入侵检测论文精品(七篇)

时间：2022-02-03 17:45:42

入侵检测论文

入侵检测论文篇(1)

关键词入侵检测异常检测误用检测

在网络技术日新月异的今天，论文基于网络的计算机应用已经成为发展的主流。政府、教育、商业、金融等机构纷纷联入Internet，全社会信息共享已逐步成为现实。然而，近年来，网上黑客的攻击活动正以每年10倍的速度增长。因此，保证计算机系统、网络系统以及整个信息基础设施的安全已经成为刻不容缓的重要课题。

1防火墙

目前防范网络攻击最常用的方法是构建防火墙。

防火墙作为一种边界安全的手段，在网络安全保护中起着重要作用。其主要功能是控制对网络的非法访问，通过监视、限制、更改通过网络的数据流，一方面尽可能屏蔽内部网的拓扑结构，另一方面对内屏蔽外部危险站点，以防范外对内的非法访问。然而，防火墙存在明显的局限性。

(1)入侵者可以找到防火墙背后可能敞开的后门。如同深宅大院的高大院墙不能挡住老鼠的偷袭一样，防火墙有时无法阻止入侵者的攻击。

(2)防火墙不能阻止来自内部的袭击。调查发现，50％的攻击都将来自于网络内部。

(3)由于性能的限制，防火墙通常不能提供实时的入侵检测能力。毕业论文而这一点，对于层出不穷的网络攻击技术来说是至关重要的。

因此，在Internet入口处部署防火墙系统是不能确保安全的。单纯的防火墙策略已经无法满足对安全高度敏感部门的需要，网络的防卫必须采用一种纵深的、多样化的手段。

由于传统防火墙存在缺陷，引发了入侵检测IDS(IntrusionDetectionSystem)的研究和开发。入侵检测是防火墙之后的第二道安全闸门，是对防火墙的合理补充，在不影响网络性能的情况下，通过对网络的监测，帮助系统对付网络攻击，扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)，提高信息安全基础结构的完整性，提供对内部攻击、外部攻击和误操作的实时保护。现在，入侵检测已经成为网络安全中一个重要的研究方向，在各种不同的网络环境中发挥重要作用。

2入侵检测

2．1入侵检测

入侵检测是通过从计算机网络系统中的若干关键点收集信息并对其进行分析，从中发现违反安全策略的行为和遭到攻击的迹象，并做出自动的响应。其主要功能是对用户和系统行为的监测与分析、系统配置和漏洞的审计检查、重要系统和数据文件的完整性评估、已知的攻击行为模式的识别、异常行为模式的统计分析、操作系统的审计跟踪管理及违反安全策略的用户行为的识别。入侵检测通过迅速地检测入侵，在可能造成系统损坏或数据丢失之前，识别并驱除入侵者，使系统迅速恢复正常工作，并且阻止入侵者进一步的行动。同时，收集有关入侵的技术资料，用于改进和增强系统抵抗入侵的能力。

入侵检测可分为基于主机型、基于网络型、基于型三类。从20世纪90年代至今，英语论文已经开发出一些入侵检测的产品，其中比较有代表性的产品有ISS(IntemetSecuritySystem)公司的Realsecure，NAI(NetworkAssociates，Inc)公司的Cybercop和Cisco公司的NetRanger。

2．2检测技术

入侵检测为网络安全提供实时检测及攻击行为检测，并采取相应的防护手段。例如，实时检测通过记录证据来进行跟踪、恢复、断开网络连接等控制；攻击行为检测注重于发现信息系统中可能已经通过身份检查的形迹可疑者，进一步加强信息系统的安全力度。入侵检测的步骤如下：

收集系统、网络、数据及用户活动的状态和行为的信息

入侵检测一般采用分布式结构，在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息，一方面扩大检测范围，另一方面通过多个采集点的信息的比较来判断是否存在可疑现象或发生入侵行为。

入侵检测所利用的信息一般来自以下4个方面：系统和网络日志文件、目录和文件中的不期望的改变、程序执行中的不期望行为、物理形式的入侵信息。

(2)根据收集到的信息进行分析

常用的分析方法有模式匹配、统计分析、完整性分析。模式匹配是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。

统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述，统计正常使用时的一些测量属性。测量属性的平均值将被用来与网络、系统的行为进行比较。当观察值超出正常值范围时，就有可能发生入侵行为。该方法的难点是阈值的选择，阈值太小可能产生错误的入侵报告，阈值太大可能漏报一些入侵事件。

完整性分析主要关注某个文件或对象是否被更改，包括文件和目录的内容及属性。该方法能有效地防范特洛伊木马的攻击。

3分类及存在的问题

入侵检测通过对入侵和攻击行为的检测，查出系统的入侵者或合法用户对系统资源的滥用和误用。工作总结根据不同的检测方法，将入侵检测分为异常入侵检测(AnomalyDetection)和误用人侵检测(MisuseDetection)。

3．1异常检测

又称为基于行为的检测。其基本前提是：假定所有的入侵行为都是异常的。首先建立系统或用户的“正常”行为特征轮廓，通过比较当前的系统或用户的行为是否偏离正常的行为特征轮廓来判断是否发生了入侵。此方法不依赖于是否表现出具体行为来进行检测，是一种间接的方法。

常用的具体方法有：统计异常检测方法、基于特征选择异常检测方法、基于贝叶斯推理异常检测方法、基于贝叶斯网络异常检测方法、基于模式预测异常检测方法、基于神经网络异常检测方法、基于机器学习异常检测方法、基于数据采掘异常检测方法等。

采用异常检测的关键问题有如下两个方面：

(1)特征量的选择

在建立系统或用户的行为特征轮廓的正常模型时，选取的特征量既要能准确地体现系统或用户的行为特征，又能使模型最优化，即以最少的特征量就能涵盖系统或用户的行为特征。(2)参考阈值的选定

由于异常检测是以正常的特征轮廓作为比较的参考基准，因此，参考阈值的选定是非常关键的。

阈值设定得过大，那漏警率会很高；阈值设定的过小，则虚警率就会提高。合适的参考阈值的选定是决定这一检测方法准确率的至关重要的因素。

由此可见，异常检测技术难点是“正常”行为特征轮廓的确定、特征量的选取、特征轮廓的更新。由于这几个因素的制约，异常检测的虚警率很高，但对于未知的入侵行为的检测非常有效。此外，由于需要实时地建立和更新系统或用户的特征轮廓，这样所需的计算量很大，对系统的处理性能要求很高。

3．2误用检测

又称为基于知识的检测。其基本前提是：假定所有可能的入侵行为都能被识别和表示。首先，留学生论文对已知的攻击方法进行攻击签名(攻击签名是指用一种特定的方式来表示已知的攻击模式)表示，然后根据已经定义好的攻击签名，通过判断这些攻击签名是否出现来判断入侵行为的发生与否。这种方法是依据是否出现攻击签名来判断入侵行为，是一种直接的方法。

常用的具体方法有：基于条件概率误用入侵检测方法、基于专家系统误用入侵检测方法、基于状态迁移分析误用入侵检测方法、基于键盘监控误用入侵检测方法、基于模型误用入侵检测方法。误用检测的关键问题是攻击签名的正确表示。

误用检测是根据攻击签名来判断入侵的，根据对已知的攻击方法的了解，用特定的模式语言来表示这种攻击，使得攻击签名能够准确地表示入侵行为及其所有可能的变种，同时又不会把非入侵行为包含进来。由于多数入侵行为是利用系统的漏洞和应用程序的缺陷，因此，通过分析攻击过程的特征、条件、排列以及事件间的关系，就可具体描述入侵行为的迹象。这些迹象不仅对分析已经发生的入侵行为有帮助，而且对即将发生的入侵也有预警作用。

误用检测将收集到的信息与已知的攻击签名模式库进行比较，从中发现违背安全策略的行为。由于只需要收集相关的数据，这样系统的负担明显减少。该方法类似于病毒检测系统，其检测的准确率和效率都比较高。但是它也存在一些缺点。

3．2．1不能检测未知的入侵行为

由于其检测机理是对已知的入侵方法进行模式提取，对于未知的入侵方法就不能进行有效的检测。也就是说漏警率比较高。

3．2．2与系统的相关性很强

对于不同实现机制的操作系统，由于攻击的方法不尽相同，很难定义出统一的模式库。另外，误用检测技术也难以检测出内部人员的入侵行为。

目前，由于误用检测技术比较成熟，多数的商业产品都主要是基于误用检测模型的。不过，为了增强检测功能，不少产品也加入了异常检测的方法。

4入侵检测的发展方向

随着信息系统对一个国家的社会生产与国民经济的影响越来越大，再加上网络攻击者的攻击工具与手法日趋复杂化，信息战已逐步被各个国家重视。近年来，入侵检测有如下几个主要发展方向：

4．1分布式入侵检测与通用入侵检测架构

传统的IDS一般局限于单一的主机或网络架构，对异构系统及大规模的网络的监测明显不足，再加上不同的IDS系统之间不能很好地协同工作。为解决这一问题，需要采用分布式入侵检测技术与通用入侵检测架构。

4．2应用层入侵检测

许多入侵的语义只有在应用层才能理解，然而目前的IDS仅能检测到诸如Web之类的通用协议，而不能处理LotusNotes、数据库系统等其他的应用系统。许多基于客户／服务器结构、中间件技术及对象技术的大型应用，也需要应用层的入侵检测保护。

4．3智能的入侵检测

入侵方法越来越多样化与综合化，尽管已经有智能体、神经网络与遗传算法在入侵检测领域应用研究，但是，这只是一些尝试性的研究工作，需要对智能化的IDS加以进一步的研究，以解决其自学习与自适应能力。

4．4入侵检测的评测方法

用户需对众多的IDS系统进行评价，评价指标包括IDS检测范围、系统资源占用、IDS自身的可靠性，从而设计出通用的入侵检测测试与评估方法与平台，实现对多种IDS的检测。

4．5全面的安全防御方案

结合安全工程风险管理的思想与方法来处理网络安全问题，将网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、防火墙、病毒防护、入侵检测多方位全面对所关注的网络作全面的评估，然后提出可行的全面解决方案。

综上所述，入侵检测作为一种积极主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，使网络系统在受到危害之前即拦截和响应入侵行为，为网络安全增加一道屏障。随着入侵检测的研究与开发，并在实际应用中与其它网络管理软件相结合，使网络安全可以从立体纵深、多层次防御的角度出发，形成人侵检测、网络管理、网络监控三位一体化，从而更加有效地保护网络的安全。

参考文献

l吴新民．两种典型的入侵检测方法研究．计算机工程与应用，2002；38(10)：181—183

2罗妍，李仲麟，陈宪．入侵检测系统模型的比较．计算机应用，2001；21(6)：29～31

3李涣洲．网络安全与入侵检测技术．四川师范大学学报．2001；24(3)：426—428

4张慧敏，何军，黄厚宽．入侵检测系统．计算机应用研究，2001；18(9)：38—4l

入侵检测论文篇(2)

（1）地球站的安全问题地球站作为卫星通信网络地面应用系统的重要组成部分，是负责发送和接收通信信息的地面终端，地球站的数据和发送的信令是用户行为的直接体现。作为卫星通信网络中的节点，地球站的正常运行直接关系到整个卫星通信网络通信的质量高低和安全性。地球站异常包括很多方面，除了地球站本身的故障之外，还包括地球站被仿冒、丢失，被非法用户使用或者被敌方缴获等。在非安全的环境下，敌方可以通过监听网络、控制信道，分析网络管理信息的模式、格式和内容，获得通信网的大量信息，这些信息包括网内地球站成员及其入退网事件，通信流量和多个地球站之间的通信频率。同时，也可以直接伪造、篡改网控中心信息、对地球站设置非法参数、干扰地球站的通信流程、使地球站之间的通信失败、使合法用户异常退网。敌方还可以侵入地球站，干扰网管主机、窃取网络配置信息、篡改网络运行参数等。造成地球站异常的这些原因中，由于用户的非法操作和非法用户的入侵行为引起的异常，对卫星网的安全威胁更大，造成的损失更严重。因此，通过卫星网络检测到地球站的行为异常，对整个卫星通信网的安全运行具有重要的意义。（2）地球站的工作网管中心相当于管理器，主要完成网络管理与控制功能，是全网的核心控制单元（ControlUnit，CU），其信令在卫星网中担负网络管理协议的作用。网络管理与控制功能可以是集中式或分散式，对于星上透明转发卫星通信系统，卫星不具有星上处理能力，只完成放大、转发的功能，由地面的主站集中进行网络管理与控制。卫星网管作为一个资源管理控制系统，它对全网的信道资源、地球站配置资源、用户号码资源进行控制；同时它作为操作员对全网的通信进行控制、检测和干预，向用户提供配置资源管理查看的接口以及资源状态显示和统计接口，并将当前通信系统中的异常情况向用户进行报告；它还具备用户设备操作权限管理、网控中心其它设备管理等功能。

2卫星通信网入侵检测系统的实现

2．1入侵检测系统的体系结构

入侵检测是检测计算机网络和系统以发现违反安全策略事件的过程。如图2所示，作为入侵检测系统至少应该包括三个功能模块：提供事件记录的信息源、发现入侵迹象的分析引擎和基于分析引擎的响应部件。CIDF阐述了一个入侵检测系统的通用模型，即入侵检测系统可以分为4个组件：事件产生器、事件分析器、响应单元、事件数据库。

2．2入侵检测系统的功能

卫星通信网络采用的是分布式的入侵检测系统，其主要功能模块包括：（1）数据采集模块。收集卫星发送来的各种数据信息以及地面站提供的一些数据，分为日志采集模块、数据报采集模块和其他信息源采集模块。（2）数据分析模块。对应于数据采集模块，也有三种类型的数据分析模块：日志分析模块、数据报分析模块和其他信息源分析模块。（3）告警统计及管理模块。该模块负责对数据分析模块产生的告警进行汇总，这样能更好地检测分布式入侵。（4）决策模块。决策模块对告警统计上报的告警做出决策，根据入侵的不同情况选择不同的响应策略，并判断是否需要向上级节点发出警告。（5）响应模块。响应模块根据决策模块送出的策略，采取相应的响应措施。其主要措施有：忽略、向管理员报警、终止连接等响应。（6）数据存储模块。数据存储模块用于存储入侵特征、入侵事件等数据，留待进一步分析。（7）管理平台。管理平台是管理员与入侵检测系统交互的管理界面。管理员通过这个平台可以手动处理响应，做出最终的决策，完成对系统的配置、权限管理，对入侵特征库的手动维护工作。

2．3数据挖掘技术

入侵检测系统中需要用到数据挖掘技术。数据挖掘是从大量的、不完全的、有噪声的、模糊的、随机的数据中提取隐含在其中的、人们事先不知道的、但又是潜在有用的信息和知识的过程。将数据挖掘技术应用于入侵检测系统的主要优点：（1）自适应能力强。专家根据现有的攻击从而分析、建立出它们的特征模型作为传统入侵检测系统规则库。但是如果一种攻击跨越较长一段时间，那么原有的入侵检测系统规则库很难得到及时更新，并且为了一种新的攻击去更换整个系统的成本将大大提升。因为应用数据挖掘技术的异常检测与信号匹配模式是不一样的，它不是对每一个信号一一检测，所以新的攻击可以得到有效的检测，表现出较强实时性。（2）误警率低。因为现有系统的检测原理主要是依靠单纯的信号匹配，这种生硬的方式，使得它的报警率与实际情况不一致。数据挖掘技术与入侵检测技术相结合的系统是从等报发生的序列中发现隐含在其中的规律，可以过滤出正常行为的信号，从而降低了系统的误警率。（3）智能性强。应用了数据挖掘的入侵检测系统可以在人很少参与的情况下自动地从大量的网络数据中提取人们不易发现的行为模式，也提高了系统检测的准确性。

3结束语

入侵检测论文篇(3)

关键词入侵检测异常检测误用检测

在网络技术日新月异的今天，论文基于网络的计算机应用已经成为发展的主流。政府、教育、商业、金融等机构纷纷联入internet，全社会信息共享已逐步成为现实。然而，近年来，网上黑客的攻击活动正以每年10倍的速度增长。因此，保证计算机系统、网络系统以及整个信息基础设施的安全已经成为刻不容缓的重要课题。

1 防火墙

目前防范网络攻击最常用的方法是构建防火墙。

(1)入侵者可以找到防火墙背后可能敞开的后门。如同深宅大院的高大院墙不能挡住老鼠的偷袭一样，防火墙有时无法阻止入侵者的攻击。

(2)防火墙不能阻止来自内部的袭击。调查发现，50％的攻击都将来自于网络内部。

(3)由于性能的限制，防火墙通常不能提供实时的入侵检测能力。毕业论文而这一点，对于层出不穷的网络攻击技术来说是至关重要的。

因此，在internet入口处部署防火墙系统是不能确保安全的。单纯的防火墙策略已经无法满足对安全高度敏感部门的需要，网络的防卫必须采用一种纵深的、多样化的手段。

由于传统防火墙存在缺陷，引发了入侵检测ids(intrusion detection system)的研究和开发。入侵检测是防火墙之后的第二道安全闸门，是对防火墙的合理补充，在不影响网络性能的情况下，通过对网络的监测，帮助系统对付网络攻击，扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)，提高信息安全基础结构的完整性，提供对内部攻击、外部攻击和误操作的实时保护。现在，入侵检测已经成为网络安全中一个重要的研究方向，在各种不同的网络环境中发挥重要作用。

2 入侵检测

2．1 入侵检测

入侵检测可分为基于主机型、基于网络型、基于型三类。从20世纪90年代至今，英语论文已经开发出一些入侵检测的产品，其中比较有代表性的产品有iss(intemet security system)公司的realsecure，nai(network associates，inc)公司的cybercop和cisco公司的netranger。

2．2 检测技术

收集系统、网络、数据及用户活动的状态和行为的信息

入侵检测所利用的信息一般来自以下4个方面：系统和网络日志文件、目录和文件中的不期望的改变、程序执行中的不期望行为、物理形式的入侵信息。

(2)根据收集到的信息进行分析

完整性分析主要关注某个文件或对象是否被更改，包括文件和目录的内容及属性。该方法能有效地防范特洛伊木马的攻击。

3 分类及存在的问题

入侵检测通过对入侵和攻击行为的检测，查出系统的入侵者或合法用户对系统资源的滥用和误用。工作总结根据不同的检测方法，将入侵检测分为异常入侵检测(anomaly detection)和误用人侵检测(misuse detection)。

3．1 异常检测

采用异常检测的关键问题有如下两个方面：

(1)特征量的选择

在建立系统或用户的行为特征轮廓的正常模型时，选取的特征量既要能准确地体现系统或用户的行为特征，又能使模型最优化，即以最少的特征量就能涵盖系统或用户的行为特征。

(2)参考阈值的选定

由于异常检测是以正常的特征轮廓作为比较的参考基准，因此，参考阈值的选定是非常关键的。

阈值设定得过大，那漏警率会很高；阈值设定的过小，则虚警率就会提高。合适的参考阈值的选定是决定这一检测方法准确率的至关重要的因素。

3．2 误用检测

3．2．1 不能检测未知的入侵行为

由于其检测机理是对已知的入侵方法进行模式提取，对于未知的入侵方法就不能进行有效的检测。也就是说漏警率比较高。

3．2．2 与系统的相关性很强

对于不同实现机制的操作系统，由于攻击的方法不尽相同，很难定义出统一的模式库。另外，误用检测技术也难以检测出内部人员的入侵行为。

目前，由于误用检测技术比较成熟，多数的商业产品都主要是基于误用检测模型的。不过，为了增强检测功能，不少产品也加入了异常检测的方法。

4 入侵检测的发展方向

4．1 分布式入侵检测与通用入侵检测架构

传统的ids一般局限于单一的主机或网络架构，对异构系统及大规模的网络的监测明显不足，再加上不同的ids系统之间不能很好地协同工作。为解决这一问题，需要采用分布式入侵检测技术与通用入侵检测架构。

4．2应用层入侵检测

许多入侵的语义只有在应用层才能理解，然而目前的ids仅能检测到诸如web之类的通用协议，而不能处理lotus notes、数据库系统等其他的应用系统。许多基于客户／服务器结构、中间件技术及对象技术的大型应用，也需要应用层的入侵检测保护。

4．3 智能的入侵检测

入侵方法越来越多样化与综合化，尽管已经有智能体、神经网络与遗传算法在入侵检测领域应用研究，但是，这只是一些尝试性的研究工作，需要对智能化的ids加以进一步的研究，以解决其自学习与自适应能力。

4．4 入侵检测的评测方法

用户需对众多的ids系统进行评价，评价指标包括ids检测范围、系统资源占用、ids自身的可靠性，从而设计出通用的入侵检测测试与评估方法与平台，实现对多种ids的检测。

4．5 全面的安全防御方案

参考文献

l 吴新民．两种典型的入侵检测方法研究．计算机工程与应用，2002；38(10)：181—183

2 罗妍，李仲麟，陈宪．入侵检测系统模型的比较．计算机应用，2001；21(6)：29～31

3 李涣洲．网络安全与入侵检测技术．四川师范大学学报．2001；24(3)：426—428

4 张慧敏，何军，黄厚宽．入侵检测系统．计算机应用研究，2001；18(9)：38—4l

入侵检测论文篇(4)

关键词：入侵检测；Linux；Snort；协议分析

中图分类号：TP393.08 文献标识码：A 文章编号：1671－7597（2012）0210082－01

1 课题研究目的和意义

网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不因偶然的或者恶意的原因而遭受到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全。从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。

随着计算机的普及人们的生活也随之改变，尤其是计算机网络的出现，使信息时代有了更大的变化。在改变的同时，网络信息的安全已日趋重要，已被信息社会的各个领域所重视。世界上平均每20分钟就发生一次入侵国际互联网络的计算机安全事件，1/3的防火墙被突破。日趋严重的网络安全问题，对入侵攻击的检测与防范、保障计算机系统、网络系统及整个信息基础设施的安全已经成为刻不容缓的重要课题。

入侵检测系统（简称“IDS”）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于，IDS是一种积极主动的安全防护技术，是通过监控网络与系统的状态、行为及系统的使用情况来检测系统用户的越权使用和系统外部的黑客入侵，并采取相应的响应措施来阻止入侵活动。传统上，一般采用防火墙作为安全的第一道防线。而随着攻击者知识的日趋成熟，攻击工具和手法的日趋复杂多样，单纯的防火墙策略已无法满足对安全高度敏感的需要，网络的防卫必须采用一种纵深的、多样的手段，是传统防火墙的必要补充。入侵检测系统可以通过网络和计算机动态地收集大量关键信息资料，并能及时分析和判断整个系统环境的当前状态，一旦发现有违反安全策略的行为或系统存在被攻击的痕迹等，立即启动有关安全机制进行应对。例如，通过控制台或电子邮件向网络安全管理员报告案情、立即终止入侵行为、关闭整个系统、断开网络连接等。

2 入侵检测系统存在的问题

入侵检测系统主要通过三种形式接入被保护的网络，一是以组件形式将IDS安装到网络中的单机节点上，用于检测单机节点上的异常现象；二是以单机节点形式将IDS并联在被保护网段中，用于检测整个网段上的异常现象；三是以分布式检测网络的形式将各IDS分布式并联在单一网络的各被保护网段中，用于检测整个单一网络上的异常现象。

入侵检测系统不论以哪种形式接入网络，都要求它具有安全性、完整性和并行性。安全性要求入侵检测系统本身不存在隐患，也不受威胁；完整性要求入侵检测系统能对所保护的全部对象及其内容进行检测分析，不能遗漏；并行性要求入侵检测系统能与所保护的整个系统中的各种活动同步，不能滞后。

各种攻击行为多数是利用入侵检测系统在安全性、完整性和并行性上存在的缺陷而躲避检测的。主要有四点：通过伪造合法的检测项目欺骗入侵检测系统；通过“借道”绕过入侵检测系统；利用时间差躲避入侵检测系统；通过直接破坏入侵检测系统及其工作环境。

3 Snort规则扩展

Snort已发展成为一个多平台、实时流量分析、网络IP数据包记录等特性的强大的网络入侵检测/防御系统，即NIDS/NIPS.省略上几乎每几天就会有新的规则被更新，同时用户也可以自己书写新的规则，Snort规则文件是一个ASCII文本文件，可以用常用的文本编辑器对其进行编辑。规则文件的内容由以下几部分组成：

1）变量定义：在这里定义的变量可以在创建Snort规则时使用。

2）Snort规则：在入侵检测时起作用的规则，这些规则应包括了总体的入侵检测策略。

3）预处理器：即插件，用来扩展Snort的功能。如用portscan来检测端口扫描。

4）包含文件Include Files：可以包括其它Snort规则文件。

在开发高效、高速的Snort规则时，有两个个概念要特别注意。

1）关键词content指定的内容是大小写敏感的，除非你使用nocase选项不要忘记content规则选项指定的内容是大小写敏感的，许多程序一般使用大写表示命令。FTP就是一个很好的例子。请比较下面两条规则：

alert tcp any any -> 192.168.1.0/24 21(content:"user root";msg:"FTP root login";)

alert tcp any any -> 192.168.1.0/24 21(content:"USER root";sg:"FTP root login";)

第二条规则可以使snort捕获大多数使用root用户名的自动登录企图，而在数据包中从来就没有小写的user。

2）提高snort对含有content规则选项的规则的检测速度。

Snort检测引擎对各个规则选项的测试顺序与其在各条规则中所处的位置无关。在各个规则选项中，检测引擎最后测试的总是content规则选项。因此，在开发规则时，要尽量使用快速的选项筛选掉根本不必对其内容进行检查的包。例如，如果实现了一个TCP会话过程，那么在会话过程的大部分时间内，双方传输的数据包的TCP标志ACK、PSH都被置位。而测试包头的TCP标志比对数据包的内容进行模式匹配需要的计算量要小的多。所以，在开发相关的检测规则时，需要设置flags规则选项对PSH和ACK没有置位的数据包进行过滤。

参考文献：

入侵检测论文篇(5)

关键词：计算机网络，入侵，检测技术，方向

随着网络的技术的不断发展，互联网的开放性也得到了长足的发展，这为网络信息的共享和交互使用提供了很大方便，但同时也对信息的安全性提出了严峻的挑战。近年来，随着网络的普及与应用领域的逐渐扩展，网络安全与信息安全问题日渐突出。在网络安全的实践中，建立一个完全安全的系统是不现实的。因此，保证计算机系统、网络系统以及整个信息基础设施的安全已经成为刻不容缓的重要课题。

入侵检测技术（IDS）是近年来出现的新型网络安全技术，它是通过从计算机网络系统中的若干关键点收集信息并对其进行分析，从中发现违反安全策略的行为和遭到攻击的迹象，并做出自动的响应。入侵检测通过迅速地检测入侵，在可能造成系统损坏或数据丢失之前，识别并驱除入侵者，使系统迅速恢复正常工作，并且阻止入侵者进一步的行动，它的应用扩展了系统管理员的安全管理能力，帮助计算机系统抵御攻击。因而，研究入侵检测方法和技术，根据这些方法和技术建立相应的入侵检测系统对保证网络安全是非常必要的。

一、入侵检测系统的分类

1．按照检测类型划分

（1）异常检测类型：检测与可接受行为之间的偏差，如果可以定义每项可接受的行为就应该是入侵。首先总结正常操作应该具备的特征（用户轮廓），当用户活动与正常行为有重大偏离时即被认为是入侵。这种检测模型漏报率低，误报率高。因为不需要对每种入侵行为进行定义，所以能有效检测未知的入侵。

（2）误用检测类型：检测与已知的不可接受行为之间的匹配程度，如果可以定义所有的不可接受行为，那么每种能够与之匹配的行为都会引起警告。收集非正常操作的行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。这种检测模型误报率、漏报率高。对于已知的攻击，它可以详细、准确地报告出攻击类型，但是对未知攻击却效果有限，而且特征库必须不断更新。

2．按照检测对象划分

（1）基于主机：系统分析的数据是计算机操作系统的时间日志、应用程序的时间日志、系统调用、端口调用和安全审计记录。主机入侵检测系统保护的一般是所在的主机系统。是代理来实现的，代理是运行在目标主机上的小的可执行程序，它们与命令控制台通信。

（2）基于网络：系统分析的数据是网络上的数据包。网络型入侵检测系统担负着保护整个网段的任务，基于网络的入侵检测系统由遍及网络的传感器组成，传感器是一台将以太网置于混杂模式的计算机，用于嗅探网络上的数据包。科技论文。

（3）混合型：基于网络和基于主机的入侵检测系统都有不足之处，会造成防御体系的不全面，综合了基于网络和基于主机的混合型入侵检测系统，既可以发现网络中的攻击信息，也可以从系统日志中发现异常情况。

3．按照工作方式分类

（1）离线检测：这是一种非实时工作的系统，在时间发生后分析审计时间，从中检查入侵事件。这类系统的成本低，可以分析大量事件，调查长期的情况，有利于其它方法提供及时的保护。而且，很多侵入在完成之后都将审计事件删除，使其无法审计。

（2）在线检测：对网络数据包或主机的审计事件进行实时分析，可以快速反映，保护系统的安全；但在系统规模比较大时，难以保证实时性。

二、入侵检测系统存在的主要问题

1．误报

误报是指被入侵检测系统测出但其实是正常及合法使用受保护网络和计算机的警报。假警报不但令人讨厌，并且降低入侵检测系统的效率。攻击者可以而且往往是利用包结构伪造无威胁的，“正常”假警报，以诱使收受人把入侵检测系统关掉。

没有一个入侵检测无敌于误报，应用系统总会发生错误，原因是：缺乏共享信息的标准机制和集中协调的机制，不同的网络及主机有小同的安全问题，不同的入侵检测系统有各自的功能；缺乏揣摩数据在一段时间内行为的能力；缺乏有效跟踪分析等。

2．精巧及有组织的攻击

攻击可以来自四面八方，特别是一群人组织策划且攻击者技术高超的攻击，攻击者花费很多时间准备，并发动全球性攻击，要找出这样复杂的攻击是一件难事。

3.入侵检测系统的互动性能不高

在大型网络中，网络的不同部分可能使用了多种入侵检测系统，甚至还有防火墙、漏洞扫描等其他类别的安全设备，这些入侵检测系统之间以及IDS和其他安全组件之间如何交换信息，共同协作来发现攻击、做出相应并阻止攻击是关系整个系统安全性的重要因素。

三、入侵检测系统发展的主要趋势

目前除了完善常规的、传统的技术（模式识别和完整性检测）外，入侵检测系统应重点加强与统计分析相关技术的研究。许多学者在研究新的检测办法，如采用自动代理的主动防御办法，将免疫学原理应用到入侵检测的方法等。其主要发展方向可以概括为以下几个方面：

1.入侵检测系统的标准化

就目前而言，入侵检测系统还缺乏相应的标准，不同的入侵检测系统之间的数据交换和信息通信几乎不可能。目前，DARPA和IETF的入侵检测工作组试图对入侵检测系统进行标准化工作，分别制定了CIDF和IDMEF标准，从体系结构、通信机制、消息格式等各方面对入侵检测系统规范化，但进展非常缓慢，尚没有被广泛接受的标准出台。因而，具有标准化接口的入侵检测系统将是下一代入侵检测系统的特征。

2.分布式入侵检测

分布式入侵检测的第一层含义是针对分布式网络攻击的检测方法；第二层含义即使用分布式的方法来实现分布式的攻击，其中的关键技术为信息的协同处理与入侵攻击的全局信息的提取。

3.应用层入侵检测

许多入侵的语义只有在应用层才能理解，而目前的入侵检测系统仅能检测Web之类的通用协议，不能处理如Lotus Notes数据库系统等其他的应用系统。许多基于客户/服务器结构、中间件技术及对象技术的大型应用，需要应用层的入侵检测保护。科技论文。

4．智能入侵检测

目前，入侵方法越来越多样化与综合化，尽管已经有智能体系、神经网络与遗传算法应用在入侵检测领域，但这些只是一些尝试性的研究工作，需要对智能化的入侵检测系统进一步研究，以解决其自学习与自适应能力。

5．建立入侵检测系统评价体系

设计通用的入侵检测测试、评估办法和平台，实现对多种入侵检测系统的检测，已成为当前入侵检测系统的另一重要研究与发展领域。评价入侵检测系统可从检测范围、系统资源占用、自身的可靠性等方面进行，评价指标有：能否保证自身的安全、运行与维护系统的开销、报警准确率、负载能力以及可支持的网络类型、支持的入侵特征数、是否支持IP碎片重组、是否支持TCP流重组等。

6．综合性检测系统

单一的技术很难构筑一道强有力的安全防线，这就需要和其他安全技术共同组成更完备的安全的保障系统，如结合防火墙、PKIX、安全电子交易SET等新的网络安全与电子商务技术，提供完整的网络安全保障体系。科技论文。

四、结语

入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。但是目前，入侵检测技术主要停留在异常检测和误用检测上，这两种方法都还不完善，存在着这样那样的缺陷。网络入侵技术不断发展，入侵行为表现出不确定性、复杂性、多样性等特点；网络应用的发展带来了新的问题，如高速网络其流量大，基于网络的检测系统如何适应这种情况？基于主机审计数据这怎样做到既减小数据量，又能有效地检测到入侵行为？入侵检测技术己经成为当前网络技术领域内的一个研究热点，在未来的发展过程中，将越来越多地与其他科学和技术进行交融汇合，如数据融合、人工智能以及网络管理等等。随着网络信息技术的发展，入侵检测技术也在不断地发展，已经出现了很多新的方向，如宽带高速网络的实时入侵检测技术、大规模分布式入侵检测技术等。

参考文献：

[1]戴英侠,连一峰,王航.系统安全与入侵检测[M].北京:清华大学出版社.2002.

[2]孙知信,徐红霞.模糊技术在入侵检测系统中的应用研究综述[J].南京邮电大学学报.2006,(2).

[3]裴庆祺.模糊入侵检测技术研究[M].西安:西安电子科技大学.2004.

[4]唐正军.入侵检测技术导轮[M].北京:机械工业出版社,2004.

入侵检测论文篇(6)

关键词：入侵检测；分布式；人工免疫系统；阴性选择；分布式拒绝服务攻击

中图分类号： TP393.0 文献标志码： A

0引言

人工免疫系统（ArtificialImmuneSystem，AIS）是基于生物免疫系统相关机制和理论而发展的各种人工范例的统称[1]。随着网络规模的日益增大，分布式拒绝服务攻击（DistributedDenialofService，DDoS）成为拒绝服务攻击的主流形式。由于DDoS攻击源的多样性，单点检测方法已经无法对其进行有效检测。目前检测DDoS常用的方法是基于人工免疫的分布式入侵检测。分布式入侵检测系统主要有三种体系结构：集中式协同检测、层次化协同检测与完全分布式协同检测[2]。

白媛[3]15-20提出了一种集中式协同检测方法，检测系统分为数据收集和分析模块，数据收集模块分布于网络中，将收集的相关数据发送到中央分析模块，由分析模块进行入侵判断；该系统有效提高了检测DDoS的能力，但中央节点容易成为处理瓶颈，存在单点失效问题。秦晓明[4]30-41提出了一种完全分布式入侵检测结构，每一节点均具有检测入侵功能，节点之间通过交互以获得相应知识，进行协同检测；其有效解决了单点失效问题，但由于各节点之间交互流量十分巨大，对系统与主机性能造成严重影响。唐俊[5]采用阴性选择算法设计了一种网络入侵检测算法，但其没有考虑成熟检测器的进化与退化，系统性能会随着时间的增加而降低。陈岳兵[6]提出一种用于入侵检测的统一人工免疫系统原型，其具有开放性和适应性，试图将所有人工免疫相关理论囊括其中，但未对其具体使用进行说明，实现难度较大。伍媛媛[7]75采用人工免疫中阴性选择算法进行检测，能够检测出未知攻击，但由于检测器数量过多导致检测效率较低。

综上可知目前基于人工免疫的分布式入侵检测存在检测流量过大、单点失效及检测效率偏低等问题。针对上述问题，本文提出了一种基于人工免疫的分布式入侵检测模型，给出了相关模型框架与各模块功能；提出了一种检测中心模块配置及使用方法并将异常检测与误用检测相结合。最后采用网络仿真工具OMNeT++进行了仿真模型的设计与实验。

1人工免疫与入侵检测概述

本文主要采用人工免疫理论中否定选择算法来构建一分布式入侵检测模型，以克服传统分布式入侵检测系统的不足，对人工免疫理论中的一些具体细节、算法不作改进。本文所涉及的概念及算法如下。

1.1否定选择算法

否定选择算法最初指学者Forrest提出的算法[8]，目前指一类基于否定选择机制及模型的算法。否定选择算法的组成主要包括数据空间表示、检测器表示、匹配规则、检测器生成机制等。每种机制均有多种算法。本文采用算法如下：数据空间与检测器表示采用二进制字符串，匹配规则采用r连续位匹配，检测器生成采用随机生成方式。

模型框架主要包括两个模块：IDS（IntrusionDetectionSystem）检测中心和检测传感器。IDS检测中心位于网络中心路由器处，检测传感器则位于边界路由器处。检测传感器负责检测相应流量并上报相应信息，中心处理模块负责处理分析上报信息。

2.2模块功能

2.2.1IDS检测中心

IDS检测中心由训练模块（包括转换器与训练器）和检测模块（包括调度器与分析器）组成。

1）转换器。

模型中检测器均由二进制表示，因而需要对真实网络数据包进行格式转换。为对数据包进行操作需要将其信息转换为二进制字符串。对于不同攻击类型的检测所需收集的数据也不尽相同，本文仅考虑分布式拒绝服务（DistributedDenialofService，DDoS）攻击。这些信息包括：目的IP地址、源IP地址、目的端口号、持续时间、协议和源端口号。它们由数据包中提取并转化为112比特二进制。数据包相应属性如表1所示。

2）训练器。

当把训练数据即正常网络数据转换为二进制后，将其传输至训练器用于训练初始检测器，也即免疫耐受，采用免疫理论中阴性选择算法进行。成功通过训练的检测器成为成熟检测器，通过调度模块进行分配。初始检测器生成采用随机算法。检测器生成流程[10]如图2所示。

检测器结构如下所示：

检测器ID检测器生存时间匹配字符串

3）调度器。

成功通过训练器的检测器称为成熟检测器。其由调度器分配到检测传感器模块。根据检测器集或规则的变动，调度器会将相应变化同步至各传感器。

4）分析器。

当传感器中检测器检测到可疑包时，其将相关信息发送到IDS检测中心进行分析。如果符合相应规则分析检测器会产生入侵信息并发出警报，同时分析器将相应信息发送给防火墙，防火墙会对相应包进行过滤。分析规则与具体检测攻击类型有关，例如规定来自某一IP地址的半连接数超过50则视为该IP正在进行攻击，则分析器取某一时间间隔内所收集可疑包并根据IP地址对其进行数量统计。

2.2.2检测传感器

检测传感器包括检测器集、规则库与转换器。

1）检测器集。

检测器集由成功通过训练的成熟检测器组成。如果任一检测器与任一包匹配，则生成相应消息并上报给IDS检测中心。消息结构如下所示：

系统开始运行后，检测器中检测器生存时间开始计时，每当检测器成功与网络数据匹配时，检测器生存时间重置为初始值。当某一检测器在生存时间内没有有效检测入侵时，则由调度器将其删除。

2）规则库。

规则库中检测器由检测器集中达到某一成功检测次数后的检测器组成，网络流量首先经过规则库进行匹配，如果匹配则直接将相应信息提交至分析器，如果不匹配，则继续与检测器集中检测器进行匹配。

3）转换器。

转换器与IDS检测中心中的转换器相同，不再赘述。

2.3相关问题及解决机制

2.3.1单点失效问题

完全分布式入侵检测不存在检测中心，每一传感器通过与其他传感器交互来检测入侵行为，因而导致交互流量巨大。具有中心检测的入侵检测系统避免了这一问题，却存在单点失效问题，即中心检测节点容易成为检测系统的瓶颈，严重影响检测效率；中心节点容易成为入侵者进攻的靶心，一旦中心节点被破坏，入侵检测系统便陷入瘫痪。

2.3.2检测效率问题

传统模型往往只采用异常检测或误用检测，二者各有优缺点[11]。本文提出一种二者相结合的方法。

分析器对提交信息进行分析，并记录检测器匹配次数，当检测器匹配次数超过某一阈值时，将相应检测器ID发送给调度器，调度器发送调控信息给各传感器，将相应检测器转移到规则库并将该检测器从检测器集中删除。设规则库中原有检测器数量m，系统运行一段时间后其剩余检测器数量为n，规则库中检测器数量为l，则m=n+l。当相同网络攻击发生时，只需与规则库中l个检测器进行匹配即可检测到相应攻击，并可直接与防火墙通信。不考虑攻击类型与检测器的匹配顺序，则改进后的检测时间与改进前检测时间比为l/m

此处的规则库充当了误用检测的角色。规则库的设计提高了系统对以往攻击的检测精度和效率，并使得检测器集规模不至过大，从整体上提高了检测效率。

从图8可看出，由于完全分布式入侵检测模型的全交互特性导致处于网络中心的路由器R6流量激增，其远大于改进模型。因此改进模型在交互流量方面优于传统模型。

3.2.2单点失效分析[3]54-65

采用仿真场景图5与图7，仿真时间1000s。前200s仅发送正常流量，用于训练器生成检测器；200s后攻击者开始发送TCPSYN攻击包，攻击目标为Target；500s后攻击目标变为Center。Center对各传感器请求的丢包率进行统计，如图9所示。从图9可看出，攻击开始前Center能够正常与传感器节点进行交互，丢包率基本为0。500s后将Center作为攻击目标，大量TCPSYN攻击包涌入Center，由于其处理能力有限导致丢包率快速上升。而改进模型由于具有多个Center，根据相应算法系统功能转移到另一个Center中，能够维持入侵检测系统的正常运行。

从表2可看出，未改进模型在200s与700s处对攻击响应时间基本相同，而改进模型在700s处攻击响应时间远小于200s处响应时间。这是因为第一次攻击后系统根据相应规则生成了规则库，相同攻击再次发生时，系统在规则库中便将其检测出来，无需与所有检测器进行匹配，节省了大量时间。

上述仿真结果证明了改进分布式入侵检测模型的正确性与有效性。

4结语

本文在分析传统分布式入侵检测模型不足的基础上，提出了一种改进的基于人工免疫的分布式入侵检测模型，在交互流量、单点失效与检测效率等方面进行了改进，采用OMNeT++设计了仿真场景，通过仿真实验证明了模型的有效性。由于攻击类型十分繁多，本模型仅考虑了在TCPSYN洪泛攻击情况下的检测，并未添加其他攻击检测算法，将在后续工作中加以补充和完善。

参考文献：

[1]FENGX，ZHAOT.Researchonintrusiondetectionsystemusingimprovedartificialimmunealgorithm[C]//IEEEInternationalConferenceonComputerScienceandInformationTechnology.Piscataway，NJ：IEEEPress，2011：636-640.

[2]KESHARIYAA，FOUKIAN.DDoSdefensemechanisms：anewtaxonomy[C]//ProceedingsofDPM2009andSETOP2009，LNCS5939.Berlin：SpringerVerlag，2010：222-236.

[3]BAIY.Researchofthekeytechniquesofintrusiondetectionandprotectionfordistributednetworks[D].Beijing：BeijingUniversityofPostsandTelecommunications，2010.

[4]QINXM.Researchofhierarchicaldistributedintrusiondetectionsystem[D].Xian：XidianUniversity，2009.

[5]TANGJ，ZHAOXJ.rvariablematchingalgorithmusedforIDS[J].ApplicationResearchofComputers，2010，27（2）：745-747.

[6]CHENYB.Studyonartificialimmunesystemforintrusiondetection[D].Changsha：NationalUniversityofDefenseTechnology，2011.

[7]WUYY，ZENGAG.Intrusiondetectionbasedonartificialimmuneclassifier[J].IntelligentComputerandApplications，2013，3（1）：75-78.

[8]HOFMEYRSA，FORRESTSA.Architectureforanartificialimmunesystem[J].EvoloutionaryComputationJournal，2000，8（4）：443-473.

[9]JINZZ，LIAOMH，XIAOG.Surveyofnegativeselectionalgorithms[J].JournalonCommunications，2013，34（1）：159-170.

[10]WANGH，YULJ，BIXJ，etal.Adjustablefuzzymatchingnegativeselectionalgorithmwithvaccineoperator[J].JournalofHarbinInstituteofTechnology，2011，43（6）：141-144.

[11]DASGUPTAD，YUS，NINOF.Recentadvancesinartificialimmunesystems：modelsandapplications[J].AppliedSoftComputing，2011，11（2）：1574-1587.

入侵检测论文篇(7)

关键词：计算机；数据库；入侵检测；网络安全

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2013）05-0959-02

计算机的发展给人们的生活、工作和学习提供了极大的便利，然而计算机网络系统中存在的安全问题却给人们带来了一定的困扰，因此改善计算机数据库的安全机制、加强对信息基本设备的安全保护相当重要。现在很普遍的“防火墙”虽然具备一定的防护能力，然而还是扛不住各种各样的干扰因素。因此，想要强化计算机数据库的安全性，还需从检测技术和安全机制等方面入手。使用户能够一边使用计算机一边抵抗安全入侵，这不仅能确保系统的安全，还能使数据的完整性不受损害。

1 计算机数据库安全的重要性

计算机数据库的安全分为两种，一种是设备安全，另一种是信息安全，其中信息安全主要是保护用户的隐私，以及保证其网络信息的可用性，因此无论那种安全遭到破坏都将会对计算机数据库造成巨大的威胁。当计算机遭到安全入侵时，首当其冲就是数据库，病毒和黑客是保证数据库安全的两大主要威胁，就近年来的数据显示，全球每天会有两万多网页遭到病毒和黑客的入侵，这不仅给社会的经济带来了巨大的损失，同时还给人们的生活、工作与学习带来了很多损害，因此，保证计算机数据库的安全性至关重要。

2 计算机数据库入侵检测技术的界定

所谓的计算机数据库入侵检测技术就是通过对计算机访问者进行身份、信息、资料等多方面的验证来判断访问者是否合法，一旦有非法分子强行进入或者出现异常状况，入侵检测技术就会做出相关回应，以保护计算机数据库的安全。我们所知的网络陷阱其实就是计算机数据库入侵检测技术所设置的一种关卡，其工作原理就是通过网络运行环境来检测遭受非法入侵时所收集到的有关数据，进行深入分析后判定其行为是否合法，最后做出相关防御措施。

3 常用的计算机数据库入侵检测技术

3.1误用检测技术

感知节点功能单一化，利用电池提供能量，携带能量不足使这些感知节点的自我安保能力大大降低。感知网络多种多样，从道路导航到自动控制，从温度测量到水文监控，不同类型的感知网络传输的数据类型也不尽相同，标准也无法统一，因此，要建立统一的安全保护体系并不容易。传统的认证是区分不同层次的，网络层与业务层都只负责各自的身份鉴别，两者是相对独立的。物联网中的很多设备都是区分用途和工作顺序的，需要业务层与网络层捆绑在一起，因此，可以根据业务的提供方和业务的安全敏感程度来设计业务层与网络层的安全联系。误用检测技术的主要检测对象是已知病毒、入侵活动和攻击模式等等，工作原理是把一切网络入侵活动或者异常行为假设成一种特征模式，在已经把已知入侵活动建立好特征模式的基础上，将今后所发生的异常自行进行相应的匹配，即二者会自动找出相似的特点，如果二者的特征相匹配，系统则会将之视为异常入侵行为，并采取相应的措施。这种技术的检测准确性相当高（主要在已知入侵特征方面），然而对未知入侵活动的检测却起不了作用，尤其是对新的病毒以及攻击体，因此，系统中的数据需要时时更新。

3.2异常检测技术

一般情况下，核心网络的自我保护能力是相对可靠的，但是由于物联网中很多节点是以集群的方式存在，在信息输送时常常会因数据发送量巨大而出现网络拥堵现象，导致拒绝服务攻击。此外，现有通信网络的安全架构大多是按照人的通信角度设计的，并不能很好地适用于机械通信，那么这种网络通信的安全机制可能会割裂物联网中各设备之间的逻辑关系。异常检测技术比误用检测技术的检测准确性高，而且检测范围更广，异常检测技术是以用户平常的习惯行为为模型，并建立到数据库中，然后再将此与计算机用户的操作行为进行对比，在详细分析用户的操作活动后，计算出用户活动的异常状态的数目，若偏差较大则说明计算机遭到了非法入侵。异常检测技术不需要经验，只要有大量的信息并且掌握它们之间的规律就能进行检测。除此之外，异常检测技术还能检测到未知类型的对象，不管是已识别的还是未识别的非法操作，都能将其实行监控。相比于误用检测技术，它不仅检测效率高，操作起来也更加简便。

4 计算机数据库入侵检测技术所存在的问题

4.1 计算机入侵检测结果的准确率低，误报漏报率高

数据库信息分为企业信息和个人信息，信息的安全是否有保证是信息所有者最为关心的，因此计算机入侵检测技术的研发人员在研发过程中对某些关键点设置是非常苛刻的，生怕造成一丝错误。然而这样的情况下往往会吸引大量外部病毒，使得检测结果的准确率大大降低，同时，为了提高准确率而采取的某些措施又会对数据库产生一定的负面作用。

4.2 计算机入侵检测的效率不高

不管是数据入侵还是反入侵，想要有效运行就一定要进行大量的二进制数据运算，庞大的计算量不仅浪费时间，还会加大检测的成本，再加上异常检测技术也会增加计算代价，因此造成入侵检测的效率一直偏低，这显然已经不适应当今网络高速发展的社会环境。

4.3 计算机入侵检测技术没有足够的自我预防能力

计算机入侵检测技术自身存在一些缺陷，再加上设计人员的专业知识有限，造成计算机入侵检测技术的自我防御能力低下。当入侵检测技术受到某些病毒或者非法行为攻击时，它无法将它们进行有效的检测。时间久了，数据库的安全就会遭到威胁。

4.4 计算机入侵检测技术的可扩展性差

这是入侵检测技术中是该重视的问题，因为检测技术没有自动更新的特点，无法判别新的病毒与异常行为，导致病毒蔓延，数据库的安全防线被破坏。

5 加强计算机入侵检测技术

加强计算机入侵检测技术的方法有很多，如减少入侵检测的计算量、建立数据库知识标准、创建新型的系统模型等等。这里简单讲述一下可以减少入侵检测计算量的优化Apriori算法，优化Apriori算法是一种在Apriori算法进行进一步改进的一种算法，这种算法中的剪枝候选集功能是减少计算量主要工具，并且以基于两阶段频集思想的递推算法为核心，它在各个领域都有较广泛的使用。

总而言之，该文主要提出了关于计算机数据库入侵检测技术的几点思考，首先简单介绍了保护数据库安全的重要性以及什么是计算机数据库入侵检测技术，然后提出了两种常用的检测技术，并重点探讨了现如今入侵检测技术存在的几点问题，最后介绍了几种加强计算机入侵检测技术的方法。计算机数据库入侵检测技术在保护计算机信息安全方面有着举足轻重的作用，因此提高该技术是创建一个安全可靠的网络环境的关键。

参考文献：

[1] 兰世龙，谭艳，罗绯，童玲，孟刚.“军卫一号”数据库的网络安全监控研究[J].医疗卫生装备，2009（2）.

[2] 石燕京，刘瑞荣，吴春珍，安德海.数据库在网络安全管理中的应用[A].第11届全国计算机在现代科学技术领域应用学术会议论文集，2003.

入侵检测论文