CN110460577B - 一种基于改进后的计算机病毒的入侵检测系统 - Google Patents

一种基于改进后的计算机病毒的入侵检测系统 Download PDF

Info

Publication number
CN110460577B
CN110460577B CN201910614924.3A CN201910614924A CN110460577B CN 110460577 B CN110460577 B CN 110460577B CN 201910614924 A CN201910614924 A CN 201910614924A CN 110460577 B CN110460577 B CN 110460577B
Authority
CN
China
Prior art keywords
intrusion detection
detection system
network
computer virus
selecting
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910614924.3A
Other languages
English (en)
Other versions
CN110460577A (zh
Inventor
缪祥华
单小撤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yunnan McKen Technology Co.,Ltd.
Original Assignee
Kunming University of Science and Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Kunming University of Science and Technology filed Critical Kunming University of Science and Technology
Priority to CN201910614924.3A priority Critical patent/CN110460577B/zh
Publication of CN110460577A publication Critical patent/CN110460577A/zh
Application granted granted Critical
Publication of CN110460577B publication Critical patent/CN110460577B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于改进后的计算机病毒的入侵检测系统,包括步骤如下:S1、构建改进后的计算机病毒用作入侵检测系统的载体;S2、调查网络环境需求;S3、入侵检测分布类型的选择;S4、入侵检测工作方式的选择;S5、信息处理及反馈。本发明以改进后的计算机病毒为载体的入侵检测系统具有灵活特性,打破传统的入侵检测系统固定形式方便了在网络环境中的部署,它其中的一个特点是以病毒的传播特性,游走于网络空间,使依附于各个网络节点,自由而有规律地寻找最合适的“生存地”,保证其作用的最优化、最大化。

Description

一种基于改进后的计算机病毒的入侵检测系统
技术领域
本发明涉及一种基于改进后的计算机病毒的入侵检测系统,属于网络安全领域。
背景技术
随着计算机网络的不断进步和发展,互联网的安全性问题不断被国家提上议程。入侵检测系统作为网络安全中重要的方向之一,传统的入侵检测技术水平已经不能满足现代科技发展的需要。网络安全空间中千奇百怪的“病变”涌出,导致新一代的计算机网络面临着严重的威胁。入侵检测系统作为安全的主要屏障必须时刻有效地保证网络的绝对安全。
传统的入侵检测系统采用固定的工作方式,其分布的灵活性差,部署起来有一定的局限性。在复杂的网络大环境中旧的入侵检测技术已经赶不上现有的网络水平,往往伴随着误报率和漏报率高、时间上和精度上达不到预期的效果,系统缺乏主动的防御能力,中央节点负载大,容易造成单点失效等诸多问题。
发明内容
本发明提供了一种基于改进后的计算机病毒的入侵检测系统。
本发明的技术方案是:一种基于改进后的计算机病毒的入侵检测系统,所述方法的具体步骤如下:
S1、构建改进后的计算机病毒用作入侵检测系统的载体
一是分析计算机病毒的源代码,找出其包含的恶意代码部分并将其删除;二是在计算机病毒源程序中添加与入侵检测系统连接部分的代码;三是保留计算机病毒的自我复制、智能分裂的特性,得到改进后的计算机病毒;
S2、调查网络环境需求
了解入侵检测系统所要部署的网络拓扑环境,依据不同的网络环境来选择最优的分布类型和工作方式;
S3、入侵检测分布类型的选择
如果输入数据主要来源于系统的审计日志,则选择基于主机的入侵检测系统,用于通过分析系统的审计数据来发现可疑的活动;
如果数据的来源是通过在共享网段上对通信数据的侦听采集数据,来分析可疑现象,选择基于网络的入侵检测;
在复杂的网络环境下如果想要保护更大的数据流量,则选择分布式的入侵检测系统;
S4、入侵检测工作方式的选择
根据网络环境的调查分析结果来选择入侵检测的工作方式:
如果是网络空间大、网络节点多,想要检测的数据流量大,则选择自我复制型的入侵检测系统;
如果网络的拓扑结构简单,网络节点少,则选择智能分裂型的入侵检测系统;
如果是复杂的网络拓扑,则将自我复制型的入侵检测系统及智能分裂型的入侵检测系统综合使用。
S5、信息处理及反馈
首先在入侵检测系统中设置一个消息检测报警中心,主要是对系统反馈回来的异常活动进行智能分类处理并记录报告给管理人员;对于新的异常行为及时响应、报警管理人员,由管理人员手动解决。
本发明的有益效果是:
(1)、本发明以改进后的计算机病毒为载体的入侵检测系统具有灵活特性,打破传统的入侵检测系统固定形式方便了在网络环境中的部署,它其中的一个特点是以病毒的传播特性,游走于网络空间,使依附于各个网络节点,自由而有规律地寻找最合适的“生存地”,保证其作用的最优化、最大化。
(2)、本发明的三种工作方式使得检测系统的功能最大化、最优化,检测的速度快,反馈和处理及时且易于管理。
(3)、本发明的三种分布类型均可降低中央节点的负载,提升时间效率和检测精度,检测强度更大。
附图说明
图1为本发明公开的一种基于改进后的计算机病毒的入侵检测系统工作流程图;
图2为构建以改进后的计算机病毒为载体的入侵检测系统流程图;
图3为基于改进后的计算机病毒的入侵检测系统的分布类型图。
具体实施方式
实施例1:一种基于改进后的计算机病毒的入侵检测系统,所述方法的具体步骤如下:
S1、构建改进后的计算机病毒用作入侵检测系统的载体(即将入侵检测的功能放到“病毒”的程序中,利用改进后的病毒作为入侵检测系统的载体将固定的入侵检测模式改变为一种自由、分散、游动的检测系统)
一是分析计算机病毒的源代码,找出其包含的恶意代码部分并将其删除;二是在计算机病毒源程序中添加与入侵检测系统连接部分的代码;三是保留计算机病毒的自我复制、智能分裂的特性,得到改进后的计算机病毒;
S2、调查网络环境需求
深入了解入侵检测系统所要部署的网络拓扑环境,依据不同的网络环境来选择最优的分布类型和工作方式;这样可以使系统的检测功能达到最大化。
S3、入侵检测分布类型的选择
如果输入数据主要来源于系统的审计日志,如内存和文件的变化等,则选择基于主机的入侵检测系统,用于通过分析系统的审计数据来发现可疑的活动;
如果数据的来源是通过在共享网段上对通信数据的侦听采集数据,来分析可疑现象,选择基于网络的入侵检测;
在复杂的网络环境下如果想要保护更大的数据流量,则选择分布式的入侵检测系统;
S4、入侵检测工作方式的选择
根据网络环境的调查分析结果来选择入侵检测的工作方式:
如果是网络空间大、网络节点多,想要检测的数据流量大,则选择自我复制型的入侵检测系统(自我复制型的技术特点是当此系统应用于网络环境中时,系统根据改进后计算机病毒的特性游动于网络中,当遇到网络节点时进行自我复制,自我复制的特点在于它可以把整个基于改进后的计算机病毒的入侵检测系统的性能完全复制,不会减弱其功能,它的每个系统都是完整的);
如果网络的拓扑结构简单,网络节点少,则选择智能分裂型的入侵检测系统(智能分裂型的入侵检测系统在网络环境中运行时,它会根据每个网络节点的需求割裂自己的功能,这样系统中各模块都可以发挥其最大作用);
如果是较复杂的网络拓扑,则将自我复制型的入侵检测系统及智能分裂型的入侵检测系统综合使用(二者混合型的检测系统结合前两种的特点应用于网络环境中);
通过步骤S3、S4选择的分布类型和工作方式下,对比基于网络的自我复制型入侵检测和基于主机的自我复制型的入侵检测,二者的工作模式相同,其不同之处在于,基于网络的自我复制型入侵检测在网络的应用中所遇到的网络节点是网络环境中的流量接入点。基于主机的自我复制型的在主机的应用是所遇到的节点包括主机的软硬件、网络磁盘、日志记录位置等。
S5、信息处理及反馈
首先在入侵检测系统中设置一个消息检测报警中心,主要是对系统反馈回来的异常活动进行智能分类处理并记录报告给管理人员;对于新的异常行为及时响应、报警管理人员,由管理人员手动解决。
上面结合附图对本发明的具体实施方式作了详细说明,但是本发明并不限于上述实施方式,在本领域普通技术人员所具备的知识范围内,还可以在不脱离本发明宗旨的前提下做出各种变化。

Claims (2)

1.一种基于改进后的计算机病毒的入侵检测系统,其特征在于:方法的具体步骤如下:
S1、构建改进后的计算机病毒用作入侵检测系统的载体
一是分析计算机病毒的源代码,找出其包含的恶意代码部分并将其删除;二是在计算机病毒源代码中添加与入侵检测系统连接部分的代码;三是保留计算机病毒的自我复制、智能分裂的特性,得到改进后的计算机病毒;
S2、调查网络环境需求
了解入侵检测系统所要部署的网络拓扑环境,依据不同的网络环境来选择最优的分布类型和工作方式;
S3、入侵检测分布类型的选择
如果输入数据主要来源于系统的审计日志,则选择基于主机的入侵检测系统,用于通过分析系统的审计数据来发现可疑的活动;
如果数据的来源是通过在共享网段上对通信数据的侦听采集数据,来分析可疑现象,选择基于网络的入侵检测;
在复杂的网络环境下如果想要保护数据流量,则选择分布式的入侵检测系统;
S4、入侵检测工作方式的选择
根据网络环境的调查分析结果来选择入侵检测的工作方式:
如果是网络空间大、网络节点多,想要检测的数据流量大,则选择自我复制型的入侵检测系统;
如果网络的拓扑结构简单,网络节点少,则选择智能分裂型的入侵检测系统;
如果是复杂的网络拓扑,则将自我复制型的入侵检测系统及智能分裂型的入侵检测系统综合使用。
2.根据权利要求1所述的基于改进后的计算机病毒的入侵检测系统,其特征在于:所述步骤S4后,还包括如下:
S5、信息处理及反馈
首先在入侵检测系统中设置一个消息检测报警中心,主要是对系统反馈回来的异常活动进行智能分类处理并记录报告给管理人员;对于新的异常行为及时响应、报警管理人员,由管理人员手动解决。
CN201910614924.3A 2019-07-09 2019-07-09 一种基于改进后的计算机病毒的入侵检测系统 Active CN110460577B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910614924.3A CN110460577B (zh) 2019-07-09 2019-07-09 一种基于改进后的计算机病毒的入侵检测系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910614924.3A CN110460577B (zh) 2019-07-09 2019-07-09 一种基于改进后的计算机病毒的入侵检测系统

Publications (2)

Publication Number Publication Date
CN110460577A CN110460577A (zh) 2019-11-15
CN110460577B true CN110460577B (zh) 2021-08-03

Family

ID=68482388

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910614924.3A Active CN110460577B (zh) 2019-07-09 2019-07-09 一种基于改进后的计算机病毒的入侵检测系统

Country Status (1)

Country Link
CN (1) CN110460577B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111786788B (zh) * 2020-08-10 2021-08-24 湖南皖湘科技有限公司 一种基于区块链的网络安全入侵检测系统

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1885794A (zh) * 2005-06-24 2006-12-27 国际商业机器公司 用于识别和防止恶意入侵的系统和方法
US8112800B1 (en) * 2007-11-08 2012-02-07 Juniper Networks, Inc. Multi-layered application classification and decoding
CN105897728A (zh) * 2016-04-27 2016-08-24 江苏警官学院 一种基于sdn的反病毒系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040172551A1 (en) * 2003-12-09 2004-09-02 Michael Connor First response computer virus blocking.

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1885794A (zh) * 2005-06-24 2006-12-27 国际商业机器公司 用于识别和防止恶意入侵的系统和方法
US8112800B1 (en) * 2007-11-08 2012-02-07 Juniper Networks, Inc. Multi-layered application classification and decoding
CN105897728A (zh) * 2016-04-27 2016-08-24 江苏警官学院 一种基于sdn的反病毒系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
SoC Implementation of Network Intrusion;V Meghana等;《IEEE International Conference On Recent Trends In Electronics Information Communication Technology》;20160521;全文 *
机器学习在网络空间安全研究中的应用6;张蕾等;《计算机学报》;20180305;全文 *

Also Published As

Publication number Publication date
CN110460577A (zh) 2019-11-15

Similar Documents

Publication Publication Date Title
US10268821B2 (en) Cyber security
CN111711599A (zh) 基于多元海量数据融合关联分析的安全态势感知系统
CN102984140B (zh) 基于行为片段共享的恶意软件特征融合分析方法及系统
EP3152869A1 (en) Real-time model of states of monitored devices
Deepa et al. A comprehensive survey on approaches to intrusion detection system
Fawaz et al. Lateral movement detection using distributed data fusion
WO2010114363A1 (en) Method and system for alert classification in a computer network
WO2012115667A1 (en) Systems and methods for self-adjusting logging of log messages
US20220263848A1 (en) Reconstructing network activity from sampled network data using archetypal analysis
Letou et al. Host-based intrusion detection and prevention system (HIDPS)
CN104871171A (zh) 分布式模式发现
KR20210030361A (ko) 컴퓨터 보안 사건을 보고하기 위한 시스템 및 방법
CN113259356A (zh) 大数据环境下的威胁情报与终端检测响应方法及系统
CN110460577B (zh) 一种基于改进后的计算机病毒的入侵检测系统
Boukhlouf et al. Network security: distributed intrusion detection system using mobile agent technology
Bhati et al. A comprehensive study of intrusion detection and prevention systems
Zhong et al. A safe mobile agent system for distributed intrusion detection
Wang et al. The Christmas-tree switch: an output queuing space-division fast packet switch based on interleaving distribution and concentration functions
EP4160983A1 (en) Threat control method and system
EP4262144A1 (en) Network threat processing method and communication apparatus
AT&T
CN113360907A (zh) 一种基于ides和nides的防黑客入侵方法
Karygiannis Network Security Testing Using Mobile Agents.
CN112637142B (zh) 基于电力网络环境下的安全威胁追溯方法及系统
CN110781495A (zh) 物联网分布式多级协同恶意代码检测方法、系统及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20230719

Address after: No. 8, 20th Floor, Wuhua Kechuang Building, Tower A, Guocha Port, No. 505 Kepu Road, Wuhua District, Kunming, Yunnan 650102

Patentee after: Yunnan McKen Technology Co.,Ltd.

Address before: 650093 No. 253, Xuefu Road, Wuhua District, Yunnan, Kunming

Patentee before: Kunming University of Science and Technology