网络安全入侵检测系统设计思路论文

关键词： 可信性 计算机系统 检测 入侵

网络安全入侵检测系统设计思路论文（精选8篇）

篇1：网络安全入侵检测系统设计思路论文

【摘要】随着计算机病毒、攻客入侵等网络信息安全事件发生频率的逐渐增高，人们越来越意识到网络安全的重要性。网络安全已成为当前计算机网络领域所面临的一个最为主要的问题。入侵检测系统作为时下IT领域内网络信息安全的一门新型热门技术，在保障网络安全方面占有举足轻重的地位。本文主要介绍了入侵检测有关内容，入侵检测的主要方法，以及基于计算机网络安全入侵检测系统的设计。

【关键词】计算机网络；安全；入侵检测系统；研究；设计

计算机网络在人们生活中的渗透，不仅改变了人类具体的生活方式，更重要的是改变了人类获取信息的方式。它的出现在给人们带来巨大方便的同时，也给人们的信息安全带来了诸多隐患和威胁。一旦计算机网络发生安全问题，势必会造成信息泄露，给人们带来不同程度的经济损失，尤其是企业内部重要的信息，且情况严重时将很可能导致整个计算机系统崩溃。因此，为避免病毒等入侵到计算机网络系统中，就必须采取有效的入侵检测方法，设计出相应的入侵检测系统。

1入侵检测相关概述

所谓入侵，指的是一切试图对资源的可用性、完整性和机密性等产生危害行为的统称。它既包括发起恶意攻击行为的人（恶意攻客），也包括对计算机网络与系统造成危害的各种行为（计算机病毒、木马等）。而入侵检测则指对所有入侵行为的识别与诊断。其具体操作是对计算机网络等中的若干关键点的数据信息进行收集与分析，通过该分析结果对网络中是否存在攻击对象或违反网络安全行为的迹象进行判断。入侵检测所使用的软件与硬件组成了入侵检测系统。它具有必须对采集的数据进行安全分析，并从中得出有用的结果和采取相应的保护措施的功能，比其他网络安全工具具有更多的智能[1]。

2入侵检测的主要方法

2.1异常检测法

异常检测法主要用于检测用户的异常行为及其对计算机资源的异常使用。使用这种检测方法需要建立相应的目标系统和用户活动模型，以便通过该模型对系统与用户的实际行为进行检测，从而对用户行为是否对计算机网络和系统具有攻击性进行判断。它具有良好的适应性和检测未知攻击模式的能力，但误报率高、检测结果准确性差，使得其应用受到了一定限制[2]。此外，必须对计算机网络与系统中合法授权用户的行为等正常特征进行精确的定义、对非法与合法代码与数据之间的界限进行精确的划分，是当前异常检测技术所面临的主要技术难点。

2.2混合检测法

混合检测法是对异常检测法与滥用检测法两者优点的综合利用。由于这两种方法在实际应用过程中呈现出一定的互补关系，因而两者的有机结合可以达到取长补短、相互弥补的检测效果，可以在很大程度上提高整体入侵检测的性能与效率[3]。

3基于计算机网络安全入侵检测系统的设计

3.1网络入侵检测系统的设计

将网络入侵检测系统装在被保护的计算机网络中，将原始网络报文作为数据源对入侵对象进行分析。在网络入侵检测系统的设计当中，对于所有通过网络传输数据的实时监控与分析通常采用一个网络适配器即可；对于数据采集模块的设计，需要配备有过滤器、探测器、网络接口引擎等元器件。数据采集模块主要实现的功能是，按照一定网络协议从网络上获取与入侵事件有关的全部数据信息，获取后将其传送至入侵检测系统分析引擎模块，对其安全性进行详细全面的分析，以判断其是否存在攻击性。入侵分析引擎模块的主要功能是，结合计算机网络安全数据库，对从数据采集模块传送来的数据信息进行安全分析，并将分析结果传送至配置与管理模块。配置与管理模块实现的主要功能是，对其他功能模块的配置工作进行管理，并将从入侵分析引擎模块传送来的安全分析结果以有效的方式向网络管理员告知，从而为网络管理员及时做出入侵应对措施提供依据和支持。当网络入侵系统检测到攻击时，相应的功能模块会立刻以报警、广播、中断连接等方式来对入侵者做出反应，向人们发出提示信息。

3.2主机入侵检测系统的设计

主机入侵检测系统的数据源通常包括应用程序日志、系统日志等。其入侵检测功能的实现主要是通过对这些审计记录文件所记录的内容与攻击内容进行匹配。若不匹配说明该入侵对象不具有攻击性，若匹配则入侵检测系统及时向网络管理员发出警报，同时做出相应的保护行为。审计数据记录的是系统用户行为信息，在系统运行过程中必须要保证其不会被修改或泄露。然而当系统遭受攻击时，这些数据很可能发生修改或泄露，因此主机入侵检测系统的设计必须要具备一项功能，即检测系统在完全被攻击者控制之前，完成对审计数据的分析，并及时发出警报采取一定防护手段。主机入侵检测系统具有精确判断入侵事件、针对不同操作系统的特点准确判断出计算机网络应用层的入侵事件等优点。

4总结

总之，在计算机网络安全问题的处理过程中，入侵检测系统的研究与设计是非常关键的一个环节。一个性能良好的入侵检测系统可以有效弥补防火墙存在的不足，可以为计算机网络的安全提供可靠的保障，是现代网络安全措施中一种较为有效的防护技术。虽然，现阶段入侵检测技术仍处于发展阶段，但随着社会各界对计算机网络入侵检测系统设计的越来越高度重视，入侵检测系统的应用范围和检测性能必将会上升到一个新的台阶。

参考文献

[1]唐静.计算机网络安全中入侵检测系统的研究[J].网络安全技术与应用，2015，08：21~22.[2]库宇.高速网络入侵检测系统的研究与设计[D].吉林大学，2008.[3]郑关胜，李含光.基于动态网络安全模型的入侵检测系统的研究[J].计算机应用，2006（S1）：160~161+185.作者：吴卉男 单位：贵州师范大学数学与计算机科学学院

篇2：网络安全入侵检测系统设计思路论文

1入侵检测相关概述

所谓入侵，指的是一切试图对资源的可用性、完整性和机密性等产生危害行为的统称。它既包括发起恶意攻击行为的人（恶意攻客），也包括对计算机网络与系统造成危害的各种行为（计算机病毒、木马等）。而入侵检测则指对所有入侵行为的识别与诊断。其具体操作是对计算机网络等中的若干关键点的数据信息进行收集与分析，通过该分析结果对网络中是否存在攻击对象或违反网络安全行为的迹象进行判断。入侵检测所使用的软件与硬件组成了入侵检测系统。它具有必须对采集的数据进行安全分析，并从中得出有用的结果和采取相应的保护措施的功能，比其他网络安全工具具有更多的智能[1]。

2入侵检测的主要方法

2.1异常检测法

异常检测法主要用于检测用户的异常行为及其对计算机资源的异常使用。使用这种检测方法需要建立相应的目标系统和用户活动模型，以便通过该模型对系统与用户的实际行为进行检测，从而对用户行为是否对计算机网络和系统具有攻击性进行判断。它具有良好的适应性和检测未知攻击模式的能力，但误报率高、检测结果准确性差，使得其应用受到了一定限制[2]。此外，必须对计算机网络与系统中合法授权用户的行为等正常特征进行精确的定义、对非法与合法代码与数据之间的界限进行精确的划分，是当前异常检测技术所面临的主要技术难点。

2.2混合检测法

篇3：网络安全入侵检测系统设计思路论文

入侵检测系统(Intrus Jon Detection system,IDS)为计算机系统的完整性。可用性及可信性提供积极主动的保护,并在计算机系统受到危害之前进行拦截防卫。IDS对网络的控制手段有:黑名单断开、灰名单报警、阻塞HTTP请求、通知防火墙阻断和通过SN-MPTrap报警等。

1 技术的分析

1.1 异常。

异常发现技术的前提是假定所有入侵行为都是与正常行为不同的。首先通过训练过程建立起系统正常行为的轨迹,然后在实际运用中把所有与正常轨迹不同的系统状态视为可疑。

但异常发现技术的缺点是并非所有的入侵都表现为异常。

1.2 误用。

误用发现技术的入侵检测是指通过预先精确定义的入侵模式,对观察到的用户行为和资源使用情况进行检测。如入侵签名说明了导致误用事件弱点的特征、条件、序列和关系,还包含系统状态。

1.3 模式。

假定所有入侵行为和手段都能够表达为一种模式或特征,那么所有已知的入侵方法都可以用匹配发现。模式发现的关键是如何表达入侵的模式,定义发现入侵的规则库,把真正的入侵与正常行为区分开来。

2 入分检测系统的设计与实现

2.1 实验系统的整体设计。

本实验系统界面部分主要在Visual Studio.net 2005开发环境中完成。实验系统使用的是其中Visual C#语言开发ASP.NET Web应用程序的方法。

将实验系统的实现主要分为9个子模块,包括网络安全实验系统欢迎和登陆、入侵检测方式选择、入侵检测实验系统总体介绍、局域网的指定网段中正在嗅探主机程序流程图的展现、检测局域网的指定网段中正在嗅探主机的详细信息、Win Pcap驱动介绍、局域网中正在进行端口扫描主机程序流程图展现、检测局域网中正在进行端口扫描主机的详细信息、Libnids开发包介绍。

2.2 网络嗅探检测。

2.2.1 基本原理。下面以Windows系统为例说明。

FF-FF-FF-FF-FF-FF:这个是一个正规的广播地址,不管是正常模式还是其他模式,都会被网卡接收并传递给系统核心。

FF-FF-FF-FF-FF-FE:这个地址对于网卡来说,不是一个广播地址,在正常模式下会被网卡抛弃,但是系统核心是认为这个地址同FF-FF-FF-FF-FF-FF是完全一样的。如果处于混杂模式,将被系统核心接收,并认为是一个广播地址。所有的Windows操作系统都是如此。

FF-FF-00-00-00-00:Windows核心只对前面两字节作判断,核心认为这是一个同FF-FF-FF-FF-FF-FF一样的广播地址。这就是为什么FF-FF-FF-FF-FF-00也是广播地址的原因。

FF-00-00-00-00-00:对于Win9x或Win ME,则是检查前面的一个字节。因此会认为这个是一个广播地址。

所以,目的就要让正常模式的网卡抛弃掉探测包,而让混杂模式的系统核心能够处理探测。发送一个目的地址为FF-FF-FF-FF-FF-FE(系统会认为属于广播地址)的ARP请求,对于普通模式(广播等)的网卡,这个地址不是广播地址,就会直接抛弃,而如果处于混杂模式,那么ARP请求就会被系统核心当作广播地址处理,然后提交给嗅探器程序。系统核心就会应答这个ARP请求。

2.2.2 主要数据结构和函数。使用到Win Pcap中的主要数据结构和自定义的数据结构PACKET、ETHDR、ARPHDR、IPHDR。

2.3 端口扫描检测。

2.3.1 基本原理。

一个端口扫描被定义为在T秒时间内对目标系统超过P个端口的TCP连接请求,或者是对应的UDP数据包。因此可以采用异常检测技术来检测端口扫描,即定义为在TCP连接过程中,如果检测到相同源地址扫描TCP端口的数目大于阈值就认为发生了端口扫描攻击,根据TCP的标志位判断扫描类型。在本实验系统中该部分功能的实现主要由Libnids开发包中默认函数syslog()完成。本系统可以根据TCP的标志位判断扫描类型,可以检测SYN、NULL、FIN三种标志位变化的扫描。

2.3.2 主要数据结构和函数。使用到的主要数据结构有检测扫描用的相关信息SCAN、HOST、IP_HDR、TCP_HDR。

2.4 短信发送通知。

短信猫是一种内嵌GSM无线通信模块,插入移动运营商的手机SIM卡后,可以通过PC连接使计算机应用系统与移动运营商的短信中心建立无线连接以实现自由的对外短信收发。

通过短信猫二次开发数据库接口,使用者几乎不需要了解任何有关数据通信方面的知识,就可实现手机短信的收发等功能。在本实验系统的设计中,使用短信猫二次开发接口通过Access数据库实现短信发送功能。

3 结果分析

对系统进行全面测试后,从以下两方面分析系统性能。

3.1 系统的有效性。

通过测试,系统在以下两方面有效:(1)该系统可以检测出共享式局域网中将网卡设为混杂模式的嗅探攻击;(2)该系统可以检测出共享式局域网正存在的以下三种正常速度的TCP端口扫描:SYN、NULL、FIN。

3.2 系统的局限性。

通过测试,该系统也存在一些局限性:(1)除将网卡设为混杂模式的嗅探攻击,该系统对其他种类的嗅探攻击不起任何作用,该功能还有待完善;(2)由于该系统检测端口扫描所使用算法(统计阈值检测法)的局限性,扫描方如果采用慢速扫描,扫描时间间隔拉得够长,低于所设的门限值,就会漏报。

摘要：网络入侵检测及预警技术是防火墙的合理补充,帮助系统对付网络攻击,从而提供对内部攻击、外部攻击和误操作的实时保护。针对这一系统的设计与实现进行论述。

关键词：入侵检测系统,设计,实现

参考文献

[1]孙国梓,俞超,陈丹伟.一种入侵检测实验系统的设计与实现[Z].

[2]张焕国,王丽娜.信息安全综合实验教程[M].武汉:武汉大学出版社,2006.

篇4：网络安全入侵检测系统设计思路论文

关键词：图书馆；网络入侵系统；实现与算法

中图分类号：TP393.08 文献标识码：A文章编号：1007-9599 (2013) 05-0000-02

随着建设信息化图书馆的不断推进，图书馆网络安全形势也变得日益严峻起来。为了保证图书馆业务工作的正常开展、保证图书馆内部丰富信息资源和重要核心业务数据的安全、保证图书馆能够为科研和教学提供不间断的信息服务，发展图书馆计算机保护系统对图书馆管理具有巨大意义。该项目主要应用了防火墙系统、人侵检测系统以及网络防病毒系统等三种技术，其中防火墙尽管功能强大，但其缺陷在于对网络内部的主动连接和内部各主机间的攻击行为不能起到较好的阻止作用。而人侵检测系统作为网络安全系统的第二道安全闸门，能够为外部攻击、内部攻击以及误操作等行为提供实时保护，在图书馆安全管理中有着举足轻重的作用。因此，本文中笔者就对入侵检测系统在图书馆中的应用作详细介绍。

1入侵检测的概念

人侵顾名思义就是在未取得相关访问授权或未经许可的基础上对信息系统进行操作，入侵检测就是针对人侵行为对网网络系统运行状态进行监视，入侵系统能够识别企图人侵、正在人侵或已经入侵等行為。入侵检测系统（Intrusion Detection System，IDS）便是用于进行入侵检测的硬件和软件的组合，可以通过对网络流量进行监视和记录，依据实现定义好的规则来对主机网卡到网线上的流量进行过滤，以实现实时报警。传统的网络安全技术一般包括密码技术、防火墙技术等，但这种传统的网络技术一般都是被动防御，其在主动发现入侵行为方面存在较多的缺陷。入侵检测系统则较好地弥补了这种缺陷，它的优势在于能够及时识别网络中发生的入侵行为并报警，通过这种方法能够有效降低入侵行为给网络系统造成的损失。

入侵检测的作用在于能够通过对违法违规行为的检测和记录手段惩罚网络犯罪，杜绝网络入侵等事件的发生；对黑客攻击前的探测行为进行检测，向管理员预先发出警报；管理员能够根据入侵检测系统提供的相关攻击信息对网络中的安全弱点进行诊断，利于他们之后的修补工作[1]。由此可见，在图书馆的计算机网络中布置入侵检测系统，能够显著提高图书馆网络安全性能和安全管理质量。

2入侵检测技术的分类

入侵检测从系统结构上来看是由三个模块组成的，分别为信息源、分析引擎和响应。信息源的功能是为分析引擎提供原始数据，分析引擎就是对实际的入侵行为或异常行为进行检测，之后由分析引擎将分析结果传入到响应模块，再由响应模块负责进行适当的处理，以阻止入侵行为损害系统。入侵系统的核心功能就是对各项事件进行分析，发现其中存在违反安全策略问题的行为，并加以合理处理。

从技术上可以将入侵检测分为两大类，一种基于异常情况、一种基于标志。第一种基于异常情况的检测技术是先定义一组系统正常情况的数值，具体包括内存利用率、CPU利用率以及文件校验和等数据，之后将系统运行过程中的各项测量数据与这个值进行比较，以判断是否存在入侵行为。在这种检测方式中核心技术就是如何对“正常情况”进行定义。第二种基于标识的检测技术，首先对一些违背安全策略的事件特征进行分析，获取如网络数据包的某些头信息，在进行检测中就是对是否出现这样的事件进行判别。这种基于标志的方法与杀毒软件的原理比较相似，基于标志的检测技术其核心就是维护一个知识库。两种检测技术的方法在所得的结论上是存在较大差异的，基于标志的检测技术能够详细、精确地报告出已知攻击的具体信息，但是对于未知攻击产生的效果却十分有限，并且必须保持知识库的时刻更新[2-3]。而基于异常的检测技术尽管能判别更广泛、未发觉的入侵，但是在判别攻击手法上却存在较大的不足。

3图书馆入侵检测系统的功能实现和算法分析

本系统的应用环境是图书馆，网络入侵检测系统通过对网络状态进行实时检测，并对捕获的数据包进行重组分析，使之成为用户可以识别的信息，以判断是否出现入侵行为，由此可见，检测系统的核心部分之一就是数据的采集模块。

由于 windows环境自身存在的封装性，使得我们要想对其网络底层进行直接编程是比较困难的，因此可以通过使用开发包Winpcap来对Windows进行监听。一般在网络入侵检测系统中使用的比较多的数据采集方法就是利用以太网介质共享，将探针(Probe)放在局域网中，并将网络适配器设置为混杂模式，这样一来检测系统便能够获得所有在该网段上传输的数据包。

对Windows进行数据包采集的方法一般如下：

（1）打开网卡，将网络适配器设置为混杂模式。

（2）在得到监听命令后，回调函数从网络设备驱动程序处收集数据包把监听的数据包传送给过滤程序。

（3）当过滤程序受到数据包时，NDIS中间驱动程序便调用分组驱动程序，将数据分别传递到每一个参与进程的分组过滤程序中进行分析。

（4）数据包的接受或丢弃处理是由过滤程序决定的，由过滤程序决定是否将接受到的数据复制到相应的应用程序中。

（5）最后将没有被过滤掉的数据包提交给核心缓冲区。等到系统缓冲区满后再将数据包复制到用户缓冲区，这样一来监听程序就可以直接从用户缓冲区中读取捕获的数据包[2]。

入侵检测系统的核心就是统计分析模块，而统计分析模块的核心便是统计分析算法。一般在异常入侵检测中统计分析算法用得比较多，首先为系统对象，包括文件、用户以及设备等创建一个统计描述，这里的描述是指对正常使用时的一些属性进行厕灵，具体包括访问次数、操作失败次数以及延时等等。需要由统计分析模块对流量数据进行计算，并结合解析模块的综合分析，排除其他因素引起的特殊流量峰值，最终判断是否真正存在流量异常。解析模块根据统计模块传输的数据可以采用以下的方法来判断是否存在流量异常：收到同一个对象的5个连续警报，判断流量异常；受到同一对象的连续2个警报，并且两个警报所报告的流量均在警报网值的2倍或以上，则认为流量异常，发出报警[4-5]。

图书馆网络入侵系统经过设计，基本能够实现基于异常流量检测的入侵检测功能，在图书馆网络系统管理中应用网络入侵技术对抵抗服务攻击之类的入侵行为具有较为理想的检测效果。

参考文献：

[1]陈漫红.浅谈图书馆网络安全技术[J].河北科技图苑,2010(23).

[2]甘文珍.基于网络的入侵检测技术研究及改进[J].吉林大学学院报,2009,2.

[3]鲁鹏.网络入侵检测技术在图书馆网络中的应用[J].科技创新导报,2009,11.

[4]王晓程,刘恩德,谢小权.攻击分类研究与分布式网络入侵检测系统[J].计算机研究与发展,2001,38(6):727-734.

[5]Doumit S S， Agrawal D P. Self-organized criticality and stochastic learning based intrusion detection system for wireless sensor networks[C]//Military Communications Conference,2003. MILCOM'03. 2003 IEEE.IEEE,2003,1:609-614.

[作者简介]高少琛，男，山东济南人，工程硕士，山东职业学院，实验师，研究方向：计算机网络。

篇5：网络安全入侵检测系统设计思路论文

混合型检测系统的异常模块主要是负责分析和处理输入的网络数据中的流量信息。主要的检测方法有基于马尔可夫模型的方法、基于自相似理论的方法、基于小波的检测、统计检测方法、阈值检测方法等，下面通过统计检测方法对其进行深入研究。由于网络流量数据具有突发性的特点，基于统计检测方法对其进行检测存在不稳定的特征。通过观察实际网络流量，可以发现作息时间与网络流量的关系，所以在处理实际网络流量时使用方差分析法。具体的流程如图1所示。在通过具体的数据计算，找出出现异常的网络流量，并在具体的模块生成警报，再由警报设定异常值偏差的置信度。如果网络流量正常则采取更新历史模型的方式[1]。

1.2数据融合模块

数据融合可以实现各种信息与许多传感器之间的组合、相关、联合，从而获得精确的完整评价、身份估计、位置估计。混合型入侵检测系统中在获取入侵信息往往通过网络数据、主机资源信息、主机审核、系统日志，这一过程与数据融合的过程相似，因此在混合型入侵检测系统中设计数据融合模块，充分发挥数据融合的行为估计、目标识别、状态估计、相关、校准、检测等功能，采取可信度方法等，以此提高入侵检测系统的入侵信息获取效率，降低误警率。

1.3主动扫描模块

篇6：网络安全入侵检测系统设计思路论文

1应根据各类建筑物(群)、构筑物(群)安全防范的管理要求和环境条件，根据总体纵深防护和局部纵深防护的原则，分别或综合设置建筑物(群)和构筑物(群)周界防护、建筑物和构筑物内(外)区域或空间防护、重点实物目标防护系统，

2系统应能独立运行。有输出接口，可用手动、自动操作以有线或无线方式报警。系统除应能本地报警外，还应能异地报警。系统应能与视频安防监控系统、出入口控制系统等联动。

集成式安全防范系统的入侵报警系统应能与安全防范系统的安全管理系统联网，实现安全管理系统对入侵报警系统的自动化管理与控制，

组合式安全防范系统的入侵报警系统应能与安全防范系统的安全管理系统联接，实现安全管理系统对入侵报警系统的联动管理与控制。

分散式安全防范系统的入侵报警系统，应能向管理部门提供决策所需的主要信息。

3系统的前端应按需要选择、安装各类入侵探测设备，构成点、线、面、空间或其组合的综合防护系统。

4应能按时间、区域、部位任意编程设防和撤防。

5应能对设备运行状态和信号传输线路进行检验，对故障能及时报警。

6应具有防破坏报警功能。

7应能显示和记录报警部位和有关警情数据,并能提供与其它子系统联动的控制接口信号。

篇7：超市收银系统设计思路

一、系统整体架构

图1 从图1可以看出，系统框架很清晰，用户登录，根据用户权限的不同，对应不同的操作方法，操作对象为商品。

但本系统要求使用C/S框架结构来设计。C/S框架介绍：

C/S 结构，即大家熟知的客户机和服务器结构。

C/S 结构的基本原则是将计算机应用任务分解成多个子任务，由多台计算机分工完成，即采用“功能分布”原则。客户端完成数据处理，数据表示以及用户接口功能；服务器端完成DBMS（数据库管理系统）的核心功能。这种客户请求服务、服务器提供服务的处理方式是一种新型的计算机应用模式。

Client和Server常常分别处在相距很远的两台计算机上，Client程序的任务是将用户的要求提交给Server程序，再将Server程序返回的结果以特定的形式显示给用户；Server程序的任务是接收客户程序提出的服务请求，进行相应的处理，再将结果返回给客户程序。

鉴于超市收银系统的特性，本系统不牵扯多个客户端，不需要线程同步。

二、代码设计框架 因为使用C/S框架设计程序，因此有固定的设计步骤： 1.项目包的设计：

图2 client包：主要由客户端操作界面类和客户端业务类组成，客户端操作类也就是客户端main方法类，主要负责引导用户操作，提供系统界面信息提示操作，包括：初始化登录视图、商品库存管理视图和收银管理视图；客户端业务类主要包括处理客户端请求并将客户端请求打包发送给服务器的方法和一些辅助操作方法。处理库存管理员请求方法为：商品入库、商品出库、新增商品、查询全部商品和按编号查询商品；处理收银员请求方法为：扫描商品、修改购买数量商品和结账。

entity包：主要由系统所涉及的实体类组成，根据操作视图可以确定为用户类和商品类。

图3 用户信息

图4 商品信息

server包：主要由服务器主流程类（线程类）和服务器(数据处理)业务类组成，服务器主流程类也即main方法类，主要负责接收客户端请求，并根据请求标志信息分配相应操作，最后再将处理数据发送给客户端；服务器数据处理业务类主要由处理客户端请求的方法和商品信息库组成。util包：

util包为实用工具包，主要包括项目中一些工具类，主要包括数据处理类（加密、解密、数据转换、特殊文件操作和数据打包）和常量类。

本项目主要包括数据打包类、常量类和proprties文件操作类。sys.properties文件：

Properties文件是一个文本文件；properties文件的语法有两种，一种是注释，一种是属性配置；注释：前面加上#号；属性配置：以“键=值”的方式书写一个属性的配置信息。

Properties类本身表示了对一种Map结构的操作，properties文件本身就表示一个“键值对”的集合，因此，Properties类属于集合容器的家族，在使用前应该创建一个Properties的容器，实际上就是创建一个默认不带参数的Properties对象，通过别的方式给里面添加“键值对”。

sys.properties在本项目的作用主要用来配置服务器信息：主机名和端口号。

2、项目设计知识点

本项目主要设计关键知识点：类和对象，封装，继承，异常，集合和泛型，输入/输出,多线程和网络编程。

3、代码编写思路 1)创建项目

2)创建Java包：客户端包，服务器包，实体包，实用工具包。3)创建配置文件：.properties文件或.xml文件。4)创建各Java包中的类文件：

客户端包：客户端操作界面类和客户端业务类；

服务器包：服务器主流程类（线程类）和服务器业务类（数据处理）； 实体包：根据具体项目情况创建； 实用工具包：  数据包类：主要储存客户端和服务器之间交互的关键数据，包括实体对象和逻辑判断标志等；  常量类：客户端和服务器之间需要共同使用的状态常量，一般为业务操作标识符和系统信息常量（正确、错误状态常量，配置信息常量）。 工具类：一般为配置文件的操作类。

5)编写个项目文件（由简入繁：单个功能实现到全部功能拓展）。6)项目调试。

三、具体代码分析

1.sys.properties文件编写

该文件主要用户配置socket套接字属性：主机名和端口号，在此配置信息为：

图5 sys信息

2.实体类编写

根据entity包分析可知：Goods类和Users类。Goods类：

图6 Goods类

Users类：

图7 Users类

注：因为涉及到socket编程，因此两实体类均需要序列化。3.实用工具包类编写

1）数据包类（Datas类）: 因为该项目为超市收银系统，根据项目效果图可知，主要设计对象为：商品对象（goods），用户对象（user）；为便于商品信息操作，创建商品集合，又因为牵扯到库存管理和收银两个类，进而创建库存商品集合和 购买商品集合；又因为牵扯到客户端和服务器端业务请求操作，因此创建业务操作标识变量：flag。具体内容如下：

图8 Datas类

图9 库存商品集合应用需求

图10 购买商品集合应用需求

注：因为涉及到socket编程，Datas类需要序列化。2）工具类(Tools类文件): Tools文件主要用于操作sys.properties文件，对sys.properties文件操作之前，首先需要加载源文件（鉴于加载操作特殊性（提前操作），使用static块来封装），然后才能读取sys.properties文件中键对应的值。

该类主要是用于读取socket参数信息（host，port）。

图11 Propertis方法：void load(InputStream inStream)从输入流中读取属性列表(键和元素对)。

ClassLoader类：类加载器是负责加载类的对象。

InputStream getResourceAsStream(String name)：返回读取指定资源的输入流。3）常量类: 由代码编写思路分析可知：常量类列表主要由以下几个部门组成：系统配置常量，系统信息反馈常量，系统操作常量，管理员操作常量，收银员操作常量。

图12 常量列表

注：具体常量参数可以在具体编程中增加或删减。4.客户端类编写

1）客户端操作界面类：

客户端操作界面类主要完成如下工作：（1）用户登录（2）用户操作

用户登录有两个选项：管理员和收银员；用户操作也分别按照管理员和收银员来展开。

图13 管理员登录成功视图

图14 收银员登录成功视图

鉴于登录操作只有两个选项，采用if-else编写较为快捷。具体代码截图如下：

图15登录操作代码

管理员操作和业务员操作选择较多，因此采用switch来实现较为合适，具体代码截图如下：

图16 管理员操作代码

图17 收银员操作代码 main（）方法：原则上main（）越简单越好，具体代码截图如下：

图18 main（）方法代码

注：代码编写按如上模块来进行编写（登录方法，管理员操作方法，收银员方法），具体方法的实现依靠客户端业务类，本类中主要负责视图的引导和显示，可以分模块来进行编写和调试，遵循由简入繁原则。2）客户端业务类：

客户端类的方法编写主要为满足客户端操作界面类的需求且需要实现与服务器端的信息交互（通过socket编程实现），因此具体代码包括登录信息的处理（方法），管理员视图下的业务操作处理（方法），收银员视图下的业务操作处理（方法），以及业务操作过程需要的逻辑操作方法的编写。具体代码截图如下：

图19 客户端业务方法

因为需要使用socket编程来实现客户端与服务器的数据通信，因此需要socket的初始化和socket的关闭操作。具体代码如下：

图20 socket的初始化和关闭操作

注：客户端业务类的调试应该在服务器类的框架搭好之后进行（可以完成基本的通信应答操作）。

客户端编程关键点：

客户端发送数据编写原则，通过Datas类中的属性参数作为载体，即对客户信息，商品信息和业务操作常量标识符进行数据打包，统统将需要发送的关键信息封装到Datas对象内，然后将这个对象发送给服务器，具体代码截图如下：

图21 商品入库关键信息Datas打包发送代码 同时读取服务器端返回的Datas数据，提取需要的信息进行处理和判断，其中包括状态常量信息（success或error），具体代码截图如下：

图22 读取服务器返回数据并处理

5.服务器类编写 1）服务器主流程类：

服务器主流程类也即线程类，本线程类采用继承Thread父类来实现。

run()方法主要负责读取客户端发送过来的数据，提取业务操作常量标识，然后分别进行相应的操作，具体的数据处理依靠服务器业务类来实现，然后在将处理好的数据打包（Datas）发送给客户端，具体代码截图如下：

图23 读取客户端数据并进行相应的操作代码

图24 将处理好的数据打包发送给客户端操作代码

2）服务器业务类：

服务器业务类主要包括两部分：基础数据:用户信息（管理员和收银员的账号、密码-ROM型），库存商品信息（ROM型），购买商品信息（RAM型）；处理客户端请求的数据处理方法。基础数据以后可用数据库来保存处理。

ROM型数据初始化采用static块实现，一次执行，最先执行。具体代码截图如下：

图25 系统基础数据代码

数据处理方法均为有参数方法，因为要将处理信息发送给客户端，具体返回数据类型依据具体业务操作来定。具体代码截图如下：

图26 服务器业务处理方法代码

注：客户端与服务器联调时，可以先把客户端和服务器的基本框架搭好，调试好基本功能后再做后续的代码扩展和调试。

篇8：网络安全入侵检测系统设计思路论文

1 入侵检测系统概述

为了能够较好的进行计算机网络安全中入侵检测系统设计的研究, 我们首先需要较为细致的了解入侵检测系统的相关概念信息, 这一概念信息主要包括计算机网络入侵与入侵检测系统。所谓计算机网络入侵指的是包括发起恶意攻击行为的人 (恶意黑客) , 也包括对计算机网络与系统造成危害的各种行为 (计算机病毒、木马等) ;而网络入侵检测则是指具体操作是对计算机网络等中的若干关键

点的数据信息进行收集与分析, 通过该分析结果对网络中是否存在攻击对象或违反网络安全行为的迹象进行判断, 这种功能构成也使得计算机网络入侵检测系统具备着较高的智能性与实用性。

2 常见的入侵检测手段

一般来说, 计算机网络安全入侵检测存在着异常检测法、误用检测法等多种检测方式, 其中异常检测法主要用于检测用户的异常行为及其对计算机资源的异常使用, 这种检测方式具备着良好的适应性和检测未知攻击模式的能力, 不过其存在的误报率高、检测结果准确性差的问题, 这就影响了这种检测手段在我国当下的计算机系统中的广泛的应用;误用检测法也是较为常见的计算机网络入侵检测技术形式, 这一技术通过将预先设定的入侵模式与监控到的入侵发生情况进行模式匹配来进行检测, 具备着消耗资源少、准确率高、误报率低的特点, 模式匹配法、专家系统法、状态转移分析法等都属于这一技术手段的范畴, 这一技术在我国当下的计算机保护软件中有着较为广泛的应用, 不过依赖操作系统、入侵数据库必须不断更新是其存在的问题。

3 计算机网络安全入侵检测系统的设计

在本文进行的计算机网络安全入侵检测系统的设计中, 笔者应用了神经网络概念, 对其进行了模块化的设计, 数据源采集模块、数据预处理模块、特征提取模块、神经网络训练模块、神经网络检测模块和系统响应模块是这一系统设计的六大组成模块, 这些模块分别负责监听网络接口并捕获经过的数据包、将数据包的特征信息转换到一个标准的向量空间、消减数据的特征维数、系统的训练、系统的入侵检测、根据检测模块返回的信息对用户行为作出响应。

3.1 数据源采集模块设计

在数据源采集模块的设计中, 笔者基于Libpcap的数据包捕获机制釆集网络中的数据包, 实现了这一数据源采集模块的功能, 这一设计参考了网络中有名的sniffer、snort等嗅探器的设计结构。在笔者所涉及的数据源采集模块中, 其能够在实现功能的同时保证不影响操作系统对数据包的正常协议栈处理。

3.2 数据预处理模块设计

在数据预处理模块的设计中, 笔者参考了KDD99数据集, 这一数据集来源于美国麻省理工大学的林肯实验室, 专为入侵检测评估项目而开发, 这一数据集具备着拒绝服务攻击、探测攻击、来自远程主机的未授权访问、未授权的本地超级用户特权访问等四个大类共22种入侵行为, 结合这一信息笔者采用了计算特征变量属性的平均值、计算样本特征的均方差、归一化的流程进行数据的标准化处理, 这一处理是基于python处理语言完成的。

3.3 特征提取模块设计

在特征提取模块设计中, 笔者应用了主成分分析的基本原理, 这一原理的运用能够减小消除原指标之间的相关性和冗余信息, 同时减小后续工作的计算量。。

3.4 神经网络训练和检测模块的设计

作为本文所研究计算机网络入侵检测系统的核心, 在神经网络训练和检测模块的设计中, 笔者参考了Kohonen神经网络的设计, 并根据这一设计进行BP算法神经网络的改进, 这一改进主要通过附加动量法、自适应学习速率法、共轭梯度法、拟牛顿算法的应用实现。

3.5 系统响应模块设计

在系统响应模块设计中, 笔者为其设计了主动相应与被动相应两种类型的相应模式, 其中主动响应模式能够在检测到网络攻击后进行反击, 笔者也为这一系统设计了切断与攻击者的网络连接, 过滤来自入侵者IP地址的数据包两种措施, 这样就能够较好的保证整个系统的实用性。

4 结论

为了能够较好的完成本文所进行的计算机网络安全中入侵检测系统设计的研究, 笔者结合神经网络概念设计了具有数据源采集模块、数据预处理模块、特征提取模块、神经网络训练模块、神经网络检测模块和系统响应模块等六大模块的神经网络入侵检测系统, 而在笔者结合真实数据对这一入侵检测系统进行的性能检测中, 笔者发现其在检测率、误报率、训练时间和检测时间等方面都有着较为不俗的表现, 由此我们就能够看出本文设计的神经网络计算机网络安全入侵检测系统所具备的实用性与可行性。

参考文献

[1]张旭珍, 黄成玉, 张志波.基于Snort的入侵检测系统教学实验设计与实现[J].实验室研究与探索, 2014 (04) :159-163.

[2]吴卉男.计算机网络安全中入侵检测系统的研究与设计[J].通讯世界, 2016 (01) :182.

[3]杨云, 宓佳, 党宏社.嵌入式入侵检测系统的设计与实现[J].计算机工程与设计, 2011 (01) :21-23+27.