查看: 1354|回复: 1
IPS（入侵防御系统）和IDS(入侵检测系统)
该用户从未签到
IPS（入侵防御系统）和IDS(入侵检测系统)&&当攻击者想要非法访问网络或主机，以降低其性能或窃取其信息时，入侵检测系统IDS就可以（在杂合模式下）将这种行为检测出来。除此之外，它们还能够检测出分布式拒绝服务（DDOS）攻击、蠕虫及病毒的爆发。& &在杂合模式下的IDS，一名黑客向Web服务器发送了一个恶意的数据包。IDS设备对这个数据包进行了分析，并向检测系统（可以是CS-MARS）发送了一个告警信息。不过，这个恶意数据包最终仍然成功地到达Web服务器。& &入侵防御系统IPS则与IDS不同，它不仅有能力检测到所有这些安全威胁，也能够在线（in line）丢弃恶意数据包。运行在在线模式下的IPS设备在向监视系统发送告警的同时，丢弃不符合要求的数据包。& &IPS有两种类型。n&&基于网络的IPS(NIPS)。n&&基于主机的IPS(HIPS)。& & 注释：NIPS型的设备包括Cisco IPS 4200传感器、Cisco Catalyst 6500 IPS模块及带有AIP-SSM模块的Cisco ASA。而HIPS则包括CSA(Cisco安全代理)。& & Cisco ASA 5500系列IPS解决方案将入侵防御、防火墙及VPN功能集成在了一个硬件平台中，为管理人员的部署提供了方便。入侵防御服务通过对流量进行深入的检查，来强化对防火墙的保护功能，使其能够对各类威胁及网络漏洞进行保护。& & 基于网络的IDS和IPS能够使用多种检测手段，例如：n&&模式匹配及状态化模式匹配识别(stateful pattern-matching recognition)n&&协议分析n&&基于启发（Heuristic-based）的分析n&&基于异常(Anomaly-based)的分析一、模式匹配及状态化模式匹配识别& & 模式匹配是指入侵检测设备在穿越网络的数据包中查找特定顺序字节组合的方法。一般来说，这种模式会查找与特定服务相关的数据包，或者根据源和目的端口进行查找。这种方法不必再对每个数据包都进行监控，因而可以减少监控的总数。不过，它只能应用于那些能够通过定义准确的端口进行关联的服务及协议。而那些不使用4层端口信息的协议则不在此列，如ESP协议、AH协议及GRE协议。& &这种方法使用了特征（signatures）的概念。所谓特征是指出网络中存在入侵行为的一系列条件。比如，若某个TCP数据包目的端口为1234，且负载中包含了字符串ff11ff22时，设备就会触发告警来对该字符串进行检测。& &另外，针对特定数据包，特征也可以通过指出开始点和结束点对其进行监控。使用这种明确模式匹配的好处如下所示；n&&直接对比行为n&&根据指定的模式触发告警n&&可应用于各类服务及协议& &模式匹配的一大缺陷是在于它经常出现大量的误报（false&&positive）。误报是指那些并非针对恶意行为的告警。而且，如果攻击者对攻击方式进行改动，那么采用模式匹配又容易导致设备忽略真正的恶意行为，这一般被称为漏报（false&&negatives）。& &为了解决上述这些问题，人们将这种方法加以改良，创建了一种叫做状态化模式匹配识别的方式。这种方法要求，执行这类特征判断方法的系统必须分析TCP流中数据包的时间顺序，尤其必须对这类数据包和流进行状态化监控。& &状态化模式匹配识别的优势如下：n&&它能够直接用给定的模式来与某种行为进行比较n&&支持所有不加密的IP协议& &执行状态化模式匹配的系统必须跟踪未加密数据包的到达顺序，并根据数据包的类型执行模式匹配。& &然而，状态化模式匹配识别也同样存在一些简单模式匹配方法的缺陷，这些缺陷我们已经在前文中提到过了，比如，以不确定的几率出现误报的情况、有可能存在漏报的情况。另外，状态化模式匹配还会消耗IPS设备更多的资源，因此需要占用更多的内存和CPU资源来对信息进行处理。二、协议分析& & 协议分析（或称协议基于解码的特征）通常指扩展型的状态化模式识别。网络入侵检测系统(NIDS)可以通过对所有的协议进行解码或客户端服务器之间的交互，来实现对协议的分析。在查找非法行为时，NIDS可以识别出协议中的元素并对它们进行分析。有些入侵检测系统直接查看被监控数据包的协议字段，其他的则要求使用更高级的方法，如检测协议中某字段的长度或参数值。比如，在SMTP中，设备有可能就会查看特定的命令及字段，如HELO、MAIL、RCPT、DATA、RSET、NOOP和QUIT。如果管理员将被分析的协议定义的足够准确、处理的足够妥当的话，那么这种方法就能够降低误报的可能性。反之，如果协议定义过于笼统或在执行时过于灵活的话，那么就会产生大量的误报。三、基于启发的分析& &另一种网络入侵检测的手段是基于启发的分析。当流量通过网络时，设备会对其进行统计分析，启发式扫描则会对统计分析中得到的结果执行算法逻辑。为了完成这项任务，设备会集中调用CPU及其他资源，因此在设计网络部署环境时，需要对这一点进行仔细地考虑。基于启发的算法一般需要对网络流量进行仔细地调试，以将误报的几率降至最低。比如说，若扫描特定主机或网络的一个端口范围，系统特性就会创建告警信息。这个特征也可以通过精心设计，以将其范围限制在特定类型的数据包中（如TCP SYN数据包）。基于启发的特征要求工程师在调试和修正时更加准确，这样才能对不同的网络环境作出更准确的响应。四、基于异常的分析&&还有一种方式是跟踪网络流量中不“正常”的行为模式。这种方式叫做“基于异常的分析”。这种方法的局限在于所有的正常行为必须经过定义。至于那些可以简单视为正常的系统及应用行为可以划分进基于启发的系统。&&不过，在有些情况下，基于不同因素来定义一个行为是否正常还是具有一定难度的。这些因素包括协商的协议及端口、特定应用的变化及网络架构的变化等。& &这类分析的变量是基于配置文件（profile-based）的检测。这种方法与协议解码的方法类似，但又不完全一样。与协议解码方式的不同在于，这种基于协议的检测方式依赖于协议是否得到了精确的定义，而协议解码方式则会根据一个异常的，不可预测的值进行分类，或根据相关协议中某个字段的信息进行分类。比如，如果在监控的IP数据包的负载中能够检测出特定字符串，那么就意味着设备检测到了缓冲溢出事件。&&传统的IDS和IPS提供了优秀的应用层攻击检测功能。不过，这些功能都存在一个缺陷：在攻击者使用有效数据包的情况下，设备就无法检测出DDos攻击。IDS和IPS设备在基于特征的应用层攻击检测方面变现优异。因此，他们存在的另一个缺陷是，这些系统只能使用特定的特征来识别恶意的模式，如果网络中出现了一种全新的威胁，那么在特征库针对这些威胁进行更新之前，系统就会出现漏报的情况。针对这种在特征库中找不到的特征所展开的攻击叫做零日漏洞攻击（zero-day attack）。 虽然有些IPS设备确实提供了一些基于异常的功能，以抵御这种类型的攻击，但是这些功能都需要进行大量的调试工作，同时也有产生误报之虞。 管理员可以通过精心调试异常检测系统来缓解DDos攻击及零日漏洞攻击。一般来说，异常检测系统会检测网络流量并在流量突发或出现其他异常状态的情况下进行告警或作出响应。Cisco基于检测、分离、验证、发送的原则，提出了一个完整的DDos保护解决方案，以确保能够对网络实现完整的保护。这种复杂的异常检测系统就是Cisco Traffic Anomaly Detector（Cisco 流量异常检测器）与Cisco Guard DDos Mitigation Appliance（Cisco访卫DDos缓解系统）。&&管理员可使用NetFlow作为异常检测工具。NetFlow是Cisco私有的协议，它可以对通过网络设备（如路由器、交换机或Cisco ASA）的IP流量提供具体的报告和监测功能。（Cisco ASA系统自8.2版开始对NetFlow提供支持）& &NetFlow使用了基于UDP的协议来周期性地报告Cisco IOS设备发现的数据流。数据流是由会话建立、数据传输及会话断开三部分组成的。管理员也可以在CS-MARS（Cisco安全监控分析和响应系统）上集成NetFlow。当NetFlow被集成到了CS-MARS上时，管理员就可以使用统计文件来实现异常检测，这种方式能够准确定位零日漏洞攻击，如蠕虫爆发等。
TA的每日心情开心 22:48签到天数: 467 天[LV.9]以坛为家II
Beijing Aptech Beida Jade Bird Information Technology Co.,Ltd
北大青鸟IT教育 北京阿博泰克北大青鸟信息技术有限公司 版权所有基于深度学习和半监督聚类的入侵防御技术研究
网络安全问题一直是网络健康发展所关心的重点。传统的网络安全防护技术的有防火墙、入侵检测等技术,然而在目前复杂的网络环境下,传统的网络安全防护技术无法满足网络安全的需要。入侵防御系统以入侵检测作为核心技术,兼具防火墙技术和入侵检测技术的优点,不仅能够检测出入侵行为,也能及时采取保护措施,具有主动防御功能,能够有效的提高网络的安全保障。入侵检测算法通常以距离和概率为基础进行检测,能够发现简单的入侵行为,但难以找出特征元素之间的关联,对于攻击手段更加隐蔽的入侵行为无法进行有效的防御。深度学习(Deep Learning)模拟了人脑的思维模式,逐步提取出抽象特征,并且将得到的抽象特征用于分类处理。深度学习算法的核心在于多层次的学习,通过多层次的特征提取,发现数据间内在的联系。将深度学习用于入侵检测,可以发现入侵数据中的隐含攻击行为,进而提高其检测准确率。半监督学习使用少量标记数据和大量未标记数据进行训练,降低了对样本的要求。本文将半监督&
(本文共79页)
权威出处：
1引言利用少量标记数据的半监督学习技术[1]引起了广泛关注.由于标记数据所占比例小,在利用半监督聚类算法[2]对数据集进行聚集并标记后,仍会有部分数据可能未被正确地标记类型.主动学习策略对数据的标记情况和未标记数据的分布进行分析,通过查询标记数据来引导采样过程,利用较少的标签数据来提升分类器的性能.针对监督学习的入侵检测算法在标记数据不足的情况下的无法检测未知攻击的问题和非监督学习的入侵检测算法无需标记样本可以检测出未知攻击但误报率高的问题,本文提出一种主动学习结合改进的k-近邻法半监督聚类的入侵检测算法ASCID(Active-learning Sem-isu-pervised Clustering Intrusion Detection),在检测过程中采用主动学习策略选择最有用的标记数据,查询标记数据与未标记数据的约束关系,利用前面聚类所得到的结果,计算未知样本与各簇中心的距离,提高了检测率,降低了误报率.2主动学习与半监督...&
(本文共4页)
权威出处：
计算机网络已融入到人类社会的方方面面,随着网络的快速发展,网络攻击技术和手段也日趋复杂多样,网络安全问题日渐突出。入侵检测是指通过分析网络或者系统中的数据,发现是否存在异常并生产报警信息的过程。入侵检测作为一种有效的网络安全防御技术,引起国内外学者的广泛关注。传统的入侵检测系统(intrusion detection system,IDS)采用模式匹配的方法,从网络或者系统的数据中提取特征并与攻击特征库中的攻击特征进行匹配来识别入侵行为。随着网络技术的发展,基于专家提供的攻击特征库构建越来越困难,使得这种方法存在大量的错报或虚报的情况,并且对于未定义的新型攻击特征无法检测。将数据挖掘技术引入入侵检测中[1],可以大大改善入侵检测系统建模过程中人为以及不定因素的影响。在入侵检测系统中常用的数据挖掘算法有时序算法、决策树算法、神经网络算法、聚类分析算法等。基于聚类分析的入侵检测是一种无监督的异常检测技术,该方法对无标签的数据集进行操...&
(本文共5页)
权威出处：
异常入侵检测(anomaly intrusion detection)通过建立系统或用户的正常行为模型,假设入侵行为有别于正常行为模式,且入侵行为的数量远少于正常行为的数量,凡是显著偏离正常模型的活动都认为是值得“怀疑”的入侵行为.异常检测的优点在于它能够发现任何企图发觉、试探系统最新或未知漏洞的行为,同时不依赖于特定的操作系统.通常将与一般行为或特征不一致的数据对象称作离群点或者孤立点(outlier).Edwin M Knorr和Raymond T Ng提出了基于距第29卷离的孤立点发现算法Cell-Based[1],该算法简单且适用于高维孤立点检测.它不依赖于特定的基于某种概率分布的模型,将没有足够邻居的对象看作孤立点.Cell-Based算法避免了由于拟合标准分布和选择不一致而导致的过度计算,但存在着两个固有的缺点[2]:①需要事先抽样,对于参数p,d的选取可能导致不同的孤立点发现结果,而找到合适的参数需要多次尝试与失败...&
(本文共4页)
权威出处：
0引言入侵检测的目标是通过监视系统或网络流量、系统审计记录等来发现与识别对网络和系统的入侵行为与入侵企图,是建立在入侵行为与网络或系统的正常行为不同这一假设基础上的,本质上是一个模式识别或模式分类问题。然而,目前广泛使用的基于特征签名的入侵检测方法,难以对网络中出现的新攻击类型进行检测,因而,各种机器学习技术被越来越多地应用到入侵检测领域。基于机器学习的入侵检测方法一般分为两类:误用检测(M isuse Detection)与异常检测(Anom aly Detection)。误用检测对攻击行为的特征进行描述,检测已知特征的攻击时精度较高,但无法检测未知特征的攻击;而异常检测方法则对网络的正常行为模式进行建模,以网络行为是否偏离正常行为模式为依据检测攻击,因而能够检测已知与未知特征的攻击。传统的基于机器学习的异常入侵检测算法是基于监督学习的,需要足够的训练数据,以生成具有良好的泛化性能的检测模型。然而,在网络环境中,要获得足够的标...&
(本文共3页)
权威出处：
随着信息技术的飞速发展和人类社会生活需求的日益提升,计算机与互联网技术得以不断创新和发展。电子政务、电子商务、网上银行和军事信息化等信息技术的新概念、新领域的提出和应用,传统的社会运行模式正发生着深刻的转变。同时,随着计算机病毒、入侵、攻击等多种威胁信息安全的手段的不断出现和发展,特别是针对主机和网络的各种攻击和入侵手段的多元化和复杂化,单纯依靠防火墙等静态防御已经难以完全胜任。入侵检测作为一种主动的安全措施,可以有效地弥补传统安全防护技术的缺陷。基于上述背景,本文将数据挖掘技术应用到入侵检测中,开展了基于数据挖掘的入侵检测算法研究。以提高检测算法对入侵检测有效性为目标,在确保检测率和误报率两个重要指标的前提下,从不同角度提出了基于数据挖掘技术的入侵检测算法。本论文主要做了如下的工作:(1)为了解决在传统的基于距离的孤立点发现算法Cell-based中存在的两个缺点,提出一种基于核映射空间距离的入侵检测算法IDBKM。将样本数据...&
(本文共61页)
权威出处：
扩展阅读：
CNKI手机学问
有学问，才够权威！
xuewen.cnki.net
出版：《中国学术期刊（光盘版）》电子杂志社有限公司
地址：北京清华大学 84-48信箱 大众知识服务
京ICP证040431号&
服务咨询：400-810--9993
订购咨询：400-819-9993
传真：010-您当前的位置：&>&&>&&>&
摘要:要保护好自己的网络不受攻击,就必须对攻击方法、攻击原理、攻击过程有深入的、详细的了解,只有这样才能更有效、更具有针对性的进行主动防护。下面就对攻击方法的特征进行分析,来研究如何对攻击行为进行检测与防御。&
关键词:网络 攻击 防御 入侵检测系统
　　反攻击技术的核心问题是如何截获所有的网络信息。目前主要是通过两种途径来获取信息,一种是通过网络侦听的途径来获取所有的网络信息,这既是进行攻击的必然途径,也是进行反攻击的必要途径;另一种是通过对操作系统和应用程序的系统日志进行分析,来发现入侵行为和系统潜在的安全漏洞。&
　　一、攻击的主要方式&
　　对网络的攻击方式是多种多样的,一般来讲,攻击总是利用&系统配置的缺陷&,&操作系统的安全漏洞&或&通信协议的安全漏洞&来进行的。到目前为止,已经发现的攻击方式超过2000种,其中对绝大部分攻击手段已经有相应的解决方法,这些攻击大概可以划分为以下几类:&
　　(一)拒绝服务攻击:一般情况下,拒绝服务攻击是通过使被攻击对象(通常是工作站或重要服务器)的系统关键资源过载,从而使被攻击对象停止部分或全部服务。目前已知的拒绝服务攻击就有几百种,它是最基本的入侵攻击手段,也是最难对付的入侵攻击之一,典型示例有SYN Flood攻击、Ping Flood攻击、Land攻击、WinNuke攻击等。&
　　(二)非授权访问尝试:是攻击者对被保护文件进行读、写或执行的尝试,也包括为获得被保护访问权限所做的尝试。&
　　(三)预探测攻击:在连续的非授权访问尝试过程中,攻击者为了获得网络内部的信息及网络周围的信息,通常使用这种攻击尝试,典型示例包括SATAN扫描、端口扫描和IP半途扫描等。&
　　(四)可疑活动:是通常定义的&标准&网络通信范畴之外的活动,也可以指网络上不希望有的活动,如IP Unknown Protocol和Duplicate IP Address事件等。&
　　(五)协议解码:协议解码可用于以上任何一种非期望的方法中,网络或安全管理员需要进行解码工作,并获得相应的结果,解码后的协议信息可能表明期望的活动,如FTU User和Portmapper Proxy等解码方式。&
　　二、攻击行为的特征分析与反攻击技术&
　　入侵检测的最基本手段是采用模式匹配的方法来发现入侵攻击行为,要有效的进反攻击首先必须了解入侵的原理和工作机理,只有这样才能做到知己知彼,从而有效的防止入侵攻击行为的发生。下面我们针对几种典型的入侵攻击进行分析,并提出相应的对策。&
　　(一)Land攻击&
　　攻击类型:Land攻击是一种拒绝服务攻击。&
　　攻击特征:用于Land攻击的数据包中的源地址和目标地址是相同的,因为当操作系统接收到这类数据包时,不知道该如何处理堆栈中通信源地址和目的地址相同的这种情况,或者循环发送和接收该数据包,消耗大量的系统资源,从而有可能造成系统崩溃或死机等现象。&
　　检测方法:判断网络数据包的源地址和目标地址是否相同。&
　　反攻击方法:适当配置防火墙设备或过滤路由器的过滤规则就可以防止这种攻击行为(一般是丢弃该数据包),并对这种攻击进行审计(记录事件发生的时间,源主机和目标主机的MAC地址和IP地址)。
　　(二)TCP SYN攻击&
　　攻击类型:TCP SYN攻击是一种拒绝服务攻击。
攻击特征:它是利用TCP客户机与服务器之间三次握手过程的缺陷来进行的。攻击者通过伪造源IP地址向被攻击者发送大量的SYN数据包,当被攻击主机接收到大量的SYN数据包时,需要使用大量的缓存来处理这些连接,并将SYN ACK数据包发送回错误的IP地址,并一直等待ACK数据包的回应,最终导致缓存用完,不能再处理合法的SYN连接,即不能对外提供正常服务。&
　　检测方法:检查单位时间内收到的SYN连接否收超过系统设定的值。&
　　反攻击方法:当接收到大量的SYN数据包时,通知防火墙阻断连接请求或丢弃这些数据包,并进行系统审计。&
　　(三)TCP/UDP端口扫描&
　　攻击类型:TCP/UDP端口扫描是一种预探测攻击。&
　　攻击特征:对被攻击主机的不同端口发送TCP或UDP连接请求,探测被攻击对象运行的服务类型。&
　　检测方法:统计外界对系统端口的连接请求,特别是对21、23、25、53、80、等以外的非常用端口的连接请求。&
　　反攻击方法:当收到多个TCP/UDP数据包对异常端口的连接请求时,通知防火墙阻断连接请求,并对攻击者的IP地址和MAC地址进行审计。&
　　对于某些较复杂的入侵攻击行为(如分布式攻击、组合攻击)不但需要采用模式匹配的方法,还需要利用状态转移、网络拓扑结构等方法来进行入侵检测。&
　　三、入侵检测系统的几点思考&
　　入侵检测系统存在一些亟待解决的问题,主要表现在以下几个方面:&
　　(一)如何识别&大规模的组合式、分布式的入侵攻击&目前还没有较好的方法和成熟的解决方案。从Yahoo等著名ICP的攻击事件中,我们了解到安全问题日渐突出,攻击者的水平在不断地提高,加上日趋成熟多样的攻击工具,以及越来越复杂的攻击手法,使入侵检测系统必须不断跟踪最新的安全技术。&
　　(二)网络入侵检测系统通过匹配网络数据包发现攻击行为,入侵检测系统往往假设攻击信息是明文传输的,因此对信息的改变或重新编码就可能骗过入侵检测系统的检测,因此字符串匹配的方法对于加密过的数据包就显得无能为力。&
　　(三)网络设备越来越复杂、越来越多样化就要求入侵检测系统能有所定制,以适应更多的环境的要求。&
　　(四)对入侵检测系统的评价还没有客观的标准,标准的不统一使得入侵检测系统之间不易互联。入侵检测系统是一项新兴技术,随着技术的发展和对新攻击识别的增加,入侵检测系统需要不断的升级才能保证网络的安全性。&
　　(五)采用不恰当的自动反应同样会给入侵检测系统造成风险。入侵检测系统通常可以与防火墙结合在一起工作,当入侵检测系统发现攻击行为时,过滤掉所有来自攻击者的IP数据包,当一个攻击者假冒大量不同的IP进行模拟攻击时,入侵检测系统自动配置防火墙将这些实际上并没有进行任何攻击的地址都过滤掉,于是造成新的拒绝服务访问。&
　　(六)对IDS自身的攻击。与其他系统一样,IDS本身也存在安全漏洞,若对IDS攻击成功,则导致报警失灵,入侵者在其后的行为将无法被记录,因此要求系统应该采取多种安全防护手段。&
　　总之,入侵检测系统作为网络安全关键性测防系统,具有很多值得进一步深入研究的方面,有待于我们进一步完善,为今后的网络发展提供有效的安全手段。&
　　参考文献:&
　　[1]张耀南、安学敏、张旭,科技网兰州网络的安全分析与实现2007.10
本站论文均来源于网上的共享资源或网友推荐，仅供网友间相互学习交流之用，请特别注意勿做其他非法用途。本站不负责任何连带责任。
转载资料请务必注明出处和原始作者。论文资料版权归原始作者所有。
如果本站所转载内容不慎侵犯了您的权益，请与我们联系，我们将会及时处理。
&&&&&&&&&&&&&&
栏目更新论文
栏目热门论文
最近浏览过的信息
暂无最近浏览记录入侵防御技术的研究
随着计算机和网络技术应用的日益普及,各种网络安全问题也日益突出,为此人们开发出了许多针对具体安全问题的技术和系统。入侵检测系统(IDS)和防火墙是目前两种主要的网络安全技术,发展已相对成熟。但是这二者都存在着各自的缺陷,不能很好地解决日趋严重的网络安全问题,这样就急需出现一种新的安全机制来弥补它们的不足。入侵防御系统(IPS)正是在这样的思想指导下诞生的,它是近几年才出现的新一代安全防范工具,是一种主动的、积极的入侵防范、阻止系统。当IPS当检测到攻击企图后,会自动地将攻击包丢掉或采取措施将攻击源阻断。目前国内各高校从事这方面的理论研究很少。论文首先陈述了网络安全的相关技术知识,论述了入侵检测和防火墙,并剖析了各自的原理、优缺点。然后对入侵防御技术的基础性理论进行了系统深入的研究,比较了IPS和入侵检测系统和防火墙的区别,分析了IPS的原理、分类、系统结构、访问控制策略以及所采用的关键检测技术、并指出了不足之处。接着设计了一种基&
(本文共47页)
权威出处：
本文首先介绍了网络的安全现状,介绍了网络中所面临的主要攻击,总体描述了为实现网络安全而采取的各种主动、被动防御措施。为了更好的实现网络安全,达到主动防御各种网络威胁的目的,有必要采取多种安全技术的共同作用。本文对入侵检测技术,防火墙,入侵防御技术,蜜罐等网络安全技术进行了研究,分析了它们的基本原理和采用的各种技术,并分别阐明了以上几种安全技术在网络中的应用以及其特点,提出了部分改进措施,并分析了入侵检测、入侵防御相互之间的区别以及相互联动,共同作用的优势。在对各种安全技术研究的基础之上,根据PDRR模型,提出了将入侵检测技术、入侵防御技术、防火墙、蜜罐几种技术相互融合,共同实现主动防御功能的设计思想。采用数据分流机制,解决入侵防御的单点故障和性能瓶颈问题。给出了主动防御系统的模块图,分析了管理模块及日志模块的功能,给出了主动防御系统的网络拓扑图,分析了其具体的设置思想。从多个方面比较了UTM产品和该主动防御系统的异同,指出了该主...&
(本文共66页)
权威出处：
目前,随着网络的飞速发展和社会信息化程度的不断深入,网络给人类带来财富的同时其各种弊端也逐步涌现出来,迫使人类要为此付出昂贵的安全代价。网络安全已是网络不可缺少的部分。防火墙技术的发展,解决了部分不安全行为的攻击,但是防火墙并不能解决网络中所有的安全问题,网络中仍然存在着许许多多的安全问题。为了弥补防火墙的不足,网络安全专家和学者提出了入侵检测技术,并有了许多入侵检测的优秀产品。随着人们对网络的进一步需求,入侵检测技术发展到今天已经取得了较大的进展,但仍存在高误检率和漏检率以及速度瓶颈的问题。人们迫切需要在发生网络安全危险时,网络能够提前预知并及时地采取有效的措施阻止网络继续遭到破坏,以使损失能够减少到最小程度。为解决入侵检测技术中存在的问题,国内外专家和学者提出了入侵防御技术。入侵防御技术是一种主动的、积极的入侵防范的技术。当它检测到攻击企图后,会自动地将攻击包丢掉或采取措施将攻击源阻断。入侵防御系统实时地阻止攻击,而不是在攻...&
(本文共63页)
权威出处：
随着计算机和网络技术的不断发展和广泛应用，计算机网络的安全问题也逐渐成为人们关注的焦点。由于网络环境的复杂性，攻击手段的多样性，传统的网络安全技术如防火墙、入侵检测技术已经无法满足对网络安全的需求。入侵防御系统的提出，有效地弥补了入侵检测系统以及防火墙的不足，成为网络安全领域新兴发展的一种安全技术。本文从入侵检测系统相关研究现状入手，分析了防火墙与入侵检测系统不足，提出了一种基于云模型的半监督聚类动态加权的入侵检测算法，并最终构建了基于云模型的半监督聚类的入侵防御系统。本文针对基于无监督学习的入侵检测聚类算法检测率低，基于监督学习的入侵检测算法的训练样本不足且难以正确检测出新的未知入侵攻击的问题，提出了一种半监督聚类算法。算法在初始阶段利用少量的数据标记信息生成了初始聚类中心，使得初始聚类中心是可控的，并通过逐步生成聚类中心的方法增强了系统的鲁棒性，提高了聚类算法收敛速度和准确性。根据云模型理论，提出了一种基于云模型的半监督聚类...&
(本文共71页)
权威出处：
随着互联网技术的发展,网络已经渗透到了千千万万的用户中。无论是工作还是生活,人们越来越多地使用互联网来传输信息。这样,网络安全就显得非常重要。如今,黑客的攻击日趋频繁,用户被攻击后所遭受的损失也越来越大。传统的网络防御技术,如防火墙、入侵检测系统,已经很难应付黑客的频繁攻击。而且,传统的网络防御技术是被动防御,用户只有在遭受攻击以后才能检测到黑客的行为。这样,防御的一方始终在攻防双方的博弈中处于劣势。本文从网络安全相关技术的研究出发,探讨了一种基于动态跟踪的主动防御系统的研究与实现。本文首先介绍了论文的研究背景,分析了网络安全的相关技术。在网络安全的相关技术中,对常用的黑客攻击方法和传统的被动防御技术作了细致的分析,指出了被动防御技术的若干不足,从而引出了主动防御技术的概念。分析主动防御技术优点的同时,分别对入侵防御系统、蜜罐、蜜网和蜜场的原理作了深入的研究。其次,本文结合信息安全领域中最新的动态跟踪技术,提出了一种新的主动防御...&
(本文共84页)
权威出处：
随着现代通信技术和互联网新技术的不断涌现,不同结构的网间互联互通已经变得越来越易实现。如工业以太网技术的出现使得人们能从IP网络和工业网络进行信息交互。伴随着网络技术的革新,网络攻击也层出不穷。现如今,APT(Advanced Persistent Threat)攻击手段已经成为网络安全的主要威胁,传统网络安全技术(如防火墙)已无法对其形成有效防御。因此,对APT攻击行为的研究并制定相应的检测防御策略是非常有必要的。在传统防御方法应对APT攻击基本失效的背景下,动态网络安全技术因其采用主动防御策略且拥有较好的防御性能而倍受业界瞩目。入侵检测和入侵防御是动态网络安全技术的两个重要方面,通常,这两种技术和其它技术的结合使用才能形成完善有效的检测防御能力。而开源软件Snort,作为一款优秀的轻量级入侵检测系统,其较好的检测性能、响应性能和扩展性能已被广泛认可。同时结合其它技术,Snort可以被扩充为入侵检测防御系统,同时具备入侵检测和...&
(本文共79页)
权威出处：
扩展阅读：
CNKI手机学问
有学问，才够权威！
xuewen.cnki.net
出版：《中国学术期刊（光盘版）》电子杂志社有限公司
地址：北京清华大学 84-48信箱 大众知识服务
京ICP证040431号&
服务咨询：400-810--9993
订购咨询：400-819-9993
传真：010-}