大學(xué)本科畢業(yè)論文(設(shè)計(jì))開題報告
學(xué)院: 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 專業(yè)班級: 2009級網(wǎng)絡(luò)工程(1)
課題名稱 網(wǎng)絡(luò)流量分析與入侵檢測系統(tǒng)
1、本課題的的研究目的和意義:
隨著互聯(lián)網(wǎng)技術(shù)的迅猛發(fā)展, 網(wǎng)絡(luò)自身的安全也越來越受到關(guān)注。網(wǎng)絡(luò)a全的一個主要威脅就是通過網(wǎng)絡(luò)對信息系統(tǒng)的入侵。據(jù)統(tǒng)計(jì), 目前中國國內(nèi)有80%的網(wǎng)站有安全隱患,而20%的網(wǎng)站有嚴(yán)重的安全問題。此外,利用計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行的各類違法行為以每年30%的速度遞增,而已發(fā)現(xiàn)的黑客攻擊案只占總數(shù)的30%。入侵檢測作為一種積極主動的安全防護(hù)技術(shù),提供了對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時保護(hù),在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截入侵。
從20世紀(jì)90年代到現(xiàn)在,入侵檢測系統(tǒng)的研發(fā)呈現(xiàn)出百家爭鳴的繁榮局面, 并在智能化和分布式兩個方向取得了長足的進(jìn)展。但現(xiàn)有的入侵檢測技術(shù)存在著嚴(yán)重的問題, 無法在應(yīng)用中提供有效的安全防御。其中絕大多數(shù)的科研成果雖然采用如人工智能、數(shù)據(jù)挖掘、神經(jīng)網(wǎng)絡(luò)等高深算法,但由于算法過于復(fù)雜、對設(shè)備要求過高、沒有有效的報警,而不能得到廣泛的應(yīng)用。
利用數(shù)字水
……(新文秘網(wǎng)http://m.120pk.cn省略768字,正式會員可完整閱讀)……
究的另一熱點(diǎn)。第三代檢測技術(shù)主要是基于協(xié)議分析,協(xié)議分析的出現(xiàn)極大的減小了系統(tǒng)的統(tǒng)計(jì)量、虛警率和識別未知攻擊的能力。協(xié)議分析方法主要是重溫利用網(wǎng)絡(luò)協(xié)議特征的有序性特征來實(shí)現(xiàn)。通過協(xié)議分析可以減少計(jì)算量,發(fā)現(xiàn)任何不符合標(biāo)準(zhǔn)的網(wǎng)絡(luò)行為,可以檢測已知和未知的入侵行為。
從入侵檢測系統(tǒng)使用的技術(shù)策略上來看,目前熱門的技術(shù)主要是基于異常的入侵檢測、誤用的入侵檢測和混合檢測技術(shù)等。誤用檢測技術(shù)通過建立檢測模型,對用戶的操作行為與模型進(jìn)行匹配,匹配成功,就視該行為是網(wǎng)絡(luò)攻擊。誤用檢測技術(shù)的優(yōu)點(diǎn)是檢測已知攻擊的有效性 高、誤報率低,缺點(diǎn)是難識別未知攻擊行為,檢測依賴于系統(tǒng)的特征庫,因此漏報率一般較高,系統(tǒng)需要經(jīng)常升級。異常的入侵檢測技術(shù)是通過用戶行為與正常新我給之前的偏離來怕波段是否存在入侵,它的優(yōu)點(diǎn)是能夠檢測到一些未知入侵,缺點(diǎn)是誤報率較高,實(shí)現(xiàn)起來相當(dāng)困難,是現(xiàn)在研究的一關(guān)熱點(diǎn);旌蠙z測方法是綜合誤用和異常檢測兩者的優(yōu)勢,在做出判斷之前,同時使用誤用模型和異常模型,因此判斷的結(jié)果可能會更加準(zhǔn)確和全面。從理論上講,混合檢測技術(shù)更好,但在兩種技術(shù)的融合上比誤用檢測技術(shù)更加困難,需要進(jìn)一步的深入研究。
從系統(tǒng)結(jié)構(gòu)看,入侵檢測系統(tǒng)有層次入侵檢測、通用入侵檢測和智能化的入侵檢測等。使用的技術(shù)是一些基于神經(jīng)網(wǎng)絡(luò)、統(tǒng)計(jì)和數(shù)據(jù)挖掘等分析技術(shù)。目前比較成熟的技術(shù)是層次化的入侵檢測系統(tǒng),它的優(yōu)勢在于針對不同類別的攻擊可以采取不同的處理方式,不限于主機(jī)過著網(wǎng)絡(luò)數(shù)據(jù),另外,層次化模型對攻擊特征庫的安全策略庫較為容易設(shè)計(jì),檢測效率較高。
網(wǎng)絡(luò)入侵檢測防御的基礎(chǔ)是IDS,要確定使用什么樣的防御手段,只有先檢測到攻擊知道攻擊的種類和方法。目前國內(nèi)外對IDS的研究比較多,由于各種技術(shù)水平的限制,存在誤警率和重復(fù)故報警率較高的問題,IDS目前還是不成熟的產(chǎn)品。目前的入侵檢測的光劍技術(shù)都有各自的優(yōu)勢,但是發(fā)展單一,由于技術(shù)實(shí)現(xiàn)上的問題,異常檢測技術(shù)是目前應(yīng)用最多,主流技術(shù)的入侵檢測技術(shù)。Snort是一個典型的基于異常檢測技術(shù)的系統(tǒng),一個較為標(biāo)準(zhǔn)化的入侵檢測系統(tǒng),它先規(guī)則化處理網(wǎng)絡(luò)數(shù)據(jù)包,簡單的解析數(shù)據(jù)包,然后將解析后的數(shù)據(jù)與特征庫進(jìn)行模式匹配,這種方法的優(yōu)點(diǎn)是同一的標(biāo)準(zhǔn)化處理協(xié)議的字段特征,缺點(diǎn)是檢測效率比較低。協(xié)議分析技術(shù)是目前比較先進(jìn)的入侵檢測技術(shù),其基礎(chǔ)也是通過對異常協(xié)議進(jìn)行分析,協(xié)議異常分析檢測技術(shù)通過監(jiān)控網(wǎng)絡(luò)狀態(tài),分析網(wǎng)路協(xié)議,檢測網(wǎng)絡(luò)通信數(shù)據(jù)來判斷是否存在入侵。協(xié)議分析技術(shù)的優(yōu)點(diǎn)是能準(zhǔn)確定位特征攻擊,能彌補(bǔ)異常監(jiān)測中無法準(zhǔn)確判定的缺點(diǎn),因此,結(jié)合協(xié)議分析技術(shù),有針對性的匹配攻擊特征行為。
而對于網(wǎng)絡(luò)流水印技術(shù),也叫流標(biāo)記(Flow Marking)技術(shù),通過改變或調(diào)制發(fā)送端數(shù)據(jù)包的載荷(Payload) 、時間間隔(lnterval)、間隔到達(dá)時延(lnter-Packet Delay , IPD) 和間隔重心(lnterval Centroid) 等信息或流量速率(Traffic Rate) 來嵌入水印,在接收端識別該水印,以達(dá)到關(guān)聯(lián)發(fā)送者和接收者關(guān)系的目的。目前,許多網(wǎng)絡(luò)流水印技術(shù)都主要借鑒并將多媒體水印思想應(yīng)用于網(wǎng)絡(luò)數(shù)據(jù)流中以檢測跳板和攻擊匿名。
當(dāng)網(wǎng)絡(luò)數(shù)據(jù)流經(jīng)過水印嵌入點(diǎn)(如路由器)時,嵌入器使用密鑰(Key)將水印進(jìn)行編碼,通過調(diào)制流量特征(如改變數(shù)據(jù)流的速度)嵌入該水印。嵌入水印后的標(biāo)記數(shù)據(jù)流在網(wǎng)絡(luò)傳輸時會遭受一些干擾和變形,如中間路由器(或匿名網(wǎng)絡(luò)、跳板等)的延遲、丟包或重傳數(shù)據(jù)包、包重組和時間擾亂等。最終,當(dāng)被擾亂之后的標(biāo)記數(shù)據(jù)流到達(dá)水印檢測點(diǎn),檢測器使用與嵌入器同樣的密鑰(非盲檢測時,檢測器還需要標(biāo)記數(shù)據(jù)流嵌入水印前的相關(guān)信息)提取標(biāo)記數(shù)據(jù)流中的水印信息,如果與編碼時的水印一致,那么就認(rèn)為這兩條數(shù)據(jù)流之間存在關(guān)聯(lián)。
網(wǎng)絡(luò)流水印技術(shù)必須具有以下特點(diǎn):(1)機(jī)密性(Secrecy);(2) 魯棒性(Robustnees);(3) 唯一性(Uniqueness);(4) 效率(Effecti ……(未完,全文共4270字,當(dāng)前僅顯示2157字,請閱讀下面提示信息。
收藏《論文開題:網(wǎng)絡(luò)流量分析與入侵檢測系統(tǒng)》)