网络安全与入侵检测系统分析.docx
《网络安全与入侵检测系统分析.docx》由会员分享,可在线阅读,更多相关《网络安全与入侵检测系统分析.docx(40页珍藏版)》请在冰豆网上搜索。
网络安全与入侵检测系统分析
摘要
互联网络的蓬勃发展给人们的工作生活带来极大的便利,然而,随着现代化网络应用的普及,伴随而来的网络不安全因素也给网络信息安全带来了严峻挑战,传统的网络安全技术已经很难对付这些日益严重的安全威胁,所以我们就有必要去开发专门的工具去避免这些不安全因素的攻击,而入侵检测技术便可以作为一种很重要的技术为我们所用。
入侵检测是网络安全领域中一个较新的课题,检测引擎作为入侵检测系统的核心模块,其检测速度快慢直接影响网络入侵检测系统的效率,模式匹配是入侵检测系统的重要检测方法,其性能对入侵检测系统至关重要。
入侵检测系统按照数据分析模式来分,可以分为异常入侵检测和误用入侵检测,对于当前基于模式匹配的误用入侵检测系统来说,入侵检测的检测效率主要体现在模式匹配的速度,好的模式匹配算法是提高入侵检测速度的关键所在。
本论文首先介绍研究了网络安全及网络入侵检测的概况,然后深入的研究了snort的详细信息,包括其特点,结构和其检测流程等,论文重点的对模式匹配算法进行了研究及改进。
关键词:
网络安全;入侵检测;snort;模式匹配
ABSTRACT
TherapiddevelopmentoftheInternetbringsgreatconveniencetopeople'sworkandlivebutasthepopularityofmodernnetwork,thenetworkattendantinsecurityalsobringstotheinformationsecuritychallenges,thetraditionalnetworksecuritytechnologyhasdifficultytodealwiththeseincreasinglyserioussecuritythreat,soitisnecessarytodevelopspecialtoolstoavoidtheinsecurityoftheattack,andintrusiondetectiontechnologiescanbeaveryimportanttechnologyworkforus.
Networksecurityintrusiondetectionisarelativelynewsubject,TheengineoftestingisthecoremoduleoftheIntrusionDetectionSystem,andthedetectionrateofspeeddirectlyaffectstheefficiencyofnetworkintrusiondetectionsystems.Patternmatchingintrusiondetectionsystemisanimportantdetectionmethodandtheperformanceofintrusiondetectionsystemisessential.Intrusiondetectionsystemaccordingtothedataanalysismodeltopointscanbedividedintoanomalydetectionandmisuseinvasionintrusiondetection.forthecurrentbasedonpatternmatchingthemisuseofintrusiondetectionsystem,intrusiondetectionefficiencymainlyreflectsinpatternmatchingspeed,goodpatternmatchingalgorithmistoimprovetheintrusiondetectionisthekeytothespeed.
Thispaperfirstintroducesthenetworksecurityandthegeneralsituationofthenetworkintrusiondetection,andthenfurtherresearchofthesnortofdetailedinformation,includingitscharacteristics,structureandthetestprocessandsoon,Thefocusofthepapertopatternmatchingalgorithmandimproveresearch.
KEYWORDS:
Networksecurity;Intrusiondetection;Snort;Patternmatching
第一章引言
1.1研究背景
随着网络技术的飞速发展,其应用领域也在不断地扩展,网络技术的应用已经从传统的小型业务系统逐渐扩展到大型的关键业务系统中,比如说金融业务系统、电子商务系统等等,政府门户信息系统等。
然而,随着网络技术的迅速发展,网络安全问题也日益突出。
比如说金融系统、政府信息系统受到外界的攻击与破坏,信息容易被窃取和修改等网络安全问题越来越严重。
所以说,网络安全问题已成为各国政府、企业以及广大网络用户关心的问题之一。
1.2研究的目的与意义
任何试图破坏网络活动的正常化都可以称为网络安全问题,过去保护网络安全的最常用、最传统的方法就是防火墙,但是防火墙只是一种被动防御性的网络安全工具,随着科学技术的不断发展,网络日趋复杂化,传统防火墙是不足以满足如今复杂多变的网络安全问题,在这种情况下,逐渐产生了入侵检测系统,入侵检测系统不仅能够为网络安全提供实时的入侵检测及采取响应的防护手段,它还可以识别针对计算机或网络资源的恶意企图和行为,并对此做出反应,它提供了对系统受到内部攻击、外部攻击和误操作的实时保护,能够帮助系统对付网络攻击。
入侵检测系统能很好的弥补防火墙的不足,是防火墙的合理完善。
入侵检测系统具有以下几个特点:
●从系统的不同环节收集各种信息;
●分析收集到的信息并试图寻找入侵信息活动的特征;
●自动对检测到的行为做出响应;
●记录并报告检测结果;
入侵检测系统的主要功能有:
●监测并分析用户和系统的活动;
●核查系统配置及其漏洞;
●评估系统重要资源和数据文件是否完整;
●识别己知的入侵行为;
●统计分析不正常行为;
●根据操作系统的管理日志,识别违反安全策略的用户活动;
入侵检测技术是一种积极主动地安全防护技术,其核心在于它的检测引擎,如何实现高效快速的检测,是入侵检测技术的一个重要研究重点。
目前入侵检测技术主要分为两大类,分别是基于异常的入侵检测和基于规则的入侵检测。
由于目前的攻击主要是针对网络的攻击,因此检测入侵和攻击的最主要的方法是捕获和分析网络数据包,使用相应的软件来提取入侵者所发出的攻击包的特征,然后将这些特征攻击包和入侵检测系统的特征库进行对比匹配,如果在特征库中检测到相应的攻击包,就会发出入侵报警。
在与特征库进行匹配的过程中,用到的最主要的技术就是模式匹配,所以说在入侵检测系统中模式匹配是一个研究重点。
在国内,随着网络应用的日益增长,特别是那些关键部门对网络的应用使得网络安全问题至关重要,迫切需要高效的入侵检测产品来确保网络安全,但是,由于我国的入侵检测技术在网络安全领域的研究起步较晚,还不够成熟和完善,需要投入较多的精力来对这方面进行探索研究,特别是基于模式匹配也就是基于规则的入侵检测是一个重要的研究领域,这对抑制黑客攻击和网络病毒的传播,提高网络安全具有重要意义。
1.3入侵检测技术的不足与发展趋势
入侵检测技术作为安全技术的一个重要领域,正在成为网络安全研究的热点,对入侵检测的理论研究和实际应用中还存在着许多问题,需要我们继续深入研究和探索,具体来说,入侵检测在以下方面有待继续发展:
●如何提高入侵检测的安全性和准确性
目前商用领域的入侵检测系统主要是基于模式匹配的入侵检测引擎。
这种基于模式匹配的入侵检测引擎是将入侵数据与攻击模式特征库进行匹配,其缺点是:
当网络中出现新的攻击时,由于攻击特征库未能及时更新,或是暂时很难对这些攻击的攻击特进行总结等,从而对这些新的攻击无法产生报警,造成漏报。
另外,大多入侵检测无法识别伪装或变形的网络攻击,也造成大量漏报和误报。
因此减少网络负担,实现模式特征库的不断升级与扩展,这是对基于模式匹配的入侵检测系统来讲,提高入侵检测的安全性和准确性有很大帮助,从而使基于模式匹配的入侵检测系统具有更广泛的应用前景。
●如何提高入侵检测的检测速度
入侵检测系统的检测速度是其一项非常重要的指标,随着网络数据快速增长,不仅要求网络传输工具技术的不断发展,而且如果入侵检测的处理速度不能相应提高,那么它将会成为影响网络正常运行的一大瓶颈,从而导致丢包,漏报等,进一步影响入侵检测系统的准确性和有效性。
在入侵检测中,随着百兆、甚至千兆网络的大量应用,入侵检测技术发展的速度已经远远落后于网络发展的速度。
如何提高入侵检测系统的检测速度是目前研究者们迫不及待的任务,如改进其使用的核心算法,设计灵巧的检测系统等。
●如何提高入侵检测的理论研究
现在,入侵检测技术研究理论在我国还不成熟,如何选择合适的检测技术以确保入侵检测的高效性还不确定,随着计算机科学不断向前发展,计算机科学中的各种领域技术也有待进一步完善,如网络技术、系统工程、分布式计算、人工智能等已形成比较良好的理论基础,借鉴上述技术,再把入侵检测和网络结构、加密技术、防火墙、病毒防护技术等结合起来,结合入侵检测理论本身的特点,必将会提高、完善入侵检测的理论研究。
●如何规范入侵检测产品的性能
标准化的工作对于一项技术的发展非常关键,在某一个技术领域,如果没有相应的标准,那么该领域的发展将是混乱无章的。
目前对于入侵检测产品尚无一个明确的国际标准出台,国内也没有,这使得各产品之间无法共享数据信息。
尽管入侵检测系统经历了二十多年的发展,但产品规范仍处于一个无序状态,实际上,入侵检测还处在一个新兴的科学领域,如何规范入侵检测产品性能,研究者们对其还是充满信心,相信随着科技的继续发展、入侵检测理论的不断成熟,入侵检测产品的标准会出现的,从而加快入侵检测技术的不断向前发展。
第二章网络安全简介
2.1网络安全概念及特征
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
网络安全从其本质上来讲就是网络上的信息安全。
网络安全应具有以下五个方面的特征:
●保密性
信息不泄露给非授权用户、实体或过程,或供其利用的特性。
●完整性
数据XX不能进行改变的特性。
即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。
●可用性
可被授权实体访问并按需求使用的特性。
即当需要时能否存取所需的信息。
例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击;
●可控性
对信息的传播及内容具有控制能力。
●可审查性
出现安全问题时提供依据与手段
2.2网络安全攻击形式及解决方案
网络安全攻击形式主要有四种方式:
中断、截获、修改和伪造。
●中断
是以可用性作为攻击目标,它毁坏系统资源,使网络不可用。
●截获
是以保密性作为攻击目标,非授权用户通过某种手段获得对系统资源的访问。
●修改
是以完整性作为攻击目标,非授权用户不仅获得访问而且对数据进行修改。
●伪造
是以完整性作为攻击目标,非授权用户将伪造的数据插入到正常传输的数据中。
2.2.1入侵检测系统部署
入侵检测能力是衡量一个防御体系是否完整有效的重要因素,强大完整的入侵检测体系可以弥补防火墙相对静态防御的不足。
对来自外部网和校园网内部的各种行为进行实时检测,及时发现各种可能的攻击企图,并采取相应的措施。
具体来讲,就是将入侵检测引擎接入中心交换机上。
入侵检测系统集入侵检测、网络管理和网络监视功能于一身,能实时捕获内外网之间传输的所有数据,利用内置的攻击特征库,使用模式匹配和智能分析的方法,检测网络上发生的入侵行为和异常现象,并在数据库中记录有关事件,作为网络管理员事后分析的依据;如果情况严重,系统可以发出实时报警,使得学校管理员能够及时采取应对措施。
2.2.2漏洞扫描系统
采用目前最先进的漏洞扫描系统定期对工作站、服务器、交换机等进行安全检查,并根据检查结果向系统管理员提供详细可靠的安全性分析报告,为提高网络安全整体水平产生重要依据。
2.2.3网络版杀毒产品部署
在网络防病毒方案中,我们最终要达到一个目的就是:
要在整个局域网内杜绝病毒的感染、传播和发作,为了实现这一点,我们应该在整个网络内可能感染和传播病毒的地方采取相应的防病毒手段。
同时为了有效、快捷地实施和管理整个网络的防病毒体系,应能实现远程安装、智能升级、远程报警、集中管理、分布查杀等多种功能。
2.3网络信息安全的技术保障策略
2.3.1密码技术
加密技术是电子商务采取的基本安全措施,交易双方可根据需要在信息交换的阶段使用。
加密技术分为两类,即对称加密和非对称加密。
●对称加密。
对称加密又称私钥加密,即信息的发送方和接收方用同一个密钥去加密和解密数据。
它的最大优势是加/解密速度快,适合于对大数据量进行加密,但密钥管理困难。
如果进行通信的双方能够确保专用密钥在密钥交换阶段未曾泄露,那么机密性和报文完整性就可以通过这种加密方法加密机密信息、随报文一起发送报文摘要或报文散列值来实现。
●非对称加密。
非对称加密又称公钥加密,使用一对密钥来分别完成加密和解密操作,其中一个公开发布(即公钥),另一个由用户自己秘密保存(即私钥)。
信息交换的过程是:
甲方生成一对密钥并将其中的一把作为公钥向其他交易方公开,得到该公钥的乙方使用该密钥对信息进行加密后再发送给甲方,甲方再用自己保存的私钥对加密信息进行解密。
2.3.2数字签名
数字签名也称电子签名,如同出示手写签名一样,能起到电子文件认证、核准和生效的作用。
其实现方式是把散列函数和公开密钥算法结合起来,发送方从报文文本中生成一个散列值,并用自己的私钥对这个散列值进行加密,形成发送方的数字签名;然后,将这个数字签名作为报文的附件和报文一起发送给报文的接收方;报文的接收方首先从接收到的原始报文中计算出散列值,接着再用发送方的公开密钥来对报文附加的数字签名进行解密;如果这两个散列值相同,那么接收方就能确认该数字签名是发送方的。
数字签名机制提供了一种鉴别方法,以解决伪造、抵赖、冒充、篡改等问题。
2.3.3鉴别
鉴别通过数字证书。
数字证书是一个经证书授权中心数字签名的包含公钥拥有者信息以及公钥的文件数字证书的最主要构成包括一个用户公钥,加上密钥所有者的用户身份标识符,以及被信任的第三方签名第三方一般是用户信任的证书权威机构(CA),如政府部门和金融机构。
用户以安全的方式向公钥证书权威机构提交他的公钥并得到证书,然后用户就可以公开这个证书。
任何需要用户公钥的人都可以得到此证书,并通过相关的信任签名来验证公钥的有效性。
数字证书通过标志交易各方身份信息的一系列数据,提供了一种验证各自身份的方式,用户可以用它来识别对方的身份。
2.3.4网络访问控制策略
访问控制策略是网络安全防范和保护的主要策略,其任务是保证网络资源不被非法使用和非法访问。
各种网络安全策略必须相互配合才能真正起到保护作用,而访问控制是保证网络安全最重要的核心策略之一。
访问控制策略包括入网访问控制策略、操作权限控制策略、目录安全控制策略、属性安全控制策略、网络服务器安全控制策略、网络监测、锁定控制策略和防火墙控制策略等7个方面的内容。
2.4网络安全的现状
自从网络技术运用的20多年以来,全世界网络得到了持续快速的发展,中国的网络安全技术在近几年也得到快速的发展,这一方面得益于从中央到地方政府的广泛重视,另一方面因为网络安全问题日益突出,网络安全企业不断跟进最新安全技术,不断推出满足用户需求、具有时代特色的安全产品,进一步促进了网络安全技术的发展。
从技术层面来看,目前网络安全产品在发展过程中面临的主要问题是:
以往人们主要关心系统与网络基础层面的防护问题,而现在人们更加关注应用层面的安全防护问题,安全防护已经从底层或简单数据层面上升到了应用层面,这种应用防护问题已经深入到业务行为的相关性和信息内容的语义范畴,越来越多的安全技术已经与应用相结合。
2.5研究目的
随着互联网技术的不断发展和广泛应用,计算机网络在现代生活中的作用越来越重要,如今,个人、企业以及政府部门,国家军事部门,不管是天文的还是地理的都依靠网络传递信息,这已成为主流,人们也越来越依赖网络。
然而,网络的开放性与共享性容易使它受到外界的攻击与破坏,网络信息的各种入侵行为和犯罪活动接踵而至,信息的安全保密性受到严重影响。
因此,网络安全问题已成为世界各国政府、企业及广大网络用户最关心的问题之一。
网络安全技术指致力于解决诸如如何有效进行介入控制,以及何如保证数据传输的安全性的技术手段,主要包括物理安全分析技术,网络结构安全分析技术,系统安全分析技术,管理安全分析技术,及其它的安全服务和安全机制策略。
在网络技术高速发展的今天,对网络安全技术的研究意义重大,它关系到小至个人的利益,大至国家的安全。
对网络安全技术的研究就是为了尽最大的努力为个人、国家创造一个良好的网络环境,让网络安全技术更好的为广大用户服务。
第三章入侵检测系统的相关理论分析
3.1入侵检测系统基本原理
3.1.1入侵检测的概念
入侵检测系统(IntrusionDetectionSystem简称为IDS)工作在计算机网络系统中的关键节点上,通过实时地收集和分析计算机网络或系统中的信息,来检查是否出现违反安全策略的行为和是否存在入侵的迹象,进而达到提示入侵、预防攻击的目的。
入侵检测系统作为一种主动防护的网络安全技术,有效扩展了系统维护人员的安全管理能力,例如安全审计、监视、攻击识别和响应的能力。
通过利用入侵检测系统,可以有效地防止或减轻来自网络的威胁,它已经成为防火墙之后的又一道安全屏障,并在各种不同的环境中发挥关键作用。
3.1.2入侵检测的发展历史
从实验室原型研究到推出商业化产品、走向市场并获得广泛认同,入侵检测走过了20多年的历程。
●概念提出
1980年4月,JnamesP.Aderson为美国空军做了一份题为“ComputerSecurityThreatMonitoringandSureillance”(计算机安全威胁监控与监视)的技术报告,第一次详细的阐述了入侵检测的概念。
他提出了一种对计算机系统风险和威胁的分类方法,并将威胁分为了外部渗透、内部渗透和不法行为三种,还提出了利用审计跟踪数据监视入侵活动的思想。
这份报告被公认为是入侵检测的开山之作。
●模型的发展
1984年-1986年,乔治敦大学的DorothyDenning和SRI/CSL(SRI公司计算机科学实验室)的PeterNeumann研究出了一种实时入侵检测系统模型,取名为IDES(入侵检测专家系统)。
该模型独立于特定的系统平台、应用环境、系统弱点以及入侵类型,为构建入侵系统提供了一个通用的框架。
1988年,SRI/CSL的TeresaLunt等改进了Denning的入侵检测模型,并研发出了实际的IDES。
1990年时入侵检测系统发展史上十分重要的一年。
这一年,加州大学戴维斯分校的L.T.Heberlein等开发出了NSM(NetworkSecurityMonitor)。
该系统第一次直接将网络作为审计数据的来源,因而可以在不将审计数计转化成统一的格式情况下监控异种主机。
同时两大阵营正式形成:
基于网络的IDS和基于主机的IDS。
1988年的莫里斯蠕虫事件发生后,网络安全才真正引起各方重视。
美国空军、国家安全局和能源部共同资助空军密码支持中心、劳伦斯利弗摩尔国家实验室、加州大学戴维斯分校、Haystack实验室,开展对分布式入侵检测系统(DIDS)的研究,将基于主机和基于网络的检测方法集成到一起。
●技术的进步
从20世纪90年代到现在,入侵检测系统的研发呈现出百家争鸣的繁荣局面,并在智能化和分布式两个方向取得了长足的进展。
目前,SRI/CSL、普渡大学、加州戴维斯分校、洛斯阿拉莫斯国家实验室、哥伦比亚大学、新墨西哥大学等机构在这些方面代表了当前的最高水平。
我国也有多家企业通过最初的技术引进,逐渐发展成自主研发。
3.2入侵检测系统的分类
入侵的手段多种多样,相对的,用来进行入侵检测的系统也可以分为很多种类。
以下从检测数据源及检测方式来进行分类。
3.2.1根据检测数据源分类
3.2.1.1基于主机的入侵检测系统
基于主机IDS部署在单主机上,利用操作系统产生的日志记录作为主要信息源,通过对其进行审计,检测入侵行为。
基于主机IDS不对网络数据包或扫描配置进行检查,而是对系统日志提供的大量数据进行整理。
早期的系统多为基于主机的,主要用来检测内部网络的入侵攻击。
后来用分布主机代理来实现。
●优点:
信息源(0S日志记录)完备。
系统产生的日志是归类有序的。
它准确记录了每个用户的行为序列,这样便可以精确监控每个用户的行为。
同时也使得IDS对信息源的处理简单、一致。
对某些特定的攻击十分有效。
比如,审计日志能够显示出由缓冲区溢出攻击引起的优先级转移的情况,从而能够有效的检测缓冲区溢出攻击。
●缺点:
1)由于它通常作为用户进程运行,依赖于具体的操作系统底层的支持,与系统的体系结构有关,所以它无法了解发生在下层协议的入侵活动;
2)熟练的入侵者往往可以进入系统修改、删除有关的日志记录,从而隐藏入侵迹象;
3)HIDS位于所监视的每一个主机中,故占用的资源不能太多,从而大大制了所采用的检测方法及处理性能。
3.2.1.2基于网络的入侵检测系统
基于网络的IDS最早出现于1990年。
它主要用于防御外部入侵攻击。
它通过监控出入网络的通信数据流,依据一定规则对数据流的内容进行分析,从而发现协议攻击、运行已知黑客程序的企图和可能破坏安全策略的特征,做出入侵攻击判断。
为了能够捕获入侵攻击行为,基于网络IDS必须位于能够看到所以数据包的位置,这包括:
环网内部、安全网络中紧随防火墙之后以及其它子网的路由器或网关之后。
最佳位置便是位于Internet到内部网络的接入点。
但是,同一子网的2个节点之间交换数据报文并且交换数据报文不经过IDS,那么IDS可能就会忽略这些攻击。
●优点:
1)由于NIDS直接收集网络数据包,而网络协议是标准的。
因此,NIDS如目标系统的体系结构无关,可用于监视结构不同的各类系统;
2)NIDS使用原始网络数据包进行检测,因此它所收集的审计数据被篡改的可能性很小,而且它不影响被保护系统的性能;
3)NIDS利用工作在混杂模式下的网卡实时监视和分析所有的通过共享式网络的传输,能够实时得到目标系统与外界交互的所有信息,包括一些隐蔽的端口扫描和没有成功的入侵尝试。
●缺点:
1)缺乏终端系统对待定数据的处理方法等信息,使得从原始的数据包中重构应用层信息很困难。
因此,NIDS难以检测发生在应用层的攻击;而对于加密传输方式进行的入侵,NIDS也无能为力;
2)NIDS只检查它直接连接网段的通信,不能检测到不同网段的网络包,因此在交换式局域网中,它难以获得不同交换端口的网络信息:
3)网络流的数据量大,NIDS必须对数据帧进行解码才能了解
升级会员 