基于snort的入侵检测方案设计无线网络论文 大学论文Word下载.docx
《基于snort的入侵检测方案设计无线网络论文 大学论文Word下载.docx》由会员分享,可在线阅读,更多相关《基于snort的入侵检测方案设计无线网络论文 大学论文Word下载.docx(33页珍藏版)》请在冰豆网上搜索。
因素;
入侵检测
Abstract
Duetotherapiddevelopmentofcomputertechnology,thecomputernetworkisappliedmoreandmoreextensively.However,theensuingviraldistressandhackingisceaselessupgrade,networksecurityhasbecomeaveryimportantandmustbeconsideredoneoftheproblems.Throughthecomputernetworksecurityproblemsin-depthanalysis,andputforwardthecorrespondingsecuritymeasures.
Inrecentyears,withtherapiddevelopmentofcomputernetworktechnology,especiallyInternetapplicationsbecomemoreandmorewidely,inbroughthithertounknownmassofinformationatthesametime,computernetworksecurityhasbecomeincreasinglyimportant,duetocomputernetworkconnectionformmultiplicity,terminaldistributioninhomogeneity,networkopennessandnetworkthesharingofresourcesandotherfactors,resultinginthecomputernetworkvulnerabletovirus,hackers,malicioussoftwareandothermisconductoftheattack.Inordertoensuretheinformationsafetyandnetworkunimpeded,studythecomputernetworksecurityandprotectivemeasuresalreadyapproachisineyebrownimble.Combiningwiththepracticalexperience,thecomputernetworksecurityandprotectivemeasuresarediscussed.
Keywordscomputernetwork,Security,Factors,intrusiondetection
摘要I
AbstractII
第1章网络安全概述1
1.1网络安全基础知识1
1.1.1网络安全的定义1
1.1.2网络安全的特征2
1.1.3网络安全的重要性2
第2章安全威胁与防护措施4
2.1基本概念4
2.2安全威胁的来源4
2.2.1基本威胁4
2.2.2主要的可实现的威胁5
2.2.3潜在威胁5
2.3网络安全防护措施6
2.3.1计算机病毒的防范技术6
2.3.2
身份认证技术6
2.3.3入侵检测技术7
第3章入侵检测原理8
3.1入侵检测的概述8
3.1.1入侵检测的功能8
3.1.2入侵检测的模型8
3.1.3入侵检测的流程9
3.2入侵检测的分析技术9
3.2.1异常检测10
3.3Snort错误!
未定义书签。
第4章Snort介绍13
4.1Snort体系结构13
4.2Snort规则14
4.5实验内容与步骤14
4.5.1Windows平台下Snort的安装与配置14
4.6Windows平台下Snort的使用16
总结22
参考文献23
第1章网络安全概述
随着计算机网络技术在各领域的普遍应用,现代社会的人们对于信息网络的依赖性正与日俱增。
网络的用户涵盖了社会的方方面面,大量在网络中存储和传输的数据承载着社会的虚拟财富,这对计算机网络的安全性提出了严格的要求。
然而与此同时,黑客技术也在不断发展,大量黑客工具在网络上广泛流传,使用这些工具的技术门槛越来越低,从而造成全球范围内网络攻击行为的泛滥,对信息财富造成了极大的威胁。
因此,掌握网络安全的知识,保护网络的安全已经成为确保现代社会稳步发展的必要条件。
本章首先从网络安全的基础知识出发,介绍了网络安全的定义和特征;
接着总结了威胁网络安全的主要因素。
1.1网络安全基础知识
1.1.1网络安全的定义
“安全”一词在字典中被定义为“远离危险的状态或特性”和“为防范间谍活动或蓄意破坏、犯罪、攻击或逃跑而采取的措施。
”
网络安全从其本质上来讲就是网络上的信息安全。
它涉及的领域相当广泛。
从广义上来说,凡是涉及网络上的保密性、完整性、可用性、真实性和可控性的相关技术和理论,都是网络安全所要研究的领域。
网络安全的一个通用定义是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的原因而遭到破坏、更改或泄露,系统连续、可靠、正常地运行,服务不中断。
从用户(个人、企业等)的角度来说,他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护,避免其他人或对手利用窃听、冒充、篡改和抵赖等手段对用户的利益和隐私造成损害和侵犯,同时也希望当用户的信息保存在某个计算机系统上时,不受其他非法用户的非授权访问和破坏。
从网络运行和管理者的角度来说,他们希望对本地网络信息的访问、读写等操作受到保护和控制,避免出现病毒、非法存取、拒绝服务和网络资源的非法占用及非法控制等威胁,制止和防御网络“黑客”的攻击。
对安全保密部门来说,他们希望对非法的、有害的或涉及国家机密的信息进行过滤和防堵,避免其通过网络泄露,避免由于这类信息的泄密对社会产生危害,对国家造成巨大的经济损失,甚至威胁到国家安全。
从社会教育和意识形态角度来讲,网络上不健康的内容,会对社会的稳定和发展造成阻碍,必须对其进行控制。
因此,网络安全在不同的环境和应用中会得到不同的解释,下面列出几种安全种类:
1.运行系统安全
即保证信息处理和传输系统的安全。
包括计算机系统机房环境的保护,法律、政策的保护,计算机结构设计上的安全性考虑,硬件系统的可靠安全运行,计算机操作系统和应用软件的安全,数据库系统的安全,电磁信息泄露的防护等。
它侧重于保证系统正常的运行,避免因为系统的崩溃和损坏而对系统存储、处理和传输的信息造成破坏和损失,避免由于电磁泄露产生信息泄露,干扰他人(或受他人干扰),本质上是保护系统的合法操作和正常运行。
2.网络上系统信息的安全
包括用户口令鉴别、用户存取权限控制、数据存取权限、方式控制、安全审计、安全问题跟踪、计算机病毒防治和数据加密等。
3.网络上信息传播的安全
即信息传播后的安全,包括信息过滤等。
它侧重于保护信息的保密性、真实性和完整性。
避免攻击者利用系统的安全漏洞进行窃听、冒充和诈骗等有损于合法用户的行为。
本质上是保护用户的利益和隐私。
显而易见,网络安全与其所保护的信息对象有关。
其本质是在信息的安全期内保证其在网络上流动时或者静态存放时不被非授权用户非法访问,但授权用户却可以访问。
网络安全、信息安全和系统安全的研究领域是相互交叉和紧密相连的。
本书中所讲的网络安全是指通过各种计算机、网络、密码技术和信息安全技术,保证在公有通信网络中传输、交换和存储信息的机密性、完整性和真实性,并对信息的传播及内容具有控制能力,不涉及网络可靠性、信息的可控性、可用性和互操作性等领域。
1.1.2网络安全的特征
网络安全应具有以下4个方面的特征:
1.保密性
保密性指信息不泄露给非授权用户、实体、过程或供其利用的特性。
2.完整性
完整性指数据XX不能进行改变的特性。
即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。
3.可用性
可用性指可被授权实体访问并按需求使用的特性。
即当需要时应能存取所需的信息。
网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击。
4.可控性
可控性指对信息的传播及内容具有控制能力
1.1.3网络安全的重要性
随着网络的快速普及,网络以其开放、共享的特性对社会的影响也越来越大,信息网络已经成为社会发展的重要保证。
信息网络涉及到国家的政治、军事、文教等诸多领域,其中存储、传输和处理的信息有许多是政府文件、商业经济信息、银行资金转账、股票证券、能源资源数据、科研数据等重要信息,还有很多是敏感信息,甚至是国家机密。
所以难免会吸引来自世界各地的各种人为攻击(例如信息泄露、信息窃取、数据篡改、计算机病毒等)。
同时,网络实体还要经受诸如水灾、火灾、地震、电磁辐射等方面的考验。
近年来,计算机犯罪案件也急剧上升,计算机犯罪已经成为普遍的国际性问题。
据美国联邦调查局的报告,计算机犯罪是商业犯罪中所占比例最大的犯罪类型之一。
计算机犯罪大都具有瞬时性、广域性、专业性、时空分离性等特点。
通常很难留下犯罪证据,这大大刺激了计算机高技术犯罪案件的发生。
计算机犯罪率的迅速增加,使各国的计算机系统特别是网络系统面临着很大的威胁,并成为严重的社会问题之一。
大量事实表明,确保网络安全已经是一件刻不容缓的大事。
有人估计,未来计算机网络安全问题比核威胁还要严重,因此,研究网络安全课题具有十分重要的理论意义和实际背景。
据美国AB联合会组织的调查和专家估计,美国每年因计算机犯罪所造成的经济损失高达150亿美元。
近几年国内外很多著名站点被黑客恶意修改,在社会上造成许多不良的影响,也给这些站点的运维者带来了巨大的经济损失。
利用计算机通过Internet窃取军事机密的事例,在国外也是屡见不鲜。
美国、德国、英国、法国和韩国等国的黑客曾利用Internet网分别进入五角大楼、航天局、北约总部和欧洲核研究中心的计算机数据库。
我国信息化进程虽然刚刚起步,但是发展迅速,同时安全问题也日益严重。
在短短的几年里,发生了多起危害计算机网络的安全事件,必须采取有力的措施来保护计算机网络的安全。
广义上的网络安全还应该包括如何保护内部网络的信息不从内部泄露、如何抵制文化侵略、如何防止不良信息的泛滥等。
未来的战争将是信息战争,信息安全关系到国家的主权和利益,关系着国家的安全。
因此网络安全技术研究的重要性和必要性是显而易见的。
计算机网络的发展,使信息的共享应用日益广泛与深入。
但是信息在公共通信网络上存储、共享和传输,可能面临的威胁包括被非法窃听、截取、篡改或毁坏等,这些威胁可能给网络用户带来不可估量的损失,使其丧失对网络的信心。
尤其是对银行系统、商业系统、管理部门、政府或军事领域而言,信息在公共通信网络中的存储与传输过程中的数据安全问题更是备受关注。
第2章安全威胁与防护措施
2.1基本概念
所谓安全威胁,是指某个人、物、事件或概念对某一资源的保密性、完整性、可用性或合法使用所造成的危险。
攻击就是安全威胁的具体实施。
所谓防护措施,是指保护资源免受威胁的一些物理的控制、机制、策略和过程。
微弱性是指在实施保护措施中或缺少防护措施时,系统所具有的弱点。
所谓风险,是对某个已知的、可能引发某种成功攻击的脆弱性的代价的测度。
当某个脆弱的资源的价值越高,且成功攻击的概率越大时,风险就越高;
反之,当某个脆弱资源的价值越低,且成功攻击的概率越小时,风险就越低。
风险分析能够提供定量的方法,以确定是否应保证防护措施方面的资金投入。
安全威胁有事时可以分为故意的(如黑客浸透)和偶然的(如信息被发往错误的地方)两类。
故意的威胁又可以进一步分为被动攻击和主动攻击。
被动攻击只对信息进行监听(如搭线窃听),而不对其进行修改。
主动攻击却对信息进行故意的修改(如改动某次金融会话过程中货币的数量)。
总之,被动攻击比主动攻击更容易以更少的花费付诸实施。
目前尚没有统一的方法来对各种威胁加以区别和分类,也难以搞清各种威胁之间的相互关系。
不同威胁的存在及其严重性随着环境的变化而变化。
然而,为了解释网络安全服务的作用,人们对现代计算机网络以及通信过程中常遇到的一些威胁汇编成一些图表。
下面分三个阶段对威胁进行分析:
首先对基本的威胁加以区分;
其次,对主要的可实现的威胁进行分类;
最后,对潜在的威胁进行分类。
2.2安全威胁的来源
2.2.1基本威胁
下面4种基本安全威胁直接反映了本章初始划分的4个安全目标。
1.信息泄露
信息被泄露或透漏给某个非授权的人或实体。
这种威胁来自诸如窃听、搭线或其他更加错综复杂的信息探测攻击。
2.完整性破坏
数据的一致性通过非授权的增删、修改和破坏而受到损坏。
3.拒绝服务
对信息或资源的访问被无条件地阻止。
这可能是由以下攻击所致:
攻击者通过对系统进行非法的、根本无法成功的访问尝试而使系统产生过量的负荷,从而导致系统的资源在合法用户看来是不可用的。
拒绝服务也可能是因为系统在物理上或逻辑上受到破坏而终端服务。
4.非法攻击
某个资源被某个非法授权的人,或以某种非授权的方式使用。
例如,侵入某个计算机系统的攻击者会利用此系统作为盗用电信服务的基点,或者作为侵入其他系统的桥头堡。
2.2.2主要的可实现的威胁
在安全威胁中,主要的可实现威胁应该引起高度关注,因为这类威胁一旦成功实施就会直接导致其他任何威胁的实施。
只要的可实现威胁包括侵入威胁和植入威胁。
一、主要的侵入类型的威胁如下:
1.假冒
某个实体(人或者系统)假装成另外一个不同的实体。
这是突入某一安全防线最常用的方法。
这个非授权的实体提示某个防线的守卫者,使其相信他是一个合法的实体,此后便取了此合法的权利和特权。
黑客大多采取这种假冒攻击方式来实施攻击。
2.旁路控制
为了获得非授权的权利和特权,某个攻击者会发掘系统的缺陷和安全性上的脆弱之处。
例如,攻击者通过各种手段发现原本应保密,但是又暴露出来的一些系统“特征”。
攻击者可以绕过防线守卫者侵入系统内部。
3.授权侵犯
一个授权以既定目的使用某个系统或资源的人,却将其权限用于其他非授权的目的。
这种攻击的发起者往往属于系统内的某个合法用户,因此这个攻击又称为“内部攻击”。
二、主要的植入类型的威胁如下:
1.特洛伊木马(trojanhorse)
软件中含有一个察觉不出的或者无害的程序段。
当他被执行时,会破坏用户的安全性。
例如一个表面上具有合法目的的应用程序软件,如文件编辑软件,它具有一个暗藏的目的,就是将用户的文件复制到一个隐藏的秘密文件中,这种应用程序就称为特洛伊木马。
此后,植入特洛伊木马的那个攻击者就是可以阅读到该用户的文件。
2.陷阱门(trapdoor)
在某个系统或其部件中设置“机关”,使在提供特定的输入数据时,允许违反安全策略。
例如,一个用户登录子系统,如果设置有陷阱门,当攻击者输入一个特别的用户身份号时,就可以绕过通常的口令检测。
2.2.3潜在威胁
在某个特定的环境中,如果对任何一个基本威胁或者主要的可实现威胁进行分析,就能够发现某些特定的潜在威胁,而任意一种潜在威胁都可能导致一些更基本的威胁的发生。
例如,在对信息泄露这种基本威胁进行分析时,有可能找以下几种潜在的威胁(不考虑主要的可实现威胁):
✧窃听(eavesdropping);
✧流量分析(trafficanalysis);
✧操作人员的不慎所导致的信息泄露;
✧媒体废弃物所导致的信息泄露。
图2-1列出了一些典型的威胁以及它们之间的相互关系。
注意,图中的路径可以交错。
例如,假冒攻击可以成为所有基本威胁的基础,同时假冒攻击本身也存在信息泄露的潜在威胁(因为信息泄露可能暴露某个口令,而用此口令可以实施假冒攻击)。
表2-1列出了各种威胁之间的差异,并分别进行了描述。
图2-1典型的威胁及其相互关系
2.3网络安全防护措施
安全领域存在有多种类型的防护措施。
除了采用密码技术的防护措施之外,还有其他类型的安全防护措施:
2.3.1计算机病毒的防范技术
在网络环境下,防范计算机病毒仅采用单一的方法来进行已经无任何意义,要想彻底清除网络病毒,必须选择与网络适合的全方位防病毒产品。
如果对互联网而言,除了需要网关的防病毒软件,还必须对上网计算机的安全进行强化;
如果在防范内部局域网病毒时需要一个具有服务器操作系统平台的防病毒软件,这是远远不够的,还需要针对各种桌面操作系统的防病毒软件;
如果在网络内部使用电子邮件进行信息交换时,为了识别出隐藏在电子邮件和附件中的病毒,还需要增加一套基于邮件服务器平台的邮件防病毒软件。
由此可见,要想彻底的清除病毒,是需要使用全方位的防病毒产品进行配合。
另外,在管理方面,要打击盗版,因为盗版软件很容易染上病毒,访问可靠的网站,在下载电子邮件附件时要先进行病毒扫描,确保无病毒后进行下载,最重要的是要对数据库数据随时进行备份。
身份认证技术
系统对用户身份证明的核查的过程就是身份认证,就是对用户是否具有它所请求资源的存储使用权进行查明。
用户向系统出示自己的身份证明的过程就是所谓的身份识别。
一般情况下,将身份认证和身份识别统称为身份认证。
随着黑客或木马程序从网上截获密码的事件越来越多,用户关键信息被窃情况越来越多,用户已经越来越认识到身份认证这一技术的重要性。
身份认证技术可以用于解决用户的物理身份和数字身份的一致性问题,给其他安全技术提供权限管理的依据。
对于身份认证系统而言,合法用户的身份是否易于被其他人冒充,这是最重要的技术指标。
用户身份如果被其他不法分子冒充,不仅会对合法用户的利益产生损害,而且还会对其他用户的利益甚至整个系统都产生危害。
由此可知,身份认证不仅是授权控制的基础,而且还是整个信息安全体系的基础。
身份认证技术有以下几种:
基于口令的认证技术、给予密钥的认证鉴别技术、基于智能卡和智能密码钥匙
(UsBKEY)的认证技术、基于生物特征识别的认证技术。
对于生物识别技术而言,其核心就是如何获取这些生物特征,并将之转换为数字信息、存储于计算机中,并且完成验证与识别个人身份是需要利用可靠的匹配算法来进行的。
2.3.3入侵检测技术
入侵检测就是对网络入侵行为进行检测,入侵检测技术属于一种积极主动地安全保护技术,它对内部攻击、外部攻击以及误操作都提供了实时保护。
入侵检测一般采用误用检测技术和异常监测技术。
1.误用检测技术
这种检测技术是假设所有的入侵者的活动都能够表达为中特征或模式,对已知的入侵行为进行分析并且把相应的特征模型建立出来,这样就把对入侵行为的检测变成对特征模型匹配的搜索,如果与已知的入侵特征匹配,就断定是攻击,否则,便不是。
对已知的攻击,误用入侵检测技术检测准确度较高,但是对已知攻击的变体或者是一些新型的攻击的检测准确度则不高。
因此,要想保证系统检测能力的完备性是需要不断的升级模型才行。
目前,在绝大多数的商业化入侵检测系统中,基本上都是采用这种检测技术构建。
2.异常检测技术
异常检测技术假设所有入侵者活动都与正常用户的活动不同,分析正常用户的活动并且构建模型,把所有不同于正常模型的用户活动状态的数量统计出来,如果此活动与统计规律不相符,则表示可以是入侵行为。
这种技术弥补了误用检测技术的不足,它能够检测到未知的入侵。
但是,在许多环境中,建立正常用户活动模式的特征轮廓以及对活动的异常性进行报警的阈值的确定都是比较困难的,另外,不是所有的非法入侵活动都在统计规律上表示异常。
今后对入侵检测技术的研究主要放在对异常监测技术方面。
另外,计算机网络安全防范策略还包括一些被动防范策略。
被动式防范策略主要包括隐藏IP地址、关闭端口、更换管理员账户等,本文只对以上两种进行分析。
第3章入侵检测原理
3.1入侵检测的概述
入侵检测是指对入侵检测行为的发现\报警和响应,他通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象.
入侵检测系统(intrusiondetectionsystem,IDM)是完成入侵检测功能的软件和硬件的集合。
1980年4月,JamesP.Anderson在美国空军起草的技术报告《计算机安全威胁检测与监视》中第一次详细阐述了入侵检测的概念。
随着网络安全风险系数不断提高,防火墙作为曾经最主要的安全防范手段已经不能满足人们对网络安全的需求。
作为对防火墙极其有益的补充,位于其后的第二道安全闸门IDS能够帮助网络系统快速发现网络攻击的发生,有效扩展系统管理员的安全管理能力及提高信息安全基础结构的完整性。
IDS能在不影响网络及主机性能的情况下对网络数据流和主机审计数据进行监听和分析,对可疑的网络连接和系统行为进行记录和报警,从而提供对内部攻击、外部攻击和误操作的实时保护。
3.1.1入侵检测的功能
◆入侵检测的功能主要体现在一下几个方面:
◆监视并分析用户和系统的活动。
◆检查系统配置和漏洞。
◆识别已知的攻击行为并报警。
◆统计分析异常行为。
◆评估系统关键资源和数据文件的完整性。
◆操作系统的审计跟踪管理,并识别违反安全策略的用户行为。
3.1.2入侵检测的模型
为了提高IDS产品、组件及与其他安全产品之间的互操作性,美国国防高级研究计划署和Internet工程任组的入侵检测工作组(IDWG)发起并制定了一系列建议草案,从体系结构、API、通信机制、语言格式等方面规范IDS的标准。
图3-1是有美国国防高级研究计划署所提出的通用入侵检测框架(commonintrusiondetectionframework,CIDF)模型,将一个IDS分为事件产生器、分析引擎、响应单元和事件数据库4个组件。
图3-1入侵检测通用模型
事件产生器为入侵检测系统提供必要的输入,这些输入构成了检测的基础。
分析引擎接收来自事件产生器的数据并检查数据以发现入侵迹象。
响应单元对分析结果做出反应,控制网络或系统产生和分析结果相应的动作。
3.1.3入侵检测的流程
基于CIDF模型,入侵检测流程主要包括3个步骤,即信息收集、信息
升级会员 