最新移动网络入侵检测机制的研究
一个基于移动代理的入侵检测系统的研究
的 安 全 问 题 可 以分 为 四类 : 理 到 代 理 、 理 到 平 台 、 台到 代 代 代 平 理 和其 它 外 部 实 体 到平 台 。 此外 . 现对移动代理的克隆 、 实 分派 、 回收 等 也 是 一 个 比较 复杂 的问 题 。再 者 . 了使 移 动 代 理 可 以 跨 平 台 执 行 , 写 移 动 为 编 代 理 程 序 时 一 般 都使 用 解 释 性语 言 .这 样 就影 响 了代 理 运 行 的
速度 。 网 络 数 据包 . 并对 数 据 进 行 预处 理 。 后 把 它 传 送 给 入 侵检 测 代 然 2对 大 多 数 传 统 的 人侵 检 测 系统 都 采 用 模 式 匹 配 的 分 析 方 理 进行 分析 。 分 为 数 据 采集 和 数 据 预处 理 两 层 。 据 预 处理 的 1 它 数
法 . 要求 攻 击 特 征 库 的 特 征值 应 该 是 最新 的 。 现 有入 侵 检 测 意 义 主要 在 于 以减 少 无 用信 息 流 入 移 动检 测 代 理 , 高 实 时 性 。 这 但 提 系统 没 有 提 供一 种 好 的方 法 来 时刻 更 新 攻 击特 征 。 33入 侵 检 测代 理 . 3现 在 攻 击 的方 法 越 来 越 复 杂 . 一 的基 于模 式 匹 配 或 统 1 单 入 侵检 测 代 理 可 以在异 质 的 网络 节 点 间迁 移 .到达 目的 主 机后 . 从本 地 数 据 收 集 代 理 接 受 数 据 , 行 分 析 处 理 . 断 系统 进 判 计 的分 析 方 法 已经 难 以发 现 某一 些 攻 击 。 4现 有 的 检 测 系 统 之 间 不 能 交 换 信 息 : 有 的 入 侵 检 测 系 或 网络 是 否 受 到 入 侵 。 样 减少 了信 息 在 网 络 中 的传 输 , 证 了 1 现 这 保 数 据 的安 全 性 . 同时 增 强 了响 应 的 实 时性 。 侵 检 测 代 理 由多 种 入 统 也 不 能 和其 他 网络 安 全 产 品互 操 作 。 5现 有 的检 测 系 统 是 从 原 来 的 基 于 网络 或 者 基 于 主 机 的检 检 测 代 理 组 成 , 据 输入 的数 据 源 不 同 实 现 不 同 的 检 测 任 务 , ) 根 他 测 系 统 不 断改 进 而 来 的 . 因此 在 体 系 结 构等 方 面 不 能 满 足 分 布 、 们 相 互 协 作 完 成 复 杂 的入 侵 行 为 检测 具 体 可 分为 主机 检 测 代
基于移动代理的分布式入侵检测系统的研究
o d pig sc rt c a imso te t ain itgi u e t ae de cy t n ib c me r e u e W i l・g n f o t e u y me h n s fa h ni to , ne rt a t ni tda n r pi , t e o smo es c r . a n i u c y h c n o t mut a e t h i
(. ol e f o ue adC m nct n L n h u nv r t adT cn lg , az o 3 0 0 C ia 1 C l g mp t n o mu i i , az o i sy n eh oo y L n h u7 0 5 , hn ; e oC r ao U e i
身 份 验 证 、 整 性 鉴 定 和 加 密机 制 。通 过 多 A e t 术 来 实 现 检 测 自治 化 和 多 主 机 间检 测 信 息 的 协 调 , 高 了 入 侵 检 测 系 统 完 gn 技 提
自身 的安全性 , 效地检 测 了分布 式的 攻击行 为。 实验 测试 结 果表 明了其 良好 的 性能 。 有
基于移动代理的分布式入侵检测系统的研究
王继 曾 ‘ 蔚 雪 洁 程 志 鹏 , ,
(.兰州理 工 大学 计 算机 与通信 学 院,甘 肃 兰 州 705 ;2 庆通 信 学 院 ,重庆 40 3) 1 300 .重 00 5
摘 要: 分析 了现行 的移动 代理入 侵检 测 系统的缺 点 , 此基础 上 , 在 针对 性地提 出 了一种 基 于移动 A e t gn 的分 布式入 检 测 系统模 型 MAD D ( o i gn.ae ir ue t s ndt t nss m 。该模 型 为每 一 个移动代 理 添加 了独立 的 I 并加入 I Sm blaet sdds i t ir i e ci t ) e b tb d n u o e o ye D,
计算机网络安全中的入侵检测技术的应用
计算机网络安全中的入侵检测技术的应用随着计算机网络技术的快速发展和广泛应用,网络安全问题变得日益严峻。
入侵检测技术作为网络安全的重要一环,在网络环境中发挥着重要的作用。
它能够及时发现并对网络中的入侵进行检测、分析和响应,保障网络的安全可靠。
本文将探讨计算机网络安全中的入侵检测技术的应用,包括其作用、常见的技术和未来的发展趋势。
一、入侵检测技术的作用入侵检测技术的主要作用是及时发现和防御网络中的恶意行为。
通过对网络流量、系统行为和用户操作进行实时监测和分析,入侵检测系统能够识别和记录可能的攻击行为,并提醒网络管理员采取相应的措施。
入侵检测技术可以有效地防御各类网络攻击,包括网络蠕虫、病毒、木马、DoS(拒绝服务)攻击等。
它能够保护网络中的重要信息资产,防止平台被黑客入侵和数据泄露,对维护网络的稳定和安全至关重要。
二、常见的入侵检测技术1. 签名检测签名检测是入侵检测技术中最常见和成熟的方法之一。
通过事先定义网络攻击的特征和行为,入侵检测系统可以根据这些签名来识别和检测可能的攻击。
签名检测方法可以有效地检测已知的攻击类型,它具有准确性高、实时性强的特点。
然而,签名检测技术对于未知的攻击形式无法有效识别,容易受到攻击者的绕过。
2. 基于异常行为的检测基于异常行为的检测是一种基于统计学和机器学习等方法,通过分析和建立正常网络行为的模型,来检测和识别异常的网络行为。
入侵检测系统可以通过对网络流量、主机操作和用户行为等进行实时监测,来判断是否存在异常行为。
这种方法可以发现未知的攻击类型,但也容易产生误报和漏报的问题,需要结合其他检测方法综合使用。
3. 行为模式分析行为模式分析是一种基于网络用户和系统行为的检测方法,通过建立和学习正常用户和系统的行为模式,来检测和识别异常的行为。
入侵检测系统可以通过对用户的登录、操作和访问行为进行监测和分析,来判断是否存在异常行为。
这种方法可以有效识别潜在的内部威胁和恶意用户的行为,但也需要考虑隐私保护和数据挖掘等技术的应用。
基于大数据分析的网络安全与入侵检测技术研究
基于大数据分析的网络安全与入侵检测技术研究随着互联网的快速发展和人们对信息技术依赖的加深,网络安全问题越来越受到人们的关注。
在互联网时代,各类黑客攻击和网络入侵事件屡见不鲜,给个人和企业的信息安全带来了巨大的威胁。
因此,研究基于大数据分析的网络安全与入侵检测技术势在必行。
网络安全与入侵检测是在网络系统中对恶意行为进行检测和预防工作的过程。
借助大数据分析技术,我们可以更加准确地分析庞大的网络数据,及时发现威胁,采取相应的措施来保障网络安全。
下面将从大数据分析的理论基础、入侵检测技术以及未来发展方向三个方面来探讨基于大数据分析的网络安全与入侵检测技术的研究。
大数据分析作为一种新兴的技术,为网络安全与入侵检测提供了强大的支持。
大数据分析的关键在于从海量数据中提取有价值的信息。
在网络安全领域,通过对庞大的网络数据进行分析,可以挖掘出潜藏的威胁,提高安全防护的效果。
大数据分析技术包括数据采集、数据清洗、数据处理和数据可视化等环节,每个环节都对于准确获取有价值的信息至关重要。
此外,大数据分析还需要结合机器学习和人工智能等相关技术,以提高检测的准确性和效率。
入侵检测技术是网络安全与入侵检测的关键环节。
传统的入侵检测技术主要包括基于规则的检测和基于异常的检测。
基于规则的检测依赖于预定义的规则集合,对网络中的数据进行匹配和判断。
但是,由于黑客攻击手段的不断演变,基于规则的检测技术容易被绕过,无法满足实际的安全需求。
相比之下,基于异常的检测技术更加灵活和准确。
它通过学习网络正常行为的模式,能够发现与正常行为差异较大的异常行为,从而及时预警和阻止潜在的攻击。
大数据分析为基于异常的入侵检测技术提供了更加广阔的应用前景。
通过大数据分析,可以将大量的网络数据用于异常行为的建模和分析,进而提高入侵检测的准确性和实时性。
未来基于大数据分析的网络安全与入侵检测技术还有许多发展方向。
首先,需要进一步提高入侵检测系统的智能化和自动化程度。
网络攻击检测技术的研究及其实现
网络攻击检测技术的研究及其实现随着互联网的普及,网络攻击日益猖獗,严重威胁着网络安全。
为保障网络安全,网络攻击检测技术应运而生。
如何研究及实现网络攻击检测技术,便成为当前亟待解决的问题。
一、网络攻击检测技术的现状网络攻击检测技术主要包括入侵检测系统(IDS)和入侵防御系统(IPS)。
前者通过监控网络中的数据包来识别网络攻击,后者则在 IDS 的基础上增加了防御措施,以抵御网络攻击。
目前,IDS 系统主要有两种检测方式:基于特征的检测和基于异常的检测。
前者通过事先确定攻击的特征来进行检测,准确性高但局限性强;后者利用机器学习等技术检测网络中的异常行为,可以发现未知攻击,但误报率较高。
另外,近年来,云安全也是一个备受关注的话题。
云安全主要围绕云计算环境中的数据、应用程序、基础设施、网络和身份验证等方面展开。
云安全与传统的安全检测技术有所不同,需要结合云计算的特性来进行研究和实践。
二、网络攻击检测技术的研究方向在当前的技术背景下,网络攻击检测技术的研究方向集中在以下几个方面:1. 深度学习技术。
深度学习是一种基于人工神经网络的机器学习技术,具有识别复杂模式的能力。
将深度学习应用于网络攻击检测,可以提高攻击检测的准确性和效率。
2. 基于行为的检测技术。
该技术以网络行为为检测对象,通过对网络上各种流量、会话、连接和交互行为的分析,可以发现潜在的攻击。
基于行为的检测技术可以从网络角度抵御一些跳过传统安全防护手段的攻击。
3. 基于云计算的攻击检测技术。
云安全需要建立在云计算特有的安全架构上,因此,需要针对云计算中的特殊场景,研究适合云环境的安全机制。
三、网络攻击检测技术的实现方法网络攻击检测技术的实现方法主要有两种:基于网络流量的检测和基于系统日志的检测。
前者通过对网络流量的分析,来检测网络攻击;后者则通过分析操作系统、应用程序和服务等产生的日志信息,来发现异常行为。
基于网络流量的检测需要采集网络数据包,并对数据包进行深入分析。
基于移动Agent的入侵检测系统研究
入侵检 测就是 对入 侵行 为 的发 觉 。 通过从 计算 机网络 或 它
系 统 中的若 干关 键点 收 集 信息 , 对这 些 信息 进行 分析 , 而 并 从 发 现 网络 或系 统 中是 否有 违反 安全 策 略 的行 为 和遭 到袭 击 的
对 象 。进行 入侵 检测 的软件 与硬 件 的组 合便 是 入侵 检测 系统 (D ) 入 侵检 测系 统是 防火墙 的合理 补充 , 助系统 对付 网络 IS。 帮
生 当前行 为的相 应轮廓 ,并 与 已有 的正 常行 为特 征轮廓 比较 。
当 发 生 显 著 偏 离 时 即 认 为 是 一 种 异 常 的 标 志 。 此 其 最 大 的优 因
点 是有 可能检 测 出以前从未 出现 过 的攻 击方法 , 不像基 于知 它
识 的检 测 ( 用检 测 ) 滥 那样受 已知脆 弱性 的 限制 。然 而 , 对于 系 统 中动 态 的用 户行 为和程 序行 为 , 可接受 的行 为和不 可接受 其
第 7 第6 卷 期
2 o 年 6月 08
软 件 导 刊
S fw aeGu d ot r ie
VO1 o6 . N . 7
J n. 0 8 u 20
基于移动A e t g n 的入侵检测 系统研 究
黄 潜 覃 俊 易云 飞1 , , , 2
(. 1中南民族 大 学 计 算机科 学 学院 , 湖北 武汉 407 ;. 学院 计 算机 与信 息科 学 系, 3 042河池 广西 宜 州 560) 4 30
12 入 侵 检 测 系 统 分 类 .
Байду номын сангаас
2 移 动 Agn 技 术 et
21 移 动 Agn 的 定 义 和 特 性 . et
基于SVM的网络入侵检测算法优化研究
基于SVM的网络入侵检测算法优化研究一、引言随着互联网技术的发展,网络攻击对网络安全的威胁不断增加,因此网络入侵检测成为网络安全的重要组成部分。
SVM(Support Vector Machine)作为一种分类模型,在网络入侵检测中发挥着重要作用。
本文通过对SVM算法优化的研究,提高基于SVM的网络入侵检测的准确性和效率。
二、SVM分类算法概述A. SVM的优点SVM算法作为一种分类模型,具有以下优点:1. 可以选择不同的核函数进行分类;2. 实现简单,与样本数量无关,具有良好的泛化性能;3. 准确率高,在处理小样本时也具有优势。
B. SVM分类算法的步骤该算法主要包括以下步骤:1. 收集训练数据,并对数据进行预处理;2. 根据训练数据确定SVM分类器的参数,包括核函数、正则化参数和阈值等;3. 对测试数据进行分类,给出分类结果。
C. SVM算法优化的研究现状目前,SVM算法的优化主要是针对以下问题进行研究:1. 参数选择问题,即如何选择最优的核函数、正则化参数和阈值;2. 算法效率问题,即如何提高算法的运行速度和处理大数据量的能力。
三、SVM算法优化方法探究A. 参数优化方法1. 核函数的选择SVM的核函数选择对分类结果有很大影响,目前常用的核函数包括线性核函数、多项式核函数和径向基核函数等。
要根据实际数据的特征进行选择,以保证分类器的准确性和泛化性能。
2. 正则化参数的选择正则化参数是控制分类器复杂度的一个参数,其选择会影响分类器的泛化性能。
一般采用交叉验证的方法来选择最优的正则化参数。
3. 阈值的选择阈值是控制分类结果输出的一个参数,其选择会影响分类器的准确率和误报率。
通常采用ROC曲线的方法来选择最优的阈值。
B. 算法效率优化方法1. 基于GPU的并行计算由于SVM算法涉及大量的线性代数运算,因此可采用GPU并行计算来提高算法效率。
GPU并行计算能够极大地加速SVM算法的训练过程,提高算法的运行速度。
入侵检测的研究
活性 . 而且在保护网络资源的机密性 、 完整性 、 可用性 方面有着不可替 代的作用 。 因此在近年来得到迅猛地发展。
1入 侵 检 测 系 统 概述 .
3 信息收集 入侵 检测利用 的信息一般来 自以下四个方 面: 1 () 1 系统和网络 日志文件 黑客经常在 系统 日志文件 中留下他们 的踪迹 。 因此 。 充分利用系 统和网络 日志文件 信息是 检测入侵 的必要
检 测 系统 . 般 为分 布 式 结 构 , 多 个 部 件 组 成 。 一 有 而完 整性 分 析 则 用 于 事 后 分 析 。 1 . 侵 检 测 系 统 按 照 时 间 又 可 以 分 为 两 类闭 . 2入 2 。 () 1 模式匹配 模式匹配就是将 收集到的信息与已知的网络入侵 () 1实时人侵检测系统 实时入侵检测在 网络连接过程 中进行 。 系 和系统误用模式数据库进行比较 . 从而发现 违背安全策略的行为 。一 统根据用 户的历史行为模型 、 存储在计算机 中的专家知识 以及神 经网 般 来 讲 . 进 攻 模 式 可 以 用 一 个 过 程 ( 执 行 一 条 指 令 ) 一 个 输 出 一种 如 或 如获得 权限)来表示。该方法的一大优点是只需收集相关的数据集 络模型对用户当前 的操作进行判断 , 一旦发现入侵迹象立 即断 开入侵 ( 显 且 者 与 主机 的 连接 。 收集 证 据 和实 施 数 据 恢 复 。这 个 检 测 过 程 是 自动 合 , 著 减少 系统 负 担 。 技 术 已相 当 成 熟 。 并 () 2 统计 分析 统计分 析方法首先给系统 对象( 如用户 、 文件 、 目 的 、 断 循环 进 行 的 。 不 () 2事后入侵检测系统 事后入侵检测由 网络管理人员进行 , 他们 录和设 备等) 创建一个统计描述 , 统计正常使 用时的一些测量属性( 如 具有网络安全的专业知识 . 根据计算机系统对用户操作所做 的历 史审 访问次数 、 操作失败次数和延时等) 测量属性的平均值将被用来与网 。 计 记 录 判 断 用 户 是 否具 有 入 侵 行 为 . 果 有 就 断 开 连 接 , 记 录入 侵 络 、 如 并 系统 的行 为进行 比较 。 任何观察值在正常值范围之外时 , 就认为有 证据和进 行数据恢 复。事后入侵检测是管理员定期或不定期进行 的 , 入 侵 发 生 。 不 具 有 实 时 性 . 此 防御 入 侵 的能 力 不 如 实 时 入 侵 检 测 系 统 。 因 () 3 完整性 分析 完整性分析主要关注某个文件或对象是否被更 这经 常包括文件 和 目录 的内容及属性 , 完整性 分析利用强有力 的 l3入侵 检 测 系 统 的部 署 防 火 墙 在 网络 安 全 中起 到 大 门 警 卫 的 改 , - 作 用 。 进 出 的数 据 依 照 预 先 设 定 的 规 则 进 行 匹 配 , 合 规 则 的 就予 加密机制 , 对 符 称为消息摘要 函数 ( 例如 M 5 , D ) 它能识别 哪怕 是微小 的变
移动AdHoc网络入侵检测技术综述
收稿 日期 :2 1 1 — 1 0 卜 0 1
作 者 简介 :黄 鑫 (9 1 18 一 ) ,湖 北 武汉 人 ,德 宏 师 范 高等 专 科 学 校计 科 系 理 学 硕士 。研 究 方 向 :人工 智 能 与 知 识
2 1 第 1 第 2 卷 0 2年 期 1
N o1 2 2 . 01 v 1 21 o.
ห้องสมุดไป่ตู้
移动 A o OH c网络入 侵 检 测技 术综 述
黄 鑫 ( 德宏 师范高等专科 学校 计科 系,云 南 芒 市,68 0) 7 40
【 要】移动 A c 摘 d Ho 网络是由移动节点组织形成的网络, 由于其动态拓扑、无线通信的特点, 容
A o d h e网络 特性
、
够 激发 多 节 点 的协 作 检 测 ,进 一 步 判 断 是 否发 生
A o dh c网络是 由一 组 带有 无 线 收 发装 置 的 了入侵 。这 种适合 于 MA E N T分 布式 特性 的 I S体 D
移 动 终 端 组 成 的一 个 多 条 、 临 时 性 自治 系 统 , 系结构 更适 合平 面 MA E N T的网络 .但在 较大 的多
在 A o dhc网络 中 .每 个 移动 中断 兼 备路 由器 和 层 MA E N T中也可 分步运 行 。同时 ,该方 案运 行在 主 机 两种 功 能 :作 为 主机 。终 端 运行 用 户 的硬 多 审计 日志 环境 中 ,如果 入侵 检 测 系 统 需 要新 的
移动Ad Hoc网络入侵检测研究
[ src]T i pp rit d csted v lp nso c nq e o bl cn t r.tn o ue hrce sc f bl AdHo Abta t hs ae nr u e h e eo met feh iusfrmo i AdHo ewok i it csc aatr t so i c o t e r d ii mo e
中图分类号: P9 T30
移 动 AdHo c网 络 入 侵 检 测研 究
杨 清 , 方敏 李
( 武汉理工大学信息工程学院 ,武汉 4 0 7 ;2 湖南科技大学计算机科学与工程学院 ,湘潭 4 1 1 1 . 302 . 12 ) 0 摘 要 : 绍了移动 A o 介 d c网络入侵检测技术的最新研究进展。 出了移动 A o 网络 的特点 、 H 提 d c H 安全 目标及其脆弱性 等, 分析了 A o d c H
d t ci n s se f rmo i c n t r a s s u s sp e e t e r s n a i e s l t sf rmo ie a o e wo k a d ma e o a io e e to y t m b l Ad Ho e wo k, lo dic s e r s n p e e t t o u i b l d h c n t r , n k sa c mp rs n on o e r v on o a p c s o e ii n me h d,c mmun c t n ma h n ,d tc i n mo e ,me t d f u t . tma e o o sr c i e s g e t s o ee t n o s e t f d c s o t o o ia i c i e e e t d l o o i n r s a a ls I k s s me c n tu tv u g si n s l c i f on o i tu i n d tc i n t c n q e n t e mo ieAd Ho e wo k a s r s n st e a e ft e f r r e e c n t ef t r . n r so e e t e h i u si b l c n t r , lo p e e t r a o u t s a h i h u u e o h h h he r r
移动Ad Hoc网络的入侵检测系统研究的开题报告
移动Ad Hoc网络的入侵检测系统研究的开题报告1. 研究背景随着移动计算和通信技术的迅速发展和普及,移动Ad Hoc网络(MANET)成为了一个备受关注的领域。
MANET由无线设备随意组合而成的无线网络,在需要临时网络时,无需预先安装基础设施,可以在任何地方建立。
但是,由于其简化了网络部署流程,因此更容易受到威胁。
MANET中的节点可能会因节点的移动性、资源限制、无中心化属性等性质而导致常见的网络安全问题。
入侵者可能会尝试从网络中获取敏感信息、破坏节点功能甚至控制整个网络。
因此,为了在MANET中确保信息安全并避免任何安全漏洞,需要开发一种高效的入侵检测系统(IDS),以对潜在的网络威胁进行监视和保护。
由于移动Ad Hoc网络中存在许多安全威胁和挑战,因此IDS的设计和实现与传统的有线网络中的IDS存在所不同。
2. 研究目的本研究旨在设计和实现一个针对移动Ad Hoc网络中的异常检测和入侵检测系统,从而提高MANET的安全性。
具体目标包括:(1)明确移动Ad Hoc网络的特点和存在的安全威胁。
(2)设计一种适用于移动Ad Hoc网络的入侵检测方法,使用异常检测技术、统计学方法和机器学习技术等多种技术来检测潜在的安全威胁。
(3)实现入侵检测系统,并在不同的移动Ad Hoc网络场景中进行测试和评估。
3. 研究内容本研究的主要内容包括:(1)移动Ad Hoc网络的特点和安全威胁。
(2)入侵检测技术的分类和研究现状。
(3)基于异常检测和机器学习的移动Ad Hoc网络入侵检测方法的设计和实现。
(4)评估和验证移动Ad Hoc网络入侵检测系统的性能和效果。
4. 研究方法本研究将采用以下研究方法:(1)文献研究法。
收集并阅读关于移动Ad Hoc网络入侵检测系统的相关文献,了解已有的研究成果,掌握入侵检测技术的基本原理和方法。
(2)实验研究法。
基于异常检测和机器学习技术,设计和实现移动Ad Hoc网络入侵检测系统,对其性能和效果进行评估和验证。
移动自组织网络中的入侵检测技术
以使侵害损失大大降低。作为网络安全的第2 道防护线
的入侵检测技术正 日 益成为任何安全性要求较高的网
由于移动自 组织fdH c ̄络具有介质开放和拓扑 A o) 结构高度动态、 采用分布式协作、 缺乏集中监控机制和
明确的防护线以及节点功能有限等特征 ,网络非常脆
络必不可少的组成部分。 本文着重论述移动A o网络 d c H 中的入侵检测技术, 提出一种基于域的移动A o网络 dH c 入侵检测系统。
用系统的模式不同于正常用户的使用模式, 通过监控系
能减少袭击的发生, 不可能完全消除袭击。 比如. 采用加 密和鉴权不能防备被俘节点发动的袭击 , 因为这些节点
通常拥有私钥; 利用不同节点的冗余信息进行信息完整
性验证需要与其他节点之间存在充分的信赖关系. 而这 往往成为一些袭击的突破 口。另外, 网络安全问题研究 的历史也表明无论在网络中采用多少入侵预防技术 , 总 会存在一些可能为袭击者利用的缺陷。 比如. 利用“ 缓冲 区溢出” 袭击在很多年前就有报道 . 但新近开发的一些
维普资讯
移 组 络中 动自 织网 的 入 检 术 侵 测技
M be d o e o s oi c t r lA H N w k
姜 海 /Ji ang Hai
伺 永 明 / He Yongm i ng 程 时 昕 / Cheng Shi n xi
弱, 较之有线网络和蜂窝无线网络更容易遭受袭击。为 了抵抗移动A o网络中的袭击, dH c 可以采用一些传统的
入侵预防技术, 比如加密和鉴权 . 但是入侵预防技术只
入侵检测技术
入侵检测的研究源于A dr n 的报告 ,en g ne 0… s D ni [ n 的论文则是现有大多数人侵检测原型的基础。D ni en g n 论文中所提出的模型基于这样一个假设 : 由于袭击者使
入侵防护系统IPS的研究
入侵防护系统IPS的研究入侵防护系统(IPS)是能够检测到任何攻击行为,包括已知和未知攻击,并能有效阻断攻击的硬件或软件系统。
基于IPS的不足,本文介绍了其分类和原理,讨论了它的技术特点、检测机制及目前存在的问题。
标签:入侵检测系统入侵防护系统网络安全主动防御随着网络安全风险系数不断提高曾经作为最主要安全防范手段的防火墙,已不能满足人们对网络安全的需求,作为对防火墙及有益补充,需要引入一种全新的安全防御技术即IPS。
它能完整检测所有通过的数据包,实时决定准许访问通过或阻截。
IPS可配置于网络边界,也可配置于内部网。
IPS就是种既能发现又能阻止入侵行为的新安全防御技术。
IPS作为一种主动积极的入侵防范阻止系统,能自动地将攻击包丢掉或将攻击源阻断,这样攻击包将无法到达目标,从而从根本上避免攻击行为。
一、从入侵检测系统IDS到IPSIDS是近十多年发展起来的一种安全防范技术,通过旁路监听方式不间断地从计算机网络系统中的若干关键点收集分析信息,来判断网络或系统中是否存在违反安全策略的行为和被攻击的迹象。
IDS主要完成信息收集,数据分析和入侵告警的功能,在攻击检测、安全审计和监控方面发挥了重要作用,曾被认为是防火墙之后的第二道安全闸门。
但其发展也因其存在一些不足而受到限制。
一误报和漏报率居高不下,日志过大报警过多。
重要数据夹杂在过多的一般性数据中,很容易忽视真正的攻击。
二IDS是并联设备,只能被动检测保护目标遭到何种攻击。
为阻止进一步攻击行为,它只能通过响应机制报告防火墙,由它来阻断攻击。
而且由于IDS误报率很高,致使任何一种误报都将阻断网络,使其处于中断状态。
故IDS只能作为一个监听设备。
IPS与IDS不同,它是一种主动积极的入侵防范阻止系统。
它部署在网络的进出口处,当检测到攻击企图时会自动将攻击包丢掉或将攻击源阻断,有效地实现了主动防御,故入侵防护技术越来越受到人们的关注。
二、入侵防护系统IPS1.分类。
基于移动代理的入侵检测技术及其系统模型研究
种 新 的 方 式 ,而 移 动 代 理 是 代 理 的 一 种 特 定 类 型 ,
它 具 有 从 一 台 主 机 转 移 到 另 一 台 主 机 的 能 力 。 按 照 国 外 从 8 年 代 初 开 始 对 入 侵 检 测 进 行 研 究 。 早 0 Jfe M. rdhw 的 观 点 , 理 应 有 如 下 定 义 : e ry Basa 代
中 图分 类 号 : P 9 T 33
文献 标 识 码 : A
基于移动代理 的入侵检 测技术及其 系统模 型研究
宋 明黎 , 温 涛
( 顺 石 油 学 院 信 息 工 程 分 院 计 算 机 系 ,抚 顺 1 3 0 ) 抚 1 0 1
摘 要 :基 于移 动代理 的入侵检 测是 近 几年发展 起来 的一种 新的入 侵检 测技 术 ,主要 介绍 了基 于移动代 理入侵
s se . y tm
Ke r s i tu i n d t c i n mo i g n ; m o i g n - a e tu i n d t c i n s s e y wo d : n r so e e t ; o bl a e t e b l a e tb s d i r so e e t y t m; b sc sr c u e e n o a i tu t r
近 年 来 , 侵 的 方 法 已经 变 得 多 样 化 和 复 杂 化 , 入 范 围 也 从 针 对 特 定 主 机 的 进 攻 上 升 为 针 对 网 络 的 全 面 攻 击 , 如 , 布 式 拒 绝 服 务 攻 击 ( D S 就 是 以 分 例 分 D o) 散 在 互 联 网 上 的 大 量 主 机 协 同 攻 击 目标 主 机 的 。 因 此 , 仅 依 靠 原 来 的 入 侵 检 测 技 术 已经 不 能 满 足 防 护 仅
移动Ad Hoc网络的入侵检测研究
( )A o 网中节点可 能会有 成百上 千个 ,它的安全 5 dH c
策 略应 该 具 有 可 扩 展 性 , 以适 应 网络 的 扩 充 ;此 外 ,还 应 当 针 对 不 同 的环 境 采 取 的 不 同 的 安 全 策 略 。
多跳 网络 ( u t — o e w r ),不 依赖于 任何 固定 的 M l ih p N t o k
基 础 设 施 , 由一 组 自主 的移 动 节 点 临 时 组 成 , 通 过 节 点 问 的 自我 组 织 、 相 互 协 作 来 实 现 网 络 连 接 和 数 据 传 送 。A d
作 为 一 种 主 动 的 网 络 安 全 保 护 措 施 ,入 侵 检 测 技 术 受 到
了越 来越 多的重视 。入侵检测 是一种动态 的监控 、预 防或抵 御系 统入侵行为的安全机制 ,主 要通 过监控 网络 、系统 的状 态 、行 为以及 系统的使用情况 ,来检测 系统用户的越权使用
及 系 统 外 部 的 入侵 者 利 用 系 统 的 安全 缺 陷 对 系 统 进 行 入 侵 的
充 当 自我 检 测 、 本地 检测 还 是 数据 收集 的 角色 。
4 入侵检测技术典型方案及比较
4 1看 门狗和选路人算法 .
M r i 人 提 出 了 一种 看 门 狗 和 选 a h a e 运行 于每 一个 节 点上 。每 个节 点利用
署 复 杂 的 安 全 协 议 和 加 密 算 法 , 这增 加 了 网络 信 息 被 窃 密 的 可 能性 。
企 图 。
2 A o 网络面 临着 的安全 问题 dHc
无线 环 境 和移 动 性 及 动 态 的 拓 扑 结 构 导 致 了不 同于 有
移动Ad Hoc网络入侵检测的研究
l ■
Caiedcl i h e hoRe isnaTngew nccneoyv
移 动 A c网络 入侵 检溅的研 究 d Ho
杨 军
( 建福州海 峡之 声广播 电台) 福
中图分 类号 : M7 T
文献 标识码 : A
文 章编号 :09 94 2 1)4 0 2— 1 10 — 1X(020 — 12 0
立 式 I S和 分布 协作 式 I D DS的每 个节 点都 同时运 行 I , 样 的消耗 是很 高 DS 这 的 。而且 每 个 I S都可 以进 行通信 和协 作导致 宝贵 的带宽 资源浪 费.如果 采 D 用 分级思 想 , IS 逻辑上 进 行层 次化部署 。 层单 元进行 初始 的 IS 测 对 D在 底 D检 并生成结果, 高层单元对底层生成的检测结果进行汇总分析, 在此基础上对疑 似入 侵行 为进 行最 终评 判。分 层式 I DS降低 了误 判率 同时也 降低 了能耗 。分 层 式 I S适 用于分 层 结构的 移动 Ad Ho D c网络 。 3基 于簇 的分 布式 IS模型 D 分簇是 层 次结构 的网络 组织 的重要方法 , 于簇的分 布式 s 基 模型 的分簇 结构 是为 了实 现入 侵检 测系统 的部 署和管理 。基 于簇 的分布 式 1 模 型要 求 D5 移动 Ad Ho c网络 的网络 拓 扑结构 必须 是基 于簇结 构的 。所 谓簇 , 即指 网络 结构中拥有某种关系的节点所构成的集合。 每个簇都有个簇首节点, 负责管理 簇 。除 了簇 首 。 内的 其他 节点称 作成 员节点 。各个簇 的簇 酋 , 簇 还有再 次分簇 的能 力 。形成 多级 的基 于簇 的 网络结 构 。 基 于簇 的分 布式 IS 型 中入侵检 测单 元的主 要组 成是本地 入侵检 测和 D模
新型网络入侵检测系统的研究
库, 并将异常模式与正常模式进行对 比 分析 . 以分析出入侵模式 . 并将 在上式里 , 表示 加权因子 ,它的主要作用是 调整数 值特征以及 其添加进人侵模式库 这样 . 入侵检测引擎就 以入侵模式库 为依据对 字符 特征记 录对象 中的非相似度 所 发生 的事件 进行 比对 , 然后 检测 出系统中所发 生 的入 侵动作 在 2 - 3 聚类 中心算法 整 个系统 中从 各项行 为库的构建 到实 现入侵 检测 的整个过 程中 . 我 系统所应用 的方法是基于对象分离 的计算方法 , 在 对聚类中心进 们不难看 出. 入侵模式挖掘模块以及行为归类模块是 I D S中较为核心 行计算时 .把远离数据数据较密集 区域 的记 录对象单 独分离出来 , 然 的部分。 后对剩余对象求取聚类 中心 . 具体 的操作方法是 : 先设整个事 件记录 2 彳 亍 为 库 划分 模 块 分 析 的集合为 c 。 , 再求 出 i n ( 聚类 ) 中的聚类 中心 ( I n 。 ) , 把c 。 里和聚类 中心 2 . 1 利用 F H C A M算法实现对行为库的划分 非相似度较大的对象单独分离 出来 , 再将剩下 的对象进行聚类 中心 m . F H C A M 算法也 叫快速启发式聚类算法 .其是利用对字符特征属 求值。 性 以及数值特征属性通 过相异性 匹配 以及 几何距离 的分析方式来解 2 . 4 F H C A M 的算 法描述 决在处理混合型数据 中的相异性计算 问题 . 其通过启发式聚类算法有 F H C A M 的算法 属于一项 自适应启 发式的算法 , 以记 录集 E为输 效解决了传统 聚类算法所聚类 的数 目必须固定 的问题 , 而且其利 用对 入. 并输 出对对象 的划分结果 , 如果聚类记 录的数 目要 比聚类的总数 象分离以及样本搜索据 类中心 的选取方法 能够满足较 多数据流量迅 小很多 . 那 么就属 于异常行为 , 算法不需要预设 聚类 数 目 k , 而 只需 利 速聚类划分的需求 用启发式聚类在这一过程中就可 自动确定, 然后 再对事件记 录对象 和 2 . 2字符特征属性 以及数值特征属性 的处理 所有的聚类中心的非相似度进行检测 . 如果检测时出现所有 的非相 似 对于字符特征属性 和数值特征属性 的传统算法 , 其处理能够 都相 度最小值 比所有 的聚类 中间最小的非相似度要大的情况 , 可 以认 为在 对不强 . 而新型算法是把 字符特征属性 通过相异性 匹配 . 数字特征 属 聚类 中没有和它对应的聚类 .那么便 可以将 该对象作为聚类 中心 , 并 性通过几何距离方 法来度量 . 区别开来处理 。为 了对这一 问题进 行详 将其定 义为新 聚类 C , 将其 列入到 聚类 的集 合 C里 , 不 然就将 此对 细阐述 . 特使用 了如 下定义 : 象 聚合进 和它类 似的聚类 里 , 并对此 聚类中心进行调 整 , 然后对下 个
利用深度学习技术进行网络入侵检测研究
利用深度学习技术进行网络入侵检测研究深度学习技术在网络入侵检测领域的应用已经逐渐受到重视,由于其在识别模式和自动学习方面的优势,越来越多的研究者开始探索如何利用深度学习技术来提高网络入侵检测系统的性能。
本文将深入探讨利用深度学习技术进行网络入侵检测的研究进展,并分析其中的关键问题和挑战。
一、深度学习在网络安全中的应用深度学习是一种基于人工神经网络的机器学习技术,具有强大的模式识别能力和自动学习能力。
在网络安全领域,深度学习技术可以应用于恶意代码检测、网络异常检测、网络入侵检测等方面。
其中,网络入侵检测是网络安全领域的重要研究方向之一。
二、传统网络入侵检测方法存在的问题传统的网络入侵检测方法主要包括基于规则的检测方法和基于机器学习的检测方法。
基于规则的检测方法依赖于预定义的规则集来判断网络流量是否存在异常,但是这种方法需要不断更新规则集来适应新的攻击类型,且对未知攻击类型的检测能力有限。
而基于机器学习的检测方法虽然可以通过学习样本数据来预测网络流量的异常,但是传统的机器学习模型需要手工提取特征,并且往往受限于特征的表达能力和泛化能力。
三、深度学习在网络入侵检测中的优势深度学习技术的出现为解决传统网络入侵检测方法存在的问题提供了新的思路。
相比传统机器学习方法,深度学习技术具有以下优势:1. 不需要手工提取特征:深度学习技术可以从原始数据中学习特征表示,无需依赖人为设计的特征。
2. 具有自适应性:深度学习技术可以自动学习数据的表示和模式,具有较强的自适应性和泛化能力。
3. 处理大规模数据:深度学习技术在处理大规模数据时表现出色,可以更好地挖掘数据之间的复杂关系。
四、深度学习在网络入侵检测中的应用利用深度学习技术进行网络入侵检测的研究取得了一些进展。
目前,常用的深度学习模型包括卷积神经网络(CNN)、循环神经网络(RNN)和长短时记忆网络(LSTM)等。
这些模型在网络入侵检测中被广泛应用,已经取得了一些令人满意的成果。
网络安全防御中的入侵检测与响应技术研究
网络安全防御中的入侵检测与响应技术研究第一章前言随着互联网的迅速发展,网络安全问题成为了互联网时代不可忽视的重要议题。
各种新型的网络攻击不断涌现,给系统安全和用户隐私带来了巨大的威胁。
网络安全防御技术因此变得尤为重要,其中入侵检测与响应技术是网络安全防御的核心之一。
本文将重点研究网络安全防御中的入侵检测与响应技术。
第二章入侵检测技术概述入侵检测是指通过监控网络流量和系统行为,及时识别出网络中的入侵行为或异常行为。
入侵检测技术分为基于签名和基于行为两种类型。
基于签名的入侵检测技术通过比对已知的入侵行为特征库来判断是否有相应的攻击行为发生。
而基于行为的入侵检测技术则是通过监测和分析系统的行为模式来判断是否存在异常行为。
入侵检测技术能够及时发现并报警网络中的入侵行为,从而帮助网络管理员快速应对。
第三章入侵检测技术的分类入侵检测技术可以根据检测的对象进行分类,包括主机入侵检测和网络入侵检测。
主机入侵检测系统主要监控服务器和终端设备,通过分析主机上的系统和应用程序的行为来检测入侵行为。
网络入侵检测系统则主要监控网络流量,通过分析网络流量中的数据包和协议来检测入侵行为。
同时,还可以根据入侵检测的方式进行分类,包括基于签名的检测和基于异常行为的检测。
第四章入侵检测技术的关键问题入侵检测技术在实际应用中面临一些关键问题。
首先是误报率和漏报率的问题,即系统误识别正常行为或者无法准确识别入侵行为。
其次是大规模数据分析的问题,网络中的流量和数据包非常庞大,需要快速而准确地分析。
此外,安全事件的实时响应和快速处置也是入侵检测技术需要考虑的问题。
为了解决这些问题,研究人员需要不断改进算法和技术,提高入侵检测系统的性能和可靠性。
第五章响应技术在入侵检测中的作用入侵响应是入侵检测的重要环节,能够及时采取有效的措施来应对入侵行为,从而减少损失和风险。
入侵响应技术包括主动阻断、攻击溯源和系统修复等手段。
主动阻断技术能够及时阻止入侵行为,保护系统和网络的安全。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
哈尔滨工业大学硕士学位论文开题报告题目:移动网络入侵检测机制的研究院、系、部学科、专业导师研究生年级开题报告日期研究生院培养处制年月1 课题来源及研究的目的和意义近年来,随着网络和通信技术的飞速发展以及人们对网络通信需求的不断提高,固定的网络通信技术已经不能满足人们对网络资源的需求,于是,出现了移动网络,移动网络中最典型的是移动AdHoc网络。
移动AdHoc 网络的自组织、自维护能力较强。
而且该网络不需要基础设施支持,通过自动配置使无线移动节点互相连接,具有自由、灵活、方便、功能强大等特点,因此这种网络的应用的范围较广。
移动AdHoc网络和其他移动网络一样存在着较多的安全问题。
除了网络自身的安全措施之外,需要使用入侵检测作为网络安全防范的第二道屏障。
因而研究移动AdHoc网络的入侵检测技术具有关键性意义。
对于有线网络的入侵检测的研究已经较为成熟,也取得了成功的应用,但是由于移动AdHoc网络的网络拓扑结构不断变化、媒介开放等特点,使得移动AdHoc网络的入侵检测不能照搬有线网络的原理和技术这也给移动AdHoc网络中的安全设计提出了一系列更为复杂艰难的挑战。
移动AdHoc网络安全的研究仍然处于起始阶段,国内对此方面的探索更是刚刚起步,很多技术都尚处于雏形阶段,相关方面的知识函待进一步深入研究。
由此可见,对移动AdHoc网络入侵检测技术的研究具有十分重要的理论和现实意义。
2国内外研究现状从上世纪90年代末开始,对于移动AdHoc网络入侵检测技术的研究在世界范围内逐渐兴起,主要集中在入侵检测方法的研究和系统架构的研究两大方面。
入侵检测方法就是数据分析方法,解决入侵检测系统如何根据日志等相关信息判断系统是否遭受入侵,包括检测模型的建立和告警技术。
检测算法被配置在入侵检测系统中,它可以独立于入侵检测系统结构或网络环境,因此,有线网络中的检测方法的思想可以应用到移动AdHoc网络。
系统结构相对检测方法是一个广义概念,它包括检测引擎等多个部分。
当前移动AdHoc网络入侵检测系统结构的研究主要解决功能部件的划分和功能部件间协作检测关系的设计问题。
入侵检测研究历程表明,入侵检测系统结构的优劣直接影响入侵检测的性能,因此对入侵检测系统结构的研究具有重要的意义。
国内外很多研究机构和学者开展了对移动AdHoc网络中入侵检测系统结构的研究,提出了大量初步设想,在总结该领域当前主要研究工作的基础上进行了分类研究,大致分为单节点IDS、协作式IDS和应用移动代理的IDS。
单节点IDS是移动AdHoc网络入侵检测系统研究早期的主要研究内容。
基本思想是在网络的每个节点上独立完成入侵检测。
文献[1]比较了有线和无线网络中应用入侵检测技术的不同,指出在移动AdHoc网络中的入侵检测技术应该是基于异常的,而且系统结构应该是分布式的,并提出了一种单节点入侵检测系统结构。
加州大学网络实验室的研究人员提出了单节点的有限状态机的入侵检测系统结构[2],针对路由协议对移动AdHoc网络进行保护。
文献[3]在使用“看门狗”(watchdog)机制的基础上,提出了一种单节点入侵检测系统结构。
根据移动AdHoc网络的路由和自动配置等方面的特性,研究者开始考虑分布的协作式的入侵检测系统结构。
当入侵检测及响应不仅由节点单独执行,而且需要与邻居信息交互来协作完成时,统称为协作式IDS。
Yongg。
angZhang和WenkeLee在移动AdHoc网络入侵检测的研究方面颇有建树[4][5],在业界首先提出了基于移动AdHoc网络的IDs研究标准: 分布性(distributed)和协作性(cooperative)。
基于分布性的要求,提出在移动Ad Hoc网络每个节点上实行路径分析和异常检测;基于协作性的要求,提出利用工DS代理进行本地检测和协同检测[6]。
在其基础上,很多研究者进行了改进和拓展研究。
文献[4]提出的入侵检测系统结构,实现了相邻节点之间联合检测。
BoSun等提出一种基于不重叠域的移动Ad Hoc网络的入侵检测系统(ZB功S)框架[7],为节点间联合检测提供了协作机制,并且使系统结构具有良好的可扩展性。
F.H.wai等人设计了分层提取检测数据的入侵检测系统结构[8],并且论述了在移动AdHoc网络IDS中应用分簇算法的必要性。
Yongguang Zhang等继续深入研究移动AdHoc网络中应用异常检测方法后,分析了分簇算法的设计要求,提出了一种新的分簇算法,并在此基础上设计了具有良好扩展性的分布式协作入侵检测系统[9]。
由于移动代理与移动Ad Hoc网络中移动节点具有相似的特点,研究者开始探索采用移动代理代替本地代理进行检测,解决移动AdHoc网络安全方面的问题。
因为移动AdHoc网络无集中式管理,一些入侵检测处理过程要求分布式和协作式方式执行,Kachirski和Guha在文献[10]的基础上,首次提出了一种基于移动代理的入侵检测系统结构[11]。
他们认为每个节点都有代理,过于占用网络资源,为了节省资源,只是在某些节点上驻留监视网络的代理,并且代理的数量可按要求进行增减。
随后法国的Albers和Camp提出了另一种应用移动代理技术的入侵检测系统框架[12]。
德国的Puttini和Percher也提出了一种入侵检测系统框架[13]。
这些应用移动代理的IDS系统结构灵活,能够在一定程度上节省资源。
总之,针对移动Ad Hoc网络入侵检测的研究,国内的相关研究工作刚刚启动,发表的相关论文数量较少,国外的研究工作也还处于仿真和实验的起步阶段。
3主要研究的内容(l)研究移动Ad Hoc网络,主要包括:网络特性、应用领域、网络拓扑结构、网络面临的安全威胁与安全性能标准等。
(2)研究入侵检测技术,包括入侵检测类型、入侵检测系统基本模型。
(3)对入侵检测技术在移动Ad Hoc中的应用进行研究,分析移动Ad Hoc 的入侵检测模型,设计基于分簇的分布式IDS模型。
4研究方案及进度安排,预期达到的目的1、研究方案:本文首先介绍了移动Ad Hoc网络、入侵检测技术和分簇算法的相关知识,通过对移动Ad Hoc网络入侵检测模型的研究,提出了基于簇的分布式入侵检测模型。
主要研究方案如下:(1)对Ad Hoc网络的拓扑结构进行分析按照组网方式的不同,移动Ad Hoc网络的拓扑结构可以分为两种[14]:平面结构,分簇结构。
在平面结构中,每个节点没有层次与等级的差别,具有平等的地位。
其优点在于:网络构建相对简便,且不需要另外的开销来维护层次结构,LBF性能较好,如图1所示。
但是,平面式移动Ad Hoc网络可拓展性较差。
如果网络规模扩大,每个节点所需要存储和计算的信息量会迅速增长,这无疑会给节点造成更大的负担,影响网络性能。
图1 平面结构分簇结构又称为分级结构。
所谓簇,即指网络结构中拥有某种关系的节点所构成的集合。
簇首节点由选举产生,担负着管理簇的责任;簇首之外的其他簇内节点称作该簇的成员节点。
各簇首可以看作更高一级的网络,某些特别情况下簇首还能够再次分簇,形成多级结构,如图2所示。
图2 分簇结构(2)入侵检测种类的分析入侵检测分为异常检测和特征检测。
异常检测(Abnormal Detection)主要来源于此种思想:每个人的正常行为都是呈现一定规律的,并且可以建立这些行为的活动日志,如CPU利用率等。
然后将当前行为与活动日志做比较,当发现违背其正常规律、与正常行为产生较大差别时,便认为该行为可能是“入侵”行为,除此之外,不是入侵的非正常用户行为(比如滥用自己职权)也可以被发现。
特征检测(Signature-based Detection)又称误用检测(Misuse Detection),主要是通过某种方式预定义入侵行为,然后对网络系统的活动进行监视,并从中发现与预定义模式匹配的入侵行为,系统检测的目标就是看主体行为是不是符合这些预定义模式。
由于根据入侵模式库来进行甄别,因而检测准确度非常高,但是对于新的入侵方式束手无策。
(3) 基于分簇的分布式IDS模型基于对现有入侵检测模型存在的缺点分析,结合Ad Hoc网络自身特性,本文提出了一种基于簇的分布式入侵检测模型CDIDS。
CDIDS的模型如图3所示:图3 CDIDS模型图CDIDS模型以移动自组网为依托,充分兼顾到移动自组网的特性(如动态拓扑)以及网络资源能耗等各个方面,将移动Ad Hoc网络划分成簇,实现分布式协作入侵检测。
本文的CDIDS模型包括数据采集模块、本地入侵检测模块、全局协作检测模块、邻居节点检测模块、本地入侵响应模块、全局入侵响应模块、数据通信模块、分簇模块八个主要部分,如图4所:图4 基于分簇的移动Ad Hoc网络IDS单元整体框架结构图全局协作检测模块是移动Ad Hoc网络入侵检测模型的又一个核心组成部分,该功能只在簇首运行。
在接收到从簇成员节点发来的全局协作检测请求之后,全局协作检测机制会通过号召簇内所有节点参与检测,或进一步与其他相邻簇首相互协作,对本地入侵检测模块未能做出判断的异常行为做更为全面的分析,以期最后对该行为是否是入侵行为给出较为准确的判定。
全局协作检测机制具有簇内协作检测与簇间协作检测两种功能。
如图5和图6所示:图5 簇内协作检测流程图图6 簇间协作检测流程图2、进度安排2011年9月~2011年10月研究移动Ad Hoc网络相关知识2011年11月~2012年2月研究入侵检测相关知识2012年3月~2012年4月设计分布式IDS模型2012年5月~2012年7月撰写毕业论文3、预期达到的目标1) 对移动Ad Hoc网络进行研究,对其网络特点和安全标准进行分析。
2) 对入侵检测的种类进行分析,并得出入侵检测技术在移动网络中应用的问题所在。
3) 通过上述的分析,设计出一个分布式的IDS模型。
5为完成课题已具备和所需的条件和经费已具备的条件:移动Ad Hoc网络、入侵检测技术等方面相关文献资料;已在国内外公开发表多篇学术论文。
6预计研究过程中可能遇到的困难和问题以及解决的措施1、传统的入侵检测方法是适应于有线网络的,如果直接将这些方法用到移动Ad Hoc网络中是不合适的。
因此,本文在设计的时候需要设计一种可以用于移动Ad Hoc网络的入侵检测的方法。
2、在设计基于分簇的分布式IDS模型的时候需要针对现有的移动Ad Hoc网络的入侵检测模型的缺点,进行优化。
主要参考文献[1]P.1vanov.Intrusion Detection in Fixed and Wireless Networks./-russell/eure537xf00/projeets/Ivanov.pdf [2]C.Y.Tseng, P.Balasubramanyam, K.Calvin.A Specification-Based Intrusion Detection System for AODV. Proceedings of the 1st ACM workshop on Security of ad hoc and sensor networks,ACM Press,Fairfax,Virginia,USA,2003:125-134[3]S.Marti, T.J.Giuli, i.Mitigating Routing Misbehavior in Mobile Ad Hoc Networks. Proceedings of the 6th Annual International Conference on Mobile Communication and Networking,MOBICOM,2000:255-265[4]Y.Zhang and W.Lee.Intrusion Detection in Wireless Ad Hoc Network Proe.MOBICOM 2000,Boston,ACM Press,2000:275-283[5]Z.Y.guang,L.W.ke,H.Y.an.Intrusion Detection Techniques for Mobile Wireless Networks.2003,9(5):545-556[6]Z.Y.guang,L.W.ke,H.Y.an.Security in ad hoc network: a general intrusion detection architecture enhancing trust based approaches. Mobile Networks and Applications,2001,16(1):1-16[7]S.Bo,W.Kui.Alert Aggregation in Mobile Ad Hoc Networks.Proeeedings of the 2003 ACM workshop on Wireless Security,San Diego,USA,2003:69-78 [8] F.H.Wai, Y.N.Aye, N.H.James.Intrusion Detection in Wireless Ad Hoc Networks..sg/~cs4274/ermpapers/0304-I/group4/pape r.pdf[9]5]H.Y.an,L.W.ke.A Cooperative Intrusion Detection System for Ad HocNetworks.Proeeedings of the 1st ACM workshop on Security of ad hoc and sensor networks,ACM Press,Fairfax,Virginia,2003:135-147[10] [6]Z.Y.guang,L.W.ke,H.Y.an.Security in ad hoc network: a general intrusion detection architecture enhancing trust based approaches. Mobile Networks and Applications,2001,16(1):22-26[11]O.Kaehirski,R.Guha.Intrusion Detection using mobile agents in wireless Ad Hoc networks.IEEE Workshop on Knowledge Media Networking(KMN,02),Kyoto,JAPAN,2002:153-158[12]Albers, Patriek, and O.Camp.Security in Ad Hoc Networks: general Intrusion detection architecture enhancing trust based approaches. Proceedings of the First International Workshop on Wireless Information System,Ciudad Real,Spain,2002:142-147[13]R.S.Puttini, J.M.Pereher, L.Me.A Modula: Architecture for Distributed IDS in MANET.Proceedings of the International Conference on Computational Science and Its Applications, Canada, 2003:91-113[14]赵志峰,郑少仁.Ad Hoc网络体系结构研究[J].电信科学:2001,1:14-17[15]李勇,黄均才,王凤碧,尹峻勋。