網(wǎng)絡(luò)安全入侵檢測系統(tǒng)畢業(yè)論文

1、<p><b>　　摘　 要</b></p><p>　　入侵檢測系統(tǒng)是一種主動保護(hù)網(wǎng)絡(luò)資源的網(wǎng)絡(luò)安全系統(tǒng)，近年來得到了廣泛的研究與應(yīng)用。介紹了入侵檢測系統(tǒng)的起源、系統(tǒng)分類、相關(guān)產(chǎn)品分類，對它的目前存在的問題進(jìn)行了分析，并對其發(fā)展趨勢作了簡單的概述。入侵檢測系統(tǒng)作為一種主動的安全防護(hù)技術(shù)，提供了對內(nèi)、外部攻擊的實(shí)時保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。隨著網(wǎng)絡(luò)通信技術(shù)安全性

2、的要求越來越高，入侵檢測系統(tǒng)能夠從網(wǎng)絡(luò)安全的立體縱深、多層次防御的角度出發(fā)提供完全服務(wù)，必將進(jìn)一步受到人們的高度重視。</p><p>　　關(guān)鍵詞：網(wǎng)絡(luò)，網(wǎng)絡(luò)安全，入侵檢測 </p><p><b>　　目 錄</b></p><p><b>　　第1章 緒論1</b></p><p>&

3、lt;b>　　1.1課題背景1</b></p><p><b>　　1.2網(wǎng)絡(luò)安全1</b></p><p>　　第2章 入侵檢測系統(tǒng)概述2</p><p>　　2.1入侵檢測系統(tǒng)簡介2</p><p>　　2.2對入侵檢測系統(tǒng)的要求3</p><p>　　2.3入侵

4、檢測系統(tǒng)的基本結(jié)構(gòu)3</p><p>　　第3章 入侵檢測系統(tǒng)的分類7</p><p>　　3.1 根據(jù)檢測的數(shù)據(jù)源分類7</p><p>　　3.2根據(jù)檢測使用的分析方法分類9</p><p>　　第4章 入侵檢測技術(shù)的發(fā)展14</p><p>　　4.1網(wǎng)絡(luò)入侵檢測技術(shù)的發(fā)展過程14</p&

5、gt;<p>　　4.2 IPS研究與分析15</p><p>　　4.3網(wǎng)絡(luò)安全的發(fā)展方向——IMS17</p><p>　　4.4 技術(shù)展望19</p><p><b>　　結(jié) 論20</b></p><p><b>　　參考文獻(xiàn)21</b></p>

6、<p><b>　　致 謝22</b></p><p><b>　　第一章 緒論</b></p><p><b>　　1.1課題背景</b></p><p>　　近年來，互聯(lián)網(wǎng)技術(shù)在國際上得到了長足的發(fā)展，網(wǎng)絡(luò)環(huán)境變得越來越負(fù)載，網(wǎng)絡(luò)本身的安全性問題也就顯得更為重要。網(wǎng)絡(luò)安全的一個

7、主要威脅是通過網(wǎng)絡(luò)對信息系統(tǒng)的入侵。相對于傳統(tǒng)對于系統(tǒng)的破壞手段，網(wǎng)絡(luò)入侵具有以下幾個特點(diǎn)：（1）沒有地域和時間限制；（2）通過網(wǎng)絡(luò)的攻擊往往混在在大量正常的網(wǎng)絡(luò)活動中，隱蔽性強(qiáng)；（3）入侵手段更加隱蔽和復(fù)雜；（4）攻擊手段也有原來的單一攻擊向分布式方向發(fā)展。</p><p>　　為了保證網(wǎng)絡(luò)的機(jī)密性、完整性和可用性，防火墻技術(shù)應(yīng)運(yùn)而生。但作為靜態(tài)的安全防御技術(shù)，單純的防火墻技術(shù)暴露出名先的不足和弱點(diǎn)，如無法解決

8、安全后門的問題、不能阻止網(wǎng)絡(luò)的內(nèi)部攻擊，而調(diào)查發(fā)現(xiàn)，50%以上的攻擊都來自內(nèi)部；不能提供實(shí)時入侵檢測能力；對于病毒攻擊束手無策等。由于網(wǎng)絡(luò)入侵的上述特性，如何通過計(jì)算機(jī)對其進(jìn)行檢測，就成為更強(qiáng)大的主動策略和方案來增強(qiáng)網(wǎng)絡(luò)的安全性，其中有一個和有效的解決途徑就是入侵檢測。入侵檢測系統(tǒng)彌補(bǔ)防火墻的不足，為網(wǎng)絡(luò)安全提供實(shí)時的入侵檢測及采取相應(yīng)的防護(hù)手段，如記錄證據(jù)、跟蹤入侵、恢復(fù)或斷開網(wǎng)絡(luò)連接等等。</p><p>　

9、　入侵檢測作為一種積極主動的安全防護(hù)技術(shù)，能夠同時對內(nèi)部入侵，外部入侵和誤操作提供及時的保護(hù)，能夠在系統(tǒng)受到危害之前及時地記錄和響應(yīng)入侵為系統(tǒng)管理員提供可靠的入侵記錄。</p><p>　　因此研究高效的網(wǎng)絡(luò)安全防護(hù)和檢測技術(shù)，開發(fā)實(shí)用的安全監(jiān)測系統(tǒng)具有重大的研究，時間和商業(yè)意義。</p><p><b>　　1.2網(wǎng)絡(luò)安全</b></p><p&

10、gt;　　近年來，我國互聯(lián)網(wǎng)發(fā)展取得了令人矚目的成績。根據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心最新發(fā)布的統(tǒng)計(jì)報(bào)告顯示，截至 2008 年底，我國上網(wǎng)用戶總數(shù)達(dá) 1.37 億人，互聯(lián)網(wǎng)的影響已經(jīng)逐漸滲透到我國國民經(jīng)濟(jì)的各個領(lǐng)域和人民生活的各個方面。 </p><p>　　但是，隨著互聯(lián)網(wǎng)應(yīng)用的不斷創(chuàng)新與發(fā)展，信息與網(wǎng)絡(luò)安全也面臨著前所未有的嚴(yán)峻形勢，網(wǎng)絡(luò)安全領(lǐng)域所面臨的挑戰(zhàn)日益嚴(yán)峻。網(wǎng)絡(luò)安全問題不僅給廣大網(wǎng)民帶來了不便，甚至影響到

11、我國信息化建設(shè)的進(jìn)一步深化，威脅到國家的信息安全和經(jīng)濟(jì)發(fā)展。</p><p>　　網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。 網(wǎng)絡(luò)安全從其本質(zhì)上來講就是網(wǎng)絡(luò)上的信息安全。從廣義來說，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。網(wǎng)絡(luò)安全是一門涉及計(jì)算機(jī)科學(xué)

12、、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。</p><p>　　第二章 入侵檢測系統(tǒng)概述</p><p>　　入侵檢測作為一種積極主動的安全防護(hù)技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前進(jìn)行攔截和響應(yīng)。從網(wǎng)絡(luò)安全立體縱深多層次防御的角度出發(fā)，入侵檢測理應(yīng)受到人們的高度重視，這從國外入侵檢測產(chǎn)品市場的蓬勃發(fā)展

13、就可以看出。</p><p>　　2.1入侵檢測系統(tǒng)簡介</p><p>　　1980年4月，James Anderson為美國空軍做了一份題為《Computer Security Threat Monitoring and Surveillance)(計(jì)算機(jī)安全威脅監(jiān)控和監(jiān)視)的技術(shù)報(bào)告，第一次詳細(xì)闡述了入侵和入侵檢測的概念。</p><p>　　入侵 (Intr

14、usion)是指對訪問，篡改信息，使系統(tǒng)不可靠或不可用的有預(yù)謀、未授權(quán)嘗試的潛在可能性;以及任何企圖破壞計(jì)算機(jī)資源的完整性、保密性和可用性的行為。入侵不僅指非系統(tǒng)用戶非授權(quán)地登陸系統(tǒng)和使用系統(tǒng)資源，還包括系統(tǒng)內(nèi)的用戶濫用權(quán)力對系統(tǒng)造成的破壞，如非法盜用他人帳戶，非法獲得系統(tǒng)管理員權(quán)限，修改或刪除系統(tǒng)文件等。</p><p>　　入侵檢測 (Intrusion Detection)可以被定義為識別出正在發(fā)生的入侵企

15、圖或已經(jīng)發(fā)生的入侵活動的過程。它通過對計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測包含兩層意思：一是對外部入侵(非授權(quán)使用)行為的檢測:二是對內(nèi)部用戶(合法用戶)濫用自身權(quán)限的檢測。</p><p>　　入侵檢測系統(tǒng) (Intrusion Detection System，簡稱IDS)是試圖實(shí)現(xiàn)檢測入侵行為的計(jì)算機(jī)系統(tǒng)，包括計(jì)算機(jī)

16、軟件和硬件的組合。入侵檢測系統(tǒng)對系統(tǒng)進(jìn)行實(shí)時監(jiān)控，對網(wǎng)絡(luò)或操作系統(tǒng)上的可疑行為做出策略反應(yīng)，及時切斷資料入侵源、記錄、并通過各種途徑通知網(wǎng)絡(luò)管理員，最大幅度地保障系統(tǒng)安全，是防火墻的合理補(bǔ)充。</p><p>　　2.2對入侵檢測系統(tǒng)的要求</p><p>　　作為一種安全防護(hù)系統(tǒng)，入侵檢測系統(tǒng)旨在增強(qiáng)網(wǎng)絡(luò)系統(tǒng)的可靠性，因此，入侵檢測系統(tǒng)就成為了網(wǎng)絡(luò)系統(tǒng)的重要組成部分，因而它自身也應(yīng)該具有

17、足夠的可靠性，而不論它是基于何種機(jī)制。下面是入侵檢測系統(tǒng)應(yīng)該具備的特性：</p><p>　　1、檢測用戶和系統(tǒng)的運(yùn)行狀況，必須在沒有(或很少)的人工干預(yù)下不間斷地運(yùn)行。</p><p>　　2、監(jiān)測系統(tǒng)配置的正確性和安全漏洞，必須具有容錯能力，即使系統(tǒng)崩潰也能繼續(xù)運(yùn)轉(zhuǎn)，且重新啟動后無須重建知識庫。</p><p>　　3、有很強(qiáng)的抗攻擊能力，能抵御破壞，能夠監(jiān)測自

18、身以確保不被攻擊者修改。</p><p>　　4、有盡可能小的系統(tǒng)開銷，避免影響系統(tǒng)(IDS所處環(huán)境)內(nèi)其它組件正常操作。</p><p>　　5、易于部署，這主要體現(xiàn)在對不同操作系統(tǒng)和體系結(jié)構(gòu)的可移植性、簡單的安裝機(jī)制， 以及操作員易于使用和理解。</p><p>　　6、能檢測出攻擊，并作出反應(yīng)。包括不能將合法的活動誤認(rèn)為是攻擊、不應(yīng)遺漏任何真正的攻擊、應(yīng)盡可能

19、迅速及時報(bào)告入侵活動等功能。</p><p>　　2.3入侵檢測系統(tǒng)的基本結(jié)構(gòu)</p><p>　　雖然目前存在諸多的入侵檢測模型和入侵檢測系統(tǒng)，但一個典型的入侵檢測系統(tǒng)一般由數(shù)據(jù)采集、數(shù)據(jù)分析和事件響應(yīng)三個部分組成。一個通用的入侵檢測系統(tǒng)結(jié)構(gòu)如圖2.1所示。 </p><p><b>　　2.3.1數(shù)據(jù)收集</b></p>&l

20、t;p>　　數(shù)據(jù)收集是入侵檢測的第一步，包括收集系統(tǒng)、網(wǎng)絡(luò)數(shù)據(jù)、用戶活動狀態(tài)和行為數(shù)據(jù)。而且需要在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)(不同網(wǎng)段和不同主機(jī))收集信息，這除了盡可能擴(kuò)大了檢測范圍的因素外，還有一個重要的因素就是從一個數(shù)據(jù)源來的信息有可能看不出疑點(diǎn)，但從幾個數(shù)據(jù)源來的信息的不一致性卻是可疑行為或入侵的的最好標(biāo)志。獲得數(shù)據(jù)之后，需要對數(shù)據(jù)進(jìn)行簡單處理，如流數(shù)據(jù)的解碼、字符編碼的轉(zhuǎn)換等等。然后將處理后的數(shù)據(jù)提交給數(shù)據(jù)分析模塊。

21、</p><p>　　因?yàn)槿肭謾z測很大程度上依賴于采集信息的可靠性和正確性，因此我們必須保證數(shù)據(jù)采集的正確性。因?yàn)楹诳徒?jīng)常替換軟件以搞混和移走這些信息，例如替換被程序調(diào)用的子程序、記錄文件和其它工具。黑客對系統(tǒng)的修改可能使系統(tǒng)功能失常并看起來跟正常的一樣。例如，Linux 系統(tǒng)的PS 指令可以被替換為一個不顯示侵入過程的指令，或者編輯器被替換成一個讀取不同于指定文件的文件（黑客隱藏了初試文件并用另一版本代替）這需

22、要保證用來檢測網(wǎng)絡(luò)系統(tǒng)的軟件的完整性，特別是入侵檢測系統(tǒng)軟件本身應(yīng)具有相當(dāng)強(qiáng)的堅(jiān)固性，防止被篡改而采集到錯誤的信息。入侵檢測利用的信息一般來自以下三個方面（這里不包括物理形式的入侵信息）：</p><p>　　1.系統(tǒng)和網(wǎng)絡(luò)日志文件</p><p>　　黑客經(jīng)常在系統(tǒng)日志文件中留下他們的蹤跡，因此可以充分利用系統(tǒng)和網(wǎng)絡(luò)日志文件信息。日志中包含發(fā)生在系統(tǒng)和網(wǎng)絡(luò)上的不尋常和不期望活動的證據(jù)，這

23、些證據(jù)可以指出有人正在入侵或已成功入侵了系統(tǒng)。通過查看日志文件，能夠發(fā)現(xiàn)成功的入侵或入侵企圖，并很快地啟動相應(yīng)的應(yīng)急響應(yīng)程序。日志文件中記錄了各種行為類型，每種類型又包含不同的信息，例如記錄“用戶活動”類型的日志，就包含登錄、用戶ID 改變、用戶對文件的訪問、授權(quán)和認(rèn)證信息等內(nèi)容。很顯然地，對用戶活動來講，不正常的或不期望的行為就是重復(fù)登錄失敗、登錄到不期望的位置以及非授權(quán)的企圖訪問重要文件等等。</p><p>

24、;　　2.非正常的目錄和文件改變</p><p>　　網(wǎng)絡(luò)環(huán)境中的文件系統(tǒng)包含很多軟件和數(shù)據(jù)文件，他們經(jīng)常是黑客修改或破壞的目標(biāo)。目錄和文件中非正常改變（包括修改、創(chuàng)建和刪除）特別是那些正常情況下限制訪問的，很可能就是一種入侵產(chǎn)生的指示和信號。黑客經(jīng)常替換、修改和破壞他們獲得訪問權(quán)的系統(tǒng)上的文件，同時為了隱藏系統(tǒng)中他們的表現(xiàn)及活動痕跡，都會盡力去替換系統(tǒng)程序或修改系統(tǒng)日志文件。</p><p&

25、gt;　　3.非正常的程序執(zhí)行</p><p>　　網(wǎng)絡(luò)系統(tǒng)上的程序執(zhí)行一般包括操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)、用戶啟動的程序和特定目的的應(yīng)用，例如WEB 服務(wù)器。每個在系統(tǒng)上執(zhí)行的程序由一到多個進(jìn)程來實(shí)現(xiàn)。一個進(jìn)程的執(zhí)行行為由它運(yùn)行時執(zhí)行的操作來表現(xiàn)，操作執(zhí)行的方式不同，它利用的系統(tǒng)資源也就不同。操作包括計(jì)算、文件傳輸、設(shè)備和其它進(jìn)程，以及與網(wǎng)絡(luò)間其它進(jìn)程的通訊。一個進(jìn)程出現(xiàn)了不期望的行為可能表明黑客正在入侵你的系統(tǒng)。黑客

26、可能會將程序或服務(wù)的運(yùn)行分解，從而導(dǎo)致它失敗，或者是以非用戶或管理員意圖的方式操作。</p><p><b>　　4.網(wǎng)絡(luò)數(shù)據(jù)包</b></p><p>　　通過采樣網(wǎng)絡(luò)數(shù)據(jù)包，并進(jìn)行相應(yīng)處理，得到入侵檢測信息。</p><p>　　當(dāng)獲得數(shù)據(jù)之后，需要對數(shù)據(jù)進(jìn)行簡單的處理，如對數(shù)據(jù)流的解碼、字符編碼的轉(zhuǎn)換等等，然后才將經(jīng)過處理的數(shù)據(jù)提交給數(shù)據(jù)

27、分析模塊。</p><p><b>　　2.3.2數(shù)據(jù)分析</b></p><p>　　數(shù)據(jù)分析是入侵檢測系統(tǒng)的核心部分。這個環(huán)節(jié)主要是對數(shù)據(jù)進(jìn)行深入分析，根據(jù)攻擊特征集發(fā)現(xiàn)攻擊，并根據(jù)分析的結(jié)果產(chǎn)生響應(yīng)事件，觸發(fā)事件響應(yīng)。數(shù)據(jù)分析的方法較多，如模式匹配、協(xié)議分析、行為分析和統(tǒng)計(jì)分析等。</p><p><b>　　1.模式匹配<

28、;/b></p><p>　　模式匹配就是將采集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)已有模式數(shù)據(jù)庫進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。該過程可以很簡單（如通過字符串匹配以尋找一個簡單的條目或指令）也可以很復(fù)雜（如利用正規(guī)的數(shù)學(xué)表達(dá)式來表示安全狀態(tài)的變化）一般來講，一種進(jìn)攻模式可以用一個過程（如執(zhí)行一條指令）或一個輸出（如獲得權(quán)限）來表示。該方法的一大優(yōu)點(diǎn)是只需采集相關(guān)的數(shù)據(jù)集合，顯著減少系統(tǒng)負(fù)擔(dān)，且技術(shù)已相當(dāng)成

29、熟。它與病毒防火墻采用的方法一樣，檢測準(zhǔn)確率和效率都相當(dāng)高。但是，該方法存在的弱點(diǎn)是需要不斷的升級以對付不斷出現(xiàn)的黑客攻擊手法，不能檢測到從未出現(xiàn)過的黑客攻擊手段。</p><p><b>　　2.統(tǒng)計(jì)分析</b></p><p>　　統(tǒng)計(jì)分析方法首先給系統(tǒng)對象（如用戶、文件、目錄和設(shè)備等）創(chuàng)建一個統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時的一些測量屬性（如訪問次數(shù)、操作失敗次數(shù)和延時

30、等）。在比較這一點(diǎn)上與模式匹配有些相象之處。測量屬性的平均值將被用來與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，任何觀察值在正常值范圍之外，時就認(rèn)為有入侵發(fā)生。例如，本來都默認(rèn)用GUEST 帳號登錄的，突然用ADMINI 帳號登錄。這樣做的優(yōu)點(diǎn)是可檢測到未知的入侵和更為復(fù)雜的入侵，缺點(diǎn)是誤報(bào)、漏報(bào)率高，且不適應(yīng)用戶正常行為的突然改變。具體的統(tǒng)計(jì)分析方法如基于專家系統(tǒng)的、基于模型推理的和基于神經(jīng)網(wǎng)絡(luò)的分析方法，目前正處于研究熱點(diǎn)和迅速發(fā)展之中。</

31、p><p><b>　　3.完整性分析</b></p><p>　　完整性分析主要關(guān)注某個文件或?qū)ο笫欠癖桓?，這經(jīng)常包括文件和目錄的內(nèi)容及屬性，它在發(fā)現(xiàn)被更改的、被特洛伊化的應(yīng)用程序方面特別有效。完整性分析利用強(qiáng)有力的加密機(jī)制，稱為消息摘要函數(shù)（例如MD5）， 它能識別哪怕是微小的變化。其優(yōu)點(diǎn)是不管模式匹配方法和統(tǒng)計(jì)分析方法能否發(fā)現(xiàn)入侵，只要是成功的攻擊導(dǎo)致了文件或其它

32、對象的任何改變，它都能夠發(fā)現(xiàn)。缺點(diǎn)是一般以批處理方式實(shí)現(xiàn)，用于事后分析而不用于實(shí)時響應(yīng)。盡管如此，完整性檢測方法還應(yīng)該是網(wǎng)絡(luò)安全產(chǎn)品的必要手段之一。例如，可以在每一天的某個特定時間內(nèi)開啟完整性分析模塊，對網(wǎng)絡(luò)系統(tǒng)進(jìn)行全面地掃描檢查。</p><p><b>　　2.3.3事件響應(yīng)</b></p><p>　　事件響應(yīng)在發(fā)現(xiàn)入侵后會及時作出響應(yīng)，包括切斷網(wǎng)絡(luò)連接、記錄事

33、件和報(bào)警等。響應(yīng)又可以分為主動響應(yīng)和被動響應(yīng)。響應(yīng)一般分為主動響應(yīng)(實(shí)時阻止或干擾入侵行為)和被動響應(yīng)（報(bào)告和記錄所檢測出的問題）兩種類型。主動響應(yīng)由用戶驅(qū)動或系統(tǒng)自動執(zhí)行，可對入侵者采取行動（如斷開連接）、修正系統(tǒng)環(huán)境或采集有用信息：被動響應(yīng)則包括報(bào)警和通知、日志記錄等。另外，還可以按策略配置響應(yīng)，分別采取立即、緊急、適時、本地的長期和全局的長期等行為。</p><p>　　事件響應(yīng)實(shí)際上就是P2DR 模型的R

34、（響應(yīng)）采用適當(dāng)?shù)捻憫?yīng)（Response）可將系統(tǒng)調(diào)整到“最安全”或者“風(fēng)險(xiǎn)最低”的狀態(tài)。</p><p>　　另外，還可以按策略配置響應(yīng)，分別采取立即、緊急、適時、本地的長期和全局的長期等行為。</p><p>　　第三章 入侵檢測系統(tǒng)的分類</p><p>　　同任何事物的分類相似，采用不同的標(biāo)準(zhǔn)，就會得到不同的分類結(jié)果，入侵檢測系統(tǒng)也是如此。根據(jù)檢測的數(shù)據(jù)源

35、分類可以分為給予基于主機(jī)的入侵檢測系統(tǒng)、基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)和混合入侵檢測系統(tǒng)；根據(jù)檢測使用的分析使用方法分類可以分為異常檢測和誤用檢測。</p><p>　　3.1 根據(jù)檢測的數(shù)據(jù)源分類</p><p>　　3.1.1基于主機(jī)的入侵檢測系統(tǒng)(Host-based IDS)</p><p>　　基于主機(jī)的入侵檢測系統(tǒng)簡稱為主機(jī)入侵檢測系統(tǒng)，系統(tǒng)的數(shù)據(jù)來源為操作系

36、統(tǒng)事件日志、管理工具審計(jì)記錄和應(yīng)用程序?qū)徲?jì)記錄。</p><p>　　它通過監(jiān)視系統(tǒng)運(yùn)行情況(文件的打開和訪問、文件權(quán)限的改變、用戶的登錄和特權(quán)服務(wù)的訪問等)、審計(jì)系統(tǒng)日志文件和應(yīng)用程序(關(guān)系數(shù)據(jù)庫、Web服務(wù)器)日志來檢測入侵。HIDS可以檢測到用戶濫用權(quán)限、創(chuàng)建后門帳戶、修改重要數(shù)據(jù)和改變安全配置等行為，同時還可以定期對系統(tǒng)關(guān)鍵文件進(jìn)行檢查，計(jì)算其校驗(yàn)值來確信其完整性。</p><p>

37、;　　HIDS檢測發(fā)生在主機(jī)上的活動，處理的都是操作系統(tǒng)事件或應(yīng)用程序事件而不是網(wǎng)絡(luò)包，所以高速網(wǎng)絡(luò)對它沒有影響。同時它使用的是操作系統(tǒng)提供的信息，經(jīng)過加密的數(shù)據(jù)包在到達(dá)操作系統(tǒng)后，都已經(jīng)被解密，所以HIDS能很好地處理包加密的問題。并且，HIDS還可以綜合多個數(shù)據(jù)源進(jìn)行進(jìn)一步的分析，利用數(shù)據(jù)挖掘等技術(shù)來發(fā)現(xiàn)入侵。但是，HIDS也有自身的缺陷，主要有以下幾點(diǎn)：</p><p>　　1, 影響系統(tǒng)性能。原始數(shù)據(jù)要經(jīng)

38、過集中、分析和歸檔，這些都需要占用系統(tǒng)資源，因此HIDS會在一定程度上降低系統(tǒng)性能。</p><p>　　2、配置和維護(hù)困難。每臺被檢測的主機(jī)上都需安裝檢測系統(tǒng)，每個系統(tǒng)都有維護(hù)和升級的任務(wù)，安裝和維護(hù)將是一筆不小的費(fèi)用。</p><p>　　3、易受內(nèi)部破壞。由于HIDS安裝在被檢測的主機(jī)上，有權(quán)限的用戶或攻擊者可以關(guān)閉檢測程序從而使自己的行為在系統(tǒng)中沒有記錄，來逃避檢測。</p&

39、gt;<p>　　4、存在數(shù)據(jù)欺騙問題。攻擊者或有權(quán)限的用戶可以插入、修改或刪除審計(jì)記錄，借此逃避HIDS檢測。</p><p>　　5、實(shí)時性較差。HIDS進(jìn)行的多是事后檢測，因此當(dāng)發(fā)現(xiàn)入侵時，系統(tǒng)多數(shù)己經(jīng)受到了破壞。</p><p>　　3.1.2基于網(wǎng)絡(luò)的入侵檢系統(tǒng)(Network-based IDS)</p><p>　　基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)

40、簡稱為網(wǎng)絡(luò)入侵檢測系統(tǒng)，數(shù)據(jù)來源為網(wǎng)絡(luò)中的數(shù)據(jù)包。系統(tǒng)通過在計(jì)算機(jī)網(wǎng)絡(luò)中的某些點(diǎn)被動地監(jiān)聽網(wǎng)絡(luò)上傳輸?shù)脑剂髁?，對獲取的網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行處理，從中獲取有用的信息，再與已知攻擊特征相匹配或與正常網(wǎng)絡(luò)行為原型相比較來識別攻擊事件。</p><p>　　NIDS的優(yōu)勢在于它的實(shí)時性，當(dāng)檢測到攻擊時，就能很快做出反應(yīng)。另外NIDS可以在一個點(diǎn)上監(jiān)測整個網(wǎng)絡(luò)中的數(shù)據(jù)包，不必像HIDS那樣，需要在每一臺主機(jī)上都安裝檢測系統(tǒng)，因此

41、是一種經(jīng)濟(jì)的解決方案。并且，NIDS檢測網(wǎng)絡(luò)包時并不依靠操作系統(tǒng)來提供數(shù)據(jù)，因此有著對操作系統(tǒng)的獨(dú)立性。但NIDS也有一些缺陷，因此也面臨著一些挑戰(zhàn)：</p><p>　　1、單點(diǎn)錯誤問題。目前大多數(shù)的商業(yè)NIDS都采用了一個中央控制部件，它用于管理各個探測器的工作，以及對各個探測器產(chǎn)生的事件信息進(jìn)行相關(guān)分析以此來檢測分布式協(xié)同攻擊。當(dāng)這個中央控制部件由于受到攻擊而癱瘓時，整個NIDS也就隨之失效了。</p

42、><p>　　2、數(shù)據(jù)包的重新裝配問題。不同的網(wǎng)絡(luò)的最大傳輸單元不同，一些大的網(wǎng)絡(luò)包常常被分成小的網(wǎng)絡(luò)包來傳遞。當(dāng)大網(wǎng)絡(luò)包被拆分時，其中的攻擊特征有可能被分拆，NIDS在網(wǎng)絡(luò)層無法檢測到這些特征，而在上層這些拆分的包又會重新裝配起來，造成破壞。</p><p>　　3、數(shù)據(jù)加密問題。隨著VPN,SSH和SSL的應(yīng)用，數(shù)據(jù)加密越來越普遍，傳統(tǒng)的NIDS工作在網(wǎng)絡(luò)層，無法分析上層的加密數(shù)據(jù)，從而也

43、無法檢測到加密后入侵網(wǎng)絡(luò)包。</p><p>　　4、擴(kuò)展性問題。NIDS通過將網(wǎng)卡設(shè)置成混雜模式來被動監(jiān)聽網(wǎng)絡(luò)通訊。這就造成了系統(tǒng)的擴(kuò)展性比較差。例如:當(dāng)為10M 網(wǎng)絡(luò)設(shè)計(jì)的NIDS應(yīng)用到IOO M網(wǎng)絡(luò)中去時就會造成比較高的丟包率，通常需要改變整個系統(tǒng)的結(jié)構(gòu)才能解決問題。</p><p>　　5、交換式網(wǎng)絡(luò)問題。異步傳輸模式網(wǎng)絡(luò)以小的、固定長度的包一一信元傳送信息。53字節(jié)定長的信元與以

44、往的包技術(shù)相比具有一些優(yōu)點(diǎn):短的信元可以快速交換、硬件實(shí)現(xiàn)容易。但是，交換網(wǎng)絡(luò)不能被傳統(tǒng)網(wǎng)絡(luò)偵聽器監(jiān)視，從而無法對數(shù)據(jù)包進(jìn)行分析。</p><p>　　6. NIDS自身安全性問題。所有NIDS的攻擊檢測都是基于被動協(xié)議分析的。這種機(jī)制在根本上有一定的缺陷，易于受到如下三種攻擊：滲透攻擊、欺騙攻擊、拒絕服務(wù)攻擊。</p><p>　　3.1.3混合入侵檢測系統(tǒng)</p><

45、;p>　　網(wǎng)絡(luò)入侵檢測系統(tǒng)能夠檢測來自網(wǎng)絡(luò)的大部分攻擊，但對于來自內(nèi)部的攻擊如合法用戶濫自身權(quán)限的檢測，則主機(jī)入侵檢測系統(tǒng)更勝一籌，一個完備的入侵檢測系統(tǒng)應(yīng)該兩者兼?zhèn)?。因此現(xiàn)代入侵檢測系統(tǒng)多是這兩種系統(tǒng)的融合一分布式入侵檢測系統(tǒng)，它能夠同時分析來自主機(jī)系統(tǒng)審計(jì)日志和網(wǎng)絡(luò)數(shù)據(jù)流的入侵檢測系統(tǒng)，系統(tǒng)由多個部件組成，采用分布式結(jié)構(gòu)。</p><p>　　3.2根據(jù)檢測使用的分析方法分類</p>&l

46、t;p>　　根據(jù)使用的分析方法不同，入侵檢測可以分為兩大類:異常檢測(anomaly detection)和誤用檢測(misuse detection)。異常檢測提取正常模式下審計(jì)數(shù)據(jù)的數(shù)學(xué)特征，檢查事件數(shù)據(jù)中是否存在與之相違背的異常模式。誤用檢測搜索審計(jì)事件數(shù)據(jù)，查看其中是否存在預(yù)先定義好的誤用模式。為了提高準(zhǔn)確性，入侵檢測又引入了數(shù)據(jù)挖掘、人工智能、遺傳算法等技術(shù)。但是，入侵檢測技術(shù)還沒有達(dá)到盡善盡美的程度，該領(lǐng)域的許多問題還

47、有待解決。</p><p><b>　　3.2.1異常檢測</b></p><p>　　異常檢測又稱為基于行為的檢測，它基于這樣的原理，即認(rèn)為入侵是系統(tǒng)中的異常行為。它沒有各種入侵的相關(guān)知識，但是有被檢測系統(tǒng)、用戶乃至應(yīng)用程序正常行為的知識。它為統(tǒng)和用戶建立正常的使用模式，這些模式通常使用一組系統(tǒng)的度量來定義。所謂度量，是指統(tǒng)和用戶行為在特定方面的衡量標(biāo)準(zhǔn)如CPU的占

48、用時間，文件是否被使用，終端的使用等.每一個度量都對應(yīng)于一個門限值或相關(guān)的變動范圍。如果系統(tǒng)和用戶的行為超出了正常范圍，就認(rèn)為發(fā)生了入侵。</p><p>　　異常檢測的一個很大的優(yōu)點(diǎn)是不需要保存各種攻擊特征的數(shù)據(jù)庫，隨著統(tǒng)計(jì)數(shù)據(jù)的增加，檢測的準(zhǔn)確性會越來越高，可能還會檢測到一些未知的攻擊。但由于用戶的行為有很大的不確定性，很難對其行為確定正常范圍，因此門限值的確定也比較困難，出錯的概率比較大時，它只能說明系統(tǒng)發(fā)

49、生了異常的情況，并不能指出系統(tǒng)遭受了什么樣的攻擊，這給系統(tǒng)管理員采取應(yīng)對措施帶來了一定困難。</p><p>　　異常檢測中常用的方法有:量化分析、統(tǒng)計(jì)分析和神經(jīng)網(wǎng)絡(luò)。</p><p><b>　　1、量化分析</b></p><p>　　量化分析是異常檢測中使用最為廣泛的方案，其特點(diǎn)是使用數(shù)字來定義檢測規(guī)則和系統(tǒng)屬性。量化分析通常涉及到一系列

50、的計(jì)算過程，包括從簡單的計(jì)數(shù)到復(fù)雜的加密運(yùn)算，計(jì)算的結(jié)果可以作為異常檢測統(tǒng)計(jì)模型的數(shù)據(jù)基礎(chǔ)。常用的量化分析方法有門限檢測、啟發(fā)式門限檢測和目標(biāo)完整性檢查。</p><p>　　門限檢測的基本思想是使用計(jì)數(shù)器來描述系統(tǒng)和用戶行為的某些屬性，并設(shè)定可以接受的數(shù)值范圍，一旦在檢測過程中發(fā)現(xiàn)系統(tǒng)的實(shí)際屬性超出了設(shè)定的門限值，就認(rèn)為系統(tǒng)出現(xiàn)了異常。門限檢測最經(jīng)典的例子是操作系統(tǒng)設(shè)定的允許登錄失敗的最大次數(shù)。其他可以設(shè)置門限

51、的系統(tǒng)屬性還有:特定類型的網(wǎng)絡(luò)連接數(shù)、試圖訪問文件的次數(shù)、訪問文件或目錄的個數(shù)及所訪問網(wǎng)絡(luò)系統(tǒng)的個數(shù)等。</p><p>　　啟發(fā)式門限檢測是對門限檢測的改進(jìn)，對于包含大量用戶和目標(biāo)環(huán)境的系統(tǒng)來說，可以大幅度地提高檢測的準(zhǔn)確性。舉例來說，傳統(tǒng)的門限設(shè)檢測規(guī)則是:一個小時內(nèi)，如果登錄失敗的次數(shù)大于3次，就認(rèn)為出現(xiàn)異常:而啟發(fā)式門限檢測將這個規(guī)則定義為:登錄失敗的次數(shù)大于一個異常數(shù)，就會發(fā)出警報(bào)。目標(biāo)完整性檢查是對系

52、統(tǒng)中的某些關(guān)鍵對象，檢查其是否受到無意或惡意的更改。通常是使用消息摘要函數(shù)計(jì)算系統(tǒng)對象的密碼校驗(yàn)值，并將計(jì)算得到的值存放在安全的區(qū)域。系統(tǒng)定時地計(jì)算校驗(yàn)值，并與預(yù)先存儲值比較，如果發(fā)現(xiàn)偏差，就發(fā)出警報(bào)信息。</p><p><b>　　2、統(tǒng)計(jì)分析</b></p><p>　　統(tǒng)計(jì)分析是異常檢測最早和常用的技術(shù)，它是利用統(tǒng)計(jì)理論提取用戶或系統(tǒng)正常行為的特征輪廓。統(tǒng)計(jì)性

53、特征輪廓通常由主體特征變量的頻度、均值、方差、被監(jiān)控行為的屬性變量的統(tǒng)計(jì)概率分布以及偏差等統(tǒng)計(jì)量來描述。典型的系統(tǒng)主體特征有:系統(tǒng)的登錄與注銷時間、資源被占用的時間以及處理機(jī)、內(nèi)存和外設(shè)的使用情況等。至于統(tǒng)計(jì)的抽樣周期可以從短到幾分鐘到長達(dá)幾個月甚至更長?；诮y(tǒng)計(jì)性特征輪廓的異常檢測器，通過對系統(tǒng)審計(jì)中的數(shù)據(jù)進(jìn)行統(tǒng)計(jì)處理，并與描述主體行為的統(tǒng)計(jì)性特征輪廓進(jìn)行比較，然后根據(jù)二者的偏差是否超過指定的門限來進(jìn)一步判斷、處理。</p>

54、;<p><b>　　3、神經(jīng)網(wǎng)絡(luò)</b></p><p>　　神經(jīng)網(wǎng)絡(luò)是人工智能里的一項(xiàng)技術(shù)，它是由大量并行的分布式處理單元組成。每個單元都能存儲一定的“知識”，單元之間通過帶有權(quán)值的連接進(jìn)行交互。神經(jīng)網(wǎng)絡(luò)所包含的知識體現(xiàn)在網(wǎng)絡(luò)結(jié)構(gòu)當(dāng)中，學(xué)習(xí)過程也就表現(xiàn)為權(quán)值的改變和連接的增加或刪除。</p><p>　　利用神經(jīng)網(wǎng)絡(luò)檢測入侵包括兩個階段。首先是學(xué)習(xí)階

55、段，這個階段使用代表用戶行為的歷史數(shù)據(jù)進(jìn)行訓(xùn)練，完成神經(jīng)網(wǎng)絡(luò)的構(gòu)建和組裝;接著便進(jìn)入入侵分析階段，網(wǎng)絡(luò)接收輸入的事件數(shù)據(jù)，與參考的歷史行為比較，判斷出兩者的相似度或偏離度。神經(jīng)網(wǎng)絡(luò)使用以下方法來標(biāo)識異常的事件:改變單元的狀態(tài)、改變連接的權(quán)值、添加或刪除連接。同時也具有對所定義的正常模式進(jìn)行逐步修正的功能。</p><p>　　神經(jīng)網(wǎng)絡(luò)有這樣一些優(yōu)點(diǎn): 大量的并行分布式結(jié)構(gòu)、有自學(xué)習(xí)能力，能從周圍的環(huán)境中不斷學(xué)習(xí)新

56、的知識并且能根據(jù)輸入產(chǎn)生合理的輸出。神經(jīng)網(wǎng)絡(luò)上述優(yōu)點(diǎn)使其能處理復(fù)雜的問題，例如對用戶或系統(tǒng)行為的學(xué)習(xí)和分析，這些都符合入侵檢測系統(tǒng)不斷面臨新的情況和新的入侵的現(xiàn)況。但目前神經(jīng)網(wǎng)絡(luò)技術(shù)尚不十分成熟，所以還沒完善的產(chǎn)品。</p><p><b>　　3.2.2誤用檢測</b></p><p>　　誤用檢測又稱為基于知識的檢測或特征檢測，它的基本原理是運(yùn)用己知攻擊方法，根據(jù)

57、己定義好的入侵模式，通過判斷這些入侵模式是否出現(xiàn)來檢測。因?yàn)橛泻艽笠徊糠值娜肭质抢昧讼到y(tǒng)的脆弱性，所以通過分析入侵過程的特征、條件、排列以及事件間的關(guān)系就能具體描述入侵行為的模式。這種方法由于依據(jù)具體特征庫進(jìn)行判斷，所以檢測準(zhǔn)確度很高，并且因?yàn)闄z測結(jié)果有明確的參照，也為系統(tǒng)管理員做出相應(yīng)措施提供了方便。主要缺陷在于對具體系統(tǒng)的依賴性太強(qiáng)，不但系統(tǒng)移植性不好，維護(hù)工作量大，而且將具體入侵手段抽象成知識也很困難。另外，檢測范圍受已知知識的

58、局限，尤其是難以檢測出內(nèi)部人員的入侵行為，如合法用戶的泄漏，因?yàn)檫@類入侵行為并沒有利用系統(tǒng)脆弱性。</p><p>　　誤用檢測主要有以下主要方法:</p><p><b>　　1、模式匹配</b></p><p>　　模式匹配是最為通用的誤用檢測技術(shù)，其特點(diǎn)是原理簡單、擴(kuò)展基于移動Agent技術(shù)的IDS研究性好、檢測效率高、能做到實(shí)時的檢測，

59、其缺點(diǎn)是只能適用于比較簡單的攻擊方式，且誤報(bào)率高。但由于采用誤用檢測技術(shù)的IDS在系統(tǒng)的實(shí)現(xiàn)、配置和維護(hù)方面都非常方便，因此得到了廣泛的應(yīng)用，如著名的開放源碼的Snort就采用了這種檢測手段。</p><p><b>　　2、專家系統(tǒng)</b></p><p>　　專家系統(tǒng)是最早的誤用檢測方法之一，被許多經(jīng)典的檢測模型所采用，如IDES, NIDES, DIDS和CMD

60、S等。它首先使用類似于if-then的規(guī)則格式輸入已有的知識，然后輸入檢測數(shù)據(jù)，系統(tǒng)根據(jù)知識庫中的內(nèi)容對檢測數(shù)據(jù)進(jìn)行評估，判斷是否存在入侵行為模式。專家系統(tǒng)的優(yōu)點(diǎn)在于把系統(tǒng)的推理控制過程和問題最終解答相分離，即用戶不需要理解或千預(yù)專家系統(tǒng)內(nèi)部的推理過程，而只須把專家系統(tǒng)看作一個自治的黑盒子。但是，這里黑盒子的生成是一件困難的事情，用戶必須把決策引擎和檢測規(guī)則以硬編碼的方式嵌入系統(tǒng)。使用基于規(guī)則語言的專家系統(tǒng)具有局限性:處理海量數(shù)據(jù)時效率

61、低、缺乏處理序列數(shù)據(jù)的能力、無法處理判斷的不確定性、維護(hù)規(guī)則庫很困難等。</p><p>　　狀態(tài)轉(zhuǎn)移將入侵過程看作一個狀態(tài)變遷序列，導(dǎo)致系統(tǒng)從初始的安全狀態(tài)轉(zhuǎn)變到被危害狀態(tài)。狀態(tài)變遷圖或入侵活動的圖形表示，用來準(zhǔn)確地識別發(fā)生下一事件的條件，圖中只包括為成功實(shí)現(xiàn)入侵所必須發(fā)生的關(guān)鍵事件。根據(jù)系統(tǒng)審計(jì)記錄中包含的信息，可研制分析工具，對用戶活動的狀態(tài)變化和己知入侵的狀態(tài)變遷圖加以比較。由于系統(tǒng)的靈活性和處理速度的優(yōu)

62、勢，狀態(tài)轉(zhuǎn)移法已經(jīng)成為當(dāng)今最具競爭力的入侵檢測模式之一。目前，實(shí)現(xiàn)基于狀態(tài)轉(zhuǎn)移的入侵檢測可以使用以下兩種方法:狀態(tài)轉(zhuǎn)移分析、著色Petri網(wǎng)。狀態(tài)轉(zhuǎn)移分析是通過檢測攻擊行為所引起的系統(tǒng)狀態(tài)的變化來發(fā)現(xiàn)入侵的，而著色Petri網(wǎng)則是通過對攻擊行為本身的特征進(jìn)行模式匹配來檢測入侵的。</p><p>　　① 狀態(tài)轉(zhuǎn)移分析(State Transition Analysis)</p><p>　

63、　基于移動Agent技術(shù)的IDS研究</p><p>　　狀態(tài)轉(zhuǎn)移分析是使用狀態(tài)轉(zhuǎn)移圖來表示和檢測己知攻擊模式的誤用檢測技術(shù)。NetSTATIt4I系統(tǒng)采用了這種技術(shù)。</p><p>　　狀態(tài)轉(zhuǎn)移分析使用有限狀態(tài)機(jī)模型來表示入侵過程。入侵過程是由一系列導(dǎo)致系統(tǒng)從初始狀態(tài)轉(zhuǎn)移到入侵狀態(tài)的行為組成。初始狀態(tài)表示在入侵發(fā)生之前的系統(tǒng)狀態(tài)，入侵狀態(tài)則表示入侵完成后系統(tǒng)所處的狀態(tài)。系統(tǒng)狀態(tài)通常使用

64、系統(tǒng)屬性或用戶權(quán)限來描述。用戶的行為和動作會導(dǎo)致系統(tǒng)狀態(tài)的改變，當(dāng)系統(tǒng)狀態(tài)由正常狀態(tài)改變?yōu)槿肭譅顟B(tài)時，即認(rèn)為發(fā)生了入侵。</p><p>　?、?著色Petri網(wǎng)</p><p>　　另一種采用狀態(tài)轉(zhuǎn)移技術(shù)來優(yōu)化誤用檢測的方法是由Purdue University的Sandeep Kumar和Gene Spafford設(shè)計(jì)的著色Petri網(wǎng)(C P-Net)。</p><

65、;p>　　這種方法將入侵表示成一個著色的Petri網(wǎng)，特征匹配過程由標(biāo)記(to ken)的動作構(gòu)成。標(biāo)記在審計(jì)記錄的驅(qū)動下，從初始狀態(tài)向最終狀態(tài)(標(biāo)識入侵發(fā)生的狀態(tài))逐步前進(jìn)。處于各個狀態(tài)時，標(biāo)記的顏色用來表示事件所處的系統(tǒng)環(huán)境。當(dāng)標(biāo)記出現(xiàn)某種特定的顏色時，預(yù)示著目前的系統(tǒng)環(huán)境滿足了特征匹配的條件，此時就可以采取相應(yīng)的響應(yīng)動作。</p><p><b>　　4、協(xié)議分析</b><

66、/p><p>　　傳統(tǒng)的模式匹配方法的根本問題在于它把網(wǎng)絡(luò)數(shù)據(jù)包看作是無序的隨意的字節(jié)流。它對該網(wǎng)絡(luò)數(shù)據(jù)包的內(nèi)部結(jié)構(gòu)完全不了解，對于網(wǎng)絡(luò)中傳輸?shù)膱D像或音頻流同樣進(jìn)行匹配。可是網(wǎng)絡(luò)通信協(xié)議是一個高度格式化的、具有明確含義和取值的數(shù)據(jù)流，如果將協(xié)議分析和模式匹配方法結(jié)合起來，可以獲得更好的效率、更精確的結(jié)果。協(xié)議分析方法的優(yōu)點(diǎn)是計(jì)算量少、誤報(bào)率低、利用資源少；缺點(diǎn)是開發(fā)周期長、實(shí)現(xiàn)復(fù)雜、如果RFCs不太明確，允許開發(fā)商判

67、斷、分析和實(shí)現(xiàn)，則不同開發(fā)商的不同產(chǎn)品可能在結(jié)構(gòu)上有所不同，從而會導(dǎo)致比較高的誤報(bào)率。</p><p>　　第四章 入侵檢測技術(shù)的發(fā)展</p><p>　　隨著計(jì)算機(jī)網(wǎng)絡(luò)的飛速發(fā)展，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)系數(shù)不斷提高，曾經(jīng)作為最主要安全防范手段的防火墻，已經(jīng)不能滿足人們對網(wǎng)絡(luò)安全的需求。作為對防火墻有益的補(bǔ)充，IDS（入侵檢測系統(tǒng)）能夠幫助網(wǎng)絡(luò)系統(tǒng)快速發(fā)現(xiàn)網(wǎng)絡(luò)攻擊的發(fā)生，擴(kuò)展了系統(tǒng)管理員的安全管理

68、能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。IDS被認(rèn)為是防火墻之后的第二道安全閘門，它能在不影響網(wǎng)絡(luò)性能的情況下對網(wǎng)絡(luò)進(jìn)行監(jiān)聽，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時保護(hù)。</p><p>　　IDS作為網(wǎng)絡(luò)安全架構(gòu)中的重要一環(huán)，其重要地位有目共睹。隨著技術(shù)的不斷完善和更新，IDS正呈現(xiàn)出新的發(fā)展態(tài)勢，IPS（入侵防御系統(tǒng)）和IMS（入侵管理系統(tǒng)）就是在IDS的基礎(chǔ)上發(fā)展起來

69、的新技術(shù)。</p><p>　　4.1網(wǎng)絡(luò)入侵檢測技術(shù)的發(fā)展過程 </p><p>　　網(wǎng)絡(luò)入侵檢測技術(shù)發(fā)展到現(xiàn)在大致經(jīng)歷了三個階段：</p><p>　　第一階段：入侵檢測系統(tǒng)（IDS），IDS能夠幫助網(wǎng)絡(luò)系統(tǒng)快速發(fā)現(xiàn)網(wǎng)絡(luò)攻擊的發(fā)生，擴(kuò)展了系統(tǒng)管理員的安全管理能力（包括安全審計(jì)、監(jiān)視、進(jìn)攻識別和響應(yīng)），提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它能在不影響網(wǎng)絡(luò)性能的情況下對

70、網(wǎng)絡(luò)進(jìn)行監(jiān)聽，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時保護(hù)。但是IDS只能被動地檢測攻擊，而不能主動地把變化莫測的威脅阻止在網(wǎng)絡(luò)之外。</p><p>　　第二階段：入侵防御系統(tǒng)（IPS），相對與IDS比較成熟的技術(shù)，IPS還處于發(fā)展階段，IPS綜合了防火墻、IDS、漏洞掃描與評估等安全技術(shù)，可以主動的、積極的防范、阻止系統(tǒng)入侵，它部署在網(wǎng)絡(luò)的進(jìn)出口處，當(dāng)它檢測到攻擊企圖后，它會自動地將攻擊包丟掉或采取措施將攻

71、擊源阻斷，這樣攻擊包將無法到達(dá)目標(biāo)，從而可以從根本上避免攻擊。</p><p>　　第三階段：入侵管理系統(tǒng)（IMS），IMS技術(shù)實(shí)際上包含了IDS、IPS的功能，并通過一個統(tǒng)一的平臺進(jìn)行統(tǒng)一管理，從系統(tǒng)的層次來解決入侵行為。</p><p>　　4.2 IPS研究與分析 </p><p>　　IPS是針對IDS的不足而提出的，因此從概念上就優(yōu)于IDS。IPS相對與I

72、DS的進(jìn)步具體體現(xiàn)在：</p><p>　?。?）在IDS阻斷功能的基礎(chǔ)上增加了必要的防御功能，以減輕檢測系統(tǒng)的壓力；</p><p>　　（2）增加了更多的管理功能，如處理大量信息和可疑事件，確認(rèn)攻擊行為，組織防御措施等；</p><p>　?。?）在IDS監(jiān)測的功能上增加了主動響應(yīng)的功能，一旦發(fā)現(xiàn)有攻擊行為，立即響應(yīng)，主動切斷連接；</p><

73、;p>　?。?）IPS以串聯(lián)的方式取代IDS的并聯(lián)方式接入網(wǎng)絡(luò)中，通過直接嵌入到網(wǎng)絡(luò)流量中提供主動防護(hù)，預(yù)先對入侵活動和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截。</p><p>　　4.2.1 IPS關(guān)鍵技術(shù)研究 </p><p>　　IPS通常由探測器和管理器組成。探測器包括流量分析器、檢測引擎、響應(yīng)模塊、流量調(diào)整器等主要部件，如圖1所示：</p><p>　　圖 4-1

74、 探測器組成</p><p>　　由于IPS采用串連工作方式，流量分析器需要完成三個基本的功能：</p><p>　　（1）截獲網(wǎng)絡(luò)數(shù)據(jù)包并處理異常情況。異常數(shù)據(jù)包不一定是惡意攻擊，但通過合適的方式處理掉，就可以為檢測引擎省去一些不必要的處理工作。例如，流量分析器丟棄校驗(yàn)和出錯的數(shù)據(jù)包，以后檢測引擎就不必要處理這樣的壞包。</p><p>　　（2）剔除基于數(shù)據(jù)包異

75、常的規(guī)避攻擊。例如，分析器可以根據(jù)它對目標(biāo)系統(tǒng)的了解，進(jìn)行數(shù)據(jù)包的分片重組，還可以處理協(xié)議分析或校正異常等，從而識別規(guī)避攻擊。</p><p>　?。?）執(zhí)行類似防火墻的訪問控制，根據(jù)端口號IP地址阻斷非法數(shù)據(jù)流。</p><p>　　檢測引擎是IPS中最有價值的部分，一般都基于異常檢測模型和濫用檢測模型，識別不同屬性的攻擊。IPS存在的最大隱患是有可能引發(fā)誤操作，這種“主動性”誤操作會阻

76、塞合法的網(wǎng)絡(luò)事件，造成數(shù)據(jù)丟失，最終影響到商務(wù)操作和客戶信任度。為避免發(fā)生這種情況，IPS中采用了多種檢測方法，最大限度地正確判斷已知和未知攻擊。有些IPS檢測引擎的模塊則已細(xì)化到針對緩沖區(qū)溢出、DDoS/DoS、網(wǎng)絡(luò)蠕蟲的檢測。</p><p>　　響應(yīng)模塊需要根據(jù)不同的攻擊類型制定不同的響應(yīng)策略，如丟棄數(shù)據(jù)包、中止會話、修改防火墻規(guī)則、報(bào)警、日志等。</p><p>　　流量調(diào)整器主要

77、完成兩個功能：數(shù)據(jù)包分類和流量管理。目前，大部分IPS根據(jù)協(xié)議進(jìn)行數(shù)據(jù)包分類，未來將提供具體到根據(jù)用戶或應(yīng)用程序進(jìn)行數(shù)據(jù)包分流的功能，通過對數(shù)據(jù)包設(shè)置不同的優(yōu)先級，優(yōu)化數(shù)據(jù)流的處理。</p><p>　　當(dāng)新的攻擊手段被發(fā)現(xiàn)之后，IPS就會創(chuàng)建一個新的過濾器。IPS數(shù)據(jù)包處理引擎是專業(yè)化定制的集成電路，可以深層檢查數(shù)據(jù)包的內(nèi)容。如果有攻擊者利用Layer 2 （介質(zhì)訪問控制層）至Layer 7（應(yīng)用層）的漏洞發(fā)起

78、攻擊，IPS能夠從數(shù)據(jù)流中檢查出這些攻擊并加以阻止。IPS可以做到逐一字節(jié)地檢查數(shù)據(jù)包。所有流經(jīng)IPS的數(shù)據(jù)包都被分類，分類的依據(jù)是數(shù)據(jù)包中的報(bào)頭信息，如源IP地址和目的IP地址、端口號和應(yīng)用域。每種過濾器負(fù)責(zé)分析相對應(yīng)的數(shù)據(jù)包。通過檢查的數(shù)據(jù)包可以繼續(xù)前進(jìn)，而包含惡意內(nèi)容的數(shù)據(jù)包就會被丟棄，被懷疑的數(shù)據(jù)包需要接受進(jìn)一步的檢查。針對不同的攻擊行為，IPS需要不同的過濾器。每種過濾器都設(shè)有相應(yīng)的過濾規(guī)則，為了確保準(zhǔn)確性，這些規(guī)則的定義非常

79、廣泛。在對傳輸內(nèi)容進(jìn)行分類時，過濾引擎還需要參照數(shù)據(jù)包的信息參數(shù)，并將其解析至一個有意義的域中進(jìn)行上下文分析，以提高過濾準(zhǔn)確性。</p><p>　　4.2.2 IPS的優(yōu)勢與局限性 </p><p>　　IPS是針對IDS不能提供主動拒絕的特點(diǎn)而提出的一種新的安全技術(shù)，主要具有以下優(yōu)點(diǎn)：</p><p>　?。?）主動、實(shí)時預(yù)防攻擊。IPS提供對攻擊的實(shí)時預(yù)防和分

80、析，能夠在任何未授權(quán)活動開始前找出攻擊，并防止它進(jìn)入重要的服務(wù)器資源。</p><p>　?。?）保護(hù)每個重要的服務(wù)器。通過配置IPS，可以設(shè)定對服務(wù)器的專門保護(hù)方案，從而為企業(yè)的重要的資源提供深層防護(hù)。</p><p>　　（3）誤報(bào)和漏報(bào)率低。雖然仍然無法做到完全不誤報(bào)漏報(bào)，但是相對于IDS已經(jīng)提高了一大步。 </p><p>　?。?）深層防護(hù)。IPS可進(jìn)行深

81、層防護(hù)。</p><p>　?。?）可管理性。IPS可使安全設(shè)置和政策被各種應(yīng)用程序、用戶組和代理程序利用。</p><p>　　雖然IPS相對與IDS的優(yōu)勢明顯，但是它與IDS一樣，需要解決網(wǎng)絡(luò)性能、安全精確度和安全效率問題。首先，IPS系統(tǒng)需要考慮性能，即需要考慮發(fā)現(xiàn)入侵和作出響應(yīng)的時間。IPS設(shè)備以在線方式直接部署在網(wǎng)絡(luò)中，無疑會給網(wǎng)絡(luò)增加負(fù)荷，給數(shù)據(jù)傳輸帶來延時。為避免成為瓶頸，I

82、PS系統(tǒng)必須具有線速處理數(shù)據(jù)的能力，能夠提供與2層或者3層交換機(jī)相同的速度，而這一點(diǎn)取決于IPS的軟件和硬件加速裝置。除了網(wǎng)絡(luò)性能之外，IPS還需要考慮安全性，盡可能多得過濾掉惡意攻擊，這就使IPS同樣面臨誤報(bào)和漏報(bào)問題。在提高準(zhǔn)確性方面，IPS面臨的壓力更大。一旦IPS做出錯誤判斷，IPS就會放過真正的攻擊而阻斷合法的事務(wù)處理，從而造成損失。另外IPS還存在一些其它的弊端：IPS比較適合于阻止大范圍的、針對性不是很強(qiáng)的攻擊，但對單獨(dú)目

83、標(biāo)的攻擊阻截有可能失效，自動預(yù)防系統(tǒng)也無法阻止專門的惡意攻擊者的操作；IPS還不具備足夠智能識別所有對數(shù)據(jù)庫應(yīng)用的攻擊。</p><p>　　4.3網(wǎng)絡(luò)安全的發(fā)展方向——IMS </p><p>　　IMS技術(shù)實(shí)際上包含了IDS、IPS的功能，并通過一個統(tǒng)一的平臺進(jìn)行統(tǒng)一管理，從系統(tǒng)的層次來解決入侵行為。IMS技術(shù)是一個過程，在行為未發(fā)生前要考慮網(wǎng)絡(luò)中有什么漏洞，判斷有可能會形成什么攻擊行

84、為和面臨的入侵危險(xiǎn)；在行為發(fā)生時或即將發(fā)生時，不僅要檢測出入侵行為，還要主動阻斷，終止入侵行為；在入侵行為發(fā)生后，還要深層次分析入侵行為，通過關(guān)聯(lián)分析，來判斷是否還會出現(xiàn)下一個攻擊行為。</p><p>　　IMS具有大規(guī)模部署、入侵預(yù)警、精確定位以及監(jiān)管結(jié)合四大典型特，這些特征本身具有一個明確的層次關(guān)系。首先，大規(guī)模部署是實(shí)施入侵管理的基礎(chǔ)條件，一個有組織的完整系統(tǒng)通過規(guī)模部署的作用，要遠(yuǎn)遠(yuǎn)大于單點(diǎn)系統(tǒng)簡單的疊

85、加，IMS對于網(wǎng)絡(luò)安全監(jiān)控有著同樣的效用，可以實(shí)現(xiàn)從宏觀的安全趨勢分析到微觀的事件控制。第二、入侵預(yù)警。檢測和預(yù)警的最終目標(biāo)就是一個“快”，要和攻擊者比時間。只有減小這個時間差，才能使損失降低到最小。要實(shí)現(xiàn)這個“快”字，入侵預(yù)警必須具有全面的檢測途徑，并以先進(jìn)的檢測技術(shù)來實(shí)現(xiàn)高準(zhǔn)確和高性能。入侵預(yù)警是IMS進(jìn)行規(guī)模部署后的直接作用，也是升華IMS的一個非常重要的功能。第三、精確定位。入侵預(yù)警之后就需要進(jìn)行精確定位，這是從發(fā)現(xiàn)問題到解決問

86、題的必然途徑。精確定位的可視化可以幫助管理人員及時定位問題區(qū)域，良好的定位還可以通過聯(lián)運(yùn)接口和其它安全設(shè)備進(jìn)行合作抑制攻擊的繼續(xù)。IMS要求做到對外定位到邊界，對內(nèi)定位到設(shè)備。第四、監(jiān)管結(jié)合。監(jiān)管結(jié)合就是把檢測提升到管理，形成自改善的全面保障體系。</p><p>　　網(wǎng)絡(luò)安全防護(hù)技術(shù)發(fā)展到IMS階段，已經(jīng)不再局限于某類簡單的產(chǎn)品了，它是一個網(wǎng)絡(luò)整體動態(tài)防御的體系，對于入侵行為的管理體現(xiàn)在檢測、防御、協(xié)調(diào)、管理等

87、各個方面，通過技術(shù)整合，可以實(shí)現(xiàn)“可視+可控+可管”，形成綜合的入侵管理系統(tǒng)。它的分析技術(shù)將以協(xié)議分析為核心，以模式匹配為必備，以異常檢測為補(bǔ)充。要求不僅僅對于入侵檢測的數(shù)學(xué)模型、數(shù)據(jù)挖掘了如指掌,更重要的對于數(shù)據(jù)理解、數(shù)據(jù)認(rèn)知等方面也必須深入發(fā)展。圖3分析了入侵管理的過程：</p><p>　　圖4-3 IMS入侵管理過程</p><p>　　網(wǎng)絡(luò)安全不是目標(biāo)而是過程，網(wǎng)絡(luò)安全的本質(zhì)是

88、“風(fēng)險(xiǎn)管理”。“入侵管理（IMS）”概念的提出與相應(yīng)的產(chǎn)品與服務(wù)出現(xiàn)，則可以幫助用戶建立一個動態(tài)的縱深防御體系，把握整體網(wǎng)絡(luò)安全全局。</p><p><b>　　4.4 技術(shù)展望 </b></p><p>　　從IPS到IMS，增加了管理的概念，這也正是網(wǎng)絡(luò)安全的發(fā)展方向。在這個網(wǎng)絡(luò)安全問題越來越嚴(yán)重的社會，網(wǎng)絡(luò)安全需要多層次系統(tǒng)的管理，網(wǎng)絡(luò)安全的目標(biāo)是保護(hù)核心資產(chǎn)

89、完整性，將可能發(fā)生的損失減到最小，投資回報(bào)率最大化，確保業(yè)務(wù)的連續(xù)運(yùn)行?，F(xiàn)在所說的安全已經(jīng)不是單獨(dú)一個產(chǎn)品所能解決的問題，需要多種安全工具的協(xié)同合作，IMS概念的提出與相應(yīng)產(chǎn)品及服務(wù)的出現(xiàn)，可以幫助用戶建立一個動態(tài)的縱深防御體系，從整體上把握網(wǎng)絡(luò)安全。</p><p><b>　　結(jié) 論</b></p><p>　　在網(wǎng)絡(luò)安全方面，國內(nèi)的用戶對防火墻已經(jīng)有了很高

90、的認(rèn)知程度，而對入侵檢測系統(tǒng)的作用大多不是非常了解。防火墻在網(wǎng)絡(luò)安全中起到大門警衛(wèi)的作用，對進(jìn)出的數(shù)據(jù)依照預(yù)先設(shè)定的規(guī)則進(jìn)行匹配，符合規(guī)則的就予以放行，起訪問控制的作用，是網(wǎng)絡(luò)安全的第一道閘門。優(yōu)秀的防火墻甚至對高層的應(yīng)用協(xié)議進(jìn)行動態(tài)分析，保護(hù)進(jìn)出數(shù)據(jù)應(yīng)用層的安全。但防火墻的功能也有局限性。防火墻只能對進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)進(jìn)行分析，對網(wǎng)絡(luò)內(nèi)部發(fā)生的事件完全無能為力。 </p><p>　　同時 , 由于防火墻處于網(wǎng)關(guān)的

91、位置，不可能對進(jìn)出攻擊作太多判斷，否則會嚴(yán)重影響網(wǎng)絡(luò)性能．如果把放火防火墻比作大門警衛(wèi)的話，入侵檢測就是網(wǎng)絡(luò)中不間斷的攝像機(jī)，入侵檢測通過旁路監(jiān)聽的方式不間斷的收取網(wǎng)絡(luò)數(shù)據(jù)，對網(wǎng)絡(luò)的運(yùn)行和性能無任何影響，同時判斷其中是否含有攻擊的企圖，通過各種手段向管理員報(bào)警。不但可以發(fā)現(xiàn)從外部的攻擊，也可以發(fā)現(xiàn)內(nèi)部的惡意行為。所以說入侵檢測是網(wǎng)絡(luò)安全的第二道閘門，是防火墻的必要補(bǔ)充，構(gòu)成完整的網(wǎng)絡(luò)安全解決方案。 </p><p&g

92、t;<b>　　參考文獻(xiàn)</b></p><p>　　1.[美]Chris Brenton，Cameron Hunt.網(wǎng)絡(luò)安全積極防御從入門到精通.北京：電子工業(yè)出版社,2004 .</p><p>　　2.宋獻(xiàn)濤，紀(jì)勇.網(wǎng)絡(luò)防護(hù)：網(wǎng)絡(luò)防護(hù)：從IDS到IPS.計(jì)算機(jī)安全,2003.11.</p><p>　　3.李學(xué)勇，屠全良.網(wǎng)絡(luò)入侵防御系統(tǒng)

93、介紹.太原大學(xué)學(xué)報(bào)，2003.9</p><p>　　4.劉恒.網(wǎng)絡(luò)呼喚IMS.計(jì)算機(jī)安全,2003.12.03：24~25.</p><p>　　5.入侵檢測技術(shù) 機(jī)械工業(yè)出版社 / 2004-4-1 / 薛靜鋒等 編著</p><p>　　6.蔣建春，馮登國.網(wǎng)絡(luò)入侵檢測技術(shù)原理與技術(shù).北京：國防工業(yè)出版社，2001.7</p><p&g

94、t;　　7.戴連英，連一峰，王航.系統(tǒng)安全與入侵檢測技術(shù).北京：清華大學(xué)出2002.3</p><p>　　8.吳焱等譯，入侵者檢測技術(shù).北京:電子工業(yè)出版社,1999</p><p><b>　　致 謝</b></p><p>　　短暫而美好的大學(xué)生活即將過去，在此感謝兩年以來給我?guī)椭乃欣蠋?、同學(xué)，你們對我的幫助和關(guān)懷是我這兩年的最