入侵检测系统设计论文.doc

1、摘 要入侵检测技术是对传统的安全技术（如防火墙）的合理补充。它通过监视主机系统或网络，能够对恶意或危害计算机资源的行为进行识别和响应。通过与其它的安全产品的联动，还可以实现对入侵的有效阻止。入侵检测系统的研究和实现已经成为当前网络安全的重要课题。本文从研究入侵技术入手，分析了入侵过程的各个阶段、各种入侵方法，总结了网络安全事故的根源。然后，介绍了入侵检测方法的分类，分析了各种入侵检测方法和字符串匹配的算法。研究表明基于规则的入侵检测系统是现在入侵检测系统设计的最主要的技术，基于这一理论，设计开发了一个基于规则匹配的网络数据包分析工具。系统开发环境为VC+ 6.0，数据库采用MYSQL数据库。通

2、过该系统可以有效的实现对入侵的检测，并且具有用户友好性。关键词: 入侵检测；响应模块；规则匹配目 录论文总页数：26页1引 言11.1背景11.2国内外研究现状11.3本文的主要工作12理论基础12.1入侵基本概念22.1.1安全与入侵的概念22.1.2入侵的步骤22.1.3黑客攻击的方法32.1.4安全威胁的根源62.2入侵检测技术62.2.1入侵检测的概念62.2.2入侵检测系统的基本结构构成72.2.3入侵检测的分类72.2.4入侵检测方法92.3BM算法113系统总体设计133.1系统概述133.2系统总体结构框架133.3开发环境144响应模块设计实现144.1规则库设计实现144.

3、2事件分析设计与实现174.2.1规则解析174.2.2规则匹配流程184.3输出模块的设计194.3.1响应输出流程194.3.2日志数据库设计204.4模块集成实现205系统测试和分析215.1攻击检测测试215.1.1测试目的215.1.2测试过程215.1.3测试结果分析215.2误报和漏报测试225.2.1测试目的225.2.2测试过程225.2.3测试结果分析23结 论23参考文献24致 谢25声 明261 引 言1.1 背景近年来，随着信息和网络技术的高速发展以及其它的一些利益的驱动，计算机和网络基础设施，特别是各种官方机构网站成为黑客攻击的目标，近年来由于对电子商务的热切需求，

4、更加激化了各种入侵事件增长的趋势。作为网络安全防护工具“防火墙”的一种重要的补充措施，入侵检测系统(Intrusion Detection System，简称 IDS)得到了迅猛的发展。依赖防火墙建立网络的组织往往是“外紧内松”，无法阻止内部人员所做的攻击,对信息流的控制缺乏灵活性从外面看似非常安全，但内部缺乏必要的安全措施。据统计，全球80%以上的入侵来自于内部。由于性能的限制，防火墙通常不能提供实时的入侵检测能力，对于企业内部人员所做的攻击，防火墙形同虚设。 入侵检测是对防火墙及其有益的补充，入侵检测系统能使在入侵攻击对系统发生危害前，检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击。在入

5、侵攻击过程中，能减少入侵攻击所造成的损失。在被入侵攻击后，收集入侵攻击的相关信息，作为防范系统的知识，添加入知识库内，增强系统的防范能力，避免系统再次受到入侵。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监听，从而提供对内部攻击、外部攻击和误操作的实时保护,大大提高了网络的安全性。1.2 国内外研究现状入侵检测技术国外的起步较早，有比较完善的技术和相关产品。如开放源代码的snort，虽然它已经跟不上发展的脚步，但它也是各种商业IDS的参照系；NFR公司的NID等，都已相当的完善。虽然国内起步晚，但是也有相当的商业产品：天阗IDS、绿盟冰之眼等不错的产品，不过

6、国外有相当完善的技术基础，国内在这方面相对较弱。1.3 本文的主要工作本文从分析现有网络中存在的安全说起，指出了现有的网络所面临的安全威胁，主要介绍了基于特征（signature-based）的网络入侵检测技术，阐述了由入侵检测理论所构建的入侵检测平台，监测并分析网络、用户和系统的活动，识别已知的攻击行为，统计分析异常行为。在本文的后面针对基于windows平台并基于特征（规则）的入侵检测系统响应模块的设计与实现作了详细的说明，阐述了什么是入侵检测、如何检测、如何响应等一系列问题，同时也给出了一套完整的设计思想和实现过程。2 理论基础2.1 入侵基本概念2.1.1 安全与入侵的概念安全定义广义

7、的计算机安全的定义：主题的行为完全符合系统的期望。系统的期望表达成安全规则，也就是说主体的行为必须符合安全规划对它的要求。而网络安全从本质上讲就是网络上信息的安全，指网络系统的硬件、软件及其系统中数据的安全。网络信息的传输、存储、处理和使用都要求处于安全的状态。根据OSI狭义的系统与数据安全性定义：1. 机密性（Confidentiality）：使信息不泄露给非授权的个人、实体和进程，不为其所用；2. 完整性（Integrity）：数据没有遭受以非授权的个人、实体和进程的窜改，不为其所用；3. 可确认性（Accountability）：确保一个实体的作用可以被独一无二地跟踪到该实体；4. 可用

8、性（Auailability）：根据授权实体的请求可被访问与使用。入侵定义Anderson在80年代早期使用了“威胁”概念术语，其定义与入侵含义相同。将入侵企图或威胁定义为未授权蓄意尝试访问信息、篡改信息、使系统不可靠或不能使用。Heady给出另外的入侵定义：入侵是指有关试图破坏资源的完整性、机密性及可用性的活动集合。Smaha从分类角度指出入侵包括尝试性闯入、伪装攻击、安全控制系统渗透、泄漏、拒绝服务、恶意使用六种类型。 2.1.2 入侵的步骤黑客通常采用以下的几个步骤来实现入侵目标主机的目的。1、搜集信息：寻找目标主机并分析要攻击的环境。2、实施入侵：获取帐号和密码，登录主机。3、提升权限

9、：黑客一旦获得目标主机普通用户的帐号，便可以利用一些登录工具进入目标主机，进入以后，他们会想方设法的到超级用户的权限，然后进行任意操作。4、攻击活动的实施：黑客获取了超级用户权限后，就可以在目标系统上为所欲为。根据各自不同的目的，黑客在攻克的目标系统上进行不同的破坏活动，例如窃取敏感资料、篡改文件内容，替换目标系统WWW服务的主页是黑客示威常采用的手段。5、清除日志记录：黑客在退出被攻克的目标前通常要进行一些善后处理。2.1.3 黑客攻击的方法1、网络监听网络监听最初是为了协助网络管理员监测网络传输的数据，排除网络故障而开发的技术，然而网络监听也给以太网安全带来了极大的隐患。监听是通过将网络接

10、口设为混杂模式，从而接收经过它的所有网络数据包，达到偷看局域网内其它主机的通讯的目的。反监听的方法是：将网络分段，把不可信任的机器隔开以防止被监听；加密，大量的密文让黑客无所适从。2、端口扫描端口扫描的基本原理是扫描方通过向目标系统的不同端口发送具有特殊位的数据包，并记录目标做出的应答，通过分析得出关于目标的相关信息。根据数据包的类型可分为：TCP扫描、UDP扫描、ICMP扫描。其中TCP扫描包括：TCP connect()扫描、TCP SYN扫描、TCP SYN|ACK扫描、TCP ACK扫描、TCP FIN扫描、TCP空扫描、TCP Xmax树扫描(往目标端口发送一个设置了FIN|URG|

11、PUSH位的分组。)；ICMP扫描包括：ICMP查询报文请求及应答扫描、ICMP差错报文扫描；UDP扫描包括：UDP端口不可达扫描等。3、口令入侵口令入侵是指攻击者使用合法的用户帐号和口令登录到目标主机，然后再实施攻击行为。攻击者通过猜测、监听和破解用户口令等方法获得对主机或网络的访问权，登录目标系统访问资源，安装后门等。防范方法：一方面强制用户选择安全的口令；另一方面限制口令文件的访问，例如只让管理员可读。4、特洛伊木马特洛伊木马程序是指非法驻留在目标系统中，提供隐秘的、非用户所希望的程序。特洛伊木马程序可用于窃取目标系统的敏感信息（例如用户名和口令）、记录用户的键盘操作，直至远程控制目标系

12、统。特洛伊木马程序一般采用客户/服务器方式，驻留到目标系统中的程序作为服务器端，接收客户端（在黑客的主机上）的控制命令。要利用特洛伊木马程序，关键一点是怎样让特洛伊木马程序能驻留到目标系统中去，这一般需要使用欺骗手段让目标系统上的用户执行一个程序或者某个动作从而完成特洛伊木马程序的安装。黑客在成功入侵后也常在目标系统中安装特洛伊木马程序以便长期控制目标系统。防范方法：经常检查系统中运行的服务或开启的端口号，如果陌生的服务程序在运行或陌生的端口号被开启，就应该进一步查清是正常启动的新服务还是特洛伊木马程序。特洛伊木马程序为了能在每次系统启动的时候自动启动，必须要修改注册表项，所以通过检查注册表也

13、可以发现特洛伊木马程序，目前已有专用的防范软件来记录系统的状态及其修改并可擒获非法修改。5、缓冲区溢出缓冲区溢出就是向堆栈中分配的局部变量传递超长的数据，导致数据越界而覆盖它后面的堆栈区域。黑客利用缓冲区溢出覆盖程序或函数的返回地址，当程序或函数返回时指针指向黑客设计的位置，使黑客的恶意代码得以执行而获得系统中的用户权限甚至特权用户权限。缓冲区溢出是目前最常见的攻击收集。缓冲区溢出攻击又可分为远程溢出攻击和本地溢出攻击，本地溢出攻击是黑客获得普通用户权限后提升自己权限采用的方法；远程溢出攻击是黑客获得普通用户权限后提升自己权限常采用的方法；远程溢出攻击则可以在没有系统的任何帐号的情况下获得系统

14、中的用户权限，甚至直接获得特权用户权限。防范缓冲区溢出的方法是在程序设计时记住进行越界检查。6、拒绝服务DOS（Denial of Service）拒绝服务是就攻击结果而言的，指目标主机不能为用户提供正常的服务，即破坏目标系统的可用性。要达到这一目的，有几种不同的方法：服务超载、报文洪水攻击使系统变慢，以阻止处理常规工作、SYN、分布式拒绝服务攻击。7、暗藏ICMP通道ICMP （因特网控制报文协议）是IP层上的差错和控制协议。Ping命令是利用ICMP的回应请求报文来探测一个目的机器是否可以连通和有响应。任何一台机器接收到一个回应请求，都返回一个回应应答报文给原请求者。因为ping命令的数据

15、报文几乎会出现在每个网络中，许多防火墙和网络都认为这种数据无危险而让其通过。黑客正是利用了这一点，用ICMP数据包开一个暗藏的通道。ICMP数据包有一选项可以包含一个数据段，尽管其中的有效信息通常是时间信息，实际上任何设备都不检查其数据内容，这样它包含任何数据，成为黑客传递信息的载体。利用此通道，可以秘密向目标主机上的木马程序传递命令并在目标机器上执行，也可以将在目标主机上搜集到的信息传送给远端的黑客，作为一个秘密用户与用户、用户与机器间通信的方法。 防范的方法是设置ICMP数据包的智能过滤器。8、欺骗欺骗可以分为以下几种：IP欺骗在UNIX网络中可以有被信任的主机。如果一个主机将信任扩展到另一台主机，那么两台主机上都有的相同名字的用户，可以从被信任的主机上登录到这台主机上，而不必提供口令。信任也可被扩充到一些选中的机器上的不同用户，而最终可到任何主机上的任何用户。除rlogin外，rpc,rdist,rsh等（称为R*命令）都可使用信任方案。当从远程主机上启动任何R*命令，接收的主机仅检查发送机器的IP地址是否符合授权信任的主机，如果符合，命令就被执行；若不