毕业论文网络入侵检测发展现状及应用研究文档格式.docx
《毕业论文网络入侵检测发展现状及应用研究文档格式.docx》由会员分享,可在线阅读,更多相关《毕业论文网络入侵检测发展现状及应用研究文档格式.docx(14页珍藏版)》请在冰豆网上搜索。
危害;
系统分类;
发展方向;
应用研究;
问题
论文(设计)题目的来源、理论和实践意义:
随着计算机技术的发展在连结信息能力、流通能力提高的同时,基于网络连接的安全问题也日益突出,很多组织正在致力于提出更多的更强大的主动策略和方案来增强网络的安全性,然而另一个更为有效的解决途径就是入侵检测。
网络入侵的直接危害就是破坏了系统的机密性、完整性和可用性。
入侵者的企图不同,对系统安全特性的破坏也就不同,但不管是破坏了哪一个特性,都会对系统和网络安全构成严重威胁。
随着基于雇员的攻击行为和产品自身问题的增多,所以能够在防火墙内部监测非法的活动的入侵检测系统变得越来越必要。
伴随网络的普及,安全日益成为影响网络效能的重要问题,如何使信息网络系统不受病毒和黑客的入侵,已成为政府机构信息化健康发展所要考虑的重要事情之一。
论文(设计)的主要内容及创新点:
本文介绍了入侵检测系统的定义及系统功能,着重介绍了入侵检测系统的分类,基于网络的入侵检测系统、基于主机的入侵检测系统、异常检测IDS、误用检测IDS等。
本文的创新有四点(或主要有四个方面),首先分析了入侵检测来源,介绍了网络检测的危害。
其次是详细的介绍了一些入侵检测系统的分类,然后说明了入侵检测系统的发展方向以及现在的一些应用。
最后给出了入侵检测存在的问题,并且给出了解决方案。
附:
本人签名:
2012年5月10日
4.网络入侵检测应用
..................................................................................................................................................7
7.结束语...............................................................................................................................10
崔建民
(山东师范大学历山学院计算机科学与技术2008级1班)
摘要:
关键词:
NetworkIntrusionDetectiondevelopmentandappliedresearch
CuiJian-min
(LishanCollegeofcomputerscienceandtechnologyofShandongnormaluniversity)
Abstract:
Networkintrusionharmdirectlyunderminetheconfidentiality,integrity,andavailabilityofthesystem.Intrudersattempttodifferent,destructionofthesystemsecurityfeaturesaredifferent,butregardlessapropertyisdestroyed,willposeaseriousthreattosystemandnetworksecurity.Basedonaggressivebehaviorsofemployeesincreasedandtheproductsoftheirownproblems,somonitoringofillegalactivitiesinsidethefirewall'
sintrusiondetectionsystemisbecomingmoreandmorenecessary.Withpopularityofnetworksecurityincreasinglyimportantissuesaffectingnetworkperformance,howtomakeinformationnetworksystemsagainstvirusesandhackerintrusions,hasbecomethehealthydevelopmentofinformatization
ofgovernmentagenciestoconsideroneimportantthing.
1.引言
在入侵检测之前,大量的安全机制都是根据从主观的角度设计的,他们没有根据网络攻击的具体行为来决定安全对策。
因此,它们对入侵行为的反应非常迟钝,很难发现未知的攻击行为,不能根据网络行为的变化来及时地调整系统的安全策略。
而入侵检测正是根据网络攻击行为而进行设计的,它不仅能够发现已知入侵行为,而且有能力发现未知的入侵行为,并可以通过学习和分析入侵手段,及时地调整系统策略以加强系统的安全性。
网络入侵的直接危害就是破坏了系统的机密性、完整性和可用性。
例如,非法用户在盗取了系统管理员的密码后,就可以完全控制该主机,为所欲为。
本来无权访问的文件或数据,现在可以访问,就破坏了系统的机密性;
入侵者如果还改变了系统原有的配置,改变了文件的内容,修改了数据,就破坏了系统的完整性;
攻击者使用拒绝服务攻击,使得目标主机的资源被耗尽,网络带宽被完全占用,就破坏了系统的可用性。
2.入侵检测的定义及系统功能构成
入侵检测是从系统(网络)的关键点采集信息并分析信息,察看系统(网络)中是否有违法安全策略的行为,保证系统(网络)的安全性,完整性和可用性。
它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。
入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。
一个入侵检测系统的功能结构至少包含事件提取、入侵分析、入侵响应和远程管理四部分功能。
入侵分析的任务就是在提取到的运行数据中找出入侵的痕迹,将授权的正常访问行为和非授权的不正常访问行为区分开,分析出入侵行为并对入侵者进行定位。
入侵响应功能在分析出入侵行为后被触发,根据入侵行为产生响应。
由于单个入侵检测系统的检测能力和检测范围的限制,入侵检测系统一般采用分布监视集中管理的结构,多个检测单元运行于网络中的各个网段或系统上,通过远程管理功能在一台管理站点上实现统一的管理和监控。
3.入侵检测系统分类
入侵检测系统根据其检测数据来源分为两类:
基于主机的入侵检测系统和基于网络的入侵检测系统。
另外一种就是根据检测所基于的原则不同,将入侵检测系统划分为异常检测IDS和误用检测IDS。
3.1基于网络的入侵检测系统
基于网络的入侵检测系统通过网络监视来实现数据提取。
在Internet中,局域网普遍采用IEEE802.3协议。
该协议定义主机进行数据传输时采用子网广播的方式,任何一台主机发送的数据包,都会在所经过的子网中进行广播,也就是说,任何一台主机接收和发送的数据都可以被同一子网内的其他主机接收。
在正常设置下,主机的网卡对每一个到达的数据包进行过滤,只将目的地址是本机的或广播地址的数据包放入接收缓冲区,而将其他数据包丢弃,因此,正常情况下网络上的主机表现为只关心与本机有关的数据包,但是将网卡的接收模式进行适当的设置后就可以改变网卡的过滤策略,使网卡能够接收经过本网段的所有数据包,无论这些数据包的目的地是否是该主机。
网卡的这种接收模式被称为混杂模式,目前绝大部分网卡都提供这种设置,因此,在需要的时候,对网卡进行合理的设置就能获得经过本网段的所有通信信息,从而实现网络监视的功能。
在其他网络环境下,虽然可能不采用广播的方式传送报文,但目前很多路由设备或交换机都提供数据报文监视功能。
3.2基于主机的入侵检测系统
基于主机的入侵检测系统将检测模块驻留在被保护系统上,通过提取被保护系统的运行数据并进行入侵分析来实现入侵检测的功能。
基于主机的入侵检测系统可以有若干种实现方法:
检测系统设置以发现不正当的系统设置和系统设置的不正当更改对系统安全状态进行定期检查以发现不正常的安全状态。
基于主机日志的安全审计,通过分析主机日志来发现入侵行为。
基于主机的入侵检测系统具有检测效率高,分析代价小,分析速度快的特点,能够迅速并准确地定位入侵者,并可以结合操作系统和应用程序的行为特征对入侵进行进一步分析。
目前很多是基于主机日志分析的入侵检测系统。
基于主机的入侵检测系统存在的问题是:
首先它在一定程度上依赖于系统的可靠性,它要求系统本身应该具备基本的安全功能并具有合理的设置,然后才能提取入侵信息;
即使进行了正确的设置,对操作系统熟悉的攻击者仍然有可能在入侵行为完成后及时地将系统日志抹去,从而不被发觉;
并且主机的日志能够提供的信息有限,有的入侵手段和途径不会在日志中有所反映,日志系统对有的入侵行为不能做出正确的响应,例如利用网络协议栈的漏洞进行的攻击,通过ping命令发送大数据包,造成系统协议栈溢出而死机,或是利用ARP欺骗来伪装成其他主机进行通信,这些手段都不会被高层的日志记录下来。
在数据提取的实时性、充分性、可靠性方面基于主机日志的入侵检测系统不如基于网络的入侵检测系统。
3.3异常检测IDS
异常检测,也称为基于行为的入侵检测,以系统、网络、用户或进程的正常行为建立轮廓模型(即正常行为模式),将与之偏离较大的行为解释成入侵。
该方法基于如下的假设:
入侵会引起用户或系统行为的异常。
异常检测方法具有检测系统中未知攻击的能力,由于新攻击方法总是不断出现,因此异常检测技术一直较受重视,产生了大量的异常检测技术。
下面对其中的主要技术进行介绍和分析。
(1)统计分析
统计分析方法是异常检测的主要方法之一。
该方法依据系统中特征变量的历史数据建立统计模型,并运用该模型对特征变量未来的取值进行预测和检测偏离。
系统中的特征变量有用户登录失败次数、CPU和I/O利用率、文件访问数及访问出错率、网络连接数、击键频率、事件间的时间间隔等。
(a)均值与标准偏差模型以单个特征变量为检测对象,假定特征变量满足正态分布,根据该特征变量的历史数据统计出分布参数(均值、标准偏差),并依此设定信任区间。
在检测过程中,若特征变量的取值超出信任区间,则认为发生异常。
(b)多元模型以多个特征变量为检测对象,分析多个特征变量间的相关性,是均值与标准偏差模型的扩展,不仅能检测到单个特征变量值的偏离,还能检测到特征变量间关系的偏离。
(c)Markov过程模型将每种类型的事件定义为系统的一个状态,用状态转换矩阵来表示状态的变化,若对应于所发生事件的状态转移概率较小,则该事件可能为异常事件。
(d)时间序列模型。
将事件计数与资源消耗根据时间排列成序列,如果某一新事件在相应时间发生的概率较低,则该事件可能为入侵。
以统计分析方法形成系统或用户的行为轮廓,实现简单,且在度量选择较好时(即系统或用户行为的变化会在相应的度量上产生显著的变化)能够可靠检测出入侵。
该方法的缺点为:
以系统或用户一段时间内的行为特征为检测对象,检测的时效性差,在检测到入侵时入侵可能已造成损害;
度量的阈值难以确定;
忽略了事件间的时序关系。
(2)基于数据挖掘的检测方法
数据挖掘是一种利用分析工具在大量数据中提取隐含在其中且潜在有用的信息和知识的过程。
入侵检测过程也是利用所采集的大量数据信息,如主机系统日志、审计记录和网络数据包等,对其进行分析以发现入侵或异常的过程。
因此,可利用数据挖掘技术,从大量数据中提取尽可能多的隐藏的安全信息,抽象出有利于比较和判断的特征模型(如基于异常检测的正常行为轮廓)。
数据挖掘算法有多种,运用到入侵检测中的主要有关联分析、序列分析和聚类分析3种,其中关联分析方法主要分析事件记录中数据项间隐含的关联关系,形成关联规则;
序列分析方法主要分析事件记录间的相关性,形成事件记录的序列模式;
聚类分析识别事件记录的内在特性,将事件记录分组以构成相似类,并导出事件记录的分布规律。
在建立上述的关联规则、序列模式和相似类后,即可依此检测入侵或异常。
基于数据挖掘的检测方法建立在对所采集大量信息进行分析的基础之上,只能进行事后分析,即仅在入侵事件发生后才能检测到入侵的存在。
(3)其他检测方法
其他的异常检测方法有基于规则的方法、人工免疫法、基于机器学习的检测方法和基于神经网络的检测方法等。
异常检测的优点为:
不需获取攻击特征,能检测未知攻击或已知攻击的变种,且能适应用户或系统等行为的变化。
但异常检测具有如下的缺点:
一般根据经验知识选取或不断调整阈值以满足系统要求,阈值难以设定;
异常不一定由攻击引起,系统易将用户或系统的特殊行为(如出错处理等)判定为入侵,同时系统的检测准确性受阈值的影响,在阈值选取不当时,会产生较多的检测错误,造成检测错误率高;
攻击者可逐渐修改用户或系统行为的轮廓模型,因而检测系统易被攻击者训练;
无法识别攻击的类型,因而难以采取适当的措施阻止攻击的继续。
3.4误用检测IDS
误用检测,也称为基于知识或基于签名的入侵检测。
误用检测IDS根据已知攻击的知识建立攻击特征库,通过用户或系统行为与特征库中各种攻击模式的比较确定是否发生入侵。
常用的误用检测技术主要有:
(1)基于专家系统的检测方法
专家系统是入侵检测中常用的一种检测方法,通过将有关入侵的知识转化为if-then结构的规则,前者为构成入侵的条件,后者为发现入侵后采取的响应措施。
专家系统的优点为把系统的推理控制过程和问题的最终解答相分离,即用户不需要理解或干预专家系统内部的推理过程,只需把专家系统看作一个黑盒子。
在将专家系统应用于入侵检测时,存在下列问题:
缺乏处理序列数据的能力,即不能处理数据的前后相关性;
性能取决于设计者的知识;
只能检测已知的攻击模式;
无法处理判断不确定性;
规则库难以维护,更改规则时要考虑对规则库中其他规则的影响。
(2)基于状态转移分析的检测方法
状态转移分析方法运用状态转换图来表示和检测已知的攻击模式,即运用系统状态和状态转移表达式来描述已知的攻击模式,以有限状态机模型来表示入侵过程。
入侵过程由一系列导致系统从初始状态转移到入侵状态的行为组成,其中初始状态为入侵发生前的系统状态,入侵状态表示入侵完成后系统所处的状态。
用于误用检测的状态转移分析引擎包括一组状态转移图,各自代表一种入侵或渗透模式。
每当有新行为发生时,分析引擎检查所有的状态转移图,查看是否会导致系统的状态转移。
如果新行为否定了当前状态的断言,分析引擎将状态转移图回溯到断言仍然成立的状态;
如果新行为使系统状态转移到了入侵状态,状态转移信息就被发送到决策引擎,由决策引擎根据预定义的策略采取相应措施。
以状态转移分析方法表示的攻击检测过程只与系统状态的变化有关,而与攻击的过程无关。
状态转移分析方法能检测到协同攻击和慢攻击;
能在攻击行为尚未到达入侵状态时检测到该攻击行为,从而及时采取相应措施阻止攻击行为。
状态转换图给出了保证攻击成功的特征行为的最小子集,能检测到具有相同入侵模式的不同表现形式。
状态转移分析方法中状态对应的断言和特征行为需要手工编码,在用于复杂的入侵场景时会存在问题。
其他的误用检测方法有基于有色Petri(CP)-Net的误用检测及基于键盘监控的误用检测等。
误用检测的优点为:
攻击检测的准确率高;
能够识别攻击的类型。
误用检测的缺点为:
只能检测已知攻击;
滞后于新出现的攻击,对于新的攻击,仅在其包含进攻击特征库后才能检测到;
攻击特征库维护困难,新攻击出现后需由专家根据专业知识抽取攻击特征,不断更新攻击特征库;
攻击者可通过修改攻击行为,使其与攻击特征库中的特征不相符,从而绕过检测。
误用检测和异常检测各有优缺点,具有一定的互补性。
通常检测系统为提高入侵检测性能,将这两种技术结合以实现入侵检测。
4.网络入侵检测应用
随着网络连接的迅速扩展,特别是Internet大范围的开放以及金融领域网络的接入,越来越多的系统遭到入侵攻击的威胁,这些威胁大多是通过挖掘操作系统和应用服务程序的弱点或者缺陷来实现的。
目前,对付破坏系统企图的理想方法是建立一个完全安全系统。
但这一点却很难做到。
原因有以下几点:
第一,要将所有已安装的带安全缺陷的系统转换成安全系统是不现实的,即使真正付诸于实践,也需要相当长的时间。
第二,加密技术方法本身存在一定的问题,如密钥的生成、传输、分配和保存,加密算法的安全性。
第三,访问控制和保护模型本身存在一定的问题。
第四,静态的安全控制措施不足以保护安全对象属性。
第五,安全系统易受内部用户滥用特权的攻击。
第六,在实践当中,建立完全安全系统根本是不可能的。
基于上述几类问题的解决难度,一个实用的方法是建立比较容易实现的安全系统,而入侵检测系统就是这样一类系统。
如果系统遭到攻击,只要尽可能地检测到,甚至是实时地检测到,然后采取适当的处理措施,就可以避免造成更大的损失。
过去,很多人认为只要安装一个防火墙就可保障网络的安全,实际上这是一个误解,原因主要有以下几点:
第一、防火墙本身会有各种漏洞和后门,有可能被外部黑客攻破。
第二、防火墙不能阻止内部攻击,对内部入侵者来说毫无作用。
第三、由于性能的限制,防火墙通常不能提供实时的入侵检测能力。
第四、有些外部访问可以绕开防火墙。
例如,内部用户通过调制解调器拨号上网就把内部网络连到了外部网络,而这一连接并没有通过防火墙,防火墙对此没有任何监控能力。
而入侵检测系统可以弥补防火墙的不足,为网络提供实时的入侵检测并采取相应的防护手段,如记录证据用于跟踪入侵者和灾难恢复、发出警报,甚至终止进程、断开网络连接等等。
因此,随着基于雇员的攻击行为和产品自身问题的增多,所以能够在防火墙内部监测非法的活动的入侵检测系统变得越来越必要。
随着网络技术的发展,新的技术给防火墙带来了严重的威胁。
例如,VPN可以穿透防火墙,因此就需要入侵检测系统在防火墙后提供安全保障。
虽然VPN本身很安全,但有可能通过VPN进行通信的其中一方被rootkit或NetBus所控制,而这种破坏行为是防火墙无法抵御的。
所以,基于上述原因,入侵检测系统已经成为安全策略的重要组成部分。
就目前入侵检测系统的使用情况来看,入侵检测系统主要存在以下三点好处:
一、入侵检测可以发现防火墙和虚拟专用网没有检测到的攻击。
二、入侵检测可以实时监控互联网和外联网连接,保护关键性的资产、系统和资源—相当于现实生活中的监视摄像机。
三、入侵检测系统可以提供警报,智能化地阻止恶意攻击,甚至动态地重新配置网络,以避免以后再发生类似的攻击。
入侵检测作为一项安全技术,其主要目的在于:
第一,识别入侵者。
第二,识别入侵行为。
第三,检测和监视已成功的安全突破。
第四,为对抗入侵及时提供重要信息,阻止事件的发生和事态的扩大。
从这个角度来看安全问题,入侵检测对于建立一个安全系统来说是非常必要而且是非常重要的,它可以弥补传统安全保护措施的不足。
伴随网络的普及,安全日益成为影响网络效能的重要问题,而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时,对安全提出了更高的要求。
如何使信息网络系统不受病毒和黑客的入侵,已成为政府机构信息化健康发展所要考虑的重要事情之一。
政府单位所涉及的信息可以说都带有机密性,所以,其信息安全问题,如敏感信息的泄露、黑客的侵扰、网络资源的非法使用以及计算机病毒等,都将对政府机构信息安全构成威胁。
为保证政府网络系统的安全,有必要对其网络进行专门安全设计。
例如,假如内部网络的一台机器安全受损(被攻击或者被病毒感染),就会同时影响在同一网络上的许多其他系统。
透过网络传播,还会影响到与本系统网络有连接的其他网络;
影响所及甚至还可能涉及法律、金融等安全敏感领域。
5.网络入侵检测发展方向
近年对入侵检测技术有几个主要发展方向:
(1)分布式入侵检测与通用入侵检测架构
传统的IDS一般局限于单一的主机或网络架构,对异构系统及大规模的网络的监测明显不足。
同时不同的IDS系统之间不能协同工作能力,为解决这一问题,需要分布式入侵检测技术与通用入侵检测架构。
(2)应用层入侵检测
许多入侵的语义只有在应用层才能理解,而目前的IDS仅能检测如WEB之类的通用协议,而不能处理如LotusNotes、数据库系统等其他的应用系统。
许多基于客户、服务器结构与中间件技术及对象技术的大型应用,需要应用层的入侵检测保护。
(3)智能的入侵检测
入侵方法越来越多样化与综合化,尽管已经有智能体、神经网络与遗传算法在入侵检测领域应用研究,但是这只是一些尝试性的研究工作,需要对智能化的IDS加以进一步的研究以解决其自学习与自适应能力。
入侵检测产品仍具有较大的发展空间,从技术途径来讲,我们认为,除了完善常规的、传统的技术(模式识别和完整性检测)外,应重点加强统计分析的相关技术研究。
6.网络入侵系统存在的问题
(1)误/漏报率高
IDS常用的检测方法有特征检测、异常检测、状态检测、协议分析等。
而这些检测方式都存在缺陷。
比如异常检测通常采用统计方法来进行检测,而统计方法中的阈值难以有效确定,太小的值会产生大量的误报,太大的值又会产生大量的漏报。
而在协议分析的检测方式中,一般的IDS只简单地处理了常用的如HTTP、FTP、SMTP等,其余大量的协议报文完全可能造成IDS漏报,如果考虑支持尽量多的协议类型分析,网络的成本将无法承受。
(2)没有主动防御能力
IDS技术采用了一种预设置式、特征分析式工作原理,所以检测规则的更新总是落后于攻击手段的更新。
(3)缺乏准确定位和处理机制
IDS仅能识别IP地址,无法定位IP地址,不能识别数据来源。
IDS系统在发现攻击事件的时候,只能关闭网络出口和服务器等少数端口,但这样关闭同时会影响其他正常用户的使用。
因而其缺乏更有效的响应处理机制。
(4)性能普遍不足
现在市场上的IDS产品大多采用的是特征检测技术,这种IDS产品已不能适应交换技术和高带宽环境的发展,在大流量冲击、多IP分片情况下都可能造成IDS的瘫痪或丢包,形成Dos攻击。
入侵检测系统作为网络安全的关键性防范系统已经起得了一定发展,但仍然存在很多问题
升级会员 