版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
1、<p><b> XXXX學(xué)校</b></p><p><b> 本科畢業(yè)論文</b></p><p> 論文題目:網(wǎng)絡(luò)入侵檢測(cè)發(fā)展現(xiàn)狀及應(yīng)用研究</p><p> 學(xué)生姓名: </p><p> 學(xué)號(hào):
2、 </p><p> 專業(yè): 計(jì)算機(jī)科學(xué)與技術(shù) </p><p> 指導(dǎo)教師: </p><p> 學(xué) 院: </p><p><b> 年 月 日</b
3、></p><p> 畢業(yè)論文(設(shè)計(jì))內(nèi)容介紹</p><p><b> 目 錄</b></p><p><b> 摘要1</b></p><p> Abstract1</p><p><b> 1. 引 言2</b></p
4、><p> 2. 入侵檢測(cè)的定義及系統(tǒng)功能構(gòu)成2</p><p> 3. 入侵檢測(cè)系統(tǒng)分類3</p><p> 3.1 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)3</p><p> 3.2 基于主機(jī)的入侵檢測(cè)系統(tǒng)3</p><p> 3.3 異常檢測(cè)IDS4</p><p> 3.4 誤
5、用檢測(cè)IDS5</p><p> 4. 網(wǎng)絡(luò)入侵檢測(cè)應(yīng)用</p><p> ..................................................................................................................................................7</p&g
6、t;<p> 5. 網(wǎng)絡(luò)入侵檢測(cè)發(fā)展方向9</p><p> 6. 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)存在的問(wèn)題9</p><p> 7. 結(jié)束語(yǔ)........................................................................................................................
7、.......10</p><p> 8.參考文獻(xiàn)..............................................................11</p><p> 網(wǎng)絡(luò)入侵檢測(cè)發(fā)展現(xiàn)狀及應(yīng)用研究</p><p> 摘要:網(wǎng)絡(luò)入侵的直接危害就是破壞了系統(tǒng)的機(jī)密性、完整性和可用性。入侵者的企圖不同,對(duì)系統(tǒng)安全特性的破壞也就不同,但
8、不管是破壞了哪一個(gè)特性,都會(huì)對(duì)系統(tǒng)和網(wǎng)絡(luò)安全構(gòu)成嚴(yán)重威脅。隨著基于雇員的攻擊行為和產(chǎn)品自身問(wèn)題的增多,所以能夠在防火墻內(nèi)部監(jiān)測(cè)非法的活動(dòng)的入侵檢測(cè)系統(tǒng)變得越來(lái)越必要。伴隨網(wǎng)絡(luò)的普及,安全日益成為影響網(wǎng)絡(luò)效能的重要問(wèn)題,如何使信息網(wǎng)絡(luò)系統(tǒng)不受病毒和黑客的入侵,已成為政府機(jī)構(gòu)信息化健康發(fā)展所要考慮的重要事情之一。</p><p> 關(guān)鍵詞:網(wǎng)絡(luò)入侵;危害;系統(tǒng)分類;發(fā)展方向;應(yīng)用研究;問(wèn)題</p>&
9、lt;p> Network Intrusion Detection development and applied research</p><p> Abstract: Network intrusion harm directly undermine the confidentiality, integrity, and availability of the system. Intrude
10、rs attempt to different, destruction of the system security features are different, but regardless a property is destroyed, will pose a serious threat to system and network security. Based on aggressive behaviors of empl
11、oyees increased and the products of their own problems, so monitoring of illegal activities inside the firewall's intrusion detection system is becoming </p><p><b> 1. 引 言</b></p><
12、;p> 隨著計(jì)算機(jī)技術(shù)的發(fā)展在連結(jié)信息能力、流通能力提高的同時(shí),基于網(wǎng)絡(luò)連接的安全問(wèn)題也日益突出,很多組織正在致力于提出更多的更強(qiáng)大的主動(dòng)策略和方案來(lái)增強(qiáng)網(wǎng)絡(luò)的安全性,然而另一個(gè)更為有效的解決途徑就是入侵檢測(cè)。在入侵檢測(cè)之前,大量的安全機(jī)制都是根據(jù)從主觀的角度設(shè)計(jì)的,他們沒(méi)有根據(jù)網(wǎng)絡(luò)攻擊的具體行為來(lái)決定安全對(duì)策。因此,它們對(duì)入侵行為的反應(yīng)非常遲鈍,很難發(fā)現(xiàn)未知的攻擊行為,不能根據(jù)網(wǎng)絡(luò)行為的變化來(lái)及時(shí)地調(diào)整系統(tǒng)的安全策略。而入侵檢
13、測(cè)正是根據(jù)網(wǎng)絡(luò)攻擊行為而進(jìn)行設(shè)計(jì)的,它不僅能夠發(fā)現(xiàn)已知入侵行為,而且有能力發(fā)現(xiàn)未知的入侵行為,并可以通過(guò)學(xué)習(xí)和分析入侵手段,及時(shí)地調(diào)整系統(tǒng)策略以加強(qiáng)系統(tǒng)的安全性。 網(wǎng)絡(luò)入侵的直接危害就是破壞了系統(tǒng)的機(jī)密性、完整性和可用性。例如,非法用戶在盜取了系統(tǒng)管理員的密碼后,就可以完全控制該主機(jī),為所欲為。本來(lái)無(wú)權(quán)訪問(wèn)的文件或數(shù)據(jù),現(xiàn)在可以訪問(wèn),就破壞了系統(tǒng)的機(jī)密性;入侵者如果還改變了系統(tǒng)原有的配置,改變了文件的內(nèi)容,修改了數(shù)據(jù),就破壞了
14、系統(tǒng)的完整性;攻擊者使用拒絕服務(wù)攻擊,使得目標(biāo)主機(jī)的資源被耗盡,網(wǎng)絡(luò)帶寬被完全占用,就破壞了系統(tǒng)的可用性。</p><p> 2. 入侵檢測(cè)的定義及系統(tǒng)功能構(gòu)成</p><p> 入侵檢測(cè)是從系統(tǒng)(網(wǎng)絡(luò))的關(guān)鍵點(diǎn)采集信息并分析信息,察看系統(tǒng)(網(wǎng)絡(luò))中是否有違法安全策略的行為,保證系統(tǒng)(網(wǎng)絡(luò))的安全性,完整性和可用性。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息,并分析這些信息,看看網(wǎng)絡(luò)中是
15、否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測(cè)被認(rèn)為是防火墻之后的第二道安全閘門(mén),在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè),從而提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)?! ∫粋€(gè)入侵檢測(cè)系統(tǒng)的功能結(jié)構(gòu)至少包含事件提取、入侵分析、入侵響應(yīng)和遠(yuǎn)程管理四部分功能。入侵分析的任務(wù)就是在提取到的運(yùn)行數(shù)據(jù)中找出入侵的痕跡,將授權(quán)的正常訪問(wèn)行為和非授權(quán)的不正常訪問(wèn)行為區(qū)分開(kāi),分析出入侵行為并對(duì)入侵者進(jìn)行定位。</p><p&
16、gt; 入侵響應(yīng)功能在分析出入侵行為后被觸發(fā),根據(jù)入侵行為產(chǎn)生響應(yīng)。由于單個(gè)入侵檢測(cè)系統(tǒng)的檢測(cè)能力和檢測(cè)范圍的限制,入侵檢測(cè)系統(tǒng)一般采用分布監(jiān)視集中管理的結(jié)構(gòu),多個(gè)檢測(cè)單元運(yùn)行于網(wǎng)絡(luò)中的各個(gè)網(wǎng)段或系統(tǒng)上,通過(guò)遠(yuǎn)程管理功能在一臺(tái)管理站點(diǎn)上實(shí)現(xiàn)統(tǒng)一的管理和監(jiān)控。</p><p> 3. 入侵檢測(cè)系統(tǒng)分類 入侵檢測(cè)系統(tǒng)根據(jù)其檢測(cè)數(shù)據(jù)來(lái)源分為兩類:基于主機(jī)的入侵檢測(cè)系統(tǒng)和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)。另外一種就是根據(jù)
17、檢測(cè)所基于的原則不同,將入侵檢測(cè)系統(tǒng)劃分為異常檢測(cè)IDS和誤用檢測(cè)IDS。3.1 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng) 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)通過(guò)網(wǎng)絡(luò)監(jiān)視來(lái)實(shí)現(xiàn)數(shù)據(jù)提取。在Internet中,局域網(wǎng)普遍采用IEEE 802.3協(xié)議。該協(xié)議定義主機(jī)進(jìn)行數(shù)據(jù)傳輸時(shí)采用子網(wǎng)廣播的方式,任何一臺(tái)主機(jī)發(fā)送的數(shù)據(jù)包,都會(huì)在所經(jīng)過(guò)的子網(wǎng)中進(jìn)行廣播,也就是說(shuō),任何一臺(tái)主機(jī)接收和發(fā)送的數(shù)據(jù)都可以被同一子網(wǎng)內(nèi)的其他主機(jī)接收。在正常設(shè)置下,主機(jī)的網(wǎng)卡對(duì)每一個(gè)到達(dá)的數(shù)
18、據(jù)包進(jìn)行過(guò)濾,只將目的地址是本機(jī)的或廣播地址的數(shù)據(jù)包放入接收緩沖區(qū),而將其他數(shù)據(jù)包丟棄,因此,正常情況下網(wǎng)絡(luò)上的主機(jī)表現(xiàn)為只關(guān)心與本機(jī)有關(guān)的數(shù)據(jù)包,但是將網(wǎng)卡的接收模式進(jìn)行適當(dāng)?shù)脑O(shè)置后就可以改變網(wǎng)卡的過(guò)濾策略,使網(wǎng)卡能夠接收經(jīng)過(guò)本網(wǎng)段的所有數(shù)據(jù)包,無(wú)論這些數(shù)據(jù)包的目的地是否是該主機(jī)。網(wǎng)卡的這種接收模式被稱為混雜模式,目前絕大部分網(wǎng)卡都提供這種設(shè)置,因此,在需要的時(shí)候,對(duì)網(wǎng)卡進(jìn)行合理的設(shè)置就能獲得經(jīng)過(guò)本網(wǎng)段的所有通信信息,從</p&
19、gt;<p> 異常檢測(cè),也稱為基于行為的入侵檢測(cè),以系統(tǒng)、網(wǎng)絡(luò)、用戶或進(jìn)程的正常行為建立輪廓模型(即正常行為模式),將與之偏離較大的行為解釋成入侵。該方法基于如下的假設(shè):入侵會(huì)引起用戶或系統(tǒng)行為的異常。異常檢測(cè)方法具有檢測(cè)系統(tǒng)中未知攻擊的能力,由于新攻擊方法總是不斷出現(xiàn),因此異常檢測(cè)技術(shù)一直較受重視,產(chǎn)生了大量的異常檢測(cè)技術(shù)。下面對(duì)其中的主要技術(shù)進(jìn)行介紹和分析。</p><p> (1)統(tǒng)
20、計(jì)分析 統(tǒng)計(jì)分析方法是異常檢測(cè)的主要方法之一。該方法依據(jù)系統(tǒng)中特征變量的歷史數(shù)據(jù)建立統(tǒng)計(jì)模型,并運(yùn)用該模型對(duì)特征變量未來(lái)的取值進(jìn)行預(yù)測(cè)和檢測(cè)偏離。系統(tǒng)中的特征變量有用戶登錄失敗次數(shù)、CPU和I/O利用率、文件訪問(wèn)數(shù)及訪問(wèn)出錯(cuò)率、網(wǎng)絡(luò)連接數(shù)、擊鍵頻率、事件間的時(shí)間間隔等。 (a)均值與標(biāo)準(zhǔn)偏差模型以單個(gè)特征變量為檢測(cè)對(duì)象,假定特征變量滿足正態(tài)分布,根據(jù)該特征變量的歷史數(shù)據(jù)統(tǒng)計(jì)出分布參數(shù)(均值、標(biāo)準(zhǔn)偏差),并依此設(shè)定信任區(qū)間
21、。在檢測(cè)過(guò)程中,若特征變量的取值超出信任區(qū)間,則認(rèn)為發(fā)生異常。 (b)多元模型以多個(gè)特征變量為檢測(cè)對(duì)象,分析多個(gè)特征變量間的相關(guān)性,是均值與標(biāo)準(zhǔn)偏差模型的擴(kuò)展,不僅能檢測(cè)到單個(gè)特征變量值的偏離,還能檢測(cè)到特征變量間關(guān)系的偏離。 (c) Markov過(guò)程模型將每種類型的事件定義為系統(tǒng)的一個(gè)狀態(tài),用狀態(tài)轉(zhuǎn)換矩陣來(lái)表示狀態(tài)的變化,若對(duì)應(yīng)于所發(fā)生事件的狀態(tài)轉(zhuǎn)移概率較小,則該事件可能為異常事件。 (d) 時(shí)間序列模型。將事
22、件計(jì)數(shù)與資源消耗根據(jù)時(shí)間排列成序列,如果某一新事件在相應(yīng)時(shí)間發(fā)生的概率較低,則該事件可能為入侵。 以統(tǒng)計(jì)</p><p> (2)基于數(shù)據(jù)挖掘的檢測(cè)方法</p><p> 數(shù)據(jù)挖掘是一種利用分析工具在大量數(shù)據(jù)中提取隱含在其中且潛在有用的信息和知識(shí)的過(guò)程。入侵檢測(cè)過(guò)程也是利用所采集的大量數(shù)據(jù)信息,如主機(jī)系統(tǒng)日志、審計(jì)記錄和網(wǎng)絡(luò)數(shù)據(jù)包等,對(duì)其進(jìn)行分析以發(fā)現(xiàn)入侵或異常的過(guò)程。因此,可
23、利用數(shù)據(jù)挖掘技術(shù),從大量數(shù)據(jù)中提取盡可能多的隱藏的安全信息,抽象出有利于比較和判斷的特征模型(如基于異常檢測(cè)的正常行為輪廓)。數(shù)據(jù)挖掘算法有多種,運(yùn)用到入侵檢測(cè)中的主要有關(guān)聯(lián)分析、序列分析和聚類分析3種,其中關(guān)聯(lián)分析方法主要分析事件記錄中數(shù)據(jù)項(xiàng)間隱含的關(guān)聯(lián)關(guān)系,形成關(guān)聯(lián)規(guī)則;序列分析方法主要分析事件記錄間的相關(guān)性,形成事件記錄的序列模式;聚類分析識(shí)別事件記錄的內(nèi)在特性,將事件記錄分組以構(gòu)成相似類,并導(dǎo)出事件記錄的分布規(guī)律。在建立上述的
24、關(guān)聯(lián)規(guī)則、序列模式和相似類后,即可依此檢測(cè)入侵或異常。 基于數(shù)據(jù)挖掘的檢測(cè)方法建立在對(duì)所采集大量信息進(jìn)行分析的基礎(chǔ)之上,只能進(jìn)行事后分析,即僅在入侵事件發(fā)生后才能檢測(cè)到入侵的存在。</p><p> 其他檢測(cè)方法 其他的異常檢測(cè)方法有基于規(guī)則的方法、人工免疫法、基于機(jī)器學(xué)習(xí)的檢測(cè)方法和基于神經(jīng)網(wǎng)絡(luò)的檢測(cè)方法等。 異常檢測(cè)的優(yōu)點(diǎn)為:不需獲取攻擊特征,能檢測(cè)未知攻擊或已知攻擊的變種,且能適應(yīng)
25、用戶或系統(tǒng)等行為的變化。但異常檢測(cè)具有如下的缺點(diǎn):一般根據(jù)經(jīng)驗(yàn)知識(shí)選取或不斷調(diào)整閾值以滿足系統(tǒng)要求,閾值難以設(shè)定;異常不一定由攻擊引起,系統(tǒng)易將用戶或系統(tǒng)的特殊行為(如出錯(cuò)處理等)判定為入侵,同時(shí)系統(tǒng)的檢測(cè)準(zhǔn)確性受閾值的影響,在閾值選取不當(dāng)時(shí),會(huì)產(chǎn)生較多的檢測(cè)錯(cuò)誤,造成檢測(cè)錯(cuò)誤率高;攻擊者可逐漸修改用戶或系統(tǒng)行為的輪廓模型,因而檢測(cè)系統(tǒng)易被攻擊者訓(xùn)練;無(wú)法識(shí)別攻擊的類型,因而難以采取適當(dāng)?shù)拇胧┳柚构舻睦^續(xù)。</p>&l
26、t;p> 3.4 誤用檢測(cè)IDS</p><p> 誤用檢測(cè),也稱為基于知識(shí)或基于簽名的入侵檢測(cè)。誤用檢測(cè)IDS根據(jù)已知攻擊的知識(shí)建立攻擊特征庫(kù),通過(guò)用戶或系統(tǒng)行為與特征庫(kù)中各種攻擊模式的比較確定是否發(fā)生入侵。常用的誤用檢測(cè)技術(shù)主要有:</p><p> (1)基于專家系統(tǒng)的檢測(cè)方法 專家系統(tǒng)是入侵檢測(cè)中常用的一種檢測(cè)方法,通過(guò)將有關(guān)入侵的知識(shí)轉(zhuǎn)化為if-then結(jié)構(gòu)
27、的規(guī)則,前者為構(gòu)成入侵的條件,后者為發(fā)現(xiàn)入侵后采取的響應(yīng)措施。專家系統(tǒng)的優(yōu)點(diǎn)為把系統(tǒng)的推理控制過(guò)程和問(wèn)題的最終解答相分離,即用戶不需要理解或干預(yù)專家系統(tǒng)內(nèi)部的推理過(guò)程,只需把專家系統(tǒng)看作一個(gè)黑盒子。在將專家系統(tǒng)應(yīng)用于入侵檢測(cè)時(shí),存在下列問(wèn)題:缺乏處理序列數(shù)據(jù)的能力,即不能處理數(shù)據(jù)的前后相關(guān)性;性能取決于設(shè)計(jì)者的知識(shí);只能檢測(cè)已知的攻擊模式;無(wú)法處理判斷不確定性;規(guī)則庫(kù)難以維護(hù),更改規(guī)則時(shí)要考慮對(duì)規(guī)則庫(kù)中其他規(guī)則的影響。</p&g
28、t;<p> (2)基于狀態(tài)轉(zhuǎn)移分析的檢測(cè)方法 狀態(tài)轉(zhuǎn)移分析方法運(yùn)用狀態(tài)轉(zhuǎn)換圖來(lái)表示和檢測(cè)已知的攻擊模式,即運(yùn)用系統(tǒng)狀態(tài)和狀態(tài)轉(zhuǎn)移表達(dá)式來(lái)描述已知的攻擊模式,以有限狀態(tài)機(jī)模型來(lái)表示入侵過(guò)程。入侵過(guò)程由一系列導(dǎo)致系統(tǒng)從初始狀態(tài)轉(zhuǎn)移到入侵狀態(tài)的行為組成,其中初始狀態(tài)為入侵發(fā)生前的系統(tǒng)狀態(tài),入侵狀態(tài)表示入侵完成后系統(tǒng)所處的狀態(tài)。 用于誤用檢測(cè)的狀態(tài)轉(zhuǎn)移分析引擎包括一組狀態(tài)轉(zhuǎn)移圖,各自代表一種入侵或滲透模式。每當(dāng)
29、有新行為發(fā)生時(shí),分析引擎檢查所有的狀態(tài)轉(zhuǎn)移圖,查看是否會(huì)導(dǎo)致系統(tǒng)的狀態(tài)轉(zhuǎn)移。如果新行為否定了當(dāng)前狀態(tài)的斷言,分析引擎將狀態(tài)轉(zhuǎn)移圖回溯到斷言仍然成立的狀態(tài);如果新行為使系統(tǒng)狀態(tài)轉(zhuǎn)移到了入侵狀態(tài),狀態(tài)轉(zhuǎn)移信息就被發(fā)送到?jīng)Q策引擎,由決策引擎根據(jù)預(yù)定義的策略采取相應(yīng)措施。 以狀態(tài)轉(zhuǎn)移分析方法表示的攻擊檢測(cè)過(guò)程只與系統(tǒng)狀態(tài)的變化有關(guān),而與攻擊的過(guò)程無(wú)關(guān)。狀態(tài)轉(zhuǎn)移分析方法能檢測(cè)到協(xié)同攻擊和慢攻擊;能在攻擊行為尚未到達(dá)入侵狀態(tài)時(shí)檢測(cè)到該攻擊行
30、為,從而及時(shí)采取相應(yīng)措施阻止攻擊行為。狀態(tài)轉(zhuǎn)換圖給出了保證攻擊成功的特征行為的最小子集,能檢測(cè)到具有相同入侵模式的不同表現(xiàn)形式。狀態(tài)轉(zhuǎn)移分析方法中狀態(tài)</p><p> (3)其他檢測(cè)方法 其他的誤用檢測(cè)方法有基于有色Petri(CP)-Net的誤用檢測(cè)及基于鍵盤(pán)監(jiān)控的誤用檢測(cè)等。誤用檢測(cè)的優(yōu)點(diǎn)為:攻擊檢測(cè)的準(zhǔn)確率高;能夠識(shí)別攻擊的類型。誤用檢測(cè)的缺點(diǎn)為:只能檢測(cè)已知攻擊;滯后于新出現(xiàn)的攻擊,對(duì)于新的
31、攻擊,僅在其包含進(jìn)攻擊特征庫(kù)后才能檢測(cè)到;攻擊特征庫(kù)維護(hù)困難,新攻擊出現(xiàn)后需由專家根據(jù)專業(yè)知識(shí)抽取攻擊特征,不斷更新攻擊特征庫(kù);攻擊者可通過(guò)修改攻擊行為,使其與攻擊特征庫(kù)中的特征不相符,從而繞過(guò)檢測(cè)。誤用檢測(cè)和異常檢測(cè)各有優(yōu)缺點(diǎn),具有一定的互補(bǔ)性。通常檢測(cè)系統(tǒng)為提高入侵檢測(cè)性能,將這兩種技術(shù)結(jié)合以實(shí)現(xiàn)入侵檢測(cè)。</p><p> 4.網(wǎng)絡(luò)入侵檢測(cè)應(yīng)用</p><p> 隨著網(wǎng)絡(luò)連接的
32、迅速擴(kuò)展,特別是Internet大范圍的開(kāi)放以及金融領(lǐng)域網(wǎng)絡(luò)的接入,越來(lái)越多的系統(tǒng)遭到入侵攻擊的威脅,這些威脅大多是通過(guò)挖掘操作系統(tǒng)和應(yīng)用服務(wù)程序的弱點(diǎn)或者缺陷來(lái)實(shí)現(xiàn)的。</p><p> 目前,對(duì)付破壞系統(tǒng)企圖的理想方法是建立一個(gè)完全安全系統(tǒng)。但這一點(diǎn)卻很難做到。原因有以下幾點(diǎn):</p><p> 第一,要將所有已安裝的帶安全缺陷的系統(tǒng)轉(zhuǎn)換成安全系統(tǒng)是不現(xiàn)實(shí)的,即使真正付諸于實(shí)踐,也
33、需要相當(dāng)長(zhǎng)的時(shí)間。</p><p> 第二,加密技術(shù)方法本身存在一定的問(wèn)題,如密鑰的生成、傳輸、分配和保存,加密算法的安全性。</p><p> 第三,訪問(wèn)控制和保護(hù)模型本身存在一定的問(wèn)題。</p><p> 第四,靜態(tài)的安全控制措施不足以保護(hù)安全對(duì)象屬性。</p><p> 第五,安全系統(tǒng)易受內(nèi)部用戶濫用特權(quán)的攻擊。</p&g
34、t;<p> 第六,在實(shí)踐當(dāng)中,建立完全安全系統(tǒng)根本是不可能的。</p><p> 基于上述幾類問(wèn)題的解決難度,一個(gè)實(shí)用的方法是建立比較容易實(shí)現(xiàn)的安全系統(tǒng),而入侵檢測(cè)系統(tǒng)就是這樣一類系統(tǒng)。如果系統(tǒng)遭到攻擊,只要盡可能地檢測(cè)到,甚至是實(shí)時(shí)地檢測(cè)到,然后采取適當(dāng)?shù)奶幚泶胧?,就可以避免造成更大的損失。</p><p> 過(guò)去,很多人認(rèn)為只要安裝一個(gè)防火墻就可保障網(wǎng)絡(luò)的安全,實(shí)
35、際上這是一個(gè)誤解,原因主要有以下幾點(diǎn):</p><p> 第一、防火墻本身會(huì)有各種漏洞和后門(mén),有可能被外部黑客攻破。</p><p> 第二、防火墻不能阻止內(nèi)部攻擊,對(duì)內(nèi)部入侵者來(lái)說(shuō)毫無(wú)作用。</p><p> 第三、由于性能的限制,防火墻通常不能提供實(shí)時(shí)的入侵檢測(cè)能力。</p><p> 第四、有些外部訪問(wèn)可以繞開(kāi)防火墻。</
36、p><p> 例如,內(nèi)部用戶通過(guò)調(diào)制解調(diào)器撥號(hào)上網(wǎng)就把內(nèi)部網(wǎng)絡(luò)連到了外部網(wǎng)絡(luò),而這一連接并沒(méi)有通過(guò)防火墻,防火墻對(duì)此沒(méi)有任何監(jiān)控能力。而入侵檢測(cè)系統(tǒng)可以彌補(bǔ)防火墻的不足,為網(wǎng)絡(luò)提供實(shí)時(shí)的入侵檢測(cè)并采取相應(yīng)的防護(hù)手段,如記錄證據(jù)用于跟蹤入侵者和災(zāi)難恢復(fù)、發(fā)出警報(bào),甚至終止進(jìn)程、斷開(kāi)網(wǎng)絡(luò)連接等等。</p><p> 因此,隨著基于雇員的攻擊行為和產(chǎn)品自身問(wèn)題的增多,所以能夠在防火墻內(nèi)部監(jiān)測(cè)非法
37、的活動(dòng)的入侵檢測(cè)系統(tǒng)變得越來(lái)越必要。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,新的技術(shù)給防火墻帶來(lái)了嚴(yán)重的威脅。例如,VPN可以穿透防火墻,因此就需要入侵檢測(cè)系統(tǒng)在防火墻后提供安全保障。雖然VPN本身很安全,但有可能通過(guò)VPN進(jìn)行通信的其中一方被root kit或NetBus所控制,而這種破壞行為是防火墻無(wú)法抵御的。所以,基于上述原因,入侵檢測(cè)系統(tǒng)已經(jīng)成為安全策略的重要組成部分。</p><p> 就目前入侵檢測(cè)系統(tǒng)的使用情況來(lái)看,
38、入侵檢測(cè)系統(tǒng)主要存在以下三點(diǎn)好處:</p><p> 一、入侵檢測(cè)可以發(fā)現(xiàn)防火墻和虛擬專用網(wǎng)沒(méi)有檢測(cè)到的攻擊。</p><p> 二、入侵檢測(cè)可以實(shí)時(shí)監(jiān)控互聯(lián)網(wǎng)和外聯(lián)網(wǎng)連接,保護(hù)關(guān)鍵性的資產(chǎn)、系統(tǒng)和資源—相當(dāng)于現(xiàn)實(shí)生活中的監(jiān)視攝像機(jī)。</p><p> 三、入侵檢測(cè)系統(tǒng)可以提供警報(bào),智能化地阻止惡意攻擊,甚至動(dòng)態(tài)地重新配置網(wǎng)絡(luò),以避免以后再發(fā)生類似的攻擊。&l
39、t;/p><p> 入侵檢測(cè)作為一項(xiàng)安全技術(shù),其主要目的在于:</p><p><b> 第一,識(shí)別入侵者。</b></p><p> 第二,識(shí)別入侵行為。</p><p> 第三,檢測(cè)和監(jiān)視已成功的安全突破。</p><p> 第四,為對(duì)抗入侵及時(shí)提供重要信息,阻止事件的發(fā)生和事態(tài)的擴(kuò)大。
40、</p><p> 從這個(gè)角度來(lái)看安全問(wèn)題,入侵檢測(cè)對(duì)于建立一個(gè)安全系統(tǒng)來(lái)說(shuō)是非常必要而且是非常重要的,它可以彌補(bǔ)傳統(tǒng)安全保護(hù)措施的不足。</p><p> 伴隨網(wǎng)絡(luò)的普及,安全日益成為影響網(wǎng)絡(luò)效能的重要問(wèn)題,而Internet所具有的開(kāi)放性、國(guó)際性和自由性在增加應(yīng)用自由度的同時(shí),對(duì)安全提出了更高的要求。如何使信息網(wǎng)絡(luò)系統(tǒng)不受病毒和黑客的入侵,已成為政府機(jī)構(gòu)信息化健康發(fā)展所要考慮的重要
41、事情之一。 </p><p> 政府單位所涉及的信息可以說(shuō)都帶有機(jī)密性,所以,其信息安全問(wèn)題,如敏感信息的泄露、黑客的侵?jǐn)_、網(wǎng)絡(luò)資源的非法使用以及計(jì)算機(jī)病毒等,都將對(duì)政府機(jī)構(gòu)信息安全構(gòu)成威脅。為保證政府網(wǎng)絡(luò)系統(tǒng)的安全,有必要對(duì)其網(wǎng)絡(luò)進(jìn)行專門(mén)安全設(shè)計(jì)。 </p><p> 例如,假如內(nèi)部網(wǎng)絡(luò)的一臺(tái)機(jī)器安全受損(被攻擊或者被病毒感染),就會(huì)同時(shí)影響在同一網(wǎng)絡(luò)上的許多其他系統(tǒng)。透過(guò)網(wǎng)絡(luò)傳播,
42、還會(huì)影響到與本系統(tǒng)網(wǎng)絡(luò)有連接的其他網(wǎng)絡(luò);影響所及甚至還可能涉及法律、金融等安全敏感領(lǐng)域。</p><p> 5. 網(wǎng)絡(luò)入侵檢測(cè)發(fā)展方向</p><p> 近年對(duì)入侵檢測(cè)技術(shù)有幾個(gè)主要發(fā)展方向: (1)分布式入侵檢測(cè)與通用入侵檢測(cè)架構(gòu) 傳統(tǒng)的IDS一般局限于單一的主機(jī)或網(wǎng)絡(luò)架構(gòu),對(duì)異構(gòu)系統(tǒng)及大規(guī)模的網(wǎng)絡(luò)的監(jiān)測(cè)明顯不足。同時(shí)不同的IDS系統(tǒng)之間不能協(xié)同工作能力,為解決這一問(wèn)題,需要
43、分布式入侵檢測(cè)技術(shù)與通用入侵檢測(cè)架構(gòu)?! ?2)應(yīng)用層入侵檢測(cè) 許多入侵的語(yǔ)義只有在應(yīng)用層才能理解,而目前的IDS僅能檢測(cè)如WEB之類的通用協(xié)議,而不能處理如Lotus Notes、數(shù)據(jù)庫(kù)系統(tǒng)等其他的應(yīng)用系統(tǒng)。許多基于客戶、服務(wù)器結(jié)構(gòu)與中間件技術(shù)及對(duì)象技術(shù)的大型應(yīng)用,需要應(yīng)用層的入侵檢測(cè)保護(hù)?! ?3)智能的入侵檢測(cè) 入侵方法越來(lái)越多樣化與綜合化,盡管已經(jīng)有智能體、神經(jīng)網(wǎng)絡(luò)與遺傳算法在入侵檢測(cè)領(lǐng)域應(yīng)用研究,但是這只是一些嘗試
44、性的研究工作,需要對(duì)智能化的IDS加以進(jìn)一步的研究以解決其自學(xué)習(xí)與自適應(yīng)能力?! ∪肭謾z測(cè)產(chǎn)品仍具有較大的發(fā)展空間,從技術(shù)途徑來(lái)講,我們認(rèn)為,除了完善常規(guī)的、傳統(tǒng)的技術(shù)(模式識(shí)別和完整性檢測(cè))外,應(yīng)重點(diǎn)加強(qiáng)統(tǒng)計(jì)分析的相關(guān)技術(shù)研究。</p><p> 網(wǎng)絡(luò)入侵系統(tǒng)存在的問(wèn)題</p><p><b> (1)誤/漏報(bào)率高</b></p><p&g
45、t; IDS常用的檢測(cè)方法有特征檢測(cè)、異常檢測(cè)、狀態(tài)檢測(cè)、協(xié)議分析等。而這些檢測(cè)方式都存在缺陷。比如異常檢測(cè)通常采用統(tǒng)計(jì)方法來(lái)進(jìn)行檢測(cè),而統(tǒng)計(jì)方法中的閾值難以有效確定,太小的值會(huì)產(chǎn)生大量的誤報(bào),太大的值又會(huì)產(chǎn)生大量的漏報(bào)。而在協(xié)議分析的檢測(cè)方式中,一般的IDS只簡(jiǎn)單地處理了常用的如HTTP、FTP、SMTP等,其余大量的協(xié)議報(bào)文完全可能造成IDS漏報(bào),如果考慮支持盡量多的協(xié)議類型分析,網(wǎng)絡(luò)的成本將無(wú)法承受。</p>&l
46、t;p> (2)沒(méi)有主動(dòng)防御能力</p><p> IDS技術(shù)采用了一種預(yù)設(shè)置式、特征分析式工作原理,所以檢測(cè)規(guī)則的更新總是落后于攻擊手段的更新。</p><p> ?。?)缺乏準(zhǔn)確定位和處理機(jī)制</p><p> IDS僅能識(shí)別IP地址,無(wú)法定位IP地址,不能識(shí)別數(shù)據(jù)來(lái)源。IDS系統(tǒng)在發(fā)現(xiàn)攻擊事件的時(shí)候,只能關(guān)閉網(wǎng)絡(luò)出口和服務(wù)器等少數(shù)端口,但這樣關(guān)閉同
47、時(shí)會(huì)影響其他正常用戶的使用。因而其缺乏更有效的響應(yīng)處理機(jī)制。</p><p><b> (4)性能普遍不足</b></p><p> 現(xiàn)在市場(chǎng)上的IDS產(chǎn)品大多采用的是特征檢測(cè)技術(shù),這種IDS產(chǎn)品已不能適應(yīng)交換技術(shù)和高帶寬環(huán)境的發(fā)展,在大流量沖擊、多IP分片情況下都可能造成IDS的癱瘓或丟包,形成Dos攻擊。</p><p> 入侵檢測(cè)系
48、統(tǒng)作為網(wǎng)絡(luò)安全的關(guān)鍵性防范系統(tǒng)已經(jīng)起得了一定發(fā)展,但仍然存在很多 問(wèn)題 ,還有待于進(jìn)一步完善 ,以便為今后的網(wǎng)絡(luò)發(fā)展提供有效的安全手段。從性能上講入侵檢測(cè)系統(tǒng)面臨的一個(gè)矛盾就是系統(tǒng)性能與功能的折衷,即對(duì)數(shù)據(jù)進(jìn)行全面復(fù) 雜的檢驗(yàn)構(gòu)成了對(duì)系統(tǒng)實(shí)時(shí)性要求很大的挑戰(zhàn)。一旦系統(tǒng)中的入侵檢測(cè)部分被入侵者 控制,整個(gè)系統(tǒng)的安全防線將面臨崩潰的危險(xiǎn)。如何防止入侵者對(duì)系統(tǒng)功能的破壞的 研究將在是未來(lái)的一個(gè)發(fā)展方向,同時(shí)對(duì)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)易用性的研究也將日
49、益增強(qiáng)。高速網(wǎng)絡(luò)中的入侵檢測(cè)以及入侵檢測(cè)系統(tǒng)與其它系統(tǒng)的協(xié)同工作的研究將持續(xù)下 去 。要解決當(dāng)前的實(shí)際網(wǎng)絡(luò)安全需求入侵檢測(cè)系統(tǒng)將與防火墻系統(tǒng)以及應(yīng)急響應(yīng)系 統(tǒng)等逐漸融合構(gòu)成一個(gè)全方位的安全保障系統(tǒng)。</p><p><b> 7. 結(jié)束語(yǔ)</b></p><p> 入侵檢測(cè)隨著信息安全問(wèn)題的日益突出越來(lái)越多地受到人們的關(guān)注,目前,已有多個(gè)原型系統(tǒng)和商用的IDS
50、出現(xiàn)。盡管目前在入侵檢測(cè)領(lǐng)域還有很多問(wèn)題需要深入研究,但可以展望,入侵檢測(cè)技術(shù)的發(fā)展將對(duì)信息的安全保護(hù)產(chǎn)生深遠(yuǎn)的影響</p><p><b> 參考文獻(xiàn):</b></p><p> 1. 王曉程,劉恩德,謝小權(quán), 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的研究. 計(jì)算機(jī)工程與科學(xué),2000(4):30~33</p><p> 2. 羅守山,陳亞娟,宋傳恒,王自亮
51、,鈕心忻,楊義先.一個(gè)基于擊鍵韻律的入侵檢測(cè)模型.北京郵電大學(xué)學(xué)報(bào),2000(4)</p><p> 3.陳科,李之棠.網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)和防火墻集成的框架模型.計(jì)算機(jī)工程與科學(xué),2001(2):26~28</p><p> 4. Denning D. Requirements and Model for IDES: A Real-time Intrusion Detection Exp
52、ert System [C]. Technical Report, CSL, SRI Int, 1985. 5. Porras P, Kemmerer R. Penetration State Transition Analysis: A Rule-Based Intrusion Detection Approach [C]. In: Proceedings of the 8th Annual Computer Security
53、 Applications Conference, San Antonio, Texas, 1992.</p><p> 6.[美]Rebecca Gurley Bace.入侵檢測(cè)[M].人民郵電出版社,1991. 7.paul E. Proctor.入侵檢測(cè)使用手冊(cè)[M].中國(guó)電力出版社,1998.</p><p> 8.E.Al-Shaer and H.Hamed.Firewa
54、ll Policy Advisor for Anomaly Detection andRule Editing[J].Proceedings of IEEE/IFIP Integrated Management Conference(IM’2003),2003:17-30.</p><p> 9.A.A.Hassan.Algorithms for Verifying Firewall and Router Ac
55、cess Lists[J].Proc.of the 46th IEEE International Midwest Symposium on Circuits and Systems,2003,vol.1:512-515.</p><p> 10.馮登國(guó).網(wǎng)絡(luò)安全原理與技術(shù)[M].北京:科學(xué)出版社,2003,15.</p><p> 11.F.Cuppens,A.Mi`ege.Aler
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫(kù)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 網(wǎng)絡(luò)支付的發(fā)展現(xiàn)狀及問(wèn)題分析 【畢業(yè)論文】
- 畢業(yè)論文----網(wǎng)絡(luò)廣告的發(fā)展現(xiàn)狀及趨勢(shì)研究
- 畢業(yè)論文--有機(jī)農(nóng)業(yè)發(fā)展現(xiàn)狀及對(duì)策研究
- 我國(guó)電梯行業(yè)發(fā)展現(xiàn)狀及趨勢(shì) 畢業(yè)論文
- bim的應(yīng)用現(xiàn)狀及發(fā)展研究-畢業(yè)論文
- 河南鎮(zhèn)平玉雕產(chǎn)業(yè)發(fā)展現(xiàn)狀及對(duì)策研究【畢業(yè)論文】
- 畢業(yè)論文我國(guó)農(nóng)村金融發(fā)展現(xiàn)狀及發(fā)展策略
- 臺(tái)州汽摩配企業(yè)發(fā)展現(xiàn)狀及對(duì)策研究【畢業(yè)論文】
- 農(nóng)村電子商務(wù)發(fā)展現(xiàn)狀及對(duì)策畢業(yè)論文
- 畢業(yè)論文我國(guó)私人銀行的發(fā)展現(xiàn)狀及趨勢(shì)
- 舟山鄉(xiāng)村旅游發(fā)展現(xiàn)狀及發(fā)展思路【畢業(yè)論文】
- 杭州獎(jiǎng)勵(lì)旅游發(fā)展現(xiàn)狀及對(duì)策思考[畢業(yè)論文]
- 浙江教育服務(wù)貿(mào)易發(fā)展現(xiàn)狀及對(duì)策【畢業(yè)論文】
- 浙江塊狀經(jīng)濟(jì)的發(fā)展現(xiàn)狀及出路【畢業(yè)論文】
- 余姚裘皮市場(chǎng)的發(fā)展現(xiàn)狀及對(duì)策研究【畢業(yè)論文】
- 畢業(yè)論文--冷鏈物流發(fā)展現(xiàn)狀及對(duì)策分析
- 舟山科技創(chuàng)新能力發(fā)展現(xiàn)狀及對(duì)策【畢業(yè)論文】
- 杭州酒吧業(yè)發(fā)展現(xiàn)狀及對(duì)策探討[畢業(yè)論文]
- 異地溫州商會(huì)發(fā)展現(xiàn)狀及對(duì)策研究[畢業(yè)論文]
- 畢業(yè)論文---餐飲企業(yè)發(fā)展現(xiàn)狀及營(yíng)銷策略研究
評(píng)論
0/150
提交評(píng)論