论文部分内容阅读
计算机网络技术的发展给人们的生活带来了巨大的方便,但是网络的开放性和共享性却容易使其受到攻击和破坏。为了保护计算机和网络的安全,人们开展了对网络安全防护技术的研究,入侵检测是继防火墙、数据加密等传统安全防护措施之后的又一种新的安全保障技术。据统计,目前国内的入侵检测产品以基于特征检测为主,占了整体的95%[1]。基于特征检测的入侵检测系统不仅误报率和漏报率居高不下,而且还存在着不能检测未知攻击和必须手工提取攻击模式等弊病。为了克服特征检测系统的不足,国内外的研究者们进行了多方面的研究,诸如数据挖掘、神经网络、人工免疫等等。但是这些方法或多或少存在着“边界锐化”的问题,而且它们大都不能主动灵活地对入侵行为作出响应。另外,目前这些方法主要处于研究阶段,成型的系统很少。本文研究了一种基于模糊理论的智能化入侵检测方法。模糊理论的主要思想是用一个界于0到1之间的数值表示元素隶属于某个集合的程度,从而克服了传统0、1划分机制的局限性,更符合人类的理性思维。基于对该方法的研究,本文用C语言在Linux下实现了入侵检测系统PIDS(Power Intrusion Detection System)。该系统运用模糊综合评判的方法并结合模糊端口检测技术检测入侵,检测数据源综合了主机系统日志和网络数据包。PIDS系统可以检测未知攻击,同时通过调用Linux内核的netfilter/iptables子系统对发现的攻击行为进行主动响应。模糊综合评判检测方法可以较为全面地综合网络入侵行为各个影响因素的共同作用,其检测结果能够较好地与实际情况相吻合。引入模糊端口检测技术,可以灵活而准确地介定扫描行为。此外,同时选取主机系统日志和网络数据包作为检测数据源增强了数据源的可信度,可帮助系统更及时准确地发现入侵行为。实验结果表明,PIDS系统可以及时有效地检测入侵。同时,对于发现的入侵行为,PIDS系统还可以采取一定的主动防御措施。