序論：寫作是一種深度的自我表達。它要求我們深入探索自己的思想和情感，挖掘那些隱藏在內心深處的真相，好投稿為您帶來了七篇入侵檢測論文范文，愿它們成為您寫作過程中的靈感催化劑，助力您的創作。

篇(1)

入侵檢測系統（IDS）可以對系統或網絡資源進行實時檢測，及時發現闖入系統或網絡的入侵者，也可預防合法用戶對資源的誤操作。本論文從入侵檢測的基本理論和入侵檢測中的關鍵技術出發,主要研究了一個簡單的基于網絡的windows平臺上的個人入侵檢測系統的實現(PIDS，PersonalIntrusionDetectionSystem)。論文首先分析了當前網絡的安全現狀，介紹了入侵檢測技術的歷史以及當前入侵檢測系統的關鍵理論。分析了Windows的網絡體系結構以及開發工具Winpcap的數據包捕獲和過濾的結構。最后在Winpcap系統環境下實現本系統設計。本系統采用異常檢測技術，通過Winpcap截取實時數據包，同時從截獲的IP包中提取出概述性事件信息并傳送給入侵檢測模塊，采用量化分析的方法對信息進行分析。系統在實際測試中表明對于具有量化特性的網絡入侵具有較好的檢測能力。最后歸納出系統現階段存在的問題和改進意見,并根據系統的功能提出了后續開發方向。

關鍵詞：網絡安全；入侵檢測；數據包捕獲；PIDS

1.1網絡安全概述

1.1.1網絡安全問題的產生

可以從不同角度對網絡安全作出不同的解釋。一般意義上，網絡安全是指信息安全和控制安全兩部分。國際標準化組織把信息安全定義為“信息的完整性、可用性、保密性和可靠性”；控制安全則指身份認證、不可否認性、授權和訪問控制。

互聯網與生俱有的開放性、交互性和分散性特征使人類所憧憬的信息共享、開放、靈活和快速等需求得到滿足。網絡環境為信息共享、信息交流、信息服務創造了理想空間，網絡技術的迅速發展和廣泛應用，為人類社會的進步提供了巨大推動力。然而，正是由于互聯網的上述特性，產生了許多安全問題：

(1)信息泄漏、信息污染、信息不易受控。例如，資源未授權侵用、未授權信息流出現、系統拒絕信息流和系統否認等，這些都是信息安全的技術難點。

(2)在網絡環境中，一些組織或個人出于某種特殊目的，進行信息泄密、信息破壞、信息侵權和意識形態的信息滲透，甚至通過網絡進行政治顛覆等活動，使國家利益、社會公共利益和各類主體的合法權益受到威脅。

(3)網絡運用的趨勢是全社會廣泛參與，隨之而來的是控制權分散的管理問題。由于人們利益、目標、價值的分歧，使信息資源的保護和管理出現脫節和真空，從而使信息安全問題變得廣泛而復雜。

(4)隨著社會重要基礎設施的高度信息化，社會的“命脈”和核心控制系統有可能面臨更大的威脅。

1.1.2網絡信息系統面臨的安全威脅

目前網絡信息系統面臨的安全威脅主要有:

(1)非法使用服務:這種攻擊的目的在于非法利用網絡的能力，網絡上的非授權訪問應該是不可能的。不幸的是，用于在網絡上共享資源及信息的工具、程序存在許多安全漏洞，而利用了這些漏洞就可以對系統進行訪問了。

(2)身份冒充;這種攻擊的著眼點在于網絡中的信任關系，主要有地址偽裝IP欺騙和用戶名假冒。

(3)數據竊取:指所保護的重要數據被非法用戶所獲取，如入侵者利用電磁波輻射或搭線竊聽等方式截獲用戶口令、帳號等重要敏感信息。

(4)破壞數據完整性:指通過非法手段竊得系統一定使用權限，并刪除、修改、偽造某些重要信息，以干擾用戶的正常使用或便于入侵者的進一步攻擊。

1.1.3對網絡個人主機的攻擊

對方首先通過掃描來查找可以入侵的機器，即漏洞探測；接著確定該機器的IP地址；然后利用相應的攻擊工具發起某種攻擊。

篇(2)

關鍵詞:神經網絡系統入侵檢測系統網絡安全

入侵檢測作為一種主動防御技術,彌補了傳統安全技術的不足。其主要通過監控網絡與系統的狀態、用戶行為以及系統的使用情況,來檢測系統用戶的越權使用以及入侵者利用安全缺陷對系統進行入侵的企圖,并對入侵采取相應的措施。

一、入侵檢測系統概述

入侵檢測系統(IntrusionDetectionSystem,簡稱IDS)可以認為是進行入侵檢測過程時所需要配置的各種軟件和硬件的組合。對一個成功的入侵檢測系統來講,它不但可使系統管理員時刻了解計算機網絡系統(包括程序、文件和硬件設備等)的任何變更,還能給網絡安全策略的制訂提供指南。更為重要的一點是,對它的管理和配置應該更簡單,從而使非專業人員能非常容易地進行操作。而且,入侵檢測的規模還應根據網絡威脅、系統構造和安全需求的改變而改變。入侵檢測系統在發現入侵后,會及時做出響應,包括切斷網絡連接、記錄事件和報警等。

二、入侵檢測系統的功能

1.檢測入侵。檢測入侵行為是入侵檢測系統的核心功能,主要包括兩個方面:一方面是對進出主機或者網絡的數據進行監控,檢查是否存在對系統的異常行為;另一方面是檢查系統關鍵數據和文件的完整性,看系統是否己經遭到入侵行為。前者的作用是在入侵行為發生時及時發現,使系統免受攻擊;后者一般是在系統遭到入侵時沒能及時發現和阻止,攻擊的行為已經發生,但可以通過攻擊行為留下的痕跡了解攻擊行為的一些情況,從而避免再次遭受攻擊。對系統資源完整性的檢查也有利于我們對攻擊者進行追蹤,對攻擊行為進行取證。

2.抗欺騙。入侵檢測系統要識別入侵者,入侵者就會想方設法逃避檢測。逃避檢測的方法很多,總結起來可分為誤報和漏報兩大類。一種使入侵檢測系統誤報的實現形式,是快速告普信息的產生讓系統無法反應以致死機,這其實是通用的網絡攻擊方式一拒絕服務攻擊在入侵檢測系統上的體現。與誤報相比,漏報更具危險性,即躲過系統的檢測,使系統對某些攻擊方式失效。入侵檢測系統無法統一漏報和誤報的矛盾,目前的入侵檢測產品一般會在兩者間進行折衷,并且進行調整以適應不同的應用環境。

3.記錄、報警和響應。入侵檢測系統在檢測到攻擊后,應該采取相應的措施來阻止攻擊或者響應攻擊。作為一種主動防御策略,它必然應該具備此功能。入侵檢測系統首先應該記錄攻擊的基本情況,其次應該能夠及時發出報警。好的入侵檢測系統,不僅應該把相關數據記錄在文件或數據庫中,還應該提供好的報表打印功能。必要時,系統還應該采取必要的響應行為,如拒絕接受所有來自某臺計算機的數據、追蹤入侵行為等。

三、神經系統網絡在入侵檢測系統中的應用

目前計算機入侵的現狀是入侵的數量日益增長、入侵個體的入侵手段和目標系統多種多樣,因此要確切的描述入侵特征非常困難,入侵規則庫和模式庫的更新要求難以得到滿足,這就要求入侵檢測應該具有相當大的智能性和靈活性,這是多項人工智能技術被相繼應用到入侵檢測中的原因。

1.傳統入侵檢測中存在的問題。我們先來分析一下傳統IDS存在的問題。傳統IDS產品大多都是基于規則的,而這一傳統的檢測技術有一些難以逾越的障礙:

(1)在基于規則的入侵檢測系統中,所有的規則可理解為“IF一THEN”形式,也就是說,這一規則表述的是一種嚴格的線性關系,缺乏靈活性和適應性,當網絡數據出現信息不完整、變形失真或攻擊方法變化時,這種檢測方法將失效,因此引起較高的誤警率和漏報率。

(2)隨著攻擊類型的多樣化,必然導致規則庫中的規則不斷增多,當這些規則增加到一定程度,會引起系統檢測效率的顯著降低,在流量較高時,可造成丟包等現象。此外,攻擊方法的不斷發展,使得傳統的入侵檢測系統無法有效地預測和識別新的攻擊方法,使系統的適應性受到限制。

(3)傳統的用來描述用戶行為特征的度量一般是憑感覺和經驗的,這些度量是否能有效地描述用戶行為很難估計。有些度量當考慮所有用戶可能是無效的,但當考慮某些特別的用戶時,可能又非常有用。

2.神經網絡在入侵檢測中的應用

作為人工智能(AD)的一個重要分支,神經網絡在入侵檢測領域得到了很好的應用。神經網絡技術在入侵檢測系統中用來構造分類器,主要用于資料特征的分析,以發現是否為一種入侵行為。如果是一種入侵行為,系統將與已知入侵行為的特征進行比較,判斷是否為一種新的攻擊行為,從而決定是進行丟棄還是進行存盤、報警、發送資料特征等工作。神經網絡在入侵檢測中的具體實現方法一般有兩種:

(1)系統或模式匹配系統合并在一起

這種方法不是像以前一樣在異常檢測中用神經網絡代替現有的統計分析部分,而是用神經網絡來過濾出數據當中的可疑事件,并把這些事件轉交給專家系統處理。這種結構可以通過減少專家系統的誤報來提高檢測系統的效用。因為神經網絡將確定某一特別事件具有攻擊跡象的概率,我們就可以確定一個閩值來決定事件是否轉交給專家系統作進一步分析,這樣一來,由于專家系統只接收可疑事件的數據,它的靈敏度就會大大增加(通常,專家系統以犧牲靈敏度來減少誤報率)。這種結構對那些投資專家系統技術的機構大有好處,因為它提高了系統的效用,同時還保護了在現有IDS上的投資。

(2)網絡作為一個獨立的特征檢測系統

在這個結構中,神經網絡從網絡流中接受數據,并對數據進行分析。任何被識別為帶有攻擊跡象的事件都將被轉交給安全管理員或自動入侵應答系統來處理。這種方法在速度方面超過了以前的方法,因為它只有一個單獨的分析層。另外,隨著神經網絡對攻擊特征的學習,這種結構的效用也會不斷提高,它不同于第一種方法,不會受專家系統分析能力的限制,而最終將超越專家系統基于規則的種種限制。

參考文獻:

篇(3)

關鍵詞入侵檢測異常檢測誤用檢測

在網絡技術日新月異的今天，基于網絡的計算機應用已經成為發展的主流。政府、教育、商業、金融等機構紛紛聯入Internet，全社會信息共享已逐步成為現實。然而，近年來，網上黑客的攻擊活動正以每年10倍的速度增長。因此，保證計算機系統、網絡系統以及整個信息基礎設施的安全已經成為刻不容緩的重要課題。

1 防火墻

目前防范網絡攻擊最常用的方法是構建防火墻。

防火墻作為一種邊界安全的手段，在網絡安全保護中起著重要作用。其主要功能是控制對網絡的非法訪問，通過監視、限制、更改通過網絡的數據流，一方面盡可能屏蔽內部網的拓撲結構，另一方面對內屏蔽外部危險站點，以防范外對內的非法訪問。然而，防火墻存在明顯的局限性。

(1)入侵者可以找到防火墻背后可能敞開的后門。如同深宅大院的高大院墻不能擋住老鼠的偷襲一樣，防火墻有時無法阻止入侵者的攻擊。

(2)防火墻不能阻止來自內部的襲擊。調查發現，50％的攻擊都將來自于網絡內部。

(3)由于性能的限制，防火墻通常不能提供實時的入侵檢測能力。畢業論文 而這一點，對于層出不窮的網絡攻擊技術來說是至關重要的。

因此，在Internet入口處部署防火墻系統是不能確保安全的。單純的防火墻策略已經無法滿足對安全高度敏感部門的需要，網絡的防衛必須采用一種縱深的、多樣化的手段。

由于傳統防火墻存在缺陷，引發了入侵檢測IDS(Intrusion Detection System)的研究和開發。入侵檢測是防火墻之后的第二道安全閘門，是對防火墻的合理補充，在不影響網絡性能的情況下，通過對網絡的監測，幫助系統對付網絡攻擊，擴展系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應)，提高信息安全基礎結構的完整性，提供對內部攻擊、外部攻擊和誤操作的實時保護。現在，入侵檢測已經成為網絡安全中一個重要的研究方向，在各種不同的網絡環境中發揮重要作用。

2 入侵檢測

2．1 入侵檢測

入侵檢測是通過從計算機網絡系統中的若干關鍵點收集信息并對其進行分析，從中發現違反安全策略的行為和遭到攻擊的跡象，并做出自動的響應。其主要功能是對用戶和系統行為的監測與分析、系統配置和漏洞的審計檢查、重要系統和數據文件的完整性評估、已知的攻擊行為模式的識別、異常行為模式的統計分析、操作系統的審計跟蹤管理及違反安全策略的用戶行為的識別。入侵檢測通過迅速地檢測入侵，在可能造成系統損壞或數據丟失之前，識別并驅除入侵者，使系統迅速恢復正常工作，并且阻止入侵者進一步的行動。同時，收集有關入侵的技術資料，用于改進和增強系統抵抗入侵的能力。

入侵檢測可分為基于主機型、基于網絡型、基于型三類。從20世紀90年代至今，英語論文 已經開發出一些入侵檢測的產品，其中比較有代表性的產品有ISS(Intemet Security System)公司的Realsecure，NAI(Network Associates，Inc)公司的Cybercop和Cisco公司的NetRanger。

2．2 檢測技術

入侵檢測為網絡安全提供實時檢測及攻擊行為檢測，并采取相應的防護手段。例如，實時檢測通過記錄證據來進行跟蹤、恢復、斷開網絡連接等控制；攻擊行為檢測注重于發現信息系統中可能已經通過身份檢查的形跡可疑者，進一步加強信息系統的安全力度。入侵檢測的步驟如下：

收集系統、網絡、數據及用戶活動的狀態和行為的信息

入侵檢測一般采用分布式結構，在計算機網絡系統中的若干不同關鍵點(不同網段和不同主機)收集信息，一方面擴大檢測范圍，另一方面通過多個采集點的信息的比較來判斷是否存在可疑現象或發生入侵行為。

入侵檢測所利用的信息一般來自以下4個方面：系統和網絡日志文件、目錄和文件中的不期望的改變、程序執行中的不期望行為、物理形式的入侵信息。

(2)根據收集到的信息進行分析

常用的分析方法有模式匹配、統計分析、完整性分析。模式匹配是將收集到的信息與已知的網絡入侵和系統誤用模式數據庫進行比較，從而發現違背安全策略的行為。

統計分析方法首先給系統對象(如用戶、文件、目錄和設備等)創建一個統計描述，統計正常使用時的一些測量屬性。測量屬性的平均值將被用來與網絡、系統的行為進行比較。當觀察值超出正常值范圍時，就有可能發生入侵行為。該方法的難點是閾值的選擇，閾值太小可能產生錯誤的入侵報告，閾值太大可能漏報一些入侵事件。

完整性分析主要關注某個文件或對象是否被更改，包括文件和目錄的內容及屬性。該方法能有效地防范特洛伊木馬的攻擊。

3 分類及存在的問題

入侵檢測通過對入侵和攻擊行為的檢測，查出系統的入侵者或合法用戶對系統資源的濫用和誤用。工作總結 根據不同的檢測方法，將入侵檢測分為異常入侵檢測(Anomaly Detection)和誤用人侵檢測(Misuse Detection)。

3．1 異常檢測

又稱為基于行為的檢測。其基本前提是：假定所有的入侵行為都是異常的。首先建立系統或用戶的“正常”行為特征輪廓，通過比較當前的系統或用戶的行為是否偏離正常的行為特征輪廓來判斷是否發生了入侵。此方法不依賴于是否表現出具體行為來進行檢測，是一種間接的方法。

常用的具體方法有：統計異常檢測方法、基于特征選擇異常檢測方法、基于貝葉斯推理異常檢測方法、基于貝葉斯網絡異常檢測方法、基于模式預測異常檢測方法、基于神經網絡異常檢測方法、基于機器學習異常檢測方法、基于數據采掘異常檢測方法等。

采用異常檢測的關鍵問題有如下兩個方面：

(1)特征量的選擇

在建立系統或用戶的行為特征輪廓的正常模型時，選取的特征量既要能準確地體現系統或用戶的行為特征，又能使模型最優化，即以最少的特征量就能涵蓋系統或用戶的行為特征。

(2)參考閾值的選定

由于異常檢測是以正常的特征輪廓作為比較的參考基準，因此，參考閾值的選定是非常關鍵的。

閾值設定得過大，那漏警率會很高；閾值設定的過小，則虛警率就會提高。合適的參考閾值的選定是決定這一檢測方法準確率的至關重要的因素。

由此可見，異常檢測技術難點是“正?！毙袨樘卣鬏喞拇_定、特征量的選取、特征輪廓的更新。由于這幾個因素的制約，異常檢測的虛警率很高，但對于未知的入侵行為的檢測非常有效。此外，由于需要實時地建立和更新系統或用戶的特征輪廓，這樣所需的計算量很大，對系統的處理性能要求很高。

3．2 誤用檢測

又稱為基于知識的檢測。其基本前提是：假定所有可能的入侵行為都能被識別和表示。首先，留學生論文 對已知的攻擊方法進行攻擊簽名(攻擊簽名是指用一種特定的方式來表示已知的攻擊模式)表示，然后根據已經定義好的攻擊簽名，通過判斷這些攻擊簽名是否出現來判斷入侵行為的發生與否。這種方法是依據是否出現攻擊簽名來判斷入侵行為，是一種直接的方法。

常用的具體方法有：基于條件概率誤用入侵檢測方法、基于專家系統誤用入侵檢測方法、基于狀態遷移分析誤用入侵檢測方法、基于鍵盤監控誤用入侵檢測方法、基于模型誤用入侵檢測方法。誤用檢測的關鍵問題是攻擊簽名的正確表示。

誤用檢測是根據攻擊簽名來判斷入侵的，根據對已知的攻擊方法的了解，用特定的模式語言來表示這種攻擊，使得攻擊簽名能夠準確地表示入侵行為及其所有可能的變種，同時又不會把非入侵行為包含進來。由于多數入侵行為是利用系統的漏洞和應用程序的缺陷，因此，通過分析攻擊過程的特征、條件、排列以及事件間的關系，就可具體描述入侵行為的跡象。這些跡象不僅對分析已經發生的入侵行為有幫助，而且對即將發生的入侵也有預警作用。

誤用檢測將收集到的信息與已知的攻擊簽名模式庫進行比較，從中發現違背安全策略的行為。由于只需要收集相關的數據，這樣系統的負擔明顯減少。該方法類似于病毒檢測系統，其檢測的準確率和效率都比較高。但是它也存在一些缺點。

3．2．1 不能檢測未知的入侵行為

由于其檢測機理是對已知的入侵方法進行模式提取，對于未知的入侵方法就不能進行有效的檢測。也就是說漏警率比較高。

3．2．2 與系統的相關性很強

對于不同實現機制的操作系統，由于攻擊的方法不盡相同，很難定義出統一的模式庫。另外，誤用檢測技術也難以檢測出內部人員的入侵行為。

目前，由于誤用檢測技術比較成熟，多數的商業產品都主要是基于誤用檢測模型的。不過，為了增強檢測功能，不少產品也加入了異常檢測的方法。

4 入侵檢測的發展方向

隨著信息系統對一個國家的社會生產與國民經濟的影響越來越大，再加上網絡攻擊者的攻擊工具與手法日趨復雜化，信息戰已逐步被各個國家重視。近年來，入侵檢測有如下幾個主要發展方向：

4．1 分布式入侵檢測與通用入侵檢測架構

傳統的IDS一般局限于單一的主機或網絡架構，對異構系統及大規模的網絡的監測明顯不足，再加上不同的IDS系統之間不能很好地協同工作。為解決這一問題，需要采用分布式入侵檢測技術與通用入侵檢測架構。

4．2應用層入侵檢測

許多入侵的語義只有在應用層才能理解，然而目前的IDS僅能檢測到諸如Web之類的通用協議，而不能處理Lotus Notes、數據庫系統等其他的應用系統。許多基于客戶／服務器結構、中間件技術及對象技術的大型應用，也需要應用層的入侵檢測保護。

4．3 智能的入侵檢測

入侵方法越來越多樣化與綜合化，盡管已經有智能體、神經網絡與遺傳算法在入侵檢測領域應用研究，但是，這只是一些嘗試性的研究工作，需要對智能化的IDS加以進一步的研究，以解決其自學習與自適應能力。

4．4 入侵檢測的評測方法

用戶需對眾多的IDS系統進行評價，評價指標包括IDS檢測范圍、系統資源占用、IDS自身的可靠性，從而設計出通用的入侵檢測測試與評估方法與平臺，實現對多種IDS的檢測。

4．5 全面的安全防御方案

結合安全工程風險管理的思想與方法來處理網絡安全問題，將網絡安全作為一個整體工程來處理。從管理、網絡結構、加密通道、防火墻、病毒防護、入侵檢測多方位全面對所關注的網絡作全面的評估，然后提出可行的全面解決方案。

綜上所述，入侵檢測作為一種積極主動的安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護，使網絡系統在受到危害之前即攔截和響應入侵行為，為網絡安全增加一道屏障。隨著入侵檢測的研究與開發，并在實際應用中與其它網絡管理軟件相結合，使網絡安全可以從立體縱深、多層次防御的角度出發，形成人侵檢測、網絡管理、網絡監控三位一體化，從而更加有效地保護網絡的安全。

參考文獻

l 吳新民．兩種典型的入侵檢測方法研究．計算機工程與應用，2002；38(10)：181—183

2 羅妍，李仲麟，陳憲．入侵檢測系統模型的比較．計算機應用，2001；21(6)：29～31

3 李渙洲．網絡安全與入侵檢測技術．四川師范大學學報．2001；24(3)：426—428

4 張慧敏，何軍，黃厚寬．入侵檢測系統．計算機應用研究，2001；18(9)：38—4l

篇(4)

摘要:入侵檢測系統與其他網絡安全設備的不同之處便在于，ids是一種積極主動的安全防護技術。生物免疫系統是機體保護自身的一種防御性結構，入侵檢測系統與生物免疫系統有著許多相似之處。論文在簡要介紹免疫機理在入侵檢測研究現狀的基礎上，著重探討一種針對當前計算機及其網絡運行的人工免疫系統（artificialimmunesystem，ais）的理論模型，以及一種基于免疫機理的入侵檢測系統的多子系統、多的體系結構。

目前，開放式網絡環境使人們充分享受著數字化，信息化給人們日常的工作生活學習帶來的巨大便利,也因此對計算機網絡越來越強的依賴性，與此同時,各種針對網絡的攻擊與破壞日益增多，成為制約網絡技術發展的一大障礙。傳統的安全技術并不能對系統是否真的沒有被入侵有任何保證。入侵檢測系統已經成為信息網絡安全其必不可少的一道防線。

人體內有一個免疫系統，它是人體抵御病原菌侵犯最重要的保衛系統，主要手段是依靠自身的防御體系和免疫能力。一些學者試圖學習和模仿生物機體的這種能力，將其移植到計算機網絡安全方面。相關研究很多都基于生物免疫系統的體系結構和免疫機制[5]?；诿庖呃碚摰难芯恳阎饾u成為目前人們研究的一個重要方向，其研究成果將會為計算機網絡安全提供一條新的途徑。

一、入侵檢測簡介

入侵即入侵者利用主機或網絡中程序的漏洞，對特權程序進行非法或異常的調用，使外網攻擊者侵入內網獲取內網的資源。入侵檢測即是檢測各種非法的入侵行為。入侵檢測提供了對網絡的實時保護，在系統受到危害時提前有所作為。入侵檢測嚴密監視系統的各種不安全的活動，識別用戶不安全的行為。入侵檢測應付各種網絡攻擊，提高了用戶的安全性。入侵檢測[4]技術就是為保證網路系統的安全而設計的一種可以檢測系統中異常的、不安全的行為的技術。

二、基于免疫機理的入侵檢測系統

（一）入侵檢測系統和自然免疫系統用四元函數組來定義一個自然免疫系統∑nis[5]，∑nis=(xnis,ωnis,ynis,gnis)xnis是輸入，它為各種類型的抗原，令z表示所有抗原，抗原包括自身蛋白集合和病原體集合這兩個互斥的集合，即，用w表示自身蛋白集合，nw表示病原體集合，有s∪nw=z，w=ynis是輸出，只考慮免疫系統對病原體的識別而不計免疫效應，ynis取0或1，分別表示自然免疫系統判別輸入時的自身或非自身。

gnis是一個自然免疫系統輸入輸出之間的非線性關系函數，則有ynis=gnis(xnis)=ωnis為自然免疫系統的內部組成。而根據系統的定義，入侵檢測系統可以表示為∑ids=(xids,ωids,yids,gids)

式中，xids是入侵檢測系統的輸入。令m表示是整個論域，整個論域也可以劃分成為兩個互斥的集合即入侵集合，表示為i和正常集合表示﹁i，有i∪﹁i=m，i∩﹁i=輸入xids，輸出yids，此時入侵檢測系統具有報警s和不報警﹁a兩種狀態，報警用1表示，不報警用0表示。

gids表示輸入與輸出之間的非線性函數關系，則有yids=gids(xids)=ωids是自然免疫系統的內部組成。不同種類的檢測系統具有不同的ωids，產生不同的ωids，從而將輸入向量映射到輸出。

（二）基于自然免疫機理的入侵檢測系統的設計

自然免疫系統是一個識別病原菌的系統，與網絡入侵檢測系統有很多類似之處，因此自然免疫系統得到一個設計網絡入侵檢測系統的啟發，我們先來研究自然入侵檢測系統的動態防護性、檢測性能、自適應性以及系統健壯性這四個特性[5]。

1.動態防護性。

自然免疫系統可以用比較少的資源完成相對復雜的檢測任務。人體約有1016種病原體需要識別，自然免疫系統采用動態防護，任一時刻，淋巴檢測器只能檢測到病原體的一個子集，但淋巴檢測器每天都會及時更新，所以每天檢測的病原體是不同的，淋巴細胞的及時更新，來應對當前的待檢病原體。

2.檢測性能。

自然免疫系統具有非常強的低預警率和高檢測率。之所以具有這樣好的檢測性能，是因為自然免疫系統具有多樣性、多層次、異常檢測能力、獨特性等多種特性。

3.自適應性。

自然免疫系統具有良好的自適應性，檢測器一般情況下能夠檢測到頻率比較高的攻擊規則，很少或基本根本沒有檢測到入侵的規則，將會被移出常用檢測規則庫，這樣就會使得規則庫中的規則一直可以檢測到經常遇到的攻擊。基于免疫機理的入侵檢測系統采用異常檢測方法檢測攻擊，對通過異常檢測到的攻擊提取異常特征形成新的檢測規則，當這些入侵再次出現時直接通過規則匹配直接就可以檢測到。

4.健壯性。

自然免疫系統采用了高度分布式的結構，基于免疫機理研究出的入侵檢測系統也包含多個子系統和大量遍布整個系統的檢測，每個子系統或檢測僅能檢測某一個或幾類入侵，而多個子系統或大量檢測器的集合就能檢測到大多數入侵，少量幾個的失效，不會影響整個系統的檢測能力[4]。

（三）基于免疫機理的入侵檢測系統體系架構

根據上述所討論的思想，現在我們提出基于免疫機理的入侵檢測系統aiids[1]，包括如下四個組成部分：

1.主機入侵檢測子系統。

其入侵信息來源于被監控主機的日志。它由多個組成，主要監控計算機網絡系統的完整保密以及可用性等方面。

2.網絡入侵子系統。

其入侵信息來源于局域網的通信數據包。該數據包一般位于網絡節點處，網絡入侵子系統首先對數據包的ip和tcp包頭進行解析，然后收集數據組件、解析包頭和提取組件特征、生成抗體和組件的檢測、協同和報告、優化規則、掃描攻擊以及檢測機遇協議漏洞的攻擊和拒絕服務攻擊等。

3.網絡節點入侵子系統。

其入侵信息來源于網絡的通信數據包，網絡節點入侵子系統監控網絡節點的數據包，對數據包進行解碼和分析。他包括多個應用層，用來檢測應用層的各種攻擊。

4.控制臺。

有各種信組件，包括交互組件以及通信組件，交互組件用于顯示當前被檢查的網絡系統的各種安全狀況，通信組件用于與子系統進行通信聯絡[5]。

篇(5)

論文摘要：網絡的入侵取證系統是對網絡防火墻合理的補充，是對系統管理員安全管理的能力的擴展，可使網絡安全的基礎結構得到完整性的提高。通過采集計算機網絡系統的相關一系列關鍵點信息，并系統分析，來檢測網絡是否存在違反了安全策略行為及遭到襲擊的現象。隨著計算機的普及，有計算機引發的案件也越發頻繁，該文即針對計算機基于網絡動態的網絡入侵取證作進一步的探討。 

計算機網絡的入侵檢測，是指對計算機的網絡及其整體系統的時控監測，以此探查計算機是否存在違反安全原則的策略事件。目前的網絡入侵檢測系統，主要用于識別計算機系統及相關網絡系統，或是擴大意義的識別信息系統的非法攻擊，包括檢測內部的合法用戶非允許越權從事網絡非法活動和檢測外界的非法系統入侵者的試探行為或惡意攻擊行為。其運動的方式也包含兩種，為目標主機上的運行來檢測其自身通信的信息和在一臺單獨機器上運行從而能檢測所有的網絡設備通信的信息，例如路由器、hub等。 

1 計算機入侵檢測與取證相關的技術 

1.1 計算機入侵檢測 

入侵取證的技術是在不對網絡的性能產生影響的前提下，對網絡的攻擊威脅進行防止或者減輕。一般來說，入侵檢測的系統包含有數據的收集、儲存、分析以及攻擊響應的功能。主要是通過對計算機的網絡或者系統中得到的幾個關鍵點進行信息的收集和分析，以此來提早發現計算機網絡或者系統中存在的違反安全策略行為以及被攻擊跡象。相較于其他的一些產品，計算機的入侵檢測系統需要更加多的智能，需要對測得數據進行分析，從而得到有用的信息。 

計算機的入侵檢測系統主要是對描述計算機的行為特征，并通過行為特征對行為的性質進行準確判定。根據計算機所采取的技術，入侵檢測可以分為特征的檢測和異常的檢測；根據計算機的主機或者網絡，不同的檢測對象，分為基于主機和網絡的入侵檢測系統以及分布式的入侵檢測系統；根據計算機不同的工作方式，可分為離線和在線檢測系統。計算機的入侵檢測就是在數以億記的網絡數據中探查到非法入侵或合法越權行為的痕跡。并對檢測到的入侵過程進行分析，將該入侵過程對應的可能事件與入侵檢測原則規則比較分析，最終發現入侵行為。按照入侵檢測不同實現的原來，可將其分為基于特征或者行為的檢測。 

1.2 計算機入侵取證 

在中國首屆計算機的取證技術峰會上指出，計算機的入侵取證學科是計算機科學、刑事偵查學以及法學的交叉學科，但由于計算機取證學科在我國屬于新起步階段，與發達國家在技術研究方面的較量還存在很大差距，其中，計算機的電子數據的取證存在困難的局面已經對部分案件的偵破起到阻礙作用。而我國的計算機的電子數據作為可用證據的立法項目也只是剛剛起步，同樣面臨著計算機的電子數據取證相關技術不成熟，相關標準和方法等不足的窘境。 

計算機的入侵取證工作是整個法律訴訟過程中重要的環節，此過程中涉及的不僅是計算機領域，同時還需滿足法律要求。因而，取證工作必須按照一定的即成標準展開，以此確保獲得電子數據的證據，目前基本需要把握以下幾個原則：實時性的原則、合法性的原則、多備份的原則、全面性的原則、環境原則以及嚴格的管理過程。 

2 基于網絡動態的入侵取證系統的設計和實現 

信息科技近年來得到迅猛發展，同時帶來了日益嚴重的計算機犯罪問題，靜態取證局限著傳統計算機的取證技術，使得其證據的真實性、及時性及有效性等實際要求都得不到滿足。為此，提出了新的取證設想，即動態取證，來實現網絡動態狀況下的計算機系統取證。此系統與傳統取證工具不同，其在犯罪行為實際進行前和進行中開展取證工作，根本上避免取證不及時可能造成德證據鏈缺失?；诰W絡動態的取證系統有效地提高了取證工作效率，增強了數據證據時效性和完整性。 

2.1 計算機的入侵取證過程 

計算機取證，主要就是對計算機證據的采集，計算機證據也被稱為電子證據。一般來說，電子證據是指電子化的信息數據和資料，用于證明案件的事實，它只是以數字形式在計算機系統中存在，以證明案件相關的事實數據信息，其中包括計算機數據的產生、存儲、傳輸、記錄、打印等所有反映計算機系統犯罪行為的電子證據。

就目前而言，由于計算機法律、技術等原因限制，國內外關于計算機的取證主要還是采用事后取證方式。即現在的取證工作仍將原始數據的收集過程放在犯罪事件發生后，但計算機的網絡特性是許多重要數據的存儲可能在數據極易丟失的存儲器中；另外，黑客入侵等非法網絡犯罪過程中，入侵者會將類似系統日志的重要文件修改、刪除或使用反取證技術掩蓋其犯罪行徑。同時，2004年fbi/csi的年度計算機報告也顯示，企業的內部職員是計算機安全的最大威脅，因職員位置是在入侵檢測及防火墻防護的系統內的，他們不需要很高的權限更改就可以從事犯罪活動。 

2.2 基于網絡動態的計算機入侵取證系統設計 

根據上文所提及的計算機入侵的取證缺陷及無法滿足實際需要的現狀，我們設計出新的網絡動態狀況下的計算機入侵的取證系統。此系統能夠實現將取證的工作提前至犯罪活動發生之前或者進行中時，還能夠同時兼顧來自于計算機內、外犯罪的活動，獲得盡可能多的相關犯罪信息?；诰W絡動態的取證系統和傳統的取證系統存在的根本差別在于取證工作的開展時機不同，基于分布式策略的動態取證系統，可獲得全面、及時的證據，并且可為證據的安全性提供更加有效的保障。 

此外，基于網絡動態的入侵取證系統在設計初始就涉及了兩個方面的取證工作。其一是攻擊計算機本原系統的犯罪行為，其二是以計算機為工具的犯罪行為（或說是計算機系統越權使用的犯罪行為）。系統采集網絡取證和取證兩個方面涉及的這兩個犯罪的電子證據，并通過加密傳輸的模塊將采集到的電子證據傳送至安全的服務器上，進行統一妥善保存，按其關鍵性的級別進行分類，以方便后續的分析查詢活動。并對已獲電子證據以分析模塊進行分析并生成報告備用。通過管理控制模塊完成對整個系統的統一管理，來確保系統可穩定持久的運行。 

2.3 網絡動態狀況下的計算機入侵取證系統實現 

基于網絡動態計算機的入侵取證系統，主要是通過網絡取證機、取證、管理控制臺、安全服務器、取證分析機等部分組成。整個系統的結構取證，是以被取證機器上運行的一個長期服務的守護程序的方式來實現的。該程序將對被監測取證的機器的系統日志文件長期進行不間斷采集，并配套相應得鍵盤操作和他類現場的證據采集。最終通過安全傳輸的方式將已獲電子數據證據傳輸至遠程的安全服務器，管理控制臺會即刻發送指令知道操作。 

網絡取證機使用混雜模式的網絡接口，監聽所有通過的網絡數據報。經協議分析，可捕獲、匯總并存儲潛在證據的數據報。并同時添加“蜜罐”系統，發現攻擊行為便即可轉移進行持續的證據獲取。安全服務器是構建了一個開放必要服務器的系統進行取證并以網絡取證機將獲取的電子證據進行統一保存。并通過加密及數字簽名等技術保證已獲證據的安全性、一致性和有效性。而取證分析機是使用數據挖掘的技術深入分析安全服務器所保存的各關鍵類別的電子證據，以此獲取犯罪活動的相關信息及直接證據，并同時生成報告提交法庭。管理控制臺為安全服務器及取證提供認證，以此來管理系統各個部分的運行。 

基于網絡動態的計算機入侵取證系統，不僅涉及本網絡所涵蓋的計算機的目前犯罪行為及傳統計算機的外部網絡的犯罪行為，同時也獲取網絡內部的、將計算機系統作為犯罪工具或越權濫用等犯罪行為的證據。即取證入侵系統從功能上開始可以兼顧內外部兩方面。基于網絡動態的計算機入侵取證系統，分為證據獲取、傳輸、存儲、分析、管理等五大模塊。通過各個模塊間相互緊密協作，真正良好實現網絡動態的計算機入侵取證系統。 

3 結束語 

隨著信息科學技術的迅猛發展，給人們的生活和工作方式都帶來了巨大的變化，也給犯罪活動提供了更廣闊的空間和各種新手段。而基于網絡動態的計算機入侵取證系統，則通過解決傳統計算機的入侵取證系統瓶頸技術的完善，在犯罪活動發生前或進行中便展開電子取證工作，有效彌補了計算機網絡犯罪案件中存在的因事后取證導致的證據鏈不足或缺失。全面捕獲證據，安全傳輸至遠程安全服務器并統一妥善保存，且最終分析獲得結論以報告的形式用于法律訴訟中。但是作為一門新興的學科，關于計算機取證的具體標準及相關流程尚未完善，取證工作因涉及學科多且涵蓋技術項目廣，仍需不斷的深入研究。 

參考文獻： 

[1] 魏士靖.計算機網絡取證分析系統[d].無錫:江南大學,2006. 

[2] 李曉秋.基于特征的高性能網絡入侵檢測系統[d].鄭州:中國信息工程大學,2003. 

[3] 史光坤.基于網絡的動態計算機取證系統設計與實現[d].長春:吉林大學,2007. 

篇(6)

論文摘要： 從現有安全設施來看，TDCS網絡系統安全體系初步形成。但是，隨著計算機網絡的日益普及，各種安全威脅和計算機病毒也隨之而來?，F有的網絡安全系統雖然起到一定的防護作用，但并不能完全解決整個骨干網絡的系統安全問題。因此，擬采用基于遺傳算法和神經網絡的入侵檢測技術，結合遺傳算法和神經網絡各自的優點，加強對TDCS網絡的監視和防護。

1 TDCS網絡安全狀況

1.1 TDCS網絡安全現狀

TDCS（TrainOperation Dispatching Command System）是覆蓋全路的列車調度指揮管理系統，分為鐵道部、鐵路局和車站三級建設，能及時、準確地為全路各級調度指揮管理人員提供現代化的調度指揮手段和平臺，是鐵路運輸調度指揮現代化建設的標志。但是，隨著計算機網絡的日益普及，各種安全威脅和計算機病毒也隨之而來，這就導致TDCS網絡存在著安全隱患。

1.2 TDCS網絡安全存在的問題

在TDCS網絡中主要存在著以下幾方面安全問題：1）間接來自于互聯網的病毒威脅；2）操作系統的安全威脅；3）應用軟件的安全威脅；4）計算機設置的安全隱患；5）實時監控能力弱。

2 TDCS網絡安全防護

2.1 TDCS網絡目前采取的安全防護措施

針對TDCS網絡存在的安全問題，結合各種技術和方法，目前全路系統信息安全防護體系采取的措施有：

1）防火墻系統。防火墻技術是實現子網邊界安全的重要技術。首先路由器將對網絡層安全進行初步保證，但路由器的訪問控制列表只能作為防火墻系統的一個重要補充，只能通過防火墻系統來實現復雜的安全控制。

2）身份認證系統。由于TDCS人員結構復雜，用戶眾多，安全意識參差不齊，所以用戶的工作內容也不盡相同，對于如此重要的系統，目前采用的以靜態密碼為主的身份認證系統帶來的安全威脅是非常嚴重的，會造成比較大的安全風險。為了解決此類安全隱患，實用動態口令對TDCS用戶進行身份認證是非常必要的。

3）網絡防病毒系統。根據對病毒來源的分析，TDCS網絡防病毒系統主要體現在以下三個方面：第一，防病毒集中統一管理，就是在鐵路局內部安裝防病毒軟件管理系統，對所有客戶端防病毒軟件進行統一管理；第二，服務器病毒防護，就是對各種服務器進行病毒掃描和清除；第三，桌面防毒防護，就是對各項桌面系統軟件進行病毒掃描和清楚。

4）入侵檢測系統。入侵檢測的主要功能是控制對網絡的非法控制，通過監視、限制通過網絡的數據流，防止外對內、內對外的非法訪問，隔離內部網和外部網，為監視TDCS局域網安全提供便利。

5）安全漏洞評估系統。

2.2 TDCS網絡采用入侵檢測進行防護的好處

通過以上介紹，我們不難發現，在TDCS網絡安全體系中，入侵檢測系統是唯一一個通過數據和行為模式判斷其是否有效的系統。

形象地說，入侵檢測系統就是網絡攝像機，能夠捕獲并記錄網絡上的所有數據，同時它也是智能攝像機，能夠分析網絡數據并提煉出可疑的、異常的網絡數據，它還是X光攝像機，能夠穿透一些巧妙的偽裝，抓住實際的內容。此外，它還是保安員的攝像機，能夠對入侵行為自動地進行反擊，如阻斷連接。

在TDCS網絡中引入入侵檢測技術，主要是實現對網絡的非法控制，通過監視、限制通過網絡的數據流，給網絡系統提供對外部攻擊、內部攻擊和誤操作的安全保護，為監視TDCS局域網安全提供更多便利。

3 基于遺傳算法和神經網絡的入侵檢測系統

3.1 傳統的IDS存在的問題

1）準確性差。傳統的統計方法需要依賴于一些假設，如審計數據（或用戶行為）的分布符合高斯分布，實際上用戶行為具有隨機性，這些假設有時可能無效，從而導致較高的錯誤率。

2）靈活性差。傳統的IDS對攻擊特征的刻畫只能是某些固定的序列，但現實中的入侵者利用的手段往往是有變化的，而要在入侵模式庫中反映出所有可能的變化是不可能的。

3）適應性差。入侵者的攻擊方法是在不斷發展的，但傳統的入侵檢測系統無法有效地預測和識別新的攻擊方法，使系統的適應性受到限制。

3.2 采用基于遺傳算法的神經網絡IDS的好處

將遺傳算法全局搜索最優和傳統神經網絡局部尋優結合起來，取長補短，既可以減小遺傳算法的搜索空間、提高搜索效率，又可以較容易地收斂到最優解，為求解多目標優化問題提供了新的策略。

4 結束語

目前在TDCS網絡安全系統中采用的IDS一般都是基于神經網絡技術的，由于神經網絡的設計主要依據設計者的經驗在大樣本空間反復實驗來進行選取，尚無理論上的指導，因此在神經網絡的初始連接權以及網絡結構的選擇上具有很大的隨機性，很難選取具有全局性的初始點，因而網絡求得全局最優的可能性小。本文提出的技術很好的克服了這些缺點，較好地解決了問題。

參考文獻：

[1]鐵道部運輸局，鐵路列車調度指揮系統，北京：中國鐵道出版社，2006.10.

[2]高麗，鐵路站段計算機網絡故障解決方法[J].鐵路計算機應用，2006，13（9）：13-16.

[3]周明孫、樹棟，遺傳算法原理及應用，北京：國防工業出版社，1999.

篇(7)

    詞】電子政務;入侵檢測;信息安全;數據挖掘

    Research Survey on Intrusion Detection Based on the E-government Information Systems

    SHANG Lei

    (Shandong University of Political Science and Law,Jinan Shangdong,250013,China)

    【Abstract】With the development of computer technology and network technology, E-government was widely used. It also caused many security problems. As a proactive defense of the new technology, Intrusion Detection System (IDS)can be helpful for E-government information safely. This paper presented a summary of the current state of IDS based on E-government, and some directions for future research are addressed.

    【Key words】E-government;Intrusion-detection;Information security;Data mining

    0 引言

    隨著以互聯網為主要表現形式的信息通信技術的快速發展和廣泛應用,信息化為行政改革推波助瀾,發展電子政務成為21世紀全球范圍內的一個不可扭轉的趨勢。電子政務的實施中涉及眾多重要的政府信息,甚至國家安全信息,這些信息承載著各級政府管理部門的信息傳遞與流程管理,比任何商務信息或個人信息更為敏感,因此信息安全問題是電子政務建設中至關重要的核心議題。

    電子政務系統面臨的安全威脅主要表現在以下幾個方面:(1)系統安全漏洞威脅。政務系統本身存在一些漏洞或缺陷,軟件安全性不高,為攻擊者利用,如操作系統漏洞、數據庫管理系統漏洞、通信協議本身的安全漏洞等。(2)計算機病毒。(3)外部入侵。政務網絡的開放性要求,給黑客攻擊帶來了便利。(4)內部攻擊。如內部人員的惡意破壞或越權訪問、內部管理疏漏誤操作、管理人員濫用職權等。入侵檢測技術是應用在防御主動攻擊方面的一種動態網絡安全技術,提供了對內部攻擊、外部攻擊和誤操作的實時保護,應用于電子政務信息系統中,將很大程度的提高系統的防御能力。

    1 相關概念簡介

    1.1 電子政務

    關于電子政務(electronic government),國內外的組織結構存在著不同的定義,在我國將其定義為:政府機構應用現代信息和通信技術,將管理和服務通過網絡技術進行集成, 在互聯網上實現政府組織結構和工作流程的優化重組,超越時間、空間與部門分隔的限制,全方位地向社會提供優質、規范、透明、符合國際水準的管理和服務。[1]電子政務的實施涉及政府機關內部、其他機關、團體、企業和社會公眾,其中應用于G2G(政府間的電子政務)的系統如:電子辦公系統、電子培訓系統、業績評價系統、電子法規政策系統、電子公文系統、電子司法檔案系統等。應用于G2B(政府對企業的電子政務)的信息系統如:電子稅務系統、電子證照辦理系統、電子采購與招標系統等。G2C(政府對公民的電子政務)系統:社會保險服務網絡、電子醫療服務系統、交通管理服務系統等。這些系統的共同特點是基于互聯網、存在信息的雙向交流、有一定的開放性,因此為保證電子政務的信息安全, 有必要對其信息和網絡系統進行專門的安全設計。

    1.2 入侵檢測

    1980 年,James P. Anderson 發表了論文《Computer Security Threat Monitoring and Surveillance》,文中第一次精確給出了入侵的概念,并將入侵劃分為:外部闖入、內部授權用戶的越權使用和濫用三種類型,提出了用審計追蹤來監視入侵威脅。1998 年,Ross Anderson 和 Abida Khattak 將信息檢索的技術引進了入侵檢測方面,隨后人工智能、分布式技術、神經網絡技術的加入奠定了入侵檢測系統的設計基礎。

    人侵偵測系統( Intrusion Detection System ,IDS )[2]對計算機網絡及基于網絡的系統進行監視,依據監視結果針對不同的入侵行為采用不同的安全策略,以期最大程度地降低入侵帶來的危害,是一種主動檢測系統是否受到攻擊的網絡安全技術。入侵檢測系統的主要功能包括:監視、分析用戶及系統活動;識別、反映已知進攻的活動模式;統計分析異常行為模式;審計、跟蹤管理操作系統,識別用戶違反安全策略的行為等。總體來說,入侵檢測系統的發展經歷了五個階段:基于主機的入侵檢測系統,HIDS;基于多 主機的入侵檢測系統;基于網絡入侵檢測系統,NIDS;分布式入侵檢測系統;以及面向大規模網絡的入侵檢測系統。[3]在技術上分為基于特征的檢測和基于異常的檢測,。通過對現有的入侵檢測系統研究,應用于入侵檢測的方法主要包括:專家系統、有限狀態機、統計分析、模式匹配、類神經網絡、模糊理論、分布式處理等技術。 2 電子政

    務信息系統入侵檢測技術分析

    電子政務系統安全是多因素、多層次、多目標、動態變化的復雜系統工程,需要從整體上認識處理網絡、信息和應用的安全問題,尋求一種大規模應用環境下具有高安全性和一定開放性的安全體系結構,入侵檢測技術成為其中重要的研究方向。目前已有很多研究者投入到該領域的研究通過人工智能技術、移動技術、數據融合和信息關聯技術提高入侵檢測系統的功能和效率。   2.1 基于數據挖掘的入侵檢測技術

    將數據挖掘技術應用到入侵檢測系統中,是近年發展起來的熱點問題,哥倫比亞大學的Wenke Lee等人首先提出將數據挖掘技術應用于電子政務入侵檢測。[2]基本的數據挖掘技術包括:數據采集、數據預處理、模式發現、模式評估及知識表示,其中模式發現是整個過程的關鍵。數據挖掘技術可以在大量網絡數據及審計數據中挖掘出異?；蛉肭中缘男袨槟Ｊ?也可以找出用戶正常行為來創建用戶的正常行為庫,降低訓練集獲取的難度。目前用于電子政務入侵檢測的數據挖掘方法主要有序列分析、聚類分析、關聯分析、分類分析等。文獻[2]中提出了一種基于電子政務的數據挖掘異常入侵檢測模型,將模型的工作過程定義為數據采集、數據預處理、關聯挖掘、入侵檢測四步。文獻[4]提出基于最小距離的聚類算進行聚類分析,大大提高了電子政務信息系統的安全能力。

    2.2 基于多主體技術的入侵檢測

    協同工作是電子政務系統的重要特點,同時也是解決電子政務系統安全問題時必須考慮的因素。人工智能領域的多主體( multi-agent)協作技術能夠有效處理分散的、分布的、不同種類的在線信息資源,是構造大型、復雜、魯棒的分布式信息處理系統的有效解決方案。多agent技術最早出現于20世紀70年代的人工智能領域,用于解決大規模復雜問題的智能求解而發展起來的,[5]該技術的基本思想是把大的復雜系統分解為許多小的、可以實現相互通信、能夠彼此協調工作的自治系統(A-gent),然后通過這些自治A gent的交互、協作等智能行為完成復雜的任務求解。

    目前多agent技術在電子政務系統協同工作設計中應用非常廣泛,在文獻[5]中提出了一個基于多A gent的電子政務應用系統平臺模型,并在此基礎上設計了基于多A gent技術的網絡攻擊自動檢測及免疫系統,利用多個子Agent的相互協作自動識別外部攻擊,以支持不同安全策略之間的互操作性,系統中分別定義了用戶接口Agent、認證Agent、授權Agent、審計Agent,它們由智能協作Agent進行協調管理。文獻[6]提出了一種基于環型協作機制的分布式入侵檢測系統模型,用于提高系統的安全性、高可靠性和協作能力。它將分布在各處的監測站點組織成一個邏輯環,由運行在環中的令牌來實現對協作的控制和驅動,從而提高網絡人侵檢測能力。

    3 結束語

    入侵檢測作為防火墻之后的第二道閘口正日益成為保障電子政務網絡系統安全的一種重要手段。人工智能、數據挖掘、分布式處理等技術的應用在一定程度上降低了入侵檢測的誤報率和漏報率,提高了系統的功能和效率,有效地保護了電子政務系統的安全。但該技術在電子政務安全領域的應用還處于研究和發展階段,還有許多問題有待解決,如對攻擊意圖的識別、攻擊模式自動獲取、以及與其他安全技術結合等問題。

    【參考文獻】

    [1]蔣毅.電子政務基礎[M].機械工業出版社,2006:31-33.

    [2]王悅.基于電子政務的數據挖掘異常入侵檢測技術[J].微計算機信息,2010,26(9-1):236-238.

    [3]張超,霍紅衛,錢秀檳,張玉清.入侵檢測系統概述[J].計算機工程與應用,2004,3:116-119.

    [4]朱景鋒.物聯網環境下電子政務信息系統入侵檢測技術分析與對策研究[J].科技通報,2012,4,28(4):130-132.