导读:本文包含了基于主机的入侵检测系统论文开题报告文献综述、选题提纲参考文献及外文文献翻译,主要关键词:主机,检测系统,防火墙,自动机,系统,上下文,日志。
基于主机的入侵检测系统论文文献综述
郭为鸣[1](2018)在《基于Linux主机的入侵检测系统的设计与研究》一文中研究指出随着计算机技术的发展、普及和应用,计算机技术极大地改变了人们的生活与工作,成为各行各业进行信息交流的主要方式。但是与计算机技术的高速发展形成鲜明对比的是,计算机信息安全领域的研究工作仍然相对落后。传统的计算机安全技术如网络防火墙、计算机数据加密、资源访问控制等,面对日益严峻的信息安全形势逐渐显露出自身的局限性。随着信息安全问题得到了广泛的关注,人们迫切需要更加有效地计算机安全防护措施。入侵检测技术作为一种主动防护的手段能够有效弥补传统安全技术的不足,为计算机系统提供了多层次的安全保障。本文首先详细阐述了当前的安全形势与入侵检测系统的研究意义,深入分析了入侵检测系统的研究现状,详细介绍了入侵检测系统相关的理论和技术。论文根据应用场景深入分析了基于Linux主机的入侵检测系统的需求,提出了系统的总体设计,设计了系统数据提取、数据传输、数据存储、行为判断、模型训练和交互管理这六大功能;提出了一种基于动态链接库的用户Shell记录提取方法,实现了入侵检测系统中审计数据的采集,减少了入侵检测系统对被检测主机的性能与稳定性的影响;提出了一种改进的用户入侵行为检测方法,通过实验验证该方法的可行性,并将该方法应用到本文所述的入侵检测系统中,提高了入侵检测系统的准确率。本文所提出的入侵检测系统不仅能够加强入侵检测系统自身的安全性,还能减少对原有系统的性能影响,有效地弥补了现有计算机安全技术的缺陷,提高了入侵检测工作的自动化程度和自适应能力,为系统管理员提供了一个更加有效的安全防护手段。(本文来源于《厦门大学》期刊2018-05-01)
刘丹婷[2](2013)在《基于联动机制的蜜网主机入侵检测系统的研究》一文中研究指出现代社会信息化程度不断加快,互联网的使用日益普及,政治、经济、军事、教育和科技等各个方面的工作、业务越来越多的转移到这个平台上来,人们越来越依赖计算机和网络的方便快捷、信息的共享和资源的庞大。随着人们对网络的需要不断增强,网络的安全隐患也越来越明显,各种各样威胁网络安全的问题和犯罪案件不断发生,给企业和个人造成了极大的损失,因此,对于这个虚拟世界的信息安全问题也得到了人们越来越多的关注。在网络攻击方法和工具多样化的情况下,需要安全研究人员能够采取相应的安全防御措施,防止企业、个人和政府的重要敏感信息不被窃取,保障计算机网络和主机系统的安全。传统的网络安全防护系统,如杀毒软件、防火墙等网络安全防护方式已经得到了广泛的使用,但是这些传统的防御方式只是对攻击行为的被动防御,无法预测以及预防未知的非法用户的攻击行为,对新的攻击方法往往不能正确的识别出来,因此信息安全还存在很大的问题。基于主动防御理论的入侵检测技术,通过捕获入侵者的攻击数据,记录可疑的攻击过程,对其进行检测和分析,并生成告警信息报告给安全管理人员,从而更大程度的维护网络的正常运行。本文设计并实现了基于联动机制的蜜网主机入侵检测系统,即在蜜网环境下,部署防火墙、主机入侵检测等程序和设备,并将两者进行联动,共同检测并防御攻击行为。基于联动机制的蜜网主机入侵检测系统结合了蜜网、防火墙和主机入侵检测叁者的优势,使得系统在安全可靠的前提下,可以检测更多可疑的入侵行为。蜜网系统能够搭建网络环境,提供真实的物理主机和虚拟主机,以及虚实结合的服务,能够有效吸引诱骗攻击者的攻击,防火墙作为系统的安全屏障,能够提高整个系统自身的安全性,并且使蜜网系统更加真实,同时在攻击行为威胁到系统的稳定性时,能够及时的阻止攻击者的入侵。主机入侵检测是系统的核心部分,部署在蜜网环境的真实主机中,对攻击入侵进行捕获检测、分析和告警,同时和防火墙进行联动,在检测到攻’击行为并产生告警的同时,保障蜜网系统最基本的安全和稳定。本文采用的系统主要包括主机入侵检测和联动机制两个方面的研究。目前的入侵检测为了提高检测率降低漏报,这就造成了误报率居高不下,冗余告警信息相对较多,检测结果不够智能化,技术研究和实际应用结合不够好,这些是入侵检测技术亟待解决的问题和困难。本文提出了一种基于分层协同DFA的入侵检测算法,对主机行为进行分层采集,分别对主机的进程、文件、注册表、用户及流量进行检测,通过内外检测模块的协同分析,生成告警,保证检测率的情况下,减少了冗余信息。同时,联动中心根据主机入侵检测模块产生的告警信息进行分析评估,生成针对当前攻击行为的决策响应,反馈到防火墙和蜜网进行规则设置和拓扑配置的更新。这样,在保证系统正常稳定运行的同时,能够允许蜜网吸引攻击入侵,使得主机入侵检测可以检测分析出更多的告警信息。(本文来源于《北京邮电大学》期刊2013-03-07)
袁佳[3](2013)在《基于主机日志的入侵检测系统的设计与实现》一文中研究指出近年来企业信息化程度越来越高,基于主机日志的入侵检测分析成为企业安全问题检查的重要手段之一,通过主机日志分析可以对企业的安全进行及时监控,发现违规操作,最大限度的减少企业安全隐患。然而随着大数据时代的到来,如何有效的应对海量的日志分析成为摆放到设计日志分析系统者的首要考虑问题。传统的基于单节点的集中式的日志处理架构设计方案由于日志的指数增长、动态变换、异构的特点已经很难满足日志的分析的海量处理要求了。设计一个高效的、可扩展的、实时的日志分析平台,在企业发展中显得尤为重要。本课题主要基于这样一个实际项目背景,在深入研究日志的特点与现有的分布式平台的基础上,设计与实现了一种基于海量日志分析的入侵检测系统平台。该平台首先根据企业的实际需求出发采用了无agent方式收集日志。将企业客户内部的多个主机、网络设备、应用系统当做日志源通过关键字分析与关联分析技术进行分析,根据分析结果给出告警信息,产生安全事件工单供安全业务人员分析,并提供告警报表。本文首先介绍了课题的研究背景与相关领域的发展趋势,研究了基于主机入侵检测系统相关技术,其中重点研究了无agent远程采集技术,其中包括常用的wmi、smb、ssh、telnet、syslog等技术。研究了数据挖掘在日志分析中的应用,包括常见的关联规则挖掘算法Apriori与fp-growth算法的优缺点,并在此基础上着重研究现有的关联规则挖掘算法针对海量数据的特点的改进,研究了消息中间件rabbitmq在分布式集群海量日志分析中的应用。其中重点研究了为了提升rabbitmq对于海量日志分析的处理速度分别优化了rabbitmq的confirm机制与rabbitmq内部状态转移过程。最后基于某公司的实际业务需求对整个系统进行了详细设计、对日志预处理、解码、关联分析部分进行了重点概要设计。并在此基础上完成了基于主机入侵检测系统的开发与实现。(本文来源于《北京邮电大学》期刊2013-01-06)
马菊芳[4](2009)在《基于Linux的主机入侵检测系统设计》一文中研究指出Internet蓬勃发展到今天,计算机已经从独立的主机发展到复杂、互连的开放式系统,这给人们在信息利用和资源共享上带来了很大的便利。由Internet来传递和处理各种生活信息,早已成为人们重要的沟通方式之一,随之而来的各种攻击事件与入侵手法更是层出不穷,引发了一系列安全问题。曾经作为最主要的安全防范手段的防火墙,已经不能满足人们对网络安全的需求。作为对防火墙及其有益的补充,IDS(入侵检测系统)能够帮助网络系统快速发现攻击的发生,它扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。入侵检测作为一种积极主动的安全防护技术,也越来越受到人们的关注。本文首先讨论了网络安全现状,包括网络安全问题、网络安全目标和网络安全技术。接着对入侵检测系统进行了详细地论述,包括发展历史、研究现状、相关定义和分类等各个方面的内容。入侵检测系统根据检测的数据源可以分为基于主机的入侵检测系统和基于网络的入侵检测系统,本文主要探讨了基于Linux的主机入侵检测系统。通过将应用程序的经常调用的库函数短序列构造一个正常行为特征库,以界定程序操作是否属于正常行为特征库内的库函数来判断系统是否受到攻击,我们认为应用这样一个特征库可以用于入侵检测。本文的主要工作就是实现这种以库函数调用作为数据源的,基于主机检测的入侵检测系统,用于检测来自内部和外部的攻击。这套入侵检测系统主要由审计数据采集模块、审计数据发送模块、正常行为特征库的建立和管理模块,异常检测模块和入侵响应模块组成。通过使用大量的攻击程序进行测试,本文提出的基于Linux的主机入侵检测系统对于外部攻击、内部攻击、缓冲区溢出攻击等具有良好的检测效果。(本文来源于《河北科技大学》期刊2009-09-01)
李闻,戴英侠,连一峰,冯萍慧[5](2009)在《基于混杂模型的上下文相关主机入侵检测系统》一文中研究指出主机入侵检测的关键是监测进程的运行是否正常.现有的基于静态分析建模的方法具有零虚警的优良特性,但是,由于缺乏精确性或者效率的问题仍然不能实际使用,先前的工作试图在这两者之间寻找平衡点.基于NFA(nondeterministic finite automaton)的方法高效但是不够精确,基于PDA(push down automaton)的方法比较精确但却由于无限的资源消耗而不能应用.其他模型,例如Dyck模型、VPStatic模型和IMA模型使用一些巧妙的方法提高了精确性又不过分降低可用性,但是都回避了静态分析中遇到的间接函数调用/跳转问题.提出一种静态分析-动态绑定的混杂模型(hybrid finite automaton,简称HFA)可以获得更好的精确性并且解决了这一问题.形式化地与典型的上下文相关模型作比较并且证明HFA更为精确,而且HFA更适合应用于动态链接的程序.还给出了基于Linux的原型系统的一些实现细节和实验结果.(本文来源于《软件学报》期刊2009年01期)
李苗,刘超[6](2009)在《基于实时击键序列的主机入侵检测系统研究》一文中研究指出用户的击键特性犹如指纹,能反映人独特的生理和行为特性。击键特性识别是一种生理统计学技术,它根据敲击键盘的节奏模式来区分不同的人。将击键特性运用于入侵检测能有效地识别用户,减少黑客入侵,防止账户被盗。(本文来源于《网络与信息》期刊2009年01期)
周小雄,高光勇[7](2008)在《基于Windows的主机入侵检测系统联动防火墙的设计与实现》一文中研究指出设计与开发了一个运行在windows200下的轻量级入侵检测系统,系统采用VC++6.0作为开发工具,利用WinPcap技术来捕获网络数据包。在数据包处理方面采用了统计与特征相结合的检测方法,从整体结构而言是一个基于主机的入侵检测系统。文章重点介绍系统总体结构和联动防火墙模块的设计和实现,最后以攻击检测实验加以验证。(本文来源于《九江学院学报》期刊2008年06期)
曾劼[8](2008)在《基于WINDOWS平台的主机入侵检测系统与防火墙的联动研究》一文中研究指出防火墙是预防网络入侵的一种重要的技术,不过单纯的防火墙不能满足对网络安全有敏感要求的一些场所的要求。入侵检测技术是保障网络安全的重要的技术。入侵检测系统成为了确保网络安全的重要手段。现在针对系统和网络的攻击越来越多,人们对入侵检测系统的研究也越来越深入。同时,网络与信息安全不是一种独立的安全部件可以完成的。只有不同的安全部件之间实现互联互动,才能够更好地发挥它们各自的作用,才可以比较好地保证网络与信息安全。随着防火墙、入侵检测系统的不断发展,实现它们之间的互动显得非常重要。对于安全部件之间的互动协议和接口标准的研究,也是入侵检测系统研究的一个重要方向。本文对主机入侵检测技术和防火墙进行了深入的分析和总结,指出了两者的优、缺点,讨论了防火墙与主机入侵检测系统的联动。联动防火墙的主机入侵检测系统可以实时监测主机的各种状态,辨别可能发生的入侵行为或非法操作。在入侵行为发生时联动防火墙进行自动阻断和报警。实时保护主机系统信息安全,本文讨论其中的端口扫描和木马检测部分。最后对本文的工作和今后进一步研究的问题进行了总结和展望。(本文来源于《贵州大学》期刊2008-05-01)
陶晓玲[9](2007)在《基于AdaBoost的Linux主机入侵检测系统研究》一文中研究指出随着入侵检测技术的重要性日益凸显以及Linux操作系统的地位不断提升,对Linux入侵检测系统进行研究具有重要的现实意义。目前Linux下的入侵检测系统主要使用基于规则匹配和数据完整性校验的模式构建,大部分不具备智能的自适应能力,可扩展性差,检测性能有待提高。本文采用网格技术和集成学习算法AdaBoost,设计了一个新型结构的智能Linux主机入侵检测系统。论文的主要创新工作有:Linux主机入侵检测系统设计中引入了网格技术。系统的数据采集节点采用网格开发工具包Globus Toolkit搭建网格环境,分布式采集Linux主机信息和与Linux主机相关的网络信息;通过网格中间件OGSA-DAI实现特征数据的访问和集成,并以网格服务的形式将特征数据提交给分析中心进行检测分析。网格技术有效地解决了传统Linux主机入侵检测系统中负载集中、可扩展能力差等问题。提出一种基于AdaBoost的入侵特征约减算法,利用该算法约减入侵特征中的冗余特征。在该算法基础上构造Ada-加权、Ada-域值分类器,并与支持向量机分类器进行对比。Linux主机入侵检测系统实验平台验证了特征约减算法和分类方法的有效性。提出一种分级结构的AdaBoost入侵检测方法。该方法通过级连多个分类器来共同完成检测任务,每一级的分类器都是Ada-域值分类器。在Linux主机入侵检测系统的实验平台上训练和测试分级结构的智能入侵检测器,实验结果表明,该方法取得了理想的检测性能。(本文来源于《桂林电子科技大学》期刊2007-12-01)
苏静,刘跃军[10](2007)在《一种主机入侵检测系统的设计与实现》一文中研究指出本文利用网络协议定义的标准化、层次化、格式化的数据包的特点,对数据包首先进行协议分析,然后根据协议的不同再进行相应的模式特征匹配,最后根据匹配结果完成对应的响应动作。这种结合协议分析的入侵检测系统具有检测速度快、系统耗费低和误报率低的优点。(本文来源于《广西轻工业》期刊2007年09期)
基于主机的入侵检测系统论文开题报告
(1)论文研究背景及目的
此处内容要求:
首先简单简介论文所研究问题的基本概念和背景,再而简单明了地指出论文所要研究解决的具体问题,并提出你的论文准备的观点或解决方法。
写法范例:
现代社会信息化程度不断加快,互联网的使用日益普及,政治、经济、军事、教育和科技等各个方面的工作、业务越来越多的转移到这个平台上来,人们越来越依赖计算机和网络的方便快捷、信息的共享和资源的庞大。随着人们对网络的需要不断增强,网络的安全隐患也越来越明显,各种各样威胁网络安全的问题和犯罪案件不断发生,给企业和个人造成了极大的损失,因此,对于这个虚拟世界的信息安全问题也得到了人们越来越多的关注。在网络攻击方法和工具多样化的情况下,需要安全研究人员能够采取相应的安全防御措施,防止企业、个人和政府的重要敏感信息不被窃取,保障计算机网络和主机系统的安全。传统的网络安全防护系统,如杀毒软件、防火墙等网络安全防护方式已经得到了广泛的使用,但是这些传统的防御方式只是对攻击行为的被动防御,无法预测以及预防未知的非法用户的攻击行为,对新的攻击方法往往不能正确的识别出来,因此信息安全还存在很大的问题。基于主动防御理论的入侵检测技术,通过捕获入侵者的攻击数据,记录可疑的攻击过程,对其进行检测和分析,并生成告警信息报告给安全管理人员,从而更大程度的维护网络的正常运行。本文设计并实现了基于联动机制的蜜网主机入侵检测系统,即在蜜网环境下,部署防火墙、主机入侵检测等程序和设备,并将两者进行联动,共同检测并防御攻击行为。基于联动机制的蜜网主机入侵检测系统结合了蜜网、防火墙和主机入侵检测叁者的优势,使得系统在安全可靠的前提下,可以检测更多可疑的入侵行为。蜜网系统能够搭建网络环境,提供真实的物理主机和虚拟主机,以及虚实结合的服务,能够有效吸引诱骗攻击者的攻击,防火墙作为系统的安全屏障,能够提高整个系统自身的安全性,并且使蜜网系统更加真实,同时在攻击行为威胁到系统的稳定性时,能够及时的阻止攻击者的入侵。主机入侵检测是系统的核心部分,部署在蜜网环境的真实主机中,对攻击入侵进行捕获检测、分析和告警,同时和防火墙进行联动,在检测到攻’击行为并产生告警的同时,保障蜜网系统最基本的安全和稳定。本文采用的系统主要包括主机入侵检测和联动机制两个方面的研究。目前的入侵检测为了提高检测率降低漏报,这就造成了误报率居高不下,冗余告警信息相对较多,检测结果不够智能化,技术研究和实际应用结合不够好,这些是入侵检测技术亟待解决的问题和困难。本文提出了一种基于分层协同DFA的入侵检测算法,对主机行为进行分层采集,分别对主机的进程、文件、注册表、用户及流量进行检测,通过内外检测模块的协同分析,生成告警,保证检测率的情况下,减少了冗余信息。同时,联动中心根据主机入侵检测模块产生的告警信息进行分析评估,生成针对当前攻击行为的决策响应,反馈到防火墙和蜜网进行规则设置和拓扑配置的更新。这样,在保证系统正常稳定运行的同时,能够允许蜜网吸引攻击入侵,使得主机入侵检测可以检测分析出更多的告警信息。
(2)本文研究方法
调查法:该方法是有目的、有系统的搜集有关研究对象的具体信息。
观察法:用自己的感官和辅助工具直接观察研究对象从而得到有关信息。
实验法:通过主支变革、控制研究对象来发现与确认事物间的因果关系。
文献研究法:通过调查文献来获得资料,从而全面的、正确的了解掌握研究方法。
实证研究法:依据现有的科学理论和实践的需要提出设计。
定性分析法:对研究对象进行“质”的方面的研究,这个方法需要计算的数据较少。
定量分析法:通过具体的数字,使人们对研究对象的认识进一步精确化。
跨学科研究法:运用多学科的理论、方法和成果从整体上对某一课题进行研究。
功能分析法:这是社会科学用来分析社会现象的一种方法,从某一功能出发研究多个方面的影响。
模拟法:通过创设一个与原型相似的模型来间接研究原型某种特性的一种形容方法。
基于主机的入侵检测系统论文参考文献
[1].郭为鸣.基于Linux主机的入侵检测系统的设计与研究[D].厦门大学.2018
[2].刘丹婷.基于联动机制的蜜网主机入侵检测系统的研究[D].北京邮电大学.2013
[3].袁佳.基于主机日志的入侵检测系统的设计与实现[D].北京邮电大学.2013
[4].马菊芳.基于Linux的主机入侵检测系统设计[D].河北科技大学.2009
[5].李闻,戴英侠,连一峰,冯萍慧.基于混杂模型的上下文相关主机入侵检测系统[J].软件学报.2009
[6].李苗,刘超.基于实时击键序列的主机入侵检测系统研究[J].网络与信息.2009
[7].周小雄,高光勇.基于Windows的主机入侵检测系统联动防火墙的设计与实现[J].九江学院学报.2008
[8].曾劼.基于WINDOWS平台的主机入侵检测系统与防火墙的联动研究[D].贵州大学.2008
[9].陶晓玲.基于AdaBoost的Linux主机入侵检测系统研究[D].桂林电子科技大学.2007
[10].苏静,刘跃军.一种主机入侵检测系统的设计与实现[J].广西轻工业.2007