入侵检测与防御技术的研究.docx
《入侵检测与防御技术的研究.docx》由会员分享,可在线阅读,更多相关《入侵检测与防御技术的研究.docx(17页珍藏版)》请在冰豆网上搜索。
入侵检测与防御技术的研究
青岛恒星职业技术学院高等职业教育专科
_____网络技术____专业毕业论文(设计)
青岛恒星职业技术学院
毕业论文(设计)
题目:
__入侵检测与防御技术的研究__
姓名:
_____王宇__________
学号:
_____X0700574________
指导教师及职称:
_焦恩龙______
所在学院:
信息学院
所在专业:
网络技术
所在班级:
网络技术7123
2009年10月20日
摘要
网络信息系统的安全问题是一个十分复杂的问题,涉及到技术、管理、使用等许多方面。
入侵检测与防御技术作为新一代的网络信息安全保障技术,它主动地对网络信息系统中的恶意入侵行为进行识别和响应,不仅检测和防御来自外部网络的入侵行为,同时也监视和防止内部用户的未授权活动和误操作行为。
本文在概述传统网络信息安全技术,黑客常用入侵手段与防范对策,入侵检测系统的发展、分类、检测方法以及标准化等问题的基础上,针对目前入侵检测遇到的一些新问题,提出了一个入侵检测系统的设计方案。
主要包括对整个系统的体系结构设计,分析子系统结构与检测方法的改进,蜜罐与陷阱子系统(IP陷阱、服务陷阱、文件陷阱)设计,IDS负载均衡技术研究,利用双网卡技术和备份监控代理方式提供对IDS自身的有效安全防护等。
另外,本文还从入侵追踪和协同防御两方面论述了入侵防御技术,提出了入侵防御系统(IPS)的构筑设想,设计了IDS与动态防火墙、IDS与路由器相协同的框架模型以及入侵防御协议(IPP)的框架模型。
最后,本文讨论了入侵检测目前所面临的问题和未来的发展趋势
Abstract
Thenetworkinformationsystemsecurityisaverycomplicatedproblem.Itinvolvestechnology,management,usageandetc.Thetechniqueofintrusiondetectionandintrusionpreventionhasbecomethenewgenerationinformationsecuritytechnique.Itactivelyidentifiesthemalicioususagebehaviorofinformationsystemandactivelyresponsestoit.TheIDS(IntrusionDetectionSystem)andIPS(IntrusionPreventionSystem)notonlydetectandpreventtheexteriornetworksintrusionbehavior,butalsokeepwatc...
目录
第一章网络信息安全概述
1.1计算机与网络信息系统安全
1.2网络信息系统面临的安全威胁
1.3网络信息安全技术
1.4研究入侵检测与防御的必要性
第二章常用入侵手段与防范对策
2.1黑客入侵过程概述
2.2常用入侵手段与防范对策
第三章入侵检测系统概述
3.1入侵检测系统的发展
第四章入侵检测技术
4.1异常入侵检测技术
4.2误用入侵检测技术
第五章入侵防御技术
5.1入侵防御协同技术
5.2入侵防御协议设计
总结
参考文献
致谢
关键词:
拒绝服务攻击入侵检测入侵防御协议
正文:
目前网络安全领域面临着严重的向题。
一方面当今社会对网络的依翰性日益增加,而另一方面网络入侵和攻击事件发生的次数也急剧增长。
这两个方面相互影响,前者使得网络的结构,协议及应用日渐复杂,同时也造成社会对网络安全问题的可容忍程度逐步降低。
对干某些行业来说,网络出现故障可能不再是一个小的事故,而是一场灾难;为了保障网络安全,各种网络入侵检测和防御技术应运而生。
本文就目前各种网络入侵检测和防御技术进行综合性描述,指出它们各自的优点及缺点,并探讨和研究了网络入侵检测防御技术未来的发展趋势。
本文的安排如下:
本文的第一部分将主要讨论目前网络入侵检测IntrusionDetectionSystems(IDS)及其关键技术。
文中第三部分将讨论入侵防御技术的发展趋势:
基于时间线的入侵防御系统。
第三部分是本文的总结。
第一章网络安全概述
随着信息化进程的深入,信息安全己经引起人们的重视,但依然存在不少问题。
一是安全技术保障体系尚不完善,许多企业、单位花了大量的金钱购买了信息安全设备,但是技术保障不成体系,达不到预想的目标:
二是应急反应体系没有经常化、制度化:
三是企业、单位信息安全的标准、制度建设滞后。
1.1计算机与网络信息系统安全
2003年5月至2004年5月,在7072家被调查单位中有4057家单位发生过信息网络安全事件,占被调查总数的58%。
其中,发生过1次的占总数的22%,2次的占13%,3次以上的占23%,此外,有7%的调查对象不清楚是否发生过网络安全事件。
从发生安全事件的类型分析,遭受计算机病毒、蠕虫和木马程序破坏的情况最为突出,占安全事件总数的79%,其次是垃圾邮件,占36%,拒绝服务、端口扫描和篡改网页等网络攻击情况也比较突出,共占到总数的43%.
调查结果表明,造成网络安全事件发生的主要原因是安全管理制度不落实和安全防范意识薄弱。
其中,由于未修补或防范软件漏洞导致发生安全事件的占安全事件总数的“%,登录密码过于简单或未修改密码导致发生安全事件的占19%.
对于网络安全管理情况的调查:
调查表明,近年来,使用单位对信息网络安全管理工作的重视程度普遍提高,80%的被调查单位有专职或兼职的安全管理人员,12%的单位建立了安全组织,有2%的单位请信息安全服务企业提供专业化的安全服务。
调查表明,认为单位信息网络安全防护能力“较高”和“一般”的比较多,分别占44%。
但是,被调查单位也普遍反映用户安全观念薄弱、安全管理员缺乏培训、安全经费投入不足和安全产品不能满足要求等问题,也说明目前安全管理水平和社会化服务的程度还比较低
1.2网络信息系统面临的安全威胁
信息安全的任务是多方面的,根据当前信息安全的现状,制定信息安全防范的任务主要是:
从安全技术上,进行全面的安全漏洞检测和分析,针对检测和分析的结果制定防范措施和完整的解决方案;正确配置防火墙、网络防病毒软件、入侵检测系统、建立安全认证系统等安全系统。
从安全管理上,建立和完善安全管理规范和机制,切实加强和落实安全管理制度,增强安全防范意识。
信息安全防范要确保以下几方面的安全。
网络安全:
保障各种网络资源(资源、实体、载体)稳定可靠地运行、受控合法地使用。
信息安全:
保障存储、传输、应用的机密性(Confidentiality)、完整性(Integrity)、抗否认性(non-Repudiation),可用性(Availability)。
其他安全:
病毒防治、预防内部犯罪。
1.3网络信息安全技术
1.防火墙技术
防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络的互联环境之中,尤其以接入Internet网络为甚。
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。
它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。
它是提供信息安全服务,实现网络和信息安全的基础设施。
在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。
防火墙是网络安全的屏障:
一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。
由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。
防火墙可以强化网络安全策略:
通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。
对网络存取和访问进行监控审计:
如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并做出日志记录,同时也能提供网络使用情况的统计数据。
防止内部信息的外泄:
通过利用防火墙对内部网络的划分,可实现内部网重点网段的隔离,从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。
除了安全作用,有的防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。
通过VPN,将企事业单位在地域上分布在全世界各地的LAN或专用子网,有机地联成一个整体。
不仅省去了专用通信线路,而且为信息共享提供了技术保障。
防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型,但总体来讲可分为二大类:
分组过滤、应用代理。
2.入侵检测技术
IETF将一个入侵检测系统分为四个组件:
事件产生器(EventGenerators);事件分析器(EventAnalyzers);响应单元(ResponseUnits)和事件数据库(EventDataBases)。
事件产生器的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事件。
事件分析器分析得到的数据,并产生分析结果。
响应单元则是对分析结果做出反应的功能单元,它可以做出切断连接、改变文件属性等强烈反应,也可以只是简单的报警。
事件数据库是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。
根据检测对象的不同,入侵检测系统可分为主机型和网络型。
基于主机的监测。
主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源,当然也可以通过其他手段(如监督系统调用)从所在的主机收集信息进行分析。
主机型入侵检测系统保护的一般是所在的系统。
这种系统经常运行在被监测的系统之上,用以监测系统上正在运行的进程是否合法。
最近出现的一种ID(IntrusionDetection):
位于操作系统的内核之中并监测系统的最底层行为。
所有这些系统最近已经可以被用于多种平台。
网络型入侵检测。
它的数据源是网络上的数据包。
往往将一台机子的网卡设于混杂模式(PromiseMode),对所有本网段内的数据包并进行信息收集,并进行判断。
一般网络型入侵检测系统担负着保护整个网段的任务。
对各种事件进行分析,从中发现违反安全策略的行为是入侵检测系统的核心功能。
从技术上,入侵检测分为两类:
一种基于标志(CSignature-Based),另一种基于异常情况(Abnormally-Based)。
3.认证中心(CA)与数字证书
互联网的发展和信息技术的普及给人们的工作和生活带来了前所未有的便利。
然而,由于互联网所具有的广泛性和开放性,决定了互联网不可避免地存在着信息安全隐患。
为了防范信息安全风险,许多新的安全技术和规范不断涌现,PKI(PublicKeyInfrastructure,公开密钥基础设施)即是其中一员。
PKI是在公开密钥理论和技术基础上发展起来的一种综合安全平台,能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理,从而达到保证网上传递信息的安全、真实、完整和不可抵赖的目的。
利用PKI可以方便地建立和维护一个可信的网络计算环境,从而使得人们在这个无法直接相互面对的环境里,能够确认彼此的身份和所交换的信息,能够安全地从事商务活动。
目前,PKI技术己趋于成熟,其应用已覆盖了从安全电子邮件、虚拟专用网络(VPN),Web交互安全到电子商务、电子政务、电子事务安全的众多领域,许多企业和个人已经从PKI技术的使用中获得了巨大的收益。
在PKI体系中,CA(CertificateAu
升级会员 