返回
计算机网络---论文

计算机网络---论文

ID:42210319

大小:161.23 KB

页数:4页

时间:2019-09-10

计算机网络---论文_第1页
计算机网络---论文_第2页
计算机网络---论文_第3页
计算机网络---论文_第4页
资源描述:

《计算机网络---论文》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、Petri网在入侵检测中的应用计算机应用102070037刘洁1.Petri网的基本知识定义1:三元组N=(S,T;F)称为网的充分必要条件是:(l)SUT二0⑵SUTH0⑶FSXTUTXS(“X”为笛卡儿积)(4)dom(F)Ucod(F)二SUT其中dom(F)={x

2、y:(x,y)WF},cod(F)={y

3、x:(x,y)WF},分别称为F的定义域和值域。S和T分别称为N的库所(place)集和变迁(transition)集,F为流关系(flowrclation)o定义中⑴要求N至少含一个元索,(2)要求库所和变迁

4、是不同元索,(4)这意味着N中不能有孤立元素。定义2:记INo={0,1,2,……}IN={1,2,3,……),并以表示无穷。(1)K:从S到INU{w)的映射,称为N的容量函数。(2)M:从S到的映射,如果对给定的容罐函数K,对于任意sGS:M(s)WK(s),则称M为N的一个标识。(3)w:从F到IN的映射,称为N上的权函数,对于(x,y)eF,W(x,y)称为(x,y)上的权。定义3:六元组==(S,T;F,K,W,Mo)构成网系统的条件是:(1)N=(S,T;F)构成网,称为工的基网(2)K,W,Mo依次为N上的

5、容量函数、权函数和标识。称为二的初始标识。定义4:设==(S,T;F,K,W,MJ为网系统,则任一•变迁t在M有发生权的条件是:对于t的任一前驱s,M(s)>W(s,t),并且对于t的任一后继s,M(s)+w(t,s)WK(s)。2.利用petri网表示网络事件作为入侵检测技术的一种辅助手段,可以用Petri网来描述网络事件,而不是入侵。发生在网络上的网络事件多种多样,悄况复杂,因此需要冇一种简单冇效的方法來描述网络事件,利用Petri网可以实现这一目的。川Petri网來描述网络事件的基本思想是:川库所表示网络事件中的某

6、一状态,用变迁表示某一特定的事件,当某一特定的事件出现吋,变迁被激活,拖肯从当前变迁的前驱库所流动到后继库所,即网络事件中的当前状态改变,变化到下一个状态。例如我们需要监控rlogin连接,「login连接是对特定端口的一个TCP连接,需要在源S和目的D之间进行三次握手,实际上网络入侵中的很多重要事件都是通过TCP连接來生成的。可以用Petri网來表示这一时间的牛成过程,如图1所示开始状态络柬状济5YNSVN-ACKACK图一用petri网表示tcp的连接过程在图1中,首先S向D发送一个会话连接建立请求(SYN)数据包,

7、D受:到该数据包后,向S发牛会话连接建立应答(SYN+ACK)数据包,最后S再向D发送会话连接建立应答(ACK)数据包,这样,一个TCP连接就建立了,于是,通过Petri网描述出了连接建立事件。将变迁的功能进行扩充,就可以描述更为复朵的网络事件,具体的扩充方法为:(1)采用时钟变最CLK来表示与时间相关的事件,即当某一事件发生后,如果在另一事件出现前其时间间隔达到一定的阈值,则该时钟变量被置位,相当于该事件的变迁被激活。(2)可以用0来表示变迁,即该变迁不需要任何事件来触发,只要该变迁的前驱库所中含有token,变迁就可

8、以发生,使得token流入该变迁的示继库所。经过这样的扩充示,就可以用Petri网來描述与时间相关的网络事件。1.基于Petri网的入侵检测系统原型为了验证用Petri网表示网络事件对于入侵检测的有效性,我们在linux下开发了一个简单的基于Petri网的入侵检测系统原型。该系统从下到上是分为四层:数据采集层、事件层、分析层以及响应层。这四个层次的功能分别有数据采集模型、事件牛成模块、入侵分析模块和告警响应模块來实现。其结构如图2日衣文件图2基于Petri两的入侵检测系统原型的结构在该系统屮,数据采集模块采用libcap

9、来实现。Libcap是一个与实现无关的访问操作系统所提供的分组捕获函数库,用于访问数据链路层。事件生成模块采用Petri网来实现,将数据采集模块采集到的数据进行处理和抽象,生成各种网络事件。入侵分析模块针对各种网络事件,采用相应的分析方法进行分析(如概率统计方法),从而发现违反网络安全策略的入侵行为。对于发现的入侵行为,由告警响应模块将具记人H志文件。配置于入侵检测的有效性,因此在各个模块的实现中都采用了尽可能简单的方法。2.实例分析我们结合貝体的入侵实例來说明在上述系统原型中如何检测入侵,这里以端口扫描为例來进行说明。

10、端口扫描就是通过连接到目标系统的TCP或UDP端口,来确定什么服务正在运行。对目标计算机进行端口扌「I描,能得到许多有用的信息。因此端口扌「I描往往是黑客入侵的第一步。将端口扫描定义为在吋间T内向超过P个端tl进行TCP连接尝试,或者在吋间T内向超过P个端口发送UDP数据包。端口扫描可以是对任一TP地址的多个端口,也

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。