论文开题：网络流量分析与入侵检测系统

大学本科毕业论文(设计)开题报告
学院： 计算机科学与技术学院　 　 　专业班级：　2009级网络工程(1)

课题名称 网络流量分析与入侵检测系统

1、本课题的的研究目的和意义：
随着互联网技术的迅猛发展, 网络自身的安全也越来越受到关注。网络a全的一个主要威胁就是通过网络对信息系统的入侵。据统计, 目前中国国内有80%的网站有安全隐患,而20%的网站有严重的安全问题。此外,利用计算机网络进行的各类违法行为以每年30%的速度递增,而已发现的黑客攻击案只占总数的30%。入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截入侵。
从20世纪90年代到现在,入侵检测系统的研发呈现出百家争鸣的繁荣局面, 并在智能化和分布式两个方向取得了长足的进展。但现有的入侵检测技术存在着严重的问题, 无法在应用中提供有效的安全防御。其中绝大多数的科研成果虽然采用如人工智能、数据挖掘、神经网络等高深算法,但由于算法过于复杂、对设备要求过高、没有有效的报警,而不能得到广泛的应用。
利用数字水
……（新文秘网https://www.wm114.cn省略768字，正式会员可完整阅读）……　
究的另一热点。第三代检测技术主要是基于协议分析，协议分析的出现极大的减小了系统的统计量、虚警率和识别未知攻击的能力。协议分析方法主要是重温利用网络协议特征的有序性特征来实现。通过协议分析可以减少计算量，发现任何不符合标准的网络行为，可以检测已知和未知的入侵行为。
从入侵检测系统使用的技术策略上来看，目前热门的技术主要是基于异常的入侵检测、误用的入侵检测和混合检测技术等。误用检测技术通过建立检测模型，对用户的操作行为与模型进行匹配，匹配成功，就视该行为是网络攻击。误用检测技术的优点是检测已知攻击的有效性 高、误报率低，缺点是难识别未知攻击行为，检测依赖于系统的特征库，因此漏报率一般较高，系统需要经常升级。异常的入侵检测技术是通过用户行为与正常新我给之前的偏离来怕波段是否存在入侵，它的优点是能够检测到一些未知入侵，缺点是误报率较高，实现起来相当困难，是现在研究的一关热点。混合检测方法是综合误用和异常检测两者的优势，在做出判断之前，同时使用误用模型和异常模型，因此判断的结果可能会更加准确和全面。从理论上讲，混合检测技术更好，但在两种技术的融合上比误用检测技术更加困难，需要进一步的深入研究。
从系统结构看，入侵检测系统有层次入侵检测、通用入侵检测和智能化的入侵检测等。使用的技术是一些基于神经网络、统计和数据挖掘等分析技术。目前比较成熟的技术是层次化的入侵检测系统，它的优势在于针对不同类别的攻击可以采取不同的处理方式，不限于主机过着网络数据，另外，层次化模型对攻击特征库的安全策略库较为容易设计，检测效率较高。
网络入侵检测防御的基础是IDS，要确定使用什么样的防御手段，只有先检测到攻击知道攻击的种类和方法。目前国内外对IDS的研究比较多，由于各种技术水平的限制，存在误警率和重复故报警率较高的问题，IDS目前还是不成熟的产品。目前的入侵检测的光剑技术都有各自的优势，但是发展单一，由于技术实现上的问题，异常检测技术是目前应用最多，主流技术的入侵检测技术。Snort是一个典型的基于异常检测技术的系统，一个较为标准化的入侵检测系统，它先规则化处理网络数据包，简单的解析数据包，然后将解析后的数据与特征库进行模式匹配，这种方法的优点是同一的标准化处理协议的字段特征，缺点是检测效率比较低。协议分析技术是目前比较先进的入侵检测技术，其基础也是通过对异常协议进行分析，协议异常分析检测技术通过监控网络状态，分析网路协议，检测网络通信数据来判断是否存在入侵。协议分析技术的优点是能准确定位特征攻击，能弥补异常监测中无法准确判定的缺点，因此，结合协议分析技术，有针对性的匹配攻击特征行为。
而对于网络流水印技术，也叫流标记(Flow Marking)技术，通过改变或调制发送端数据包的载荷(Payload) 、时间间隔(lnterval)、间隔到达时延(lnter-Packet Delay ， IPD) 和间隔重心(lnterval Centroid) 等信息或流量速率(Traffic Rate) 来嵌入水印，在接收端识别该水印，以达到关联发送者和接收者关系的目的。目前，许多网络流水印技术都主要借鉴并将多媒体水印思想应用于网络数据流中以检测跳板和攻击匿名。
当网络数据流经过水印嵌入点(如路由器)时，嵌入器使用密钥(Key)将水印进行编码，通过调制流量特征(如改变数据流的速度)嵌入该水印。嵌入水印后的标记数据流在网络传输时会遭受一些干扰和变形，如中间路由器(或匿名网络、跳板等)的延迟、丢包或重传数据包、包重组和时间扰乱等。最终，当被扰乱之后的标记数据流到达水印检测点，检测器使用与嵌入器同样的密钥(非盲检测时，检测器还需要标记数据流嵌入水印前的相关信息)提取标记数据流中的水印信息，如果与编码时的水印一致，那么就认为这两条数据流之间存在关联。
网络流水印技术必须具有以下特点:(1)机密性(Secrecy);(2) 鲁棒性(Robustnees);(3) 唯一性(Uniqueness);(4) 效率(Effecti ……（未完，全文共4270字，当前仅显示2157字，请阅读下面提示信息。收藏《论文开题：网络流量分析与入侵检测系统》）