版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領
文檔簡介
1、<p><b> 學 年 論 文</b></p><p> 題 目:入侵檢測技術現(xiàn)狀分析與研究</p><p> 學 院 專 業(yè) 級 班</p><p> 學生姓名 學 號 </p><p>
2、指導教師 職 稱 </p><p> 完成日期 </p><p> 入侵檢測技術現(xiàn)狀分析與研究</p><p> 【摘 要】隨著網(wǎng)絡的快速發(fā)展及普及,網(wǎng)絡安全已經(jīng)成為不可忽視的信息安全.小至個人用戶的信息,大
3、至公司企業(yè)重要的資料數(shù)據(jù),一但在不知不覺中被盜竊,會給自己乃至公司帶來利益的損失.入侵檢測技在1980年由JamesP.Anderson在給一個保密客戶寫的一份題為《計算機安全威脅監(jiān)控與監(jiān)視》的技術報告中指出,審計記錄可以用于識別計算機誤用,他給威脅進行了分類,第一次詳細闡述了入侵檢測的概念</p><p> 【關鍵詞】IDS、協(xié)議、分析、網(wǎng)絡安全</p><p><b>
4、目錄</b></p><p><b> 第一章緒 論1</b></p><p> 1.1入侵檢測技術的背景1</p><p> 1.2入侵檢測技術的應用與發(fā)展現(xiàn)狀1</p><p> 第二章入侵檢測技術1</p><p> 2.1入侵檢測系統(tǒng)的分類1<
5、;/p><p> 2.1.1基于主機的入侵檢測系統(tǒng)2</p><p> 2.1.2基于網(wǎng)絡的入侵檢測系統(tǒng)2</p><p> 2.2入侵檢測技術3</p><p> 2.2.1異常入侵檢測技術3</p><p> 2.2.2誤用入侵檢測技術3</p><p> 第三章校園網(wǎng)
6、中的分布式入侵檢測分析4</p><p> 3.1 分布式入侵檢測的設計思想4</p><p> 3.2 校園分布式入侵檢測模式的分析4</p><p> 3.3 采用的入侵檢測技術5</p><p> 第四章入侵檢測系統(tǒng)的發(fā)展趨勢7</p><p><b> 第五章總結(jié)
7、8</b></p><p><b> 緒 論</b></p><p><b> 入侵檢測技術的背景</b></p><p> 隨著計算機網(wǎng)絡技術的飛速發(fā)展,人們已經(jīng)離不開了網(wǎng)絡的通信.網(wǎng)絡滲透到了人們生活的點點滴滴,地球村的建設,讓人們走進了高速發(fā)展的時代,信息中心的高速傳輸,網(wǎng)絡資源的高度共享,都離不開
8、網(wǎng)絡.網(wǎng)絡使得信息的獲取、傳遞、處理和利用變得更加有效,網(wǎng)絡帶給人們學習、工作、娛樂的便利之余,也帶給我們一些安全隱患.網(wǎng)絡黑客可以輕松的取走你的重要的文件,盜取你的銀行存款,破壞你的企業(yè)平臺,公布你的隱私信函,篡改、干擾和毀壞你的數(shù)據(jù)庫,甚至直接破壞用戶的計算機,使你的網(wǎng)絡癱瘓或者崩潰.所以,研究各種切實有效的安全技術來保障計算機系統(tǒng)和網(wǎng)絡系統(tǒng)的安全,已經(jīng)成為一個刻不容緩的問題.伴隨著網(wǎng)絡的發(fā)展,各種網(wǎng)絡安全技術也隨之發(fā)展起來.<
9、;/p><p> 美國韋式大辭典中對入侵檢測的定義為:“硬闖入的行為,或者是在沒受到邀請和歡迎的情況下進入一個地方”.當說到入侵檢測的時候,我們是指發(fā)現(xiàn)了網(wǎng)絡上的一臺計算機有未經(jīng)過授權的闖入行為,這個未經(jīng)過許可的網(wǎng)絡入侵或訪問,是一種對其他網(wǎng)絡設備的安全威脅或傷害.我們通常使用的網(wǎng)絡安全技術有:防火墻、殺毒軟件、虛擬專用網(wǎng)、數(shù)據(jù)加密、數(shù)字簽名和身份認證技術等.這些傳統(tǒng)的網(wǎng)絡安全技術,對保護網(wǎng)絡的安全起到非常重要的作
10、用,然而它們也存在不少缺陷.例如,防火墻技術雖然為網(wǎng)絡服務提供了較好的身份認證和訪問控制,但是它不能防止來自防火墻內(nèi)部的攻擊,不能防備最新出現(xiàn)的威脅,不能防止繞過防火墻的攻擊,入侵者可以利用脆弱性程序或系統(tǒng)漏洞繞過防火墻的訪問控制來進行非法攻擊.傳統(tǒng)的身份認證技術,很難抵抗脆弱性口令,字典攻擊,特洛伊木馬,網(wǎng)絡窺探器以及電磁輻射等攻擊手段.虛擬專用網(wǎng)技術只能保證傳輸過程中的安全,并不能防御諸如拒絕服務攻擊,緩沖區(qū)溢出等常見的攻擊.另外,
11、這些技術都屬于靜態(tài)安全技術的范疇;靜態(tài)安全技術的缺點是只能靜態(tài)和消極地防御入侵,而不能主動檢測和跟蹤入侵.而入侵檢測技術是一種動態(tài)安全技術,它主動地收集包括系統(tǒng)</p><p> 入侵檢測技術的應用與發(fā)展現(xiàn)狀</p><p> 在目前的計算機安全狀態(tài)下,基于防火墻,加密技術等的安全防護固然重要;但是要根本改善系統(tǒng)的安全現(xiàn)狀,必須要發(fā)展入侵檢測技術.它已經(jīng)成為計算機安全策略中的核心技術之
12、一.Intrusion Detection System(簡稱IDS)作為一種主動的安全防護技術,提供了對內(nèi)部攻擊,外部攻擊和誤操作的實時保護.從網(wǎng)絡安全立體縱深的多層次防御角度出發(fā),入侵檢測理應受到高度重視,這從國外入侵檢測產(chǎn)品市場的蓬勃發(fā)展就可以看出.在國內(nèi),隨著上網(wǎng)關鍵部門,關鍵業(yè)務越來越多,迫切需要具有自主版權的入侵檢測產(chǎn)品;但目前我國的入侵檢測技術還不夠成熟,處于發(fā)展和跟蹤國外技術的階段,所以對入侵檢測系統(tǒng)的研究非常重要.傳統(tǒng)
13、的入侵檢測系統(tǒng)中一般采用傳統(tǒng)的模式匹配技術,將待分析事件與入侵規(guī)則相匹配.從網(wǎng)絡數(shù)據(jù)包的包頭開始與攻擊特征字符串比較.若比較結(jié)果不同,則下移一個字節(jié)再進行;若比較結(jié)果相同,那么就檢測到一個可能的攻擊.這種逐字節(jié)匹配方法具有兩個最根本的缺陷:計算負載大以及探測不夠靈活.面對近幾年不斷出現(xiàn)的ATM,千兆以太網(wǎng),G比特光纖網(wǎng)等高速網(wǎng)絡應用,實現(xiàn)實時入侵檢測成為一個現(xiàn)實的問題.適應高速網(wǎng)絡的環(huán)境,改進檢測</p><p>
14、;<b> 入侵檢測技術</b></p><p><b> 入侵檢測系統(tǒng)的分類</b></p><p> 入侵檢測系統(tǒng)按采用的技術分為:異常檢測系統(tǒng)和誤用檢測系統(tǒng).按系統(tǒng)所監(jiān)測的對象分為:基于主機的入侵檢測系統(tǒng)和基于網(wǎng)絡入侵檢測系統(tǒng).按系統(tǒng)的工作方式分為:離線檢測系統(tǒng)和在線檢測系統(tǒng).按系統(tǒng)對入侵的反應分為:主動入侵檢測系統(tǒng)和被動入侵檢測系統(tǒng)
15、.框架圖如圖所示。</p><p> 圖2-1 入侵檢測系統(tǒng)框架圖</p><p> 2.1.1基于主機的入侵檢測系統(tǒng)</p><p> 基于主機的入侵檢測系統(tǒng)監(jiān)視主機的文件系統(tǒng)或者操作系統(tǒng)及各種服務生成的日志文件,以便發(fā)現(xiàn)入侵蹤跡.它的優(yōu)點有:不受加密傳輸?shù)挠绊?它能夠了解被監(jiān)視主機應用層的活動細節(jié),有效檢測發(fā)生在應用層的入侵活動,可以檢測多種網(wǎng)絡環(huán)境下的網(wǎng)
16、絡包,而不用像網(wǎng)絡IDS系統(tǒng)一樣需安裝多臺傳感器,這樣就使整個系統(tǒng)的成本大大降低;由于使用包含實際發(fā)生事件的日志文件,所以比基于網(wǎng)絡的系統(tǒng)就更能了解某一入侵行為是否最終成功從而減少錯誤.它的缺點有:由于作為用戶進程運行,這種入侵檢測系統(tǒng)依賴于操作系統(tǒng)底層的支持,與系統(tǒng)的體系結(jié)構(gòu)有關,所以它無法了解發(fā)生在下層協(xié)議的入侵活動;老練的入侵者往往可以進入系統(tǒng)修改、刪除有關的日志記錄,從而隱藏入侵跡象;由于它位于所監(jiān)視的每一個主機中,故所占用的資
17、源不能太多,從而大大限制了所采用的檢測方法及處理性能.</p><p> 2.1.2基于網(wǎng)絡的入侵檢測系統(tǒng)</p><p> 基于網(wǎng)絡的入侵檢測系統(tǒng)直接從網(wǎng)絡數(shù)據(jù)流中截獲原始的網(wǎng)絡包作為信息源,并從中搜索可疑行為.它的優(yōu)點有:由于該系統(tǒng)直接搜集網(wǎng)絡數(shù)據(jù)包,而網(wǎng)絡協(xié)議是標準的,因此,與目標系統(tǒng)的體系結(jié)構(gòu)無關,可監(jiān)視結(jié)構(gòu)不同的各類系統(tǒng);該系統(tǒng)使用原始網(wǎng)絡數(shù)據(jù)包進行檢測,因此它所收集的審計數(shù)
18、據(jù)被篡改的可能性很小,而且它不影響被保護系統(tǒng)的性能;利用工作在混合模式下的網(wǎng)卡實時監(jiān)控和分析所有通過共享式網(wǎng)絡的傳輸,能夠?qū)崟r得到目標系統(tǒng)與外界交互的所有信息,包括一些很隱藏的端口掃描和沒有成功入侵的嘗試.它的缺點有:缺乏終端系統(tǒng)對待定數(shù)據(jù)報的處理方法等信息,使得從原始的數(shù)據(jù)包中重構(gòu)應用層信息很困難,故難以檢測發(fā)生在應用層的攻擊,而對于檢測以加密傳輸方式進行的入侵無能為力.</p><p> 從入侵檢測技術和入
19、侵檢測系統(tǒng)可以看出,單獨一種方法并不能檢測所有類型的入侵,異常檢測能檢測出已知和未知的攻擊,其主要問題是如何正確定義一個正常用戶行為.在動態(tài)環(huán)境中,用建立用戶統(tǒng)計來確定正常用戶行為幾乎是不可能的事情,這時關注一個過程的行為更加有效.誤用檢測具有較高的正確性,但是不能對未知攻擊進行檢測.單個主機上安裝的IDS在大規(guī)模網(wǎng)絡中檢測入侵時可能會出現(xiàn)困難,而多個主機上安裝的IDS同樣問題.誤用檢測比異常檢測能更好地適應擴展或向其他計算機系統(tǒng)的移植
20、.目前這些方法除了基于模式的檢測方法和狀態(tài)轉(zhuǎn)換分析,都必須檢測大量的數(shù)據(jù)來判斷入侵的行為,這直接影響了檢測入侵的時間.異常檢測能夠適應改變;而誤用檢測中,知識庫需要定期地進行更新.所以要讓入侵檢測系統(tǒng)更加有效地檢測而不錯誤報警,減少人工干預,入侵檢測技術還需要進行大量的研究和開發(fā).</p><p><b> 入侵檢測技術</b></p><p> 入侵檢測技術主要
21、分為兩類:異常入侵檢測和誤用入侵檢測.</p><p> 2.2.1異常入侵檢測技術</p><p> 異常入侵檢測是指為所監(jiān)測的系統(tǒng)建立一個在正常情況下的描述文件,任何違反該描述的事件的發(fā)生都被認為是可疑的,即觀測活動偏離正常系統(tǒng)使用方式的程度.常用的異常檢測技術有: </p><p><b> 1.統(tǒng)計分析</b></p>
22、<p> 最早的異常檢測系統(tǒng)采用的是統(tǒng)計分析技術.首先,檢測器根據(jù)用戶對象的動作為每個用戶建立一個用戶特征表,通過比較當前特征與已存儲定型的以前特征,從而判斷是否異常行為.統(tǒng)計分析的優(yōu)點:有成熟的概率統(tǒng)計理論支持,維護方便,不需要象誤用檢測系統(tǒng)那樣不斷地對規(guī)則庫進行更新和維護等.統(tǒng)計分析的缺點:大多數(shù)統(tǒng)計分析系統(tǒng)是以批處理的方式對審計記錄進行分析的,不能提供對入侵行為的實時檢測,統(tǒng)計分析不能反映事件在時間順序上的前后相關
23、性,而不少入侵行為都有明顯的前后相關性,門限值的確定非常棘手等.</p><p><b> 2.神經(jīng)網(wǎng)絡</b></p><p> 這種方法對用戶行為具有學習和自適應功能,能夠根據(jù)實際檢測到的信息有效地加以處理并做出入侵可能性的判斷.利用神經(jīng)網(wǎng)絡所具有的識別,分類和歸納能力,可以使入侵檢測系統(tǒng)適應用戶行為特征的可變性.從模式識別的角度來看,入侵檢測系統(tǒng)可以使用神經(jīng)
24、網(wǎng)絡來提取用戶行為的模式特征,并以此創(chuàng)建用戶的行為特征輪廓.總之,把神經(jīng)網(wǎng)絡引入入侵檢測系統(tǒng),能很好地解決用戶行為的動態(tài)特征以及搜索數(shù)據(jù)的不完整性,不確定性所造成的難以精確檢測的問題.利用神經(jīng)網(wǎng)絡檢測入侵的基本思想是用一系列信息單元(命令)訓練神經(jīng)單元,這樣在給定一組輸入后,就可能預測輸出.將神經(jīng)網(wǎng)絡應用于攻擊模式的學習,理論上也是可行的.但目前主要應用于系統(tǒng)行為的學習,包括用戶以及系統(tǒng)守護程序的行為.與統(tǒng)計理論相比,神經(jīng)網(wǎng)絡更好地表達
25、了變量間的非線性關系,并且能自動學習并更新.</p><p> 神經(jīng)網(wǎng)絡也存在一些問題:在不少情況下,系統(tǒng)趨向于形成某種不穩(wěn)定的網(wǎng)絡結(jié)構(gòu),不能從訓練數(shù)據(jù)中學習特定的知識,這種情況目前尚不能完全確定產(chǎn)生的原因;另外,神經(jīng)網(wǎng)絡對判斷為異常的事件不會提供任何解釋或說明信息,這導致了用戶無法確認入侵的責任人,也無法判斷究竟是系統(tǒng)哪方面存在的問題導致了攻擊者得以成功入侵.</p><p> 2.
26、2.2誤用入侵檢測技術</p><p> 誤用入侵檢測是對已知系統(tǒng)和應用軟件的弱點進行入侵建模,從而對觀測到的用戶行為和資源使用情況進行模式匹配而達到檢測目的.常見的誤用入侵檢測技術有以下幾種:1.模式匹配</p><p> 模式匹配是最常用的誤用檢測技術,特點是原理簡單,擴展性好,檢測效率高,可以實時檢測;但是只能適用于比較簡單的攻擊方式.它將收集到的信息與已知的網(wǎng)絡入侵和系統(tǒng)誤用
27、模式串進行比較,從而發(fā)現(xiàn)違背安全策略的行為.著名的輕量級開放源代碼入侵檢測系統(tǒng)Snort就是采用這種技術.2.專家系統(tǒng)</p><p> 該技術根據(jù)安全專家對可疑行為的分析經(jīng)驗來形成一套推理規(guī)則,然后在此基礎上建立相應的專家系統(tǒng)來自動對所涉及的入侵行為進行分析.該系統(tǒng)應當能夠隨著經(jīng)驗的積累而利用其自學習能力進行規(guī)則的擴充和修正.專家系統(tǒng)方法存在一些實際問題:處理海量數(shù)據(jù)時存在效率問題,這是由于專家系統(tǒng)的推理和
28、決策模塊通常使用解釋型語言來實現(xiàn),所以執(zhí)行速度比編譯型語言慢;專家系統(tǒng)的性能完全取決于設計者的知識和技能;規(guī)則庫維護非常艱巨,更改規(guī)則時必須考慮到對知識庫中其他規(guī)則的影響等等.3.狀態(tài)遷移法</p><p> 狀態(tài)遷移圖可用來描述系統(tǒng)所處的狀態(tài)和狀態(tài)之間可能的遷移.狀態(tài)遷移圖用于入侵檢測時,表示了入侵者從合法狀態(tài)遷移到最終的危害狀態(tài)所采取的一系列行動.在檢測未知的脆弱性時,因為狀態(tài)遷移法強調(diào)的是系統(tǒng)處于易受損
29、的狀態(tài)而不是未知入侵的審計特征,因此這種方法更具有健壯性.而它潛在的一個弱點是太拘泥于預先定義的狀態(tài)遷移序列.這種模型運行在原始審計數(shù)據(jù)的抽象層次上,它利用系統(tǒng)狀態(tài)的觀念和事件的轉(zhuǎn)變流;這就有可能提供了一種既能減少誤警率又能檢測到新的攻擊的途徑.另外,因為涉及了比較高層次的抽象,有希望把它的知識庫移植到不同的機器,網(wǎng)絡和應用的入侵檢測上.</p><p> 校園網(wǎng)中的分布式入侵檢測系統(tǒng)分析</p>
30、<p> 隨著網(wǎng)絡時代的到來,校園計算機網(wǎng)絡安全不容忽視。許多高校都建立起自己的局域網(wǎng),校園一般通過網(wǎng)關與Internet相連,網(wǎng)關成為整個局域網(wǎng)的安全集中點,校園里所有的機器都處在同一安全級別,當入侵者入侵校園網(wǎng)攻擊時,只要突破了校園網(wǎng)的網(wǎng)關,攻破學校一臺機器,整個網(wǎng)絡就將面臨的癱瘓的危險。為保障校園網(wǎng)絡的安全和順利進行,通常在校園網(wǎng)中采用以Snort為核心的分布式入侵檢測系統(tǒng)。</p><p>
31、 3.1 分布式入侵檢測的設計思想</p><p> 隨著校園網(wǎng)中功能需求的增加,學校對外交流的提高、網(wǎng)上招生的要求、學生宿舍上網(wǎng),越來越多的部門和教室需要接入校園網(wǎng)絡中,網(wǎng)絡中心對校園網(wǎng)不斷的改造,提高校園網(wǎng)絡的安全性。分布式入侵檢測系統(tǒng)對院校實現(xiàn)管理網(wǎng)絡化合教學手段現(xiàn)代化、提高學校的管理水平和教學質(zhì)量、實現(xiàn)網(wǎng)絡信息資源共享、豐富師生業(yè)余文化生活的同時在安全方面發(fā)揮積極作用。通過分布式入侵檢測系統(tǒng)來檢測多個
32、主機、多個網(wǎng)段上的數(shù)據(jù)和信息,對這些信息進行關聯(lián)和綜合分析,來發(fā)現(xiàn)可能存在的分布式網(wǎng)絡攻擊行為并進行響應處理的入侵檢測系統(tǒng)。</p><p> 分布式入侵檢測系統(tǒng)采取了分布式檢測的體系結(jié)構(gòu),主機控制響應單元,它對網(wǎng)絡探測響應單元在分級控制臺的管理下分別檢測本機、本網(wǎng)段的入侵行為,具有良好的分布性、可擴展性;并在網(wǎng)絡檢測響應單元系統(tǒng)中設計了協(xié)議分析模塊,控制臺采用分級控制臺和總控制臺。分布式通過共同協(xié)作的機制,從
33、多層面上實施檢測。提高入侵檢測的效果。</p><p> 分布式入侵檢測的設計應滿足以下幾點功能:</p><p> ①入侵檢測能夠識別可疑行為,檢測入侵。</p><p> ?、诠粜袨闄z測的準確性,并進行警報,降低檢測報警中的誤報和漏報。</p><p> ?、廴肭謾z測能針對不同的警報級別分別作出不同的響應。</p>&
34、lt;p> ④入侵檢測必須允許管理員適時監(jiān)控攻擊行為,對不同的功能和報警進行手動控制。</p><p> ?、萑肭謾z測能夠處理大規(guī)模的攻擊。</p><p> ⑥入侵檢測的各組件之間能根據(jù)檢測到的入侵和報警相互通信。</p><p> ⑦入侵檢測本身具有穩(wěn)健性,對攻擊手法的改變具有適應性。</p><p> ⑧入侵檢測具有可擴展
35、性,能滿足今后網(wǎng)絡擴展的需要</p><p> ⑨為保障網(wǎng)絡安全,入侵檢測自身應具有高可靠性,能保障不間斷運行。</p><p> 3.2 校園分布式入侵檢測模式的分析</p><p> 當前網(wǎng)絡結(jié)構(gòu)逐步復雜化和大型化的趨勢下,分布式入侵檢測由于檢測范圍大,檢測時可以采用不同的檢測方法,通過將各個傳感器放置在不同的組件上,實現(xiàn)信息收集匯總。入侵檢測系統(tǒng)的工作&
36、lt;/p><p> 圖3-1 入侵檢測系統(tǒng)工作流程</p><p> 流程如圖3-1所示。</p><p> Snort是一個功能強大的入侵檢測系統(tǒng),具有靈活、可定制和可擴展的特點。因此采用以Snort為核心的分布式入侵檢測系統(tǒng)?;赟nort的分布式入侵檢測系統(tǒng)按功能主要由三個部分組成:傳感器、數(shù)據(jù)管理中心、管理決策中心,是一個三層結(jié)構(gòu)。如圖3-2所示。<
37、;/p><p> 圖3-2 分布式入侵檢測系統(tǒng)的總體結(jié)構(gòu)</p><p> 傳感器用于收集來自網(wǎng)絡上的數(shù)據(jù),通過均勻的分布在重要網(wǎng)段上,收集各方位傳來的數(shù)據(jù)。是分布式入侵檢測系統(tǒng)重要組成部分。然后將收集來的數(shù)據(jù)進行簡單的數(shù)據(jù)處理,并采用基于協(xié)議分析和基于模式匹配結(jié)合的方法更全面的檢測入侵行為,并將入侵數(shù)據(jù)日志到數(shù)據(jù)管理中心數(shù)據(jù)庫中,進行存儲和處理。</p><p>
38、 數(shù)據(jù)管理中心是負責收集傳感器傳來的一系列報警數(shù)據(jù),并對收集的報警數(shù)據(jù)進行處理。數(shù)據(jù)中心存儲過程中進行數(shù)據(jù)整理,防止需要存儲的數(shù)據(jù)信息量過多,方便對數(shù)據(jù)庫報警信息的分類和管理。</p><p> 管理決策中心是網(wǎng)絡管理員與機器交互信息中心,負責匯總信息整理成材料,以圖文形式顯示數(shù)據(jù)信息,方便管理員作出相應的決策機制。提高網(wǎng)絡信息的安全性。</p><p> 傳感器用于捕獲來自網(wǎng)絡上的
39、數(shù)據(jù),是進行入侵檢測的基礎,它是由Snort實現(xiàn)的。由于Snort本身沒有抓包工具,所以采用外部抓包工具Winpcap。Winpcap負責直接從網(wǎng)絡上抓包,將采集到的數(shù)據(jù)進行簡單處理傳送到數(shù)據(jù)管理中心進行封裝。Winpcap提供了一套標準的網(wǎng)絡數(shù)據(jù)包捕獲的編程接口、捕獲原始數(shù)據(jù)包、在數(shù)據(jù)包發(fā)往應用程序之前按照自定義的規(guī)則將某些特別的數(shù)據(jù)包過濾掉、在網(wǎng)絡上發(fā)送原始的數(shù)據(jù)包、收集網(wǎng)絡通信過程中的統(tǒng)計信息。</p><p&
40、gt; 預處理器以插件的形式實現(xiàn),它使得Snort入侵檢測系統(tǒng)具有模塊化的特征,使系統(tǒng)具有靈活的擴展能力和配置能力。用戶和程序員能夠?qū)⒏鞣N不同功能的模塊化的插件方便地融入Snort之中,用來針對可疑行為檢查包或者修改包,以便檢測引擎對其進行正確的解釋,從而提高檢測的準確性和速度。預處理可以分為兩類,一類是用于針對可疑行為或者對包進行修改,以便對數(shù)據(jù)進行分析檢測時可以正確的識別;另一類是負責對流量標準化,以便進行檢測時可以準確的匹配特征
41、。通過它可以提高模式匹配的檢測效率。預處理器使入侵檢測系統(tǒng)可以處理跨多個包的數(shù)據(jù),還可以規(guī)范化有多個數(shù)據(jù)表達形式的協(xié)議數(shù)據(jù)。通過預處理系統(tǒng)具有異常檢測的能力,可以發(fā)現(xiàn)還沒有對應規(guī)則的攻擊。另外用戶還可以根據(jù)需要自己編寫新的預處理插件。</p><p> 3.3 采用的入侵檢測技術</p><p> Snort入侵檢測系統(tǒng)是基于誤用檢測的入侵檢測軟件。一般采用模式匹配的方法檢測入侵行為。
42、模式匹配是將獲得的數(shù)據(jù)與系統(tǒng)內(nèi)相應數(shù)據(jù)進行比較,從而發(fā)現(xiàn)違背安全策略的行為。具有原理簡單、擴展性好、分析速度快等優(yōu)點。</p><p> 模式匹配算法有很多,BM(Boyer-Moore)算法是一種常用的精確匹配算法,其中Snort入侵檢測系統(tǒng)急速使用BM算法來進行特征匹配。更具數(shù)據(jù)顯示:Snort在進行檢測的時候調(diào)用字符串匹配函數(shù)所需要的時間占總時間的25.2%,所以字符串匹配算法效率隊Snort來說很重要。
43、BM算法利用跳過不必要的比較來減少字符之間的匹配,以減少匹配次數(shù)來提高檢測效率。</p><p> 如:在主字符串(記做P)搜索的文本(記做T),將P的第一個字符記做P1,P的最后一個字符記做Pm;T的第一個字符記做T1,T的最后一個字符記做Tn;則有:</p><p> 主字符串P:abcacdabaababbaab 模式子串T:ababbaab</p>&
44、lt;p> 定義一個函數(shù)K:x→{1,2,…,m};當字符不匹配時,實現(xiàn)下標的移動。</p><p> n 若任意字符x不出現(xiàn)在T中或x=Pi;(i=m)</p><p> K[x]= n-I 若x在T,這里的i=max{i: Pi=x,1﹤=i﹤=m-1}</p><p> ?、倨ヅ渥杂蚁蜃筮M行:</p><p> 在
45、開始前,將主字符串P與文本T左部對齊,而匹配搜索從P的最右邊一個字符開始,</p><p> ?、诤雎圆黄ヅ涞淖址?lt;/p><p> 圖3-3壞字符算法(1)</p><p> x,y在匹配的過程中發(fā)生了匹配失敗a≠b,這時候判斷b.如果在x中沒有發(fā)現(xiàn).說明只要含有b就不可能匹配,所以跳到b的后面,繼續(xù)匹配.如圖3-3所示。</p><p&
46、gt; 圖3-4壞字符算法(2)</p><p> x,y在匹配的過程中發(fā)生了匹配失敗a≠b,這時候判斷b.如果在x中發(fā)現(xiàn)有b,則從右邊數(shù)第一個b和y中的b對齊.如圖3-4所示。</p><p><b> ?、郯l(fā)現(xiàn)匹配字符:</b></p><p> 圖3-5 好后綴處理算法(1)</p><p> 關于&quo
47、t;u"的部分是匹配成功的.某一次匹配失敗.描述起來就是x[i+1 .. m-1]=y[i+j+1 .. j+m-1]=u and x[i]≠y[i+j] 如果"u"的部分在x中能找到.那么找到此位置與b對齊,但新位置必須滿足c≠b ,如圖3-5所示。</p><p> 圖3-6 好后綴處理算法(2)</p><p> 關于"u"的部
48、分是匹配成功的.某一次匹配失敗.描述起來就是x[i+1 .. m-1]=y[i+j+1 .. j+m-1]=u and x[i]≠y[i+j]如果"u"的部分在x中不能找到.那么找到x的一個最大前綴"v" 滿足是"u"中最大后綴.然后使這2部分對齊. 如圖3-6所示。</p><p> 通過基于模式匹配的檢測方法,快速地探測網(wǎng)絡上不安全因素的存在。它利
49、用網(wǎng)絡協(xié)議的高度規(guī)則性,只提取數(shù)據(jù)包的重要特征送入處理模塊進行檢測,不僅節(jié)約了檢測部分的資源,傳輸?shù)臅r候也極大提高了單位時間的包特傳輸速率。且同模式匹配技術結(jié)合,使得入侵檢測系統(tǒng)具有檢測速度快、系統(tǒng)消耗低、降低誤報率等優(yōu)點。</p><p> 入侵檢測系統(tǒng)的發(fā)展趨勢</p><p> 與防火墻等高度成熟的產(chǎn)品相比,入侵檢測系統(tǒng)還存在相當多的問題,這些問題大多數(shù)是目前入侵檢測系統(tǒng)的結(jié)構(gòu)所
50、難以克服的,而且這些矛盾可能越來越尖銳。入侵技術的發(fā)展與演化主要反映在以下幾個方面:</p><p> 入侵或攻擊的綜合化與復雜化。攻擊者不斷增加的知識,日趨成熟多樣自動化工具,以及越來越復雜細致的攻擊手法。入侵檢測系統(tǒng)必須不斷跟蹤最新的安全技術,才能不致被攻擊者遠遠超越。</p><p> 入侵主體對象的間接化,惡意信息采用加密的方法傳輸。通過一定的技術,可掩蓋攻擊主體的源地址、主機
51、位置和攻擊信息。</p><p> 不斷增大的入侵或攻擊的規(guī)模。對于網(wǎng)絡的入侵與攻擊,在其初期往往是針對某公司或一個網(wǎng)站,而現(xiàn)在入侵或攻擊的規(guī)模不斷增大,單一的入侵檢測系統(tǒng)已很難應付。可以想見,隨著網(wǎng)絡流量的進一步加大,對入侵檢測系統(tǒng)將提出更大的挑戰(zhàn),在PC機上運行純軟件系統(tǒng)的方式需要突破。</p><p> 入侵或攻擊技術的分布化。以往常用的入侵與攻擊行為往往由單機執(zhí)行,分布式攻擊是
52、近期最常用的攻擊手段。所謂的分布式拒絕服務在很短時間內(nèi)可造成被攻擊主機的癱瘓,且此類分布式攻擊的單片機信息模式與正常通信無差異,所以往往在攻擊發(fā)動的初期不易被確認。</p><p> 攻擊對象的轉(zhuǎn)移。入侵與攻擊常以網(wǎng)絡為侵犯的主體,但近期來的攻擊行為卻發(fā)生了策略性的改變,由攻擊網(wǎng)絡改為攻擊網(wǎng)絡的防護系統(tǒng),且有愈演愈烈的趨勢。</p><p> 入侵檢測系統(tǒng)作為一種新興的網(wǎng)絡安全手段,從
53、一開始就受到了大家的重視。近年來,入侵檢測技術獲得了極大地發(fā)展,今后的入侵檢測技術大致可朝以下幾個方向發(fā)展。</p><p> (1)云計算入侵檢測的發(fā)展</p><p> 隨著云計算成為全球新興產(chǎn)業(yè)的重要代表,網(wǎng)絡入侵者都將目光投到了云計算這一未來充滿巨大市場空間的領域。由于云計算環(huán)境擁有強大的計算能力、海量的存儲空間和豐富的用戶信息,對網(wǎng)絡入侵者具有很大的誘惑力,云計算環(huán)境目前已經(jīng)
54、成為網(wǎng)絡入侵者的攻擊目標。特別是作為云計算服務供應商,在為云計算用戶提供計算、存儲和各種軟件式服務的過程中,很容易遭受各種安全威脅與攻擊的考驗。同時,云計算環(huán)境下的網(wǎng)絡攻擊發(fā)動更加快速、攻擊能力更加強大、攻擊后果更加嚴重,使得云計算環(huán)境的入侵檢測變得更加重要。</p><p> (2) 集成網(wǎng)絡分析和管理功能 </p><p> 入侵檢測不但對網(wǎng)絡攻擊是一個檢測。同時,侵檢測可以收到網(wǎng)
55、絡中的所有數(shù)據(jù),對網(wǎng)絡的故障分析和健康管理也可起到重大作用。當管理員發(fā)現(xiàn)某臺主機有問題時,也希望能馬上對其進行管理。入侵檢測也不應只采用被動分析方法,最好能和主動分析結(jié)合。所以,入侵檢測產(chǎn)品集成網(wǎng)管功能,掃描器(Scanner),嗅探器(Sniffer)等功能是以后發(fā)展的方向。 </p><p> (3) 安全性和易用性的提高 </p><p> 入侵檢測是個安全產(chǎn)品,自身安全極為重要
56、。因此,目前的入侵檢測產(chǎn)品大多采用硬件結(jié)構(gòu),黑洞式接入,免除自身安全問題。同時,對易用性的要求也日益增強,例如:全中文的圖形界面,自動的數(shù)據(jù)庫維護,多樣的報表輸出。這些都是優(yōu)秀入侵產(chǎn)品的特性和以后繼續(xù)發(fā)展細化的趨勢。 </p><p> (4) 高速實時入侵檢測技術</p><p> 大量高速網(wǎng)絡技術在近年內(nèi)不斷出現(xiàn),在此背景下的各種寬帶接入手段層出不窮,其中很多已經(jīng)得到了廣泛的應用。
57、如何實現(xiàn)高速網(wǎng)絡下的實時入侵檢測已經(jīng)成為一個現(xiàn)實的問題。目前,雖然市場上也可以見到一些基于千兆以太網(wǎng)環(huán)境的入侵檢測產(chǎn)品,但其性能指標還遠未滿足要求。</p><p> (5) IDS與其他安全部件的互動</p><p> 實現(xiàn)網(wǎng)絡與信息的安全是一項系統(tǒng)工程,不是哪一種單獨的安全部件就可以完成的。只有在不同的安全部件之間實現(xiàn)互聯(lián)互動,才能更好的保證網(wǎng)絡與信息的安全。隨著防火墻、入侵檢測等
58、技術的不斷發(fā)展,實現(xiàn)它們之間的互動顯得越來越重要。因此,對于安全部件之間的互動協(xié)議和接口標準的研究,也會是對IDS研究的一個重要方向。</p><p> 由于IDS的地位越來越重要,防護的網(wǎng)絡規(guī)模越來越大,因此應該把IDS和其他安全部件放在一個對等的位置來考慮它們之間的互動。應該考慮不同廠家的IDS之間,IDS與防火墻之間,IDS與響應部件之間的互動。在這方面還有很大一部分工作需要解決。</p>
59、<p> (6) IDS標準化工作</p><p> 標準化的工作對于一項技術的發(fā)展至關主要。在某一個技術領域,如果沒有相應的標準,那么該領域的發(fā)展將會是無序的。IDS經(jīng)歷了20多年的發(fā)展,近幾年又成為網(wǎng)絡與信息安全領域的一個研究熱點,但是到目前為止,尚沒有一個相關的國際標準出現(xiàn),國內(nèi)也沒有IDS方面的標準。因此,IDS的標準化工作應引起業(yè)內(nèi)的廣泛重視。 在IDS中,應該進行標準化的工作主要包括:大
60、規(guī)模分布式IDS的體系結(jié)構(gòu)、入侵特征等數(shù)據(jù)的描述、IDS內(nèi)部的通信協(xié)議和數(shù)據(jù)交換協(xié)議、安全部件間的互動協(xié)議和接口標準等。</p><p><b> 總結(jié)</b></p><p> 通過查找相關資料,加深對入侵檢測技術的了解,對當下流行技術進行了簡單的介紹以及比較.</p><p> 入侵檢測作為一種積極主動的安全防護技術,提供了對內(nèi)、外部
61、攻擊和誤操作的實時保護,在網(wǎng)絡系統(tǒng)中受到危害之前攔截和響應入侵。雖然入侵檢測技術的算法多樣化,但兩類入侵檢測技術界限還是比較模糊的,隨著科技發(fā)展,兩類技術漸漸的朝綜合趨勢發(fā)展。而且它也不是一個完整的網(wǎng)絡解決方案,應該與其它安全部件實現(xiàn)聯(lián)動,進一出提高其性能。</p><p> 從某種意義上來說,“安全”永遠只是一個理論上的相對概念,仍然有一些不安全的因素沒有考慮到。也正是如此,人們提出了入侵檢測的概念,用來貼補
62、系統(tǒng)安全性的巨大漏洞。從網(wǎng)絡安全立體縱深、多層次防御的角度出發(fā),入侵檢測理應受到人們的高度重視,因為入侵檢測提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。</p><p><b> 參考文獻</b></p><p> 戴英俠,連一峰,王航.系統(tǒng)安全與入侵檢測[M].北京:清華大學出版社</p><p> 聶元銘,丘平.網(wǎng)絡信息安全技術[M
63、].北京:科學出版社</p><p> 董玉格,金海,趙振.攻擊與防護-網(wǎng)絡安全與實用防護技術[M].北京:人民 郵電出版社</p><p> 戴云,范平志.入侵檢測系統(tǒng)研究綜述[J].計算機工程與應用</p><p> 劉文淘.網(wǎng)絡入侵檢測系統(tǒng)[M].北京:電子工業(yè)出版社</p><p> 賀文華,陳志剛.網(wǎng)絡安全現(xiàn)狀分析與發(fā)展趨勢
64、[J].湖南人文科技學院</p><p> 褚永剛,楊義先。入侵檢測系統(tǒng)的技術發(fā)展趨勢[J].北京郵電大學信息安全中心</p><p> The Present situation analysis and research of Intrusion Detection Technology</p><p> 【Abstract】With the rapid
65、development and popularity of network, network security has become an important information security. The small personal information of the user, to the enterprise important data, but imperceptibly theft, give oneself an
66、d even bring interest loss. Intrusion detection technology in 1980 by JamesP.Anderson in giving a confidential customer wrote a report entitled " computer security threat monitoring and surveillance " technical
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
- 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
- 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 入侵檢測技術研究現(xiàn)狀分析
- 畢業(yè)論文----入侵檢測技術分析與應用
- 入侵檢測相關技術分析與研究.pdf
- 網(wǎng)絡入侵檢測技術的研究與分析
- 網(wǎng)絡入侵行為分析與入侵檢測技術研究.pdf
- 入侵檢測分析技術的研究與應用.pdf
- 入侵檢測技術畢業(yè)論文
- 入侵檢測系統(tǒng)中的入侵分析技術研究.pdf
- 信號檢測論文入侵檢測論文
- 基于協(xié)議分析技術的入侵檢測研究與應用.pdf
- 入侵檢測技術的的研究-論文開題報告
- 論文-網(wǎng)絡入侵安全檢測技術研討
- 基于混合入侵檢測環(huán)境的病毒檢測技術的研究論文
- 入侵檢測技術研究與實現(xiàn).pdf
- 入侵檢測技術
- 入侵檢測系統(tǒng)的分析與研究.pdf
- 入侵檢測與防御技術研究.pdf
- 關聯(lián)分析技術在入侵檢測中的研究與應用.pdf
- 無線局域網(wǎng)安全分析與入侵檢測技術研究.pdf
- 基于協(xié)議分析的入侵檢測技術研究.pdf
評論
0/150
提交評論