網絡不變量是檢驗在一定時間區間內,一個IP是否行爲異常的標準之一。這個模型要求對會話表中的會話摘要(一個含有會話特徵的向量)進行匯聚,在會話正常行爲模型基礎上增加攻擊行爲判斷的準確程度。

(3)網絡流量關聯模型。把一些流量特徵(如字節數、報文數、會話錯誤數等)在一定時間區間內的累加值記錄下來,可以看作時間序列。透過對序列的分析,可以找到長期的均值、方差、週期、趨勢等特徵。當攻擊行爲發生時,觀察到的一些流量特徵會偏離其長期特徵。這種特徵偏離的相關性就提供了判斷是否攻擊已發生的一個依據。

三、大規模流量異常檢測框架

異常檢測通常需要描述正常網絡行爲,網絡行爲模型越準確,異常檢測算法效果越好。在大規模流量異常檢測中通常透過網絡探針瞭解單個實體或結點的行爲來推測整個網絡行爲,基於網絡斷層成像(network tomography)思想透過使用探針測量推斷網絡特徵,這是檢測非協作(noncooperative)網絡異常和非直接管理控制網絡異常的有效手段。對於單個管理域,基於實體研究可以向網絡管理者提供有用資訊,例如網絡拓撲。在單個結點使用一些基本的網絡設計和流量描述的方法,可以檢測網絡異常和性能瓶頸。然後觸發網絡管理系統的告警和恢復機制。爲了對大規模網絡的性能和行爲有一個基本的瞭解,需要收集和處理大量網絡資訊。有時,全局網絡性能資訊不能直接獲得,只有綜合所獲得的本地網絡資訊才能對全局網絡行爲有個大致的瞭解。因爲不存在準確的正常網絡操作的統計模型,使得難以描述異常網絡模型的統計行爲,也沒有單個變量或參數能包括正常網絡功能的各個方面。需要從多個統計特徵完全不同的矩陣中合成資訊的問題。爲解決該問題,有人提出利用操作矩陣關聯單個參數資訊。但導致算法的計算複雜度較高,爲了滿足異常檢測的實時性要求,本文關聯本地和全局數據檢測網絡異常。儘管本章利用行爲模型對IP Forwarding異常進行檢測,但該方法並不僅限於檢測本地異常。透過關聯多條網絡鏈路的時間序列數據,也可以檢測類似於空間的網絡異常。因此,該方法可以擴展到其他類型的大規模網絡數據和其他大規模網絡異常。

參考文獻:

[1]司偉紅.淺析網絡攻擊常用方法.科技廣場,2006,7:36-38.

[2]卿斯漢等.入侵檢測技術研究綜述.通信學報,2004,25(7):20-25.

[3]戴英俠、連一峯、王航.系統安全與入侵檢測.北京:清華大學出版社,2002:24-26.

　　網絡檢測論文篇二：

網絡入侵檢測系統初探

　【摘要】本文針對網絡入侵檢測系統進行了相關的研究。首先對入侵檢測的概念做了簡要的敘述，其次着重分析了當前的入侵檢測技術，對目前網絡安全中存在的問題和入侵檢測系統的發展趨勢做了簡明的論述。

【關鍵詞】網絡安全;入侵檢測

0.引言

隨着計算機技術、通信技術和資訊技術的飛速發展，各種各樣的網絡應用已經越來越廣泛地滲透到人類地生活、工作的各個領域。特別是透過Internet，人們可以極爲方便地產生、發送、獲取和利用資訊。Internet在給人們帶來巨大便利的同時，也產生了許多意想不到的問題，網絡安全就是其中一個突出的問題。造成Internet不安全的原因，一方面是Internet本身設計的不安全以及操作系統、應用軟件等存在着安全漏洞;另一方面是由於網絡安全的發展落後於網絡攻擊的發展。目前網絡中應用最廣、功能最強大的安全工具莫過於防火牆，但是防火牆的安全功能是有限的，它很難防止僞造IP攻擊。因此，發展一種新的網絡安全防禦手段來加強網絡安全性便成了亟待解決的問題。入侵檢測是幫助系統對付網絡內部攻擊和外部攻擊的.一種解決方案。入侵檢測技術是當今一種非常重要的動態安全技術，它與靜態防火牆技術等共同使用，可以大大提高系統的安全防護水平。

1.入侵檢測的概念及功能

入侵就是指任何試圖危及資訊資源的機密性、完整性和可用性的行爲。而入侵檢測就是對入侵行爲的發覺，它透過從計算機網絡或系統中的若干關鍵點收集資訊，並對這些資訊進行分析，從而發現網絡系統中是否有違反安全策略的行爲和遭到攻擊的跡象。通常入侵檢測系統(Intrusion Detection System， IDS)是由軟件和硬件組成的。入侵檢測是防火牆的合理補充，在不影響網絡性能的情況下能對網絡進行監測，從而提供對內部攻擊、外部攻擊和誤操作的實時保護。另外，它也擴展了系統管理員的安全管理能力，有助於提高資訊安全基礎結構的完整性，是對原有安全系統的一個重要補充。入侵檢測系統收集計算機系統和網絡的資訊，並對這些資訊加以分析，對被保護的系統進行安全審計、監控、攻擊識別並做出實時的反應。

入侵檢測的主要功能包括：(1)監視、分析用戶及系統活動;(2)系統構造和弱點的審計;(3)映已知進攻的活動模式並進行相關人士報警;(4)模式的統計分析;(5)要系統和數據檔案的完整性;(6)的審計跟蹤管理，並識別用戶違反安全策略的行爲。

2.入侵檢測的資訊來源

對於入侵檢測系統而言，輸入數據的選擇是首先需要解決的問題，目前的入侵檢測系統的數據來源主要包括：(1)操作系統的審計記錄;(2)系統日誌;(3)應用程序日誌;(4)基於網絡數據的資訊源;(4)來自其他安全產品的數據源。

3.入侵檢測系統的基本模型

在入侵檢測系統的發展過程中，大致經歷了集中式、層次式和集成式三個階段，代表這三個階段的入侵檢測系統的基本模型分別是通用入侵檢測模型(Denning模型)、層次化入侵檢測模型(IDM)和管理式入侵檢測模型(SNMP-IDSM)。

3.1 通用入侵檢測模型

Denning於1987年最早提出一個通用的入侵檢測模型(如圖2.1所示)。

該模型由6個部分組成：(1) 主體(Subject);(2) 對象(Object);(3) 審計記錄(Audit Records);(4) 活動簡檔(Activity Profile);(5) 異常記錄(Anomaly Record);(6)活動規則。

3.2 IDM模型

Steven Snapp在設計和開發分佈式入侵檢測系統DIDS時，提出一個層次化的入侵檢測模型，簡稱IDM。該模型將入侵檢測分爲六個層次，分別爲：數據(data)、事件(event)、主體(subject)、上下文(context)、威脅(threat)、安全狀態(security state)。

IDM模型給出了在推斷網絡中的計算機受攻擊時數據的抽象過程。也就是說，它給出了將分散的原始數據轉換爲高層次有關入侵和被監測環境的全部安全假設過程。透過把收集到的分散數據進行加工抽象和數據關聯操作，IDM構造了一臺虛擬的機器環境，這臺機器由所有相連的主機和網絡組成。將分佈式系統看成一臺虛擬計算機的觀點簡化了跨越單機入侵行爲的識別。IDM也應用於只有單臺計算機的小型網絡。

3.3 SNMP-IDSM模型

隨着網絡技術的飛速發展，網絡攻擊手段也越來越複雜，攻擊者大都是透過合作的方式來攻擊某個目標系統，而單獨的IDS難以發現這種類型的入侵行爲。然而，如果IDS系統也能夠像攻擊者那樣合作，就有可能檢測到入侵者。這樣就要有一種公共的語言和統一的數據表達格式，能夠讓IDS系統之間順利交換資訊，從而實現分佈式協同檢測。北卡羅萊那州立大學的Felix Wu等人從網絡管理的角度考慮IDS模型，突出了基於SNMP的IDS模型，簡稱SNMP-IDSM.。

SNMP-IDSM以SNMP爲公共語言來實現IDS系統之間的消息交換和協同檢測，它定義了IDS-MIB，使得原始事件和抽象事件之間關係明確，並且易於擴展。SNMP-IDSM定義了用來描述入侵事件的管理資訊庫MIB，並將入侵事件分析爲原始事件(Raw Event)和抽象事件(Abstract Event)兩層結構。原始事件指的是引起安全狀態遷移的事件或者是表示單個變量遷移的事件，而抽象事件是指分析原始事件所產生的事件。原始事件和抽象事件的資訊都用四元組來描述。

4.入侵檢測的分類和分析方法

4.1入侵檢測的分類

透過對現有的入侵檢測系統和技術研究，可對入侵檢測系統進行如下分類：

根據目標系統的類型可以將入侵檢測系統分爲兩類：

(1) 基於主機(Host-Based)的IDS。通常，基於主機的入侵檢測系統可以監測系統事件和操作系統下的安全記錄以及系統記錄。當有檔案發生變化時，入侵檢測系統就將新的記錄條目與攻擊標記相比較，看它們是否匹配。 　　(2) 基於網絡(Network-Based)的IDS。該系統使用原始網絡數據包作爲數據源，利用一個執行在混雜模式下的網絡適配器來實時監測並分析透過網絡的所有通信業務。

根據入侵檢測系統分析的數據來源，數據源可以是主機系統日誌、網絡數據包、應用程序的日誌、防火牆報警日誌以及其他入侵檢測系統的報警資訊等，可以將入侵檢測系統分爲基於不同分析數據源的入侵檢測系統。

根據入侵檢測方法可以將入侵檢測系統分爲兩類：

(1) 異常IDS。該類系統利用被監控系統正常行爲的資訊作爲檢測系統中入侵、異常活動的依據。

(2) 誤用IDS。誤用入侵檢測系統根據已知入侵攻擊的資訊(知識、模式)來檢測系統的入侵和攻擊。

根據檢測系統對入侵攻擊的響應方式，可以將入侵檢測系統分爲兩類：

(1) 主動的入侵檢測系統。它在檢測出入侵後，可自動的對目標系統中的漏洞採取修補、強制可疑用戶(可能的入侵者)退出系統以及關閉相關服務等對策和響應措施。

(2) 被動的入侵檢測系統。它在檢測出對系統的入侵攻擊後只是產生報警資訊通知系統安全管理員，至於之後的處理工作則有系統管理員完成。

根據系統各個模組執行的分步方式，可以將入侵檢測系統分爲兩類：

(1) 集中式入侵檢測系統。系統的各個模組包括數據的收集與分析以及響應都集中在一臺主機上執行，這種方式適用於網絡環境比較簡單的情況。

(2) 分佈式入侵檢測系統。系統的各個模組分佈在網絡中不同的計算機、設備上，一般而言，分佈性主要體現在數據收集模組上，如果網絡環境比較複雜、數據量比較大，那麼數據分析模組也會分佈，一般是按照層次性的原則進行組織。

當前衆多的入侵檢測系統和技術，基本上是根據檢測方法、目標系統、資訊數據源來設計的。

4.2 入侵檢測的分析方法

從入侵檢測的角度來說，分析是指對用戶和系統活動數據進行有效的組織、整理及特徵提取，以鑑別出感興趣的攻擊。這種行爲的鑑別可以實時進行，也可以事後分析，在很多情況下，事後的進一步分析是爲了尋找行爲的責任人。入侵檢測的方法主要由誤用檢測和異常檢測組成。

誤用檢測對於系統事件提出的問題是：這個活動是惡意的嗎?誤用檢測涉及到對入侵指示器已知的具體行爲的解碼資訊，然後爲這些指示器過濾事件數據。要想執行誤用檢測，需要有一個對誤用行爲構成的良好理解，有一個可靠的用戶活動記錄，有一個可靠的分析活動事件的方法。

異常檢測需要建立正常用戶行爲特徵輪廓，然後將實際用戶行爲和這些特徵輪廓相比較，並標示正常的偏離。異常檢測的基礎是異常行爲模式系統誤用。輪廓定義成度量集合。度量衡量用戶特定方面的行爲。每一個度量與一個閾值相聯繫。異常檢測依靠一個假定：用戶表現爲可預測的、一致的系統使用模式。

有些入侵檢測方法既不是誤用檢測也不屬異常檢測的範圍。這些方案可應用於上述兩類檢測。它們可以驅動或精簡這兩種檢測形式的先行活動，或以不同於傳統的影響檢測策略方式。這類方案包括免疫系統方法、遺傳算法、基於代理檢測以及數據挖掘技術。

5.入侵檢測系統的侷限性與發展趨勢

5.1入侵檢測系統的侷限性

現有的IDS系統多采用單一體系結構，所有的工作包括數據的採集、分析都由單一主機上的單一程序來完成。而一些分佈式的IDS只是在數據採集上實現了分佈式，數據的分析、入侵的發現還是由單一個程序完成。這樣的結構造成了如下的缺點：

(1) 可擴展性較差。單一主機檢測限制了監測的主機數和網絡規模，入侵檢測的實時性要求高，數據過多將會導致其過載，從而出現丟失網絡數據包的問題。

(2) 單點失效。當IDS系統自身受到攻擊或某些原因不能正常工作時，保護功能會喪失。

(3) 系統缺乏靈活性和可配置性。如果系統需要加入新的模組和功能時，必須修改和重新安裝整個系統。

5.2 入侵檢測的發展趨勢

入侵檢測的發展趨勢主要主要表現在：(1) 大規模網絡的問題; (2) 網絡結構的變化; (3) 網絡複雜化的思考;(4) 高速網絡的挑戰;(5) 無線網絡的進步;(6) 分佈式計算;(7) 入侵複雜化;(8) 多種分析方法並存的局面。

對於入網絡侵檢測系統，分析方法是系統的核心。多種分析方法綜合運用纔是可行之道，將各種分析方法有機結合起來，構建出高性能的入侵檢測系統是一個值得研究的問題，我們需要不斷的研究去完善它。

參考文獻：

[1]張宏. 網絡安全基礎(第一版)[M].北京：機械工業出版社， 2004.

[2]石志國，薛爲民，江俐.計算機網絡安全教程[M].北京：清華大學出版社，2004年.

[3]唐正軍. 網路入侵檢測系統的設計與實現(第一版) [M]北京：電子工業出版社，2002.

[4]郭魏，吳承榮. [J]入侵檢測方法概述. 《計算機工程》，1999年 第11期.

[5]泰和信科.內網安全管理[M].重慶：泰和信科，2003年.

[6]薛靜鋒， 寧宇朋等.入侵檢測技術(第一版)[M].北京：機械工業出版社，2004.

[7]葉中行. 資訊論基礎(第一版) [M].北京：高等教育出版社，2003.

[8]杜虹.談談“內網”安全. [J].《資訊安全與通信保密》，2005年 第2期.

[9]崔薇.入侵檢測系統的研究現狀及發展趨勢 [J].《西安郵電學院學報》，2006年 第1期.

[10]金衛. 入侵檢測技術的研究[J].《山東師範大學學報》，2005年 第4期.