前言：想要寫(xiě)出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇基于網(wǎng)絡(luò)的入侵檢測(cè)范文，相信會(huì)為您的寫(xiě)作帶來(lái)幫助，發(fā)現(xiàn)更多的寫(xiě)作思路和靈感。

基于網(wǎng)絡(luò)的入侵檢測(cè)范文第1篇

關(guān)鍵詞：入侵檢測(cè)；snort技術(shù)；檢測(cè)性能

1 引言

隨著科學(xué)技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)日趨復(fù)雜化，過(guò)去保護(hù)網(wǎng)絡(luò)安全所采用的防火墻只是被動(dòng)防御的網(wǎng)絡(luò)安全工具，已不能適應(yīng)如今復(fù)雜多變的網(wǎng)絡(luò)安全問(wèn)題。入侵檢測(cè)是網(wǎng)絡(luò)安全領(lǐng)域中一個(gè)較新的課題，檢測(cè)引擎作為其核心模塊，檢測(cè)速度將直接影響系統(tǒng)的效率，模式匹配是入侵檢測(cè)系統(tǒng)的重要檢測(cè)方法。入侵檢測(cè)技術(shù)是近年來(lái)飛速發(fā)展起來(lái)的一種集動(dòng)態(tài)的集監(jiān)控、預(yù)防和抵御系統(tǒng)入侵為一體的新型安全機(jī)制。作為傳統(tǒng)安全機(jī)制的補(bǔ)充，入侵檢測(cè)技術(shù)能夠提出預(yù)警并實(shí)行相應(yīng)反應(yīng)動(dòng)作。入侵檢測(cè)是對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源上的惡意行為進(jìn)行識(shí)別和相應(yīng)處理的過(guò)程，具有智能監(jiān)控、實(shí)時(shí)探測(cè)、動(dòng)態(tài)響應(yīng)、易于配置等特點(diǎn)。

在我國(guó)入侵檢測(cè)技術(shù)的研究起步較晚，還不夠成熟和完善，需要投入較多的精力進(jìn)行探索研究，特別是基于模式匹配也就是基于規(guī)則的入侵檢測(cè)，這對(duì)抑制黑客攻擊和網(wǎng)絡(luò)病毒的傳播，提高網(wǎng)絡(luò)安全具有重要意義。

2 網(wǎng)絡(luò)入侵檢測(cè)技術(shù)概述

入侵檢測(cè)系統(tǒng)（IDS，Intrusion Detection System）可以識(shí)別計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)，或信息系統(tǒng)的非法攻擊，主要包括檢測(cè)非法入侵者的惡意攻擊，或是合法用戶的越權(quán)行為。入侵檢測(cè)系統(tǒng)在結(jié)構(gòu)上基本一致，都由數(shù)據(jù)采集、數(shù)據(jù)分析及用戶界面等組成，不同的只是在分析采集方法和數(shù)據(jù)類(lèi)型等方面。

2.1 入侵檢測(cè)系統(tǒng)分類(lèi)

（1）基于主機(jī)的入侵檢測(cè)系統(tǒng)?；谥鳈C(jī)IDS部署在單主機(jī)上，利用審計(jì)記錄，通過(guò)操作系統(tǒng)的日志記錄，主機(jī)自動(dòng)檢測(cè)入侵行為。它不對(duì)網(wǎng)絡(luò)數(shù)據(jù)包或掃描配置進(jìn)行檢查，而是整理系統(tǒng)日志。

（2）基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)?；诰W(wǎng)絡(luò)的IDS主要用于防御外部入侵攻擊。它通過(guò)監(jiān)控出入網(wǎng)絡(luò)的通信數(shù)據(jù)流，按照一定規(guī)則分析數(shù)據(jù)流的內(nèi)容，從而發(fā)現(xiàn)協(xié)議攻擊、運(yùn)行已知黑客程序的企圖和可能破壞安全策略的特征，做出入侵攻擊判斷。

為了能夠捕獲入侵攻擊行為，基于網(wǎng)絡(luò)IDS必須位于能夠看到所有數(shù)據(jù)包的位置，這包括：環(huán)網(wǎng)內(nèi)部、安全網(wǎng)絡(luò)中緊隨防火墻之后以及其它子網(wǎng)的路由器或網(wǎng)關(guān)之后。

2.2 入侵檢測(cè)技術(shù)

入侵檢測(cè)系統(tǒng)中核心的問(wèn)題是數(shù)據(jù)分析技術(shù)，包括對(duì)原始數(shù)據(jù)的同步、整理、組織、分類(lèi)以及各種類(lèi)型的細(xì)致分析，提取其中所包含的系統(tǒng)活動(dòng)特征或模式，用于判斷行為是否正常。采用何種數(shù)據(jù)分析技術(shù)，將直接決定系統(tǒng)的檢測(cè)能力和效果。 數(shù)據(jù)分析技術(shù)分為：誤用檢測(cè)和異常檢測(cè)。誤用檢測(cè)搜索審計(jì)事件數(shù)據(jù)，查看是否存在預(yù)先定義的誤用模式，典型的有特征模式匹配技術(shù)、協(xié)議分析技術(shù)和狀態(tài)協(xié)議分析技術(shù)等；異常檢測(cè)提取正常模式審計(jì)數(shù)據(jù)的數(shù)學(xué)特征，檢查事件數(shù)據(jù)是否存在與之相違背的異常模式，典型的有統(tǒng)計(jì)分析技術(shù)、數(shù)據(jù)重組技術(shù)、行為分析技術(shù)。此外還提出了一些新技術(shù)，如免疫系統(tǒng)、基因算法、數(shù)據(jù)挖掘等。

3 Snort 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)

3.1 Snort工作原理

Snort是一個(gè)功能強(qiáng)大的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，其最大的優(yōu)勢(shì)是開(kāi)放源代碼。它利用Libpcap網(wǎng)絡(luò)數(shù)據(jù)包中捕獲并分析函數(shù)包，監(jiān)聽(tīng)有無(wú)可疑的網(wǎng)絡(luò)活動(dòng)；其數(shù)據(jù)分析技術(shù)采用基于誤用檢測(cè)技術(shù)，對(duì)數(shù)據(jù)進(jìn)行最直接的搜索匹配。Snort的工作模式包括：數(shù)據(jù)包嗅探器、數(shù)據(jù)包記錄器、網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。

3.2 Snort系統(tǒng)的體系結(jié)構(gòu)

⑴Sniffer。Sniffer數(shù)據(jù)包嗅探器的功能是捕獲網(wǎng)絡(luò)數(shù)據(jù)包并解析數(shù)據(jù)。Snort利用Libpcap庫(kù)函數(shù)捕獲數(shù)據(jù)，Libpcap能夠從鏈路層直接獲取接口函數(shù)提供給應(yīng)用程序，并且能通過(guò)設(shè)置數(shù)據(jù)包的過(guò)濾器指定所需捕獲的數(shù)據(jù)。網(wǎng)絡(luò)數(shù)據(jù)采集和解析機(jī)制是整個(gè)NIDS實(shí)現(xiàn)的基礎(chǔ)，其中關(guān)鍵的是要保證系統(tǒng)高速運(yùn)行和較低的丟包率，這對(duì)軟件的效率和硬件的處理能力都有關(guān)系。

⑵預(yù)處理器。預(yù)處理程序可以很容易擴(kuò)展Snort的功能，用戶和程序員能夠?qū)⒛K化的插件方便地融入Snort之中。預(yù)處理程序代碼在探測(cè)引擎被調(diào)用之前運(yùn)行，但在數(shù)據(jù)包譯碼之后。通過(guò)這個(gè)機(jī)制，數(shù)據(jù)包可以通過(guò)額外的方法被修改或分析。

⑶檢測(cè)引擎。Snort的核心部分就是檢測(cè)引擎，預(yù)處理器傳送捕獲的數(shù)據(jù)包后Snort根據(jù)規(guī)則庫(kù)對(duì)它們進(jìn)行匹配檢測(cè)。匹配性能的好壞取決于準(zhǔn)確性和速度。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)屬于被動(dòng)防御，不能主動(dòng)發(fā)送數(shù)據(jù)包探測(cè)，準(zhǔn)確性主要是提取入侵特征碼的精確性和編寫(xiě)規(guī)則的簡(jiǎn)潔性，只有將特征碼歸結(jié)為不同字段的特征值，再檢測(cè)特征值對(duì)入侵行為進(jìn)行判斷?？焖傩员硎緳z測(cè)引擎的組織結(jié)構(gòu)進(jìn)行規(guī)則匹配的速度，Snort用鏈表的形式組織規(guī)則。要求Snort的規(guī)則鏈表要進(jìn)行分類(lèi)和組織結(jié)構(gòu)優(yōu)化。

⑷日志和報(bào)警。Snort對(duì)被檢測(cè)包有alert、log和pass三種處理方式，這些方式具體的完成在日志和報(bào)警子系統(tǒng)中，以命令行交互的方式選擇。日志子系統(tǒng)將嗅探器收集到的數(shù)據(jù)包解碼后以文本格式或tcpdump格式記錄。報(bào)警子系統(tǒng)將報(bào)警信息寫(xiě)入指定的文件或數(shù)據(jù)庫(kù)中。

3.3 Snort總體流程

Snort的入侵檢測(cè)流程首先是規(guī)則的解析流程，主要包括讀取規(guī)則和組織規(guī)則；然后是使用規(guī)則進(jìn)行規(guī)則匹配的流程。

⑴規(guī)則解析流程。解析流程的具體過(guò)程為：①Snort讀取規(guī)則文件；②依次讀取每條規(guī)則；③解析規(guī)則語(yǔ)法，用相應(yīng)的規(guī)則語(yǔ)法表示；④在內(nèi)存中組織規(guī)則，建立規(guī)則語(yǔ)法樹(shù)。規(guī)則文件讀取ParseRulesFile（）函數(shù)檢查規(guī)則文件、讀取規(guī)則和整理多行規(guī)則。ParseRulesFile（）只是接口函數(shù)，而具體的規(guī)則解析任務(wù)主要由ParseRule（）函數(shù)實(shí)現(xiàn)。ParseRule（）函數(shù)解析每條規(guī)則，調(diào)用不同的函數(shù)并加入到規(guī)則鏈表。

ParseRule（）函數(shù)調(diào)用RuleType（）提取規(guī)則類(lèi)型。分別調(diào)用proeessHeadNode（）函數(shù)處理規(guī)則頭和proeessRuleoption（）函數(shù)處理規(guī)則選項(xiàng)。如果提取規(guī)則的類(lèi)型為PreProcess、output、config、var等則分別調(diào)用相應(yīng)的函數(shù)對(duì)其處理，完成后跳出本條規(guī)則解析，然后繼續(xù)解析下一條。

⑵規(guī)則匹配流程。Snort按照順序遍歷activation、dynamic、alert、pass、log的規(guī)則子樹(shù)。接著根據(jù)報(bào)文的IP地址和端口號(hào)，在規(guī)則頭鏈表中找到對(duì)應(yīng)的規(guī)則頭。最后，將這條數(shù)據(jù)報(bào)文匹配規(guī)則頭附帶的規(guī)則選項(xiàng)組織為鏈表。首先匹配第一個(gè)規(guī)則選項(xiàng)，若匹配則按照定義的規(guī)則行為做出處理結(jié)果。若不匹配，選擇下一個(gè)規(guī)則選項(xiàng)匹配。若所有規(guī)則都不匹配，則說(shuō)明報(bào)文不包含入侵行為特征。

4 檢測(cè)系統(tǒng)實(shí)驗(yàn)

本文的實(shí)驗(yàn)平臺(tái)主要有：Microsoft virtual pc虛擬機(jī)、windows server 2003鏡像文件、Windows 版本的Snort 安裝包、基于PHP的入侵檢測(cè)數(shù)據(jù)庫(kù)分析控制臺(tái)等。

4.1 實(shí)驗(yàn)過(guò)程：Snort的使用

（1）嗅探器：Snort從網(wǎng)絡(luò)上讀出數(shù)據(jù)包然后在控制臺(tái)上顯示。

①只需要打印TCP/IP包頭信息顯示在屏幕上，輸入命令行：./snortV

②要在硬盤(pán)上記錄全部的包，指定一個(gè)日志目錄，自動(dòng)記錄數(shù)據(jù)包，輸入：./snort -dev -l ./log

（2）網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)：命令行模式：./snort -dev -l ./log -h ***.***.***.***/** -c snort.conf

（3）網(wǎng)絡(luò)入侵檢測(cè)模式下的輸出選項(xiàng)

ASCII格式是Snort默認(rèn)的記錄日志格式，使用full報(bào)警機(jī)制，snort會(huì)在打印包頭信息后再打印報(bào)警消息。使用-s可以將報(bào)警消息發(fā)送到syslog。Snort還有另一種SMB報(bào)警機(jī)制，通過(guò)SAMBA發(fā)送到Windows主機(jī)，在運(yùn)行./configure腳本時(shí)，必須使用―enable-smbalerts。

4.2 Snort與控制臺(tái)，數(shù)據(jù)庫(kù)的使用檢測(cè)

（1）設(shè)置監(jiān)測(cè)包含的規(guī)則。

找到snort.conf文件中描述規(guī)則的部分

（2）運(yùn)行C：＼duoaduo＼Snort＼bin中的snort.exe，不關(guān)閉窗口，瀏覽網(wǎng)頁(yè)

（3）打開(kāi)acid檢測(cè)控制臺(tái)主界面

點(diǎn)擊右側(cè)圖示中TCP后的數(shù)字“1%”，將顯示所有檢測(cè)到的TCP協(xié)議日志詳細(xì)情況

5 總結(jié)

論文首先介紹網(wǎng)絡(luò)入侵檢測(cè)的概況，然后進(jìn)行了Snort檢測(cè)系統(tǒng)研究，包括其工作原理、體系結(jié)構(gòu)和入侵檢測(cè)流程等，還進(jìn)行了檢測(cè)系統(tǒng)實(shí)驗(yàn)，介紹實(shí)驗(yàn)平臺(tái)、實(shí)驗(yàn)的具體過(guò)程，來(lái)展現(xiàn)snort的工作過(guò)程，最后顯示實(shí)驗(yàn)數(shù)據(jù)和日志情況。

[參考文獻(xiàn)]

[1]高平利，任金昌.基于Snort入侵檢測(cè)系統(tǒng)的分析與實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用與軟件，2006，23（8）：134-135.

[2]王冬霞，張玉輝.基于Snort入侵檢測(cè)系統(tǒng)的研究與設(shè)計(jì)[J].科技廣場(chǎng)， 2012（9）：117-119.

基于網(wǎng)絡(luò)的入侵檢測(cè)范文第2篇

【關(guān)鍵詞】網(wǎng)絡(luò)入侵；檢測(cè)數(shù)據(jù)；挖掘技術(shù)

一、數(shù)據(jù)庫(kù)常見(jiàn)缺陷概述

雖然大多數(shù)數(shù)據(jù)庫(kù)管理系統(tǒng)都提供了安全管理機(jī)制，使對(duì)數(shù)據(jù)庫(kù)安全的需求得到了一定程度的滿足，但在很多方面仍然存在大量的問(wèn)題。首先，是數(shù)據(jù)庫(kù)賬戶和權(quán)限的濫用存在缺陷，數(shù)據(jù)庫(kù)賬戶和權(quán)限的濫用缺少針對(duì)數(shù)據(jù)庫(kù)管理員的監(jiān)控機(jī)制。數(shù)據(jù)庫(kù)管理員擁有數(shù)據(jù)庫(kù)系統(tǒng)管理、賬號(hào)管理、權(quán)限分配等系統(tǒng)最高權(quán)限。如果數(shù)據(jù)庫(kù)管理員利用工作之便，竊取敏感信息、篡改毀壞重要業(yè)務(wù)數(shù)據(jù)，對(duì)用戶數(shù)據(jù)庫(kù)安全的打擊將是致命的；其次，是數(shù)據(jù)庫(kù)自身日志審計(jì)的缺陷，此缺陷難以實(shí)時(shí)監(jiān)測(cè)發(fā)現(xiàn)問(wèn)題，數(shù)據(jù)庫(kù)系統(tǒng)自身的日志審計(jì)功能可以記錄各種數(shù)據(jù)庫(kù)系統(tǒng)修改、權(quán)限使用等日志信息，并不能幫助管理者及時(shí)發(fā)現(xiàn)定位問(wèn)題；同時(shí)由于不能實(shí)時(shí)監(jiān)測(cè)報(bào)警，因此在數(shù)據(jù)庫(kù)異常安全事件發(fā)生時(shí)，無(wú)法第一時(shí)間報(bào)告給管理者，導(dǎo)致管理者不能及時(shí)采取有效措施；第三是數(shù)據(jù)庫(kù)身份認(rèn)證的缺陷，數(shù)據(jù)庫(kù)系統(tǒng)雖然提供用戶身份認(rèn)證機(jī)制，但是用戶只有提供了正確的登錄賬號(hào)和登錄口令才能進(jìn)入數(shù)據(jù)庫(kù)服務(wù)器進(jìn)行操作。如果一個(gè)用戶通過(guò)非法手段取得一個(gè)賬號(hào)和口令，則此非法用戶可以進(jìn)入數(shù)據(jù)庫(kù)服務(wù)器進(jìn)行操作，用戶認(rèn)證機(jī)制對(duì)此則有可能無(wú)能為力。對(duì)數(shù)據(jù)庫(kù)來(lái)說(shuō)，僅僅依靠在文件和系統(tǒng)命令級(jí)的底層操作系統(tǒng)和網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)無(wú)法保證檢測(cè)的效率和精度。比如SQL注入技術(shù)是一種入侵者使用精心偽造惡意SQL語(yǔ)句來(lái)獲取用戶特權(quán)的方法，SQL注入常常利用數(shù)據(jù)庫(kù)應(yīng)用程序的漏洞，這種入侵是操作系統(tǒng)和網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)所難以檢測(cè)的。因此，對(duì)他們的非法行為往往很難檢測(cè)。數(shù)據(jù)庫(kù)入侵檢測(cè)作為一種動(dòng)態(tài)的網(wǎng)絡(luò)安全防衛(wèi)技術(shù)，能同其他安全部件一起構(gòu)成縱深的、多層次的計(jì)算機(jī)和網(wǎng)絡(luò)安全防御系統(tǒng)，對(duì)數(shù)據(jù)庫(kù)運(yùn)行系統(tǒng)的狀態(tài)和活動(dòng)進(jìn)行檢測(cè)，分析出非授權(quán)的訪問(wèn)和惡意行為，發(fā)現(xiàn)入侵行為和企圖，為入侵防范提供有效的手段，提高檢測(cè)的準(zhǔn)確度和有效性。

二、目前流行的幾種數(shù)據(jù)庫(kù)入侵檢測(cè)技術(shù)

首先，是對(duì)存儲(chǔ)篡改的檢測(cè)，對(duì)數(shù)據(jù)庫(kù)的存儲(chǔ)篡改是一種惡意修改數(shù)據(jù)庫(kù)中的存儲(chǔ)數(shù)據(jù)以降低數(shù)據(jù)質(zhì)量的行為，存儲(chǔ)篡改的目的是以錯(cuò)誤或低質(zhì)量數(shù)據(jù)誤導(dǎo)和妨礙對(duì)手的行為，存儲(chǔ)篡改是一種內(nèi)部濫用行為，檢測(cè)物是一種檢測(cè)篡改數(shù)據(jù)的惡意行為的抽象機(jī)制，在數(shù)據(jù)庫(kù)中，檢測(cè)物一般是不被正常用戶和應(yīng)用所使用，但篡改者又無(wú)法將其與正常數(shù)據(jù)區(qū)分開(kāi)的偽造數(shù)據(jù)，如果發(fā)現(xiàn)檢測(cè)物不在正?；蚩深A(yù)期的狀態(tài)則表示可能發(fā)生了數(shù)據(jù)篡改行為，對(duì)防止和檢測(cè)企圖繞過(guò)數(shù)據(jù)庫(kù)管理系統(tǒng)在磁盤(pán)級(jí)破壞數(shù)據(jù)的入侵者，通過(guò)將數(shù)據(jù)庫(kù)加密和在小塊可信存儲(chǔ)中保存的散列，驗(yàn)證數(shù)據(jù)庫(kù)正確性的方法來(lái)檢測(cè)不可信程序，對(duì)數(shù)據(jù)庫(kù)的非法讀取和修改是有效的；其次，在許多場(chǎng)合中，獨(dú)立于應(yīng)用語(yǔ)義對(duì)數(shù)據(jù)庫(kù)事務(wù)或用戶進(jìn)行檢測(cè)并不足以識(shí)別用戶的異常行為，如某個(gè)管理員突然將自己每月工資增加一萬(wàn)元，在正常情況下這是不可能的，但對(duì)建立在獨(dú)立于應(yīng)用語(yǔ)義上的檢測(cè)方法如對(duì)表存取統(tǒng)計(jì)、數(shù)據(jù)文件存取統(tǒng)計(jì)、會(huì)話統(tǒng)計(jì)或上述的各種檢測(cè)方法并不能發(fā)現(xiàn)異常，這種異常檢測(cè)只能建立在數(shù)據(jù)庫(kù)的應(yīng)用語(yǔ)義上；再次，數(shù)據(jù)庫(kù)具有自己獨(dú)特的事務(wù)處理機(jī)制和SQL語(yǔ)言查詢，對(duì)用戶使用SQL語(yǔ)句的模式進(jìn)行檢測(cè)是數(shù)據(jù)庫(kù)入侵檢測(cè)的一項(xiàng)重要內(nèi)容。指印是一種基于SQL語(yǔ)句的入侵檢測(cè)方法，指印是從合法事務(wù)中的SQL語(yǔ)句中推出的正則表達(dá)式，它代表用戶正常的行為，用戶的事務(wù)語(yǔ)句如果偏離指印集則表示可能的異常行為。指印技術(shù)特別適應(yīng)類(lèi)似于對(duì)互聯(lián)網(wǎng)上的數(shù)據(jù)庫(kù)入侵檢測(cè)，比如SQL語(yǔ)句注入，因?yàn)樵谶@些應(yīng)用中往往使用數(shù)據(jù)庫(kù)應(yīng)用來(lái)查詢數(shù)據(jù)庫(kù)，而這些應(yīng)用只通過(guò)一定接口使用固定的幾種查詢格式，不允許用戶自構(gòu)查詢，在這種情況下即使事務(wù)較大用戶較多誤警率也較低。

三、數(shù)據(jù)挖掘技術(shù)未來(lái)的發(fā)展趨勢(shì)

在未來(lái)的數(shù)據(jù)挖掘入侵檢測(cè)技術(shù)中，最有可能采用的是分布式入侵檢測(cè)技術(shù)和高級(jí)智能檢測(cè)技術(shù)。分布式入侵檢測(cè)技術(shù)不僅能對(duì)網(wǎng)絡(luò)入侵攻擊行為進(jìn)行檢測(cè)，同時(shí)也能檢測(cè)分布式攻擊，能對(duì)關(guān)鍵技術(shù)中的監(jiān)測(cè)信息進(jìn)行協(xié)同處理和對(duì)入侵攻擊的區(qū)局信息進(jìn)行提取。分布式入侵檢測(cè)技術(shù)的出現(xiàn)，改變了傳統(tǒng)入侵技術(shù)。在不久的將來(lái)，其將成為未來(lái)的入侵檢測(cè)技術(shù)主流；高級(jí)智能檢測(cè)技術(shù)，就是根據(jù)不同的檢測(cè)機(jī)理或方式進(jìn)行檢測(cè)，此技術(shù)是基于免疫機(jī)理、基于數(shù)據(jù)挖掘、基于智能體和基于遺傳算法等四種檢測(cè)法進(jìn)行的?；诿庖邫C(jī)理入侵檢測(cè)技術(shù)是以生物免疫系統(tǒng)為基礎(chǔ)的技術(shù)，這種技術(shù)是從面積系統(tǒng)中抽象出來(lái)的與計(jì)算機(jī)安全相關(guān)的原理、結(jié)構(gòu)和算法，可以對(duì)其進(jìn)行基因選擇、陰性選擇及克隆選擇等機(jī)制應(yīng)用于入侵檢測(cè)技術(shù)中。這是因?yàn)椋跀?shù)據(jù)挖掘入侵檢測(cè)技術(shù)是一種不斷可以發(fā)現(xiàn)的技術(shù)，依據(jù)該技術(shù)可以從大量的信息中提出客戶對(duì)客戶有用的信息，為正常用戶的活動(dòng)及各種侵入行為建立精確的行為模式來(lái)檢測(cè)異常入侵或是已知入侵。其最大的優(yōu)勢(shì)就是不需要人工分析和編碼入侵模式等就都能對(duì)大量的信息進(jìn)行篩選，同時(shí)也能發(fā)出有效數(shù)據(jù)挖掘算法和正確的體系結(jié)構(gòu)?；谥悄苋肭謾z測(cè)技術(shù)是一種那個(gè)自主性、交互性及反應(yīng)性都能高度自治的軟件實(shí)體，每個(gè)智能體都能獨(dú)立完成各自的工作。這種技術(shù)適于復(fù)雜多變的網(wǎng)絡(luò)環(huán)境，能通過(guò)自我學(xué)習(xí)或自我進(jìn)化提高自身的入侵檢測(cè)能力，且能利用網(wǎng)絡(luò)資源協(xié)同完成入侵檢測(cè)任務(wù)。

四、結(jié)語(yǔ)

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，各種數(shù)據(jù)庫(kù)非法入侵手段在不斷的增多。入侵檢測(cè)挖掘技術(shù)雖能彌補(bǔ)了防護(hù)墻技術(shù)的不足，但是其在發(fā)展中也存在一定的問(wèn)題。要想保證計(jì)算機(jī)系統(tǒng)正常運(yùn)行，還要加大對(duì)入侵技術(shù)的研究力度

參考文獻(xiàn)：

[1]喬佩利，馮心任.基于CMAC網(wǎng)絡(luò)的異常入侵檢測(cè)技術(shù)[J].哈爾濱理工大學(xué)學(xué)報(bào)，2010.5

[2]常紅梅.計(jì)算機(jī)數(shù)據(jù)庫(kù)的入侵檢測(cè)技術(shù)實(shí)現(xiàn)[J].信息安全與技術(shù)，2011（10）：99-101

基于網(wǎng)絡(luò)的入侵檢測(cè)范文第3篇

關(guān)鍵詞： 入侵檢測(cè)；Linux；Snort；協(xié)議分析

中圖分類(lèi)號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1671－7597（2012）0210082－01

1 課題研究目的和意義

網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。網(wǎng)絡(luò)安全從其本質(zhì)上來(lái)講就是網(wǎng)絡(luò)上的信息安全。從廣義來(lái)說(shuō)，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。網(wǎng)絡(luò)安全是一門(mén)涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。

隨著計(jì)算機(jī)的普及人們的生活也隨之改變，尤其是計(jì)算機(jī)網(wǎng)絡(luò)的出現(xiàn)，使信息時(shí)代有了更大的變化。在改變的同時(shí)，網(wǎng)絡(luò)信息的安全已日趨重要，已被信息社會(huì)的各個(gè)領(lǐng)域所重視。世界上平均每20分鐘就發(fā)生一次入侵國(guó)際互聯(lián)網(wǎng)絡(luò)的計(jì)算機(jī)安全事件，1/3的防火墻被突破。日趨嚴(yán)重的網(wǎng)絡(luò)安全問(wèn)題，對(duì)入侵攻擊的檢測(cè)與防范、保障計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)及整個(gè)信息基礎(chǔ)設(shè)施的安全已經(jīng)成為刻不容緩的重要課題。

入侵檢測(cè)系統(tǒng)（簡(jiǎn)稱(chēng)“IDS”）是一種對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視，在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。它與其他網(wǎng)絡(luò)安全設(shè)備的不同之處便在于，IDS是一種積極主動(dòng)的安全防護(hù)技術(shù)，是通過(guò)監(jiān)控網(wǎng)絡(luò)與系統(tǒng)的狀態(tài)、行為及系統(tǒng)的使用情況來(lái)檢測(cè)系統(tǒng)用戶的越權(quán)使用和系統(tǒng)外部的黑客入侵，并采取相應(yīng)的響應(yīng)措施來(lái)阻止入侵活動(dòng)。傳統(tǒng)上，一般采用防火墻作為安全的第一道防線。而隨著攻擊者知識(shí)的日趨成熟，攻擊工具和手法的日趨復(fù)雜多樣，單純的防火墻策略已無(wú)法滿足對(duì)安全高度敏感的需要，網(wǎng)絡(luò)的防衛(wèi)必須采用一種縱深的、多樣的手段，是傳統(tǒng)防火墻的必要補(bǔ)充。入侵檢測(cè)系統(tǒng)可以通過(guò)網(wǎng)絡(luò)和計(jì)算機(jī)動(dòng)態(tài)地收集大量關(guān)鍵信息資料，并能及時(shí)分析和判斷整個(gè)系統(tǒng)環(huán)境的當(dāng)前狀態(tài)，一旦發(fā)現(xiàn)有違反安全策略的行為或系統(tǒng)存在被攻擊的痕跡等，立即啟動(dòng)有關(guān)安全機(jī)制進(jìn)行應(yīng)對(duì)。例如，通過(guò)控制臺(tái)或電子郵件向網(wǎng)絡(luò)安全管理員報(bào)告案情、立即終止入侵行為、關(guān)閉整個(gè)系統(tǒng)、斷開(kāi)網(wǎng)絡(luò)連接等。

2 入侵檢測(cè)系統(tǒng)存在的問(wèn)題

入侵檢測(cè)系統(tǒng)主要通過(guò)三種形式接入被保護(hù)的網(wǎng)絡(luò)，一是以組件形式將IDS安裝到網(wǎng)絡(luò)中的單機(jī)節(jié)點(diǎn)上，用于檢測(cè)單機(jī)節(jié)點(diǎn)上的異常現(xiàn)象；二是以單機(jī)節(jié)點(diǎn)形式將IDS并聯(lián)在被保護(hù)網(wǎng)段中，用于檢測(cè)整個(gè)網(wǎng)段上的異?，F(xiàn)象；三是以分布式檢測(cè)網(wǎng)絡(luò)的形式將各IDS分布式并聯(lián)在單一網(wǎng)絡(luò)的各被保護(hù)網(wǎng)段中，用于檢測(cè)整個(gè)單一網(wǎng)絡(luò)上的異常現(xiàn)象。

入侵檢測(cè)系統(tǒng)不論以哪種形式接入網(wǎng)絡(luò)，都要求它具有安全性、完整性和并行性。安全性要求入侵檢測(cè)系統(tǒng)本身不存在隱患，也不受威脅；完整性要求入侵檢測(cè)系統(tǒng)能對(duì)所保護(hù)的全部對(duì)象及其內(nèi)容進(jìn)行檢測(cè)分析，不能遺漏；并行性要求入侵檢測(cè)系統(tǒng)能與所保護(hù)的整個(gè)系統(tǒng)中的各種活動(dòng)同步，不能滯后。

各種攻擊行為多數(shù)是利用入侵檢測(cè)系統(tǒng)在安全性、完整性和并行性上存在的缺陷而躲避檢測(cè)的。主要有四點(diǎn)：通過(guò)偽造合法的檢測(cè)項(xiàng)目欺騙入侵檢測(cè)系統(tǒng)；通過(guò)“借道”繞過(guò)入侵檢測(cè)系統(tǒng)；利用時(shí)間差躲避入侵檢測(cè)系統(tǒng)；通過(guò)直接破壞入侵檢測(cè)系統(tǒng)及其工作環(huán)境。

3 Snort規(guī)則擴(kuò)展

Snort已發(fā)展成為一個(gè)多平臺(tái)、實(shí)時(shí)流量分析、網(wǎng)絡(luò)IP數(shù)據(jù)包記錄等特性的強(qiáng)大的網(wǎng)絡(luò)入侵檢測(cè)/防御系統(tǒng)，即NIDS/NIPS.省略上幾乎每幾天就會(huì)有新的規(guī)則被更新，同時(shí)用戶也可以自己書(shū)寫(xiě)新的規(guī)則，Snort規(guī)則文件是一個(gè)ASCII文本文件，可以用常用的文本編輯器對(duì)其進(jìn)行編輯。規(guī)則文件的內(nèi)容由以下幾部分組成：

1）變量定義：在這里定義的變量可以在創(chuàng)建Snort規(guī)則時(shí)使用。

2）Snort規(guī)則：在入侵檢測(cè)時(shí)起作用的規(guī)則，這些規(guī)則應(yīng)包括了總體的入侵檢測(cè)策略。

3）預(yù)處理器：即插件，用來(lái)擴(kuò)展Snort的功能。如用portscan來(lái)檢測(cè)端口掃描。

4）包含文件Include Files：可以包括其它Snort規(guī)則文件。

在開(kāi)發(fā)高效、高速的Snort規(guī)則時(shí)，有兩個(gè)個(gè)概念要特別注意。

1）關(guān)鍵詞content指定的內(nèi)容是大小寫(xiě)敏感的，除非你使用nocase選項(xiàng)不要忘記content規(guī)則選項(xiàng)指定的內(nèi)容是大小寫(xiě)敏感的，許多程序一般使用大寫(xiě)表示命令。FTP就是一個(gè)很好的例子。請(qǐng)比較下面兩條規(guī)則：

alert tcp any any -> 192.168.1.0/24 21(content:"user root";msg:"FTP root login";)

alert tcp any any -> 192.168.1.0/24 21(content:"USER root";sg:"FTP root login";)

第二條規(guī)則可以使snort捕獲大多數(shù)使用root用戶名的自動(dòng)登錄企圖，而在數(shù)據(jù)包中從來(lái)就沒(méi)有小寫(xiě)的user。

2）提高snort對(duì)含有content規(guī)則選項(xiàng)的規(guī)則的檢測(cè)速度。

Snort檢測(cè)引擎對(duì)各個(gè)規(guī)則選項(xiàng)的測(cè)試順序與其在各條規(guī)則中所處的位置無(wú)關(guān)。在各個(gè)規(guī)則選項(xiàng)中，檢測(cè)引擎最后測(cè)試的總是content規(guī)則選項(xiàng)。因此，在開(kāi)發(fā)規(guī)則時(shí)，要盡量使用快速的選項(xiàng)篩選掉根本不必對(duì)其內(nèi)容進(jìn)行檢查的包。例如，如果實(shí)現(xiàn)了一個(gè)TCP會(huì)話過(guò)程，那么在會(huì)話過(guò)程的大部分時(shí)間內(nèi)，雙方傳輸?shù)臄?shù)據(jù)包的TCP標(biāo)志ACK、PSH都被置位。而測(cè)試包頭的TCP標(biāo)志比對(duì)數(shù)據(jù)包的內(nèi)容進(jìn)行模式匹配需要的計(jì)算量要小的多。所以，在開(kāi)發(fā)相關(guān)的檢測(cè)規(guī)則時(shí)，需要設(shè)置flags規(guī)則選項(xiàng)對(duì)PSH和ACK沒(méi)有置位的數(shù)據(jù)包進(jìn)行過(guò)濾。

參考文獻(xiàn)：

基于網(wǎng)絡(luò)的入侵檢測(cè)范文第4篇

關(guān)鍵詞：無(wú)線網(wǎng)絡(luò)；分布式；入侵檢測(cè)；分布性；標(biāo)準(zhǔn)性

中圖分類(lèi)號(hào)：F224文獻(xiàn)標(biāo)識(shí)碼： A

0 引言

在檢測(cè)大規(guī)模、多管理域的入侵行為時(shí)，可以利用分布式入侵檢測(cè)系統(tǒng)DIDS（Distributed Intrusion Detection System）實(shí)現(xiàn)，本文基于這一方向，對(duì)無(wú)線網(wǎng)絡(luò)的分布式入侵檢測(cè)模型完成了分析，這一研究對(duì)于網(wǎng)絡(luò)安全具有一定的參考價(jià)值。

1 分布式入侵檢測(cè)系統(tǒng)模型

1.1 系統(tǒng)結(jié)構(gòu)

中心控制器、主機(jī)檢測(cè)器、局域網(wǎng)檢測(cè)器是構(gòu)成DIDS的主要三個(gè)部分。中心控制器是用于對(duì)另外兩個(gè)部分進(jìn)行控制與管理。雖然規(guī)模較大的分布式入侵檢測(cè)系統(tǒng)所涉及的算法與結(jié)構(gòu)設(shè)計(jì)比較多，也比較負(fù)責(zé)，但若對(duì)當(dāng)前的眾多入侵檢測(cè)系統(tǒng)的結(jié)構(gòu)模型進(jìn)行詳細(xì)分析后，可提取出一個(gè)較為簡(jiǎn)單的基本模型。該模型對(duì)入侵檢測(cè)系統(tǒng)的基本架構(gòu)與功能進(jìn)行了介紹，它主要由探測(cè)、分析以及響應(yīng)這三個(gè)部分組成。

探測(cè)部分猶如傳感器，其數(shù)據(jù)源要么是系統(tǒng)所生成的審計(jì)文件，要么是網(wǎng)絡(luò)流量。分析部分根據(jù)探測(cè)部分所獲得的信息來(lái)對(duì)攻擊進(jìn)行探測(cè)，在這個(gè)過(guò)程中，所采用的探測(cè)模型有兩個(gè)，即異常探測(cè)與攻擊探測(cè)。而響應(yīng)部分則是通過(guò)措施來(lái)處理攻擊源，防火墻是這里較為常用的一種技術(shù)。

圖1 分布式入侵檢測(cè)系統(tǒng)的結(jié)構(gòu)

2 系統(tǒng)模型分析

體框架一樣是由三個(gè)部分組成，包括：探測(cè)、系統(tǒng)控制決策中心以及控制策略執(zhí)行。然而它們與基本結(jié)構(gòu)的三個(gè)部分并不是對(duì)應(yīng)的。前面兩個(gè)部分所采用的是標(biāo)準(zhǔn)的通信接口和系統(tǒng)控制決策中心通信，所以，為了實(shí)現(xiàn)系統(tǒng)的分布式部署與擴(kuò)充性，在設(shè)計(jì)過(guò)程中進(jìn)行了相應(yīng)的考慮，而且加強(qiáng)了所有功能的單一性，其優(yōu)勢(shì)在于可更加專(zhuān)業(yè)的檢測(cè)某種入侵行。圖2為系統(tǒng)模型圖。

圖2 分布式入侵檢測(cè)系統(tǒng)模型

2.1 分布性

分布式入侵檢測(cè)系統(tǒng)的概念指出，一旦系統(tǒng)中的分析數(shù)據(jù)部分是分布式部署的，那么入侵檢測(cè)系統(tǒng)就為分布式系統(tǒng)。因此，該系統(tǒng)也具有分布性。

2.2 標(biāo)準(zhǔn)性

基于系統(tǒng)的角度，標(biāo)準(zhǔn)性主要表現(xiàn)在兩個(gè)方面，即的形成與通信協(xié)議。的設(shè)計(jì)分為四個(gè)層次，由上往下依次是通信接口、報(bào)告產(chǎn)生器、分析模塊以及采集模塊。在通信協(xié)議中，涉及了一套定義比較嚴(yán)格的通信規(guī)則以及數(shù)據(jù)格式，另外，還對(duì)系統(tǒng)必不可少的通信行為進(jìn)行標(biāo)準(zhǔn)化定義。

2.3 可擴(kuò)充性

系統(tǒng)任何一個(gè)部分的設(shè)計(jì)都是標(biāo)準(zhǔn)的，以便于系統(tǒng)所有部分的升級(jí)以及添加新的部分。和系統(tǒng)控制決策中心的協(xié)商協(xié)議具有標(biāo)準(zhǔn)化，可實(shí)現(xiàn)注冊(cè)的動(dòng)態(tài)化。

2.4 良好的系統(tǒng)降級(jí)性和載荷最小性

如果系統(tǒng)中的某個(gè)由于某些原因而無(wú)法完成其檢測(cè)工作，會(huì)在一定程度上影響著網(wǎng)絡(luò)的檢測(cè)工作，但并不會(huì)對(duì)系統(tǒng)的整體檢測(cè)性能造成很大的影響。

系統(tǒng)各部分是相互獨(dú)立的，其功能具有單一性，在部署時(shí)，可在一臺(tái)主機(jī)上部署幾個(gè)部分。和控制決策中心之間的通信量并不大，擦用的是標(biāo)準(zhǔn)協(xié)議通信；在數(shù)據(jù)傳遞的過(guò)程中，僅對(duì)控制中心所要求的數(shù)據(jù)進(jìn)行傳輸，因此，數(shù)據(jù)傳輸量較小。

3 模型組成部分的功能描述

3.1 探測(cè)

探測(cè)的任務(wù)是獲取網(wǎng)絡(luò)上的初始數(shù)據(jù)，再通過(guò)相應(yīng)的探測(cè)模型來(lái)分析數(shù)據(jù)，在數(shù)據(jù)存儲(chǔ)設(shè)備中以相應(yīng)的格式將想要保存的數(shù)據(jù)存儲(chǔ)起來(lái)。經(jīng)過(guò)與系統(tǒng)控制中心的交流，以相應(yīng)的格式傳送系統(tǒng)控制中心所要求的數(shù)據(jù)。

以上功能，探測(cè)要在四個(gè)層次的模塊相互協(xié)作的情況下方可完成。按照數(shù)據(jù)傳輸?shù)南群?，這四個(gè)模塊為采集模塊、報(bào)告產(chǎn)生器、分析模塊以及通信接口。

采集模塊所獲取的初始數(shù)據(jù)直接來(lái)自于網(wǎng)絡(luò)。在數(shù)據(jù)獲取過(guò)程中，采用了一個(gè)基于BSD的bpf思想的通用的libpcap庫(kù)，以使可支持多個(gè)操作系統(tǒng)。分析模塊可通過(guò)采集模塊獲取格式化的數(shù)據(jù)包信息。

在分析模塊獲取了數(shù)據(jù)包信息之后，入侵檢測(cè)模型啟動(dòng)并處理數(shù)據(jù)。在此，入侵檢測(cè)模型分為異常檢測(cè)和入侵檢測(cè)這兩種模型。

異常檢測(cè)模型會(huì)按照不同的功能進(jìn)行相應(yīng)級(jí)別的入侵檢測(cè)。模型會(huì)進(jìn)行基于包頭和基于報(bào)文內(nèi)容這兩個(gè)級(jí)別的檢查。前者檢查的內(nèi)容也就是鏈路層、IP層以及TCP層包頭，在數(shù)據(jù)存儲(chǔ)設(shè)備中保存異常數(shù)據(jù)。后者則是記錄入侵檢測(cè)過(guò)程中的異常信息。我們將基于包頭級(jí)別的檢查稱(chēng)為系統(tǒng)級(jí)探測(cè)，將基于報(bào)文內(nèi)容的檢查稱(chēng)為應(yīng)用級(jí)探測(cè)。

入侵檢測(cè)模型在檢測(cè)的過(guò)程中會(huì)比較已經(jīng)格式化的信息和已知的攻擊模型特征。若經(jīng)過(guò)對(duì)比之后發(fā)現(xiàn)兩者完全相同，那么就可判斷為一種攻擊，在存儲(chǔ)該攻擊信息的同時(shí)，將其報(bào)告給系統(tǒng)控制決策中心，由控制決策中心來(lái)決策如何處理該攻擊。

報(bào)告產(chǎn)生器就是從數(shù)據(jù)存儲(chǔ)設(shè)備中將系統(tǒng)控制決策中心所要求的信息提取出來(lái)。提取出來(lái)的信息可形成攻擊或異常視圖，而它就包含了一部分存儲(chǔ)信息。

3.2 系統(tǒng)控制決策中心

用戶所發(fā)送的請(qǐng)求被系統(tǒng)控制決策中心所接收，當(dāng)數(shù)據(jù)請(qǐng)求產(chǎn)生后，會(huì)由指定的入侵檢測(cè)進(jìn)行接收，當(dāng)響應(yīng)信息被接收后會(huì)被處理為用戶視圖。若有行為被用戶認(rèn)為是攻擊行為，會(huì)將請(qǐng)求發(fā)送給探測(cè)策略執(zhí)行，以對(duì)攻擊行為進(jìn)行相應(yīng)的阻止。

用戶接口的用途是為用戶提供操作界面。該界面可幫助用戶實(shí)現(xiàn)對(duì)系統(tǒng)進(jìn)行控制以及請(qǐng)求數(shù)據(jù)。當(dāng)用戶發(fā)出請(qǐng)求后，用戶接口會(huì)將其轉(zhuǎn)換成系統(tǒng)的請(qǐng)求，接下來(lái)的處理則是由下層模塊來(lái)完成。

控制與管理按照系統(tǒng)請(qǐng)求的不同類(lèi)型來(lái)建立協(xié)議數(shù)據(jù)傳輸單元，再由下層協(xié)議通信接口來(lái)提出發(fā)送請(qǐng)求。

協(xié)議通信接口是用于對(duì)所發(fā)的協(xié)議數(shù)據(jù)進(jìn)行識(shí)別和處理；并向所有發(fā)送系統(tǒng)控制決策中心的用戶請(qǐng)求，從而實(shí)現(xiàn)管理與控制。

3.3 探測(cè)策略執(zhí)行

探測(cè)策略執(zhí)行主要是控制攻擊者的行為以滿足系統(tǒng)控制決策中心的要求，而所謂的控制主要包括以下三個(gè)方面：監(jiān)控、訪問(wèn)權(quán)限的限制及取消。通信接口與控制執(zhí)行是探測(cè)策略執(zhí)行的兩個(gè)主要組成部分，不過(guò)這兩個(gè)部分要實(shí)現(xiàn)其對(duì)應(yīng)的功能則還需一個(gè)配置模塊的幫助。可通過(guò)這個(gè)模塊進(jìn)行控制接口的建立，該接口與控制系統(tǒng)沒(méi)有任何關(guān)系。由于防火墻是現(xiàn)在使用的最多的一種網(wǎng)絡(luò)控制系統(tǒng)，只有很少一部分的防火墻系統(tǒng)未設(shè)置系統(tǒng)命令接口。在此基礎(chǔ)之上，在進(jìn)行通用控制接口的設(shè)計(jì)時(shí)，先定義一組控制功能集合，再完成由系統(tǒng)功能集合到防火墻系統(tǒng)命令集合的映射的建立。

對(duì)比之前的通信模塊，探測(cè)策略執(zhí)行的通信接口功能并無(wú)任何區(qū)別。對(duì)于該類(lèi)而言，控制執(zhí)行是最為重要的一部分。通過(guò)接收到的來(lái)自通信接口的協(xié)議數(shù)據(jù)，對(duì)系統(tǒng)控制與決策中心的目的進(jìn)行分析。再通過(guò)配置過(guò)程中所創(chuàng)建的映射關(guān)系來(lái)進(jìn)行有關(guān)控制系統(tǒng)的控制規(guī)則的建立。

參考文獻(xiàn)：

[1]馬恒太,蔣建春,陳偉鋒,卿斯?jié)h. 基于Agent的分布式入侵檢測(cè)系統(tǒng)模型[J]. 軟件學(xué)報(bào),2000,10:1312-1319.

[2]王曉煜. 基于遺傳算法的分布式入侵檢測(cè)模型研究[J]. 燕山大學(xué)學(xué)報(bào),2004,03:257-261.

[3]歐雅捷,陳國(guó)龍. 基于免疫的分布式入侵檢測(cè)模型研究[J]. 福建電腦,2004,08:7-8.

基于網(wǎng)絡(luò)的入侵檢測(cè)范文第5篇

關(guān)鍵詞：智能小區(qū) 入侵檢測(cè) 模糊神經(jīng)網(wǎng)絡(luò) 人臉識(shí)別

前言

隨著微電子技術(shù)和網(wǎng)絡(luò)技術(shù)高速發(fā)展，人們對(duì)居住環(huán)境的安全性，便捷性和舒適度提出了越來(lái)越高的要求，從而智能小區(qū)應(yīng)運(yùn)而生。另一方面，由于這幾年帶流動(dòng)人口的增加帶來(lái)了來(lái)很多安全隱患，因此，智能小區(qū)入侵檢測(cè)系統(tǒng)是智能小區(qū)不可缺少的系統(tǒng)設(shè)備。

基于傳感器網(wǎng)絡(luò)和模糊神經(jīng)網(wǎng)絡(luò)的智能小區(qū)無(wú)線入侵檢測(cè)系統(tǒng)是一種重要的安全防御體系，可應(yīng)用于各居民住宅，辦公室等地。目前在小區(qū)監(jiān)視范圍內(nèi)都把攝相機(jī)加入了傳感器網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)。攝相機(jī)直接發(fā)送信息到中央控制器，在監(jiān)控室工作的工作人員，通過(guò)接收到的錄像信息就可以做出判斷。因此，這種系統(tǒng)智能性不高。如果沒(méi)有發(fā)現(xiàn)入侵行動(dòng)，社區(qū)的安全將難以保證。此外，如果已經(jīng)發(fā)生入侵行動(dòng)，工作人員也很難從大量的存儲(chǔ)圖像中找到入侵者。

模糊神經(jīng)網(wǎng)絡(luò)結(jié)合了模糊理論和神經(jīng)網(wǎng)絡(luò)理論,同時(shí)具有模糊邏輯和神經(jīng)網(wǎng)絡(luò)的優(yōu)勢(shì)，集學(xué)習(xí)，聯(lián)想，識(shí)別，自適應(yīng)和模糊信息處理于一體。因此，整個(gè)系統(tǒng)學(xué)習(xí)能力和表達(dá)能力被加強(qiáng)了。模糊神經(jīng)網(wǎng)絡(luò)被廣泛應(yīng)用于模式識(shí)別領(lǐng)域。人臉辨識(shí)是一類(lèi)模式識(shí)別的問(wèn)題，考慮到模糊神經(jīng)網(wǎng)絡(luò)具有特殊的優(yōu)勢(shì)和傳統(tǒng)小區(qū)入侵檢測(cè)系統(tǒng)所具有缺陷，本文所研究的系統(tǒng)將解決這些問(wèn)題。模糊神經(jīng)網(wǎng)絡(luò)是用來(lái)識(shí)別和分析傳感器從系統(tǒng)中所收集的人臉圖像信息，當(dāng)有人入侵時(shí)，將分析結(jié)果發(fā)送給工作人員，同時(shí)將圖像自動(dòng)地存儲(chǔ)在一個(gè)特殊的內(nèi)存區(qū)域。通過(guò)此方法，該系統(tǒng)可以協(xié)助工作人員監(jiān)控小區(qū)，并立即從特殊內(nèi)存區(qū)域找出入侵的圖像?？傊?，這種方法提高了系統(tǒng)安全防御能力。

1小區(qū)入侵檢測(cè)系統(tǒng)：

小區(qū)入侵檢測(cè)系統(tǒng)由數(shù)據(jù)采集節(jié)點(diǎn)，無(wú)線局域網(wǎng)和中央控制器組成的。系統(tǒng)節(jié)點(diǎn)采用由傳感器擴(kuò)大ARM平臺(tái)。傳感器單元包括攝像頭，麥克風(fēng)，人體紅外線傳感器，火焰?zhèn)鞲衅?，煙霧傳感器，光敏傳感器，聲光報(bào)警器等。無(wú)線局域網(wǎng)采用無(wú)線網(wǎng)狀網(wǎng)絡(luò)，控制中心采用計(jì)算機(jī)工作站，分散的節(jié)點(diǎn)收集信號(hào)，并建立了多點(diǎn)網(wǎng)絡(luò)的。因此，整個(gè)系統(tǒng)具有低功耗優(yōu)勢(shì)，便捷的軟件和硬件擴(kuò)展功能，網(wǎng)絡(luò)通信和方便安裝的安全防御設(shè)施。

當(dāng)入侵檢測(cè)系統(tǒng)工作時(shí)，數(shù)據(jù)采集節(jié)點(diǎn)收集環(huán)境信息，紅外傳感器開(kāi)始檢測(cè)人是否已闖進(jìn)來(lái)。系統(tǒng)可靠性將得到改善，當(dāng)然，由動(dòng)物引起的誤報(bào)是可以避免的。當(dāng)有異?，F(xiàn)象，系統(tǒng)啟動(dòng)相機(jī)和模糊神經(jīng)網(wǎng)絡(luò)算法是用來(lái)識(shí)別人臉，而這些檢測(cè)和識(shí)別結(jié)果發(fā)送到控制中心，然后在控制中心，面部識(shí)別結(jié)果和異常信息被保存在特殊記憶的。到了晚上，光敏傳感器信號(hào)和紅外傳感器信號(hào)同時(shí)被接收，系統(tǒng)打開(kāi)的攝像機(jī)相機(jī)被發(fā)光二極管?chē)@，既可以節(jié)省電能，并在同一時(shí)間確保相機(jī)仍在黑暗中有效捕捉圖像。

當(dāng)信息通過(guò)網(wǎng)絡(luò)傳輸時(shí)，信號(hào)發(fā)送到無(wú)線網(wǎng)狀網(wǎng)絡(luò)傳輸與協(xié)議的網(wǎng)絡(luò)控制中心。當(dāng)信息獲取，控制中心將采取不同的處理方式，根據(jù)不同報(bào)警信息報(bào)警。如果有入侵信號(hào)，入侵進(jìn)程，迎接功能將被儲(chǔ)存在一個(gè)特定的內(nèi)存。沒(méi)有入侵信號(hào)，然后顯示圖像，并儲(chǔ)存在記憶體中的。即使沒(méi)有及時(shí)指出入侵，工人也可以尋找特定存儲(chǔ)區(qū)域，找出入侵者。

2應(yīng)用

通過(guò)參數(shù)和面部特征，并結(jié)合專(zhuān)家經(jīng)驗(yàn)相關(guān)分析，選擇幾種特征參數(shù)的模糊神經(jīng)網(wǎng)絡(luò)的輸入神經(jīng)元，這些參數(shù)是左眼寬度，右眼寬度，水平距離中心之間的口，左側(cè)面，兩者之間的嘴和鼻子，眼睛之間的距離和鼻子中間的垂直中心的垂直距離。

直到樣品的正?；?，可以選擇不同的訓(xùn)練樣本數(shù)和不同的測(cè)試樣本數(shù)和每一次輸入到模糊神經(jīng)網(wǎng)絡(luò)模型和BP網(wǎng)絡(luò)的學(xué)習(xí)訓(xùn)練樣本，然后使用測(cè)試樣本測(cè)試結(jié)果。人臉識(shí)別方法基于模糊神經(jīng)網(wǎng)絡(luò)具有較高的穩(wěn)定性，并能獲得更高的分類(lèi)和識(shí)別準(zhǔn)確性。