入侵检测与防御技术研究毕业论文.docx
《入侵检测与防御技术研究毕业论文.docx》由会员分享,可在线阅读,更多相关《入侵检测与防御技术研究毕业论文.docx(22页珍藏版)》请在冰豆网上搜索。
入侵检测与防御技术研究毕业论文
毕业设计(论文)
题目:
入侵检测与防御技术研究
摘要
入侵检测系统是信息安全领域研究的热点问题。
在阐述入侵检测系统概念和类型的
基础上,指出了当前入侵检测系统的优点及局限性。
神经网络、遗传算法、模糊逻辑、免疫原理、机器学习、专家系统、数据挖掘、Agent等智能化方法是解决IDS局限性的
有效方法。
介绍并着重分析了2种基于智能方法的IDS,提出了IDS在今后发展过程中
需要完善的问题。
防御技术是建立在内外网络边界上的过滤封锁机制,它认为内部网络是安全和可信
赖的,而外部网络被认为是不安全和不可信赖的
关键词:
IDS;入侵检测专家系统;人工神经网络;异常检测;智能体;防御技术
ABSTRACT
IntrusionDetectionSystemisahotresearchfieldofinformationsecurityissues.Inexplainingntheconceptandtypesofintrusiondetectionsystembasedonintrusiondetectionsystemthatthecurrentadvantagesandlimitations.Neuralnetworks,geneticalgorithms,fuzzylogic,immunetheory,machinelearning,expertIntroducedandanalyzedthetwokindsofintelligentmethodsbasedIDS,IDSproposeddevelopmentinthefutureissuesthatneedtoimprove.
Defensetechnologyisbuiltontheinsideandoutsidethenetworkboundaryfilteringblockmechanism,itconsiderstheinternalnetworkissafeandreliableLai,whiletheexternalnetworkisconsideredunsafeandunreliable
【Keywords】:
IDS;IntrusionDetectionExpertSystem;artificialneuralnetworks;anomalydetection;agent;defensetechnology
前言
我国信息网络安全研究历经了通信保密、数据保护两个阶段,正在进入网络信息安全研究阶段,现已开发研制出防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。
但因信息网络安全领域是一个综合、交叉的学科领域它综合了利用数学、物理、生化信息技术和计算机技术的诸多学科的长期积累和最新发展成果,提出系统的、完整的和协同的解决信息网络安全的方案,目前应从安全体系结构、安全协议、现代密码理论、信息分析和监控以及信息安全系统五个方面开展研究,各部分相互协同形成有机整体。
第一章入侵检测检测的发展历程和定义
1.1发展历程
1980年4月,JAMESP.A.为美国空军做了一份题为“ComputerSecurityThreatMonitoringand
Surveillance”的技术报告。
该报告提出问题种对计算机系统风险和威胁的分类方法,并将威胁分
为外部渗透、内部渗透和不法行为3种,最重要的是它提出了利用审计数据来监视入侵活动的思想,
即入侵检测系统的思想[1]。
1984年到1986年,乔治敦大学的DorothyDenning和SRI/CLS公司计算
机科学实验室的PeterNeumann研究出了一个名为入侵检测专家系统IDES(IntrusionDetection
ExpertSystems)的实时入侵检测系统模型[2]。
该模型的六部件理论为构建IDS提供了一个通用框架。
1988年,TeresaLunt等人针对当时爆发的莫里斯蠕虫,基于DorothyDenning提出的入侵检测模
型[3]开发出了用于检测单机上入侵企图的入侵检测专家系统IDS。
1995年又推出了它的改进版本,
名为下一代入侵检测专家系统NIDES(Next-generationIntrusionDetectionExpertSystem)[4]。
1989年,加州大学戴维斯分校的ToddHeberlein写了一篇题为《ANetworkSecurityMonitor》
的论文,文中提出了用监控器用于捕获TCP/IP分组报文,第一次直接将网络流作为审计数据来源,
因而可以在不将审计数据转换成统一格式的情况下监控异种主机,网络入侵检测从此诞生。
时至今日,IDS的发展大致经历了3个阶段:
第一代IDS包括基于主机日志分析、模式匹配,这个阶段的IDS基本是试验性的系统。
第二代IDS出现在于20世纪90年代中期,它主要采用网络数据包截获,主机网络数据分析和审计数据分析等技术。
代表性的产品有早期的ISSRealSecure(V6.0之前)、Snort等。
国内的绝大多数IDS厂家的产品都属于这一类。
第三代IDS是近几年才出现的,其特点是采用协议分析、行为分析等技术。
协议分析技术的采用极大减小了计算量,减少了误报率;行为异常分析技术的采用赋予了第三代IDS系统识别未知攻击的能力。
第三代IDS可以分为基于异常检测的IDS和基于误用(滥用)检测的IDS两大类。
异常检测IDS是根据异常行为和计算机资源的使用情况来判断的,其代表性产品有NetworkICE(2001年并入ISS)、Rea1Secure(V7.0)、NFR(v2.0)等。
1.2入侵检测的定义
1980年,JamesP.Anderson第一次系统阐述了入侵检测的概念,并将入侵行为分为外部滲透,
内部滲透和不法行为三种,还提出了利用审计数据监视入侵活动的思想[1]。
即其之后,1986年
DorothyE.Denning提出实时异常检测的概念[2]并建立了第一个实时入侵检测模型,命名为入侵检测专家系统(IDES),1990年,L.T.Heberlein等设计出监视网络数据流的入侵检测系统,NSM(NetworkSecurityMonitor)。
自此之后,入侵检测系统才真正发展起来。
Anderson将入侵尝试或威胁定义为:
潜在的、有预谋的、XX的访问信息、操作信息、致使统不可靠或无法使用的企图。
而入侵检测的定义为[4]:
发现非授权使用计算机的个体(如“黑客”)或计算机系统的合法用户滥用其访问系统的权利以及企图实施上述行为的个体。
执行入侵检测任务的程序即是入侵检测系统。
入侵检测系统也可以定义为:
检测企图破坏计算机资源的完整性,真实性和可用性的行为的软件。
入侵检测系统执行的主要任务包括[3]:
监视、分析用户及系统活动;审计系统构造和弱点;识
别、反映已知进攻的活动模式,向相关人士报警;统计分析异常行为模式;评估重要系统和数据文
件的完整性;审计、跟踪管理操作系统,识别用户违反安全策略的行为。
入侵检测一般分为三个步
骤:
信息收集、数据分析、响应。
入侵检测的目的:
(1)识别入侵者;
(2)识别入侵行为;(3)检测和监视以实施的入侵行为;(4)为对抗入侵提供信息,阻止入侵的发生和事态的扩大;
第二章入侵检测的关键技术
2.1基于行为的入侵检测技术
基于行为的入侵检测技术主要依靠统计的方法来实现对入侵行为的检测。
它通过统计网络的日常
行为建立一个模型,该模型由各项表示正常行为的统计数字组成。
例如:
在某一段时间内登录某台主
机失败次数。
在很短时间内重复发生登录某台主机口令出错的次数等。
符合这个模型的网络行为即
视为正常,不符合的即视为入侵行为。
这种入侵检测检测技术的缺点主要在于模型的建立非常困难。
建立模型需要花费一定的时间,而
且该入侵检测技术会造成误报等。
为解决误报警问题,需要根据网络的实际使用情况对各种设定的
统计值进行不断的调节。
基于行为的入侵检测技术的优点在干它可以检测到当前不为人知的入侵攻击方法。
2.2基于知识的入侵检测技术
基于知识的入侵检测技术主要通过应用已有的知识对入侵行为的标志进行识别,从而判断网络中是否有入侵行为的发生川。
这些标志主要包括:
对一个敏感主机的登录失败次数;对一个数据的一些
标志位的设置是否符合RFC标准:
以及数据包的内容是否与某个已知攻击方法的特征代码相符合等。
基于知识的入侵检侧技术具有较高的准确度,但是它的缺点就是在于对系统的性能要求高,
而且只能检测到目前已知的攻击方法,对于未知的攻击方法没有检测能力。
2.3基于其它方法的入侵检测技术
基于其它方法的入侵检测技术主要有:
利用专家系统进行入侵检测,其主要是将有关的入侵知识组织成知识库,再利用推理引擎进行检测。
但是这种技术主要缺点在于知识的组织困难。
利用数据挖掘进行入侵检测,数据挖掘是数据库的一项技术,它的作用从大型数据库中抽取知识,这和分析日志的行为相近。
通过数据挖掘程序搜集到审计数据,为各种入侵行为和正常操作建立精确的行为模式。
除专家系统、数据挖掘技术之外,还有神经网络,模糊系统,遗传算法等。
但是这些方法都有一的缺点。
第三章入侵检测系统模型、分类和IDS
3.1入侵检测系统模型
美国斯坦福国际研究所(SRI)的D.E.Denning于1986年首次提出一种入侵检测模型[2],该模型的检测方法就是建立用户正常行为的描述模型,并以此同当前用户活动的审计记录进行比较,如果有较大偏差,则表示有异常活动发生。
这是一种基于统计的检测方法。
随着技术的发展,后来人们又提出了
于规则的检测方法。
结合这两种方法的优点,人们设计出很多入侵检测的模型。
通用入侵检测构架
(CommonIntrusionDetectionFramework简称CIDF)组织,试图将现有的入侵检测系统标准化,CIDF
阐述了一个入侵检测系统的通用模型(一般称为CIDF模型)。
它将一个入侵检测系统分为以下四个组件:
事件产生器(EventGenerators)
事件分析器(Eventanalyzers)
响应单元(Responseunits)
事件数据库(Eventdatabases)
它将需要分析的数据通称为事件,事件可以是基于网络的数据包也可以是基于主机的系统日志中的
信息。
事件产生器的目的是从整个计算机环境中获得事件,并向系统其它部分提供此事件。
事件分析器
分析得到的事件并产生分析结果。
响应单元则是对分析结果做出反应的功能单元,它可以做出切断连接、
修改文件属性等强烈反应。
事件数据库是存放各种中间和最终数据的地方的通称,它可以是复杂的数据
库也可以是简单的文本文件。
3.2入侵检测系统分类
现有的IDS的分类,大都基于信息源和分析方法。
为了体现对IDS从布局、采集、分析、响应等
各个层次及系统性研究方面的问题,在这里采用五类标准:
控制策略、同步技术、信息源、分析方法、
响应方式。
按照控制策略分类
控制策略描述了IDS的各元素是如何控制的,以及IDS的输入和输出是如何管理的。
按照控
制策略IDS可以划分为,集中式IDS、部分分布式IDS和全部分布式IDS。
在集中式IDS中,一个中
央节点控制系统中所有的监视、检测和报告。
在部分分布式IDS中,监控和探测是由本地的一个控
制点控制,层次似的将报告发向一个或多个中心站。
在全分布式IDS中,监控和探测是使用一种叫
“代理”的方法,代理进行分析并做出响应决策。
按照同步技术分类
同步技术是指被监控的事件以及对这些事件的分析在同一时间进行。
按照同步技术划分,IDS
划分为间隔批任务处理型IDS和实时连续性IDS。
在间隔批任务处理型IDS中,信息源是以文件的
形式传给分析器,一次只处理特定时间段内产生的信息,并在入侵发生时将结果反馈给用户。
很多
早期的基于主机的IDS都采用这种方案。
在实时连续型IDS中,事件一发生,信息源就传给分析引
擎,并且立刻得到处理和反映。
实时IDS是基于网络IDS首选的方案。
按照信息源分类
按照信息源分类是目前最通用的划分方法,它分为基于主机的IDS、基于网络的IDS和分布式IDS。
基于主机的IDS通过分析来自单个的计算机系统的系统审计踪迹和系统日志来检测攻击。
基于主机
的IDS是在关键的网段或交换部位通过捕获并分析网络数据包来检测攻击。
分布式IDS,能够同时
分析来自主机系统日志和网络数据流,系统由多个部件组成,采用分布式结构。
按照分析方法分类
按照分析方法IDS划分为滥用检测型IDS和异常检测型IDS。
滥用检测型的IDS中,首先
建立一个对过去各种入侵方法和系统缺陷知识的数据库,当收集到的信息与库中的原型相符合
时则报警。
任何不符合特定条件的活动将会被认为合法,因此这样的系统虚警率很低。
异常检
测型IDS是建立在如下假设的基础之上的,即任何一种入侵行为都能由于其偏离正常或者所期
望的系统和用户活动规律而被检测出来。
所以它需要一个记录合法活动的数据库,由于库的有
限性使得虚警率比较高。
按照响应方式分类
按照响应方式IDS划分为主动响应IDS和被动响应IDS。
当特定的入侵被检测到时,主动
IDS会采用以下三种响应:
收集辅助信息;改变环境以堵住导致入侵发生的漏洞;对攻击
者采取行动(这是一种不被推荐的做法,因为行为有点过激)。
被动响应IDS则是将信息提供给
系统用户,依靠管理员在这一信息的基础上采取进一步的行动。
3.3IDS
3.3.1IDS的评价标准
目前的入侵检测技术发展迅速,应用的技术也很广泛,如何来评价IDS的优缺点就显得非常重
要。
评价IDS的优劣主要有这样几个方面[5]:
(1)准确性。
准确性是指IDS不会标记环境中的一个
合法行为为异常或入侵。
(2)性能。
IDS的性能是指处理审计事件的速度。
对一个实时IDS来说,
必须要求性能良好。
(3)完整性。
完整性是指IDS能检测出所有的攻击。
(4)故障容错(fault
tolerance)。
当被保护系统遭到攻击和毁坏时,能迅速恢复系统原有的数据和功能。
(5)自身抵抗
攻击能力。
这一点很重要,尤其是“拒绝服务”攻击。
因为多数对目标系统的攻击都是采用首先用
“拒绝服务”攻击摧毁IDS,再实施对系统的攻击。
(6)及时性(Timeliness)。
一个IDS必须尽快
地执行和传送它的分析结果,以便在系统造成严重危害之前能及时做出反应,阻止攻击者破坏审计
数据或IDS本身。
除了上述几个主要方面,还应该考虑以下几个方面:
(1)IDS运行时,额外的计算机资源的开销;
(2)
误警报率/漏警报率的程度;(3)适应性和扩展性;(4)灵活性;(5)管理的开销;(6)是否便于
使用和配置。
3.3.2IDS的发展趋势
随着入侵检测技术的发展,成型的产品已陆续应用到实践中。
入侵检测系统的典型代表是(国
际互联网安全系统公司)公司的RealSecure。
目前较为著名的商用入侵检测产品还有:
NAI公
司的CyberCopMonitor、Axent公司的NetProwler、CISCO公司的Netranger、CA公司
Sessionwall-3等。
国内的该类产品较少,但发展很快,已有总参北方所、中科网威、启明星
辰等公司推出产品。
人们在完善原有技术的基础上,又在研究新的检测方法,如数据融合技术,主动的自主代
理方法,智能技术以及免疫学原理的应用等。
其主要的发展方向可概括为:
(1)大规模分布式入侵检测。
传统的入侵检测技术一般只局限于单一的主机或网络框架,
显然不能适应大规模网络的监测,不同的入侵检测系统之间也不能协同工作。
因此,必须发展
大规模的分布式入侵检测技术。
(2)宽带高速网络的实时入侵检测技术。
大量高速网络的不断涌现,各种宽带接入手段层
出不穷,如何实现高速网络下的实时入侵检测成为一个现实的问题。
(3)入侵检测的数据融合技术。
目前的IDS还存在着很多缺陷。
首先,目前的技术还不能对
付训练有素的黑客的复杂的攻击。
其次,系统的虚警率太高。
最后,系统对大量的数据处理,
非但无助于解决问题,还降低了处理能力。
数据融合技术是解决这一系列问题的好方法。
(4)与网络安全技术相结合。
结合防火墙,病毒防护以及电子商务技术,提供完整的网络安
全保障。
①如果选中的是位于导航结构最底层的网页(在其下没有子网页),将弹出“删除网
页”对话框,若只需从导航结构中删除网页,可选择“将本网页从导航结构中删除”单选项,
并单击“确定”按钮。
②如果选择的是导航结构中的中层网页(其中包含子网页,其本身是另一个网页的子网页),
将弹出“删除网页”对话框。
单击“确定”按钮。
3选择的是当前站点的主页,则会弹出“删除网页”对话框。
其中只有一个选项,单击“确定”
按钮即可。
第四章防御技术
4.1防火墙技术
所谓防火墙(firewall)是建立在内外网络边界上的过滤封锁机制,它认为内部网络是安全和可
信赖的,而外部网络被认为是不安全和不可信赖的。
防火墙的作用是防止XX地访问被保护的内部
网络,通过边界控制强化内部网络的安全策略。
它的实现有多种形式,但原理很简单,可以把它想象为
一对开关,其中一个用来阻止传输,另一个用来允许传输。
防火墙作为网络安全体系的基础和核心控制
设备,它贯穿于受控网络通信主干线,对通过受控干线的任何通信行为进行安全处理,如控制、审计、
报警、反应等,同时也承担着繁重的通信任务。
由于其自身处于网络系统中的敏感位置,自身还要面对
各种安全威胁,因此选用一个安全、稳定和可靠的防火墙产品,其重要性不言而喻。
在网络层,防火墙被用来处理信息在内外网络边界的流动,它可以确定来自哪些地址的信息可
以通过或者禁止哪些目的地址的主机。
在传输层,这个连接可以被端到端的加密,也就是进程到进程的
加密。
在应用层,它可以进行用户级的身份认证、日志记录和账号管理。
因此防火墙技术简单说就是一
套身份认证、加密、数字签名和内容检查集成一体的安全防范措施,所有来自Internet的传输信息和
内部网络发出的传输信息都要过防火墙,由防火墙进行分析,以确保它们符合站点设定的安全策略,以
提供一种内部节点或网络与Internet的安全屏障。
4.2防火墙的分类
防火墙技术经历了包过滤、应用代理网关和状态检测3个发展阶段。
包过滤型的防火墙通常直
接转发报文,它对用户完全透明,速度较快;应用代理网关防火墙是通过服务器建立连接的,可以有更
强的身份验证和注册功能;状态检测防火墙是在其核心部分建立状态连接表,并将进出网络的数据当成
一个个会话,利用状态表跟踪每一个会话状态。
状态监测对每一个包的检查不仅根据规则表,更考虑了
数据包是否符合会话所处的状态,因此提供了完整的对传输层的控制能力。
(1)包过滤型防火墙
包过滤防火墙一般有一个包检查块(通常称为包过滤器),数据包过滤可以根据数据包头中的各
项信息来控制站点与站点、站点与网络、网络与网络之间的相互访问,但无法控制传输数据的内容,因
为内容是应用层数据,而包过滤器处在网络层和数据链路层(即TCP和IP层)之间。
通过检查模块,防
火墙能够拦截和检查所有出站和进站的数据,它首先打开包,取出包头,根据包头的信息确定该包是否
符合包过滤规则,并进行记录。
对于不符合规则的包,应进行报警并丢弃该包。
包过滤防火墙工作在网络层,对数据包的源及目地IP具有识别和控制作用,对于传输层,也只
能识别数据包是TCP还是UDP及所用的端口信息。
由于只对数据包的IP地址、TCP/UDP协议和端口进
行分析,如果一条规则阻止包传输或接收,则此包便不被允许通过,否则该包可以被继续处理。
包过滤、
防火墙的处理速度较快,并且易于配置。
包过滤防火墙的优点:
防火墙对每条传人和传出网络的包实行低水平控制;每个IP包的字段都
被检查,例如源地址、目的地址、协议、端口等;防火墙可以识别和丢弃带欺骗性源IP地址的包;包
过滤防火墙是两个网络之间访问的惟一通道;包过滤通常被包含在路由器数据包中,所以不必用额外的
系统来处理这个特征。
包过滤防火墙缺点:
不能防范黑客攻击,因为网管不可能区分出可信网络与不可信网络的界限;
不支持应用层协议,因为它不认识数据包中的应用层协议;访问控制粒度太粗糙,不能处理新的安全威
胁。
(2)应用代理网关防火墙
应用代理网关防火墙彻底隔断内网与外网的直接通信,内网用户对外网的访问变成防火墙对外
网的访问,然后再由防火墙转发给内网用户。
所有通信都必须经应用层代理软件转发,访问者任何时候
都不能与服务器建立直接的TCP连接,应用层的协议会话过程必须符合代理的安全策略要求。
应用代理网关的优点是可以检查应用层、传输层和网络层的协议特征,对数据包的检测能力
较强。
其缺点:
①难于配置。
由于每个应用都要求单独的代理进程,这就要求网管能理解每项应用协议的弱点,
并能合理地配置安全策略,由于配置烦琐,难于理解,容易出现配置失误,最终影响内网的安
全防范能力。
②处理速度非常慢。
断掉所有的连接,由防火墙重新建立连接,理论上可以使应用代理防火墙
具有极高的安全性,但是实际应用中并不可行,因为对于内网的每个Web访问请求,应用代理都需要开
一个单独的代理进程,它要保护内网的Web服务器、数据库服务器、文件服务器、邮件服务器及业务程
序等,就需要建立一个个服务代理,以处理客户端的访问请求。
这样,应用代理的处理延迟会很大,内
网用户的正常Web访问不能及时得到响应。
总之,应用代理防火墙不能支持大规模的并发连接,对速度要求高的行业不能使用这类防火墙。
另外,防火墙核心要求预先内置一些已知应用程序的代理,使得一些新出现的应用在代理防火墙内被无
情地阻断,不能很好地支持新应用。
(3)状态检测技术防火墙
状态检测技术防火墙结合了代理防火墙的安全性和包过滤防火墙的高速度等优点,在不损失安
全性的基础上将代理防火墙的性能提高。
Internet上使用的是TCP/IP协议,TCP协议的每个可靠连接均需要经过“客户端同步请求”、
“服务器应答”、“客户端再应答”3次握手。
例如最常用到的Web浏览、文件下载、收发邮件等都要经
过这3次握手。
这反映出数据包并不是独立的,而是前后之间有着密切的状态联系,基于这种状态变化,
引出了状态检测技术。
状态检测防火墙摒弃了包过滤防火墙仅考查数据包的IP地址等几个参数,而不关心数据包连接
状态变化的缺点,在防火墙的核心部分建立状态连接表,并将进出网络的数据当成一个个会话,利用状
态表跟踪每一个会话状态。
状态监测对每一个包的检查不仅根据规则表,更考虑了数据包是否符合会话
所处的状态,因此提供了完整的对传输层的控制能力。
状态检测防火墙在提高安全防范能力的同时也改
进了流量处理速度,采用了一系列优化技术,使防火墙性能大幅度提升,能应用在各类网络环境中,尤
其是一些规则复杂的大型网络。
4.3典型防火墙的体系结构
一个防火墙系统通常是由过滤路由器和代理服务器组成。
过滤路由器是一个多端口的IP路由器,
它能够拦截和检查所有出站和进站的数据,它首先打开IP包,取出包头,根据包头的信息(如IP源地
址,IP目标地址)确定该包是否符合包过滤规则(如对包头进行语法分析,阻止或允许包传输或接收),
并进行记录。
代理服务防火墙使用了与包过滤器不同的方法。
代理服务器使用一个客户程序与特定的中
间
升级会员 