基于用户可信度的入侵检测系统论文

[请问做一个基于web的网上图书销售系统用什么技术呢]这个说来谈何容易啊，当然不是不能做的。你的嵌入式如果技术好的话，对这个系统不是问题。主要关注一下几点吧，个人建议： 1、数据库选择：可以搞mysql; 2、数据库表设计：不建议搞什么...+阅读

基于用户可信度的入侵检测系统论文

摘要】目前，国内外对入侵检测系统的探究已经取得了很大进展，但是还存在几个方面的难题：

（1）基于网络的入侵检测系统漏警率和网络性能之间的矛盾新问题；

（2）不同的入侵检测系统之间不能协同工作，难以对快速发展的网络提供平安保障；

（3）对网络入侵行为的响应策略不完善。这些新问题也是目前大部分入侵检测系统存在的缺陷，有效地解决这些新问题将对未来网络平安带来重大影响。对入侵检测系统的探究大部分集中在入侵检测技术上，但是仅从入侵检测技术上改善入侵检测系统并不能解决入侵检测系统所存在的所有新问题，必须考虑和其他的技术相结合共同解决这些新问题。本文就将信任模型探究和入侵检测技术相结合来解决入侵检测系统所存在的部分新问题。本文首次将信任模型引入入侵检测系统，并根据PKI信任模型及P2P对等网络信任探究提出了用户可信模型。这一模型非常适合用户和入侵检测系统间的信任探究，并根据用户可信模型及入侵检测系统原理提出了用户可信度的计算方法。本文也首次提出了基于用户可信度的误用入侵检测系统模型，该模型对入侵检测系统框架结构、签名匹配策略、协同及响应机制都进行了改进。鉴于CIDF框架结构中缺少对入侵等级划分...【来源】中国论文网

计算机毕业论文浅谈计算机网络安全维护中入侵检测技术的有效应用

入侵检测技术在维护计算机网络平安中的使用

（一）基于网络的入侵检测基于网络的入侵检测方式有基于硬件的，也有基于软件的，不过二者的任务流程是相反的。它们将网络接口的形式设置为混杂形式，以便于对全部流经该网段的数据停止时实监控，将其做出剖析，再和数据库中预定义的具有攻击特征做出比拟，从而将无害的攻击数据包辨认出来，做出呼应，并记载日志。 1.入侵检测的体系构造网络入侵检测的体系构造通常由三局部组成，辨别为Agent、Console以及Manager。其中Agent的作用是对网段内的数据包停止监视，找出攻击信息并把相关的数据发送至管理器；Console的次要作用是担任搜集代理处的信息，显示出所受攻击的信息，把找出的攻击信息及相关数据发送至管理器；Manager的次要作用则是呼应配置攻击正告信息，控制台所发布的命令也由Manager来执行，再把代理所收回的攻击正告发送至控制台。 2.入侵检测的任务形式基于网络的入侵检测，要在每个网段中部署多个入侵检测代理，依照网络构造的不同，其代理的衔接方式也各不相反。假如网段的衔接方式为总线式的集线器，则把代理与集线器中的某个端口相衔接即可；假如为替换式以太网替换机，由于替换机无法共享媒价，因而只采用一个代理对整个子网停止监听的方法是无法完成的。因而可以应用替换机中心芯片中用于调试的端口中，.bfblw.com 百分百论文网，，将入侵检测零碎与该端口相衔接。或许把它放在数据流的关键出入口，于是就可以获取简直全部的关键数据。 3.攻击呼应及晋级攻击特征库、自定义攻击特征假如入侵检测零碎检测出歹意攻击信息，其呼应方式有多种，例如发送电子邮件、记载日志、告诉管理员、查杀进程、切断会话、告诉管理员、启动触发器开端执行预设命令、取消用户的账号以及创立一个报告等等。晋级攻击特征库可以把攻击特征库文件经过手动或许自动的方式由相关的站点中下载上去，再应用控制台将其实时添加至攻击特征库中。而网络管理员可以依照单位的资源情况及其使用情况，以入侵检测零碎特征库为根底来自定义攻击特征，从而对单位的特定资源与使用停止维护。

（二）关于主机的入侵检测通常对主机的入侵检测会设置在被重点检测的主机上，从而对本主机的零碎审计日志、网络实时衔接等信息做出智能化的剖析与判别。假如开展可疑状况，则入侵检测零碎就会有针对性的采用措施。基于主机的入侵检测零碎可以详细完成以下功用：对用户的操作零碎及其所做的一切行为停止全程监控；继续评价零碎、使用以及数据的完好性，并停止自动的维护；创立全新的平安监控战略，实时更新；关于未经受权的行为停止检测，并收回报警，同时也可以执行预设好的呼应措施；将一切日志搜集起来并加以维护，留作后用。基于主机的入侵检测零碎关于主机的维护很片面细致，但要在网路中片面部署本钱太高。并且基于主机的入侵检测零碎任务时要占用被维护主机的处置资源，所以会降低被维护主机的功能。

简述入侵检测的过程

1.信息收集入侵检测的第一步是信息收集，内容包括网络流量的内容、用户连接活动的状态和行为。 2.信号分析对上述收集到的信息，一般通过三种技术手段进行分析：模式匹配，统计分析和完整性分析。其中前两种方法用于实时的入侵检测，而完整性分析则用于事后分析。具体的技术形式如下所述：1）.模式匹配模式匹配就是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。该过程可以很简单（如通过字符串匹配以寻找一个简单的条目或指令），也可以很复杂（如利用正规的数学表达式来表示安全状态的变化）。一般来讲，一种进攻模式可以用一个过程（如执行一条指令）或一个输出（如获得权限）来表示。该方法的一大优点是只需收集相关的数据集合，显著减少系统负担，且技术已相当成熟。

它与病毒防火墙采用的方法一样，检测准确率和效率都相当高。但是，该方法存在的弱点是需要不断的升级以对付不断出现的黑客攻击手法，不能检测到从未出现过的黑客攻击手段。2）.统计分析分析方法首先给信息对象（如用户、连接、文件、目录和设备等）创建一个统计描述，统计正常使用时的一些测量属性（如访问次数、操作失败次数和延时等）。测量属性的平均值将被用来与网络、系统的行为进行比较，任何观察值在正常偏差之外时，就认为有入侵发生。例如，统计分析可能标识一个不正常行为，因为它发现一个在晚八点至早六点不登录的帐户却在凌晨两点试图登录。其优点是可检测到未知的入侵和更为复杂的入侵，缺点是误报、漏报率高，且不适应用户正常行为的突然改变。

具体的统计分析方法如基于专家系统的、基于模型推理的和基于神经网络的分析方法，目前正处于研究热点和迅速发展之中。3）.完整性分析完整性分析主要关注某个文件或对象是否被更改，包括文件和目录的内容及属性，它在发现被更改的、被特络伊化的应用程序方面特别有效。完整性分析利用强有力的加密机制，称为消息摘要函数（例如MD5），能识别及其微小的变化。其优点是不管模式匹配方法和统计分析方法能否发现入侵，只要是成功的攻击导致了文件或其它对象的任何改变，它都能够发现。缺点是一般以批处理方式实现，不用于实时响应。这种方式主要应用于基于主机的入侵检测系统（HIDS）。 3.实时记录、报警或有限度反击 IDS根本的任务是要对入侵行为做出适当的反应，这些反应包括详细日志记录、实时报警和有限度的反击攻击源。...