网络入侵检测方法的研究.docx
《网络入侵检测方法的研究.docx》由会员分享,可在线阅读,更多相关《网络入侵检测方法的研究.docx(24页珍藏版)》请在冰豆网上搜索。
网络入侵检测方法的研究
XXXX大学
2014年毕业设计(论文)
网络入侵检测方法的研究
学院:
专业:
班级:
学号:
学生姓名:
指导教师:
年月日
摘要:
随着全球因特网继续快速发展和因特网用户的快速增多,网络安全问题这一问题逐渐变的重要和引人注目。
自2001年我国信息产业开始蓬勃发展,因特网用户继续快速增长。
因特网的开放性决定网络系统的脆弱性加上国内网络的发展客观环境的特殊性,安全问题尤其是企业网络的安全问题变的十分突出。
在此情况下,入侵检测等安全技术被推到了防御攻击的前沿。
本文先介绍了入侵检测的概念、构成和作用,然后分析比较了常见入侵检测系统及方案的优点和不足,最后以国内某大企业的网络为例,在充分了解原有入侵检测系统的现状及安全需求并结合未来发展的趋势上提出了新的解决方案,并指出了实施中应该注意的问题。
企业网络安全问题在我国企业中广泛存在,解决方案在一定程度上可以相互借鉴甚至可以直接搬用。
所以文中在研究特定企业的入侵检测解决方案时尽量兼顾大部分企业所面临的共性问题,以期本文能为更多的企业在入侵检测解决方案方面有所借鉴。
关键词:
网络安全,网络攻防,入侵检测,NIDS,解决方案,Agent系统
Abstract:
ContinuesalongwiththeglobalInternetfasttodevelopfastincreaseswiththeInternetuser,networksecurityquestionthisquestionchangesgraduallyunimportanceandnoticeable.Ourcountryinformationindustriesstartthevigorousdevelopmentfrom2001,theInternetusercontinuesfasttogrow.Internet'sopennessdecidedthenetworksystemthevulnerabilityaddsonthedomesticnetworkthedevelopmentobjectiveenvironmentparticularity,thesecurityproblementerprisenetworksecurityproblemchangesinparticularisextremelyprominent.
Inthissituation,securitytechnologyandsooninvasionexaminationwasadvancedthedefenseattackfront.Thisarticleintroducedfirsttheinvasionexaminationconcept,theconstitutionandthefunction,thentheanalysishavecomparedthecommoninvasionexaminationsystemandtheplanmeritandtheinsufficiency,finallytakethehomesomebigenterprise'snetworkastheexample,futurewilldevelopinthefullunderstandingoriginalinvasionexaminationsystempresentsituationandthesecurityrequirementsandtheunioninthetendencyproposedthenewsolution,andhadpointedoutintheimplementationwillbesupposedtopayattentionquestion.
Theenterprisenetworksecurityprobleminourcountryenterprisethewidespreadexistence,thesolutionmayprofitfrommutuallyinthecertaindegreeevenmayapplymechanicallydirectly.Thereforeinarticleintimeresearchspecificenterprise'sinvasionexaminationsolutiongivesdualattentiontothegeneralcharacterquestionasfaraspossiblewhichthemajorityofenterprisesfaces,canhavethemodeltaketimethisarticleasmoreenterprisesintheinvasionexaminationsolutionaspect.
Keywords:
Thenetworksecurity,networkattackanddefense,invasionexamines,NIDS,thesolution,Agentsystem
目录
前言5
1入侵检测6
1.1网络安全的内容6
1.1.1安全防御措施7
1.1.2相应的攻击措施8
1.1.3入侵检测在安全防御体系中的地位9
1.2入侵检测10
1.2.1入侵检测系统模型10
1.2.2入侵检测系统的分类10
1.2.3入侵检测过程12
2常见入侵检测系统及方案的优点和不足12
2.1常见入侵检测系统的特点12
2.2主要入侵检测系统的比较14
3入侵检测解决方案16
3.1国内某大型企业网络安全现状16
3.2入侵检测解决方案17
3.2.1NIDS入侵检测系统解决方案18
3.2.2公开服务器HIDS入侵检测系统18
3.2.3分布式入侵检测系统对网络的加固19
4入侵检测解决方案验证分析21
5总结24
结束语25
参考资料26
致谢27
前言
今天,迅速发展的Internet正在对全世界的信息产业带来巨大的变革和深远的影响。
市场的全球化竞争已成为趋势。
21世纪的中国正在向市场多元化、全球化的方向发展。
对于企业来说,在调整发展战略时,必须考虑到市场的全球竞争战略,而这一切也将以信息化平台为基础,借助计算机网络原理及网络规划技术,以网络通畅为保证。
国内越来越多的企业也已经或正在考虑使用Internet/Intranet技术,以建设企业规划化的信息处理系统。
因为现代企业的信息大多都来自于互连网,通过网络,企业可以更快速的接收到来自全球的市场信息;通过Internet与外部世界交换信息,企业规划者可以更快地对企业作出正确的宏观调控与决策,以适应市场趋势。
企业与全世界联系起来,极大地提高了信息收集的能力和效率。
自从计算机问世以来,安全问题就一直存在。
在网络安全方面,攻击与防御永远是相互制约,相互促进的。
众所周知,虽然每年都有新的攻击方式和特征出现,但是攻击防护的技术也在不断增强。
如包括WatchGuard推出的UTM技术,在一个网关里能够过滤多种攻击行为,包括病毒、路型检测、反垃圾邮件、数据防泄露,还有高级可持续性威胁的防范。
而随着防护手段不断升级,黑客要通过技术手段攻击企业机构已经越来越难,但是任何一个机构或者网络最薄弱的环节往往是用户,因为用户的水平参差不齐,内部的行政人员或者外协厂家人员可能完全不懂计算机技术,只懂计算机操作。
在这种技术手段无法突破的情况下,攻击者就会更关注人性心理的弱点。
在这一矛盾的发展下,入侵检测系统(IDS)被推到了防御攻击的前沿。
入侵检测技术是一种主动保护自己免受攻击的一种网络安全技术。
入侵检测技术帮助系统对付网络攻击,拓展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。
对一个成功的入侵检测方案件和系统而言,它不但可使系统管理员时刻了解网络系统的变更,还能为网络安全策略的制定提供依据。
在此情况下,结合网络实际情况,制定相应的入侵检测解决方案就显得尤为重要。
入侵检测解决方案不仅要结合网络实际情况,入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。
研究入侵检测解决方案,对网络安全的发展有着重要的意义。
1入侵检测
1.1网络安全的内容
目前,全球已掀起一股信息高速公路规划和建设的高潮,作为其雏形,国际互联网(Internet)上相连的计算机已近达数千万台,全球有数亿人在Internet上进行信息交换和各种业务处理。
Internet上积累了大量信息资源,这些资源涉及人类面对和从事的各个领域、行业及社会公用服务信息。
成为信息时代全球可共享的最大信息基地。
由于计算机网络技术和通信技术的飞速发展,人们对信息的要求越来越强烈,“网络就是计算机”的说法被全世界普遍接受。
各国纷纷宣布建设本国的信息高速公路,全球信息一体化局面已指日可待。
我国自1993年与Internet连通以来,已建成了四大主干信息网:
中国公众信息网ChinaNET,中国金桥网ChinaGBN,中国教育科研网CERNET和中科院网CASNET。
全国各大中城市的网络节点相继开通。
广东省已经建立了面向本地服务的公共信息网。
Internet显示出诱人的商业前景,被国人称为"第二国道的建设。
然而网络越来越发达,网络信息安全的威胁却越来越大。
网络安全问题接踵而至,给飞速发展的互联网经济笼上了一层阴影,造成巨额损失。
可以说,互联网要持续快速发展就不得不趟过安全这道弯。
如果说高高上扬的纳斯达克股使人们看到泡沫背后的网络魔力的话,那么接连不断的网络安全事件则让人们开始冷静地思考魔力背后的现实——网络游戏玩家装备被盗事件层出不穷;网站被黑也是频繁发生;一波又一波的病毒“冲击波”则让互联网用户们战战兢兢。
黑客、病毒已经成为时下充斥网络世界的热门词语,它们轮番的攻势使本不坚固的互联网络越发显得脆弱。
这就告诉我们:
人们在享受着互联网所带来的便利信息的同时,必须认真对待和妥善解决网络安全问题。
据最新统计数据显示,目前我国95%的与因特网相联的网络管理中心都遭到过境内外黑客的攻击或侵入,受害涉及的覆盖面越来越大、程度越来越深。
据国际互联网保安公司symantec2002年的报告指出,中国甚至已经成为全球黑客的第三大来源地,竟然有6.9%的攻击国际互联网活动都是由中国发出的。
另一方面从国家计算机病毒应急处理中心日常监测结果来看,计算机病毒呈现出异常活跃的态势。
在2001年,我国有73%的计算机曾感染病毒,到了2002年上升到近84%,2003年上半年又增加到85%。
而微软的官方统计数据称2002年因网络安全问题给全球经济直接造成了130亿美元的损失。
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
网络安全从其本质上来讲就是网络上的信息安全。
广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。
网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。
网络安全包括攻击和防御两个基本方面。
这些主要是通过一些网络攻防措施来实现的。
网络攻击方式可以说是日新月异,并呈现出智能化、系统化、综合化的发展趋势。
1.1.1安全防御措施
众所周知,安全才是网络的生存之本。
没有安全保障的信息资产,就无法实现自身的价值。
作为信息的载体,网络亦然。
网络安全的危害性显而易见,而造成网络安全问题的原因各不相同,因此采取安全防御措施很有必要。
物理隔离,不接入公用网络或采用专用、封闭式的网络体系能够将外部攻击者拒之网外,从而极大地降低了外部攻击发生的可能性。
对于一些关键部门或重要的应用场合,物理隔离是一种行之有效的防御手段;信号控制接入,直扩、跳频或扩跳结合等信号传输方面的安全措施都是相当有效的网络接入控制手段。
访问控制,访问控制的目的是保证网络资源不被未授权地访问和使用。
资源访问控制通常采用网络资源矩阵来定义用户对资源的访问权限;对于信息资源,还可以直接利用各种系统(如数据库管理系统)内在的访问控制能力,为不同的用户定义不同的访问权限,有利于信息的有序控制。
同样,设备的使用也属于访问控制的范畴,网络中心,尤其是主机房应当加强管理,严禁外人进入。
对于跨网的访问控制,签证(Visas)和防火墙是企业CIMS网络建设中可选择的较好技术。
身份认证,身份认证也称身份鉴别,其目的是鉴别通信伙伴的身份,或者在对方声称自己的身份之后,能够进行验证。
身份认证通常需要加密技术、密钥管理技术、数字签名技术,以及可信机构(鉴别服务站)的支持。
可以支持身份认证的协议很多,如Needham-schroedar鉴别协议、X.509鉴别协议、Kerberos鉴别协议等。
实施身份认证的基本思路是直接采用不对称加密体制,由称为鉴别服务站的可信机构负责用户的密钥分配和管理,通信伙伴通过声明各自拥有的秘密密钥来证明自己的身份。
防火墙是网络间互联互通的一道安全屏障,它根据用户制定的安全策略对网络间的相互访问进行限制,从而达到保护网络的目的。
同时,基于代理技术的应用网关防火墙还能够屏蔽网络内部的配置信息,从而抑制部分网络扫描活动。
充当TCP连接中介的防火墙对SYNflood攻击也有一定的防御作用;
防火墙虽然可以将非预期的访问请求屏蔽在外,但不能检查出经过他的合法流量中是否包含着恶意的入侵代码。
在这种需求背景下,入侵检测系统(IDS)应运而生。
入侵检测技术是一种主动保护自己免受攻击的一种网络安全技术。
入侵检测技术帮助系统对付网络攻击,拓展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。
1.1.2相应的攻击措施
采取物理隔离措施,外界很难利用网络对其进行渗透,只能采用物理摧毁或通过间谍手段将病毒代码等植入目标网络;就信号控制接入而言,信号截获、信号欺骗和信号干扰等都是可行的攻击方式。
WLAN中就常常使用这种方式进行网络嗅探。
当然,实施有效的信号截获和信号欺骗必须对信号格式有所了解,这个条件是比较容易满足的;
防火墙控制技术来说,由于其无法对以隧道方式传输的加密数据包进行分析,因此可利用伪装的含有恶意代码的隧道加密数据包绕过防火墙。
另外,利用网络扫描技术可以寻找因用户配置疏忽或其他原因而敞开的网络端口,从而以此为突破口对系统进行入侵;
入侵检测的一个重要指标就是包获取能力,当网络数据流量超过入侵检测产品本身的包获取能力时,就会有部分数据包无法被分析,因为就可能导致错漏潜在的攻击威胁。
因此,入侵检测也有本身的不足之处。
1.1.3入侵检测在安全防御体系中的地位
入侵检测是指“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图”(参见国标GB/T18336)。
入侵是对信息系统的非授权访问及未经许可在信息系统中进行操作,威胁计算机或网络的安全机制(包括机密性、完整性、可用性)的行为。
进行入侵检测的软件与硬件的组合便是入侵检测系统(IntrusionDetectionSystem,简称IDS)。
其原理如下:
网络安全是一个动态的概念。
网络的动态安全模型能够提供给用户更完整、更合理的安全机制,全网动态安全体系可由下面的公式概括:
网络安全(S)=风险分析(A)+制定策略(P)+系统防护(P)+实时监测(D)+实时响应(R)+灾难恢复(R)
在安全策略的指导下,进行必要的系统防护有积极的意义,但是,无论网络防护得多么牢固,依旧不能说“网络是安全的”。
因为随着技术的发展,任何防护措施都不能保证网络不出现新的安全事件,不被手段高超的人员成功入侵。
在攻击与防御的较量中,实时监测(D)是处在一个核心的地位。
在实时监测中,入侵检测系统是目前最为主要的一个广泛应用的技术和管理手段。
入侵检测系统是动态安全模型中唯一一个全天候运行的系统。
利用入侵检测系统可以了解网络的运行状况和发生的安全事件,并根据安全事件来调整安全策略和防护手段,同时改进实时响应和事后恢复的有效性,为定期的安全评估和分析提供依据,从而提高网络安全的整体水平。
入侵检测的作用概括起来就是如下四点:
(1)监视、分析用户及系统活动,从不知到有知;
(2)识别反映已知进攻的活动模式并向相关人士报警,从被动到主动;
(3)异常行为模式的统计分析,从事后到事前;
(4)操作系统的审计跟踪管理,并识别用户违反安全策略的行为,从预警到保障。
1.2入侵检测
1.2.1入侵检测系统模型
为解决入侵检测系统之间的互操作性,国际上的一些研究组织开展了标准化工作,入侵检测系统模型。
分为以下组件:
事件产生器(Eventgenerators),用E盒表示;事件分析器(Eventanalyzers),用A盒表示;响应单元(Responseunits),用R盒表示;事件数据库(Eventdatabases),用D盒表示。
入侵检测系统模型的结构如下:
E盒通过传感器收集事件数据,并将信息传送给A盒,A盒检测误用模式;D盒存储来自A、E盒的数据,并为额外的分析提供信息;R盒从A、E盒中提取数据,D盒启动适当的响应。
A、E、D及R盒之间的通信都基于GIDO(generalizedIntrusiondetectionobjects,通用入侵检测对象)和CISL(commonintrusionspecificationlanguage,通用入侵规范语言)。
如果想在不同种类的A、E、D及R盒之间实现互操作,需要对GIDO实现标准化并使用CISL。
1.2.2入侵检测系统的分类
1、从技术上划分,入侵检测有两种检测模型:
(1)异常检测模型:
检测与可接受行为之间的偏差。
如果可以定义每项可接受的行为,那么每项不可接受的行为就应该是入侵。
首先总结正常操作应该具有的特征(用户轮廓),当用户活动与正常行为有重大偏离时即被认为是入侵。
这种检测模型漏报率低,误报率高。
因为不需要对每种入侵行为进行定义,所以能有效检测未知的入侵。
(2)误用检测模型:
检测与已知的不可接受行为之间的匹配程度。
如果可以定义所有的不可接受行为,那么每种能够与之匹配的行为都会引起告警。
收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。
这种检测模型误报率低、漏报率高。
对于已知的攻击,它可以详细、准确地报告出攻击类型,但是对未知攻击却效果有限,而且特征库必须不断更新。
误用检测分类表
状态建模
状态转换
USTAT
Petri网
IDIOT
专家系统
NIDES,EMEDRALD,MIDAS,DIDS
串匹配
NSM
基于简单规则的检测方法
NADIR,ASAX,Bro,JiNao,Haystack
2、按照检测对象划分,入侵检测有三种检测模型:
(1)基于主机:
系统分析的数据是计算机操作系统的事件日志、应用程序的事件日志、系统调用、端口调用和安全审计记录。
主机型入侵检测系统保护的一般是所在的主机系统。
是由代理来实现的,代理是运行在目标主机上的小的可执行程序,它们与命令控制台通信。
(2)基于网络:
系统分析的数据是网络上的数据包。
网络型入侵检测系统担负着保护整个网段的任务,基于网络的入侵检测系统由遍及网络的传感器(sensor)组成,传感器是一台将以太网卡置于混杂模式的计算机,用于嗅探网络上的数据包。
(3)混合型:
基于网络和基于主机的入侵检测系统都有不足之处,会造成防御体系的不全面,综合了基于网络和基于主机的混合型入侵检测系统既可以发现网络中的攻击信息,也可以从系统日志中发现异常情况。
1.2.3入侵检测过程
入侵检测过程分为三部分:
信息收集、信息分析和结果处理。
(1)信息收集:
入侵检测的第一步是信息收集,收集内容包括系统、网络、数据及用户活动的状态和行为。
由放置在不同网段的传感器或不同主机的代理来收集信息,包括系统和网络日志文件、网络流量、非正常的目录和文件改变、非正常的程序执行。
(2)信息分析:
收集到的有关系统、网络、数据及用户活动的状态和行为等信息,被送到检测引擎,检测引擎驻留在传感器中,一般通过三种技术手段进行分析:
模式匹配、统计分析和完整性分析。
当检测到某种误用模式时,产生一个告警并发送给控制台。
(3)结果处理:
控制台按照告警产生预先定义的响应采取相应措施,可以是重新配置路由器或防火墙、终止进程、切断连接、改变文件属性,也可以只是简单的告警。
2常见入侵检测系统及方案的优点和不足
2.1常见入侵检测系统的特点
入侵检测系统触了检测器,还有很多系统特征。
这些特征对入侵检测系统的性能有着很大的影响。
(1)检测时间:
有些系统以实时或近乎实时的方式检测入侵活动,而另一些系统在处理审计数据时则存在一定的延时。
一般的实时系统可以对历史审计数据进行离线操作,系统就能够根据以前保存的数据重建过去发生的重要安全事件。
(2)数据处理:
有些系统采用了连续处理的方式,而另一些系统则在特定的时间间隔内对数据进行批处理操作,这就涉及到处理的问题。
(3)审计数据来源:
主要有两种来源:
网络数据和基于主机的安全日志文件。
后者包括操作系统的内核日志、应用程序日志、网络设备(如路由器和防火墙)日志等。
(4)入侵检测响应方式:
分为主动响应和被动响应。
主动响应系统可以分为:
对被攻击系统实施控制。
它通过调整被攻击系统的状态,阻止或减轻攻击影响,例如断开网络连接、增加安全日志、杀死可疑进程等;对攻击系统实施控制的系统。
这种系统多被军方所重视和采用。
(5)数据收集地点:
审计数据源可能来自某单一节点,也可能来自于网络中多个分布式节点。
(6)数据处理地点:
审计数据可以集中处理,也可以分布处理。
(7)安全性:
指系统本身的抗攻击能力。
(8)互操作性:
IDS与其他IDS或其他安全产品之间的互操作性是衡量其先进与否的一个重要标志。
IDS系统特征分类表
系统名称
检测时间
粒度
审计来源
响应类型
数据处理
数据收集
安全性
互操作性
IDES
实时
连续
主机
被动
集中式
分布式
低
低
NADIR
非实时
连续
主机
被动
集中式
分布式
低
低
DIDS
实时
连续
皆有
被动
分布式
分布式
低
低
Snort
实时
批处理
主机
被动
分布式
分布式
低
低
NIDES
实时
连续
主机
被动
集中式
集中式
低
较高
GrIDS
非实时
批处理
皆有
被动
分布式
分布式
低
低
EMERALD
实时
连续
皆有
主动
分布式
分布式
中等
高
aafid
实时
连续
网络
被动
集中式
集中式
较高
低
2.2主要入侵检测系统的比较
入侵检测系统,主要分为基于主机的(IDS),HIDS;基于网络的(IDS),NIDS;分布式
升级会员 