入侵检测与防御技术的研究.docx

1、入侵检测与防御技术的研究青岛恒星职业技术学院高等职业教育专科 _网络技术_专业毕业论文（设计）青岛恒星职业技术学院毕业论文（设计） 题目：入侵检测与防御技术的研究姓名： 王 宇_学号： X0700574_指导教师及职称： 焦恩龙 所在学院： 信 息 学 院 所在专业： 网 络 技 术 所在班级： 网 络 技 术 7123 2009年 10 月 20日摘要 网络信息系统的安全问题是一个十分复杂的问题，涉及到技术、管理、使用等许多方面。入侵检测与防御技术作为新一代的网络信息安全保障技术，它主动地对网络信息系统中的恶意入侵行为进行识别和响应，不仅检测和防御来自外部网络的入侵行为，同时也监视和防止内部

2、用户的未授权活动和误操作行为。 本文在概述传统网络信息安全技术，黑客常用入侵手段与防范对策，入侵检测系统的发展、分类、检测方法以及标准化等问题的基础上，针对目前入侵检测遇到的一些新问题，提出了一个入侵检测系统的设计方案。主要包括对整个系统的体系结构设计，分析子系统结构与检测方法的改进，蜜罐与陷阱子系统(IP陷阱、服务陷阱、文件陷阱)设计，IDS负载均衡技术研究，利用双网卡技术和备份监控代理方式提供对IDS自身的有效安全防护等。另外，本文还从入侵追踪和协同防御两方面论述了入侵防御技术，提出了入侵防御系统(IPS)的构筑设想，设计了IDS与动态防火墙、IDS与路由器相协同的框架模型以及入侵防御协议

3、(IPP)的框架模型。最后，本文讨论了入侵检测目前所面临的问题和未来的发展趋势AbstractThenetwork information system security is a very complicated problem. It involves technology, management, usage and etc. The technique of intrusion detection and intrusion prevention has become the new generation information security technique. It activ

4、ely identifies the malicious usage behavior of information system and actively responses to it. The IDS(Intrusion Detection System) and IPS(Intrusion Prevention System) not only detect and prevent the exterior network s intrusion behavior, but also keep watc.目录第一章 网络信息安全概述1.1 计算机与网络信息系统安全1.2 网络信息系统面

5、临的安全威胁1.3 网络信息安全技术1.4 研究入侵检测与防御的必要性第二章 常用入侵手段与防范对策2.1 黑客入侵过程概述2.2 常用入侵手段与防范对策第三章 入侵检测系统概述3.1 入侵检测系统的发展第四章 入侵检测技术4.1 异常入侵检测技术4.2 误用入侵检测技术第五章 入侵防御技术5.1 入侵防御协同技术5.2 入侵防御协议设计总结参考文献致谢 关键词：拒绝服务攻击 入侵检测 入侵防御协议正文： 目前网络安全领域面临着严重的向题。一方面当今社会对网络的依翰性日益增加，而另一方面网络入侵和攻击事件发生的次数也急剧增长。这两个方面相互影响，前者使得网络的结构，协议及应用日渐复杂，同时也造

6、成社会对网络安全问题的可容忍程度逐步降低。对干某些行业来说，网络出现故障可能不再是一个小的事故，而是一场灾难；为了保障网络安全，各种网络入侵检测和防御技术应运而生。本文就目前各种网络入侵检测和防御技术进行综合性描述，指出它们各自的优点及缺点，并探讨和研究了网络入侵检测防御技术未来的发展趋势。本文的安排如下:本文的第一部分将主要讨论目前网络入侵检测Intrusion Detection Systems(IDS)及其关键技术。文中第三部分将讨论入侵防御技术的发展趋势:基于时间线的入侵防御系统。第三部分是本文的总结。第一章 网络安全概述 随着信息化进程的深入，信息安全己经引起人们的重视，但依然存在不

7、少问题。一是安全技术保障体系尚不完善，许多企业、单位花了大量的金钱购买了信息安全设备，但是技术保障不成体系，达不到预想的目标:二是应急反应体系没有经常化、制度化:三是企业、单位信息安全的标准、制度建设滞后。1.1计算机与网络信息系统安全2003年5月至2004年5月，在7072家被调查单位中有4057家单位发生过信息网络安全事件，占被调查总数的58%。其中，发生过1次的占总数的22%,2次的占13%,3次以上的占23%，此外，有7%的调查对象不清楚是否发生过网络安全事件。从发生安全事件的类型分析，遭受计算机病毒、蠕虫和木马程序破坏的情况最为突出，占安全事件总数的79%，其次是垃圾邮件，占36%

8、，拒绝服务、端口扫描和篡改网页等网络攻击情况也比较突出，共占到总数的43%. 调查结果表明，造成网络安全事件发生的主要原因是安全管理制度不落实和安全防范意识薄弱。其中，由于未修补或防范软件漏洞导致发生安全事件的占安全事件总数的“%，登录密码过于简单或未修改密码导致发生安全事件的占19%. 对于网络安全管理情况的调查:调查表明，近年来，使用单位对信息网络安全管理工作的重视程度普遍提高，80%的被调查单位有专职或兼职的安全管理人员，12%的单位建立了安全组织，有2%的单位请信息安全服务企业提供专业化的安全服务。调查表明，认为单位信息网络安全防护能力“较高”和“一般”的比较多，分别占44%。但是，被

9、调查单位也普遍反映用户安全观念薄弱、安全管理员缺乏培训、安全经费投入不足和安全产品不能满足要求等问题，也说明目前安全管理水平和社会化服务的程度还比较低1.2 网络信息系统面临的安全威胁信息安全的任务是多方面的，根据当前信息安全的现状，制定信息安全防范的任务主要是: 从安全技术上，进行全面的安全漏洞检测和分析，针对检测和分析的结果制定防范措施和完整的解决方案;正确配置防火墙、网络防病毒软件、入侵检测系统、建立安全认证系统等安全系统。 从安全管理上，建立和完善安全管理规范和机制，切实加强和落实安全管理制度，增强安全防范意识。 信息安全防范要确保以下几方面的安全。网络安全:保障各种网络资源(资源、实

10、体、载体)稳定可靠地运行、受控合法地使用。信息安全:保障存储、传输、应用的机密性(Confidentiality)、完整性(Integrity)、抗否认性(non-Repudiation),可用性(Availability)。其他安全:病毒防治、预防内部犯罪。1.3 网络信息安全技术1.防火墙技术 防火墙技术是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，越来越多地应用于专用网络与公用网络的互联环境之中，尤其以接入Internet网络为甚。 防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出

11、入口，能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。 防火墙是网络安全的屏障:一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。防火墙可以强化网络安全策略:通过以防火墙为中心的安全方案配置，能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙

12、上。对网络存取和访问进行监控审计:如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并做出日志记录，同时也能提供网络使用情况的统计数据。防止内部信息的外泄:通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。除了安全作用，有的防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。通过VPN，将企事业单位在地域上分布在全世界各地的LAN或专用子网，有机地联成一个整体。不仅省去了专用通信线路，而且为信息共享提供了技术保障。 防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型，但总体来讲可分为二大类:分组

13、过滤、应用代理。 2.入侵检测技术 IETF将一个入侵检测系统分为四个组件：事件产生器(EventGenerators)；事件分析器(EventAnalyzers)；响应单元(ResponseUnits)和事件数据库(EventDataBases)。事件产生器的目的是从整个计算环境中获得事件，并向系统的其他部分提供此事件。事件分析器分析得到的数据，并产生分析结果。响应单元则是对分析结果做出反应的功能单元，它可以做出切断连接、改变文件属性等强烈反应，也可以只是简单的报警。事件数据库是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。 根据检测对象的不同，入侵检测系

14、统可分为主机型和网络型。基于主机的监测。主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源，当然也可以通过其他手段(如监督系统调用)从所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是所在的系统。这种系统经常运行在被监测的系统之上，用以监测系统上正在运行的进程是否合法。最近出现的一种ID(IntrusionDetection)：位于操作系统的内核之中并监测系统的最底层行为。所有这些系统最近已经可以被用于多种平台。网络型入侵检测。它的数据源是网络上的数据包。往往将一台机子的网卡设于混杂模式(PromiseMode)，对所有本网段内的数据包并进行信息收集，并进行判断。一般网络型入侵

15、检测系统担负着保护整个网段的任务。对各种事件进行分析，从中发现违反安全策略的行为是入侵检测系统的核心功能。从技术上，入侵检测分为两类:一种基于标志(CSignature-Based)，另一种基于异常情况(Abnormally-Based)。 3.认证中心（CA）与数字证书 互联网的发展和信息技术的普及给人们的工作和生活带来了前所未有的便利。然而，由于互联网所具有的广泛性和开放性，决定了互联网不可避免地存在着信息安全隐患。为了防范信息安全风险，许多新的安全技术和规范不断涌现，PKI(PublicKeyInfrastructure，公开密钥基础设施)即是其中一员。 PKI是在公开密钥理论和技术基础

16、上发展起来的一种综合安全平台，能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理，从而达到保证网上传递信息的安全、真实、完整和不可抵赖的目的。利用PKI可以方便地建立和维护一个可信的网络计算环境，从而使得人们在这个无法直接相互面对的环境里，能够确认彼此的身份和所交换的信息，能够安全地从事商务活动。目前，PKI技术己趋于成熟，其应用已覆盖了从安全电子邮件、虚拟专用网络(VPN),Web交互安全到电子商务、电子政务、电子事务安全的众多领域，许多企业和个人已经从PKI技术的使用中获得了巨大的收益。 在PKI体系中，CA(CertificateAuthority，认证中心)

17、和数字证书是密不可分的两个部分。认证中心又叫CA中心，它是负责产生、分配并管理数字证书的可信赖的第三方权威机构。认证中心是PKI安全体系的核心环节，因此又称作PKI/CA。认证中心通常采用多层次的分级结构，上级认证中心负责签发和管理下级认证中心的证书，最下一级的认证中心直接面向最终用户。 数字证书，又叫“数字身份证”、“数字ID”，是由认证中心发放并经认证中心数字签名的，包含公开密钥拥有者以及公开密钥相关信息的一种电子文件，可以用来证明数字证书持有者的真实身份。 4.身份认证 身份认证是指计算机及网络系统确认操作者身份的过程。我们熟悉的如防火墙、入侵检测、VPN、安全网关、安全目录等，与身份认

18、证系统有什么区别和联系呢?我们从这些安全产品实现的功能来分析就明白了:防火墙保证了XX的用户无法访问相应的端口或使用相应的协议；入侵检测系统能够发现XX用户攻击系统的企图;VPN在公共网络上建立一个经过加密的虚拟的专用通道供经过授权的用户使用;安全网关保证了用户无法进入XX的网段，安全目录保证了授权用户能够对存储在系统中的资源迅速定位和访问。这些安全产品实际上都是针对用户数字身份的权限管理，他们解决了哪个数字身份对应能干什么的问题。而身份认证解决了用户的物理身份和数字身份相对应的问题，给他们提供了权限管理的依据。 从木桶理论来看，这些安全产品就是组成木桶的一块块木板，则整个系统的安全性取决于最

19、短的一块木板。这些模块在不同的层次上阻止了XX的用户访问系统，这些授权的对象都是用户的数字身份。而身份认证模块就相当于木桶的桶底，由它来保证物理身份和数字身份的统一，如果桶底是漏的，那桶壁上的木板再长也没有用。因此，身份认证是整个信息安全体系最基础的环节，身份安全是信息安全的基础。 目前常见的身份认证方式主要有三种，第一种是使用用户名加口令的方式，这时是最常见的，但这也是最原始、最不安全的身份确认方式，非常容易由于外部泄漏等原因或通过口令猜测、线路窃听、重放攻击等手段导致合法用户身份被伪造;第二种是生物特征识别技术(包括指纹、声音、手迹、虹膜等)，该技术以人体唯一的生物特征为依据，具有很好的安

20、全性和有效性，但实现的技术复杂，技术不成熟，实施成本昂贵，在应用推广中不具有现实意义;第三种也是现在电子政务和电子商务领域最流行的身份认证方式基于USBKey的身份认证1.4 研究入侵检测与防御的必要性安全产品的主要目的是使安全风险处于可视和可控的状态。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能及时发现并报告系统中未授权或异常现象的技术，可实时监控和检测网络或系统中的活动状态，一旦发现网络中的可疑行为或恶意攻击，IDS便可做出及时的报警和响应，甚至可以调整防火墙的配置策略，与其进行联动。 目前，入侵检测系统已能为来自内外部的各种入侵提供全面的安全防御，给客户带来识别各种黑客入侵的

21、方法和手段、监控内部人员的误操作等，帮用户及时发现并解决安全问题和协助管理员加强网络安全的管理。第二章 常用入侵手段与防范对策2.1 黑客入侵过程概述随着通讯和计算机技术的迅猛发展，计算机网络向世界各个角落迅速延伸。国家政府机构、各企事业单位不仅大多建立了自己的局域网系统，而且通过各种方式与互联网相连。通过上网树立形象、开展业务，已经成为政府办公、企业发展的重要手段。然而，Internet（互联网）这一开放系统在给人们带来便利的同时，也带来一些问题。例如网络安全问题愈来愈突出，关于通过网络攻击信息系统，造成经济损失的事件已有多起，并时常见诸报端。在科技最发达、防御最严密的美国国防部五角大楼内，

22、每年都有成千上万的非法入侵者侵入其内部网络系统，我国的ISP、证券公司及银行也多次被国内外黑客攻击。但是仍然有些单位对自己网络的安全问题毫无认识，以致对是否遭受黑客入侵及自身的网络安全问题毫不知晓。我国信息化事业能否顺利发展，一个很关键的因素便是网络信息的安全问题，这已成为制约网络发展的首要因素。许多单位不敢涉足网络领域、许多行业不能充分利用网络的性能优势、许多个人对网络安全没信心，这些都成为网络发展的制约因素，所以，重视和加快网络安全问题的研究和产品开发具有重要意义。黑客入侵防范是网络安全的重要组成部分。北京中科网威信息技术有限公司在多年研究工作的基础上，提出了一种动态、多层次的黑客入侵防范

23、体系。它以评估为基础，以策略为核心，以防护、侦测、响应和恢复为手段构成一个体系中科网威黑客入侵防范体系，如图所示：中科网威黑客入侵防范体系1-1完整准确的安全评估是中科网威黑客入侵防范体系的基础。她对现有或将要构建的整个网络的安全防护性能作出科学、准确的分析评估，并保障将要实施的安全策略技术上的可实现性、经济上的可行性和组织上的可执行性。一个成功的网络安全体系开始于一个全面的安全策略，它是所有安全技术和措施的基础，也是整个中科网威黑客入侵防范体系的核心。防护是用于提高安全性能，抵抗入侵的主动防御手段。它通过建立一种机制来检查系统的安全设置，发现整个网络的风险和弱点，确保每层是相互配合而不是相互

24、抵触地工作，检测与策略相违背的情况，确保与公司安全政策保持一致。在防护中通过使用漏洞扫描工具及时发现问题并进行修补，使用防护工具，通过抗毁技术、系统安全优化配置技术的实施，防火墙、VPN、加密认证等技术和措施的使用，来提高网络抵抗黑客入侵的能力。侦测是保证主动及时发现攻击行为，为快速响应提供可能的关键环节。使用基于网络的和基于主机的IDS，加上对侦测系统实施隐蔽技术，可以防止黑客发现防护手段进而破坏侦测系统，从而为及时发现攻击行为并做出响应赢得时间。采用与防火墙互联互动、互动互防的技术手段，形成一个整体策略，而不是单兵作战，强调协作技术，设立安全监控中心，掌握整个网络的安全运行状态，是防止入侵

25、的关键环节。在发现入侵行为后，为及时切断入侵、抵抗攻击者的进一步破坏活动，做出及时准确的响应是必须的。使用实时响应阻断系统、攻击源跟踪系统、取证系统和必要的反击系统来确保响应的准确、有效和及时，预防同类事件的再发生，并为捕获攻击者提供可能，为抵抗黑客入侵提供有效的保障。恢复是防范体系的又一个环节，无论防范多严密，都很难确保万无一失，所以，采用亡羊补牢、犹为未晚的策略，使用完善的备份机制确保内容的可恢复性，借助自动恢复系统、快速恢复系统来控制和修复破坏，将损失降至最低。针对以上体系，北京中科网威信息技术有限公司专门研制开发了一系列网络安全产品“火眼”网络安全评估分析系统、“天眼”入侵侦测系统、“

26、磐石”网站监控与恢复系统、“长城”防火墙。它们处于体系中的一个或多个层次，适用于各级Internet /Intranet信息系统、金融证券和其它网络，它们能成为您网络的安全守护神，忠实地维护您的形象和保护您的利益。2.2 常用入侵手段与防范对策入侵检测系统通过对计算机网络或系统中的若干关键点收集信息并对其进行分析，从中发现是否有违反安全策略的行为和被攻击的迹象，它不仅能检测来自外部的入侵行为，同时也监督内部用户的未授权活动，因此成为继防病毒和防火墙之后另一被广泛注意的网络安全设备。这是一种集检测、记录、报警、响应的动态安全技术，它已经渐渐地从“入侵检测”发展为“入侵防御”了。 在入侵检测系统检

27、测到网络中的攻击或未授权行为时，传统的响应方式是显示消息、形成日志、报警或使用E-mail等方式通知安全管理员，然后由管理员手工采取相应措施来阻止入侵。这无疑给安全管理增加了很多的工作量和难度，也大大地提高了安全维护费用，因此系统需要具有更多主动响应行为的入侵检测系统，如今的入侵检测系统可以通过发复位包的方式，或者执行一段用户编写的程序，自动切断危险的连接。 而且，入侵检测系统作为整体安全技术的一个组成部分，它还应该和其他安全组件协同工作、建立互动的响应机制。例如，防火墙作为限制内外网络互相访问的关口，其配置的过滤规则阻止了非授权用户对公司网络的访问，因此在入侵检测系统发现攻击行为时，由它自动

28、地修改防火墙的安全策略，就能封堵可疑的网络通信。这也是为什么入侵检测系统和防火墙之间的联系越来越紧密的原因之一。 在入侵防御系统中，如何降低检测系统的误报率是非常关键的。在传统的入侵检测系统中，误报对安全管理员形成一种滋扰，大量的误报还可能淹没真正的攻击行为，使安全管理员无从响应。在建立联动的一体化安全防御体系中，入侵检测系统可以自动调整其他安全组件的策略，来防止进一步的攻击，这时误报带来的负面影响可能更大了因为误报触动策略调整之后，本该许可的访问就无法访问了，这形成了一种新的DoS形式。 同时，先进的入侵防御系统还必须是一个全方位的安全管理。它一方面要集中管理全网以及各设备的安全事件，将数据

29、进行标准化、集中、并进行关联和智能分析，以降低误报率和预告威胁的趋势；另一方面还要结合漏洞扫描，提前确定系统是否存在已知漏洞，做到“防范于未然”，以建立前摄性的、而不仅仅是响应式的安全防御体系。基于其它方法的入侵检测技术主要有:利用专家系统进行入侵检测，其主要是将有关的入侵知识组织成知识库，再利用推理引擎进行检测。但是这种技术主要缺点在于知识的组织困难。利用数据挖掘进行入侵检测，数据挖掘是数据库的一项技术，它的作用从大型数据库中抽取知识，这和分析日志的行为相近。通过数据挖掘程序搜集到审计数据，为各种入侵行为和正常操作建立精确的行为模式。除专家系统、数据挖掘技术之外，还有神经网络，模糊系统，遗传

30、算法等。但是这些方法都有一定的缺点。入侵检测系统的由来及发展过程在 IDS 尚未出现时，网络安全管理人员主要依靠人工阅读网络日志来分析是否有网络入侵事件的发生。随着网络的发展，FBI/CSI的统计数字表明入侵和攻击的模式发生了变化。在2003年，70%的攻击主要来自于外部网络，另30% 的攻击来自于内部。从而促使网络安全领域对网络入侵检测技术进行研究，并提出了IDS。由干硬件发展的飞速发展，使得IDS对网络通讯可以进行实时检测和实时报等，形成目前的IDS模式。入侵检测系统的关键技术1基于行为的入侵检测技术基于行为的入侵检测技术主要依靠统计的方法来实现对入侵行为的检测。它通过统计网络的日常行为建

31、立一个模型，该模型由各项表示正常行为的统计数字组成。例如:在某一段时间内登录某台主机失败次数。在很短时间内重复发生登录某台主机口令出错的次数等。符合这个模型的网络行为即视为正常，不符合的即视为入侵行为。这种入侵检测检测技术的缺点主要在于模型的建立非常困难。建立模型需要花费一定的时间，而且该入侵检测技术会造成误报等。为解决误报警问题，需要根据网络的实际使用情况对各种设定的统计值进行不断的调节。2. 基于知识的入侵检测技术基于知识的入侵检测技术主要通过应用已有的知识对入侵行为的标志进行识别，从而判断网络中是否有入侵行为的发生川。这些标志主要包括:对一个敏感主机的登录失败次数；对一个数据的一些标志位

32、的设置是否符合RFC标准:以及数据包的内容是否与某个已知攻击方法的特征代码相符合等。基于知识的入侵检侧技术具有较高的准确度，但是它的缺点就是在于对系统的性能要求高，而且只能检测到目前已知的攻击方法，对于未知的攻击方法没有检测能力。3. 基于其它方法的入侵检测技术网络安全领域人员经过研究后发现，目前任一种安全技术都不可能实现真正意义上的网络。据此他们提出了下一代入侵防御系统的发展方向:即基于时间线的入侵防御系统。时间线是在时间次序上对网络入侵行为进行分析的工具。它分为三个部分:入侵前期、入侵时间零点和入侵后处理，各个部分又分成若干子部分。基于时间线的入侵防御研究是通过对各种网络安全技术分析，分析上它们在时间线上所处的位置，从而从宏观把握各项安全技术的作用范围及相