导读:本文包含了主机式入侵检测论文开题报告文献综述及选题提纲参考文献,主要关键词:入侵检测,Linux主机,Shell命令
主机式入侵检测论文文献综述
郭为鸣[1](2018)在《基于Linux主机的入侵检测系统的设计与研究》一文中研究指出随着计算机技术的发展、普及和应用,计算机技术极大地改变了人们的生活与工作,成为各行各业进行信息交流的主要方式。但是与计算机技术的高速发展形成鲜明对比的是,计算机信息安全领域的研究工作仍然相对落后。传统的计算机安全技术如网络防火墙、计算机数据加密、资源访问控制等,面对日益严峻的信息安全形势逐渐显露出自身的局限性。随着信息安全问题得到了广泛的关注,人们迫切需要更加有效地计算机安全防护措施。入侵检测技术作为一种主动防护的手段能够有效弥补传统安全技术的不足,为计算机系统提供了多层次的安全保障。本文首先详细阐述了当前的安全形势与入侵检测系统的研究意义,深入分析了入侵检测系统的研究现状,详细介绍了入侵检测系统相关的理论和技术。论文根据应用场景深入分析了基于Linux主机的入侵检测系统的需求,提出了系统的总体设计,设计了系统数据提取、数据传输、数据存储、行为判断、模型训练和交互管理这六大功能;提出了一种基于动态链接库的用户Shell记录提取方法,实现了入侵检测系统中审计数据的采集,减少了入侵检测系统对被检测主机的性能与稳定性的影响;提出了一种改进的用户入侵行为检测方法,通过实验验证该方法的可行性,并将该方法应用到本文所述的入侵检测系统中,提高了入侵检测系统的准确率。本文所提出的入侵检测系统不仅能够加强入侵检测系统自身的安全性,还能减少对原有系统的性能影响,有效地弥补了现有计算机安全技术的缺陷,提高了入侵检测工作的自动化程度和自适应能力,为系统管理员提供了一个更加有效的安全防护手段。(本文来源于《厦门大学》期刊2018-05-01)
黄自力[2](2017)在《基于主机日志的入侵检测研究与实现》一文中研究指出随着计算机科学的高速发展,系统攻击与入侵行为正对国家安全、社会生活造成越来越大的威胁与隐患。为对系统进行安全防御,有效地解决入侵检测,结合数据挖掘的系统日志分析由此产生。日志数据记录着用户的访问信息,这些信息往往蕴藏着可疑行为的蛛丝马迹,因此,日志分析已成为系统入侵检测的重要环节。然而,传统的数据挖掘入侵检测技术大多针对网络日志,并只侧重于单一数据挖掘算法的改进方法,不能很好地检测出内网中海量主机日志中所蕴含的潜在威胁与攻击,因此,本文旨在将数据挖掘与入侵检测技术相结合,根据应用场景,发现安全威胁并提出解决方案。本文提出了基于主机日志的入侵检测的系统框架,采用数据挖掘中的关联分析、时序分析与误用检测、异常检测相结合的方法进行入侵安全检测,主要包括日志预处理,数据挖掘,入侵检测叁大模块。首先,日志预处理模块将内网中的半结构化主机日志,进行ETL与日志格式统一化,转换成结构化日志,以便数据挖掘与分析的读入与处理。其次,在数据挖掘模块,由关联分析找寻日志各属性的内在横向联系,挖掘日志属性的隐藏关联,由时序分析发现日志量的时间纵向联系,挖掘季节周期性日志规律和随机异常日志的产生时段。将新得到日志属性关联与周期规律存入规则数据库,并反复递归循环,以求得尽可能全面的潜在威胁日志。然后,入侵检测模块,根据实际场景,利用误用检测技术过滤符合安全规则的常规日志,并结合异常检测,发现其他的非正常用户行为,获取“可疑”日志数据集。根据安全经验,全面分析与处理最终的“可疑”事件,保证内网安全。最后,本文实现了数据挖掘与入侵检测相结合的日志分析系统,从测试数据集中构造得出多种入侵事件模型,成功检测过滤的登录日志集比率达97-99%,同时也比单一的挖掘算法的检测率高出20%,检测速率更快,证明了本系统框架在主机日志分析方案的入侵检测优势与效率。(本文来源于《东华大学》期刊2017-01-01)
尹洪岩[3](2016)在《基于动力系统方法的主机入侵检测研究》一文中研究指出现在计算网络发展越来越快,计算机已经离不开人的生活,保证网络环境安全变得越来越重要。近年来,绝大部分的攻击都是围绕主机漏洞发生的,所以基于主机的入侵检测研究凸显重要。为了提高主机异常入侵检测的准确性,本文围绕基于主机异常入侵检测展开研究,将动力系统理论与系统调用的方法相结合,实现更便捷、更准确的入侵检测。首先介绍了主机入侵检测和动力系统理论的概念;然后通过系统调用跟踪,进行仿真实验收集研究需要的数据,通过动力系统的方法对数据进行对比,实现入侵检测;其次在DARPA-98数据集上,进行系统调用参数分析,从动力系统角度出发,观察系统调用访问值,说明研究人员可以使用这个数据集进行检测异常行为;在Linux平台Pro FTP的服务上运行针对FTP的漏洞,收集系统调用数据和正常执行系统调用数据相比较,用非聚集子系统的分析方法,分析出守护进程在攻击和正常状态的区别。接下来,基于Windows平台,对Easy Chat Sever应用程序的API调用进行分析,可以从Windows平台受感染的应用程序中区分出正常状态的应用。从各自的正常基线值,与这些数据集的动力系统方法图形中存在的偏差进行对比,有力的强调了本文的理论适用于检测异常的应用程序行为。最后,综述了本文的所有实验,对其进行分析与测评,对数据长度进行了两个方向的讨论。通过本文的研究,将动力系统理论的方法应用到系统调用序列和参数的分析上,可以用于检测系统动力学异常偏差,提高了主机入侵检测的准确性和通用性。(本文来源于《哈尔滨理工大学》期刊2016-03-01)
韦博华[4](2015)在《基于关联规则的网络及主机混合型入侵检测研究》一文中研究指出随着我国信息化的迅猛发展,网络安全威胁等诸多问题也日益凸显,实际工作当中,系统管理员面对大量的入侵检测告警信息和主机审计日志无从下手,单一形式的入侵检测系统本身也沉陷在如何尽量减少误报的基础上获得令人满意的检测率这一问题当中,而部署商用分布式混合入侵检测系统或是所谓的安全管理中心,投入产出比相对较小,一般单位难以承受。针对这一局面,本文在对当前入侵检测技术和关联分析挖掘技术研究基础上,提出了一种基于关联规则的网络及主机混合型入侵检测分析架构。针对这一架构,本文主要进行以下两方面的工作。(1)介绍了论文研究的背景和意义以及国内外研究现状,以及入侵检测的发展历程、入侵检测系统的体系结构等,并从检测方法和数据源的角度,对不同类型的入侵检测系统及其常用技术进行了叙述。(2)给出了关联规则应用于网络及主机混合型入侵检测分析的总体架构,以及相关模块的功能及流程,并对所使用的关联分析算法进行了介绍。为验证和评估在网络及主机混合型入侵检测中,采用关联分析技术的对入侵行为进行分析的有效性和架构的可行性,本文采用麻省理工学院林肯实验室的LLS_DDOS_1.0数据集进行实验,并结合该数据集的入侵场景对实验结果进行验证。经过与该数据集的入侵场景描述比对,还原的攻击过程与数据集的入侵场景描述完全一致,入侵检测分析取得了较好的效果。(本文来源于《广西大学》期刊2015-11-01)
刘丹婷[5](2013)在《基于联动机制的蜜网主机入侵检测系统的研究》一文中研究指出现代社会信息化程度不断加快,互联网的使用日益普及,政治、经济、军事、教育和科技等各个方面的工作、业务越来越多的转移到这个平台上来,人们越来越依赖计算机和网络的方便快捷、信息的共享和资源的庞大。随着人们对网络的需要不断增强,网络的安全隐患也越来越明显,各种各样威胁网络安全的问题和犯罪案件不断发生,给企业和个人造成了极大的损失,因此,对于这个虚拟世界的信息安全问题也得到了人们越来越多的关注。在网络攻击方法和工具多样化的情况下,需要安全研究人员能够采取相应的安全防御措施,防止企业、个人和政府的重要敏感信息不被窃取,保障计算机网络和主机系统的安全。传统的网络安全防护系统,如杀毒软件、防火墙等网络安全防护方式已经得到了广泛的使用,但是这些传统的防御方式只是对攻击行为的被动防御,无法预测以及预防未知的非法用户的攻击行为,对新的攻击方法往往不能正确的识别出来,因此信息安全还存在很大的问题。基于主动防御理论的入侵检测技术,通过捕获入侵者的攻击数据,记录可疑的攻击过程,对其进行检测和分析,并生成告警信息报告给安全管理人员,从而更大程度的维护网络的正常运行。本文设计并实现了基于联动机制的蜜网主机入侵检测系统,即在蜜网环境下,部署防火墙、主机入侵检测等程序和设备,并将两者进行联动,共同检测并防御攻击行为。基于联动机制的蜜网主机入侵检测系统结合了蜜网、防火墙和主机入侵检测叁者的优势,使得系统在安全可靠的前提下,可以检测更多可疑的入侵行为。蜜网系统能够搭建网络环境,提供真实的物理主机和虚拟主机,以及虚实结合的服务,能够有效吸引诱骗攻击者的攻击,防火墙作为系统的安全屏障,能够提高整个系统自身的安全性,并且使蜜网系统更加真实,同时在攻击行为威胁到系统的稳定性时,能够及时的阻止攻击者的入侵。主机入侵检测是系统的核心部分,部署在蜜网环境的真实主机中,对攻击入侵进行捕获检测、分析和告警,同时和防火墙进行联动,在检测到攻’击行为并产生告警的同时,保障蜜网系统最基本的安全和稳定。本文采用的系统主要包括主机入侵检测和联动机制两个方面的研究。目前的入侵检测为了提高检测率降低漏报,这就造成了误报率居高不下,冗余告警信息相对较多,检测结果不够智能化,技术研究和实际应用结合不够好,这些是入侵检测技术亟待解决的问题和困难。本文提出了一种基于分层协同DFA的入侵检测算法,对主机行为进行分层采集,分别对主机的进程、文件、注册表、用户及流量进行检测,通过内外检测模块的协同分析,生成告警,保证检测率的情况下,减少了冗余信息。同时,联动中心根据主机入侵检测模块产生的告警信息进行分析评估,生成针对当前攻击行为的决策响应,反馈到防火墙和蜜网进行规则设置和拓扑配置的更新。这样,在保证系统正常稳定运行的同时,能够允许蜜网吸引攻击入侵,使得主机入侵检测可以检测分析出更多的告警信息。(本文来源于《北京邮电大学》期刊2013-03-07)
雷惊鹏,颜世波[6](2013)在《基于Windows日志的主机入侵检测》一文中研究指出Windows服务器自带的日志功能,实现了机器运转的流水记录,并产生大量日志数据。由于日志的可读性较差,使得管理员在进行排错分析时,往往需要很长时间才能从中提取有管理价值的信息。本文以Windows系统日志为数据源,结合数据库技术,实现基于日志的主机入侵检测。(本文来源于《吉林工程技术师范学院学报》期刊2013年01期)
袁佳[7](2013)在《基于主机日志的入侵检测系统的设计与实现》一文中研究指出近年来企业信息化程度越来越高,基于主机日志的入侵检测分析成为企业安全问题检查的重要手段之一,通过主机日志分析可以对企业的安全进行及时监控,发现违规操作,最大限度的减少企业安全隐患。然而随着大数据时代的到来,如何有效的应对海量的日志分析成为摆放到设计日志分析系统者的首要考虑问题。传统的基于单节点的集中式的日志处理架构设计方案由于日志的指数增长、动态变换、异构的特点已经很难满足日志的分析的海量处理要求了。设计一个高效的、可扩展的、实时的日志分析平台,在企业发展中显得尤为重要。本课题主要基于这样一个实际项目背景,在深入研究日志的特点与现有的分布式平台的基础上,设计与实现了一种基于海量日志分析的入侵检测系统平台。该平台首先根据企业的实际需求出发采用了无agent方式收集日志。将企业客户内部的多个主机、网络设备、应用系统当做日志源通过关键字分析与关联分析技术进行分析,根据分析结果给出告警信息,产生安全事件工单供安全业务人员分析,并提供告警报表。本文首先介绍了课题的研究背景与相关领域的发展趋势,研究了基于主机入侵检测系统相关技术,其中重点研究了无agent远程采集技术,其中包括常用的wmi、smb、ssh、telnet、syslog等技术。研究了数据挖掘在日志分析中的应用,包括常见的关联规则挖掘算法Apriori与fp-growth算法的优缺点,并在此基础上着重研究现有的关联规则挖掘算法针对海量数据的特点的改进,研究了消息中间件rabbitmq在分布式集群海量日志分析中的应用。其中重点研究了为了提升rabbitmq对于海量日志分析的处理速度分别优化了rabbitmq的confirm机制与rabbitmq内部状态转移过程。最后基于某公司的实际业务需求对整个系统进行了详细设计、对日志预处理、解码、关联分析部分进行了重点概要设计。并在此基础上完成了基于主机入侵检测系统的开发与实现。(本文来源于《北京邮电大学》期刊2013-01-06)
刘丹婷,武斌[8](2012)在《基于层次化协同DFA的主机入侵检测模型》一文中研究指出本文提出了一种基于DFA(确定型有限状态自动机,Deterministic Finite Automata)的主机入侵检测算法,针对主机行为变化的多样性、攻击过程的复杂性,通过内部和外部层次化协同监控,检测主机入侵行为。同时,建立入侵检测模型,对主机行为进行分类采集、协同处理、信息整合,进而生成入侵告警事件。最后搭建攻击环境对模型进行实验分析,结果表明,该模型算法的攻击检测实时性较好,对入侵行为有良好的检测效果。(本文来源于《第十七届全国青年通信学术年会论文集》期刊2012-07-29)
郑海祥[9](2011)在《系统调用在主机入侵检测中的研究与应用》一文中研究指出随着信息技术和计算机网络的飞速发展,网络安全也越来越成为人们关注的焦点。如何迅速的发现入侵行为,并且主动地对网络进行安全防护成为网络安全领域的一个难点,这时入侵检测技术应运而生,入侵检测技术是一种主动且动态的对网络进行安全防护的技术,是对传统的防火墙、数据加密等静态防御技术的有力补充。入侵检测的目标是检测那些非授权、越权的系统内部和外部的入侵或攻击行为。基于主机的入侵检测系统通过监控系统进程来实现对重点主机的保护,由于大多数的攻击最终都要通过非法改变系统调用的执行轨迹来达到目的,因此通过监控特权进程的系统调用序列能及时的发现和阻止入侵行为,实现对计算机系统的保护。本文首先介绍了入侵检测技术的研究现状与发展趋势,分析了入侵检测系统的体系结构、检测原理和评估标准。其次陈述了系统调用的概念、系统调用的执行过程,并研究了截获系统调用的常用方法,然后重点研究了目前基于系统调用的入侵检测的常用算法,并对现有的基于系统调用的入侵检测算法进行分析和比较。由于隐马尔可夫模型(HMM)具备算法成熟、效率高、效果好、易于训练等优点,本文构建了一个基于隐马尔可夫模型的主机入侵检测模型,设计并实现了系统数据采集模块、数据预处理模块、隐马尔可夫模型训练模块和检测模块。该模型的数据采集模块通过LKM机制来截获进程执行时产生的系统调用序列,改进的LKM机制可以在内核高效的获取系统调用信息。针对现有算法训练时间过长的不足,本文对数据预处理算法进行改进,用系统调用序列通过滑动窗口产生的加权值的频繁特征序列集作为模型的训练数据,明显减少了模型的训练数据量,同时对隐马尔可夫模型的训练算法做出改进,减少了正常行为模型的建模时间,检测模块采用输出概率阈值进行入侵判断。最后,对所提出的模型进行了实验,通过对实验结果进行分析,验证了改进后的模型和方法能够有效降低模式库的规模,实现了较低的误报率以及较少的模型训练时间。(本文来源于《广东工业大学》期刊2011-05-01)
张敏军[10](2010)在《基于防火墙和入侵检测的综合主机安全防范系统》一文中研究指出随着网络应用范围日益扩大,在给人们的生活带来极大便利的同时,网络安全问题也是与日俱增。为增强网络的安全防范能力,入侵检测、防火墙、防病毒软件和流量监控等网络安全组件也被广泛的采用。但仅依靠单一型的网络安全组件已经不能满足现有网络安全的需求,必须把这些网络安全组件整合在一起协同工作,构筑立体式深度防御的安全体系。本文主要研究将网络防火墙与入侵检测系统相结合、互动使用的新理念,实现了根据入侵检测结果,系统动态的调整防火墙规则的响应机制,使整个系统对已知、未知的非法入侵事件,有效地实施防护、拦截,做到自我防御、自动检测,并使系统具备一定的学习能力。从而为中小型网络构建了较为安全的防护体系。本文包含有包过滤防火墙系统、入侵检测系统两个子系统。对iptables用户空间工具组成的Linux2.4以上内核版本的防火墙全新架构、入侵检测的规则描述语言子模块及代码实现,均进行了探索性的研究。主要内容为:1.包过滤防火墙子系统。分析了防火墙对数据包的过滤、防火墙在网络中所处位置,数据包进行处理的多种方式、防火墙的链接跟踪功能;开发出B/S模式的防火墙管理软件。2.入侵检测子系统。提出了防火墙的有益补充,基于Linux的入侵检测系统。设计了相应的规则解析引擎,可根据入侵描述语言,辅助以协议分析为基础进行了非法入侵事件的评估、判断,与防火墙进行同步响应。(本文来源于《电子科技大学》期刊2010-11-01)
主机式入侵检测论文开题报告
(1)论文研究背景及目的
此处内容要求:
首先简单简介论文所研究问题的基本概念和背景,再而简单明了地指出论文所要研究解决的具体问题,并提出你的论文准备的观点或解决方法。
写法范例:
随着计算机科学的高速发展,系统攻击与入侵行为正对国家安全、社会生活造成越来越大的威胁与隐患。为对系统进行安全防御,有效地解决入侵检测,结合数据挖掘的系统日志分析由此产生。日志数据记录着用户的访问信息,这些信息往往蕴藏着可疑行为的蛛丝马迹,因此,日志分析已成为系统入侵检测的重要环节。然而,传统的数据挖掘入侵检测技术大多针对网络日志,并只侧重于单一数据挖掘算法的改进方法,不能很好地检测出内网中海量主机日志中所蕴含的潜在威胁与攻击,因此,本文旨在将数据挖掘与入侵检测技术相结合,根据应用场景,发现安全威胁并提出解决方案。本文提出了基于主机日志的入侵检测的系统框架,采用数据挖掘中的关联分析、时序分析与误用检测、异常检测相结合的方法进行入侵安全检测,主要包括日志预处理,数据挖掘,入侵检测叁大模块。首先,日志预处理模块将内网中的半结构化主机日志,进行ETL与日志格式统一化,转换成结构化日志,以便数据挖掘与分析的读入与处理。其次,在数据挖掘模块,由关联分析找寻日志各属性的内在横向联系,挖掘日志属性的隐藏关联,由时序分析发现日志量的时间纵向联系,挖掘季节周期性日志规律和随机异常日志的产生时段。将新得到日志属性关联与周期规律存入规则数据库,并反复递归循环,以求得尽可能全面的潜在威胁日志。然后,入侵检测模块,根据实际场景,利用误用检测技术过滤符合安全规则的常规日志,并结合异常检测,发现其他的非正常用户行为,获取“可疑”日志数据集。根据安全经验,全面分析与处理最终的“可疑”事件,保证内网安全。最后,本文实现了数据挖掘与入侵检测相结合的日志分析系统,从测试数据集中构造得出多种入侵事件模型,成功检测过滤的登录日志集比率达97-99%,同时也比单一的挖掘算法的检测率高出20%,检测速率更快,证明了本系统框架在主机日志分析方案的入侵检测优势与效率。
(2)本文研究方法
调查法:该方法是有目的、有系统的搜集有关研究对象的具体信息。
观察法:用自己的感官和辅助工具直接观察研究对象从而得到有关信息。
实验法:通过主支变革、控制研究对象来发现与确认事物间的因果关系。
文献研究法:通过调查文献来获得资料,从而全面的、正确的了解掌握研究方法。
实证研究法:依据现有的科学理论和实践的需要提出设计。
定性分析法:对研究对象进行“质”的方面的研究,这个方法需要计算的数据较少。
定量分析法:通过具体的数字,使人们对研究对象的认识进一步精确化。
跨学科研究法:运用多学科的理论、方法和成果从整体上对某一课题进行研究。
功能分析法:这是社会科学用来分析社会现象的一种方法,从某一功能出发研究多个方面的影响。
模拟法:通过创设一个与原型相似的模型来间接研究原型某种特性的一种形容方法。
主机式入侵检测论文参考文献
[1].郭为鸣.基于Linux主机的入侵检测系统的设计与研究[D].厦门大学.2018
[2].黄自力.基于主机日志的入侵检测研究与实现[D].东华大学.2017
[3].尹洪岩.基于动力系统方法的主机入侵检测研究[D].哈尔滨理工大学.2016
[4].韦博华.基于关联规则的网络及主机混合型入侵检测研究[D].广西大学.2015
[5].刘丹婷.基于联动机制的蜜网主机入侵检测系统的研究[D].北京邮电大学.2013
[6].雷惊鹏,颜世波.基于Windows日志的主机入侵检测[J].吉林工程技术师范学院学报.2013
[7].袁佳.基于主机日志的入侵检测系统的设计与实现[D].北京邮电大学.2013
[8].刘丹婷,武斌.基于层次化协同DFA的主机入侵检测模型[C].第十七届全国青年通信学术年会论文集.2012
[9].郑海祥.系统调用在主机入侵检测中的研究与应用[D].广东工业大学.2011
[10].张敏军.基于防火墙和入侵检测的综合主机安全防范系统[D].电子科技大学.2010