網路安全入侵檢測預處理

① 常用的入侵檢測軟體有哪些，舉4個以上的例子，謝謝啦

1.Snort：這是一個幾乎人人都喜愛的開源IDS，它採用靈活的基於規則的語言來描述通信，將簽名、協議和不正常行為的檢測方法結合起來。其更新速度極快，成為全球部署最為廣泛的入侵檢測技術，並成為防禦技術的標准。通過協議分析、內容查找和各種各樣的預處理程序，Snort可以檢測成千上萬的蠕蟲、漏洞利用企圖、埠掃描和各種可疑行為。在這里要注意，用戶需要檢查免費的BASE來分析Snort的警告。
2.OSSEC HIDS：這一個基於主機的開源入侵檢測系統，它可以執行日誌分析、完整性檢查、Windows注冊表監視、rootkit檢測、實時警告以及動態的適時響應。除了其IDS的功能之外，它通常還可以被用作一個SEM/SIM解決方案。因為其強大的日誌分析引擎，互聯網供應商、大學和數據中心都樂意運行 OSSEC HIDS，以監視和分析其防火牆、IDS、Web伺服器和身份驗證日誌3.Fragroute/Fragrouter：是一個能夠逃避網路入侵檢測的工具箱，這是一個自分段的路由程序，它能夠截獲、修改並重寫發往一台特定主機的通信，可以實施多種攻擊，如插入、逃避、拒絕服務攻擊等。它擁有一套簡單的規則集，可以對發往某一台特定主機的數據包延遲發送，或復制、丟棄、分段、重疊、列印、記錄、源路由跟蹤等。嚴格來講，這個工具是用於協助測試網路入侵檢測系統的，也可以協助測試防火牆，基本的TCP/IP堆棧行為。可不要濫用這個軟體呵。
4.BASE：又稱基本的分析和安全引擎，BASE是一個基於PHP的分析引擎，它可以搜索、處理由各種各樣的IDS、防火牆、網路監視工具所生成的安全事件數據。其特性包括一個查詢生成器並查找介面，這種介面能夠發現不同匹配模式的警告，還包括一個數據包查看器/解碼器，基於時間、簽名、協議、IP地址的統計圖表等。
5.Sguil：這是一款被稱為網路安全專家監視網路活動的控制台工具，它可以用於網路安全分析。其主要部件是一個直觀的GUI界面，可以從 Snort/barnyard提供實時的事件活動。還可藉助於其它的部件，實現網路安全監視活動和IDS警告的事件驅動分析。

② 基於網路的入侵檢測數據集研究

摘要：標記數據集是訓練和評估基於異常的網路入侵檢測系統所必需的。本文對基於網路的入侵檢測數據集進行了重點的文獻綜述，並對基於包和流的底層網路數據進行了詳細的描述。本文確定了15種不同的屬性來評估單個數據集對特定評估場景的適用性。這些屬性涵蓋了廣泛的標准，並被分為五類，例如用於提供結構化搜索的數據量或記錄環境。在此基礎上，對現有數據集進行了全面的綜述。本綜述還強調了每個數據集的特性。此外，本工作還簡要介紹了基於網路的數據的其他來源，如流量生成器和數據存儲庫。最後，我們討論了我們的觀察結果，並為使用和創建基於網路的數據集提供了一些建議。

一、引言

信息技術安全是一個重要的問題，入侵和內部威脅檢測的研究已經投入了大量的精力。在處理與安全相關的數據[1]-[4]、檢測僵屍網路[5]-[8]、埠掃描[9]-[12]、蠻力攻擊[13]-[16]等方面已經發表了許多貢獻。所有這些工作的共同點是，它們都需要具有代表性的基於網路的數據集。此外，基準數據集是評價和比較不同網路入侵檢測系統(NIDS)質量的良好基礎。給定一個帶標簽的數據集，其中每個數據點都被分配給類normal或attack，可以使用檢測到的攻擊數量或虛警數量作為評估標准。

不幸的是，沒有太多具有代表性的數據集。Sommer和Paxson[17](2010)認為，缺乏具有代表性的公共可用數據集是基於異常的入侵檢測面臨的最大挑戰之一。Malowidzki等人(2015)和Haider等人(2017)也發表了類似的聲明。然而，社區正在解決這個問題，因為在過去幾年中已經發布了幾個入侵檢測數據集。其中，澳大利亞網路安全中心發布了UNSW-NB15[20]數據集，科堡大學發布了CIDDS-001[21]數據集，新布倫瑞克大學發布了CICIDS 2017[22]數據集。未來還會有更多數據集發布。然而，現有數據集沒有全面的索引，很難跟蹤最新的發展。

本文對現有的基於網路的入侵檢測數據集進行了文獻綜述。首先，對底層數據進行更詳細的研究。基於網路的數據以基於包或基於流的格式出現。基於流的數據只包含關於網路連接的元信息，而基於包的數據也包含有效負載。然後，對文獻中常用的評價網路數據集質量的不同數據集屬性進行了分析和分組。本調查的主要貢獻是對基於網路的數據集進行了詳盡的文獻綜述，並分析了哪些數據集滿足哪些數據集屬性。本文重點研究了數據集內的攻擊場景，並強調了數據集之間的關系。此外，除了典型的數據集之外，我們還簡要介紹了流量生成器和數據存儲庫作為網路流量的進一步來源，並提供了一些觀察和建議。作為主要的好處，本調查建立了一組數據集屬性，作為比較可用數據集和確定合適數據集的基礎，給出了特定的評估場景。此外，我們創建了一個網站1，其中引用了所有提到的數據集和數據存儲庫，我們打算更新這個網站。

本文的其餘部分組織如下。下一節將討論相關工作。第三部分詳細分析了基於包和流的網路數據。第四部分討論了文獻中常用來評價入侵檢測數據集質量的典型數據集屬性。第五節概述了現有的數據集，並根據第四節確定的屬性檢查每個數據集。第六節簡要介紹了基於網路的數據的進一步來源。在本文件以摘要結束之前，第七節討論了意見和建議。

二、相關工作

本節回顧基於網路的入侵檢測數據集的相關工作。需要注意的是，本文沒有考慮基於主機的入侵檢測數據集，比如ADFA[23]。讀者可以在Glass-Vanderlan等人的[24]中找到關於基於主機的入侵檢測數據的詳細信息。

Malowidzki等人[18]將缺失的數據集作為入侵檢測的一個重要問題進行了討論，對好的數據集提出了要求，並列出了可用的數據集。Koch等人的[25]提供了入侵檢測數據集的另一個概述，分析了13個數據源，並根據8個數據集屬性對它們進行了評估。Nehinbe[26]為IDS和入侵防禦系統(IPS)提供了關鍵的數據集評估。作者研究了來自不同來源的七個數據集(如DARPA數據集和DEFCON數據集)，強調了它們的局限性，並提出了創建更真實數據集的方法。由於在過去的四年中發布了許多數據集，我們延續了2011年到2015年[18]，[25]，[26]的工作，但提供了比我們的前輩更最新和更詳細的概述。

雖然許多數據集論文(如CIDDS-002[27]、ISCX[28]或UGR ' 16[29])只對一些入侵檢測數據集做了一個簡要的概述，但Sharafaldin等人對[30]提供了更詳盡的綜述。他們的主要貢獻是一個生成入侵檢測數據集的新框架。Sharafaldin等人還分析了11個可用的入侵檢測數據集，並根據11個數據集屬性對其進行了評估。與早期的數據集論文相比，我們的工作重點是對現有的基於網路的數據集提供一個中立的概述，而不是提供一個額外的數據集。

最近的其他論文也涉及到基於網路的數據集，但主要關注的焦點有所不同。Bhuyan等人對網路異常檢測進行了全面的綜述。作者描述了現有的9個數據集，並分析了現有異常檢測方法所使用的數據集。類似地，Nisioti等人的[32]關注於用於入侵檢測的無監督方法，並簡要參考了現有的12個基於網路的數據集。Yavanoglu和Aydos[33]分析比較了最常用的入侵檢測數據集。然而，他們的審查只包含七個數據集，包括其他數據集，如HTTP CSIC 2010[34]。總而言之，這些作品往往有不同的研究目標，而且只是接觸對於基於網路的數據集，則略有不同。

三、數據

通常，網路流量以基於包或基於流的格式捕獲。在包級捕獲網路流量通常是通過鏡像網路設備上的埠來完成的。基於包的數據包含完整的有效載荷信息。基於流的數據更加聚合，通常只包含來自網路連接的元數據。Wheelus等人通過一個說明性的比較強調了這一區別:「捕獲包檢查和NetFlow之間的一個很好的區別示例是徒步穿越森林，而不是乘坐熱氣球飛越森林」[35]。在這項工作中，引入了第三類(其他數據)。另一個類別沒有標准格式，並且因每個數據集而異。

A基於分組的數據

基於包的數據通常以pcap格式捕獲，並包含有效負載。可用的元數據取決於使用的網路和傳輸協議。有許多不同的協議，其中最重要的是TCP、UDP、ICMP和IP。圖1顯示出了不同的報頭。TCP是一種可靠的傳輸協議，它包含諸如序列號、確認號、TCP標志或校驗和值之類的元數據。UDP是一種無連接的傳輸協議，它的頭比TCP小，TCP只包含四個欄位，即源埠、目標埠、長度和校驗和。與TCP和UDP相比，ICMP是一個包含狀態消息的支持協議，因此更小。通常，在報頭旁邊還有一個可用的IP報頭傳輸協議的。IP報頭提供源和目標IP地址等信息，如圖1所示。

b .流為基礎數據

基於流的網路數據是一種更簡潔的格式，主要包含關於網路連接的元信息。基於流的數據將所有在時間窗口內共享某些屬性的包聚合到一個流中，通常不包含任何有效負載。默認的五元組定義，即，源IP地址、源埠、目標IP地址、目標埠和傳輸協議[37]，是一種廣泛使用的基於流的數據屬性匹配標准。流可以以單向或雙向格式出現。單向格式將主機A到主機B之間共享上述屬性的所有包聚合到一個流中。從主機B到主機A的所有數據包聚合為另一個單向流。相反，一個雙向流總結了主機a和主機B之間的所有數據包，不管它們的方向如何。

典型的基於流的格式有NetFlow[38]、IPFIX[37]、sFlow[39]和OpenFlow[40]。表I概述了基於流的網路流量中的典型屬性。根據特定的流格式和流導出器，可以提取額外的屬性，如每秒位元組數、每個包的位元組數、第一個包的TCP標志，甚至有效負載的計算熵。

此外，可以使用nfmp2或YAF3之類的工具將基於包的數據轉換為基於流的數據(但不是相反)。讀者如果對流導出器之間的差異感興趣，可以在[41]中找到更多細節，並分析不同的流導出器如何影響僵屍網路分類。

c .其他數據

這個類別包括所有既不是純基於包也不是基於流的數據集。這類的一個例子可能是基於流的數據集，這些數據集已經用來自基於包的數據或基於主機的日誌文件的附加信息進行了豐富。KDD CUP 1999[42]數據集就是這一類別的一個著名代表。每個數據點都有基於網路的屬性，比如傳輸的源位元組數或TCP標志的數量，但是也有基於主機的屬性，比如失敗登錄的數量。因此，這個類別的每個數據集都有自己的一組屬性。由於每個數據集都必須單獨分析，所以我們不對可用屬性做任何一般性的說明。

四、數據集屬性

為了能夠比較不同的入侵檢測數據集，並幫助研究人員為其特定的評估場景找到合適的數據集，有必要將公共屬性定義為評估基礎。因此，我們研究了文獻中用於評估入侵檢測數據集的典型數據集屬性。一般概念FAIR[43]定義了學術數據應該遵循的四個原則實現，即可查找性、可訪問性、互操作性和可重用性。在與這個一般概念相一致的同時，本工作使用更詳細的數據集屬性來提供基於網路的入侵檢測數據集的重點比較。通常，不同的數據集強調不同的數據集屬性。例如，UGR ' 16數據集[29]強調較長的記錄時間來捕捉周期效應，而ISCX數據集[28]強調精確的標記。由於我們的目標是研究基於網路的入侵檢測數據集的更一般的屬性，所以我們試圖統一和概括文獻中使用的屬性，而不是採用所有的屬性。例如，一些方法評估特定類型攻擊的存在，比如DoS(拒絕服務)或瀏覽器注入。某些攻擊類型的存在可能是評估這些特定攻擊類型的檢測方法的相關屬性，但是對於其他方法沒有意義。因此，我們使用一般的屬性攻擊來描述惡意網路流量的存在(見表三)。第五節提供了關於數據集中不同攻擊類型的更多細節，並討論了其他特定的屬性。

我們不像Haider et al.[19]或Sharafaldin et al.[30]那樣開發評估評分，因為我們不想判斷不同數據集屬性的重要性。我們認為，某些屬性的重要性取決於具體的評估場景，不應該在調查中普遍判斷。相反，應該讓讀者能夠找到適合他們需要的數據集。因此，我們將下面討論的數據集屬性分為五類，以支持系統搜索。圖2總結了所有數據集屬性及其值范圍。

A.一般資料

以下四個屬性反映了關於數據集的一般信息，即創建年份、可用性、正常網路流量和惡意網路流量的存在。

1)創建年份:由於網路流量受概念漂移影響，每天都會出現新的攻擊場景，因此入侵檢測數據集的年齡起著重要作用。此屬性描述創建年份。與數據集發布的年份相比，捕獲數據集的底層網路流量的年份與數據集的最新程度更相關。

2)公共可用性:入侵檢測數據集應公開可用，作為比較不同入侵檢測方法的依據。此外，數據集的質量只能由第三方檢查，如果它們是公開可用的。表III包含此屬性的三個不同特徵:yes, o.r. (on request)和no。On request是指在向作者或負責人發送消息後授予訪問許可權。

3)正常用戶行為:此屬性指示數據集中正常用戶行為的可用性，並接受yes或no值。值yes表示數據集中存在正常的用戶行為，但它不聲明是否存在攻擊。一般來說，入侵檢測系統的質量主要取決於其攻擊檢測率和誤報率。此外，正常用戶行為的存在對於評估IDS是必不可少的。然而，缺少正常的用戶行為並不會使數據集不可用，而是表明它必須與其他數據集或真實世界的網路流量合並。這樣的合並步驟通常稱為覆蓋或鹽化[44]、[45]。

4)攻擊流量:IDS數據集應包含各種攻擊場景。此屬性指示數據集中是否存在惡意網路通信，如果數據集中至少包含一次攻擊，則該屬性的值為yes。表四提供了關於特定攻擊類型的附加信息。

B.數據的性質

此類別的屬性描述數據集的格式和元信息的存在。

1)元數據:第三方很難對基於包和基於流的網路流量進行內容相關的解釋。因此，數據集應該與元數據一起提供關於網路結構、IP地址、攻擊場景等的附加信息。此屬性指示附加元數據的存在。

2)格式:網路入侵檢測數據集以不同的格式出現。我們大致將它們分為三種格式(參見第三節)。(1)基於分組的網路流量(例如pcap)包含帶負載的網路流量。(2)基於流的網路流量(如NetFlow)只包含關於網路連接的元信息。(3)其他類型的數據集可能包含基於流的跟蹤，帶有來自基於包的數據甚至來自基於主機的日誌文件的附加屬性。

3)匿名性:由於隱私原因，入侵檢測數據集往往不會公開，或者只能以匿名的形式提供。此屬性指示數據是否匿名以及哪些屬性受到影響。表III中的none值表示沒有執行匿名化。值yes (IPs)表示IP地址要麼被匿名化，要麼從數據集中刪除。同樣，值yes (payload)表示有效負載信息被匿名化，要麼從基於分組的網路流量中刪除。

C.數據量

此類別中的屬性根據容量和持續時間描述數據集。

1) Count:屬性Count將數據集的大小描述為包含的包/流/點的數量或物理大小(GB)。

2)持續時間:數據集應涵蓋較長時間內的網路流量，以捕捉周期性影響(如白天與夜晚或工作日與周末)[29]。屬性持續時間提供每個數據集的記錄時間。

D.記錄環境

此類別中的屬性描述捕獲數據集的網路環境和條件。

1)流量類型:描述網路流量的三種可能來源:真實的、模擬的或合成的。Real是指在有效的網路環境中捕獲真實的網路流量。模擬的意思是在測試床或模擬網路環境中捕獲真實的網路流量。綜合意味著網路流量是綜合創建的(例如，通過一個流量生成器)，而不是由一個真實的(或虛擬的)網路設備捕獲的。

2)網路類型:中小企業的網路環境與互聯網服務提供商(ISP)有著本質的區別。因此，不同的環境需要不同的安全系統，評估數據集應該適應特定的環境。此屬性描述創建相應數據集的基礎網路環境。

3)完整網路:該屬性採用Sharafaldin等人的[30]，表示數據集是否包含來自具有多個主機、路由器等網路環境的完整網路流量。如果數據集只包含來自單個主機(例如蜜罐)的網路流量，或者只包含來自網路流量的一些協議(例如獨佔SSH流量)，則將值設置為no。

E.評價

以下特性與使用基於網路的數據集評估入侵檢測方法有關。更精確地說，這些屬性表示預定義子集的可用性、數據集的平衡和標簽的存在。

1)預定義的分割:有時，即使在相同的數據集上對不同的IDS進行評估，也很難對它們的質量進行比較。在這種情況下，必須明確是否使用相同的子集進行訓練和評估。如果數據集附帶用於訓練和評估的預定義子集，則此屬性提供信息。

2)均衡:基於異常的入侵檢測通常採用機器學習和數據挖掘方法。在這些方法的訓練階段(例如，決策樹分類器)，數據集應該與其類標簽相平衡。因此，數據集應該包含來自每個類(normal和attack)的相同數量的數據點。然而，真實世界的網路流量是不平衡的，它包含了比攻擊流量更多的正常用戶行為。此屬性指示數據集是否與其類標簽相平衡。在使用數據挖掘演算法之前，應該通過適當的預處理來平衡不平衡的數據集。他和Garcia[46]提供了從不平衡數據中學習的良好概述。

3)帶標簽:帶標簽的數據集是訓練監督方法、評估監督和非監督入侵檢測方法所必需的。此屬性表示是否標記了數據集。如果至少有兩個類normal和attack，則將此屬性設置為yes。此屬性中可能的值為:yes, yes with BG。(yes with background)、yes (IDS)、indirect和no。是的，有背景意味著有第三類背景。屬於類背景的包、流或數據點可以是正常的，也可以是攻擊。Yes (IDS)是指使用某種入侵檢測系統來創建數據集的標簽。數據集的一些標簽可能是錯誤的，因為IDS可能不完美。間接意味著數據集沒有顯式標簽，但是可以通過其他日誌文件自己創建標簽。

五、數據集

我們認為，在搜索足夠的基於網路的數據集時，標記的數據集屬性和格式是最決定性的屬性。入侵檢測方法(監督的或非監督的)決定是否需要標簽以及需要哪種類型的數據(包、流或其他)。因此，表II提供了關於這兩個屬性的所有研究的基於網路的數據集的分類。表三給出了關於第四節數據集屬性的基於網路的入侵檢測數據集的更詳細概述。在搜索基於網路的數據集時，特定攻擊場景的存在是一個重要方面。因此，表III顯示了攻擊流量的存在，而表IV提供了數據集中特定攻擊的詳細信息。關於數據集的論文描述了不同抽象級別的攻擊。例如，Vasudevan等人在他們的數據集中(SSENET- 2011)將攻擊流量描述為:「Nmap、Nessus、Angry IP scanner、Port scanner、Metaploit、Backtrack OS、LOIC等是參與者用來發起攻擊的一些攻擊工具。」相比之下，Ring等人在他們的CIDDS-002數據集[27]中指定了執行埠掃描的數量和不同類型。因此，攻擊描述的抽象級別可能在表四中有所不同。對所有攻擊類型的詳細描述超出了本文的范圍。相反，我們推薦感興趣的讀者閱讀Anwar等人的開放存取論文「從入侵檢測到入侵響應系統:基礎、需求和未來方向」。此外，一些數據集是其他數據集的修改或組合。圖3顯示了幾個已知數據集之間的相互關系。

基於網路的數據集，按字母順序排列

AWID [49]。AWID是一個公共可用的數據集4，主要針對802.11網路。它的創建者使用了一個小型網路環境(11個客戶機)，並以基於包的格式捕獲了WLAN流量。在一個小時內，捕獲了3700萬個數據包。從每個數據包中提取156個屬性。惡意網路流量是通過對802.11網路執行16次特定攻擊而產生的。AWID被標記為一個訓練子集和一個測試子集。

Booters[50]。Booters是罪犯提供的分布式拒絕服務(DDoS)攻擊。Santanna et. al[50]發布了一個數據集，其中包括九種不同的啟動程序攻擊的跟蹤，這些攻擊針對網路環境中的一個空路由IP地址執行。結果數據集以基於分組的格式記錄，包含超過250GB的網路流量。單獨的包沒有標記，但是不同的Booters攻擊被分成不同的文件。數據集是公開可用的，但是出於隱私原因，booters的名稱是匿名的。

僵屍網路[5]。僵屍網路數據集是現有數據集的組合，可以公開使用。僵屍網路的創建者使用了[44]的疊加方法來組合ISOT[57]、ISCX 2012[28]和CTU-13[3]數據集的(部分)。結果數據集包含各種僵屍網路和正常用戶行為。僵屍網路數據集被劃分為5.3 GB訓練子集和8.5 GB測試子集，都是基於包的格式。

CIC DoS[51]。CIC DoS是加拿大網路安全研究所的一組數據，可以公開使用。作者的意圖是創建一個帶有應用層DoS攻擊的入侵檢測數據集。因此，作者在應用層上執行了8種不同的DoS攻擊。將生成的跟蹤結果與ISCX 2012[28]數據集的無攻擊流量相結合生成正常的用戶行為。生成的數據集是基於分組的格式，包含24小時的網路流量。

CICIDS 2017 [22]。CICIDS 2017是在模擬環境中歷時5天創建的，包含基於分組和雙向流格式的網路流量。對於每個流，作者提取了80多個屬性，並提供了關於IP地址和攻擊的附加元數據。正常的用戶行為是通過腳本執行的。數據集包含了多種攻擊類型，比如SSH蠻力、heartbleed、僵屍網路、DoS、DDoS、web和滲透攻擊。CICIDS 2017是公開可用的。

cidds - 001 [21]。CIDDS-001數據集是在2017年模擬的小型商業環境中捕獲的，包含為期四周的基於單向流的網路流量，並附帶詳細的技術報告和附加信息。該數據集的特點是包含了一個在互聯網上受到攻擊的外部伺服器。與蜜罐不同，來自模擬環境的客戶機也經常使用此伺服器。正常和惡意的用戶行為是通過在GitHub9上公開可用的python腳本執行的。這些腳本允許不斷生成新的數據集，並可用於其他研究。CIDDS-001數據集是公開可用的，包含SSH蠻力、DoS和埠掃描攻擊，以及從野外捕獲的一些攻擊。

cidds - 002 [27]。CIDDS-002是基於CIDDS-001腳本創建的埠掃描數據集。該數據集包含兩個星期的基於單向流的網路流量，位於模擬的小型業務環境中。CIDDS-002包含正常的用戶行為以及廣泛的不同埠掃描攻擊。技術報告提供了關於外部IP地址匿名化的數據集的附加元信息。數據集是公開可用的。

③ 入侵檢測系統IDS是什麼，入侵檢測系統的原理是什麼

入侵檢測系統(IDS)是對網路傳輸進行實時監控的一種安全保障。不同於傳統的網路安全設備，當檢測到外星入侵者時，會立即報警並採取積極的應對措施。而且他內置了入侵知識庫，對網路上的流量特徵進行收集和分析，一旦在高合規或者大流量的情況下，會立即預警或者反擊。

一、入侵檢測系統的工作

入侵檢測系統簡稱IDS。IDS主要分為兩部分:檢測引擎和控制中心。檢測引擎用於分析和讀取數據。當控制中心接收到一個來自伊寧的數據時，會對數據進行過濾，進行檢測分析，如果有威脅會立即報警。一些正常用戶的異常檢測行為，偏離了正常的活動規律，也會被視為攻擊企圖，會立即產生狀態信號。IDS就像是對金庫的監控。一旦有人准備入侵監控，或者在門前做了什麼，就會被自己的控制中心檢測到。

以上就是有關於入侵檢測系統IDS是什麼，入侵檢測系統的原理是什麼？的相關回答了，你了解了嗎

④ 入侵檢測系統在網路安全中的應用

你寫的提綱裡面就是沒有應用
你寫的是入侵檢測中發現的問題
如何防範及預防 這些你都沒有做到
肯定不行
應用就是如何解決發現的問題
光有問題 沒有解決辦法 任何人都沒有興趣
呵呵
你可以網上搜索下相關的資料
呵呵 祝你的論文有個好成績
順利通過
呵呵

⑤ 如何理解異常入侵檢測技術

入侵檢測是用於檢測任何損害或企圖損害系統的機密性、完整性或可用性等行為的一種網路安全技術。它通過監視受保護系統的狀態和活動，採用異常檢測或誤用檢測的方式，發現非授權的或惡意的系統及網路行為，為防範入侵行為提供有效的手段。入侵檢測系統（IDS）是由硬體和軟體組成，用來檢測系統或網路以發現可能的入侵或攻擊的系統。IDS通過實時的檢測，檢查特定的攻擊模式、系統配置、系統漏洞、存在缺陷的程序版本以及系統或用戶的行為模式，監控與安全有關的活動。

入侵檢測提供了用於發現入侵攻擊與合法用戶濫用特權的一種方法，它所基於的重要的前提是：非法行為和合法行為是可區分的，也就是說，可以通過提取行為的模式特徵來分析判斷該行為的性質。一個基本的入侵檢測系統需要解決兩個問題：
一是如何充分並可靠地提取描述行為特徵的數據；
二是如何根據特徵數據，高效並准確地判斷行為的性質。
入侵檢測系統主要包括三個基本模塊：數據採集與預處理、數據分析檢測和事件響應。系統體系結構如下圖所示。

數據採集與預處理。該模塊主要負責從網路或系統環境中採集數據，並作簡單的預處理，使其便於檢測模塊分析，然後直接傳送給檢測模塊。入侵檢測系統的好壞很大程度上依賴於收集信息的可靠性和正確性。數據源的選擇取決於所要檢測的內容。
數據分析檢測。該模塊主要負責對採集的數據進行數據分析，確定是否有入侵行為發生。主要有誤用檢測和異常檢測兩種方法。
事件響應。該模塊主要負責針對分析結果實施響應操作，採取必要和適當的措施，以阻止進一步的入侵行為或恢復受損害的系統。

異常入侵檢測的主要前提條件是入侵性活動作為異常活動的子集。理想狀況是異常活動集同入侵性活動集相等。在這種情況下，若能檢測所有的異常活動，就能檢測所有的入侵性活動。可是，入侵性活動集並不總是與異常活動集相符合。活動存在四種可能性：

• 入侵性而非異常；
• 非入侵性且異常；
• 非入侵性且非異常；
• 入侵且異常。

異常入侵檢測要解決的問題就是構造異常活動集並從中發現入侵性活動子集。異常入侵檢測方法依賴於異常模型的建立，不同模型就構成不同的檢測方法。異常入侵檢測通過觀測到的一組測量值偏離度來預測用戶行為的變化，並作出決策判斷。異常入侵檢測技術的特點是對於未知的入侵行為的檢測非常有效，但是由於系統需要實時地建立和更新正常行為特徵輪廓，因而會消耗更多的系統資源。

⑥ 網路安全處理過程

網路安全應急響應是十分重要的，在網路安全事件層出不窮、事件危害損失巨大的時代，應對短時間內冒出的網路安全事件，根據應急響應組織事先對各自可能情況的准備演練，在網路安全事件發生後，盡可能快速、高效的跟蹤、處置與防範，確保網路信息安全。就目前的網路安全應急監測體系來說，其應急處理工作可分為以下幾個流程：

1、准備工作

此階段以預防為主，在事件真正發生前為應急響應做好准備。主要包括以下幾項內容：制定用於應急響應工作流程的文檔計劃，並建立一組基於威脅態勢的合理防禦措施；制定預警與報警的方式流程，建立一組盡可能高效的事件處理程序；建立備份的體系和流程，按照相關網路安全政策配置安全設備和軟體；建立一個支持事件響應活動的基礎設施，獲得處理問題必備的資源和人員，進行相關的安全培訓，可以進行應急響應事件處理的預演方案。

2、事件監測

識別和發現各種網路安全緊急事件。一旦被入侵檢測機制或另外可信的站點警告已經檢測到了入侵，需要確定系統和數據被入侵到了什麼程度。入侵響應需要管理層批准，需要決定是否關閉被破壞的系統及是否繼續業務，是否繼續收集入侵者活動數據（包括保護這些活動的相關證據）。通報信息的數據和類型，通知什麼人。主要包括以下幾種處理方法：

布局入侵檢測設備、全局預警系統，確定網路異常情況；

預估事件的范圍和影響的嚴重程度，來決定啟動相應的應急響應的方案；

事件的風險危害有多大，涉及到多少網路，影響了多少主機，情況危急程度；

確定事件責任人人選，即指定一個責任人全權處理此事件並給予必要資源；

攻擊者利用的漏洞傳播的范圍有多大，通過匯總，確定是否發生了全網的大規模入侵事件；

3、抑制處置

在入侵檢測系統檢測到有安全事件發生之後，抑制的目的在於限制攻擊范圍，限制潛在的損失與破壞，在事件被抑制以後，應該找出事件根源並徹底根除；然後就該著手系統恢復，把所有受侵害的系統、應用、資料庫等恢復到它們正常的任務狀態。

收集入侵相關的所有資料，收集並保護證據，保證安全地獲取並且保存證據；

確定使系統恢復正常的需求和時間表、從可信的備份介質中恢復用戶數據和應用服務；

通過對有關惡意代碼或行為的分析結果，找出事件根源明確相應的補救措施並徹底清除，並對攻擊源進行准確定位並採取措施將其中斷；

清理系統、恢復數據、程序、服務，把所有被攻破的系統和網路設備徹底還原到正常的任務狀態。

4、應急場景

網路攻擊事件：

安全掃描攻擊：黑客利用掃描器對目標進行漏洞探測，並在發現漏洞後進一步利用漏洞進行攻擊；

暴力破解攻擊：對目標系統賬號密碼進行暴力破解，獲取後台管理員許可權；

系統漏洞攻擊：利用操作系統、應用系統中存在漏洞進行攻擊；

WEB漏洞攻擊：通過SQL注入漏洞、上傳漏洞、XSS漏洞、授權繞過等各種WEB漏洞進行攻擊；

拒絕服務攻擊：通過大流量DDOS或者CC攻擊目標，使目標伺服器無法提供正常服務；

信息破壞事件：

系統配置遭篡改：系統中出現異常的服務、進程、啟動項、賬號等等；

資料庫內容篡改：業務數據遭到惡意篡改，引起業務異常和損失；

網站內容篡改事件：網站頁面內容被黑客惡意篡改；

信息數據泄露事件：伺服器數據、會員賬號遭到竊取並泄露.

⑦ 請問入侵防範－入侵防護/檢測系統的功能

入侵防護（intrusion prevention）是一種可識別潛在的威脅並迅速地做出應對的網路安全防範辦法。與入侵檢測系統（IDS）一樣，入侵防護系統（IPS）也可監視網路數據流通。
入侵防護（intrusion prevention）是一種可識別潛在的威脅並迅速地做出應對的網路安全防範辦法。與入侵檢測系統（IDS）一樣，入侵防護系統（IPS）也可監視網路數據流通。不法份子一旦侵入系統，立即就會開始搗亂，此時，部署在網路的出入口端的IPS將會大顯身手，它將依照網路管理員所訂立的規則，採取相應的措施。比如說，一旦檢測到攻擊企圖，它會自動地將夾帶著惡意病毒或嗅探程序的攻擊包丟掉，或採取措施將攻擊源阻斷，切斷網路與該IP地址或埠之間進一步的數據交流。與此同時，合法的信息包仍按正常情況傳送到接收者的手中。

據Top Layer Networks公司的Michael Reed介紹，一套行之有效的入侵防護系統應該具備更高級的監測和分析能力，大到網路交通模式，小到單個信息包，如果出現違反安全策略的行為和被攻擊的跡象，它都能夠監測到，並採取適當的應對措施。「探測機制的覆蓋面極為廣泛，包括了地址匹配、HTTP字元串和子字元串的匹配、通用模式匹配、TCP連接分析、非正常的可疑包檢測、流量異常檢測、TCP/UDP埠匹配，等等。」
廣義的來說，可將攻擊者阻擋在你的網路之外的一切產品或工具，比如說防火牆和防毒軟體，都屬於入侵防護（intrusion prevention）系統的范疇。[1

⑧ 什麼叫做入侵檢測入侵檢測系統的基本功能是什麼

入侵檢測系統（Intrusion-detection system，下稱「IDS」）是一種對網路傳輸進行即時監視，在發現可疑傳輸時發出警報或者採取主動反應措施的網路安全設備。它與其他網路安全設備的不同之處便在於，IDS是一種積極主動的安全防護技術。 IDS最早出現在1980年4月。該年，James P. Anderson為美國空軍做了一份題為《Computer Security Threat Monitoring and Surveillance》的技術報告，在其中他提出了IDS的概念。 1980年代中期，IDS逐漸發展成為入侵檢測專家系統（IDES）。 1990年，IDS分化為基於網路的IDS和基於主機的IDS。後又出現分布式IDS。目前，IDS發展迅速，已有人宣稱IDS可以完全取代防火牆。 我們做一個形象的比喻：假如防火牆是一幢大樓的門衛，那麼IDS就是這幢大樓里的監視系統。一旦小偷爬窗進入大樓，或內部人員有越界行為，只有實時監視系統才能發現情況並發出警告。 IDS入侵檢測系統以信息來源的不同和檢測方法的差異分為幾類。根據信息來源可分為基於主機IDS和基於網路的IDS，根據檢測方法又可分為異常入侵檢測和濫用入侵檢測。不同於防火牆，IDS入侵檢測系統是一個監聽設備，沒有跨接在任何鏈路上，無須網路流量流經它便可以工作。因此，對IDS的部署，唯一的要求是：IDS應當掛接在所有所關注流量都必須流經的鏈路上。在這里，"所關注流量"指的是來自高危網路區域的訪問流量和需要進行統計、監視的網路報文。在如今的網路拓撲中，已經很難找到以前的HUB式的共享介質沖突域的網路，絕大部分的網路區域都已經全面升級到交換式的網路結構。因此，IDS在交換式網路中的位置一般選擇在： （1）盡可能靠近攻擊源 （ 2）盡可能靠近受保護資源 這些位置通常是： ·伺服器區域的交換機上 ·Internet接入路由器之後的第一台交換機上 ·重點保護網段的區域網交換機上 由於入侵檢測系統的市場在近幾年中飛速發展，許多公司投入到這一領域上來。Venustech(啟明星辰）、Internet Security System（ISS）、思科、賽門鐵克等公司都推出了自己的產品。系統分類根據檢測對象的不同，入侵檢測系統可分為主機型和網路型。

⑨ 入侵檢測技術在網路安全的應用論文

入侵檢測技術在網路安全的應用論文

摘要： 入侵檢測技術是現代網路安全技術的一個分支，入侵檢測技術是能更加迅速及穩定地捕捉到網路安全的弊端，並通過相關演算法對網路安全加以保證。

關鍵詞： 入侵檢測技術；網路安全；應用

1引言

自21世紀以來，計算機技術和電子信息快速發展，而後又隨著互聯網的更新換代，以及網路進入千家萬戶，標志著人類進入了信息化社會，網路也作為一種和人類生活息息相關的生活資料所存在，我們日常生活和工作都是網路資源的獲取以及利用過程，高效的資源獲取會給我們創造更高的價值，也會使我們在工作和生活中獲得更大的競爭優勢。入侵檢測技術可以很好的幫助用戶實現網路安全以及管理者對入侵者管理，使網路安全工作更加的入侵檢測技術化和科學化。與以往的人工記錄不同，入侵檢測技術有著以下優點：高效的數據處理速度和精準的准確性。通過從入侵者的名稱、分類、安全量進行查找，不僅快速，而且准確率高。人們不在局限於必須去網路館分門別類的尋找入侵者，只需要在入侵檢測技術中輸入自己需要的網路或根據類別查詢相關詳細信息即可實現，便於安全，減少了人工勞動量，大大節約了成本。入侵檢測技術的目的就是幫助人們通過快速查找入侵者然後保護網路安全，查詢自己的安全信息狀態，管理者能更方便的管理入侵者的狀態，對用戶的安全行為進行高效的管理。節約了時間，帶給人們更大的便捷。

2可行性分析

對入侵檢測技術進行可行性分析的目的在於：確定入侵檢測技術是否能在現有的技術、經濟以及人員等各方面條件下，使問題得到解決，並分析是否值得解決。通過對用戶的應用進行分析和調研，提出可行性方案並進行論證。接下來從以下三個方面對入侵檢測技術進行可行性分析。

2.1技術可行性

技術可行性是考慮以現有的技術能否使入侵檢測技術的開發工作順利完成，並且滿足開發的應用。入侵檢測技術採用的是入侵檢測演算法，它們具有容易開發、操作簡單、穩定等優點，使用的入侵檢測技術發展比較成熟，都屬於當前流行的開發技術，所以入侵檢測技術在技術開發方面是完全可行的。

2.2運行可行性

入侵檢測技術在數據收集，處理方面都是基於入侵檢測技術，屬於比較穩定的狀態，而且這種模式以及入侵檢測技術都屬於比較常見的軟體技術，在操作方面應該可以很快學習和上手，在用戶的操作方面都使用了簡單明了的方式，最大程度的提高了用戶的使用體驗，完全符合用戶快捷方便安全的應用，所以入侵檢測技術在運行方面是完全可行的。

2.3經濟可行性

經濟可行性研究是估計項目的開發成本是否合理，判斷此項目能否符合用戶的切身利益。入侵檢測技術的建立比較簡單，所需要的應用硬體和軟體都容易獲取，因此開發成本低。而在後台入侵檢測技術的運行以及維護等方面，由於入侵檢測技術由管理人員操作，完全可以由管理者在入侵檢測技術上進行管理，減少了傳統的人工作業，省出了一筆費用並且可以用於更好的建設入侵者安放及保護，明顯的提高了工作效率，所以在此方面是完全可行的。

3入侵檢測技術應用分析

3.1應用概述

3.1.1總體目標入侵檢測技術能解決當前一些網路仍然靠人工作業帶來的效率低、檢索速度慢、病毒的統計工作量大、沒有演算法除去等問題。該入侵檢測技術可以實現兩種用戶類型的使用：1.用戶在入侵檢測技術中可以根據演算法進行查找和詳細查找，對入侵者進行演算法除去，修改自己的信息，能夠查詢安全信息情況，查看入侵者的詳細信息。2.管理者能夠方便的對安全保護模塊進行增加、修改、刪除等操作，對安全保護模塊進行刪除或者添加操作，對病毒進行除去，並根據安全情況進行管理，以及對入侵檢測技術的演算法信息進行相關的添加或者修改。3.1.2用戶類型入侵檢測技術的控制用戶主要有兩種：網路管理員和普通用戶，不同的身份就有不同的許可權。用戶通過演算法結構進入到入侵檢測技術後，查找自己所需要安全的級別，然後進行演算法除去和保護詢，也可查看自己的安全情況。管理者以管理員的身份進入到管理界面後，對入侵者和用戶進行相應的管理。

3.2應用模型

3.2.1功能應用入侵檢測技術的'目的是為了實現用戶的高效安全演算法，方便查詢相關入侵者，管理者能方便有效的對用戶和入侵者進行相應的管理。入侵檢測技術主要需要完成以下功能：1.登錄。登錄分為兩種：普通用戶的登錄和管理員身份的登錄，經過入侵檢測技術的驗證之後，用戶和管理員才能進入入侵檢測技術。2.查詢功能：有兩種身份的查詢功能，用戶可以通過類別找到相關的入侵者，也可通過輸入具體的入侵者名稱和類型找到，還有查詢自己的安全情況；管理者可以查詢用戶的安全情況和入侵者情況。3.管理功能：管理者主要是對入侵者進行增刪和更換等操作，對用戶的演算法除去請求進行審核和管理用戶狀態。4.演算法除去功能：用戶登陸後選擇要演算法除去的網路，由管理員審核通過之後方可隔離此病毒。3.2.2安全功能應用用戶通過演算法結構進入到入侵檢測技術後，可通過入侵檢測演算法來找到安全的網路，用戶的信用良好且此病毒在病毒庫還有剩餘的情況下才能演算法除去，在設定隔離病毒的時間之後即可完成病毒除去操作。通過入侵檢測演算法的實現，用戶的安全情況可由管理員操作。3.2.3管理員功能應用入侵檢測技術的管理員主要是對入侵檢測技術的用戶和入侵者進行管理。入侵者管理包括對相關信息進行增刪和更換等操作，對入侵者的具體詳細信息進行修改；用戶管理包括對用戶的演算法除去入侵者請求進行審核，對用戶的正常或凍結狀態進行管理，查看用戶的安全情況。同時管理員還可以對演算法結構進行修改和添加操作，也可以修改自己的登錄密碼。

參考文獻：

[1]胡天騏，單劍鋒，宋曉濤.基於改進PSO-LSSVM的模擬電路診斷方法[J].計算機技術與發展.2015(06)

[2]李仕瓊.數據挖掘中關聯規則挖掘演算法的分析研究[J].電子技術與軟體工程.2015(04)

[3]胡秀.基於Web的數據挖掘技術研究[J].軟體導刊.2015(01)