入侵檢測(cè)技術(shù)學(xué)論文

1、學(xué)年論文題 目：入侵檢測(cè)技術(shù)現(xiàn)狀分析與研究 學(xué) 院 專 業(yè) 級(jí) 班學(xué)生姓名 學(xué) 號(hào) 指導(dǎo)教師 職 稱 完成日期 入侵檢測(cè)技術(shù)現(xiàn)狀分析與研究【摘要】隨著網(wǎng)絡(luò)的快速發(fā)展及普及,網(wǎng)絡(luò)安全已經(jīng)成為不可忽視的信息安全.小至個(gè)人用戶的信息,大至公司企業(yè)重要的資料數(shù)據(jù),一但在不知不覺中被盜竊,會(huì)給自己乃至公司帶來(lái)利益的損失.入侵檢測(cè)技在1980年由JamesP.Anderson在給一個(gè)保密客戶寫的一份題為計(jì)算機(jī)安全威脅監(jiān)控與監(jiān)視的技術(shù)報(bào)告中指出,審計(jì)記錄可以用于識(shí)別計(jì)算機(jī)誤用,他給威脅進(jìn)行了分類,第一次詳細(xì)闡述了入侵檢測(cè)的概念【關(guān)鍵詞】IDS、協(xié)議、分析、網(wǎng)絡(luò)安全11目錄第一章緒 論11.1入侵檢測(cè)技術(shù)的背

2、景11.2入侵檢測(cè)技術(shù)的應(yīng)用與發(fā)展現(xiàn)狀1第二章入侵檢測(cè)技術(shù)12.1入侵檢測(cè)系統(tǒng)的分類12.1.1基于主機(jī)的入侵檢測(cè)系統(tǒng)22.1.2基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)22.2入侵檢測(cè)技術(shù)32.2.1異常入侵檢測(cè)技術(shù)32.2.2誤用入侵檢測(cè)技術(shù)3第三章校園網(wǎng)中的分布式入侵檢測(cè)分析43.1 分布式入侵檢測(cè)的設(shè)計(jì)思想43.2 校園分布式入侵檢測(cè)模式的分析43.3 采用的入侵檢測(cè)技術(shù)5第四章入侵檢測(cè)系統(tǒng)的發(fā)展趨勢(shì)7第五章總結(jié)81第一章 緒 論1.1 入侵檢測(cè)技術(shù)的背景隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,人們已經(jīng)離不開了網(wǎng)絡(luò)的通信.網(wǎng)絡(luò)滲透到了人們生活的點(diǎn)點(diǎn)滴滴,地球村的建設(shè),讓人們走進(jìn)了高速發(fā)展的時(shí)代,信息中心的高速傳輸

3、,網(wǎng)絡(luò)資源的高度共享,都離不開網(wǎng)絡(luò).網(wǎng)絡(luò)使得信息的獲取、傳遞、處理和利用變得更加有效,網(wǎng)絡(luò)帶給人們學(xué)習(xí)、工作、娛樂(lè)的便利之余,也帶給我們一些安全隱患.網(wǎng)絡(luò)黑客可以輕松的取走你的重要的文件,盜取你的銀行存款,破壞你的企業(yè)平臺(tái),公布你的隱私信函,篡改、干擾和毀壞你的數(shù)據(jù)庫(kù),甚至直接破壞用戶的計(jì)算機(jī),使你的網(wǎng)絡(luò)癱瘓或者崩潰.所以,研究各種切實(shí)有效的安全技術(shù)來(lái)保障計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)的安全,已經(jīng)成為一個(gè)刻不容緩的問(wèn)題.伴隨著網(wǎng)絡(luò)的發(fā)展,各種網(wǎng)絡(luò)安全技術(shù)也隨之發(fā)展起來(lái).美國(guó)韋式大辭典中對(duì)入侵檢測(cè)的定義為:“硬闖入的行為,或者是在沒(méi)受到邀請(qǐng)和歡迎的情況下進(jìn)入一個(gè)地方”.當(dāng)說(shuō)到入侵檢測(cè)的時(shí)候,我們是指發(fā)現(xiàn)了

4、網(wǎng)絡(luò)上的一臺(tái)計(jì)算機(jī)有未經(jīng)過(guò)授權(quán)的闖入行為,這個(gè)未經(jīng)過(guò)許可的網(wǎng)絡(luò)入侵或訪問(wèn),是一種對(duì)其他網(wǎng)絡(luò)設(shè)備的安全威脅或傷害.我們通常使用的網(wǎng)絡(luò)安全技術(shù)有:防火墻、殺毒軟件、虛擬專用網(wǎng)、數(shù)據(jù)加密、數(shù)字簽名和身份認(rèn)證技術(shù)等.這些傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù),對(duì)保護(hù)網(wǎng)絡(luò)的安全起到非常重要的作用,然而它們也存在不少缺陷.例如,防火墻技術(shù)雖然為網(wǎng)絡(luò)服務(wù)提供了較好的身份認(rèn)證和訪問(wèn)控制,但是它不能防止來(lái)自防火墻內(nèi)部的攻擊,不能防備最新出現(xiàn)的威脅,不能防止繞過(guò)防火墻的攻擊,入侵者可以利用脆弱性程序或系統(tǒng)漏洞繞過(guò)防火墻的訪問(wèn)控制來(lái)進(jìn)行非法攻擊.傳統(tǒng)的身份認(rèn)證技術(shù),很難抵抗脆弱性口令,字典攻擊,特洛伊木馬,網(wǎng)絡(luò)窺探器以及電磁輻射等攻擊

5、手段.虛擬專用網(wǎng)技術(shù)只能保證傳輸過(guò)程中的安全,并不能防御諸如拒絕服務(wù)攻擊,緩沖區(qū)溢出等常見的攻擊.另外,這些技術(shù)都屬于靜態(tài)安全技術(shù)的范疇；靜態(tài)安全技術(shù)的缺點(diǎn)是只能靜態(tài)和消極地防御入侵,而不能主動(dòng)檢測(cè)和跟蹤入侵.而入侵檢測(cè)技術(shù)是一種動(dòng)態(tài)安全技術(shù),它主動(dòng)地收集包括系統(tǒng)審計(jì)數(shù)據(jù),網(wǎng)絡(luò)數(shù)據(jù)包以及用戶活動(dòng)狀態(tài)等多方面的信息；然后進(jìn)行安全性分析,從而及時(shí)發(fā)現(xiàn)各種入侵并產(chǎn)生響應(yīng).、1.2 入侵檢測(cè)技術(shù)的應(yīng)用與發(fā)展現(xiàn)狀在目前的計(jì)算機(jī)安全狀態(tài)下,基于防火墻,加密技術(shù)等的安全防護(hù)固然重要；但是要根本改善系統(tǒng)的安全現(xiàn)狀,必須要發(fā)展入侵檢測(cè)技術(shù).它已經(jīng)成為計(jì)算機(jī)安全策略中的核心技術(shù)之一.Intrusion Detec

6、tion System(簡(jiǎn)稱IDS)作為一種主動(dòng)的安全防護(hù)技術(shù),提供了對(duì)內(nèi)部攻擊,外部攻擊和誤操作的實(shí)時(shí)保護(hù).從網(wǎng)絡(luò)安全立體縱深的多層次防御角度出發(fā),入侵檢測(cè)理應(yīng)受到高度重視,這從國(guó)外入侵檢測(cè)產(chǎn)品市場(chǎng)的蓬勃發(fā)展就可以看出.在國(guó)內(nèi),隨著上網(wǎng)關(guān)鍵部門,關(guān)鍵業(yè)務(wù)越來(lái)越多,迫切需要具有自主版權(quán)的入侵檢測(cè)產(chǎn)品；但目前我國(guó)的入侵檢測(cè)技術(shù)還不夠成熟,處于發(fā)展和跟蹤國(guó)外技術(shù)的階段,所以對(duì)入侵檢測(cè)系統(tǒng)的研究非常重要.傳統(tǒng)的入侵檢測(cè)系統(tǒng)中一般采用傳統(tǒng)的模式匹配技術(shù),將待分析事件與入侵規(guī)則相匹配.從網(wǎng)絡(luò)數(shù)據(jù)包的包頭開始與攻擊特征字符串比較.若比較結(jié)果不同,則下移一個(gè)字節(jié)再進(jìn)行；若比較結(jié)果相同,那么就檢測(cè)到一個(gè)可能的

7、攻擊.這種逐字節(jié)匹配方法具有兩個(gè)最根本的缺陷:計(jì)算負(fù)載大以及探測(cè)不夠靈活.面對(duì)近幾年不斷出現(xiàn)的ATM,千兆以太網(wǎng),G比特光纖網(wǎng)等高速網(wǎng)絡(luò)應(yīng)用,實(shí)現(xiàn)實(shí)時(shí)入侵檢測(cè)成為一個(gè)現(xiàn)實(shí)的問(wèn)題.適應(yīng)高速網(wǎng)絡(luò)的環(huán)境,改進(jìn)檢測(cè)算法以提高運(yùn)行速度和效率是解決該問(wèn)題的一個(gè)途徑.協(xié)議分析能夠智能地"解釋"協(xié)議,利用網(wǎng)絡(luò)協(xié)議的高度規(guī)則性快速探測(cè)攻擊的存在,從而大大減少了模式匹配所需的運(yùn)算.所以說(shuō)研究基于協(xié)議分析的入侵檢測(cè)技術(shù)具有很強(qiáng)的現(xiàn)實(shí)意義.第二章 入侵檢測(cè)技術(shù)2.1 入侵檢測(cè)系統(tǒng)的分類入侵檢測(cè)系統(tǒng)按采用的技術(shù)分為:異常檢測(cè)系統(tǒng)和誤用檢測(cè)系統(tǒng).按系統(tǒng)所監(jiān)測(cè)的對(duì)象分為:基于主機(jī)的入侵檢測(cè)系統(tǒng)和基于網(wǎng)絡(luò)

8、入侵檢測(cè)系統(tǒng).按系統(tǒng)的工作方式分為:離線檢測(cè)系統(tǒng)和在線檢測(cè)系統(tǒng).按系統(tǒng)對(duì)入侵的反應(yīng)分為:主動(dòng)入侵檢測(cè)系統(tǒng)和被動(dòng)入侵檢測(cè)系統(tǒng).框架圖如圖所示。入侵檢測(cè)系統(tǒng)主機(jī)型網(wǎng)絡(luò)型異常檢測(cè)誤用檢測(cè)圖2-1 入侵檢測(cè)系統(tǒng)框架圖2.1.1基于主機(jī)的入侵檢測(cè)系統(tǒng)基于主機(jī)的入侵檢測(cè)系統(tǒng)監(jiān)視主機(jī)的文件系統(tǒng)或者操作系統(tǒng)及各種服務(wù)生成的日志文件,以便發(fā)現(xiàn)入侵蹤跡.它的優(yōu)點(diǎn)有:不受加密傳輸?shù)挠绊?它能夠了解被監(jiān)視主機(jī)應(yīng)用層的活動(dòng)細(xì)節(jié),有效檢測(cè)發(fā)生在應(yīng)用層的入侵活動(dòng),可以檢測(cè)多種網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)包,而不用像網(wǎng)絡(luò)IDS系統(tǒng)一樣需安裝多臺(tái)傳感器,這樣就使整個(gè)系統(tǒng)的成本大大降低；由于使用包含實(shí)際發(fā)生事件的日志文件,所以比基于網(wǎng)絡(luò)的系

9、統(tǒng)就更能了解某一入侵行為是否最終成功從而減少錯(cuò)誤.它的缺點(diǎn)有:由于作為用戶進(jìn)程運(yùn)行,這種入侵檢測(cè)系統(tǒng)依賴于操作系統(tǒng)底層的支持,與系統(tǒng)的體系結(jié)構(gòu)有關(guān),所以它無(wú)法了解發(fā)生在下層協(xié)議的入侵活動(dòng)；老練的入侵者往往可以進(jìn)入系統(tǒng)修改、刪除有關(guān)的日志記錄,從而隱藏入侵跡象；由于它位于所監(jiān)視的每一個(gè)主機(jī)中,故所占用的資源不能太多,從而大大限制了所采用的檢測(cè)方法及處理性能.2.1.2基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)直接從網(wǎng)絡(luò)數(shù)據(jù)流中截獲原始的網(wǎng)絡(luò)包作為信息源,并從中搜索可疑行為.它的優(yōu)點(diǎn)有:由于該系統(tǒng)直接搜集網(wǎng)絡(luò)數(shù)據(jù)包,而網(wǎng)絡(luò)協(xié)議是標(biāo)準(zhǔn)的,因此,與目標(biāo)系統(tǒng)的體系結(jié)構(gòu)無(wú)關(guān),可監(jiān)視結(jié)構(gòu)不同的各類系統(tǒng)；該

10、系統(tǒng)使用原始網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行檢測(cè),因此它所收集的審計(jì)數(shù)據(jù)被篡改的可能性很小,而且它不影響被保護(hù)系統(tǒng)的性能；利用工作在混合模式下的網(wǎng)卡實(shí)時(shí)監(jiān)控和分析所有通過(guò)共享式網(wǎng)絡(luò)的傳輸,能夠?qū)崟r(shí)得到目標(biāo)系統(tǒng)與外界交互的所有信息,包括一些很隱藏的端口掃描和沒(méi)有成功入侵的嘗試.它的缺點(diǎn)有:缺乏終端系統(tǒng)對(duì)待定數(shù)據(jù)報(bào)的處理方法等信息,使得從原始的數(shù)據(jù)包中重構(gòu)應(yīng)用層信息很困難,故難以檢測(cè)發(fā)生在應(yīng)用層的攻擊,而對(duì)于檢測(cè)以加密傳輸方式進(jìn)行的入侵無(wú)能為力.從入侵檢測(cè)技術(shù)和入侵檢測(cè)系統(tǒng)可以看出,單獨(dú)一種方法并不能檢測(cè)所有類型的入侵,異常檢測(cè)能檢測(cè)出已知和未知的攻擊,其主要問(wèn)題是如何正確定義一個(gè)正常用戶行為.在動(dòng)態(tài)環(huán)境中,用建立

11、用戶統(tǒng)計(jì)來(lái)確定正常用戶行為幾乎是不可能的事情,這時(shí)關(guān)注一個(gè)過(guò)程的行為更加有效.誤用檢測(cè)具有較高的正確性,但是不能對(duì)未知攻擊進(jìn)行檢測(cè).單個(gè)主機(jī)上安裝的IDS在大規(guī)模網(wǎng)絡(luò)中檢測(cè)入侵時(shí)可能會(huì)出現(xiàn)困難,而多個(gè)主機(jī)上安裝的IDS同樣問(wèn)題.誤用檢測(cè)比異常檢測(cè)能更好地適應(yīng)擴(kuò)展或向其他計(jì)算機(jī)系統(tǒng)的移植.目前這些方法除了基于模式的檢測(cè)方法和狀態(tài)轉(zhuǎn)換分析,都必須檢測(cè)大量的數(shù)據(jù)來(lái)判斷入侵的行為,這直接影響了檢測(cè)入侵的時(shí)間.異常檢測(cè)能夠適應(yīng)改變；而誤用檢測(cè)中,知識(shí)庫(kù)需要定期地進(jìn)行更新.所以要讓入侵檢測(cè)系統(tǒng)更加有效地檢測(cè)而不錯(cuò)誤報(bào)警,減少人工干預(yù),入侵檢測(cè)技術(shù)還需要進(jìn)行大量的研究和開發(fā).2.2 入侵檢測(cè)技術(shù)入侵檢測(cè)技術(shù)

12、主要分為兩類:異常入侵檢測(cè)和誤用入侵檢測(cè).2.2.1異常入侵檢測(cè)技術(shù)異常入侵檢測(cè)是指為所監(jiān)測(cè)的系統(tǒng)建立一個(gè)在正常情況下的描述文件,任何違反該描述的事件的發(fā)生都被認(rèn)為是可疑的,即觀測(cè)活動(dòng)偏離正常系統(tǒng)使用方式的程度.常用的異常檢測(cè)技術(shù)有: 1.統(tǒng)計(jì)分析最早的異常檢測(cè)系統(tǒng)采用的是統(tǒng)計(jì)分析技術(shù).首先,檢測(cè)器根據(jù)用戶對(duì)象的動(dòng)作為每個(gè)用戶建立一個(gè)用戶特征表,通過(guò)比較當(dāng)前特征與已存儲(chǔ)定型的以前特征,從而判斷是否異常行為.統(tǒng)計(jì)分析的優(yōu)點(diǎn):有成熟的概率統(tǒng)計(jì)理論支持,維護(hù)方便,不需要象誤用檢測(cè)系統(tǒng)那樣不斷地對(duì)規(guī)則庫(kù)進(jìn)行更新和維護(hù)等.統(tǒng)計(jì)分析的缺點(diǎn):大多數(shù)統(tǒng)計(jì)分析系統(tǒng)是以批處理的方式對(duì)審計(jì)記錄進(jìn)行分析的,不能提供對(duì)

13、入侵行為的實(shí)時(shí)檢測(cè),統(tǒng)計(jì)分析不能反映事件在時(shí)間順序上的前后相關(guān)性,而不少入侵行為都有明顯的前后相關(guān)性,門限值的確定非常棘手等.2.神經(jīng)網(wǎng)絡(luò)這種方法對(duì)用戶行為具有學(xué)習(xí)和自適應(yīng)功能,能夠根據(jù)實(shí)際檢測(cè)到的信息有效地加以處理并做出入侵可能性的判斷.利用神經(jīng)網(wǎng)絡(luò)所具有的識(shí)別,分類和歸納能力,可以使入侵檢測(cè)系統(tǒng)適應(yīng)用戶行為特征的可變性.從模式識(shí)別的角度來(lái)看,入侵檢測(cè)系統(tǒng)可以使用神經(jīng)網(wǎng)絡(luò)來(lái)提取用戶行為的模式特征,并以此創(chuàng)建用戶的行為特征輪廓.總之,把神經(jīng)網(wǎng)絡(luò)引入入侵檢測(cè)系統(tǒng),能很好地解決用戶行為的動(dòng)態(tài)特征以及搜索數(shù)據(jù)的不完整性,不確定性所造成的難以精確檢測(cè)的問(wèn)題.利用神經(jīng)網(wǎng)絡(luò)檢測(cè)入侵的基本思想是用一系列信息

14、單元(命令)訓(xùn)練神經(jīng)單元,這樣在給定一組輸入后,就可能預(yù)測(cè)輸出.將神經(jīng)網(wǎng)絡(luò)應(yīng)用于攻擊模式的學(xué)習(xí),理論上也是可行的.但目前主要應(yīng)用于系統(tǒng)行為的學(xué)習(xí),包括用戶以及系統(tǒng)守護(hù)程序的行為.與統(tǒng)計(jì)理論相比,神經(jīng)網(wǎng)絡(luò)更好地表達(dá)了變量間的非線性關(guān)系,并且能自動(dòng)學(xué)習(xí)并更新.神經(jīng)網(wǎng)絡(luò)也存在一些問(wèn)題:在不少情況下,系統(tǒng)趨向于形成某種不穩(wěn)定的網(wǎng)絡(luò)結(jié)構(gòu),不能從訓(xùn)練數(shù)據(jù)中學(xué)習(xí)特定的知識(shí),這種情況目前尚不能完全確定產(chǎn)生的原因；另外,神經(jīng)網(wǎng)絡(luò)對(duì)判斷為異常的事件不會(huì)提供任何解釋或說(shuō)明信息,這導(dǎo)致了用戶無(wú)法確認(rèn)入侵的責(zé)任人,也無(wú)法判斷究竟是系統(tǒng)哪方面存在的問(wèn)題導(dǎo)致了攻擊者得以成功入侵.2.2.2誤用入侵檢測(cè)技術(shù)誤用入侵檢測(cè)是對(duì)已

15、知系統(tǒng)和應(yīng)用軟件的弱點(diǎn)進(jìn)行入侵建模,從而對(duì)觀測(cè)到的用戶行為和資源使用情況進(jìn)行模式匹配而達(dá)到檢測(cè)目的.常見的誤用入侵檢測(cè)技術(shù)有以下幾種:1.模式匹配模式匹配是最常用的誤用檢測(cè)技術(shù),特點(diǎn)是原理簡(jiǎn)單,擴(kuò)展性好,檢測(cè)效率高,可以實(shí)時(shí)檢測(cè)；但是只能適用于比較簡(jiǎn)單的攻擊方式.它將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式串進(jìn)行比較,從而發(fā)現(xiàn)違背安全策略的行為.著名的輕量級(jí)開放源代碼入侵檢測(cè)系統(tǒng)Snort就是采用這種技術(shù).2.專家系統(tǒng)該技術(shù)根據(jù)安全專家對(duì)可疑行為的分析經(jīng)驗(yàn)來(lái)形成一套推理規(guī)則,然后在此基礎(chǔ)上建立相應(yīng)的專家系統(tǒng)來(lái)自動(dòng)對(duì)所涉及的入侵行為進(jìn)行分析.該系統(tǒng)應(yīng)當(dāng)能夠隨著經(jīng)驗(yàn)的積累而利用其自學(xué)習(xí)能力進(jìn)行規(guī)

16、則的擴(kuò)充和修正.專家系統(tǒng)方法存在一些實(shí)際問(wèn)題:處理海量數(shù)據(jù)時(shí)存在效率問(wèn)題,這是由于專家系統(tǒng)的推理和決策模塊通常使用解釋型語(yǔ)言來(lái)實(shí)現(xiàn),所以執(zhí)行速度比編譯型語(yǔ)言慢；專家系統(tǒng)的性能完全取決于設(shè)計(jì)者的知識(shí)和技能；規(guī)則庫(kù)維護(hù)非常艱巨,更改規(guī)則時(shí)必須考慮到對(duì)知識(shí)庫(kù)中其他規(guī)則的影響等等.3.狀態(tài)遷移法狀態(tài)遷移圖可用來(lái)描述系統(tǒng)所處的狀態(tài)和狀態(tài)之間可能的遷移.狀態(tài)遷移圖用于入侵檢測(cè)時(shí),表示了入侵者從合法狀態(tài)遷移到最終的危害狀態(tài)所采取的一系列行動(dòng).在檢測(cè)未知的脆弱性時(shí),因?yàn)闋顟B(tài)遷移法強(qiáng)調(diào)的是系統(tǒng)處于易受損的狀態(tài)而不是未知入侵的審計(jì)特征,因此這種方法更具有健壯性.而它潛在的一個(gè)弱點(diǎn)是太拘泥于預(yù)先定義的狀態(tài)遷移序列.

17、這種模型運(yùn)行在原始審計(jì)數(shù)據(jù)的抽象層次上,它利用系統(tǒng)狀態(tài)的觀念和事件的轉(zhuǎn)變流；這就有可能提供了一種既能減少誤警率又能檢測(cè)到新的攻擊的途徑.另外,因?yàn)樯婕傲吮容^高層次的抽象,有希望把它的知識(shí)庫(kù)移植到不同的機(jī)器,網(wǎng)絡(luò)和應(yīng)用的入侵檢測(cè)上.第三章 校園網(wǎng)中的分布式入侵檢測(cè)系統(tǒng)分析隨著網(wǎng)絡(luò)時(shí)代的到來(lái)，校園計(jì)算機(jī)網(wǎng)絡(luò)安全不容忽視。許多高校都建立起自己的局域網(wǎng)，校園一般通過(guò)網(wǎng)關(guān)與Internet相連，網(wǎng)關(guān)成為整個(gè)局域網(wǎng)的安全集中點(diǎn)，校園里所有的機(jī)器都處在同一安全級(jí)別，當(dāng)入侵者入侵校園網(wǎng)攻擊時(shí)，只要突破了校園網(wǎng)的網(wǎng)關(guān)，攻破學(xué)校一臺(tái)機(jī)器，整個(gè)網(wǎng)絡(luò)就將面臨的癱瘓的危險(xiǎn)。為保障校園網(wǎng)絡(luò)的安全和順利進(jìn)行，通常在校園網(wǎng)中

18、采用以Snort為核心的分布式入侵檢測(cè)系統(tǒng)。3.1 分布式入侵檢測(cè)的設(shè)計(jì)思想隨著校園網(wǎng)中功能需求的增加，學(xué)校對(duì)外交流的提高、網(wǎng)上招生的要求、學(xué)生宿舍上網(wǎng)，越來(lái)越多的部門和教室需要接入校園網(wǎng)絡(luò)中，網(wǎng)絡(luò)中心對(duì)校園網(wǎng)不斷的改造，提高校園網(wǎng)絡(luò)的安全性。分布式入侵檢測(cè)系統(tǒng)對(duì)院校實(shí)現(xiàn)管理網(wǎng)絡(luò)化合教學(xué)手段現(xiàn)代化、提高學(xué)校的管理水平和教學(xué)質(zhì)量、實(shí)現(xiàn)網(wǎng)絡(luò)信息資源共享、豐富師生業(yè)余文化生活的同時(shí)在安全方面發(fā)揮積極作用。通過(guò)分布式入侵檢測(cè)系統(tǒng)來(lái)檢測(cè)多個(gè)主機(jī)、多個(gè)網(wǎng)段上的數(shù)據(jù)和信息，對(duì)這些信息進(jìn)行關(guān)聯(lián)和綜合分析，來(lái)發(fā)現(xiàn)可能存在的分布式網(wǎng)絡(luò)攻擊行為并進(jìn)行響應(yīng)處理的入侵檢測(cè)系統(tǒng)。分布式入侵檢測(cè)系統(tǒng)采取了分布式檢測(cè)的體系結(jié)

19、構(gòu)，主機(jī)控制響應(yīng)單元，它對(duì)網(wǎng)絡(luò)探測(cè)響應(yīng)單元在分級(jí)控制臺(tái)的管理下分別檢測(cè)本機(jī)、本網(wǎng)段的入侵行為，具有良好的分布性、可擴(kuò)展性；并在網(wǎng)絡(luò)檢測(cè)響應(yīng)單元系統(tǒng)中設(shè)計(jì)了協(xié)議分析模塊，控制臺(tái)采用分級(jí)控制臺(tái)和總控制臺(tái)。分布式通過(guò)共同協(xié)作的機(jī)制，從多層面上實(shí)施檢測(cè)。提高入侵檢測(cè)的效果。分布式入侵檢測(cè)的設(shè)計(jì)應(yīng)滿足以下幾點(diǎn)功能：入侵檢測(cè)能夠識(shí)別可疑行為，檢測(cè)入侵。攻擊行為檢測(cè)的準(zhǔn)確性，并進(jìn)行警報(bào)，降低檢測(cè)報(bào)警中的誤報(bào)和漏報(bào)。入侵檢測(cè)能針對(duì)不同的警報(bào)級(jí)別分別作出不同的響應(yīng)。入侵檢測(cè)必須允許管理員適時(shí)監(jiān)控攻擊行為，對(duì)不同的功能和報(bào)警進(jìn)行手動(dòng)控制。入侵檢測(cè)能夠處理大規(guī)模的攻擊。入侵檢測(cè)的各組件之間能根據(jù)檢測(cè)到的入侵和報(bào)警相

20、互通信。入侵檢測(cè)本身具有穩(wěn)健性，對(duì)攻擊手法的改變具有適應(yīng)性。入侵檢測(cè)具有可擴(kuò)展性，能滿足今后網(wǎng)絡(luò)擴(kuò)展的需要為保障網(wǎng)絡(luò)安全，入侵檢測(cè)自身應(yīng)具有高可靠性，能保障不間斷運(yùn)行。3.2 校園分布式入侵檢測(cè)模式的分析當(dāng)前網(wǎng)絡(luò)結(jié)構(gòu)逐步復(fù)雜化和大型化的趨勢(shì)下，分布式入侵檢測(cè)由于檢測(cè)范圍大，檢測(cè)時(shí)可以采用不同的檢測(cè)方法，通過(guò)將各個(gè)傳感器放置在不同的組件上，實(shí)現(xiàn)信息收集匯總。入侵檢測(cè)系統(tǒng)的工作過(guò)濾規(guī)則可疑網(wǎng)絡(luò)活動(dòng)檢測(cè)入侵響應(yīng)入侵檢測(cè)圖3-1 入侵檢測(cè)系統(tǒng)工作流程流程如圖3-1所示。Snort是一個(gè)功能強(qiáng)大的入侵檢測(cè)系統(tǒng)，具有靈活、可定制和可擴(kuò)展的特點(diǎn)。因此采用以Snort為核心的分布式入侵檢測(cè)系統(tǒng)?；赟nort

21、的分布式入侵檢測(cè)系統(tǒng)按功能主要由三個(gè)部分組成：傳感器、數(shù)據(jù)管理中心、管理決策中心，是一個(gè)三層結(jié)構(gòu)。如圖3-2所示。管理決策中心數(shù)據(jù)管理中心數(shù)據(jù)管理中心傳感器傳感器傳感器傳感器傳感器圖3-2 分布式入侵檢測(cè)系統(tǒng)的總體結(jié)構(gòu)傳感器用于收集來(lái)自網(wǎng)絡(luò)上的數(shù)據(jù)，通過(guò)均勻的分布在重要網(wǎng)段上，收集各方位傳來(lái)的數(shù)據(jù)。是分布式入侵檢測(cè)系統(tǒng)重要組成部分。然后將收集來(lái)的數(shù)據(jù)進(jìn)行簡(jiǎn)單的數(shù)據(jù)處理，并采用基于協(xié)議分析和基于模式匹配結(jié)合的方法更全面的檢測(cè)入侵行為，并將入侵?jǐn)?shù)據(jù)日志到數(shù)據(jù)管理中心數(shù)據(jù)庫(kù)中，進(jìn)行存儲(chǔ)和處理。數(shù)據(jù)管理中心是負(fù)責(zé)收集傳感器傳來(lái)的一系列報(bào)警數(shù)據(jù)，并對(duì)收集的報(bào)警數(shù)據(jù)進(jìn)行處理。數(shù)據(jù)中心存儲(chǔ)過(guò)程中進(jìn)行數(shù)據(jù)整理

22、，防止需要存儲(chǔ)的數(shù)據(jù)信息量過(guò)多，方便對(duì)數(shù)據(jù)庫(kù)報(bào)警信息的分類和管理。管理決策中心是網(wǎng)絡(luò)管理員與機(jī)器交互信息中心，負(fù)責(zé)匯總信息整理成材料，以圖文形式顯示數(shù)據(jù)信息，方便管理員作出相應(yīng)的決策機(jī)制。提高網(wǎng)絡(luò)信息的安全性。傳感器用于捕獲來(lái)自網(wǎng)絡(luò)上的數(shù)據(jù)，是進(jìn)行入侵檢測(cè)的基礎(chǔ)，它是由Snort實(shí)現(xiàn)的。由于Snort本身沒(méi)有抓包工具，所以采用外部抓包工具Winpcap。Winpcap負(fù)責(zé)直接從網(wǎng)絡(luò)上抓包，將采集到的數(shù)據(jù)進(jìn)行簡(jiǎn)單處理傳送到數(shù)據(jù)管理中心進(jìn)行封裝。Winpcap提供了一套標(biāo)準(zhǔn)的網(wǎng)絡(luò)數(shù)據(jù)包捕獲的編程接口、捕獲原始數(shù)據(jù)包、在數(shù)據(jù)包發(fā)往應(yīng)用程序之前按照自定義的規(guī)則將某些特別的數(shù)據(jù)包過(guò)濾掉、在網(wǎng)絡(luò)上發(fā)送原始

23、的數(shù)據(jù)包、收集網(wǎng)絡(luò)通信過(guò)程中的統(tǒng)計(jì)信息。預(yù)處理器以插件的形式實(shí)現(xiàn)，它使得Snort入侵檢測(cè)系統(tǒng)具有模塊化的特征，使系統(tǒng)具有靈活的擴(kuò)展能力和配置能力。用戶和程序員能夠?qū)⒏鞣N不同功能的模塊化的插件方便地融入Snort之中，用來(lái)針對(duì)可疑行為檢查包或者修改包，以便檢測(cè)引擎對(duì)其進(jìn)行正確的解釋，從而提高檢測(cè)的準(zhǔn)確性和速度。預(yù)處理可以分為兩類，一類是用于針對(duì)可疑行為或者對(duì)包進(jìn)行修改，以便對(duì)數(shù)據(jù)進(jìn)行分析檢測(cè)時(shí)可以正確的識(shí)別；另一類是負(fù)責(zé)對(duì)流量標(biāo)準(zhǔn)化，以便進(jìn)行檢測(cè)時(shí)可以準(zhǔn)確的匹配特征。通過(guò)它可以提高模式匹配的檢測(cè)效率。預(yù)處理器使入侵檢測(cè)系統(tǒng)可以處理跨多個(gè)包的數(shù)據(jù)，還可以規(guī)范化有多個(gè)數(shù)據(jù)表達(dá)形式的協(xié)議數(shù)據(jù)。通過(guò)預(yù)

24、處理系統(tǒng)具有異常檢測(cè)的能力，可以發(fā)現(xiàn)還沒(méi)有對(duì)應(yīng)規(guī)則的攻擊。另外用戶還可以根據(jù)需要自己編寫新的預(yù)處理插件。3.3 采用的入侵檢測(cè)技術(shù)Snort入侵檢測(cè)系統(tǒng)是基于誤用檢測(cè)的入侵檢測(cè)軟件。一般采用模式匹配的方法檢測(cè)入侵行為。模式匹配是將獲得的數(shù)據(jù)與系統(tǒng)內(nèi)相應(yīng)數(shù)據(jù)進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。具有原理簡(jiǎn)單、擴(kuò)展性好、分析速度快等優(yōu)點(diǎn)。模式匹配算法有很多，BM（Boyer-Moore）算法是一種常用的精確匹配算法，其中Snort入侵檢測(cè)系統(tǒng)急速使用BM算法來(lái)進(jìn)行特征匹配。更具數(shù)據(jù)顯示：Snort在進(jìn)行檢測(cè)的時(shí)候調(diào)用字符串匹配函數(shù)所需要的時(shí)間占總時(shí)間的25.2%，所以字符串匹配算法效率隊(duì)Snort

25、來(lái)說(shuō)很重要。BM算法利用跳過(guò)不必要的比較來(lái)減少字符之間的匹配，以減少匹配次數(shù)來(lái)提高檢測(cè)效率。如：在主字符串（記做P）搜索的文本（記做T），將P的第一個(gè)字符記做P1，P的最后一個(gè)字符記做Pm；T的第一個(gè)字符記做T1，T的最后一個(gè)字符記做Tn；則有：主字符串P：abcacdabaababbaab 模式子串T：ababbaab定義一個(gè)函數(shù)K：x1,2，m；當(dāng)字符不匹配時(shí)，實(shí)現(xiàn)下標(biāo)的移動(dòng)。 n 若任意字符x不出現(xiàn)在T中或x=Pi;（i=m）Kx= n-I 若x在T，這里的i=maxi: Pi=x，1=i=m-1匹配自右向左進(jìn)行：在開始前，將主字符串P與文本T左部對(duì)齊，而匹配搜索從P的最右邊一個(gè)字符開始

26、，忽略不匹配的字符：圖3-3壞字符算法（1）x,y在匹配的過(guò)程中發(fā)生了匹配失敗ab，這時(shí)候判斷b.如果在x中沒(méi)有發(fā)現(xiàn).說(shuō)明只要含有b就不可能匹配,所以跳到b的后面,繼續(xù)匹配.如圖3-3所示。圖3-4壞字符算法（2）x,y在匹配的過(guò)程中發(fā)生了匹配失敗ab,這時(shí)候判斷b.如果在x中發(fā)現(xiàn)有b,則從右邊數(shù)第一個(gè)b和y中的b對(duì)齊.如圖3-4所示。發(fā)現(xiàn)匹配字符：圖3-5 好后綴處理算法（1）關(guān)于"u"的部分是匹配成功的.某一次匹配失敗.描述起來(lái)就是xi+1 . m-1=yi+j+1 . j+m-1=u and xiyi+j 如果"u"的部分在x中能找到.那么找到此位

27、置與b對(duì)齊,但新位置必須滿足cb ，如圖3-5所示。圖3-6 好后綴處理算法（2）關(guān)于"u"的部分是匹配成功的.某一次匹配失敗.描述起來(lái)就是xi+1 . m-1=yi+j+1 . j+m-1=u and xiyi+j如果"u"的部分在x中不能找到.那么找到x的一個(gè)最大前綴"v" 滿足是"u"中最大后綴.然后使這2部分對(duì)齊. 如圖3-6所示。通過(guò)基于模式匹配的檢測(cè)方法，快速地探測(cè)網(wǎng)絡(luò)上不安全因素的存在。它利用網(wǎng)絡(luò)協(xié)議的高度規(guī)則性，只提取數(shù)據(jù)包的重要特征送入處理模塊進(jìn)行檢測(cè)，不僅節(jié)約了檢測(cè)部分的資源，傳輸?shù)臅r(shí)候也極大提

28、高了單位時(shí)間的包特傳輸速率。且同模式匹配技術(shù)結(jié)合，使得入侵檢測(cè)系統(tǒng)具有檢測(cè)速度快、系統(tǒng)消耗低、降低誤報(bào)率等優(yōu)點(diǎn)。第四章 入侵檢測(cè)系統(tǒng)的發(fā)展趨勢(shì)與防火墻等高度成熟的產(chǎn)品相比，入侵檢測(cè)系統(tǒng)還存在相當(dāng)多的問(wèn)題，這些問(wèn)題大多數(shù)是目前入侵檢測(cè)系統(tǒng)的結(jié)構(gòu)所難以克服的，而且這些矛盾可能越來(lái)越尖銳。入侵技術(shù)的發(fā)展與演化主要反映在以下幾個(gè)方面：入侵或攻擊的綜合化與復(fù)雜化。攻擊者不斷增加的知識(shí)，日趨成熟多樣自動(dòng)化工具，以及越來(lái)越復(fù)雜細(xì)致的攻擊手法。入侵檢測(cè)系統(tǒng)必須不斷跟蹤最新的安全技術(shù)，才能不致被攻擊者遠(yuǎn)遠(yuǎn)超越。入侵主體對(duì)象的間接化，惡意信息采用加密的方法傳輸。通過(guò)一定的技術(shù)，可掩蓋攻擊主體的源地址、主機(jī)位置和攻

29、擊信息。不斷增大的入侵或攻擊的規(guī)模。對(duì)于網(wǎng)絡(luò)的入侵與攻擊，在其初期往往是針對(duì)某公司或一個(gè)網(wǎng)站，而現(xiàn)在入侵或攻擊的規(guī)模不斷增大，單一的入侵檢測(cè)系統(tǒng)已很難應(yīng)付。可以想見，隨著網(wǎng)絡(luò)流量的進(jìn)一步加大，對(duì)入侵檢測(cè)系統(tǒng)將提出更大的挑戰(zhàn)，在PC機(jī)上運(yùn)行純軟件系統(tǒng)的方式需要突破。入侵或攻擊技術(shù)的分布化。以往常用的入侵與攻擊行為往往由單機(jī)執(zhí)行，分布式攻擊是近期最常用的攻擊手段。所謂的分布式拒絕服務(wù)在很短時(shí)間內(nèi)可造成被攻擊主機(jī)的癱瘓，且此類分布式攻擊的單片機(jī)信息模式與正常通信無(wú)差異，所以往往在攻擊發(fā)動(dòng)的初期不易被確認(rèn)。攻擊對(duì)象的轉(zhuǎn)移。入侵與攻擊常以網(wǎng)絡(luò)為侵犯的主體，但近期來(lái)的攻擊行為卻發(fā)生了策略性的改變，由攻擊網(wǎng)

30、絡(luò)改為攻擊網(wǎng)絡(luò)的防護(hù)系統(tǒng)，且有愈演愈烈的趨勢(shì)。入侵檢測(cè)系統(tǒng)作為一種新興的網(wǎng)絡(luò)安全手段，從一開始就受到了大家的重視。近年來(lái)，入侵檢測(cè)技術(shù)獲得了極大地發(fā)展，今后的入侵檢測(cè)技術(shù)大致可朝以下幾個(gè)方向發(fā)展。(1)云計(jì)算入侵檢測(cè)的發(fā)展隨著云計(jì)算成為全球新興產(chǎn)業(yè)的重要代表，網(wǎng)絡(luò)入侵者都將目光投到了云計(jì)算這一未來(lái)充滿巨大市場(chǎng)空間的領(lǐng)域。由于云計(jì)算環(huán)境擁有強(qiáng)大的計(jì)算能力、海量的存儲(chǔ)空間和豐富的用戶信息，對(duì)網(wǎng)絡(luò)入侵者具有很大的誘惑力，云計(jì)算環(huán)境目前已經(jīng)成為網(wǎng)絡(luò)入侵者的攻擊目標(biāo)。特別是作為云計(jì)算服務(wù)供應(yīng)商，在為云計(jì)算用戶提供計(jì)算、存儲(chǔ)和各種軟件式服務(wù)的過(guò)程中，很容易遭受各種安全威脅與攻擊的考驗(yàn)。同時(shí)，云計(jì)算環(huán)境下的

31、網(wǎng)絡(luò)攻擊發(fā)動(dòng)更加快速、攻擊能力更加強(qiáng)大、攻擊后果更加嚴(yán)重，使得云計(jì)算環(huán)境的入侵檢測(cè)變得更加重要。(2) 集成網(wǎng)絡(luò)分析和管理功能 入侵檢測(cè)不但對(duì)網(wǎng)絡(luò)攻擊是一個(gè)檢測(cè)。同時(shí),侵檢測(cè)可以收到網(wǎng)絡(luò)中的所有數(shù)據(jù),對(duì)網(wǎng)絡(luò)的故障分析和健康管理也可起到重大作用。當(dāng)管理員發(fā)現(xiàn)某臺(tái)主機(jī)有問(wèn)題時(shí),也希望能馬上對(duì)其進(jìn)行管理。入侵檢測(cè)也不應(yīng)只采用被動(dòng)分析方法,最好能和主動(dòng)分析結(jié)合。所以,入侵檢測(cè)產(chǎn)品集成網(wǎng)管功能,掃描器(Scanner),嗅探器(Sniffer)等功能是以后發(fā)展的方向。 (3) 安全性和易用性的提高 入侵檢測(cè)是個(gè)安全產(chǎn)品,自身安全極為重要。因此，目前的入侵檢測(cè)產(chǎn)品大多采用硬件結(jié)構(gòu),黑洞式接入,免除自身安全

32、問(wèn)題。同時(shí),對(duì)易用性的要求也日益增強(qiáng),例如：全中文的圖形界面,自動(dòng)的數(shù)據(jù)庫(kù)維護(hù),多樣的報(bào)表輸出。這些都是優(yōu)秀入侵產(chǎn)品的特性和以后繼續(xù)發(fā)展細(xì)化的趨勢(shì)。 (4) 高速實(shí)時(shí)入侵檢測(cè)技術(shù)大量高速網(wǎng)絡(luò)技術(shù)在近年內(nèi)不斷出現(xiàn)，在此背景下的各種寬帶接入手段層出不窮，其中很多已經(jīng)得到了廣泛的應(yīng)用。如何實(shí)現(xiàn)高速網(wǎng)絡(luò)下的實(shí)時(shí)入侵檢測(cè)已經(jīng)成為一個(gè)現(xiàn)實(shí)的問(wèn)題。目前，雖然市場(chǎng)上也可以見到一些基于千兆以太網(wǎng)環(huán)境的入侵檢測(cè)產(chǎn)品，但其性能指標(biāo)還遠(yuǎn)未滿足要求。(5) IDS與其他安全部件的互動(dòng)實(shí)現(xiàn)網(wǎng)絡(luò)與信息的安全是一項(xiàng)系統(tǒng)工程,不是哪一種單獨(dú)的安全部件就可以完成的。只有在不同的安全部件之間實(shí)現(xiàn)互聯(lián)互動(dòng),才能更好的保證網(wǎng)絡(luò)與信息的

33、安全。隨著防火墻、入侵檢測(cè)等技術(shù)的不斷發(fā)展,實(shí)現(xiàn)它們之間的互動(dòng)顯得越來(lái)越重要。因此,對(duì)于安全部件之間的互動(dòng)協(xié)議和接口標(biāo)準(zhǔn)的研究,也會(huì)是對(duì)IDS研究的一個(gè)重要方向。由于IDS的地位越來(lái)越重要,防護(hù)的網(wǎng)絡(luò)規(guī)模越來(lái)越大,因此應(yīng)該把IDS和其他安全部件放在一個(gè)對(duì)等的位置來(lái)考慮它們之間的互動(dòng)。應(yīng)該考慮不同廠家的IDS之間,IDS與防火墻之間,IDS與響應(yīng)部件之間的互動(dòng)。在這方面還有很大一部分工作需要解決。(6) IDS標(biāo)準(zhǔn)化工作標(biāo)準(zhǔn)化的工作對(duì)于一項(xiàng)技術(shù)的發(fā)展至關(guān)主要。在某一個(gè)技術(shù)領(lǐng)域,如果沒(méi)有相應(yīng)的標(biāo)準(zhǔn),那么該領(lǐng)域的發(fā)展將會(huì)是無(wú)序的。IDS經(jīng)歷了20多年的發(fā)展,近幾年又成為網(wǎng)絡(luò)與信息安全領(lǐng)域的一個(gè)研究熱

34、點(diǎn),但是到目前為止,尚沒(méi)有一個(gè)相關(guān)的國(guó)際標(biāo)準(zhǔn)出現(xiàn),國(guó)內(nèi)也沒(méi)有IDS方面的標(biāo)準(zhǔn)。因此,IDS的標(biāo)準(zhǔn)化工作應(yīng)引起業(yè)內(nèi)的廣泛重視。 在IDS中,應(yīng)該進(jìn)行標(biāo)準(zhǔn)化的工作主要包括：大規(guī)模分布式IDS的體系結(jié)構(gòu)、入侵特征等數(shù)據(jù)的描述、IDS內(nèi)部的通信協(xié)議和數(shù)據(jù)交換協(xié)議、安全部件間的互動(dòng)協(xié)議和接口標(biāo)準(zhǔn)等。第五章 總結(jié)通過(guò)查找相關(guān)資料,加深對(duì)入侵檢測(cè)技術(shù)的了解,對(duì)當(dāng)下流行技術(shù)進(jìn)行了簡(jiǎn)單的介紹以及比較.入侵檢測(cè)作為一種積極主動(dòng)的安全防護(hù)技術(shù),提供了對(duì)內(nèi)、外部攻擊和誤操作的實(shí)時(shí)保護(hù),在網(wǎng)絡(luò)系統(tǒng)中受到危害之前攔截和響應(yīng)入侵。雖然入侵檢測(cè)技術(shù)的算法多樣化,但兩類入侵檢測(cè)技術(shù)界限還是比較模糊的,隨著科技發(fā)展,兩類技術(shù)漸漸的朝綜合趨勢(shì)發(fā)展。而且它也不是一個(gè)完整的網(wǎng)絡(luò)解決方案,應(yīng)該與其它安全部件實(shí)現(xiàn)聯(lián)動(dòng),進(jìn)