基于网络的入侵检测
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇基于网络的入侵检测范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
基于网络的入侵检测范文第1篇
关键词:入侵检测;snort技术;检测性能
1 引言
随着科学技术的不断发展,网络日趋复杂化,过去保护网络安全所采用的防火墙只是被动防御的网络安全工具,已不能适应如今复杂多变的网络安全问题。入侵检测是网络安全领域中一个较新的课题,检测引擎作为其核心模块,检测速度将直接影响系统的效率,模式匹配是入侵检测系统的重要检测方法。入侵检测技术是近年来飞速发展起来的一种集动态的集监控、预防和抵御系统入侵为一体的新型安全机制。作为传统安全机制的补充,入侵检测技术能够提出预警并实行相应反应动作。入侵检测是对计算机和网络资源上的恶意行为进行识别和相应处理的过程,具有智能监控、实时探测、动态响应、易于配置等特点。
在我国入侵检测技术的研究起步较晚,还不够成熟和完善,需要投入较多的精力进行探索研究,特别是基于模式匹配也就是基于规则的入侵检测,这对抑制黑客攻击和网络病毒的传播,提高网络安全具有重要意义。
入侵检测系统(IDS,Intrusion Detection System)可以识别计算机和网络系统,或信息系统的非法攻击,主要包括检测非法入侵者的恶意攻击,或是合法用户的越权行为。入侵检测系统在结构上基本一致,都由数据采集、数据分析及用户界面等组成,不同的只是在分析采集方法和数据类型等方面。
2.1 入侵检测系统分类
(1)基于主机的入侵检测系统。基于主机IDS部署在单主机上,利用审计记录,通过操作系统的日志记录,主机自动检测入侵行为。它不对网络数据包或扫描配置进行检查,而是整理系统日志。
(2)基于网络的入侵检测系统。基于网络的IDS主要用于防御外部入侵攻击。它通过监控出入网络的通信数据流,按照一定规则分析数据流的内容,从而发现协议攻击、运行已知黑客程序的企图和可能破坏安全策略的特征,做出入侵攻击判断。
为了能够捕获入侵攻击行为,基于网络IDS必须位于能够看到所有数据包的位置,这包括:环网内部、安全网络中紧随防火墙之后以及其它子网的路由器或网关之后。
2.2 入侵检测技术
入侵检测系统中核心的问题是数据分析技术,包括对原始数据的同步、整理、组织、分类以及各种类型的细致分析,提取其中所包含的系统活动特征或模式,用于判断行为是否正常。采用何种数据分析技术,将直接决定系统的检测能力和效果。 数据分析技术分为:误用检测和异常检测。误用检测搜索审计事件数据,查看是否存在预先定义的误用模式,典型的有特征模式匹配技术、协议分析技术和状态协议分析技术等;异常检测提取正常模式审计数据的数学特征,检查事件数据是否存在与之相违背的异常模式,典型的有统计分析技术、数据重组技术、行为分析技术。此外还提出了一些新技术,如免疫系统、基因算法、数据挖掘等。
3 Snort 网络入侵检测系统
3.1 Snort工作原理
Snort是一个功能强大的网络入侵检测系统,其最大的优势是开放源代码。它利用Libpcap网络数据包中捕获并分析函数包,监听有无可疑的网络活动;其数据分析技术采用基于误用检测技术,对数据进行最直接的搜索匹配。Snort的工作模式包括:数据包嗅探器、数据包记录器、网络入侵检测系统。
3.2 Snort系统的体系结构
⑴Sniffer。Sniffer数据包嗅探器的功能是捕获网络数据包并解析数据。Snort利用Libpcap库函数捕获数据,Libpcap能够从链路层直接获取接口函数提供给应用程序,并且能通过设置数据包的过滤器指定所需捕获的数据。网络数据采集和解析机制是整个NIDS实现的基础,其中关键的是要保证系统高速运行和较低的丢包率,这对软件的效率和硬件的处理能力都有关系。
⑵预处理器。预处理程序可以很容易扩展Snort的功能,用户和程序员能够将模块化的插件方便地融入Snort之中。预处理程序代码在探测引擎被调用之前运行,但在数据包译码之后。通过这个机制,数据包可以通过额外的方法被修改或分析。
⑶检测引擎。Snort的核心部分就是检测引擎,预处理器传送捕获的数据包后Snort根据规则库对它们进行匹配检测。匹配性能的好坏取决于准确性和速度。网络入侵检测系统属于被动防御,不能主动发送数据包探测,准确性主要是提取入侵特征码的精确性和编写规则的简洁性,只有将特征码归结为不同字段的特征值,再检测特征值对入侵行为进行判断。快速性表示检测引擎的组织结构进行规则匹配的速度,Snort用链表的形式组织规则。要求Snort的规则链表要进行分类和组织结构优化。
⑷日志和报警。Snort对被检测包有alert、log和pass三种处理方式,这些方式具体的完成在日志和报警子系统中,以命令行交互的方式选择。日志子系统将嗅探器收集到的数据包解码后以文本格式或tcpdump格式记录。报警子系统将报警信息写入指定的文件或数据库中。
3.3 Snort总体流程
Snort的入侵检测流程首先是规则的解析流程,主要包括读取规则和组织规则;然后是使用规则进行规则匹配的流程。
⑴规则解析流程。解析流程的具体过程为:①Snort读取规则文件;②依次读取每条规则;③解析规则语法,用相应的规则语法表示;④在内存中组织规则,建立规则语法树。规则文件读取ParseRulesFile()函数检查规则文件、读取规则和整理多行规则。ParseRulesFile()只是接口函数,而具体的规则解析任务主要由ParseRule()函数实现。ParseRule()函数解析每条规则,调用不同的函数并加入到规则链表。
ParseRule()函数调用RuleType()提取规则类型。分别调用proeessHeadNode()函数处理规则头和proeessRuleoption()函数处理规则选项。如果提取规则的类型为PreProcess、output、config、var等则分别调用相应的函数对其处理,完成后跳出本条规则解析,然后继续解析下一条。
⑵规则匹配流程。Snort按照顺序遍历activation、dynamic、alert、pass、log的规则子树。接着根据报文的IP地址和端口号,在规则头链表中找到对应的规则头。最后,将这条数据报文匹配规则头附带的规则选项组织为链表。首先匹配第一个规则选项,若匹配则按照定义的规则行为做出处理结果。若不匹配,选择下一个规则选项匹配。若所有规则都不匹配,则说明报文不包含入侵行为特征。
4 检测系统实验
本文的实验平台主要有:Microsoft virtual pc虚拟机、windows server 2003镜像文件、Windows 版本的Snort 安装包、基于PHP的入侵检测数据库分析控制台等。
4.1 实验过程:Snort的使用
(1)嗅探器:Snort从网络上读出数据包然后在控制台上显示。
①只需要打印TCP/IP包头信息显示在屏幕上,输入命令行:./snortV
②要在硬盘上记录全部的包,指定一个日志目录,自动记录数据包,输入:./snort -dev -l ./log
(2)网络入侵检测系统:命令行模式:./snort -dev -l ./log -h ***.***.***.***/** -c snort.conf
(3)网络入侵检测模式下的输出选项
ASCII格式是Snort默认的记录日志格式,使用full报警机制,snort会在打印包头信息后再打印报警消息。使用-s可以将报警消息发送到syslog。Snort还有另一种SMB报警机制,通过SAMBA发送到Windows主机,在运行./configure脚本时,必须使用―enable-smbalerts。
4.2 Snort与控制台,数据库的使用检测
(1)设置监测包含的规则。
找到snort.conf文件中描述规则的部分
(2)运行C:\duoaduo\Snort\bin中的snort.exe,不关闭窗口,浏览网页
(3)打开acid检测控制台主界面
点击右侧图示中TCP后的数字“1%”,将显示所有检测到的TCP协议日志详细情况
5 总结
论文首先介绍网络入侵检测的概况,然后进行了Snort检测系统研究,包括其工作原理、体系结构和入侵检测流程等,还进行了检测系统实验,介绍实验平台、实验的具体过程,来展现snort的工作过程,最后显示实验数据和日志情况。
[参考文献]
[1]高平利,任金昌.基于Snort入侵检测系统的分析与实现[J].计算机应用与软件,2006,23(8):134-135.
[2]王冬霞,张玉辉.基于Snort入侵检测系统的研究与设计[J].科技广场, 2012(9):117-119.
基于网络的入侵检测范文第2篇
【关键词】网络入侵;检测数据;挖掘技术
一、数据库常见缺陷概述
虽然大多数数据库管理系统都提供了安全管理机制,使对数据库安全的需求得到了一定程度的满足,但在很多方面仍然存在大量的问题。首先,是数据库账户和权限的滥用存在缺陷,数据库账户和权限的滥用缺少针对数据库管理员的监控机制。数据库管理员拥有数据库系统管理、账号管理、权限分配等系统最高权限。如果数据库管理员利用工作之便,窃取敏感信息、篡改毁坏重要业务数据,对用户数据库安全的打击将是致命的;其次,是数据库自身日志审计的缺陷,此缺陷难以实时监测发现问题,数据库系统自身的日志审计功能可以记录各种数据库系统修改、权限使用等日志信息,并不能帮助管理者及时发现定位问题;同时由于不能实时监测报警,因此在数据库异常安全事件发生时,无法第一时间报告给管理者,导致管理者不能及时采取有效措施;第三是数据库身份认证的缺陷,数据库系统虽然提供用户身份认证机制,但是用户只有提供了正确的登录账号和登录口令才能进入数据库服务器进行操作。如果一个用户通过非法手段取得一个账号和口令,则此非法用户可以进入数据库服务器进行操作,用户认证机制对此则有可能无能为力。对数据库来说,仅仅依靠在文件和系统命令级的底层操作系统和网络入侵检测系统无法保证检测的效率和精度。比如SQL注入技术是一种入侵者使用精心伪造恶意SQL语句来获取用户特权的方法,SQL注入常常利用数据库应用程序的漏洞,这种入侵是操作系统和网络入侵检测系统所难以检测的。因此,对他们的非法行为往往很难检测。数据库入侵检测作为一种动态的网络安全防卫技术,能同其他安全部件一起构成纵深的、多层次的计算机和网络安全防御系统,对数据库运行系统的状态和活动进行检测,分析出非授权的访问和恶意行为,发现入侵行为和企图,为入侵防范提供有效的手段,提高检测的准确度和有效性。
二、目前流行的几种数据库入侵检测技术
首先,是对存储篡改的检测,对数据库的存储篡改是一种恶意修改数据库中的存储数据以降低数据质量的行为,存储篡改的目的是以错误或低质量数据误导和妨碍对手的行为,存储篡改是一种内部滥用行为,检测物是一种检测篡改数据的恶意行为的抽象机制,在数据库中,检测物一般是不被正常用户和应用所使用,但篡改者又无法将其与正常数据区分开的伪造数据,如果发现检测物不在正常或可预期的状态则表示可能发生了数据篡改行为,对防止和检测企图绕过数据库管理系统在磁盘级破坏数据的入侵者,通过将数据库加密和在小块可信存储中保存的散列,验证数据库正确性的方法来检测不可信程序,对数据库的非法读取和修改是有效的;其次,在许多场合中,独立于应用语义对数据库事务或用户进行检测并不足以识别用户的异常行为,如某个管理员突然将自己每月工资增加一万元,在正常情况下这是不可能的,但对建立在独立于应用语义上的检测方法如对表存取统计、数据文件存取统计、会话统计或上述的各种检测方法并不能发现异常,这种异常检测只能建立在数据库的应用语义上;再次,数据库具有自己独特的事务处理机制和SQL语言查询,对用户使用SQL语句的模式进行检测是数据库入侵检测的一项重要内容。指印是一种基于SQL语句的入侵检测方法,指印是从合法事务中的SQL语句中推出的正则表达式,它代表用户正常的行为,用户的事务语句如果偏离指印集则表示可能的异常行为。指印技术特别适应类似于对互联网上的数据库入侵检测,比如SQL语句注入,因为在这些应用中往往使用数据库应用来查询数据库,而这些应用只通过一定接口使用固定的几种查询格式,不允许用户自构查询,在这种情况下即使事务较大用户较多误警率也较低。
三、数据挖掘技术未来的发展趋势
在未来的数据挖掘入侵检测技术中,最有可能采用的是分布式入侵检测技术和高级智能检测技术。分布式入侵检测技术不仅能对网络入侵攻击行为进行检测,同时也能检测分布式攻击,能对关键技术中的监测信息进行协同处理和对入侵攻击的区局信息进行提取。分布式入侵检测技术的出现,改变了传统入侵技术。在不久的将来,其将成为未来的入侵检测技术主流;高级智能检测技术,就是根据不同的检测机理或方式进行检测,此技术是基于免疫机理、基于数据挖掘、基于智能体和基于遗传算法等四种检测法进行的。基于免疫机理入侵检测技术是以生物免疫系统为基础的技术,这种技术是从面积系统中抽象出来的与计算机安全相关的原理、结构和算法,可以对其进行基因选择、阴性选择及克隆选择等机制应用于入侵检测技术中。这是因为,基于数据挖掘入侵检测技术是一种不断可以发现的技术,依据该技术可以从大量的信息中提出客户对客户有用的信息,为正常用户的活动及各种侵入行为建立精确的行为模式来检测异常入侵或是已知入侵。其最大的优势就是不需要人工分析和编码入侵模式等就都能对大量的信息进行筛选,同时也能发出有效数据挖掘算法和正确的体系结构。基于智能入侵检测技术是一种那个自主性、交互性及反应性都能高度自治的软件实体,每个智能体都能独立完成各自的工作。这种技术适于复杂多变的网络环境,能通过自我学习或自我进化提高自身的入侵检测能力,且能利用网络资源协同完成入侵检测任务。
四、结语
随着计算机网络技术的不断发展,各种数据库非法入侵手段在不断的增多。入侵检测挖掘技术虽能弥补了防护墙技术的不足,但是其在发展中也存在一定的问题。要想保证计算机系统正常运行,还要加大对入侵技术的研究力度
参考文献:
[1]乔佩利,冯心任.基于CMAC网络的异常入侵检测技术[J].哈尔滨理工大学学报,2010.5
[2]常红梅.计算机数据库的入侵检测技术实现[J].信息安全与技术,2011(10):99-101
基于网络的入侵检测范文第3篇
关键词: 入侵检测;Linux;Snort;协议分析
中图分类号:TP393.08 文献标识码:A 文章编号:1671-7597(2012)0210082-01
1 课题研究目的和意义
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。
随着计算机的普及人们的生活也随之改变,尤其是计算机网络的出现,使信息时代有了更大的变化。在改变的同时,网络信息的安全已日趋重要,已被信息社会的各个领域所重视。世界上平均每20分钟就发生一次入侵国际互联网络的计算机安全事件,1/3的防火墙被突破。日趋严重的网络安全问题,对入侵攻击的检测与防范、保障计算机系统、网络系统及整个信息基础设施的安全已经成为刻不容缓的重要课题。
入侵检测系统(简称“IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术,是通过监控网络与系统的状态、行为及系统的使用情况来检测系统用户的越权使用和系统外部的黑客入侵,并采取相应的响应措施来阻止入侵活动。传统上,一般采用防火墙作为安全的第一道防线。而随着攻击者知识的日趋成熟,攻击工具和手法的日趋复杂多样,单纯的防火墙策略已无法满足对安全高度敏感的需要,网络的防卫必须采用一种纵深的、多样的手段,是传统防火墙的必要补充。入侵检测系统可以通过网络和计算机动态地收集大量关键信息资料,并能及时分析和判断整个系统环境的当前状态,一旦发现有违反安全策略的行为或系统存在被攻击的痕迹等,立即启动有关安全机制进行应对。例如,通过控制台或电子邮件向网络安全管理员报告案情、立即终止入侵行为、关闭整个系统、断开网络连接等。
2 入侵检测系统存在的问题
入侵检测系统主要通过三种形式接入被保护的网络,一是以组件形式将IDS安装到网络中的单机节点上,用于检测单机节点上的异常现象;二是以单机节点形式将IDS并联在被保护网段中,用于检测整个网段上的异常现象;三是以分布式检测网络的形式将各IDS分布式并联在单一网络的各被保护网段中,用于检测整个单一网络上的异常现象。
入侵检测系统不论以哪种形式接入网络,都要求它具有安全性、完整性和并行性。安全性要求入侵检测系统本身不存在隐患,也不受威胁;完整性要求入侵检测系统能对所保护的全部对象及其内容进行检测分析,不能遗漏;并行性要求入侵检测系统能与所保护的整个系统中的各种活动同步,不能滞后。
各种攻击行为多数是利用入侵检测系统在安全性、完整性和并行性上存在的缺陷而躲避检测的。主要有四点:通过伪造合法的检测项目欺骗入侵检测系统;通过“借道”绕过入侵检测系统;利用时间差躲避入侵检测系统;通过直接破坏入侵检测系统及其工作环境。
3 Snort规则扩展
Snort已发展成为一个多平台、实时流量分析、网络IP数据包记录等特性的强大的网络入侵检测/防御系统,即NIDS/NIPS.省略上几乎每几天就会有新的规则被更新,同时用户也可以自己书写新的规则,Snort规则文件是一个ASCII文本文件,可以用常用的文本编辑器对其进行编辑。规则文件的内容由以下几部分组成:
1)变量定义:在这里定义的变量可以在创建Snort规则时使用。
2)Snort规则:在入侵检测时起作用的规则,这些规则应包括了总体的入侵检测策略。
3)预处理器:即插件,用来扩展Snort的功能。如用portscan来检测端口扫描。
4)包含文件Include Files:可以包括其它Snort规则文件。
在开发高效、高速的Snort规则时,有两个个概念要特别注意。
1)关键词content指定的内容是大小写敏感的,除非你使用nocase选项不要忘记content规则选项指定的内容是大小写敏感的,许多程序一般使用大写表示命令。FTP就是一个很好的例子。请比较下面两条规则:
alert tcp any any -> 192.168.1.0/24 21(content:"user root";msg:"FTP root login";)
alert tcp any any -> 192.168.1.0/24 21(content:"USER root";sg:"FTP root login";)
第二条规则可以使snort捕获大多数使用root用户名的自动登录企图,而在数据包中从来就没有小写的user。
2)提高snort对含有content规则选项的规则的检测速度。
Snort检测引擎对各个规则选项的测试顺序与其在各条规则中所处的位置无关。在各个规则选项中,检测引擎最后测试的总是content规则选项。因此,在开发规则时,要尽量使用快速的选项筛选掉根本不必对其内容进行检查的包。例如,如果实现了一个TCP会话过程,那么在会话过程的大部分时间内,双方传输的数据包的TCP标志ACK、PSH都被置位。而测试包头的TCP标志比对数据包的内容进行模式匹配需要的计算量要小的多。所以,在开发相关的检测规则时,需要设置flags规则选项对PSH和ACK没有置位的数据包进行过滤。
参考文献:
基于网络的入侵检测范文第4篇
关键词:无线网络;分布式;入侵检测;分布性;标准性
中图分类号:F224文献标识码: A
0 引言
在检测大规模、多管理域的入侵行为时,可以利用分布式入侵检测系统DIDS(Distributed Intrusion Detection System)实现,本文基于这一方向,对无线网络的分布式入侵检测模型完成了分析,这一研究对于网络安全具有一定的参考价值。
1 分布式入侵检测系统模型
1.1 系统结构
中心控制器、主机检测器、局域网检测器是构成DIDS的主要三个部分。中心控制器是用于对另外两个部分进行控制与管理。虽然规模较大的分布式入侵检测系统所涉及的算法与结构设计比较多,也比较负责,但若对当前的众多入侵检测系统的结构模型进行详细分析后,可提取出一个较为简单的基本模型。该模型对入侵检测系统的基本架构与功能进行了介绍,它主要由探测、分析以及响应这三个部分组成。
探测部分犹如传感器,其数据源要么是系统所生成的审计文件,要么是网络流量。分析部分根据探测部分所获得的信息来对攻击进行探测,在这个过程中,所采用的探测模型有两个,即异常探测与攻击探测。而响应部分则是通过措施来处理攻击源,防火墙是这里较为常用的一种技术。
图1 分布式入侵检测系统的结构
2 系统模型分析
体框架一样是由三个部分组成,包括:探测、系统控制决策中心以及控制策略执行。然而它们与基本结构的三个部分并不是对应的。前面两个部分所采用的是标准的通信接口和系统控制决策中心通信,所以,为了实现系统的分布式部署与扩充性,在设计过程中进行了相应的考虑,而且加强了所有功能的单一性,其优势在于可更加专业的检测某种入侵行。图2为系统模型图。
图2 分布式入侵检测系统模型
2.1 分布性
分布式入侵检测系统的概念指出,一旦系统中的分析数据部分是分布式部署的,那么入侵检测系统就为分布式系统。因此,该系统也具有分布性。
2.2 标准性
基于系统的角度,标准性主要表现在两个方面,即的形成与通信协议。的设计分为四个层次,由上往下依次是通信接口、报告产生器、分析模块以及采集模块。在通信协议中,涉及了一套定义比较严格的通信规则以及数据格式,另外,还对系统必不可少的通信行为进行标准化定义。
2.3 可扩充性
系统任何一个部分的设计都是标准的,以便于系统所有部分的升级以及添加新的部分。和系统控制决策中心的协商协议具有标准化,可实现注册的动态化。
2.4 良好的系统降级性和载荷最小性
如果系统中的某个由于某些原因而无法完成其检测工作,会在一定程度上影响着网络的检测工作,但并不会对系统的整体检测性能造成很大的影响。
系统各部分是相互独立的,其功能具有单一性,在部署时,可在一台主机上部署几个部分。和控制决策中心之间的通信量并不大,擦用的是标准协议通信;在数据传递的过程中,仅对控制中心所要求的数据进行传输,因此,数据传输量较小。
3 模型组成部分的功能描述
3.1 探测
探测的任务是获取网络上的初始数据,再通过相应的探测模型来分析数据,在数据存储设备中以相应的格式将想要保存的数据存储起来。经过与系统控制中心的交流,以相应的格式传送系统控制中心所要求的数据。
以上功能,探测要在四个层次的模块相互协作的情况下方可完成。按照数据传输的先后,这四个模块为采集模块、报告产生器、分析模块以及通信接口。
采集模块所获取的初始数据直接来自于网络。在数据获取过程中,采用了一个基于BSD的bpf思想的通用的libpcap库,以使可支持多个操作系统。分析模块可通过采集模块获取格式化的数据包信息。
在分析模块获取了数据包信息之后,入侵检测模型启动并处理数据。在此,入侵检测模型分为异常检测和入侵检测这两种模型。
异常检测模型会按照不同的功能进行相应级别的入侵检测。模型会进行基于包头和基于报文内容这两个级别的检查。前者检查的内容也就是链路层、IP层以及TCP层包头,在数据存储设备中保存异常数据。后者则是记录入侵检测过程中的异常信息。我们将基于包头级别的检查称为系统级探测,将基于报文内容的检查称为应用级探测。
入侵检测模型在检测的过程中会比较已经格式化的信息和已知的攻击模型特征。若经过对比之后发现两者完全相同,那么就可判断为一种攻击,在存储该攻击信息的同时,将其报告给系统控制决策中心,由控制决策中心来决策如何处理该攻击。
报告产生器就是从数据存储设备中将系统控制决策中心所要求的信息提取出来。提取出来的信息可形成攻击或异常视图,而它就包含了一部分存储信息。
3.2 系统控制决策中心
用户所发送的请求被系统控制决策中心所接收,当数据请求产生后,会由指定的入侵检测进行接收,当响应信息被接收后会被处理为用户视图。若有行为被用户认为是攻击行为,会将请求发送给探测策略执行,以对攻击行为进行相应的阻止。
用户接口的用途是为用户提供操作界面。该界面可帮助用户实现对系统进行控制以及请求数据。当用户发出请求后,用户接口会将其转换成系统的请求,接下来的处理则是由下层模块来完成。
控制与管理按照系统请求的不同类型来建立协议数据传输单元,再由下层协议通信接口来提出发送请求。
协议通信接口是用于对所发的协议数据进行识别和处理;并向所有发送系统控制决策中心的用户请求,从而实现管理与控制。
3.3 探测策略执行
探测策略执行主要是控制攻击者的行为以满足系统控制决策中心的要求,而所谓的控制主要包括以下三个方面:监控、访问权限的限制及取消。通信接口与控制执行是探测策略执行的两个主要组成部分,不过这两个部分要实现其对应的功能则还需一个配置模块的帮助。可通过这个模块进行控制接口的建立,该接口与控制系统没有任何关系。由于防火墙是现在使用的最多的一种网络控制系统,只有很少一部分的防火墙系统未设置系统命令接口。在此基础之上,在进行通用控制接口的设计时,先定义一组控制功能集合,再完成由系统功能集合到防火墙系统命令集合的映射的建立。
对比之前的通信模块,探测策略执行的通信接口功能并无任何区别。对于该类而言,控制执行是最为重要的一部分。通过接收到的来自通信接口的协议数据,对系统控制与决策中心的目的进行分析。再通过配置过程中所创建的映射关系来进行有关控制系统的控制规则的建立。
参考文献:
[1]马恒太,蒋建春,陈伟锋,卿斯汉. 基于Agent的分布式入侵检测系统模型[J]. 软件学报,2000,10:1312-1319.
[2]王晓煜. 基于遗传算法的分布式入侵检测模型研究[J]. 燕山大学学报,2004,03:257-261.
[3]欧雅捷,陈国龙. 基于免疫的分布式入侵检测模型研究[J]. 福建电脑,2004,08:7-8.
基于网络的入侵检测范文第5篇
关键词:智能小区 入侵检测 模糊神经网络 人脸识别
前言
随着微电子技术和网络技术高速发展,人们对居住环境的安全性,便捷性和舒适度提出了越来越高的要求,从而智能小区应运而生。另一方面,由于这几年带流动人口的增加带来了来很多安全隐患,因此,智能小区入侵检测系统是智能小区不可缺少的系统设备。
基于传感器网络和模糊神经网络的智能小区无线入侵检测系统是一种重要的安全防御体系,可应用于各居民住宅,办公室等地。目前在小区监视范围内都把摄相机加入了传感器网络入侵检测系统。摄相机直接发送信息到中央控制器,在监控室工作的工作人员,通过接收到的录像信息就可以做出判断。因此,这种系统智能性不高。如果没有发现入侵行动,社区的安全将难以保证。此外,如果已经发生入侵行动,工作人员也很难从大量的存储图像中找到入侵者。
模糊神经网络结合了模糊理论和神经网络理论,同时具有模糊逻辑和神经网络的优势,集学习,联想,识别,自适应和模糊信息处理于一体。因此,整个系统学习能力和表达能力被加强了。模糊神经网络被广泛应用于模式识别领域。人脸辨识是一类模式识别的问题,考虑到模糊神经网络具有特殊的优势和传统小区入侵检测系统所具有缺陷,本文所研究的系统将解决这些问题。模糊神经网络是用来识别和分析传感器从系统中所收集的人脸图像信息,当有人入侵时,将分析结果发送给工作人员,同时将图像自动地存储在一个特殊的内存区域。通过此方法,该系统可以协助工作人员监控小区,并立即从特殊内存区域找出入侵的图像。总之,这种方法提高了系统安全防御能力。
1小区入侵检测系统:
小区入侵检测系统由数据采集节点,无线局域网和中央控制器组成的。系统节点采用由传感器扩大ARM平台。传感器单元包括摄像头,麦克风,人体红外线传感器,火焰传感器,烟雾传感器,光敏传感器,声光报警器等。无线局域网采用无线网状网络,控制中心采用计算机工作站,分散的节点收集信号,并建立了多点网络的。因此,整个系统具有低功耗优势,便捷的软件和硬件扩展功能,网络通信和方便安装的安全防御设施。
当入侵检测系统工作时,数据采集节点收集环境信息,红外传感器开始检测人是否已闯进来。系统可靠性将得到改善,当然,由动物引起的误报是可以避免的。当有异常现象,系统启动相机和模糊神经网络算法是用来识别人脸,而这些检测和识别结果发送到控制中心,然后在控制中心,面部识别结果和异常信息被保存在特殊记忆的。到了晚上,光敏传感器信号和红外传感器信号同时被接收,系统打开的摄像机相机被发光二极管围绕,既可以节省电能,并在同一时间确保相机仍在黑暗中有效捕捉图像。
当信息通过网络传输时,信号发送到无线网状网络传输与协议的网络控制中心。当信息获取,控制中心将采取不同的处理方式,根据不同报警信息报警。如果有入侵信号,入侵进程,迎接功能将被储存在一个特定的内存。没有入侵信号,然后显示图像,并储存在记忆体中的。即使没有及时指出入侵,工人也可以寻找特定存储区域,找出入侵者。
2应用
通过参数和面部特征,并结合专家经验相关分析,选择几种特征参数的模糊神经网络的输入神经元,这些参数是左眼宽度,右眼宽度,水平距离中心之间的口,左侧面,两者之间的嘴和鼻子,眼睛之间的距离和鼻子中间的垂直中心的垂直距离。
直到样品的正常化,可以选择不同的训练样本数和不同的测试样本数和每一次输入到模糊神经网络模型和BP网络的学习训练样本,然后使用测试样本测试结果。人脸识别方法基于模糊神经网络具有较高的稳定性,并能获得更高的分类和识别准确性。
