网络安全与入侵检测技术的研究.docx

网络安全与入侵检测技术的研究.docx

《网络安全与入侵检测技术的研究.docx》由会员分享，可在线阅读，更多相关《网络安全与入侵检测技术的研究.docx（37页珍藏版）》请在冰豆网上搜索。

网络安全与入侵检测技术的研究

西安电子科技大学

硕士学位论文

网络安全与入侵检测技术的研究

姓名:

苏万力

申请学位级别:

硕士

专业:

计算机应用技术

指导教师:

马玉祥

20030101

摘要

入侵检测是最近10余年发展起来的一种动态的监控、预防或抵御系统入侵行为的安全机制。

和传统的预防性安全机制相比,入侵检测具有智能监控、实时探测、动态响应、易于配置和适用广泛等特点。

入侵检测技术的引入,是对传统计算机安全机制的一种补充,使得网络、系统的安全性得到进一步地提高,在网络安全技术中起着不可替代的作用,成为目前动态安全工具的主要研究和开发的方向。

本论文在此领域主要工作成果如下:

对现有入侵检测领域的各种检测模型和技术进行了归类分析研究。

研究了拒绝服务及分布式拒绝服务攻击的特点与防范措施,探讨了入侵检测领域的最新发展,讨论了设计和建立分布式入侵检测系统所面临的关键技术。

给出了在Wni32环境下实现网络入侵检测的一种设计,提出了提高数据包捕获效率的方法。

提出了利用协议分析的方法,提高入侵检测的效率并给出了具体设计。

对普遍关注的域名系统的安全防范问题进行了讨论,并提出了相应对策。

【关键词】网络安全入侵检测协议分析

Abstract

IntrusionDetectionisaneffectivesecuritymechanismdevelopedintherecentdecade,whichprotectscompeersandnetworksthroughthewaysofsurveillance,precautionandprevention.Comparedwithtraditionalprecautionmechanisms,intrusiondetectionhasthe

characteristicsofintellectualsurveillance,real-timedetection,dynamicresponseandeasyconfiguration.Intrusiondetectionisclearlynecessarywiththegrowingnumberofcomputer

wideapplicability,intrusiondetectionsystemsbeingconnectedtonetwork.Becauseofits

becomesthekeypartofthesecuritymechanism.

Inthisthesis,themainlyresearchresultsarelistasfollows:

Themodemtechnologiesand

modelsinintrusiondetectionfieldarecategorizedandstudied.ThefeaturesofDOSand

DDOSarestudiedandsomecountermeasuresaregiven.Theoverviewprogressinintrusiondetectionarediscussed,andthefeatureofmethodsofdistributedintrusionsystemareanalyzedandkeytechniquesfacedalediscussed.ThefeatureofWinpcapdevelopmentkitintheWin32environmentisanalyzedandthespecificmethodsofhi曲performancesnifferalepresented.Amethodofdesignofreal—timenetworksnifferisgiven.Amethodofhighperformanceintrusiondetectionusingprotocalanalysisispresentedandthedesignisgiven.Thepossibleattacksofdomainnamesystemarediscussedandsomecountermeasuresaregiven.

[Keyword]NetworkSecurityIntrusionDetectionProtoealAnaIysis

独创性（或创新性声明

本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研究成果。

尽我所知,除了文中特别加以标注和致谢中所列的内容外,论文中不包含其他人已经发表或撰写过的研究成果:

也不包含为获得西安电子科技大学或其它教育机构的学位或证书而使用过的材料。

与我一同工作的同志对本研究所做的任何贡献均在论文中做了明确的说明并表示了谢意。

本人签名:

童;互垄日期:

笙竺§:

兰.竺:

关于论文使用授权说明

本人完全了解西安电子科技大学有关保留和使用学位论文的规定,即:

学校有权保留送交论文的复印件,允许查阅和借阅论文:

学校可以公柿论文的全部或部分内容,可以允许采取影印、缩印或其他手段保存论文。

（保密的论文在解密后遵守此规定

本人躲荔万力导师签名日期:

竺!

:

!

’。

竺

蝉

塑二童缝丝——————j

第一章绪论

本章主要介绍本文研究的背景和意义,课题来源,取得的主要研究成果,最后给出了全文的内容简介。

1.1研究背景和意义

20世纪90年代以来,计算机网络技术得到了飞速发展,信息的处理和传递突破了时间和地域的限制,信息网络化与全球化成为不可抗拒的世界潮流,Internet己进入社会生活的各个领域和环节,人们对计算机网络的依赖性越来越强。

计算机网络逐渐成为整个社会基础设施中最重要的一部分。

信息技术的使用给人们生活、工作的方方面面带来了数不尽的便捷和好处。

然而,计算机信息技术也和其他科学技术一样是一把双刃剑。

当大部分人们使用信息技术提高工作效率,为社会创造更多财富的同时,另外一些人利用信息技术却做着相反的事情。

他们非法侵入他人的计算机系统窃取机密信息、篡改和破坏数据,给社会造成难以估量的巨大损失。

据统计,全球约20秒种就有一次计算机入侵事件发生,Internet上的网络防火墙约1/4被突破,约70%以上的网络信息主管人员报告因机密信息泄露而受到了损失。

根据美国联邦调查局的调查,美国每年因网络安全造成的经济损失超过170亿美元。

计算机网络的安全问愈来愈成为人们关注的一个热点问题。

2001年,美国政府向国会提交的2001年财政计划中,将“打击网络恐怖活动经费”提高到了20.3亿美元。

并且主要用于开发监视黑客入侵政府部门电脑的高级软件系统、信息安全研究、研制打击网络恐怖活动的技术以及培训有关专业人员。

白宫在9.11事件以后新成立了美国本土安全部和国家关键基础设施保护委员会。

这些机构的一个重要使命是防范网络恐怖攻击。

另外,日本、德国等国政府都在拨巨款,以开展反“黑客?

技术的研究。

中国也相应地启动了信息安全紧急应急计划,从事这方面的研究工作。

但是对网络、系统的安全保护却越来越困难,这是因为:

网络的迅速发展,使得网络的结构越来越复杂。

其次,网络中众多的“黑客”站点不仅提供了大量的系统缺陷信息及其攻击方法,而且还提供了大量易于使用的系统漏洞扫描和攻击工具,攻击者不需要具备专门的系统知识就可以利用相应的入侵工具轻易攻入具有安全缺陷的系统。

第三,目前对系统的攻击也不仅仅是那些年轻的“黑客”们由于好奇侵入系统的玩笑性游戏,入侵者的背后甚至得到一些拥有足够系统资源、专业知识和入侵经验的犯罪组织、竞争的对手甚至是敌对的国家的支撑。

而且,网络安全采用的技术手段与黑客的攻击方式基于同样的环境,黑客的能力与网络安全防范能力只能是此消彼长,在斗争中交替发展。

因此网络的安全防御和

网络安全与入侵检测技术的研究

入侵行为的检测是一个长期而艰巨的任务。

入侵检测作为一种积极主动地安全防护技术,在网络安全系统中的作用日益重要,己成为网络安全体系的一个不可或缺的部分。

在国外,入侵检测技术在保护网络安全方面早已受到重视。

在国内,伴随着信息技术的发展,计算机及网络在我国国民经济各部门中的大量使用,而这些计算机及网络系统。

涉及的软硬件基本上都是从国外进口的,因此其安全性是相当脆弱的,存在可能不为我们所知的安全“后门”,防火墙及基于加密技术的防护措施的防御能力十分有限。

如果打算从根本上显著提高我国网络的安全性,必须构筑以IDS（IntrusionDetectionSystem为核心网络安全防护体系。

必须开发自己的具有自主版权的入侵检测产品,尤其是象安全产品,具有其特殊性,不能够依赖于国外的系统和产品。

因此,发展本国的安全产品是非常重要的,这是关系到保护国家安全、维护正常经济秩序的重要问题。

目前,入侵检测还不够成熟,正处于发展阶段,其本身的快速发展和极具潜力的发展前景需要有更多的研究和工程技术人员投身其中,在基础技术原理的研究和项目应用技术开发等多个层面同时开展工作,才有可能做出高质量的入侵检测系统。

1.2课题来源

网络安全与入侵检测技术的研究,是“十五”军事通信技术预研项目“分布式网络管理系统实现技术和网络管理系统评估技术”子专题（子专题编号为:

410010205中的一个比较重要的部分。

为分布式网络管理的辅助决策支持系统提供全面决策并提出防范措施。

入侵检测技术的研究对于保护网络安全,实现有效的网络管理,保证通信网络系统的高可靠性、高抗毁性、高实时性都具有重要意义。

1.3本文的主要研究成果和论文安排

国外自八十年代开展入侵检测技术的研究,他们基本上是从如何构建系统主体特征轮廓或如何获取已知入侵行为知识的角度,给出了一些可行的知识描述方法和相应的检测算法,而且最初多侧重于主机系统的安全防御。

随着网络应用的发展,面向网络（特别是大规模网络的入侵检测技术与系统模型的研究,已成为当前入侵检测领域研究的重点。

国内在该领域起步较晚,无论在基础原理方面,还是在项目应用技术开发等方面都需要开展大量的研究工作。

为此,本论文对现有的入侵检测技术和模型进行了系统分析研究,提出了一些新的观点。

对目前引人关注的DOS（DenialofService及DDOS（DistributedDenialofService

第一章绪论

攻击的特点和防范方法做了研究,并探讨了对付分布式拒绝服务攻击的新发展,研究了开发分布式入侵检测系统所面临的关键技术。

提出了用协议分析的方法实现高效的入侵检测。

主要研究内容包括:

・对现有入侵检测领域的各种检测模型和技术进行了归类分析,在相互比较的基础上详细地讨论了各种技术的优缺点,探讨了相应的解决方案。

・研究了DOS及DDOS的攻击特点与防范措施,对入侵检测系统领域的最新发展进行了探讨,分析了现有的分布式入侵检测系统方案的特点,讨论了

设计和建立一个分布式入侵检测系统所面临的关键技术。

・利用WinPcap开发包,在Wni32环境下实现网络入侵检测的设计,这是一种新的尝试。

提出了如何在现有的条件下,提高数据包捕获的效率,减少

数据包丢失的方法。

●提出了利用协议分析的方法,提高入侵检测的效率并给出了具体设计

・对普遍关注的DNS的安全防范问题进行了讨论,并提出了相应对策

全文共分为五章,其余章节具体安排如下:

第二章主要概述了网络安全的若干方面的基础知识。

包括网络安全问题产生的原因,网络安全的特点和计算机及网络系统的安全对策。

第三章介绍了入侵检测系统的发展历史,分析了入侵检测的必要性。

通过对现有的入侵检测系统及检测技术的分类、比较,分析了存在的不足,探讨了解决的方案,并介绍了该研究领域出现的一些最新技术