計算機專業(yè)畢業(yè)論文-----入侵檢測與防御技術研究

1、<p><b>　　畢業(yè)設計(論文)</b></p><p>　　題目：入侵檢測與防御技術研究 </p><p><b>　　摘 要</b></p><p>　　入侵檢測系統是信息安全領域研究的熱點問題。在闡述入侵檢測系統概念和類型的</p><p>　　基礎上，指出了當前入侵檢測系

2、統的優(yōu)點及局限性。神經網絡 、遺傳算法、模糊邏輯、免疫原理 、機器學習、專家系統、數據挖掘、Agent等智能化方法是解決IDS局限性的</p><p>　　有效方法。介紹并著重分析了2種基于智能方法的IDS，提出了IDS在今后發(fā)展過程中</p><p><b>　　需要完善的問題。</b></p><p>　　防御技術是建立在內外網絡邊界上的過

3、濾封鎖機制，它認為內部網絡是安全和可信</p><p>　　賴的，而外部網絡被認為是不安全和不可信賴的關鍵詞：IDS;入侵檢測專家系統;人工神經網絡;異常檢測;智能體；防御技術</p><p><b>　　ABSTRACT</b></p><p>　　Intrusion Detection System is a hot research f

4、ield of information security issues. In explainingn the concept and types of intrusion detection system based on intrusion detection system that the current advantages and limitations. Neural networks, genetic algorithms

5、, fuzzy logic, immune theory, machine learning, expert Introduced and analyzed the two kinds of intelligent methods based IDS, IDS proposed development in the future issues that need to improve.</p><p>　　Def

6、ense technology is built on the inside and outside the network boundary filtering block mechanism, it considers the internal network is safe and reliableLai, while the external network is considered unsafe and unreliable

7、</p><p>　　【Keywords】: IDS; Intrusion Detection Expert System; artificial neural networks; anomaly detection; agent; defense technology</p><p><b>　　目錄</b></p><p><b>

8、;　　摘 要I</b></p><p>　　ABSTRACTII</p><p><b>　　目錄III</b></p><p><b>　　前 言1</b></p><p>　　第一章 入侵檢測檢測的發(fā)展歷程和定義2</p><p>　　1.

9、1 發(fā)展歷程2</p><p>　　1.2 入侵檢測的定義2</p><p>　　第二章 入侵檢測的關鍵技術4</p><p>　　2.1基于行為的入侵檢測技術4</p><p>　　2．2 基于知識的入侵檢測技術4</p><p>　　2．3基于其它方法的入侵檢測技術4</p><p&

10、gt;　　第三章 入侵檢測系統模型、分類和IDS5</p><p>　　3.1 入侵檢測系統模型5</p><p>　　3.2 入侵檢測系統分類5</p><p>　　3.3 IDS6</p><p>　　3.3.1 IDS的評價標準6</p><p>　　3.3.2 IDS的發(fā)展趨勢7</p&g

11、t;<p>　　第四章 防御技術7</p><p>　　4.1 防火墻技術7</p><p>　　4.2 防火墻的分類8</p><p>　　4.3 典型防火墻的體系結構9</p><p>　　結 束 語13</p><p>　　致 謝 信14</p><p&

12、gt;　　參 考 文 獻15</p><p><b>　　前 言</b></p><p>　　我國信息網絡安全研究歷經了通信保密、數據保護兩個階段，正在進入網絡信息安全研究階段，現已開發(fā)研制出防火墻、安全路由器、安全網關、黑客入侵檢測、系統脆弱性掃描軟件等。但因信息網絡安全領域是一個綜合、交叉的學科領域它綜合了利用數學、物理、生化信息技術和計算機技術的諸多學科的長

13、期積累和最新發(fā)展成果，提出系統的、完整的和協同的解決信息網絡安全的方案，目前應從安全體系結構、安全協議、現代密碼理論、信息分析和監(jiān)控以及信息安全系統五個方面開展研究，各部分相互協同形成有機整體。</p><p>　　第一章 入侵檢測檢測的發(fā)展歷程和定義</p><p><b>　　1.1 發(fā)展歷程</b></p><p>　　1980年4月，

14、JAMES P.A.為美國空軍做了一份題為“Computer Security Threat Monitoring and </p><p>　　Surveillance”的技術報告。該報告提出問題種對計算機系統風險和威脅的分類方法，并將威脅分</p><p>　　為外部滲透、內部滲透和不法行為3種，最重要的是它提出了利用審計數據來監(jiān)視入侵活動的思想，</p><p&g

15、t;　　即入侵檢測系統的思想[1]。1984年到1986年，喬治敦大學的Dorothy Denning和SRI/CLS公司計算</p><p>　　機科學實驗室的Peter Neumann研究出了一個名為入侵檢測專家系統IDES (Intrusion Detection </p><p>　　Expert Systems)的實時入侵檢測系統模型[2]。該模型的六部件理論為構建IDS提供了一

16、個通用框架。</p><p>　　1988年，Teresa Lunt 等人針對當時爆發(fā)的莫里斯蠕蟲，基于Dorothy Denning提出的入侵檢測模</p><p>　　型[3]開發(fā)出了用于檢測單機上入侵企圖的入侵檢測專家系統IDS。1995年又推出了它的改進版本，</p><p>　　名為下一代入侵檢測專家系統NIDES（Next-generation Intr

17、usion Detection Expert System）[4]。</p><p>　　1989年，加州大學戴維斯分校的Todd Heberlein 寫了一篇題為《A Network Security Monitor》</p><p>　　的論文，文中提出了用監(jiān)控器用于捕獲TCP/IP分組報文，第一次直接將網絡流作為審計數據來源，</p><p>　　因而可以在不

18、將審計數據轉換成統一格式的情況下監(jiān)控異種主機，網絡入侵檢測從此誕生。</p><p>　　時至今日，IDS的發(fā)展大致經歷了3個階段：第一代IDS包括基于主機日志分析、模式匹配，這個階段的IDS基本是試驗性的系統。第二代IDS出現在于20世紀90年代中期，它主要采用網絡數據包截獲，主機網絡數據分析和審計數據分析等技術。代表性的產品有早期的ISS Real Secure(V6.0之前)、Snort等。國內的絕大多數I

19、DS廠家的產品都屬于這一類。第三代IDS是近幾年才出現的，其特點是采用協議分析、行為分析等技術。協議分析技術的采用極大減小了計算量，減少了誤報率；行為異常分析技術的采用賦予了第三代IDS系統識別未知攻擊的能力。第三代IDS可以分為基于異常檢測的IDS和基于誤用(濫用)檢測的IDS兩大類。異常檢測IDS是根據異常行為和計算機資源的使用情況來判斷的，其代表性產品有Network ICE(2001年并入ISS)、Rea1Secure(V7.0

20、)、NFR(v2.0)等。</p><p>　　1.2 入侵檢測的定義</p><p>　　1980年，James P.Anderson 第一次系統闡述了入侵檢測的概念，并將入侵行為分為外部滲透，</p><p>　　內部滲透和不法行為三種，還提出了利用審計數據監(jiān)視入侵活動的思想[1]。即其之后,1986年</p><p>　　Doroth

21、y E.Denning提出實時異常檢測的概念[2]并建立了第一個實時入侵檢測模型，命名為入侵檢測專家系統（IDES），1990年，L.T.Heberlein等設計出監(jiān)視網絡數據流的入侵檢測系統，NSM(Network Security Monitor)。自此之后，入侵檢測系統才真正發(fā)展起來。Anderson將入侵嘗試或威脅定義為：潛在的、有預謀的、未經授權的訪問信息、操作信息、致使統不可靠或無法使用的企圖。而入侵檢測的定義為[4]：發(fā)現

22、非授權使用計算機的個體（如“黑客”）或計算機系統的合法用戶濫用其訪問系統的權利以及企圖實施上述行為的個體。執(zhí)行入侵檢測任務的程序即是入侵檢測系統。入侵檢測系統也可以定義為：檢測企圖破壞計算機資源的完整性，真實性和可用性的行為的軟件。</p><p>　　入侵檢測系統執(zhí)行的主要任務包括[3]：監(jiān)視、分析用戶及系統活動；審計系統構造和弱點；識</p><p>　　別、反映已知進攻的活動模式，向

23、相關人士報警；統計分析異常行為模式；評估重要系統和數據文</p><p>　　件的完整性；審計、跟蹤管理操作系統，識別用戶違反安全策略的行為。入侵檢測一般分為三個步</p><p>　　驟：信息收集、數據分析、響應。 </p><p>　　入侵檢測的目的：（1）識別入侵者；（2）識別入侵行為；（3）檢測和監(jiān)視以實施的入侵行為；（4）為對抗入侵提供信息，阻止入侵的發(fā)生

24、和事態(tài)的擴大；</p><p>　　第二章 入侵檢測的關鍵技術</p><p>　　2.1基于行為的入侵檢測技術</p><p>　　基于行為的入侵檢測技術主要依靠統計的方法來實現對入侵行為的檢測。它通過統計網絡的日常</p><p>　　行為建立一個模型，該模型由各項表示正常行為的統計數字組成。例如:在某一段時間內登錄某臺主</p&g

25、t;<p>　　機失敗次數。在很短時間內重復發(fā)生登錄某臺主機口令出錯的次數等。符合這個模型的網絡行為即</p><p>　　視為正常，不符合的即視為入侵行為。</p><p>　　這種入侵檢測檢測技術的缺點主要在于模型的建立非常困難。建立模型需要花費一定的時間，而</p><p>　　且該入侵檢測技術會造成誤報等。為解決誤報警問題，需要根據網絡的實際使

26、用情況對各種設定的</p><p>　　統計值進行不斷的調節(jié)。</p><p>　　基于行為的入侵檢測技術的優(yōu)點在干它可以檢測到當前不為人知的入侵攻擊方法。</p><p>　　2．2 基于知識的入侵檢測技術</p><p>　　基于知識的入侵檢測技術主要通過應用已有的知識對入侵行為的標志進行識別，從而判斷網絡中是否有入侵行為的發(fā)生川。這些標

27、志主要包括:對一個敏感主機的登錄失敗次數；對一個數據的一些</p><p>　　標志位的設置是否符合RFC標準:以及數據包的內容是否與某個已知攻擊方法的特征代碼相符合等。</p><p>　　基于知識的入侵檢側技術具有較高的準確度，但是它的缺點就是在于對系統的性能要求高，</p><p>　　而且只能檢測到目前已知的攻擊方法，對于未知的攻擊方法沒有檢測能力。<

28、/p><p>　　2．3基于其它方法的入侵檢測技術</p><p>　　基于其它方法的入侵檢測技術主要有:利用專家系統進行入侵檢測，其主要是將有關的入侵知識組織成知識庫，再利用推理引擎進行檢測。但是這種技術主要缺點在于知識的組織困難。利用數據挖掘進行入侵檢測，數據挖掘是數據庫的一項技術，它的作用從大型數據庫中抽取知識，這和分析日志的行為相近。通過數據挖掘程序搜集到審計數據，為各種入侵行為和正常

29、操作建立精確的行為模式。除專家系統、數據挖掘技術之外，還有神經網絡，模糊系統，遺傳算法等。但是這些方法都有一的缺點。</p><p>　　第三章 入侵檢測系統模型、分類和IDS</p><p>　　3.1 入侵檢測系統模型</p><p>　　美國斯坦福國際研究所（SRI）的D.E.Denning于1986年首次提出一種入侵檢測模型[2]，該模型的檢測方法就是建立

30、用戶正常行為的描述模型，并以此同當前用戶活動的審計記錄進行比較，如果有較大偏差，則表示有異?；顒影l(fā)生。這是一種基于統計的檢測方法。隨著技術的發(fā)展，后來人們又提出了</p><p>　　于規(guī)則的檢測方法。結合這兩種方法的優(yōu)點，人們設計出很多入侵檢測的模型。通用入侵檢測構架</p><p>　?。–ommon Intrusion Detection Framework簡稱CIDF）組織，試圖將

31、現有的入侵檢測系統標準化，CIDF</p><p>　　闡述了一個入侵檢測系統的通用模型（一般稱為CIDF模型）。它將一個入侵檢測系統分為以下四個組件：</p><p>　　事件產生器(Event Generators)</p><p>　　事件分析器(Event analyzers)</p><p>　　響應單元(Response unit

32、s)</p><p>　　事件數據庫(Event databases)</p><p>　　它將需要分析的數據通稱為事件，事件可以是基于網絡的數據包也可以是基于主機的系統日志中的</p><p>　　信息。事件產生器的目的是從整個計算機環(huán)境中獲得事件，并向系統其它部分提供此事件。事件分析器</p><p>　　分析得到的事件并產生分析結果。響

33、應單元則是對分析結果做出反應的功能單元，它可以做出切斷連接、</p><p>　　修改文件屬性等強烈反應。事件數據庫是存放各種中間和最終數據的地方的通稱，它可以是復雜的數據</p><p>　　庫也可以是簡單的文本文件。</p><p>　　3.2 入侵檢測系統分類</p><p>　　現有的IDS的分類，大都基于信息源和分析方法。為了體現對

34、IDS從布局、采集、分析、響應等</p><p>　　各個層次及系統性研究方面的問題，在這里采用五類標準：控制策略、同步技術、信息源、分析方法、</p><p><b>　　響應方式。</b></p><p><b>　　按照控制策略分類</b></p><p>　　控制策略描述了IDS的各元素是如

35、何控制的，以及IDS的輸入和輸出是如何管理的。按照控</p><p>　　制策略IDS可以劃分為，集中式IDS、部分分布式IDS和全部分布式IDS。在集中式IDS中，一個中</p><p>　　央節(jié)點控制系統中所有的監(jiān)視、檢測和報告。在部分分布式IDS中，監(jiān)控和探測是由本地的一個控</p><p>　　制點控制，層次似的將報告發(fā)向一個或多個中心站。在全分布式IDS中

36、，監(jiān)控和探測是使用一種叫</p><p>　　“代理”的方法，代理進行分析并做出響應決策。</p><p><b>　　按照同步技術分類</b></p><p>　　同步技術是指被監(jiān)控的事件以及對這些事件的分析在同一時間進行。按照同步技術劃分，IDS</p><p>　　劃分為間隔批任務處理型IDS和實時連續(xù)性IDS。在

37、間隔批任務處理型IDS中，信息源是以文件的</p><p>　　形式傳給分析器，一次只處理特定時間段內產生的信息，并在入侵發(fā)生時將結果反饋給用戶。很多</p><p>　　早期的基于主機的IDS都采用這種方案。在實時連續(xù)型IDS中，事件一發(fā)生，信息源就傳給分析引</p><p>　　擎，并且立刻得到處理和反映。實時IDS是基于網絡IDS首選的方案。</p>

38、;<p><b>　　按照信息源分類</b></p><p>　　按照信息源分類是目前最通用的劃分方法，它分為基于主機的IDS、基于網絡的IDS和分布式IDS。</p><p>　　基于主機的IDS通過分析來自單個的計算機系統的系統審計蹤跡和系統日志來檢測攻擊?；谥鳈C</p><p>　　的IDS是在關鍵的網段或交換部位通過捕獲

39、并分析網絡數據包來檢測攻擊。分布式IDS，能夠同時</p><p>　　分析來自主機系統日志和網絡數據流，系統由多個部件組成，采用分布式結構。</p><p><b>　　按照分析方法分類</b></p><p>　　按照分析方法IDS劃分為濫用檢測型IDS和異常檢測型IDS。濫用檢測型的IDS中，首先</p><p>

40、　　建立一個對過去各種入侵方法和系統缺陷知識的數據庫，當收集到的信息與庫中的原型相符合</p><p>　　時則報警。任何不符合特定條件的活動將會被認為合法，因此這樣的系統虛警率很低。異常檢</p><p>　　測型IDS是建立在如下假設的基礎之上的，即任何一種入侵行為都能由于其偏離正?；蛘咚?lt;/p><p>　　望的系統和用戶活動規(guī)律而被檢測出來。所以它需要一個

41、記錄合法活動的數據庫，由于庫的有</p><p>　　限性使得虛警率比較高。</p><p><b>　　按照響應方式分類</b></p><p>　　按照響應方式IDS劃分為主動響應IDS和被動響應IDS。當特定的入侵被檢測到時，主動</p><p>　　IDS會采用以下三種響應：收集輔助信息；改變環(huán)境以堵住導致入侵發(fā)

42、生的漏洞；對攻擊</p><p>　　者采取行動（這是一種不被推薦的做法，因為行為有點過激）。被動響應IDS則是將信息提供給</p><p>　　系統用戶，依靠管理員在這一信息的基礎上采取進一步的行動。</p><p><b>　　3.3 IDS</b></p><p>　　3.3.1 IDS的評價標準</p&g

43、t;<p>　　目前的入侵檢測技術發(fā)展迅速，應用的技術也很廣泛，如何來評價IDS的優(yōu)缺點就顯得非常重</p><p>　　要。評價IDS的優(yōu)劣主要有這樣幾個方面[5]：（1）準確性。準確性是指IDS不會標記環(huán)境中的一個</p><p>　　合法行為為異?；蛉肭帧＃?）性能。IDS的性能是指處理審計事件的速度。對一個實時IDS來說，</p><p>　　

44、必須要求性能良好。（3）完整性。完整性是指IDS能檢測出所有的攻擊。（4）故障容錯（fault </p><p>　　tolerance）。當被保護系統遭到攻擊和毀壞時，能迅速恢復系統原有的數據和功能。（5）自身抵抗</p><p>　　攻擊能力。這一點很重要，尤其是“拒絕服務”攻擊。因為多數對目標系統的攻擊都是采用首先用</p><p>　　“拒絕服務”攻擊摧毀I

45、DS，再實施對系統的攻擊。（6）及時性（Timeliness）。一個IDS必須盡快</p><p>　　地執(zhí)行和傳送它的分析結果，以便在系統造成嚴重危害之前能及時做出反應，阻止攻擊者破壞審計</p><p><b>　　數據或IDS本身。</b></p><p>　　除了上述幾個主要方面，還應該考慮以下幾個方面：（1）IDS運行時，額外的計算機

46、資源的開銷；（2）</p><p>　　誤警報率／漏警報率的程度；（3）適應性和擴展性；（4）靈活性；（5）管理的開銷；（6）是否便于</p><p><b>　　使用和配置。</b></p><p>　　3.3.2 IDS的發(fā)展趨勢</p><p>　　隨著入侵檢測技術的發(fā)展，成型的產品已陸續(xù)應用到實踐中。入侵檢測系統

47、的典型代表是（國</p><p>　　際互聯網安全系統公司）公司的RealSecure。目前較為著名的商用入侵檢測產品還有：NAI公</p><p>　　司的CyberCop Monitor、Axent公司的NetProwler、CISCO公司的Netranger、CA公司</p><p>　　Sessionwall－3等。國內的該類產品較少，但發(fā)展很快，已有總參北

48、方所、中科網威、啟明星</p><p><b>　　辰等公司推出產品。</b></p><p>　　人們在完善原有技術的基礎上，又在研究新的檢測方法，如數據融合技術，主動的自主代</p><p>　　理方法，智能技術以及免疫學原理的應用等。其主要的發(fā)展方向可概括為：</p><p>　　大規(guī)模分布式入侵檢測。傳統的入侵檢

49、測技術一般只局限于單一的主機或網絡框架，</p><p>　　顯然不能適應大規(guī)模網絡的監(jiān)測，不同的入侵檢測系統之間也不能協同工作。因此，必須發(fā)展</p><p>　　大規(guī)模的分布式入侵檢測技術。</p><p>　　寬帶高速網絡的實時入侵檢測技術。大量高速網絡的不斷涌現，各種寬帶接入手段層</p><p>　　出不窮，如何實現高速網絡下的實時

50、入侵檢測成為一個現實的問題。</p><p>　?。?）入侵檢測的數據融合技術。目前的IDS還存在著很多缺陷。首先，目前的技術還不能對</p><p>　　付訓練有素的黑客的復雜的攻擊。其次，系統的虛警率太高。最后，系統對大量的數據處理，</p><p>　　非但無助于解決問題，還降低了處理能力。數據融合技術是解決這一系列問題的好方法。</p><

51、;p>　　（4）與網絡安全技術相結合。結合防火墻，病毒防護以及電子商務技術，提供完整的網絡安</p><p><b>　　全保障。</b></p><p>　　①如果選中的是位于導航結構最底層的網頁（在其下沒有子網頁），將彈出“刪除網</p><p>　　頁”對話框，若只需從導航結構中刪除網頁，可選擇“將本網頁從導航結構中刪除”單選項，&

52、lt;/p><p>　　并單擊“確定”按鈕。</p><p>　　② 如果選擇的是導航結構中的中層網頁（其中包含子網頁，其本身是另一個網頁的子網頁），</p><p>　　將彈出“刪除網頁”對話框。單擊“確定”按鈕。</p><p>　　選擇的是當前站點的主頁，則會彈出“刪除網頁”對話框。其中只有一個選項，單擊“確定”</p>&l

53、t;p><b>　　按鈕即可。</b></p><p><b>　　第四章 防御技術</b></p><p>　　4.1 防火墻技術</p><p>　　所謂防火墻(firewall)是建立在內外網絡邊界上的過濾封鎖機制，它認為內部網絡是安全和可</p><p>　　信賴的，而外部網絡被認

54、為是不安全和不可信賴的。防火墻的作用是防止未經授權地訪問被保護的內部</p><p>　　網絡，通過邊界控制強化內部網絡的安全策略。它的實現有多種形式，但原理很簡單，可以把它想象為</p><p>　　一對開關，其中一個用來阻止傳輸，另一個用來允許傳輸。防火墻作為網絡安全體系的基礎和核心控制</p><p>　　設備，它貫穿于受控網絡通信主干線，對通過受控干線的任何

55、通信行為進行安全處理，如控制、審計、</p><p>　　報警、反應等，同時也承擔著繁重的通信任務。由于其自身處于網絡系統中的敏感位置，自身還要面對</p><p>　　各種安全威脅，因此選用一個安全、穩(wěn)定和可靠的防火墻產品，其重要性不言而喻。</p><p>　　在網絡層，防火墻被用來處理信息在內外網絡邊界的流動，它可以確定來自哪些地址的信息可</p>

56、<p>　　以通過或者禁止哪些目的地址的主機。在傳輸層，這個連接可以被端到端的加密，也就是進程到進程的</p><p>　　加密。在應用層，它可以進行用戶級的身份認證、日志記錄和賬號管理。因此防火墻技術簡單說就是一</p><p>　　套身份認證、加密、數字簽名和內容檢查集成一體的安全防范措施，所有來自Internet的傳輸信息和</p><p>　　

57、內部網絡發(fā)出的傳輸信息都要過防火墻，由防火墻進行分析，以確保它們符合站點設定的安全策略，以</p><p>　　提供一種內部節(jié)點或網絡與Internet的安全屏障。</p><p>　　4.2 防火墻的分類</p><p>　　防火墻技術經歷了包過濾、應用代理網關和狀態(tài)檢測3個發(fā)展階段。包過濾型的防火墻通常直</p><p>　　接轉發(fā)報文，

58、它對用戶完全透明，速度較快；應用代理網關防火墻是通過服務器建立連接的，可以有更</p><p>　　強的身份驗證和注冊功能；狀態(tài)檢測防火墻是在其核心部分建立狀態(tài)連接表，并將進出網絡的數據當成</p><p>　　一個個會話，利用狀態(tài)表跟蹤每一個會話狀態(tài)。狀態(tài)監(jiān)測對每一個包的檢查不僅根據規(guī)則表，更考慮了</p><p>　　數據包是否符合會話所處的狀態(tài)，因此提供了完整

59、的對傳輸層的控制能力。</p><p>　　(1)包過濾型防火墻</p><p>　　包過濾防火墻一般有一個包檢查塊(通常稱為包過濾器)，數據包過濾可以根據數據包頭中的各</p><p>　　項信息來控制站點與站點、站點與網絡、網絡與網絡之間的相互訪問，但無法控制傳輸數據的內容，因</p><p>　　為內容是應用層數據，而包過濾器處在網絡層

60、和數據鏈路層（即TCP和IP層)之間。通過檢查模塊，防</p><p>　　火墻能夠攔截和檢查所有出站和進站的數據，它首先打開包，取出包頭，根據包頭的信息確定該包是否</p><p>　　符合包過濾規(guī)則，并進行記錄。對于不符合規(guī)則的包，應進行報警并丟棄該包。</p><p>　　包過濾防火墻工作在網絡層，對數據包的源及目地IP具有識別和控制作用，對于傳輸層，也只&l

61、t;/p><p>　　能識別數據包是TCP還是UDP及所用的端口信息。由于只對數據包的IP地址、TCP／UDP協議和端口進</p><p>　　行分析，如果一條規(guī)則阻止包傳輸或接收，則此包便不被允許通過，否則該包可以被繼續(xù)處理。包過濾、</p><p>　　防火墻的處理速度較快，并且易于配置。</p><p>　　包過濾防火墻的優(yōu)點：防火墻對每條

62、傳人和傳出網絡的包實行低水平控制；每個IP包的字段都</p><p>　　被檢查，例如源地址、目的地址、協議、端口等；防火墻可以識別和丟棄帶欺騙性源IP地址的包；包</p><p>　　過濾防火墻是兩個網絡之間訪問的惟一通道；包過濾通常被包含在路由器數據包中，所以不必用額外的</p><p>　　系統來處理這個特征。</p><p>　　包過

63、濾防火墻缺點：不能防范黑客攻擊，因為網管不可能區(qū)分出可信網絡與不可信網絡的界限；</p><p>　　不支持應用層協議，因為它不認識數據包中的應用層協議；訪問控制粒度太粗糙，不能處理新的安全威</p><p><b>　　脅。</b></p><p>　　(2)應用代理網關防火墻</p><p>　　應用代理網關防火墻徹

64、底隔斷內網與外網的直接通信，內網用戶對外網的訪問變成防火墻對外</p><p>　　網的訪問，然后再由防火墻轉發(fā)給內網用戶。所有通信都必須經應用層代理軟件轉發(fā)，訪問者任何時候</p><p>　　都不能與服務器建立直接的TCP連接，應用層的協議會話過程必須符合代理的安全策略要求。</p><p>　　應用代理網關的優(yōu)點是可以檢查應用層、傳輸層和網絡層的協議特征，對數

65、據包的檢測能力</p><p><b>　　較強。其缺點：</b></p><p>　?、匐y于配置。由于每個應用都要求單獨的代理進程，這就要求網管能理解每項應用協議的弱點，</p><p>　　并能合理地配置安全策略，由于配置煩瑣，難于理解，容易出現配置失誤，最終影響內網的安</p><p><b>　　全防范

66、能力。</b></p><p>　　②處理速度非常慢。斷掉所有的連接，由防火墻重新建立連接，理論上可以使應用代理防火墻</p><p>　　具有極高的安全性，但是實際應用中并不可行，因為對于內網的每個Web訪問請求，應用代理都需要開</p><p>　　一個單獨的代理進程，它要保護內網的Web服務器、數據庫服務器、文件服務器、郵件服務器及業(yè)務程</

67、p><p>　　序等，就需要建立一個個服務代理，以處理客戶端的訪問請求。這樣，應用代理的處理延遲會很大，內</p><p>　　網用戶的正常Web訪問不能及時得到響應。</p><p>　　總之，應用代理防火墻不能支持大規(guī)模的并發(fā)連接，對速度要求高的行業(yè)不能使用這類防火墻。</p><p>　　另外，防火墻核心要求預先內置一些已知應用程序的代理，

68、使得一些新出現的應用在代理防火墻內被無</p><p>　　情地阻斷，不能很好地支持新應用。</p><p>　　(3)狀態(tài)檢測技術防火墻</p><p>　　狀態(tài)檢測技術防火墻結合了代理防火墻的安全性和包過濾防火墻的高速度等優(yōu)點，在不損失安</p><p>　　全性的基礎上將代理防火墻的性能提高。</p><p>　

69、　Internet上使用的是TCP／IP協議，TCP協議的每個可靠連接均需要經過“客戶端同步請求”、</p><p>　　“服務器應答”、“客戶端再應答”3次握手。例如最常用到的Web瀏覽、文件下載、收發(fā)郵件等都要經</p><p>　　過這3次握手。這反映出數據包并不是獨立的，而是前后之間有著密切的狀態(tài)聯系，基于這種狀態(tài)變化，</p><p>　　引出了狀態(tài)檢測技

70、術。</p><p>　　狀態(tài)檢測防火墻摒棄了包過濾防火墻僅考查數據包的IP地址等幾個參數，而不關心數據包連接</p><p>　　狀態(tài)變化的缺點，在防火墻的核心部分建立狀態(tài)連接表，并將進出網絡的數據當成一個個會話，利用狀</p><p>　　態(tài)表跟蹤每一個會話狀態(tài)。狀態(tài)監(jiān)測對每一個包的檢查不僅根據規(guī)則表，更考慮了數據包是否符合會話</p><p

71、>　　所處的狀態(tài)，因此提供了完整的對傳輸層的控制能力。狀態(tài)檢測防火墻在提高安全防范能力的同時也改</p><p>　　進了流量處理速度，采用了一系列優(yōu)化技術，使防火墻性能大幅度提升，能應用在各類網絡環(huán)境中，尤</p><p>　　其是一些規(guī)則復雜的大型網絡。</p><p>　　4.3 典型防火墻的體系結構</p><p>　　一個防

72、火墻系統通常是由過濾路由器和代理服務器組成。過濾路由器是一個多端口的IP路由器，</p><p>　　它能夠攔截和檢查所有出站和進站的數據，它首先打開IP包，取出包頭，根據包頭的信息(如IP源地</p><p>　　址，IP目標地址)確定該包是否符合包過濾規(guī)則(如對包頭進行語法分析，阻止或允許包傳輸或接收)，</p><p>　　并進行記錄。代理服務防火墻使用了與包

73、過濾器不同的方法。代理服務器使用一個客戶程序與特定的中</p><p>　　間節(jié)點(防火墻)連接，然后中間節(jié)點與期望的服務器進行實際連接。與包過濾器所不同的是，使用這種</p><p>　　類型的防火墻，內部與外部網絡之間不存在直接連接，因此，即使防火墻發(fā)生了問題，外部網絡也無法</p><p>　　獲得與被保護的網絡的連接。代理提供了詳細的注冊及審計功能，這大大提

74、高了網絡的安全性，也為改</p><p>　　進現有軟件的安全性能提供了可能。它是基于特定協議的，如FTP、HTTP等，為了通過代理支持一個新</p><p>　　的協議，必須改進代理服務器以適應新協議。典型防火墻的體系結構包括過濾路由器、雙宿主主機、被</p><p>　　屏蔽主機、被屏蔽子網等類型。</p><p><b>　　

75、(1)包過濾路由器</b></p><p>　　包過濾路由器又稱屏蔽路由器，是最簡單也是最常用的防火墻。它一般作用在網絡層，對進出</p><p>　　內部網絡的所有信息進行分析，并按照一定的安全策略(過濾規(guī)則)對進出內部網絡的信息進行限制。包</p><p>　　過濾的核心就是安全策略即包過濾算法的設計。包過濾型防火墻往往可用一臺過濾路由器來實現，對所

76、</p><p>　　接收的每個數據包做出允許或拒絕的決定，如圖所示。</p><p>　　采用包過濾路由器的防火墻優(yōu)點在于速度快、實現方便；缺點是安全性能差、兼容性差(不同操</p><p>　　作系統環(huán)境下。TCP和LIDP端口號所代表的應用服務協議類型有所不同)、沒有或只有較少的日志記錄</p><p><b>　　能力。&l

77、t;/b></p><p><b>　　（2)雙宿主主機</b></p><p>　　雙宿主主機結構是圍繞著至少具有兩個網絡接口的雙宿主主機(又稱堡壘主機)構成的，每一個</p><p>　　接口都連接在物理和邏輯上分離的不同的網段，代理服務器軟件在雙宿主主機上運行，如圖所示。雙宿</p><p>　　主主機內外的

78、網絡均可與雙宿主主機實施通信，但內外網絡之間不可直接通信，內外網絡之間的1P數</p><p>　　據流被雙宿主主機完全切斷。結構上采用主機取代路由器執(zhí)行安全控制功能，受保護網除了看到堡壘主</p><p>　　機外，不能看到其他任何系統。同時堡壘主機不轉發(fā)TCP／IP通信報文，網絡中的所有服務都必須由此</p><p>　　主機的相應代理程序來支持。</p&

79、gt;<p>　　雙宿主主機防火墻的優(yōu)勢是：堡壘主機運行的系統軟件可用于維護系統日志、硬件復制日志、</p><p>　　遠程日志等，有利于網絡管理員的El后檢查；其缺點是：由于隔開內部網和外部因特網之間只有一道</p><p>　　屏障，若入侵者得到了雙宿主主機的訪問權，內部網絡就會被入侵，所以為了保證內部網的安全，雙宿</p><p>　　主主機首

80、先要禁止網絡層的路由功能，還應具有強大的身份認證系統，盡量減少防火墻上用戶的賬戶數</p><p><b>　　目。</b></p><p><b>　?。?）屏蔽主機網關</b></p><p>　　屏蔽主機網關防火墻是由過濾路由器和應用網關組成。過濾路由器的作用是進行包過濾；應用</p><p>

81、;　　網關的作用是代理服務，即在內部網絡與外部網絡之間建立兩道安全屏障。屏蔽主機網關防火墻的結構</p><p><b>　　如圖所示。</b></p><p>　　對于這種防火墻系統，堡壘主機配置在內部網絡上，而包過濾路由器則放置在內部網絡和</p><p>　　Internet之間。在路由器上進行規(guī)則配置，使得外部系統只能訪問堡壘主機，去往

82、內部系統上其他主機</p><p>　　的信息全部被阻塞。由于內部主機與堡壘主機處于同一個網絡，內部系統是允許直接訪問Internet，還</p><p>　　是要求使用堡壘主機上的代理服務來訪問Internet由機構的安全策略來決定。對路由器的過濾規(guī)則進</p><p>　　行配置，可以使其只接受來自堡壘主機的內部數據包，就可以強制內部用戶使用代理服務。</

83、p><p>　　屏蔽主機網關防火墻的優(yōu)點是安全等級較高，可以提供公開的信息服務的服務器。如web，FTP</p><p>　　等，可以放置在由包過濾路由器和堡壘主機共用的網段上。如果要求有特別高的安全特性可以讓堡壘</p><p>　　主機運行代理服務，使得內部和外部用戶在與信息服務器通信之前，必須先訪問堡壘主機。如果較低的</p><p>　　

84、安全等級已經足夠，則將路由器配置讓外部用戶直接去訪問公共的信息服務器。缺點是配置工作復雜。</p><p>　　過濾路由器是否正確配置是這種防火墻安全與否的關鍵，過濾路由器的路由表應當受到嚴格的保護，如</p><p>　　果遭到破壞，則數據包就不會被路由到堡壘主機上。</p><p><b>　?。?）被屏蔽子網</b></p>

85、<p>　　被屏蔽子網防火墻系統是由兩個包過濾路由器和一個應用網關(堡壘主機)組成。包過濾路由器</p><p>　　分別位于周邊網與內部網、周邊網與外部網之間，而應用網關居于兩個包過濾路由器的中間，形成了一</p><p>　　個“非軍事區(qū)”(DMZ)，建立了一個極安全的防火墻系統。如圖所示。</p><p>　　對于進來的信息，外面的這個路由器用于防

86、范通常的外部攻擊(如源地址欺騙和源路由攻擊)，</p><p>　　并管理Internet到DMZ網絡的訪問，它只允許外部系統訪問堡壘主機(還可能有信息服務器)；里面的</p><p>　　這個路由器提供第二層防御，只接受源于堡壘主機的數據包，負責管理DMZ到內部網絡的訪問，對于去</p><p>　　往Internet的數據包，里面的路由器管理內部網絡到DMZ網絡

87、的訪問，它允許內部系統只訪問堡壘主</p><p>　　機(還可能有信息服務器)；外面的路由器上的過濾規(guī)則要求使用代理服務(只接受來自堡壘主機的去往</p><p>　　Internet的數據包)。</p><p>　　被屏蔽子網防火墻系統具有下列優(yōu)點：</p><p>　　1．入侵者必須突破3個不同的設備(外部路由器、堡壘主機、內部路由器)

88、才能侵著內部網絡。</p><p>　　2．由于外部路由器只能向Internet通告DMZ網絡的存在，Internet上的系統不需要有路由器</p><p>　　與內部網絡相對。這樣網絡管理員就可以保證內部網絡是“不可見”的，并且只有在DMZ網絡上選定的</p><p>　　系統才對Internet開放。</p><p>　　3．由于內部路由

89、器只向內部網絡通告DMZ網絡的存在，內部網絡上的系統不能直接通往</p><p>　　Internet，這樣就保證了內部網絡上的用戶必須通過駐留在堡壘主機上的代理服務才能訪問Internet。</p><p>　　4．包過濾路由器直接將數據引向DMZ網絡上所指定的系統，消除了堡壘主機雙宿的必要。</p><p>　　5．內部路由器在作為內部網絡和Internet之間

90、最后的防火墻系統時，能夠支持比雙宿堡壘主</p><p>　　機更大的數據包吞吐量。</p><p>　　6．由于DMZ網絡是一個與內部網絡不同的網絡，NAT(網絡地址變換)軟件可以安裝在堡壘主機</p><p>　　上，從而避免在內部網絡上重新編址或重新劃分子</p><p><b>　　結 束 語</b><

91、/p><p>　　經過指導老師的悉心指導和幾個月的加班加點，同時翻閱了大量的資料(包括網上資料),終于完成了</p><p>　　網站設計。通過對以上本文對入侵檢測技術的綜述，可以看出網絡入侵防御技術目前的主流和它未來的</p><p>　　發(fā)展趨勢。目前的各項安全技術都存在一些缺點，之所以會存在這樣的情況，除了網絡的結構，協議和</p><p>

92、;　　應用非常復雜之外，各項安全技術沒有實現信息共享，從而造成各項技術在分析入侵行為以及預防和阻</p><p>　　止入侵行為時缺乏充分的信息支持。正如在Sourcefire文中所說，提高IDS/IPS檢測能力的唯一可行</p><p>　　途徑是提供給它們更多的信息。時間線概念的提出，從宏觀角度分析了各項安全技術對于入侵時間的作</p><p>　　用范圍。So

93、urcefire文中提出了基于時間線對各項安全技術進行整合，使得它們可以共享彼此的信息，</p><p>　　從而提高整個安全系統的性能?？梢妼Ω黜棸踩夹g的整合，實現它們之間共享彼此信息將是下一代安</p><p>　　全系統和安全技術的發(fā)展主流方向。本人覺得，這次畢業(yè)設計的工作量與一般院校畢業(yè)設計是相當的。</p><p>　　這次的設計也使我在網絡方面有了長足

94、的進步，對網絡系統安全有了比較深刻的認識。</p><p><b>　　致 謝 信</b></p><p>　　歲月如歌，光陰似箭，回首求學歷程，對那些引導我、幫助我、激勵我的人，我心中充滿了感</p><p>　　激。在論文完成過程之中，除了我自己一年多來的潛心學習和研究之外，也凝聚了很多人的心血。</p><p>

95、;　　所以在這里，我要對幫助我完成論文的所有人表示感謝。</p><p>　　本論文是在***老師的悉心指導下完成的。導師淵博的專業(yè)知識，嚴謹的治學態(tài)度，精益求</p><p>　　精的工作作風，誨人不倦的高尚師德，嚴以律己、寬以待人的崇高風范，樸實無華、平易近人的人</p><p>　　格魅力對我影響深遠。不僅使我樹立了遠大的學術目標、掌握了基本的研究方法，還使我

96、明白了許</p><p>　　多待人接物與為人處世的道理。本論文從選題到完成，每一步都是在導師的指導下完成的，傾注了</p><p>　　導師大量的心血。在此，謹向導師表示崇高的敬意和衷心的感謝！</p><p>　　感謝我親愛的舍友們三年來對我無私的關心照顧以及幫助，再次深深鞠躬，謝謝你們。感謝三</p><p>　　年來老師們對我悉心教導

97、，尤其感謝我的導員對我三年來的支持與幫助，教會我</p><p><b>　　參 考 文 獻</b></p><p>　　1．胡昌鎮(zhèn) 《網絡入侵原理與原理》北京出版社</p><p>　　2．孟小峰 《數據挖掘概念與技術》北京機械工業(yè)出版社</p><p>　　3．唐正軍 李建華《入侵檢測技術》清華大學出版</p