論文開題：網(wǎng)絡(luò)流量分析與入侵檢測系統(tǒng)

大學(xué)本科畢業(yè)論文(設(shè)計)開題報告
學(xué)院： 計算機科學(xué)與技術(shù)學(xué)院　 　 　專業(yè)班級：　2009級網(wǎng)絡(luò)工程(1)

課題名稱 網(wǎng)絡(luò)流量分析與入侵檢測系統(tǒng)

1、本課題的的研究目的和意義：
隨著互聯(lián)網(wǎng)技術(shù)的迅猛發(fā)展, 網(wǎng)絡(luò)自身的安全也越來越受到關(guān)注。網(wǎng)絡(luò)a全的一個主要威脅就是通過網(wǎng)絡(luò)對信息系統(tǒng)的入侵。據(jù)統(tǒng)計, 目前中國國內(nèi)有80%的網(wǎng)站有安全隱患,而20%的網(wǎng)站有嚴(yán)重的安全問題。此外,利用計算機網(wǎng)絡(luò)進(jìn)行的各類違法行為以每年30%的速度遞增,而已發(fā)現(xiàn)的黑客攻擊案只占總數(shù)的30%。入侵檢測作為一種積極主動的安全防護(hù)技術(shù),提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護(hù),在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截入侵。
從20世紀(jì)90年代到現(xiàn)在,入侵檢測系統(tǒng)的研發(fā)呈現(xiàn)出百家爭鳴的繁榮局面, 并在智能化和分布式兩個方向取得了長足的進(jìn)展。但現(xiàn)有的入侵檢測技術(shù)存在著嚴(yán)重的問題, 無法在應(yīng)用中提供有效的安全防御。其中絕大多數(shù)的科研成果雖然采用如人工智能、數(shù)據(jù)挖掘、神經(jīng)網(wǎng)絡(luò)等高深算法,但由于算法過于復(fù)雜、對設(shè)備要求過高、沒有有效的報警,而不能得到廣泛的應(yīng)用。
利用數(shù)字水
……（新文秘網(wǎng)http://www.120pk.cn省略768字，正式會員可完整閱讀）……　
究的另一熱點。第三代檢測技術(shù)主要是基于協(xié)議分析，協(xié)議分析的出現(xiàn)極大的減小了系統(tǒng)的統(tǒng)計量、虛警率和識別未知攻擊的能力。協(xié)議分析方法主要是重溫利用網(wǎng)絡(luò)協(xié)議特征的有序性特征來實現(xiàn)。通過協(xié)議分析可以減少計算量，發(fā)現(xiàn)任何不符合標(biāo)準(zhǔn)的網(wǎng)絡(luò)行為，可以檢測已知和未知的入侵行為。
從入侵檢測系統(tǒng)使用的技術(shù)策略上來看，目前熱門的技術(shù)主要是基于異常的入侵檢測、誤用的入侵檢測和混合檢測技術(shù)等。誤用檢測技術(shù)通過建立檢測模型，對用戶的操作行為與模型進(jìn)行匹配，匹配成功，就視該行為是網(wǎng)絡(luò)攻擊。誤用檢測技術(shù)的優(yōu)點是檢測已知攻擊的有效性 高、誤報率低，缺點是難識別未知攻擊行為，檢測依賴于系統(tǒng)的特征庫，因此漏報率一般較高，系統(tǒng)需要經(jīng)常升級。異常的入侵檢測技術(shù)是通過用戶行為與正常新我給之前的偏離來怕波段是否存在入侵，它的優(yōu)點是能夠檢測到一些未知入侵，缺點是誤報率較高，實現(xiàn)起來相當(dāng)困難，是現(xiàn)在研究的一關(guān)熱點。混合檢測方法是綜合誤用和異常檢測兩者的優(yōu)勢，在做出判斷之前，同時使用誤用模型和異常模型，因此判斷的結(jié)果可能會更加準(zhǔn)確和全面。從理論上講，混合檢測技術(shù)更好，但在兩種技術(shù)的融合上比誤用檢測技術(shù)更加困難，需要進(jìn)一步的深入研究。
從系統(tǒng)結(jié)構(gòu)看，入侵檢測系統(tǒng)有層次入侵檢測、通用入侵檢測和智能化的入侵檢測等。使用的技術(shù)是一些基于神經(jīng)網(wǎng)絡(luò)、統(tǒng)計和數(shù)據(jù)挖掘等分析技術(shù)。目前比較成熟的技術(shù)是層次化的入侵檢測系統(tǒng)，它的優(yōu)勢在于針對不同類別的攻擊可以采取不同的處理方式，不限于主機過著網(wǎng)絡(luò)數(shù)據(jù)，另外，層次化模型對攻擊特征庫的安全策略庫較為容易設(shè)計，檢測效率較高。
網(wǎng)絡(luò)入侵檢測防御的基礎(chǔ)是IDS，要確定使用什么樣的防御手段，只有先檢測到攻擊知道攻擊的種類和方法。目前國內(nèi)外對IDS的研究比較多，由于各種技術(shù)水平的限制，存在誤警率和重復(fù)故報警率較高的問題，IDS目前還是不成熟的產(chǎn)品。目前的入侵檢測的光劍技術(shù)都有各自的優(yōu)勢，但是發(fā)展單一，由于技術(shù)實現(xiàn)上的問題，異常檢測技術(shù)是目前應(yīng)用最多，主流技術(shù)的入侵檢測技術(shù)。Snort是一個典型的基于異常檢測技術(shù)的系統(tǒng)，一個較為標(biāo)準(zhǔn)化的入侵檢測系統(tǒng)，它先規(guī)則化處理網(wǎng)絡(luò)數(shù)據(jù)包，簡單的解析數(shù)據(jù)包，然后將解析后的數(shù)據(jù)與特征庫進(jìn)行模式匹配，這種方法的優(yōu)點是同一的標(biāo)準(zhǔn)化處理協(xié)議的字段特征，缺點是檢測效率比較低。協(xié)議分析技術(shù)是目前比較先進(jìn)的入侵檢測技術(shù)，其基礎(chǔ)也是通過對異常協(xié)議進(jìn)行分析，協(xié)議異常分析檢測技術(shù)通過監(jiān)控網(wǎng)絡(luò)狀態(tài)，分析網(wǎng)路協(xié)議，檢測網(wǎng)絡(luò)通信數(shù)據(jù)來判斷是否存在入侵。協(xié)議分析技術(shù)的優(yōu)點是能準(zhǔn)確定位特征攻擊，能彌補異常監(jiān)測中無法準(zhǔn)確判定的缺點，因此，結(jié)合協(xié)議分析技術(shù)，有針對性的匹配攻擊特征行為。
而對于網(wǎng)絡(luò)流水印技術(shù)，也叫流標(biāo)記(Flow Marking)技術(shù)，通過改變或調(diào)制發(fā)送端數(shù)據(jù)包的載荷(Payload) 、時間間隔(lnterval)、間隔到達(dá)時延(lnter-Packet Delay ， IPD) 和間隔重心(lnterval Centroid) 等信息或流量速率(Traffic Rate) 來嵌入水印，在接收端識別該水印，以達(dá)到關(guān)聯(lián)發(fā)送者和接收者關(guān)系的目的。目前，許多網(wǎng)絡(luò)流水印技術(shù)都主要借鑒并將多媒體水印思想應(yīng)用于網(wǎng)絡(luò)數(shù)據(jù)流中以檢測跳板和攻擊匿名。
當(dāng)網(wǎng)絡(luò)數(shù)據(jù)流經(jīng)過水印嵌入點(如路由器)時，嵌入器使用密鑰(Key)將水印進(jìn)行編碼，通過調(diào)制流量特征(如改變數(shù)據(jù)流的速度)嵌入該水印。嵌入水印后的標(biāo)記數(shù)據(jù)流在網(wǎng)絡(luò)傳輸時會遭受一些干擾和變形，如中間路由器(或匿名網(wǎng)絡(luò)、跳板等)的延遲、丟包或重傳數(shù)據(jù)包、包重組和時間擾亂等。最終，當(dāng)被擾亂之后的標(biāo)記數(shù)據(jù)流到達(dá)水印檢測點，檢測器使用與嵌入器同樣的密鑰(非盲檢測時，檢測器還需要標(biāo)記數(shù)據(jù)流嵌入水印前的相關(guān)信息)提取標(biāo)記數(shù)據(jù)流中的水印信息，如果與編碼時的水印一致，那么就認(rèn)為這兩條數(shù)據(jù)流之間存在關(guān)聯(lián)。
網(wǎng)絡(luò)流水印技術(shù)必須具有以下特點:(1)機密性(Secrecy);(2) 魯棒性(Robustnees);(3) 唯一性(Uniqueness);(4) 效率(Effecti ……（未完，全文共4270字，當(dāng)前僅顯示2157字，請閱讀下面提示信息。收藏《論文開題：網(wǎng)絡(luò)流量分析與入侵檢測系統(tǒng)》）