论文部分内容阅读
入侵检测系统是计算机网络安全的重要组成部分,它实现对入侵信息实时检测的功能。入侵检测系统一般采用基于网络的,采用误用检测技术的。采用误用检测技术的优点是精确;但它的主要弱点是速度上的限制和对新的攻击无能为力。异常检测技术能够检测到新的攻击行为,是入侵检测系统发展的热点,是误用检测技术的有益补充。但这种技术方法目前还不是很完备,还处于研究热点之中。本论文讨论的入侵检测系统—ANIDS(Anomaly-based Network Intrusion Detection System)是基于网络的,采用异常检测技术。 异常检测的前提是假设入侵者的活动与正常主体的活动是不一样的,然后根据这种“不一样”来作为判断是否入侵行为的依据。 ANIDS是基于异常检测技术的入侵检测系统,它从两个方面来实现异常检测。一个是对异常数据包的检测,另一个是对异常网络流量来进行检测。本论文从这两个方面设计了一个入侵检测系统(ANIDS),并加以实现。 在异常数据包检测方面,首先从IP数据包的角度来分析异常数据包的一些可能的特征,从而得出异常数据包特征的一些规则集。其次,ANIDS根据规则集中的规则来进行检测入侵。若发现当前数据包异常,则进行报警。 在异常网络流量检测方面,首先确立测度集和建立模型,从网络中实时捕获样本值。其次,根据信息库中保存的信息,对当前流量进行检测。若发现当前流量异常,则进行报警。 ANIDS有三种报警方式:声音报警,实时页面报警和日志。 最后,对ANIDS进行了测试。在真实网络环境运用ANIDS检测出一些攻击事件,并在模拟环境中运用一些常用的入侵工具对装有ANIDS的服务器进行攻击。从检测效果看,基于异常数据包检测与异常网络流量相辅相成,效果良好。