搜索
摘要设立防火墙和杀毒软件是保护计算机安全的主要手段,但随着操作系统的安全隐患被越来越多的发现,攻击者往往能绕开防火墙和杀毒软件来对目标进行攻击。从其他方面提高计算机安全性越来越迫切。基于该思想,设计了一个IDS(基于特征的入侵检测系统),目的是通过这个IDS监视并分析网络流量来发现攻击企图或者攻击行为,采取报警、回复假的不可达信息或断开连接等手段,来保护计算机安全。本次设计完成了一个IDS的设计和实现,详细论述了该IDS的结构和功能,阐述了相关概念和设计原理,并给出了部分关键代码。最后总结了本次设计的IDS的优点和缺陷,从性能方面对本次设计进行了评价。关键词:IDS;NIDS;入侵检测系统;snort;网络安全1引言1.1课题背景随着网络信息时代的到来,各个行业都不同程度的与网络挂上了钩。互联网甚至成为了某些行业赖以生存的工具(电子商务、网站、网络游戏行业)因此其安全性不言而喻。虽然如今的安全软件层出不穷,但大多都是防火墙、杀毒软件的类型。虽然该类软件从质量得到了提升,但是依然难以为处于网络上的计算机提供完整的安全保障。其原因在于计算机安全软件的发展处于了理论瓶颈,如何从理论上寻求突破口,拓展安全理论范围便成为了人们讨论的重点。基于这种情况,IDS的出现让人们的眼睛恍然一亮。什么是IDS:“IDS是英文“IntrusionDetectionSystems”的缩写,中文意思是入侵检测系统。专业上讲就是依照一定的策略,对网络、系统的运行情况进行监视,尽可能发现各种攻击企图、行为或攻击结果。以保证网络资源系统的机密性、完整性和可用性。”[1]入侵检测的定义为:“发现非授权使用计算机的个体(如“黑客”)或计算机系统的合法用户滥用其访问系统的权利以及企图实施上述行为的个体。执行入侵检测任务的程序即是入侵检测系统。入侵检测系统也可以定义为:检测企图破坏计算机资源的完整性,真实性和可用性的行为的软件“。[2]入侵检测系统与传统防火墙的优势在于IDS不是被动保护而是主动检测,”入侵检测系统是对防火墙的必要补充……在国内,随着关键部门、关键业务越来越多,迫切需要具有自主版权的入侵检测产品,但现状是入侵检测技术还不成熟,处于发展阶段,需要进一步研究”。[3]1.2国内外研究现状从国内外IDS的技术发展来看,IDS可以分2种技术:”基于特征的和非正常的入侵检测系统”。[4]基于特征的是指IDS以计算机正常运行时的各种参数为依据,对搜集来的信息加以对比,不匹配的就进行相关的操作,如报警、记录、忽略等,该技术的优点是能发现未知的攻击,但是误报率高;基于非正常的则相对应以受到各种网络攻击时的数据为依据,对搜集来的信息加以比较,匹配则采取相关操作。这种技术的优点是误报率低,但是却不能发现未知攻击。无论从规模与方法上入侵技术近年来都发生了变化。入侵的手段与技术也有了“进步与发展”。入侵技术的发展与演化主要反映在下列几个方面:入侵或攻击的综合化与复杂化。入侵的手段有多种,入侵者往往采取多种攻击手段。由于网络防范技术的多重化,攻击的难度增加,使得入侵者在实施入侵或攻击时往往同时采取多种入侵的手段,以保证入侵的成功几率,并可在攻击实施的初期掩盖攻击或入侵的真实目的。入侵主体对象的间接化,即实施入侵与攻击的主体的隐蔽化。通过一定的技术,可隐藏攻击主体的源地址及主机位置。即使用了隐蔽技术后,对于被攻击对象攻击的主体是较难直接确定的。入侵或攻击的规模扩大。对于网络的入侵与攻击,在其初期往往是针对于某公司或一个网站,其攻击的目的可能为某些网络技术爱好者的猎奇行为,也不排除商业的盗窃与破坏行为。由于战争对电子技术与网络技术的依赖性越来越大,随之产生、发展、逐步升级到电子战与信息战。对于信息战,无论其规模与技术都与一般意义上的计算机网络的入侵与攻击都不可相提并论。信息战的成败与国家主干通信网络的安全是与任何主权国家领土安全一样的国家安全。入侵或攻击技术的分布化。以往常用的入侵与攻击行为往往由单机执行。由于防范技术的发展使得此类行为不能奏效。所谓的分布式拒绝服务(DDoS)在很短时间内可造成被攻击主机的瘫痪。且此类分布式攻击的单机信息模式与正常通信无差异,所以往往在攻击发动的初期不易被确认。分布式攻击是近期最常用的攻击手段。攻击对象的转移。入侵与攻击常以网络为侵犯的主体,但近期来的攻击行为却发生了策略性的改变,由攻击网络改为攻击网络的防护系统,且有愈演愈烈的趋势。现已有专门针对IDS作攻击的报道。攻击者详细地分析了IDS的审计方式、特征描述、通信模式找出IDS的弱点,然后加以攻击。目前IDS技术尚处于发展阶段,相关技术还没有防火墙技术成熟。所以缺点还是比较明显,不同类型的IDS会存在不同程度的误报或者漏抱。所以现在对于IDS的争论还是比较多,“……Gartner公司副总裁RichardStiennon发布的那篇研究报告《入侵检测寿终正寝,入侵防御万古长青》来批驳入侵检测系统(IDS)……”。[5]1.3本课题研究的意义本课题是基于防火墙有自身的缺陷,不能为处于网络上的主机撑起完整的安全保护伞为出发点来研究的。发展IDS技术是安全形式所趋,发展有自主知识产权的、安全、可靠的IDS对全球的网络安全有着重大的意义。“评价一个IDS有这样几个方面:(1)准确性;(2)性能;(3)完整性;(4)故障容错(faulttolerance);(5)自身抵抗攻击能力;(6)及时性(Timeliness)”。[6]由于设计参考的是snort,因此这次设计的IDS的各项性能和snort相仿,属于轻量级的IDS(轻量级是指适合小网段使用)。基于IDS技术的不成熟以及Snort在相关IDS的产品中是比较成熟的一种,所以这次设计的IDS的在现今阶段来说性能指标处于中上水平。1.4本课题的研究方法本课题设计一个在windows系统下运行的基于特征的入侵检测系统,设计与架构参考了较有名的snort入侵检测系统。借助相关的环境辅助软件安装了IDS。通过IDS在网络上抓获的数据包(IP、TCP、UDP)并与数据库里的特征数据进行对比。根据对比出的结果来进行相关的操作。摘要:自计算机问世以来,信息技术得到日新月异的发展。随着信息技术的飞速发展,人类正迈入以网络为主的信息时代。越来越多的人通过Internet进行商务活动。但是由于Internet的开放性决定了网络系统的脆弱性,随之而来的安全问题也越来越突出。如何构建一个安全的网络环境,已经成为一个大家关心的热门话题。入侵检测是国内外近二十年来一直在研究网络安全的核心技术之一。它是目前安全领域较新的课题,是动态安全领域的核心,但目前仍然存在很多问题,尤其是具有自适应能力、自我学习能力的入侵检测系统还不完善。针对这些问题,首先介绍了入侵检测技术的发展历程、入侵检测的定义、入侵检测系统的现状、入侵检测系统的功能以及发展前景和目前入侵检测技术的局限性,然后介绍了数据挖掘的一些基本概念和算法,重点介绍了关联规则分析法,最后设计了一种新型的主机入侵检测系统模型,此结构采用数据挖掘的算法,将误用检测与异常检测相结合。主要适用于检测不同的数据源,并且介绍了一种适合于数据挖掘的日志转化方法,最后对基于主机的入侵检测系统的设计做了总结和展望。关键词:主机入侵检测,数据挖掘,日志,规则库目录摘要11入侵检测技术31.1入侵检测研究的历史31.2入侵检测模型31.3入侵检测的分类41.4入侵检测方法51.4.1异常检测方法51.4.2特征检测方法71.4.3其它方法91.5当前入侵检测系统存在的问题和面临的挑战101.6入侵检测技术的发展方向101.7数据挖掘技术111.7.1数据挖掘概述111.7.2数据挖掘的分析方法121.8基于主机日志的入侵检测132主机日志收集与处理132.1日志的概念及其特点132.1.1日志的概念132.1.2日志的特点132.2操作系统日志142.2.1Windows操作系统日志分类142.2.2日志记录类型152.2.3事件记录的内容162.3主机日志的采集162.4主机日志的处理与传输172.4.1设计日志中间格式数据结构172.4.2主机日志的接收183正常和误用特征库的建立193.1建立特征库的数据挖掘算法193.2误用特征库的建立213.2.1系统日志及安全日志中的异常部分213.2.2入侵特征库的形成213.3正常特征库的建立223.3.1无入侵特征的日志223.3.2用户正常行为模式库的形成224系统模型的设计264.1系统模型框架结构264.2检测服务器结构284.3检测流程284.3.1误用检测294.3.2异常检测294.4对基于主机入侵检测的发展构想30总结32致谢32参考文献33个人简介34本篇文章来源于:博新毕业论文网原文链接:转贴于中国论文下载中心摘要介绍了入侵检测系统的概念,分析了入侵检测系统的模型;并对现有的入侵检测系统进行了分类,讨论了入侵检测系统的评价标准,最后对入侵检测系统的发展趋势作了有意义的预测。关键词入侵检测系统;CIDF;网络安全;防火墙0引言近年来,随着信息和网络技术的高速发展以及政治、经济或者军事利益的驱动,计算机和网络基础设施,特别是各种官方机构的网站,成为黑客攻击的热门目标。近年来对电子商务的热切需求,更加激化了这种入侵事件的增长趋势。由于防火墙只防外不防内,并且很容易被绕过,所以仅仅依赖防火墙的计算机系统已经不能对付日益猖獗的入侵行为,对付入侵行为的第二道防线——入侵检测系统就被启用了。1入侵检测系统(IDS)概念1980年,JamesP.Anderson第一次系统阐述了入侵检测的概念,并将入侵行为分为外部滲透、内部滲透和不法行为三种,还提出了利用审计数据监视入侵活动的思想[1]。即其之后,1986年DorothyE.Denning提出实时异常检测的概念[2]并建立了第一个实时入侵检测模型,命名为入侵检测专家系统(IDES),1990年,L.T.Heberlein等设计出监视网络数据流的入侵检测系统,NSM(NetworkSecurityMonitor)。自此之后,入侵检测系统才真正发展起来。Anderson将入侵尝试或威胁定义为:潜在的、有预谋的、未经授权的访问信息、操作信息、致使系统不可靠或无法使用的企图。而入侵检测的定义为[4]:发现非授权使用计算机的个体(如“黑客”)或计算机系统的合法用户滥用其访问系统的权利以及企图实施上述行为的个体。执行入侵检测任务的程序即是入侵检测系统。入侵检测系统也可以定义为:检测企图破坏计算机资源的完整性,真实性和可用性的行为的软件。入侵检测系统执行的主要任务包括[3]:监视、分析用户及系统活动;审计系统构造和弱点;识别、反映已知进攻的活动模式,向相关人士报警;统计分析异常行为模式;评估重要系统和数据文件的完整性;审计、跟踪管理操作系统,识别用户违反安全策略的行为。入侵检测一般分为三个步骤:信息收集、数据分析、响应。入侵检测的目的:(1)识别入侵者;(2)识别入侵行为;(3)检测和监视以实施的入侵行为;(4)为对抗入侵提供信息,阻止入侵的发生和事态的扩大;2入侵检测系统模型美国斯坦福国际研究所(SRI)的D.E.Denning于1986年首次提出一种入侵检测模型[2],该模型的检测方法就是建立用户正常行为的描述模型,并以此同当前用户活动的审计记录进行比较,如果有较大偏差,则表示有异常活动发生。这是一种基于统计的检测方法。随着技术的发展,后来人们又提出了基于规则的检测方法。结合这两种方法的优点,人们设计出很多入侵检测的模型。通用入侵检测构架(CommonIntrusionDetectionFramework简称CIDF)组织,试图将现有的入侵检测系统标准化,CIDF阐述了一个入侵检测系统的通用模型(一般称为CIDF模型)。它将一个入侵检测系统分为以下四个组件:事件产生器(EventGenerators)事件分析器(Eventanalyzers)