入侵检测技术现状分析与研究.docx

1、入侵检测技术现状分析与研究学年论文题目:入侵检测技术现状分析与研究 学院 专业一级一班学生姓名 学号 指导教师 职称 完成日期 入侵检测技术现状分析与研究【摘要】随着网络的快速发展及普及，网络安全已经成为不可忽视的信息安全 小至个人用户的信息，大至公司企业重要的资料数据，一但在不知不觉中被盗窃，会给自己乃至公司带来利益的损失 入侵检测技在1980年由JamesP.Anderson在给一个保密客户写的一份题为计算机安全威胁监控与监视的技术报告中指出 审计记录可以用于识别计算机误用，他给威胁进行了分类，第一次详细阐述了入侵检测的概念【矢键词】IDS、协议、分析、网络安全第一章 绪论 11.1入侵检

2、测技术的背景 11.2入侵检测技术的应用与发展现状 1第二章 入侵检测技术 12.1入侵检测系统的分类 12.1.1基于主机的入侵检测系统 22.1.2基于网络的入侵检测系统 22.2入侵检测技术 32.2.1异常入侵检测技术 32.2.2误用入侵检测技术 3第三章 校园网中的分布式入侵检测分析 43.1分布式入侵检测的设计思想 43.2校园分布式入侵检测模式的分析 43.3采用的入侵检测技术 5第四章 入侵检测系统的发展趋势 7第五章 总结 8第一章绪论1.1入侵检测技术的背景随着计算机网络技术的飞速发展，人们已经离不开了网络的通信网络渗透到了人们生活的点点滴 滴，地球村的建设，让人们走进了

3、高速发展的时代 ，信息中心的高速传输，网络资源的高度共享，都离不开网络网络使得信息的获取、传递、处理和利用变得更加有效，网络带给人们学习、 工作、娱乐的便利之余，也带给我们一些安全隐患网络黑客可以轻松的取走你的重要的文件 ，盗取你的银行存款，破坏你的企业平台，公布你的隐私信函，篡改、干扰和毁坏你的数据库，甚至直接破坏用户的计算机，使你的网络瘫痪 或者崩溃所以，研究各种切实有效的安全技术来保障计算机系统和网络系统的安全 ，已经成为一个刻不容缓的问题伴随着网络的发展，各种网络安全技术也随之发展起来 美国韦式大辞典中对入侵检测的定义为 :“硬闯入的行为，或者是在没受到邀请和欢迎的情况下进入一个地方”

4、 当说到入侵检测的时候，我们是指发现了网络上的一台计算机有未经过授权的闯入行为这个未经过许可的网络入侵或访问 ，是一种对其他网络设备的安全威胁或伤害我们通常使用的网络安全技术有：防火墙、杀毒软件、虚拟专用网、数据加密、数字签名和身份认证技术等 这些传统的网络安全技术，对保护网络的安全起到非常重要的作用，然而它们也存在不少缺陷例如，防火墙技术虽然为网 络服务提供了较好的身份认证和访问控制 ，但是它不能防止来自防火墙内部的攻击 ，不能防备最新出现的威胁，不能防止绕过防火墙的攻击，入侵者可以利用脆弱性程序或系统漏洞绕过防火墙的访问控制来进行非 法攻击传统的身份认证技术，很难抵抗脆弱性口令，字典攻击，

5、特洛伊木马，网络窥探器以及电磁辐射等攻击 手段虚拟专用网技术只能保证传输过程中的安全 ，并不能防御诸如拒绝服务攻击，缓冲区溢出等常见的攻击另外，这些技术都属于静态安全技术的范畴；静态安全技术的缺点是只能静态和消极地 防御入侵，而不能主动检测和跟踪入侵而入侵检测技术是一种动态安全技术 ，它主动地收集包括系统审计数据，网络数据包以及用户活动状态等多方面的信息；然后进行安全性分析，从而及时发现各种入侵并 产生响应八1.2入侵检测技术的应用与发展现状在目前的计算机安全状态下，基于防火墙，加密技术等的安全防护固然重要；但是要根本改善系统的 安全现状，必须要发展入侵检测技术它已经成为计算机安全策略中的核心

6、技术之一 ntrusion DetectionSystem （简称IDS）作为一种主动的安全防护技术，提供了对内部攻击，外部攻击和误操作的实时保护从网络 安全立体纵深的多层次防御角度出发 ，入侵检测理应受到高度重视，这从国外入侵检测产品市场的蓬勃发展就可以看出在国内，随着上网尖键部门，另键业务越来越多，迫切需要具有自主版权的入侵检测产 品；但目前我国的入侵检测技术还不够成熟 ，处于发展和跟踪国外技术的阶段，所以对入侵检测系统的研究非常重要传统的入侵检测系统中一般采用传统的模式匹配技术 ，将待分析事件与入侵规则相匹配从网络数据包的包头开始与攻击特征字符串比较 若比较结果不同，则下移一个字节再进行

7、；若比较结果相同，那么就检测到一个可能的攻击这种逐字节匹配方法具有两个最根本的缺陷 :计算负载大以及探测不够灵活.面对近几年不断出现的 ATM,千兆以太网，G比特光纤网等高速网络应用，实现实时入侵检测成为一个现实的问题适应高速网络的环境，改进检测算法以提高运行速度和效率是解决该问题的一个途径协议 分析能够智能地”解释“协议,利用网络协议的高度规则性快速探测攻击的存在 ，从而大大减少了模式匹配所需的运算所以说研究基于协议分析的入侵检测技术具有很强的现实意义第二章入侵检测技术2.1入侵检测系统的分类入侵检测系统按采用的技术分为：异常检测系统和误用检测系统按系统所监测的对象分为：基于主机的入侵检测系

8、统和基于网络入侵检测系统 按系统的工作方式分为：离线检测系统和在线检测系统按系统对入侵的反应分为：主动入侵检测系统和被动入侵检测系统 框架图如图所示。图2-1入侵检测系统框架图2.1.1基于主机的入侵检测系统基于主机的入侵检测系统监视主机的文件系统或者操作系统及各种服务生成的日志文件 ，以便发现入侵踪迹它的优点有:不受加密传输的影响，它能够了解被监视主机应用层的活动细节 ，有效检测发生在应用层的入侵活动，可以检测多种网络环境下的网络包，而不用像网络IDS系统一样需安装多台传 感器， 这样就使整个系统的成本大大降低； 由于使用包含实际发生事件的日志文件，所以比基于网络的系统就更能了解某一入侵行为

9、是否最终成功从而减少错误 它的缺点有：由于作为用户进程运行，这种入侵检测系统依赖于操作系统底层的支持 ，与系统的体系结构有矢，所以它无法了解发生在下层协议的入侵活动；老练的入侵者往往可以进入系统修改、删除有尖的日志记录 ，从而隐藏入侵迹象；由于它位于所 监视的每一个主机中，故所占用的资源不能太多，从而大大限制了所采用的检测方法及处理性能2.1.2基于网络的入侵检测系统基于网络的入侵检测系统直接从网络数据流中截获原始的网络包作为信息源 ，并从中搜索可疑行为它的优点有：由于该系统直接搜集网络数据包，而网络协议是标准的，因此，与目标系统的体系结构无矢， 可监视结构不同的各类系统； 该系统使用原始网络

10、数据包进行检测，因此它所收集的审计数据被篡改的可能性很小，而且它不影响被保护系统的性能；利用工作在混合模式下的网卡实时监控和分析所有通 过共享式网络的传输，能够实时得到目标系统与外界交互的所有信息 ，包括一些很隐藏的端口扫描和没有成功入侵的尝试它的缺点有：缺乏终端系统对待定数据报的处理方法等信息 ，使得从原始的数据包中重构应用层信息很困难，故难以检测发生在应用层的攻击 ，而对于检测以加密传输方式进行的入侵无能为力从入侵检测技术和入侵检测系统可以看出 ，单独一种方法并不能检测所有类型的入侵 ，异常检测能检测出已知和未知的攻击，其主要问题是如何正确定义一个正常用户行为 在动态环境中，用建立用户统计

11、来确定正常用户行为几乎是不可能的事情 ，这时矢注一个过程的行为更加有效误用检测具有较高的正确性，但是不能对未知攻击进行检测单个主机上安装的IDS在大规模网络中检测入侵时可能会出现 困难，而多个主机上安装的IDS同样问题误用检测比异常检测能更好地适应扩展或向其他计算机系统的移植 g前这些方法除了基于模式的检测方法和状态转换分析 ，都必须检测大量的数据来判断入侵的行为，这直接影响了检测入侵的时间异常检测能够适应改变；而误用检测中 ，知识库需要定期地进行更新所以要让入侵检测系统更加有效地检测而不错误报警 ，减少人工干预，入侵检测技术还需要进行大量的研究和开发2.2入侵检测技术入侵检测技术主要分为两类

12、：异常入侵检测和误用入侵检测2.2.1异常入侵检测技术异常入侵检测是指为所监测的系统建立一个在正常情况下的描述文件 ，任何违反该描述的事件的发生都被认为是可疑的，即观测活动偏离正常系统使用方式的程度 常用的异常检测技术有：1 统计分析最早的异常检测系统采用的是统计分析技术 首先，检测器根据用户对象的动作为每个用户建立一个用户特征表，通过比较当前特征与已存储定型的以前特征 ，从而判断是否异常行为统计分析的优点有成熟的概率统计理论支持，维护方便，不需要象误用检测系统那样不断地对规则库进行更新和维护等 统计分 析的缺点：大多数统计分析系统是以批处理的方式对审计记录进行分析的 ，不能提供对入侵行为的实

13、时检测，统计分析不能反映事件在时间顺序上的前后相尖性 ，而不少入侵行为都有明显的前后相尖性，门限值的确定非常棘手等2.神经网络这种方法对用户行为具有学习和自适应功能 ，能够根据实际检测到的信息有效地加以处理并做岀入侵可能性的判断利用神经网络所具有的识别 ，分类和归纳能力，可以使入侵检测系统适应用户行为特征的可变性从模式识别的角度来看，入侵检测系统可以使用神经网络来提取用户行为的模式特征 ，并以2.2.2误用入侵检测技术误用入侵检测是对已知系统和应用软件的弱点进行入侵建模 ，从而对观测到的用户行为和资源使用情况进行模式匹配而达到检测目的 常见的误用入侵检测技术有以下几种 :1 模式匹配模式匹配是

14、最常用的误用检测技术 ，特点是原理简单，扩展性好，检测效率高，可以实时检测；但是只能适用于比较简单的攻击方式 它将收集到的信息与已知的网络入侵和系统误用模式串进行比较 ，从而发现违背安全策略的行为著名的轻量级开放源代码入侵检测系统 Snort就是采用这种技术 2.专家系统该技术根据安全专家对可疑行为的分析经验来形成一套推理规则 ，然后在此基础上建立相应的专家系统来自动对所涉及的入侵行为进行分析 该系统应当能够随着经验的积累而利用其自学习能力进行规则的扩充和修正专家系统方法存在一些实际问题：处理海量数据时存在效率问题，这是由于专家系统的推 理和决策模块通常使用解释型语言来实现 ，所以执行速度比编

15、译型语言慢；专家系统的性能完全取决于设计者的知识和技能；规则库维护非常艰巨，更改规则时必须考虑到对知识库中其他规则的影响移法强调的是系统处于易受损的状态而不是未知入侵的审计特征在的一个弱点是太拘泥于预先定义的状态迁移序列 这种模型运行在原始审计数据的抽象层次上 ，它利用系统状态的观念和事件的转变流：这就有可能提供了一种既能减少误警率又能检测到新的攻击的途径另外，因为涉及了比较高层次的抽象，有希望把它的知识库移植到不同的机器 ，网络和应用的入侵检测上.第三章 校园网中的分布式入侵检测系统分析随着网络时代的到来，校园计算机网络安全不容忽视。许多高校都建立起自己的局域网，校园一般通过网尖 与In t

16、ernet相连，网矢成为整个局域网的安全集中点，校园里所有的机器都处在同一安全级别，当入侵者入侵校 园网攻击时，只要突破了校园网的网矢，攻破学校一台机器，整个网络就将面临的瘫痪的危险。为保障校园网络 的安全和顺利进行，通常在校园网中采用以 Snort为核心的分布式入侵检测系统。3.1分布式入侵检测的设计思想随着校园网中功能需求的增加，学校对外交流的提高、网上招生的要求、学生宿舍上网，越来越 多的部门和 教室需要接入校园网络中，网络中心对校园网不断的改造，提高校园网络的安全性。分布式入侵检测系统对院校 实现管理网络化合教学手段现代化、提高学校的管理水平和教学质量、实现网络信息资源共享、丰富师生业

17、余文 化生活的同时在安全方面发挥积极作用。通过分布式入侵检测系统来检测多个主机、多个网段上的数据和信息， 对这些信息进行尖联和综合分析，来发现可能存在的分布式网络攻击行为并进行响应处理的入侵检测系统。分布式入侵检测系统采取了分布式检测的体系结构，主机控制响应单元，它对网络探测响应单元在分级控制 台的管理下分别检测本机、本网段的入侵行为，具有良好的分布性、可扩展性；并在网络检测响应单元系统中设 计了协议分析模块，控制台采用分级控制台和总控制台。分布式通过共同协作的机制，从多层面上实施检测。提 高入侵检测的效果。分布式入侵检测的设计应满足以下几点功能：1入侵检测能够识别可疑行为，检测入侵。2攻击行

18、为检测的准确性，并进行警报，降低检测报警中的误报和漏报。3入侵检测能针对不同的警报级别分别作出不同的响应。4入侵检测必须允许管理员适时监控攻击行为，对不同的功能和报警进行手动控制。5入侵检测能够处理大规模的攻击。6入侵检测的各组件之间能根据检测到的入侵和报警相互通信。7入侵检测本身具有稳健性，对攻击手法的改变具有适应性。8入侵检测具有可扩展性，能满足今后网络扩展的需要9为保障网络安全，入侵检测自身应具有高可靠性，能保障不间断运行。3.2校园分布式入侵检测模式的分析当前网络结构逐步复杂化和大型化的趋势下，分布式入侵检测由于检测范围大，检测时可以采用 不同的检测 方法，通过将各个传感器放置在不同的

19、组件上，实现信息收集汇总。入侵检测系统的工作流程如图31所示。Snort是一个功能强大的入侵检测系统，具有灵活、可定制和可扩展的特点。因此采用以 Snort为核心的分布式入侵检测系统。基于 Snort的分布式入侵检测系统按功能主要由三个部分组成：传感器、数据管理中心、管理决策中心，是一个三层结构。如图 3-2所示。图3-2分布式入侵检测系统的总体结构传感器用于收集来自网络上的数据，通过均匀的分布在重要网段上，收集各方位传来的数据。是分布式入侵 检测系统重要组成部分。然后将收集来的数据进行简单的数据处理，并采用基于协议分析和基于模式匹配结合的 方法更全面的检测入侵行为，并将入侵数据日志到数据管理

20、中心数据库中，进行存储和处理。数据管理中心是负责收集传感器传来的一系列报警数据，并对收集的报警数据进行处理。数据中心存储过程 中进行数据整理，防止需要存储的数据信息量过多， 方便对数据库报警信息的分类和管理。管理决策中心是网络管理员与机器交互信息中心，负责汇总信息整理成材料，以图文形式显示数 据信息，方 便管理员作出相应的决策机制。提高网络信息的安全性。传感器用于捕获来自网络上的数据，是进行入侵检测的基础，它是由 Snort实现的。由于Snort本身没有抓包工具，所以采用外部抓包工具 Winpcapo Winpcap负责直接从网络上抓包，将采集到的数据进行简单处理传送到数据管理中心进行封装。

21、Winpcap提供了一套标准的网络数据包捕获的编程接口、捕获原始数据包、在数据包发往应用程序之前按照自定义的规则将某些特别的数据包过滤掉、在网络上发 送原始的数据包、收集网络通信过程中的统计信息。预处理器以插件的形式实现，它使得 Snort入侵检测系统具有模块化的特征，使系统具有灵活的扩展能力和配置能力。用户和程序员能够将各种不同功能的模块化的插件方便地融入 Snort之中，用来针对可疑行为检查包或者修改包，以便检测引擎对其进行正确的解释，从而提高检测的准确性和速度。预处理 可以分为两类，一类是用于针对可疑行为或者对包进行修改，以便对数据进行分析检测时可以正确的识别；另一 类是负责对流量标准化

22、，以便进行检测时可以准确的匹配特征。通过它可以提高模式匹配的检测效率。预处理器 使入侵检测系统可以处理跨多个包的数据，还可以规范化有多个数据表达形式的协议数据。通过预处理系统具有 异常检测的能力，可以发现还没有对应规则的攻击。另外用户还可以根据需要自己编写新的预处理插件。3.3采用的入侵检测技术Snort入侵检测系统是基于误用检测的入侵检测软件。 一般采用模式匹配的方法检测入侵行为。 模 式匹配是将获得的数据与系统内相应数据进行比较，从而发现违背安全策略的行为。具有原理简单、扩展性好、 分析速度快等优点。模式匹配算法有很多，BM （ Boyer-Moore ）算法是一种常用的米青确匹配算法，其

23、中 Snort入侵检 测系统急速使用BM算法来进行特征匹配。 更具数据显示：Snort在进行检测的时候调用字符串匹配函数所需要的时间占总时间的 25.2%，所以字符串匹配算法效率队 Snort来说很重要。BM算法利用跳过不必要的比较来减少字符之间的匹配，以减少匹配次数来提高检测效率。女口 ：在主字符串（记做P）搜索的文本（记做T），将P的第一个字符记做P1, P的最后一个字符 记做Pm ； T的第一个字符记做T1，T的最后一个字符记做Tn；则有：主字符串 P : abcacdabaababbaab 模式子串 T: ababbaab定义一个函数K： XT1,2，m；当字符不匹配时，实现下标的移动

24、。n若任意字符x不出现在T中或x=Pi; （i=m）彳Kx = nl 若 x 在 T,这里的 i=maxi: Pi=x , 1 =i =m-11匹配自右向左进行： 在开始前，将主字符串P与文本T左部对齐，而匹配搜索从P的最右边一个字符开始,2忽略不匹配的字符：contains no b图33坏字符算法（1）x,y在匹配的过程中发生了匹配失败 a工，这时候判断b.如果在x中没有发现说明只要含有b就不可能匹配，所以跳到b的后面，继续匹配如图33所示。 IauHr*shiftbub contains no 1)图34坏字符算法（2）x,y在匹配的过程中发生了匹配失败 a工b,这时候判断b.如果在x中

25、发现有b,则从右边数第一个b和y中的b对齐.如图3-4所示。3发现匹配字符：i+j jwbumshift1 w图35好后缀处理算法（1）矢于“的部分是匹配成功的某一次匹配失败描述起来就是xi+1 .m-1=yi+j+1 .j+m-1=u and xi 丰yi切 如果”的部分在x中能找到那么找到此位置与 b对齐，但新位置必须满足cAb 如图35所示。shiftV图36好后缀处理算法(2)尖于“u“的部分是匹配成功的某一次匹配失败.描述起来就是xi+1 .m-1=yi+j+1 .j+m-1=u and xi羊yi切 如果”的部分在x中不能找到那么找到x的一个最大前缀V满足是”中最大后缀然后使这2部

26、分对齐.如图3-6 所示。通过基于模式匹配的检测方法，快速地探测网络上不安全因素的存在。它利用网络协议的高度规则性，只 提取数据包的重要特征送入处理模块进行检测，不仅节约了检测部分的资源，传输的时候也极大提高了单位时间 的包特传输速率。且同模式匹配技术结合，使得入侵检测系统具有检测速度快、系统消耗低、降低误报率等优 占。八、第四章入侵检测系统的发展趋势与防火墙等高度成熟的产品相比，入侵检测系统还存在相当多的问题，这些问题大多数是目前入 侵检测系统 的结构所难以克服的，而且这些矛盾可能越来越尖锐。入侵技术的发展与演化主要反映在以下几个方面：入侵或攻击的综合化与复杂化。攻击者不断增加的知识，日趋成

27、熟多样自动化工具，以及越来越复杂细致的 攻击手法。入侵检测系统必须不断跟踪最新的安全技术，才能不致被攻击者远远超越。入侵主体对象的间接化，恶意信息采用加密的方法传输。通过一定的技术，可掩盖攻击主体的源地址、主机 位置和攻击信息。不断增大的入侵或攻击的规模。对于网络的入侵与攻击，在其初期往往是针对某公司或一个网站，而现在入 侵或攻击的规模不断增大，单一的入侵检测系统已很难应付。可以想见，随着网络流量的进一步加大，对入侵检 测系统将提出更大的挑战，在 PC机上运行纯软件系统的方式需要突破。入侵或攻击技术的分布化。以往常用的入侵与攻击行为往往由单机执行，分布式攻击是近期最常用的攻击 手段。所谓的分布

28、式拒绝服务在很短时间内可造成被攻击主机的瘫痪，且此类分布式攻击的单片机信息模式与正 常通信无差异，所以往往在攻击发动的初期不易被确认。攻击对象的转移。入侵与攻击常以网络为侵犯的主体，但近期来的攻击行为却发生了策略性的改变，由攻 击网络改为攻击网络的防护系统，且有愈演愈烈的趋势。入侵检测系统作为一种新兴的网络安全手段，从一开始就受到了大家的重视。近年来，入侵检测技术获得 了极大地发展，今后的入侵检测技术大致可朝以下几个方向发展。(1)云计算入侵检测的发展随着云计算成为全球新兴产业的重要代表，网络入侵者都将目光投到了云计算这一未来充满巨大市场空间 的领域。由于云计算环境拥有强大的计算能力、海量的存

29、储空间和丰富的用户信息，对网络入侵者具有很大的诱 惑力，云计算环境目前已经成为网络入侵者的攻击目标。特别是作为云计算服务供应商，在为云计算用户提供计 算、存储和各种软件式服务的过程中，很容易遭受各种安全威胁与攻击的考验。同时，云计算环境下的网络攻击 发动更加快速、攻击能力更加强大、攻击后果更加严重，使得云计算环境的入侵检测变得更加重要。(2)集成网络分析和管理功能入侵检测不但对网络攻击是一个检测。同时,侵检测可以收到网络中的所有数据，对网络的故障分析 和健康管理也可起到重大作用。 当管理员发现某台主机有问题时，也希望能马上对其进行管理。入侵检测也不应只采用被动分析方法，最好能和主动分析结合。所

30、以，入侵检测产品集成网管功能，扫描器 (Seanner)，嗅探器(Sniffer)等功能是以后发展的方向。(3)安全性和易用性的提高入侵检测是个安全产品，自身安全极为重要。因此，目前的入侵检测产品大多采用硬件结构，黑洞式接 入，免除自身安全问题。同时，对易用性的要求也日益增强，例如：全中文的图形界面，自动的数据库维护， 多样的报表输出。这些都是优秀入侵产品的特性和以后继续发展细化的趋势。(4)高速实时入侵检测技术大量高速网络技术在近年内不断出现，在此背景下的各种宽带接入手段层出不穷，其中很多已经得到了广泛 的应用。如何实现高速网络下的实时入侵检测已经成为一个现实的问题。目前，虽然市场上也可以见

31、到一些基于 千兆以太网环境的入侵检测产品，但其，性能指标还远未满足要求。(5)IDS与其他安全部件的互动实现网络与信息的安全是一项系统工程，不是哪一种单独的安全部件就可以完成的。只有在不同的 安全部件之间实现互联互动，才能更好的保证网络与信息的安全。 随着防火墙、入侵检测等技术的不断发展，实现它们之间的互动显得越来越重要。因此，对于安全部件之间的互动协议和接口标准的研究 ，也 会是对IDS研究的一个重要方向。由于IDS的地位越来越重要，防护的网络规模越来越大，因此应该把IDS和其他安全部件放在一个对等的 位置来考虑它们之间的互动。 应该考虑不同厂家的IDS之间，IDS与防火墙之间，IDS与响应部件之间的互动。在这方面还有很大一部分工作需要解决。(6)IDS标准化工作标准化的工作对于一项技术的发展至矢主要。在某一个技术领域，如果没有相应的标准，那么该领域 的发展将会