導(dǎo)言：作為寫(xiě)作愛(ài)好者，不可錯(cuò)過(guò)為您精心挑選的10篇入侵檢測(cè)論文，它們將為您的寫(xiě)作提供全新的視角，我們衷心期待您的閱讀，并希望這些內(nèi)容能為您提供靈感和參考。

篇1

Abstract:Alongwiththefastcomputerdevelopmentandtheuniversalapplicationofthenetworktechnology,alongwithinformationtimescomingupon,Informationisattractingtheworld’sattentionandemployedasakindofimportantresources.Internetisaveryactivelydevelopedfield.Becauseitmaybeillegallyattackedbyhackers,Itisverynecessaryfordata’sprotection,deliveryandprotectionagainstvariousaccidents,intentionalorwantdestroyunderanycondition.FirewallisthefirstconsiderationwhenplanhowtoprotectyourlocalareanetworkagainstendangersbroughtbyInternetattack.Thecorecontentoffirewalltechnologyistoconstructarelativelysafeenvironmentofsubnetinthenot-so-safenetworkenvironment.Thispaperintroducesthebasicconceptionandsystemstructureoffire-walltechnologyandalsodiscussestwomaintechnologymeanstorealizefire-wall:Oneisbasedonpacketfiltering,whichistorealizefire-wallfunctionthroughScreeningRouter;andtheotherisProxyandthetypicalrepresentationisthegatewayonapplicationlevel.....

第一章緒論

§1.1概述

隨著以Internet為代表的全球信息化浪潮的來(lái)臨，信息網(wǎng)絡(luò)技術(shù)的應(yīng)用正日益廣泛，應(yīng)用層次正在深入，應(yīng)用領(lǐng)域也從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展，其中以黨政系統(tǒng)、大中院校網(wǎng)絡(luò)系統(tǒng)、銀行系統(tǒng)、商業(yè)系統(tǒng)、管理部門(mén)、政府或軍事領(lǐng)域等為典型。伴隨網(wǎng)絡(luò)的普及，公共通信網(wǎng)絡(luò)傳輸中的數(shù)據(jù)安全問(wèn)題日益成為關(guān)注的焦點(diǎn)。一方面，網(wǎng)絡(luò)化的信息系統(tǒng)提供了資源的共享性、用戶(hù)使用的方便性，通過(guò)分布式處理提高了系統(tǒng)效率和可靠性，并且還具備可擴(kuò)充性。另一方面，也正是由于具有這些特點(diǎn)增加了網(wǎng)絡(luò)信息系統(tǒng)的不安全性。

開(kāi)放性的網(wǎng)絡(luò)，導(dǎo)致網(wǎng)絡(luò)所面臨的破壞和攻擊可能是多方面的，例如:可能來(lái)自物理傳輸線路的攻擊，也可以對(duì)網(wǎng)絡(luò)通信協(xié)議和實(shí)現(xiàn)實(shí)施攻擊，可以是對(duì)軟件實(shí)施攻擊，也可以對(duì)硬件實(shí)施攻擊。國(guó)際性的網(wǎng)絡(luò)，意味著網(wǎng)絡(luò)的攻擊不僅僅來(lái)自本地網(wǎng)絡(luò)的用戶(hù)，也可以來(lái)自linternet上的任何一臺(tái)機(jī)器，也就是說(shuō)，網(wǎng)絡(luò)安全所面臨的是一個(gè)國(guó)際化的挑戰(zhàn)。開(kāi)放的、國(guó)際化的Internet的發(fā)展給政府機(jī)構(gòu)、企事業(yè)單位的工作帶來(lái)了革命性的變革和開(kāi)放，使得他們能夠利用Internet提高辦事效率、市場(chǎng)反應(yīng)能力和競(jìng)爭(zhēng)力。通過(guò)Internet，他們可以從異地取回重要數(shù)據(jù)，同時(shí)也面臨Internet開(kāi)放所帶來(lái)的數(shù)據(jù)安全的挑戰(zhàn)與危險(xiǎn)。如何保護(hù)企業(yè)的機(jī)密信息不受黑客和工業(yè)間諜的入侵，己成為政府機(jī)構(gòu)、企事業(yè)單位信息化建設(shè)健康發(fā)展所要考慮的重要因素之一。廣泛分布的企業(yè)內(nèi)部網(wǎng)絡(luò)由公共網(wǎng)絡(luò)互聯(lián)起來(lái)，這種互聯(lián)方式面臨多種安全威脅，極易受到外界的攻擊，導(dǎo)致對(duì)網(wǎng)絡(luò)的非法訪問(wèn)和信息泄露。防火墻是安全防范的最有效也是最基本的手段之一。

雖然國(guó)內(nèi)己有許多成熟的防火墻及其他相關(guān)安全產(chǎn)品，并且這些產(chǎn)品早已打入市場(chǎng)，但是對(duì)于安全產(chǎn)品來(lái)說(shuō)，要想進(jìn)入我軍部隊(duì)。我們必須自己掌握安全測(cè)試技術(shù)，使進(jìn)入部隊(duì)的安全產(chǎn)品不出現(xiàn)問(wèn)題，所以對(duì)網(wǎng)絡(luò)安全測(cè)試的研究非常重要，具有深遠(yuǎn)的意義。

§1.2本文主要工作

了解防火墻的原理、架構(gòu)、技術(shù)實(shí)現(xiàn)

了解防火墻的部署和使用配置

熟悉防火墻測(cè)試的相關(guān)標(biāo)準(zhǔn)

掌握防火墻產(chǎn)品的功能、性能、安全性和可用性的測(cè)試方法

掌握入侵檢測(cè)與VPN的概念及相關(guān)測(cè)試方法

第二章防火墻的原理、架構(gòu)、技術(shù)實(shí)現(xiàn)

§2.1什么是防火墻？

防火墻是指設(shè)置在不同網(wǎng)絡(luò)（如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng)）或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測(cè)）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。

§2.2防火墻的原理

隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大和開(kāi)放性的增強(qiáng)，網(wǎng)絡(luò)上的很多敏感信息和保密數(shù)據(jù)將受到很多主動(dòng)和被動(dòng)的人為攻擊。一種解決辦法是為需要保護(hù)的網(wǎng)絡(luò)上的每個(gè)工作站和服務(wù)器裝備上強(qiáng)大的安全特征(例如入侵檢測(cè))，但這幾乎是一種不切合實(shí)際的方法，因?yàn)閷?duì)具有幾百個(gè)甚至上千個(gè)節(jié)點(diǎn)的網(wǎng)絡(luò)，它們可能運(yùn)行著不同的操作系統(tǒng)，當(dāng)發(fā)現(xiàn)了安全缺陷時(shí)，每個(gè)可能被影響的節(jié)點(diǎn)都必須加以改進(jìn)以修復(fù)這個(gè)缺陷。另一種選擇就是防火墻(Firewall)，防火墻是用來(lái)在安全私有網(wǎng)絡(luò)(可信任網(wǎng)絡(luò))和外部不可信任網(wǎng)絡(luò)之間安全連接的一個(gè)設(shè)備或一組設(shè)備，作為私有網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間連接的單點(diǎn)存在。防火墻是設(shè)置在可信任的內(nèi)部網(wǎng)絡(luò)和不可信任的外部網(wǎng)絡(luò)之間的一道屏障，它可以實(shí)施比較廣泛的安全策略來(lái)控制信息流，防止不可預(yù)料的潛在的入侵破壞.DMZ外網(wǎng)和內(nèi)部局域網(wǎng)的防火墻系統(tǒng)。

§2.3防火墻的架構(gòu)

防火墻產(chǎn)品的三代體系架構(gòu)主要為：

第一代架構(gòu)：主要是以單一cpu作為整個(gè)系統(tǒng)業(yè)務(wù)和管理的核心，cpu有x86、powerpc、mips等多類(lèi)型，產(chǎn)品主要表現(xiàn)形式是pc機(jī)、工控機(jī)、pc-box或risc-box等；

第二代架構(gòu)：以np或asic作為業(yè)務(wù)處理的主要核心，對(duì)一般安全業(yè)務(wù)進(jìn)行加速，嵌入式cpu為管理核心，產(chǎn)品主要表現(xiàn)形式為box等；

第三代架構(gòu)：iss（integratedsecuritysystem）集成安全體系架構(gòu)，以高速安全處理芯片作為業(yè)務(wù)處理的主要核心，采用高性能cpu發(fā)揮多種安全業(yè)務(wù)的高層應(yīng)用，產(chǎn)品主要表現(xiàn)形式為基于電信級(jí)的高可靠、背板交換式的機(jī)架式設(shè)備，容量大性能高，各單元及系統(tǒng)更為靈活。

§2.4防火墻的技術(shù)實(shí)現(xiàn)

從Windows軟件防火墻的誕生開(kāi)始，這種安全防護(hù)產(chǎn)品就在跟隨著不斷深入的黑客病毒與反黑反毒之爭(zhēng)，不斷的進(jìn)化與升級(jí)。從最早期的只能分析來(lái)源地址，端口號(hào)以及未經(jīng)處理的報(bào)文原文的封包過(guò)濾防火墻，后來(lái)出現(xiàn)了能對(duì)不同的應(yīng)用程序設(shè)置不同的訪問(wèn)網(wǎng)絡(luò)權(quán)限的技術(shù)；近年來(lái)由ZoneAlarm等國(guó)外知名品牌牽頭，還開(kāi)始流行了具有未知攻擊攔截能力的智能行為監(jiān)控防火墻；最后，由于近來(lái)垃圾插件和流氓軟件的盛行，很多防火墻都在考慮給自己加上攔截流氓軟件的功能。綜上，Windows軟件防火墻從開(kāi)始的時(shí)候單純的一個(gè)截包丟包，堵截IP和端口的工具，發(fā)展到了今天功能強(qiáng)大的整體性的安全套件。

第三章防火墻的部署和使用配置

§3.1防火墻的部署

雖然監(jiān)測(cè)型防火墻安全性上已超越了包過(guò)濾型和服務(wù)器型防火墻，但由于監(jiān)測(cè)型防火墻技術(shù)的實(shí)現(xiàn)成本較高，也不易管理，所以目前在實(shí)用中的防火墻產(chǎn)品仍然以第二代型產(chǎn)品為主，但在某些方面也已經(jīng)開(kāi)始使用監(jiān)測(cè)型防火墻。基于對(duì)系統(tǒng)成本與安全技術(shù)成本的綜合考慮，用戶(hù)可以選擇性地使用某些監(jiān)測(cè)型技術(shù)。這樣既能夠保證網(wǎng)絡(luò)系統(tǒng)的安全性需求，同時(shí)也能有效地控制安全系統(tǒng)的總擁有成本。

實(shí)際上，作為當(dāng)前防火墻產(chǎn)品的主流趨勢(shì)，大多數(shù)服務(wù)器（也稱(chēng)應(yīng)用網(wǎng)關(guān)）也集成了包過(guò)濾技術(shù)，這兩種技術(shù)的混合應(yīng)用顯然比單獨(dú)使用具有更大的優(yōu)勢(shì)。由于這種產(chǎn)品是基于應(yīng)用的，應(yīng)用網(wǎng)關(guān)能提供對(duì)協(xié)議的過(guò)濾。例如，它可以過(guò)濾掉FTP連接中的PUT命令，而且通過(guò)應(yīng)用，應(yīng)用網(wǎng)關(guān)能夠有效地避免內(nèi)部網(wǎng)絡(luò)的信息外泄。正是由于應(yīng)用網(wǎng)關(guān)的這些特點(diǎn)，使得應(yīng)用過(guò)程中的矛盾主要集中在對(duì)多種網(wǎng)絡(luò)應(yīng)用協(xié)議的有效支持和對(duì)網(wǎng)絡(luò)整體性能的影響上。

----那么我們究竟應(yīng)該在哪些地方部署防火墻呢？

----首先,應(yīng)該安裝防火墻的位置是公司內(nèi)部網(wǎng)絡(luò)與外部Internet的接口處，以阻擋來(lái)自外部網(wǎng)絡(luò)的入侵；其次，如果公司內(nèi)部網(wǎng)絡(luò)規(guī)模較大，并且設(shè)置有虛擬局域網(wǎng)(VLAN)，則應(yīng)該在各個(gè)VLAN之間設(shè)置防火墻；第三，通過(guò)公網(wǎng)連接的總部與各分支機(jī)構(gòu)之間也應(yīng)該設(shè)置防火墻，如果有條件，還應(yīng)該同時(shí)將總部與各分支機(jī)構(gòu)組成虛擬專(zhuān)用網(wǎng)(VPN)。

----安裝防火墻的基本原則是：只要有惡意侵入的可能，無(wú)論是內(nèi)部網(wǎng)絡(luò)還是與外部公網(wǎng)的連接處，都應(yīng)該安裝防火墻。

§3.2防火墻的使用配置

一、防火墻的配置規(guī)則：

沒(méi)有連接的狀態(tài)(沒(méi)有握手或握手不成功或非法的數(shù)據(jù)包)，任何數(shù)據(jù)包無(wú)法穿過(guò)防火墻。(內(nèi)部發(fā)起的連接可以回包。通過(guò)ACL開(kāi)放的服務(wù)器允許外部發(fā)起連接)

inside可以訪問(wèn)任何outside和dmz區(qū)域。

dmz可以訪問(wèn)outside區(qū)域。

inside訪問(wèn)dmz需要配合static(靜態(tài)地址轉(zhuǎn)換)。

outside訪問(wèn)dmz需要配合acl(訪問(wèn)控制列表)。

二、防火墻設(shè)備的設(shè)置步驟：

1、確定設(shè)置防火墻的部署模式；

2、設(shè)置防火墻設(shè)備的IP地址信息（接口地址或管理地址（設(shè)置在VLAN1上））；

3、設(shè)置防火墻設(shè)備的路由信息；

4、確定經(jīng)過(guò)防火墻設(shè)備的IP地址信息（基于策略的源、目標(biāo)地址）；

5、確定網(wǎng)絡(luò)應(yīng)用（如FTP、EMAIL等應(yīng)用）；

6、配置訪問(wèn)控制策略。

第四章防火墻測(cè)試的相關(guān)標(biāo)準(zhǔn)

防火墻作為信息安全產(chǎn)品的一種，它的產(chǎn)生源于信息安全的需求。所以防火墻的測(cè)試不僅有利于提高防火墻的工作效率，更是為了保證國(guó)家信息的安全。依照中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)GB/T18019-1999《信息技術(shù)包過(guò)濾防火墻安全技術(shù)要求》、GB/T18020-1999《信息技術(shù)應(yīng)用級(jí)防火墻安全技術(shù)要求》和GB/T17900-1999《網(wǎng)絡(luò)服務(wù)器的安全技術(shù)要求》以及多款防火墻隨機(jī)提供的說(shuō)明文檔，中國(guó)軟件評(píng)測(cè)中心軟件產(chǎn)品測(cè)試部根據(jù)有關(guān)方面的標(biāo)準(zhǔn)和不同防火墻的特點(diǎn)整理出以下軟件防火墻的測(cè)試標(biāo)準(zhǔn)：

4.1規(guī)則配置方面

要使防火墻軟件更好的服務(wù)于用戶(hù)，除了其默認(rèn)的安全規(guī)則外，還需要用戶(hù)在使用過(guò)程中不斷的完善其規(guī)則；而規(guī)則的設(shè)置是否靈活方便、實(shí)際效果是否理想等方面，也是判斷一款防火墻軟件整體安全性是否合格的重要標(biāo)準(zhǔn)。簡(jiǎn)單快捷的規(guī)則配置過(guò)程讓防火墻軟件具備更好的親和力，一款防火墻軟件如果能實(shí)施在線檢測(cè)所有對(duì)本機(jī)的訪問(wèn)并控制它們、分別對(duì)應(yīng)用程序、文件或注冊(cè)表鍵值實(shí)施單獨(dú)的規(guī)則添加等等，這將成為此款軟件防火墻規(guī)則配置的一個(gè)特色。

§4.2防御能力方面

對(duì)于防火墻防御能力的表現(xiàn)，由于偶然因素太多，因此無(wú)法從一個(gè)固定平等的測(cè)試環(huán)境中來(lái)得出結(jié)果。但是可以使用了X-Scan等安全掃描工具來(lái)測(cè)試。雖然得出的結(jié)果可能仍然有一定的出入，但大致可以做為一個(gè)性能參考。

§4.3主動(dòng)防御提示方面

對(duì)于網(wǎng)絡(luò)訪問(wèn)、系統(tǒng)進(jìn)程訪問(wèn)、程序運(yùn)行等本機(jī)狀態(tài)發(fā)生改變時(shí)，防火墻軟件一般都會(huì)有主動(dòng)防御提示出現(xiàn)。這方面主要測(cè)試軟件攔截或過(guò)濾時(shí)是否提示用戶(hù)做出相應(yīng)的操作選擇。

§4.4自定義安全級(jí)別方面

用戶(hù)是否可以參照已有安全級(jí)別的安全性描述來(lái)設(shè)置符合自身特殊需要的規(guī)則。防火墻可設(shè)置系統(tǒng)防火墻的安全等級(jí)、安全規(guī)則，以防止電腦被外界入侵。一般的防火墻共有四個(gè)級(jí)別：

高級(jí)：預(yù)設(shè)的防火墻安全等級(jí)，用戶(hù)可以上網(wǎng)，收發(fā)郵件；l

中級(jí)：預(yù)設(shè)的防火墻安全等級(jí)，用戶(hù)可以上網(wǎng)，收發(fā)郵件，網(wǎng)絡(luò)聊天，F(xiàn)TP、Telnet等；l

低級(jí)：預(yù)設(shè)的防火墻安全等級(jí)，只對(duì)已知的木馬進(jìn)行攔截，對(duì)于其它的訪問(wèn)，只是給于提示用戶(hù)及記錄；l

自定義：用戶(hù)可自定義防火墻的安全規(guī)則，可以根據(jù)需要自行進(jìn)行配置。l

§4.5其他功能方面

這主要是從軟件的擴(kuò)展功能表現(xiàn)、操作設(shè)置的易用性、軟件的兼容性和安全可靠性方面來(lái)綜合判定。比如是否具有過(guò)濾網(wǎng)址、實(shí)施木馬掃描、阻止彈出廣告窗口、將未受保護(hù)的無(wú)線網(wǎng)絡(luò)“學(xué)習(xí)”為規(guī)則、惡意軟件檢測(cè)、個(gè)人隱私保護(hù)等豐富的功能項(xiàng)，是否可以滿(mǎn)足用戶(hù)各方面的需要。

§4.6資源占用方面

這方面的測(cè)試包括空閑時(shí)和瀏覽網(wǎng)頁(yè)時(shí)的CPU占用率、內(nèi)存占有率以及屏蔽大量攻擊時(shí)的資源占用和相應(yīng)速度。總的來(lái)是就是資源占用率越低越好，啟動(dòng)的速度越快越好。

§4.7軟件安裝方面

這方面主要測(cè)試軟件的安裝使用是否需要重啟系統(tǒng)、安裝過(guò)程是不是方便、安裝完成后是否提示升級(jí)本地?cái)?shù)據(jù)庫(kù)的信息等等。

§4.8軟件界面方面

軟件是否可切換界面皮膚和語(yǔ)言、界面是否簡(jiǎn)潔等等。簡(jiǎn)潔的界面并不代表其功能就不完善，相反地，簡(jiǎn)化了用戶(hù)的操作設(shè)置項(xiàng)也就帶來(lái)了更智能的安全防護(hù)功能。比如有的防護(hù)墻安裝完成后會(huì)在桌面生成簡(jiǎn)單模式和高級(jí)模式兩個(gè)啟動(dòng)項(xiàng)，這方便用戶(hù)根據(jù)不同的安全級(jí)別啟動(dòng)相應(yīng)的防護(hù)

第五章防火墻的入侵檢測(cè)

§5.1什么是入侵檢測(cè)系統(tǒng)？

入侵檢測(cè)可被定義為對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源上的惡意使用行為進(jìn)行識(shí)別和響應(yīng)的處理過(guò)程，它不僅檢測(cè)來(lái)自外部的入侵行為，同時(shí)也檢測(cè)內(nèi)部用戶(hù)的未授權(quán)活動(dòng)。

入侵檢測(cè)系統(tǒng)(IDS)是從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息，并分析這些信息，檢查網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。IDS被公認(rèn)為是防火墻之后的第二道安全閘門(mén)，它作為一種積極主動(dòng)的安全防護(hù)技術(shù)，從網(wǎng)絡(luò)安全立體縱深、多層次防御的角度出發(fā)，對(duì)防范網(wǎng)絡(luò)惡意攻擊及誤操作提供了主動(dòng)的實(shí)時(shí)保護(hù)，從而能夠在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵

§5.2入侵檢測(cè)技術(shù)及發(fā)展

自1980年產(chǎn)生IDS概念以來(lái)，已經(jīng)出現(xiàn)了基于主機(jī)和基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)，出現(xiàn)了基于知識(shí)的模型識(shí)別、異常識(shí)別和協(xié)議分析等入侵檢測(cè)技術(shù)，并能夠?qū)Π僬?、千兆甚至更高流量的網(wǎng)絡(luò)系統(tǒng)執(zhí)行入侵檢測(cè)。

入侵檢測(cè)技術(shù)的發(fā)展已經(jīng)歷了四個(gè)主要階段：

第一階段是以基于協(xié)議解碼和模式匹配為主的技術(shù)，其優(yōu)點(diǎn)是對(duì)于已知的攻擊行為非常有效，各種已知的攻擊行為可以對(duì)號(hào)入座，誤報(bào)率低;缺點(diǎn)是高超的黑客采用變形手法或者新技術(shù)可以輕易躲避檢測(cè)，漏報(bào)率高。

第二階段是以基于模式匹配+簡(jiǎn)單協(xié)議分析+異常統(tǒng)計(jì)為主的技術(shù)，其優(yōu)點(diǎn)是能夠分析處理一部分協(xié)議，可以進(jìn)行重組;缺點(diǎn)是匹配效率較低，管理功能較弱。這種檢測(cè)技術(shù)實(shí)際上是在第一階段技術(shù)的基礎(chǔ)上增加了部分對(duì)異常行為分析的功能。

第三階段是以基于完全協(xié)議分析+模式匹配+異常統(tǒng)計(jì)為主的技術(shù)，其優(yōu)點(diǎn)是誤報(bào)率、漏報(bào)率和濫報(bào)率較低，效率高，可管理性強(qiáng)，并在此基礎(chǔ)上實(shí)現(xiàn)了多級(jí)分布式的檢測(cè)管理;缺點(diǎn)是可視化程度不夠，防范及管理功能較弱。

第四階段是以基于安全管理+協(xié)議分析+模式匹配+異常統(tǒng)計(jì)為主的技術(shù)，其優(yōu)點(diǎn)是入侵管理和多項(xiàng)技術(shù)協(xié)同工作，建立全局的主動(dòng)保障體系，具有良好的可視化、可控性和可管理性。以該技術(shù)為核心，可構(gòu)造一個(gè)積極的動(dòng)態(tài)防御體系，即IMS——入侵管理系統(tǒng)。

新一代的入侵檢測(cè)系統(tǒng)應(yīng)該是具有集成HIDS和NIDS的優(yōu)點(diǎn)、部署方便、應(yīng)用靈活、功能強(qiáng)大、并提供攻擊簽名、檢測(cè)、報(bào)告和事件關(guān)聯(lián)等配套服務(wù)功能的智能化系統(tǒng)§5.3入侵檢測(cè)技術(shù)分類(lèi)

從技術(shù)上講，入侵檢測(cè)技術(shù)大致分為基于知識(shí)的模式識(shí)別、基于知識(shí)的異常識(shí)別和協(xié)議分析三類(lèi)。而主要的入侵檢測(cè)方法有特征檢測(cè)法、概率統(tǒng)計(jì)分析法和專(zhuān)家知識(shí)庫(kù)系統(tǒng)。

(1)基于知識(shí)的模式識(shí)別

這種技術(shù)是通過(guò)事先定義好的模式數(shù)據(jù)庫(kù)實(shí)現(xiàn)的，其基本思想是：首先把各種可能的入侵活動(dòng)均用某種模式表示出來(lái)，并建立模式數(shù)據(jù)庫(kù)，然后監(jiān)視主體的一舉一動(dòng)，當(dāng)檢測(cè)到主體活動(dòng)違反了事先定義的模式規(guī)則時(shí)，根據(jù)模式匹配原則判別是否發(fā)生了攻擊行為。

模式識(shí)別的關(guān)鍵是建立入侵模式的表示形式，同時(shí)，要能夠區(qū)分入侵行為和正常行為。這種檢測(cè)技術(shù)僅限于檢測(cè)出已建立模式的入侵行為，屬已知類(lèi)型，對(duì)新類(lèi)型的入侵是無(wú)能為力的，仍需改進(jìn)。

(2)基于知識(shí)的異常識(shí)別

這種技術(shù)是通過(guò)事先建立正常行為檔案庫(kù)實(shí)現(xiàn)的，其基本思想是：首先把主體的各種正?；顒?dòng)用某種形式描述出來(lái)，并建立“正?；顒?dòng)檔案”，當(dāng)某種活動(dòng)與所描述的正?；顒?dòng)存在差異時(shí)，就認(rèn)為是“入侵”行為，進(jìn)而被檢測(cè)識(shí)別。

異常識(shí)別的關(guān)鍵是描述正常活動(dòng)和構(gòu)建正?；顒?dòng)檔案庫(kù)。

利用行為進(jìn)行識(shí)別時(shí)，存在四種可能：一是入侵且行為正常;二是入侵且行為異常;三是非入侵且行為正常;四是非入侵且行為異常。根據(jù)異常識(shí)別思想，把第二種和第四種情況判定為“入侵”行為。這種檢測(cè)技術(shù)可以檢測(cè)出未知行為，并具有簡(jiǎn)單的學(xué)習(xí)功能。

以下是幾種基于知識(shí)的異常識(shí)別的檢測(cè)方法：

1)基于審計(jì)的攻擊檢測(cè)技術(shù)

這種檢測(cè)方法是通過(guò)對(duì)審計(jì)信息的綜合分析實(shí)現(xiàn)的，其基本思想是：根據(jù)用戶(hù)的歷史行為、先前的證據(jù)或模型，使用統(tǒng)計(jì)分析方法對(duì)用戶(hù)當(dāng)前的行為進(jìn)行檢測(cè)和判別，當(dāng)發(fā)現(xiàn)可疑行為時(shí)，保持跟蹤并監(jiān)視其行為，同時(shí)向系統(tǒng)安全員提交安全審計(jì)報(bào)告。

2)基于神經(jīng)網(wǎng)絡(luò)的攻擊檢測(cè)技術(shù)

由于用戶(hù)的行為十分復(fù)雜，要準(zhǔn)確匹配一個(gè)用戶(hù)的歷史行為和當(dāng)前的行為是相當(dāng)困難的，這也是基于審計(jì)攻擊檢測(cè)的主要弱點(diǎn)。

而基于神經(jīng)網(wǎng)絡(luò)的攻擊檢測(cè)技術(shù)則是一個(gè)對(duì)基于傳統(tǒng)統(tǒng)計(jì)技術(shù)的攻擊檢測(cè)方法的改進(jìn)方向，它能夠解決傳統(tǒng)的統(tǒng)計(jì)分析技術(shù)所面臨的若干問(wèn)題，例如，建立確切的統(tǒng)計(jì)分布、實(shí)現(xiàn)方法的普遍性、降低算法實(shí)現(xiàn)的成本和系統(tǒng)優(yōu)化等問(wèn)題。

3)基于專(zhuān)家系統(tǒng)的攻擊檢測(cè)技術(shù)

所謂專(zhuān)家系統(tǒng)就是一個(gè)依據(jù)專(zhuān)家經(jīng)驗(yàn)定義的推理系統(tǒng)。這種檢測(cè)是建立在專(zhuān)家經(jīng)驗(yàn)基礎(chǔ)上的，它根據(jù)專(zhuān)家經(jīng)驗(yàn)進(jìn)行推理判斷得出結(jié)論。例如，當(dāng)用戶(hù)連續(xù)三次登錄失敗時(shí)，可以把該用戶(hù)的第四次登錄視為攻擊行為。

4)基于模型推理的攻擊檢測(cè)技術(shù)

攻擊者在入侵一個(gè)系統(tǒng)時(shí)往往采用一定的行為程序，如猜測(cè)口令的程序，這種行為程序構(gòu)成了某種具有一定行為特征的模型，根據(jù)這種模型所代表的攻擊意圖的行為特征，可以實(shí)時(shí)地檢測(cè)出惡意的攻擊企圖，盡管攻擊者不一定都是惡意的。用基于模型的推理方法人們能夠?yàn)槟承┬袨榻⑻囟ǖ哪Ｐ?，從而能夠監(jiān)視具有特定行為特征的某些活動(dòng)。根據(jù)假設(shè)的攻擊腳本，這種系統(tǒng)就能檢測(cè)出非法的用戶(hù)行為。一般為了準(zhǔn)確判斷，要為不同的入侵者和不同的系統(tǒng)建立特定的攻擊腳本。

使用基于知識(shí)的模式識(shí)別和基于知識(shí)的異常識(shí)別所得出的結(jié)論差異較大，甚至得出相反結(jié)論。這是因?yàn)榛谥R(shí)的模式識(shí)別的核心是維護(hù)一個(gè)入侵模式庫(kù)，它對(duì)已知攻擊可以詳細(xì)、準(zhǔn)確地報(bào)告出攻擊類(lèi)型，但對(duì)未知攻擊卻無(wú)能為力，而且入侵模式庫(kù)必須不斷更新。而基于知識(shí)的異常識(shí)別則是通過(guò)對(duì)入侵活動(dòng)的檢測(cè)得出結(jié)論的，它雖無(wú)法準(zhǔn)確判斷出攻擊的手段，但可以發(fā)現(xiàn)更廣泛的、甚至未知的攻擊行為。

§5.4入侵檢測(cè)技術(shù)剖析

1）信號(hào)分析

對(duì)收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶(hù)活動(dòng)的狀態(tài)和行為等信息，一般通過(guò)三種技術(shù)手段進(jìn)行分析：模式匹配、統(tǒng)計(jì)分析和完整性分析。其中前兩種方法用于實(shí)時(shí)的入侵檢測(cè)，而完整性分析則用于事后分析。

2）模式匹配

模式匹配就是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)已有模式數(shù)據(jù)庫(kù)進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。該過(guò)程可以很簡(jiǎn)單（如通過(guò)字符串匹配以尋找一個(gè)簡(jiǎn)單的條目或指令），也可以很復(fù)雜（如利用正規(guī)的數(shù)學(xué)表達(dá)式來(lái)表示安全狀態(tài)的變化）。一般來(lái)講，一種進(jìn)攻模式可以用一個(gè)過(guò)程（如執(zhí)行一條指令）或一個(gè)輸出（如獲得權(quán)限）來(lái)表示。該方法的一大優(yōu)點(diǎn)是只需收集相關(guān)的數(shù)據(jù)集合，顯著減少系統(tǒng)負(fù)擔(dān)，且技術(shù)已相當(dāng)成熟。它與病毒防火墻采用的方法一樣，檢測(cè)準(zhǔn)確率和效率都相當(dāng)高。但是，該方法存在的弱點(diǎn)是需要不斷的升級(jí)以對(duì)付不斷出現(xiàn)的黑客攻擊手法，不能檢測(cè)到從未出現(xiàn)過(guò)的黑客攻擊手段。

3）統(tǒng)計(jì)分析

統(tǒng)計(jì)分析方法首先給系統(tǒng)對(duì)象（如用戶(hù)、文件、目錄和設(shè)備等）創(chuàng)建一個(gè)統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性（如訪問(wèn)次數(shù)、操作失敗次數(shù)和延時(shí)等）。在比較這一點(diǎn)上與模式匹配有些相象之處。測(cè)量屬性的平均值將被用來(lái)與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較，任何觀察值在正常值范圍之外時(shí)，就認(rèn)為有入侵發(fā)生。例如，本來(lái)都默認(rèn)用GUEST帳號(hào)登錄的，突然用ADMINI帳號(hào)登錄。這樣做的優(yōu)點(diǎn)是可檢測(cè)到未知的入侵和更為復(fù)雜的入侵，缺點(diǎn)是誤報(bào)、漏報(bào)率高，且不適應(yīng)用戶(hù)正常行為的突然改變。具體的統(tǒng)計(jì)分析方法如基于專(zhuān)家系統(tǒng)的、基于模型推理的和基于神經(jīng)網(wǎng)絡(luò)的分析方法，目前正處于研究熱點(diǎn)和迅速發(fā)展之中。

4）完整性分析

完整性分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓模@經(jīng)常包括文件和目錄的內(nèi)容及屬性，它在發(fā)現(xiàn)被更改的、被特咯伊化的應(yīng)用程序方面特別有效。完整性分析利用強(qiáng)有力的加密機(jī)制，稱(chēng)為消息摘要函數(shù)（例如MD5），它能識(shí)別哪怕是微小的變化。其優(yōu)點(diǎn)是不管模式匹配方法和統(tǒng)計(jì)分析方法能否發(fā)現(xiàn)入侵，只要是成功的攻擊導(dǎo)致了文件或其它對(duì)象的任何改變，它都能夠發(fā)現(xiàn)。缺點(diǎn)是一般以批處理方式實(shí)現(xiàn)，用于事后分析而不用于實(shí)時(shí)響應(yīng)。盡管如此，完整性檢測(cè)方法還應(yīng)該是網(wǎng)絡(luò)安全產(chǎn)品的必要手段之一。例如，可以在每一天的某個(gè)特定時(shí)間內(nèi)開(kāi)啟完整性分析模塊，對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行全面地掃描檢查。

§5.5防火墻與入侵檢測(cè)的聯(lián)動(dòng)

網(wǎng)絡(luò)安全是一個(gè)整體的動(dòng)態(tài)的系統(tǒng)工程，不能靠幾個(gè)產(chǎn)品單獨(dú)工作來(lái)進(jìn)行安全防范。理想情況下，整個(gè)系統(tǒng)的安全產(chǎn)品應(yīng)該有一個(gè)響應(yīng)協(xié)同，相互通信，協(xié)同工作。其中入侵檢測(cè)系統(tǒng)和防火墻之間的聯(lián)動(dòng)就能更好的進(jìn)行安全防護(hù)。圖8所示就是入侵檢測(cè)系統(tǒng)和防火墻之間的聯(lián)動(dòng)，當(dāng)入侵檢測(cè)系統(tǒng)檢測(cè)到入侵后，通過(guò)和防火墻通信，讓防火墻自動(dòng)增加規(guī)則，以攔截相關(guān)的入侵行為，實(shí)現(xiàn)聯(lián)動(dòng)聯(lián)防。

§5.6什么是VPN?

VPN的英文全稱(chēng)是“VirtualPrivateNetwork”，翻譯過(guò)來(lái)就是“虛擬專(zhuān)用網(wǎng)絡(luò)”。顧名思義，虛擬專(zhuān)用網(wǎng)絡(luò)我們可以把它理解成是虛擬出來(lái)的企業(yè)內(nèi)部專(zhuān)線。它可以通過(guò)特殊的加密的通訊協(xié)議在連接在Internet上的位于不同地方的兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)之間建立一條專(zhuān)有的通訊線路，就好比是架設(shè)了一條專(zhuān)線一樣，但是它并不需要真正的去鋪設(shè)光纜之類(lèi)的物理線路。這就好比去電信局申請(qǐng)專(zhuān)線，但是不用給鋪設(shè)線路的費(fèi)用，也不用購(gòu)買(mǎi)路由器等硬件設(shè)備。VPN技術(shù)原是路由器具有的重要技術(shù)之一，目前在交換機(jī)，防火墻設(shè)備或Windows2000等軟件里也都支持VPN功能，一句話(huà)，VPN的核心就是在利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng)。

虛擬專(zhuān)用網(wǎng)（VPN）被定義為通過(guò)一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安全的連接，是一條穿過(guò)混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。虛擬專(zhuān)用網(wǎng)是對(duì)企業(yè)內(nèi)部網(wǎng)的擴(kuò)展。虛擬專(zhuān)用網(wǎng)可以幫助遠(yuǎn)程用戶(hù)、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商同公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸。虛擬專(zhuān)用網(wǎng)可用于不斷增長(zhǎng)的移動(dòng)用戶(hù)的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全連接；可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專(zhuān)用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶(hù)的安全外聯(lián)網(wǎng)虛擬專(zhuān)用網(wǎng)。

§5.7VPN的特點(diǎn)

1.安全保障雖然實(shí)現(xiàn)VPN的技術(shù)和方式很多，但所有的VPN均應(yīng)保證通過(guò)公用網(wǎng)絡(luò)平臺(tái)傳輸數(shù)據(jù)的專(zhuān)用性和安全性。在安全性方面，由于VPN直接構(gòu)建在公用網(wǎng)上，實(shí)現(xiàn)簡(jiǎn)單、方便、靈活，但同時(shí)其安全問(wèn)題也更為突出。企業(yè)必須確保其VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改，并且要防止非法用戶(hù)對(duì)網(wǎng)絡(luò)資源或私有信息的訪問(wèn)。

2.服務(wù)質(zhì)量保證（QoS）

VPN網(wǎng)應(yīng)當(dāng)為企業(yè)數(shù)據(jù)提供不同等級(jí)的服務(wù)質(zhì)量保證。不同的用戶(hù)和業(yè)務(wù)對(duì)服務(wù)質(zhì)量保證的要求差別較大。在網(wǎng)絡(luò)優(yōu)化方面，構(gòu)建VPN的另一重要需求是充分有效地利用有限的廣域網(wǎng)資源，為重要數(shù)據(jù)提供可靠的帶寬。廣域網(wǎng)流量的不確定性使其帶寬的利用率很低，在流量高峰時(shí)引起網(wǎng)絡(luò)阻塞，使實(shí)時(shí)性要求高的數(shù)據(jù)得不到及時(shí)發(fā)送；而在流量低谷時(shí)又造成大量的網(wǎng)絡(luò)帶寬空閑。QoS通過(guò)流量預(yù)測(cè)與流量控制策略，可以按照優(yōu)先級(jí)分實(shí)現(xiàn)帶寬管理，使得各類(lèi)數(shù)據(jù)能夠被合理地先后發(fā)送，并預(yù)防阻塞的發(fā)生。

3.可擴(kuò)充性和靈活性

VPN必須能夠支持通過(guò)Intranet和Extranet的任何類(lèi)型的數(shù)據(jù)流，方便增加新的節(jié)點(diǎn)，支持多種類(lèi)型的傳輸媒介，可以滿(mǎn)足同時(shí)傳輸語(yǔ)音、圖像和數(shù)據(jù)等新應(yīng)用對(duì)高質(zhì)量傳輸以及帶寬增加的需求。

4.可管理性

從用戶(hù)角度和運(yùn)營(yíng)商角度應(yīng)可方便地進(jìn)行管理、維護(hù)。VPN管理的目標(biāo)為：減小網(wǎng)絡(luò)風(fēng)險(xiǎn)、具有高擴(kuò)展性、經(jīng)濟(jì)性、高可靠性等優(yōu)點(diǎn)。事實(shí)上，VPN管理主要包括安全管理、設(shè)備管理、配置管理、訪問(wèn)控制列表管理、QoS管理等內(nèi)容。

§5.8VPN防火墻

VPN防火墻就是一種過(guò)濾塞（目前你這么理解不算錯(cuò)），你可以讓你喜歡的東西通過(guò)這個(gè)塞子，別的玩意都統(tǒng)統(tǒng)過(guò)濾掉。在網(wǎng)絡(luò)的世界里，要由VPN防火墻過(guò)濾的就是承載通信數(shù)據(jù)的通信包。

最簡(jiǎn)單的VPN防火墻是以太網(wǎng)橋。但幾乎沒(méi)有人會(huì)認(rèn)為這種原始VPN防火墻能管多大用。大多數(shù)VPN防火墻采用的技術(shù)和標(biāo)準(zhǔn)可謂五花八門(mén)。這些VPN防火墻的形式多種多樣：有的取代系統(tǒng)上已經(jīng)裝備的TCP/IP協(xié)議棧；有的在已有的協(xié)議棧上建立自己的軟件模塊；有的干脆就是獨(dú)立的一套操作系統(tǒng)。還有一些應(yīng)用型的VPN防火墻只對(duì)特定類(lèi)型的網(wǎng)絡(luò)連接提供保護(hù)（比如SMTP或者HTTP協(xié)議等）。還有一些基于硬件的VPN防火墻產(chǎn)品其實(shí)應(yīng)該歸入安全路由器一類(lèi)。以上的產(chǎn)品都可以叫做VPN防火墻，因?yàn)樗麄兊墓ぷ鞣绞蕉际且粯拥模悍治龀鋈隫PN防火墻的數(shù)據(jù)包，決定放行還是把他們?nèi)拥揭贿叀?/p>

所有的VPN防火墻都具有IP地址過(guò)濾功能。這項(xiàng)任務(wù)要檢查IP包頭，根據(jù)其IP源地址和目標(biāo)地址作出放行/丟棄決定。看看下面這張圖，兩個(gè)網(wǎng)段之間隔了一個(gè)VPN防火墻，VPN防火墻的一端有臺(tái)UNIX計(jì)算機(jī)，另一邊的網(wǎng)段則擺了臺(tái)PC客戶(hù)機(jī)。

當(dāng)PC客戶(hù)機(jī)向UNIX計(jì)算機(jī)發(fā)起telnet請(qǐng)求時(shí)，PC的telnet客戶(hù)程序就產(chǎn)生一個(gè)TCP包并把它傳給本地的協(xié)議棧準(zhǔn)備發(fā)送。接下來(lái)，協(xié)議棧將這個(gè)TCP包“塞”到一個(gè)IP包里，然后通過(guò)PC機(jī)的TCP/IP棧所定義的路徑將它發(fā)送給UNIX計(jì)算機(jī)。在這個(gè)例子里，這個(gè)IP包必須經(jīng)過(guò)橫在PC和UNIX計(jì)算機(jī)中的VPN防火墻才能到達(dá)UNIX計(jì)算機(jī)。

現(xiàn)在我們“命令”（用專(zhuān)業(yè)術(shù)語(yǔ)來(lái)說(shuō)就是配制）VPN防火墻把所有發(fā)給UNIX計(jì)算機(jī)的數(shù)據(jù)包都給拒了，完成這項(xiàng)工作以后，比較好的VPN防火墻還會(huì)通知客戶(hù)程序一聲呢！既然發(fā)向目標(biāo)的IP數(shù)據(jù)沒(méi)法轉(zhuǎn)發(fā)，那么只有和UNIX計(jì)算機(jī)同在一個(gè)網(wǎng)段的用戶(hù)才能訪問(wèn)UNIX計(jì)算機(jī)了。

還有一種情況，你可以命令VPN防火墻專(zhuān)給那臺(tái)可憐的PC機(jī)找茬，別人的數(shù)據(jù)包都讓過(guò)就它不行。這正是VPN防火墻最基本的功能：根據(jù)IP地址做轉(zhuǎn)發(fā)判斷。但要上了大場(chǎng)面這種小伎倆就玩不轉(zhuǎn)了，由于黑客們可以采用IP地址欺騙技術(shù)，偽裝成合法地址的計(jì)算機(jī)就可以穿越信任這個(gè)地址的VPN防火墻了。不過(guò)根據(jù)地址的轉(zhuǎn)發(fā)決策機(jī)制還是最基本和必需的。另外要注意的一點(diǎn)是，不要用DNS主機(jī)名建立過(guò)濾表，對(duì)DNS的偽造比IP地址欺騙要容易多了。

后記：

入侵檢測(cè)作為一種積極主動(dòng)地安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。入侵檢測(cè)系統(tǒng)面臨的最主要挑戰(zhàn)有兩個(gè)：一個(gè)是虛警率太高，一個(gè)是檢測(cè)速度太慢?，F(xiàn)有的入侵檢測(cè)系統(tǒng)還有其他技術(shù)上的致命弱點(diǎn)。因此，可以這樣說(shuō)，入侵檢測(cè)產(chǎn)品仍具有較大的發(fā)展空間，從技術(shù)途徑來(lái)講，除了完善常規(guī)的、傳統(tǒng)的技術(shù)（模式識(shí)別和完整性檢測(cè)）外，應(yīng)重點(diǎn)加強(qiáng)統(tǒng)計(jì)分析的相關(guān)技術(shù)研究。

但無(wú)論如何，入侵檢測(cè)不是對(duì)所有的入侵都能夠及時(shí)發(fā)現(xiàn)的，即使擁有當(dāng)前最強(qiáng)大的入侵檢測(cè)系統(tǒng)，如果不及時(shí)修補(bǔ)網(wǎng)絡(luò)中的安全漏洞的話(huà)，安全也無(wú)從談起。

同樣入侵檢測(cè)技術(shù)也存在許多缺點(diǎn)，IDS的檢測(cè)模型始終落后于攻擊者的新知識(shí)和技術(shù)手段。主要表現(xiàn)在以下幾個(gè)方面：

1)利用加密技術(shù)欺騙IDS;

2)躲避IDS的安全策略;

3)快速發(fā)動(dòng)進(jìn)攻，使IDS無(wú)法反應(yīng);

4)發(fā)動(dòng)大規(guī)模攻擊，使IDS判斷出錯(cuò);

5)直接破壞IDS;

6)智能攻擊技術(shù)，邊攻擊邊學(xué)習(xí)，變IDS為攻擊者的工具。

我認(rèn)為在與防火墻技術(shù)結(jié)合中應(yīng)該注意擴(kuò)大檢測(cè)范圍和類(lèi)別、加強(qiáng)自學(xué)習(xí)和自適應(yīng)的能力方面發(fā)展。

參考文獻(xiàn)：

1..MarcusGoncalves著。宋書(shū)民，朱智強(qiáng)等譯。防火墻技術(shù)指南[M]。機(jī)械工業(yè)出版社

篇2

2衛(wèi)星通信網(wǎng)入侵檢測(cè)系統(tǒng)的實(shí)現(xiàn)

2．1入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu)

入侵檢測(cè)是檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)以發(fā)現(xiàn)違反安全策略事件的過(guò)程。如圖2所示，作為入侵檢測(cè)系統(tǒng)至少應(yīng)該包括三個(gè)功能模塊：提供事件記錄的信息源、發(fā)現(xiàn)入侵跡象的分析引擎和基于分析引擎的響應(yīng)部件。CIDF闡述了一個(gè)入侵檢測(cè)系統(tǒng)的通用模型，即入侵檢測(cè)系統(tǒng)可以分為4個(gè)組件：事件產(chǎn)生器、事件分析器、響應(yīng)單元、事件數(shù)據(jù)庫(kù)。

2．2入侵檢測(cè)系統(tǒng)的功能

衛(wèi)星通信網(wǎng)絡(luò)采用的是分布式的入侵檢測(cè)系統(tǒng)，其主要功能模塊包括：（1）數(shù)據(jù)采集模塊。收集衛(wèi)星發(fā)送來(lái)的各種數(shù)據(jù)信息以及地面站提供的一些數(shù)據(jù)，分為日志采集模塊、數(shù)據(jù)報(bào)采集模塊和其他信息源采集模塊。（2）數(shù)據(jù)分析模塊。對(duì)應(yīng)于數(shù)據(jù)采集模塊，也有三種類(lèi)型的數(shù)據(jù)分析模塊：日志分析模塊、數(shù)據(jù)報(bào)分析模塊和其他信息源分析模塊。（3）告警統(tǒng)計(jì)及管理模塊。該模塊負(fù)責(zé)對(duì)數(shù)據(jù)分析模塊產(chǎn)生的告警進(jìn)行匯總，這樣能更好地檢測(cè)分布式入侵。（4）決策模塊。決策模塊對(duì)告警統(tǒng)計(jì)上報(bào)的告警做出決策，根據(jù)入侵的不同情況選擇不同的響應(yīng)策略，并判斷是否需要向上級(jí)節(jié)點(diǎn)發(fā)出警告。（5）響應(yīng)模塊。響應(yīng)模塊根據(jù)決策模塊送出的策略，采取相應(yīng)的響應(yīng)措施。其主要措施有：忽略、向管理員報(bào)警、終止連接等響應(yīng)。（6）數(shù)據(jù)存儲(chǔ)模塊。數(shù)據(jù)存儲(chǔ)模塊用于存儲(chǔ)入侵特征、入侵事件等數(shù)據(jù)，留待進(jìn)一步分析。（7）管理平臺(tái)。管理平臺(tái)是管理員與入侵檢測(cè)系統(tǒng)交互的管理界面。管理員通過(guò)這個(gè)平臺(tái)可以手動(dòng)處理響應(yīng)，做出最終的決策，完成對(duì)系統(tǒng)的配置、權(quán)限管理，對(duì)入侵特征庫(kù)的手動(dòng)維護(hù)工作。

2．3數(shù)據(jù)挖掘技術(shù)

入侵檢測(cè)系統(tǒng)中需要用到數(shù)據(jù)挖掘技術(shù)。數(shù)據(jù)挖掘是從大量的、不完全的、有噪聲的、模糊的、隨機(jī)的數(shù)據(jù)中提取隱含在其中的、人們事先不知道的、但又是潛在有用的信息和知識(shí)的過(guò)程。將數(shù)據(jù)挖掘技術(shù)應(yīng)用于入侵檢測(cè)系統(tǒng)的主要優(yōu)點(diǎn)：（1）自適應(yīng)能力強(qiáng)。專(zhuān)家根據(jù)現(xiàn)有的攻擊從而分析、建立出它們的特征模型作為傳統(tǒng)入侵檢測(cè)系統(tǒng)規(guī)則庫(kù)。但是如果一種攻擊跨越較長(zhǎng)一段時(shí)間，那么原有的入侵檢測(cè)系統(tǒng)規(guī)則庫(kù)很難得到及時(shí)更新，并且為了一種新的攻擊去更換整個(gè)系統(tǒng)的成本將大大提升。因?yàn)閼?yīng)用數(shù)據(jù)挖掘技術(shù)的異常檢測(cè)與信號(hào)匹配模式是不一樣的，它不是對(duì)每一個(gè)信號(hào)一一檢測(cè)，所以新的攻擊可以得到有效的檢測(cè)，表現(xiàn)出較強(qiáng)實(shí)時(shí)性。（2）誤警率低。因?yàn)楝F(xiàn)有系統(tǒng)的檢測(cè)原理主要是依靠單純的信號(hào)匹配，這種生硬的方式，使得它的報(bào)警率與實(shí)際情況不一致。數(shù)據(jù)挖掘技術(shù)與入侵檢測(cè)技術(shù)相結(jié)合的系統(tǒng)是從等報(bào)發(fā)生的序列中發(fā)現(xiàn)隱含在其中的規(guī)律，可以過(guò)濾出正常行為的信號(hào)，從而降低了系統(tǒng)的誤警率。（3）智能性強(qiáng)。應(yīng)用了數(shù)據(jù)挖掘的入侵檢測(cè)系統(tǒng)可以在人很少參與的情況下自動(dòng)地從大量的網(wǎng)絡(luò)數(shù)據(jù)中提取人們不易發(fā)現(xiàn)的行為模式，也提高了系統(tǒng)檢測(cè)的準(zhǔn)確性。

篇3

2網(wǎng)絡(luò)入侵檢測(cè)的重要性與必要性分析

網(wǎng)絡(luò)入侵檢測(cè)，就是對(duì)網(wǎng)絡(luò)入侵行為的發(fā)覺(jué)。與其他安全技術(shù)相比而言，入侵檢測(cè)技術(shù)并不是以建立安全和可靠的網(wǎng)絡(luò)環(huán)境為主，而是以分析和處理對(duì)網(wǎng)絡(luò)用戶(hù)信息構(gòu)成威脅的行為，進(jìn)而進(jìn)行非法控制來(lái)確保網(wǎng)絡(luò)系統(tǒng)的安全。它的主要目的是對(duì)用戶(hù)和系統(tǒng)進(jìn)行檢測(cè)與分析，找出系統(tǒng)中存在的漏洞與問(wèn)題，一旦發(fā)現(xiàn)攻擊或威脅就會(huì)自動(dòng)及時(shí)地向管理人員報(bào)警，同時(shí)對(duì)各種非法活動(dòng)或異?；顒?dòng)進(jìn)行識(shí)別、統(tǒng)計(jì)與分析。

3數(shù)據(jù)挖掘在網(wǎng)絡(luò)入侵檢測(cè)中的應(yīng)用分析

在使用數(shù)據(jù)挖掘技術(shù)對(duì)網(wǎng)絡(luò)入侵行為進(jìn)行檢測(cè)的過(guò)程中，我們可以通過(guò)分析有用的數(shù)據(jù)或信息來(lái)提取用戶(hù)的行為特征和入侵規(guī)律，進(jìn)而建立起一個(gè)相對(duì)完善的規(guī)則庫(kù)來(lái)進(jìn)行入侵檢測(cè)。該檢測(cè)過(guò)程主要是數(shù)據(jù)收集——數(shù)據(jù)預(yù)處理——數(shù)據(jù)挖掘，以下是在對(duì)已有的基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)入侵檢測(cè)的模型結(jié)構(gòu)圖進(jìn)行闡述的基礎(chǔ)上進(jìn)行一些優(yōu)化。

3.1綜合了誤用檢測(cè)和異常檢測(cè)的模型

為改進(jìn)前綜合誤用檢測(cè)和異常檢測(cè)的模型。從圖2可以看出，它是綜合利用了誤用檢測(cè)和異常檢測(cè)模型而形成的基于數(shù)據(jù)挖掘的網(wǎng)絡(luò)入侵檢測(cè)模型。其優(yōu)點(diǎn)在于通過(guò)結(jié)合誤用檢測(cè)器和異常檢測(cè)器，把所要分析的數(shù)據(jù)信息減少了很多，大大縮小了數(shù)據(jù)范圍。其劣勢(shì)在于當(dāng)異常檢測(cè)器檢測(cè)到新的入侵檢測(cè)后，僅僅更新了異常檢測(cè)器，而沒(méi)有去及時(shí)地更新誤用檢測(cè)器，這就無(wú)形中增加了工作量。對(duì)于這一不足之處，筆者提出了以下改進(jìn)意見(jiàn)。

3.2改進(jìn)后的誤用檢測(cè)和異常檢測(cè)模型

筆者進(jìn)行了一些改進(jìn)，以形成一種更加有利的基于數(shù)據(jù)挖掘的入侵檢測(cè)模型，基礎(chǔ)上進(jìn)行了一定的優(yōu)化。一是把從網(wǎng)絡(luò)中獲取的網(wǎng)絡(luò)數(shù)據(jù)包發(fā)送到數(shù)據(jù)預(yù)處理器中，由它進(jìn)行加工處理，然后使用相應(yīng)的關(guān)聯(lián)規(guī)則找出其中具有代表性的規(guī)則，放入關(guān)聯(lián)規(guī)則集中，接下來(lái)用聚類(lèi)規(guī)則將關(guān)聯(lián)規(guī)則所得的支持度和可信度進(jìn)行聚類(lèi)優(yōu)化。此后，我們可根據(jù)規(guī)定的閾值而將一部分正常的數(shù)據(jù)刪除出去，這就大大減少了所要分析的數(shù)據(jù)量。此時(shí)可以把剩下的那些數(shù)據(jù)發(fā)送到誤用檢測(cè)器中進(jìn)行檢測(cè)，如果誤用檢測(cè)器也沒(méi)有檢測(cè)到攻擊行為，則把該類(lèi)數(shù)據(jù)發(fā)送到異常檢測(cè)器中再次進(jìn)行檢測(cè)，與上面的例子一樣，這個(gè)異常檢測(cè)器實(shí)際上也起到了一個(gè)過(guò)濾的作用，以此來(lái)把海量的正常數(shù)據(jù)過(guò)濾出去，相應(yīng)地?cái)?shù)據(jù)量就會(huì)再一次變少，這就方便了后期的挖掘。這一模型系統(tǒng)的一大特點(diǎn)就是為了避免重復(fù)檢測(cè)，利用對(duì)數(shù)據(jù)倉(cāng)庫(kù)的更新來(lái)完善異常檢測(cè)器和誤用檢測(cè)器。也就是說(shuō)，根據(jù)異常檢測(cè)器的檢測(cè)結(jié)果來(lái)對(duì)異常檢測(cè)器和誤用檢測(cè)器進(jìn)行更新，若測(cè)得該行為是正常行為，那么就會(huì)更新異常檢測(cè)器，若測(cè)得該行為是攻擊行為，那么就更新誤用檢測(cè)器來(lái)記錄該次的行為，從而方便下次進(jìn)行重復(fù)的檢測(cè)。

篇4

1前言

在入侵檢測(cè)系統(tǒng)中，為了提高系統(tǒng)的性能，包括降低誤報(bào)率和漏報(bào)率，縮短反應(yīng)時(shí)間等，學(xué)者們引入了許多方法，如專(zhuān)家系統(tǒng)、神經(jīng)網(wǎng)絡(luò)、遺傳算法和數(shù)據(jù)挖掘中的聚類(lèi)，分類(lèi)等各種算法。例如：Cooper&Herkovits提出的一種基于貪心算法的貝葉斯信念網(wǎng)絡(luò)，而Provan&SinghProvan，G.M&SinghM和其他學(xué)者報(bào)告了這種方法的優(yōu)點(diǎn)。貝葉斯網(wǎng)絡(luò)說(shuō)明聯(lián)合條件概率分布，為機(jī)器學(xué)習(xí)提供一種因果關(guān)系的圖形，能有效的處理某些問(wèn)題，如診斷：貝葉斯網(wǎng)絡(luò)能正確的處理不確定和有噪聲的問(wèn)題，這類(lèi)問(wèn)題在任何檢測(cè)任務(wù)中都很重要。

然而，在分類(lèi)算法的比較研究發(fā)現(xiàn)，一種稱(chēng)作樸素貝葉斯分類(lèi)的簡(jiǎn)單貝葉斯算法給人印象更為深刻。盡管樸素貝葉斯的分類(lèi)器有個(gè)很簡(jiǎn)單的假定，但從現(xiàn)實(shí)數(shù)據(jù)中的實(shí)驗(yàn)反復(fù)地表明它可以與決定樹(shù)和神經(jīng)網(wǎng)絡(luò)分類(lèi)算法相媲美[1]。

在本文中，我們研究樸素貝葉斯分類(lèi)算法，用來(lái)檢測(cè)入侵審計(jì)數(shù)據(jù)，旨在開(kāi)發(fā)一種更有效的，檢驗(yàn)更加準(zhǔn)確的算法。

2貝葉斯分類(lèi)器

貝葉斯分類(lèi)是統(tǒng)計(jì)學(xué)分類(lèi)方法。它們可以預(yù)測(cè)類(lèi)成員關(guān)系的可能性，如給定樣本屬于一個(gè)特定類(lèi)的概率。

樸素貝葉斯分類(lèi)[2]假定了一個(gè)屬性值對(duì)給定類(lèi)的影響?yīng)毩⒂谄渌鼘傩缘闹?，這一假定稱(chēng)作類(lèi)條件獨(dú)立。

設(shè)定數(shù)據(jù)樣本用一個(gè)n維特征向量X={x1，x2，，xn}表示，分別描述對(duì)n個(gè)屬性A1，A2，，An樣本的n個(gè)度量。假定有m個(gè)類(lèi)C1，C2，，Cm。給定一個(gè)未知的數(shù)據(jù)樣本X（即沒(méi)有類(lèi)標(biāo)號(hào)），樸素貝葉斯分類(lèi)分類(lèi)法將預(yù)測(cè)X屬于具有最高后驗(yàn)概率（條件X下）的類(lèi)，當(dāng)且僅當(dāng)P(Ci|X)>P(Cj|X)，1≤j≤m，j≠i這樣，最大化P(Ci|X)。其中P(Ci|X)最大類(lèi)Ci稱(chēng)為最大后驗(yàn)假定，其原理為貝葉斯定理：

公式(1)

由于P(X)對(duì)于所有類(lèi)為常數(shù)，只需要P(X|Ci)P(Ci)最大即可。并據(jù)此對(duì)P(Ci|X)最大化。否則，最大化P(X|Ci)P(Ci)。如果給定具有許多屬性的數(shù)據(jù)集，計(jì)算P(X|Ci)P(Ci)的開(kāi)銷(xiāo)可能非常大。為降低計(jì)算P(X|Ci)的開(kāi)銷(xiāo)，可以做類(lèi)條件獨(dú)立的樸素假定。給定樣本的類(lèi)標(biāo)號(hào)，假定屬性值相互條件獨(dú)立，即在屬性間，不存在依賴(lài)關(guān)系，這樣，

公式(2)

概率，可以由訓(xùn)練樣本估值：

(1)如果Ak是分類(lèi)屬性，則P(xk|Ci)=sik/si其中sik是Ak上具有值xk的類(lèi)Ci的訓(xùn)練樣本數(shù)，而si是Ci中的訓(xùn)練樣本數(shù)。

(2)如果Ak是連續(xù)值屬性，則通常假定該屬性服從高斯分布。因而

公式(3)

其中，給定類(lèi)Ci的訓(xùn)練樣本屬性Ak的值，是屬性Ak的高斯密度函數(shù)，而分別為平均值和標(biāo)準(zhǔn)差。

樸素貝葉斯分類(lèi)算法(以下稱(chēng)為NBC)具有最小的出錯(cuò)率。然而，實(shí)踐中并非如此，這是由于對(duì)其應(yīng)用假定（如類(lèi)條件獨(dú)立性）的不確定性，以及缺乏可用的概率數(shù)據(jù)造成的。主要表現(xiàn)為：

①不同的檢測(cè)屬性之間可能存在依賴(lài)關(guān)系，如protocol_type，src_bytes和dst_bytes三種屬性之間總會(huì)存在一定的聯(lián)系；

②當(dāng)連續(xù)值屬性分布是多態(tài)時(shí)，可能產(chǎn)生很明顯的問(wèn)題。在這種情況下，考慮分類(lèi)問(wèn)題涉及更加廣泛，或者我們?cè)谧鰯?shù)據(jù)分析時(shí)應(yīng)該考慮另一種數(shù)據(jù)分析。

后一種方法我們將在以下章節(jié)詳細(xì)討論。

3樸素貝葉斯的改進(jìn)：核密度估計(jì)

核密度估計(jì)是一種普便的樸素貝葉斯方法，主要解決由每個(gè)連續(xù)值屬性設(shè)為高斯分布所產(chǎn)生的問(wèn)題，正如上一節(jié)所提到的。在[3]文中，作者認(rèn)為連續(xù)屬性值更多是以核密度估計(jì)而不是高斯估計(jì)。

樸素貝葉斯核密度估計(jì)分類(lèi)算法（以下稱(chēng)K-NBC）十分類(lèi)似如NBC，除了在計(jì)算連續(xù)屬性的概率時(shí)：NBC是使用高斯密度函數(shù)來(lái)評(píng)估該屬性，而K-NBC正如它的名字所說(shuō)得一樣，使用高斯核密度函數(shù)來(lái)評(píng)估屬性。它的標(biāo)準(zhǔn)核密度公式為

公式(4)

其中h=σ稱(chēng)為核密度的帶寬，K=g（x,0,1），定義為非負(fù)函數(shù)。這樣公式（4）變形為公式（5）

公式(5)

在K-NBC中采用高斯核密度為數(shù)據(jù)分析，這是因?yàn)楦咚姑芏扔兄硐氲那€特點(diǎn)。圖1說(shuō)明了實(shí)際數(shù)據(jù)的概率分布更接近高斯核密度曲線。

圖1兩種不同的概率密度對(duì)事務(wù)中數(shù)據(jù)的評(píng)估，其中黑線代表高斯密度，虛線為核估計(jì)密度并有兩個(gè)不同值的帶寬樸素貝葉斯算法在計(jì)算μc和σc時(shí)，只需要存儲(chǔ)觀測(cè)值xk的和以及他們的平方和，這對(duì)一個(gè)正態(tài)分布來(lái)說(shuō)是已經(jīng)足夠了。而核密度在訓(xùn)練過(guò)程中需要存儲(chǔ)每一個(gè)連續(xù)屬性的值（在學(xué)習(xí)過(guò)程中，對(duì)名詞性屬性只需要存儲(chǔ)它在樣本中的頻率值，這一點(diǎn)和樸素貝葉斯算法一樣）。而為事例分類(lèi)時(shí)，在計(jì)算連續(xù)值屬性的概率時(shí)，樸素貝葉斯算法只需要評(píng)估g一次，而核密度估計(jì)算法需要對(duì)每個(gè)c類(lèi)中屬性X每一個(gè)觀察值進(jìn)行n次評(píng)估，這就增加計(jì)算存儲(chǔ)空間和時(shí)間復(fù)雜度，表1中對(duì)比了兩種方法的時(shí)間復(fù)雜度和內(nèi)存需求空間。

4實(shí)驗(yàn)研究與結(jié)果分析

本節(jié)的目標(biāo)是評(píng)價(jià)我們提出核密度評(píng)估分類(lèi)算法對(duì)入侵審計(jì)數(shù)據(jù)分類(lèi)的效果，主要從整體檢測(cè)率、檢測(cè)率和誤檢率上來(lái)分析。

表1在給定n條訓(xùn)練事務(wù)和m個(gè)檢測(cè)屬性條件下，

NBC和K-NBC的算法復(fù)雜度

樸素貝葉斯核密度

時(shí)間空間時(shí)間空間

具有n條事務(wù)的訓(xùn)練數(shù)據(jù)O(nm)O(m)O(nm)O(nm)

具有q條事務(wù)的測(cè)試數(shù)據(jù)O(qm)O(qnm)

4.1實(shí)驗(yàn)建立

在實(shí)驗(yàn)中，我們使用NBC與K-NBC進(jìn)行比較。另觀察表1兩種算法的復(fù)雜度，可得知有效的減少檢測(cè)屬性，可以提高他們的運(yùn)算速度，同時(shí)刪除不相關(guān)的檢測(cè)屬性還有可以提高分類(lèi)效率，本文將在下一節(jié)詳細(xì)介紹對(duì)稱(chēng)不確定方法[4]如何對(duì)入侵審計(jì)數(shù)據(jù)的預(yù)處理。我們也會(huì)在實(shí)驗(yàn)中進(jìn)行對(duì)比分析。

我們使用WEKA來(lái)進(jìn)行本次實(shí)驗(yàn)。采用KDDCUP99[5]中的數(shù)據(jù)作為入侵檢測(cè)分類(lèi)器的訓(xùn)練樣本集和測(cè)試樣本集，其中每個(gè)記錄由41個(gè)離散或連續(xù)的屬性(如：持續(xù)時(shí)間，協(xié)議類(lèi)型等)來(lái)描述，并標(biāo)有其所屬的類(lèi)型(如：正?；蚓唧w的攻擊類(lèi)型)。所有數(shù)據(jù)分類(lèi)23類(lèi)，在這里我們把這些類(lèi)網(wǎng)絡(luò)行為分為5大類(lèi)網(wǎng)絡(luò)行為（Normal、DOS、U2R、R2L、Probe）。

在實(shí)驗(yàn)中，由于KDDCUP99有500多萬(wàn)條記錄，為了處理的方便，我們均勻從kddcup.data.gz中按照五類(lèi)網(wǎng)絡(luò)行為抽取了5萬(wàn)條數(shù)據(jù)作為訓(xùn)練樣本集，并把他們分成5組，每組數(shù)據(jù)為10000條，其中normal數(shù)據(jù)占據(jù)整組數(shù)據(jù)中的98.5%，這一點(diǎn)符合真實(shí)環(huán)境中正常數(shù)據(jù)遠(yuǎn)遠(yuǎn)大于入侵?jǐn)?shù)據(jù)的比例。我們首

先檢測(cè)一組數(shù)據(jù)中只有同類(lèi)的入侵的情況，共4組數(shù)據(jù)（DOS中的neptune，Proble中的Satan，U2R中的buffer_overflow，R2l中的guess_passwd），再檢測(cè)一組數(shù)據(jù)中有各種類(lèi)型入侵?jǐn)?shù)據(jù)的情況。待分類(lèi)器得到良好的訓(xùn)練后，再?gòu)腒DD99數(shù)據(jù)中抽取5組數(shù)據(jù)作為測(cè)試樣本，分別代表Noraml-DOS，Normal-Probe，Normal-U2R，Normal-R2L，最后一組為混后型數(shù)據(jù)，每組數(shù)據(jù)為1萬(wàn)條。

4.2數(shù)據(jù)的預(yù)處理

由于樸素貝葉斯有個(gè)假定，即假定所有待測(cè)屬性對(duì)給定類(lèi)的影響?yīng)毩⒂谄渌麑傩缘闹?，然而現(xiàn)實(shí)中的數(shù)據(jù)不總是如此。因此，本文引入對(duì)稱(chēng)不確定理論來(lái)對(duì)數(shù)據(jù)進(jìn)行預(yù)處理，刪除數(shù)據(jù)中不相關(guān)的屬性。

對(duì)稱(chēng)不確定理論是基于信息概念論，首先我們先了解一下信息理論念，屬性X的熵為：

公式(6)

給定一個(gè)觀察變量Y，變量X的熵為:

公式(7)

P(xi)是變量X所有值的先驗(yàn)概率，P(xi|yi)是給定觀察值Y，X的后驗(yàn)概率。這些隨著X熵的降低反映在條件Y下，X額外的信息，我們稱(chēng)之為信息增益，

公式(8)

按照這個(gè)方法，如果IG(X|Y)＞IG(X|Y)，那么屬性Y比起屬性Z來(lái)，與屬性X相關(guān)性更強(qiáng)。

定理：對(duì)兩個(gè)隨機(jī)變量來(lái)說(shuō)，它們之間的信息增益是對(duì)稱(chēng)的。即

公式(9)

對(duì)測(cè)量屬性之間相關(guān)性的方法來(lái)說(shuō)，對(duì)稱(chēng)性是一種比較理想的特性。但是在計(jì)算有很多值的屬性的信息增益時(shí)，結(jié)果會(huì)出現(xiàn)偏差。而且為了確保他們之間可以比較，必須使這些值離散化，同樣也會(huì)引起偏差。因此我們引入對(duì)稱(chēng)不確定性，

公式(10)

通過(guò)以下兩個(gè)步驟來(lái)選擇好的屬性：

①計(jì)算出所有被測(cè)屬性與class的SU值，并把它們按降序方式排列；

②根據(jù)設(shè)定的閾值刪除不相關(guān)的屬性。

最后決定一個(gè)最優(yōu)閾值δ，這里我們通過(guò)分析NBC和K-NBC計(jì)算結(jié)果來(lái)取值。

4.3實(shí)驗(yàn)結(jié)果及分析

在試驗(yàn)中，以記錄正確分類(lèi)的百分比作為分類(lèi)效率的評(píng)估標(biāo)準(zhǔn)，表2為兩種算法的分類(lèi)效率。

表2對(duì)應(yīng)相同入侵類(lèi)型數(shù)據(jù)進(jìn)行檢測(cè)的結(jié)果

數(shù)據(jù)集

算法DOS

(neptune)Proble

(satan)R2L

(guess_passwd)U2R

(buffer_overflow)

檢測(cè)率誤檢率整體檢測(cè)率檢測(cè)率誤檢率整體檢測(cè)率檢測(cè)率誤檢率整體檢測(cè)率檢測(cè)率誤檢率整體檢測(cè)率

NBC99.50.299.7998.30.199.8497.30.899.2951.898.21

K-NBC99.50.299.9698.3099.9697.30.299.81710.199.76

SU+NBC99.5099.9698.30.199.85980.799.2491.198.84

SU+K-NBC99.5099.9698.3099.9698.70.299.76850.199.81

根據(jù)表2四組不同類(lèi)別的入侵檢測(cè)結(jié)果，我們從以下三個(gè)方面分析：

（1）整體檢測(cè)率。K-NBC的整體檢測(cè)率要比NBC高，這是因?yàn)镵-NBC在對(duì)normal這一類(lèi)數(shù)據(jù)的檢測(cè)率要比NBC高，而normal這一類(lèi)數(shù)據(jù)又占整個(gè)檢測(cè)數(shù)據(jù)集數(shù)的95%以上，這也說(shuō)明了在上一節(jié)提到的normal類(lèi)的數(shù)據(jù)分布曲線更加接近核密度曲線。

（2）檢測(cè)率。在對(duì)DOS和PROBLE這兩組數(shù)據(jù)檢測(cè)結(jié)果，兩個(gè)算法的檢測(cè)率都相同，這是因?yàn)檫@兩類(lèi)入侵行為在實(shí)現(xiàn)入侵中占絕大部分，而且這一類(lèi)數(shù)據(jù)更容易檢測(cè)，所以?xún)煞N算法的檢測(cè)效果比較接近；針對(duì)R2L檢測(cè)，從表2可以看到，在沒(méi)有進(jìn)行數(shù)據(jù)預(yù)處理之前，兩者的的檢測(cè)率相同，但經(jīng)過(guò)數(shù)據(jù)預(yù)處理后的兩個(gè)算法的檢測(cè)率都有了提高，而K-NBC的效率比NBC更好點(diǎn)；而對(duì)U2R的檢測(cè)結(jié)果，K-NBC就比NBC差一點(diǎn)，經(jīng)過(guò)數(shù)據(jù)預(yù)處理后，K-NBC的檢測(cè)率有一定的提高，但還是比NBC的效果差一些。

（3）誤檢率。在DOS和Proble這兩種組數(shù)據(jù)的誤檢率相同，在其他兩組數(shù)據(jù)的中，K-NBC的誤檢率都比NBC的低。

根據(jù)表3的結(jié)果分析，我們也可以看到的檢測(cè)結(jié)果與表2的分組檢測(cè)的結(jié)果比較類(lèi)似，并且從綜合角度來(lái)說(shuō)，K-NBC檢測(cè)效果要比NBC的好。在這里，我們也發(fā)現(xiàn)，兩種算法對(duì)R2L和U2L這兩類(lèi)入侵的檢測(cè)效果要比DOS和Proble這兩類(lèi)入侵的差。這主要是因?yàn)檫@兩類(lèi)入侵屬于入侵行為的稀有類(lèi)，檢測(cè)難度也相應(yīng)加大。在KDD99競(jìng)賽中，冠軍方法對(duì)這兩類(lèi)的檢測(cè)效果也是最差的。但我們可以看到NBC對(duì)這種稀有類(lèi)的入侵行為檢測(cè)更為準(zhǔn)確一點(diǎn)，這應(yīng)該是稀有類(lèi)的分布更接近正態(tài)分布。

從上述各方面綜合分析，我們可以證明K-NBC作為的入侵檢測(cè)分類(lèi)算法的是有其優(yōu)越性的。

表3對(duì)混合入侵類(lèi)型數(shù)據(jù)進(jìn)行檢測(cè)的結(jié)果

數(shù)據(jù)集

算法整體檢測(cè)分類(lèi)檢測(cè)

NormalDosProbleR2LU2R

檢測(cè)率誤檢率檢測(cè)率誤檢率檢測(cè)率誤檢率檢測(cè)率誤檢率檢測(cè)率誤檢率檢測(cè)率誤檢率

NBC98.141.898.20.899.8099.8090086.71.8

K-NBC99.780.299.82.399.8099.8096073.30.1

SU+NBC97.992.0980.899.8099.8090086.71.9

SU+K-NBC99.790.299.81.999.8099.80960800.1

5結(jié)論

在本文中，我們用高斯核密度函數(shù)代替樸素貝葉斯中的高斯函數(shù)，建立K-NBC分類(lèi)器，對(duì)入侵行為進(jìn)行檢測(cè)，另我們使用對(duì)稱(chēng)不確定方法來(lái)刪除檢測(cè)數(shù)據(jù)的中與類(lèi)不相關(guān)的屬性，從而進(jìn)一步改進(jìn)核密度樸素貝葉斯的分類(lèi)效率，實(shí)驗(yàn)表明，對(duì)預(yù)處理后的審計(jì)數(shù)據(jù)，再結(jié)合K-NBC來(lái)檢測(cè)，可以達(dá)到更好的分類(lèi)效果，具有很好的實(shí)用性。同時(shí)我們也注意到，由于入侵檢測(cè)的數(shù)據(jù)中的入侵行為一般為稀有類(lèi)，特別是對(duì)R2L和U2R這兩類(lèi)數(shù)據(jù)進(jìn)行檢測(cè)時(shí)，NBC有著比較理想的結(jié)果，所以在下一步工作中，我們看是否能把NBC和K－NBC這兩種分類(lèi)模型和優(yōu)點(diǎn)聯(lián)合起來(lái)，并利用對(duì)稱(chēng)不確定理論來(lái)刪除檢測(cè)數(shù)據(jù)與類(lèi)相關(guān)的屬性中的冗余屬性，進(jìn)一步提高入侵檢測(cè)效率。

參考文獻(xiàn)

[1]Langley.P.，Iba，W.&Thompson，K.AnanalysisofBayesianclassifiers[A]，in“ProceedingsoftheTenthNationalConferenceonArtificialIntelligence”[C]MenloPark，1992.223-228

[2]HanJ.，KamberM..數(shù)據(jù)挖掘概念與技術(shù)[M].孟小峰，等譯.北京：機(jī)械工業(yè)出版社.2005.196201

篇5

 

0 前言

隨著互聯(lián)網(wǎng)的飛速發(fā)展，信息網(wǎng)絡(luò)已經(jīng)進(jìn)入千家萬(wàn)戶(hù)，各國(guó)都在加速信息化建設(shè)的進(jìn)程，越來(lái)越多的電子業(yè)務(wù)正在網(wǎng)絡(luò)上開(kāi)展，這加速了全球信息化的進(jìn)程，促進(jìn)了社會(huì)各個(gè)領(lǐng)域的發(fā)展，與此同時(shí)計(jì)算機(jī)網(wǎng)絡(luò)也受到越來(lái)越多的惡意攻擊[1]，例如網(wǎng)頁(yè)內(nèi)容被篡改、消費(fèi)者網(wǎng)上購(gòu)物信用卡帳號(hào)和密碼被盜、大型網(wǎng)站被黑客攻擊無(wú)法提供正常服務(wù)等等。

入侵檢測(cè)作為傳統(tǒng)計(jì)算機(jī)安全機(jī)制的補(bǔ)充[2]，它的開(kāi)發(fā)與應(yīng)用擴(kuò)大了網(wǎng)絡(luò)與系統(tǒng)安全的保護(hù)縱深，成為目前動(dòng)態(tài)安全工具的主要研究和開(kāi)發(fā)的方向。隨著系統(tǒng)漏洞不斷被發(fā)現(xiàn)，攻擊不斷發(fā)生，入侵檢測(cè)系統(tǒng)在整個(gè)安全系統(tǒng)中的地位不斷提高，所發(fā)揮的作用也越來(lái)越大。無(wú)論是從事網(wǎng)絡(luò)安全研究的學(xué)者，還是從事入侵檢測(cè)產(chǎn)品開(kāi)發(fā)的企業(yè)，都越來(lái)越重視入侵檢測(cè)技術(shù)。

本文在校園網(wǎng)的環(huán)境下，提出了一種基于Snort的三層入侵檢測(cè)系統(tǒng)，詳細(xì)介紹了該系統(tǒng)的體系結(jié)構(gòu)，各個(gè)模塊的具體功能以及如何實(shí)現(xiàn)，并最終將該系統(tǒng)應(yīng)用于校園網(wǎng)絡(luò)中進(jìn)行檢測(cè)網(wǎng)絡(luò)安全論文，確保校園網(wǎng)絡(luò)的安全。

1 Snort入侵檢測(cè)系統(tǒng)介紹

Snort[3]是一種基于網(wǎng)絡(luò)的輕量級(jí)入侵檢測(cè)系統(tǒng)，建立在數(shù)據(jù)包嗅探器上。它能實(shí)時(shí)分析網(wǎng)絡(luò)上的數(shù)據(jù)包，檢測(cè)來(lái)自網(wǎng)絡(luò)的攻擊。它能方便地安裝和配置在網(wǎng)絡(luò)的任何一節(jié)點(diǎn)上，而且不會(huì)對(duì)網(wǎng)絡(luò)運(yùn)行產(chǎn)生太大的影響，同時(shí)它還具有跨系統(tǒng)平臺(tái)操作、最小的系統(tǒng)要求以及易于部署和配置等特征，并且管理員能夠利用它在短時(shí)間內(nèi)通過(guò)修改配置進(jìn)行實(shí)時(shí)的安全響應(yīng)。它能夠?qū)崟r(shí)分析數(shù)據(jù)流量和日志IP網(wǎng)絡(luò)數(shù)據(jù)包，能夠進(jìn)行協(xié)議分析，對(duì)內(nèi)容進(jìn)行搜索/匹配。其次它還可以檢測(cè)各種不同的攻擊方式，對(duì)攻擊進(jìn)行實(shí)時(shí)警報(bào)。總的來(lái)說(shuō)，Snort具有如下的優(yōu)點(diǎn)：

（1）高效的檢測(cè)和模式匹配算法，使性能大大提升。

（2）良好的擴(kuò)展性，它采用了插入式檢測(cè)引擎，可以作為標(biāo)準(zhǔn)的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)、主機(jī)入侵檢測(cè)系統(tǒng)使用；與Netfilter結(jié)合使用，可以作為網(wǎng)關(guān)IDS(Gateway IDS，GIDS)；與NMAP等系統(tǒng)指紋識(shí)別工具結(jié)合使用，可以作為基于目標(biāo)的TIDS(Target-basedIDS)。

（3）出色的協(xié)議分析能力，Snort能夠分析的協(xié)議有TCP,UDP和ICMP。將來(lái)的版本，將提供對(duì)ARP.ICRP,GRE,OSPF,RIP,ERIP,IPX,APPLEX等協(xié)議的支持。它能夠檢測(cè)多種方式的攻擊和探測(cè)，例如：緩沖區(qū)溢出，CGI攻擊，SMB檢測(cè)，端口掃描等等中國(guó)期刊全文數(shù)據(jù)庫(kù)。

（4）支持多種格式的特征碼規(guī)則輸入方式，如數(shù)據(jù)庫(kù)、XML等。

Snort同時(shí)遵循GPL（公用許可License），任何組織或者個(gè)人都可以自由使用，這是商業(yè)入侵檢測(cè)軟件所不具備的優(yōu)點(diǎn)?；谝陨系奶攸c(diǎn)，本文采用了Snort作為系統(tǒng)設(shè)計(jì)的基礎(chǔ)，自主開(kāi)發(fā)設(shè)計(jì)了三層結(jié)構(gòu)的入侵檢測(cè)系統(tǒng)。

2 入侵檢測(cè)三層體系結(jié)構(gòu)

Snort入侵檢測(cè)系統(tǒng)可采用單層或多層的體系結(jié)構(gòu)，對(duì)于單層[4]的結(jié)構(gòu)來(lái)說(shuō)，它將入侵檢測(cè)的核心功能和日志信息混合放在同一層面上，這樣的系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)均比較簡(jiǎn)單，但它的缺點(diǎn)是交互性比較差，擴(kuò)展性不好，操作管理比較繁瑣，系統(tǒng)的升級(jí)維護(hù)比較復(fù)雜。為了設(shè)計(jì)一個(gè)具有靈活性、安全性和可擴(kuò)展性的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，本文的系統(tǒng)采用了三層體系結(jié)構(gòu)，主要包括網(wǎng)絡(luò)入侵檢測(cè)層、數(shù)據(jù)庫(kù)服務(wù)器層和日志分析控制臺(tái)層。系統(tǒng)的三層體系結(jié)構(gòu)如圖4.1所示。

圖4.1 三層體系結(jié)構(gòu)圖

（1）網(wǎng)絡(luò)入侵檢測(cè)層主要實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的實(shí)時(shí)捕獲，監(jiān)控和對(duì)數(shù)據(jù)進(jìn)行分析以找出可能存在的入侵。

（2）數(shù)據(jù)庫(kù)服務(wù)器層主要是從入侵檢測(cè)系統(tǒng)中收集報(bào)警數(shù)據(jù)，并將它存入到關(guān)系數(shù)據(jù)庫(kù)中網(wǎng)絡(luò)安全論文，以便用戶(hù)進(jìn)行復(fù)雜的查詢(xún)，和更好地管理報(bào)警信息。

（3）日志分析控制臺(tái)層是數(shù)據(jù)顯示層，網(wǎng)絡(luò)管理員可通過(guò)瀏覽器本地的Web服務(wù)器，訪問(wèn)關(guān)系數(shù)據(jù)庫(kù)中的數(shù)據(jù)，對(duì)報(bào)警日志信息進(jìn)行查詢(xún)與管理，提供了很好的人機(jī)交互界面。

2.1 網(wǎng)絡(luò)入侵檢測(cè)層

網(wǎng)絡(luò)入侵檢測(cè)層是整個(gè)系統(tǒng)的核心所在，主要負(fù)責(zé)數(shù)據(jù)的采集、分析、判斷是否存在入侵行為，并通過(guò)Snort的輸出插件將數(shù)據(jù)送入數(shù)據(jù)庫(kù)服務(wù)器中。Snort沒(méi)有自己的數(shù)據(jù)采集工具，它需要外部的數(shù)據(jù)包捕獲程序庫(kù)winpcap[4]，因此本部分主要包括兩個(gè)組件：winpcap和Snort。winpcap是由伯克利分組捕獲庫(kù)派生而來(lái)的分組捕獲庫(kù)，它在Windows操作平臺(tái)上實(shí)現(xiàn)底層包的截取過(guò)濾，它提供了Win32應(yīng)用程序提供訪問(wèn)網(wǎng)絡(luò)底層的能力。通過(guò)安裝winpcap和Snort兩個(gè)開(kāi)源軟件，搭建了一個(gè)基本的入侵檢測(cè)層，基本上完成了一個(gè)簡(jiǎn)單的單層入侵檢測(cè)系統(tǒng)。

2.2 數(shù)據(jù)庫(kù)服務(wù)器模塊

數(shù)據(jù)庫(kù)服務(wù)器層主要是從入侵檢測(cè)系統(tǒng)中收集報(bào)警數(shù)據(jù)，并將它存入到關(guān)系數(shù)據(jù)庫(kù)中。除了將報(bào)警數(shù)據(jù)寫(xiě)入關(guān)系數(shù)據(jù)庫(kù)，Snort還可以用其他方式記錄警報(bào)，如系統(tǒng)日志syslog[5]，統(tǒng)一格式輸出unified等。利用關(guān)系數(shù)據(jù)庫(kù)對(duì)數(shù)據(jù)量相當(dāng)大的報(bào)警數(shù)據(jù)進(jìn)行組織管理是最實(shí)用的方法。報(bào)警存入關(guān)系數(shù)據(jù)庫(kù)后能對(duì)其進(jìn)行分類(lèi)，查詢(xún)和按優(yōu)先級(jí)組織排序等。在本系統(tǒng)中我們采用MySQL數(shù)據(jù)庫(kù)。MySQL是一個(gè)快速的客戶(hù)機(jī)/服務(wù)器結(jié)構(gòu)的SQL數(shù)據(jù)庫(kù)管理系統(tǒng)，功能強(qiáng)大、靈活性好、應(yīng)用編程接口豐富并且系統(tǒng)結(jié)構(gòu)精巧。MySQL數(shù)據(jù)庫(kù)采用默認(rèn)方式安裝后，設(shè)置MySQL為服務(wù)方式運(yùn)行。然后啟動(dòng)MySQL服務(wù)，進(jìn)入命令行狀態(tài)，創(chuàng)建Snort運(yùn)行必需的存放系統(tǒng)日志的Snort庫(kù)和Snort_archive庫(kù)。同時(shí)使用Snort目錄下的create_mysql腳本建立Snort運(yùn)行所需的數(shù)據(jù)表，用來(lái)存放系統(tǒng)日志和報(bào)警信息，數(shù)據(jù)庫(kù)服務(wù)器模塊就可以使用了。

2.3 日志分析控制臺(tái)

日志分析控制臺(tái)用來(lái)分析和處理Snort收集的入侵?jǐn)?shù)據(jù)，以友好、便于查詢(xún)的方式顯示日志數(shù)據(jù)庫(kù)發(fā)送過(guò)來(lái)的報(bào)警信息，并可按照不同的方式對(duì)信息進(jìn)行分類(lèi)統(tǒng)計(jì)，將結(jié)果顯示給用戶(hù)。本文所設(shè)計(jì)的警報(bào)日志分析系統(tǒng)采用上面所述的中心管理控制平臺(tái)模式，在保護(hù)目標(biāo)網(wǎng)絡(luò)中構(gòu)建一個(gè)中心管理控制平臺(tái)，并與網(wǎng)絡(luò)中架設(shè)的Snort入侵檢測(cè)系統(tǒng)及MySQL數(shù)據(jù)庫(kù)通信，達(dá)到以下一些目的：

(1)能夠適應(yīng)較大規(guī)模的網(wǎng)絡(luò)環(huán)境；

(2)簡(jiǎn)化規(guī)則配置模式，便于用戶(hù)遠(yuǎn)程修改Snort入侵檢測(cè)系統(tǒng)的檢測(cè)規(guī)則；

(3)降低警報(bào)數(shù)據(jù)量，通過(guò)多次數(shù)據(jù)分類(lèi)分析，找出危害重大的攻擊行為；

(4)減少Snort的警報(bào)數(shù)據(jù)在MySQL數(shù)據(jù)庫(kù)中的存儲(chǔ)量，降低運(yùn)行系統(tǒng)的負(fù)擔(dān)；

(5)將分析后的警報(bào)數(shù)據(jù)制成報(bào)表形式輸出，降低對(duì)于管理員的要求。

為了完成以上所述的目的，提高Snort入侵檢測(cè)系統(tǒng)的使用效率，本子系統(tǒng)主要分為以下三個(gè)模塊：規(guī)則配置模塊網(wǎng)絡(luò)安全論文，數(shù)據(jù)分析模塊，報(bào)表模塊。本子系統(tǒng)框架如圖4.4所示：

圖4.4 Snort警報(bào)日志系統(tǒng)框架

（1）規(guī)則配置模塊：起到簡(jiǎn)化用戶(hù)配置Snort檢測(cè)規(guī)則的作用。此模塊主要與Snort運(yùn)行主機(jī)系統(tǒng)上的一個(gè)守護(hù)程序通信，修改Snort的配置文件――Snort.conf，從而完成改變檢測(cè)規(guī)則的目。中心控制管理平臺(tái)在本地系統(tǒng)上備份snort.conf文件以及所有規(guī)則文件，當(dāng)需要修改某個(gè)Snort入侵檢測(cè)系統(tǒng)的規(guī)則配置時(shí)，就可以通過(guò)平臺(tái)接口首先修改本地對(duì)應(yīng)的snort.conf文件以及所有規(guī)則文件，然后通過(guò)與Snort運(yùn)行系統(tǒng)中守護(hù)程序通信，將本地系統(tǒng)上修改后的snort.conf文件以及所有規(guī)則文件傳輸?shù)絊nort運(yùn)行系統(tǒng)中并且覆蓋掉運(yùn)行系統(tǒng)中的原配置文件和原規(guī)則文件集，然后重新啟動(dòng)Snort，達(dá)到重新配置Snort檢測(cè)規(guī)則的目的。

（2）數(shù)據(jù)分析模塊：主要利用改進(jìn)的Apriori算法對(duì)數(shù)據(jù)庫(kù)的日志進(jìn)行分析，通過(guò)關(guān)聯(lián)規(guī)則挖掘，生成一些新的檢測(cè)規(guī)則用來(lái)改進(jìn)snort本身的檢測(cè)規(guī)則，分析警報(bào)數(shù)據(jù)，降低輸出的警報(bào)數(shù)據(jù)量，集中顯示危害較為嚴(yán)重的入侵行為。數(shù)據(jù)分析模塊是整個(gè)中心管理控制中心的核心模塊。本模塊通過(guò)挖掘保存在Mysql數(shù)據(jù)庫(kù)中Snort異常日志數(shù)據(jù)來(lái)發(fā)現(xiàn)這些入侵?jǐn)?shù)據(jù)之間的關(guān)聯(lián)關(guān)系，通過(guò)發(fā)現(xiàn)入侵?jǐn)?shù)據(jù)的強(qiáng)關(guān)聯(lián)規(guī)則來(lái)發(fā)現(xiàn)新的未知入侵行為，建立新的Snort檢測(cè)規(guī)則，進(jìn)一步優(yōu)化Snort系統(tǒng)的規(guī)則鏈表中國(guó)期刊全文數(shù)據(jù)庫(kù)。具體的步驟如下：

先對(duì)Snort異常日志進(jìn)行數(shù)據(jù)預(yù)處理。數(shù)據(jù)預(yù)處理中先計(jì)算出每個(gè)網(wǎng)絡(luò)特征屬性的信息增益值，然后取出前面11個(gè)重要的網(wǎng)絡(luò)特征，把原來(lái)要分析的多個(gè)網(wǎng)絡(luò)特征減少到11個(gè)重要的網(wǎng)絡(luò)特征，這樣就大大減小了整個(gè)算法的復(fù)雜度，也有利提高檢測(cè)速度。歷史日志經(jīng)過(guò)預(yù)處理之后，我們就可以采用改進(jìn)的Apriori算法求出所有頻繁項(xiàng)集。在產(chǎn)生頻繁項(xiàng)集之前，我們需要設(shè)定最小支持度，最小支持度設(shè)置得越低，產(chǎn)生的頻繁項(xiàng)集就會(huì)越多，反之就會(huì)越少。通常，最小支持度的設(shè)定有賴(lài)于領(lǐng)域?qū)＜业姆治龊蛯?shí)驗(yàn)數(shù)據(jù)分析兩種手段。經(jīng)過(guò)反復(fù)實(shí)驗(yàn)，最終采用模擬仿真的攻擊數(shù)據(jù)進(jìn)行規(guī)則推導(dǎo)，設(shè)定最小支持度10%、可信度80%。訓(xùn)練結(jié)束時(shí)頭100條質(zhì)量最好的規(guī)則作為最終的檢測(cè)規(guī)則。把關(guān)聯(lián)規(guī)則中與Snort規(guī)則頭相關(guān)的項(xiàng)放在一起充當(dāng)規(guī)則頭，與Snort規(guī)則選項(xiàng)相關(guān)的項(xiàng)放在一起充當(dāng)規(guī)則選項(xiàng)，然后把規(guī)則頭與規(guī)則選項(xiàng)合并在一起形成Snort入侵檢測(cè)規(guī)則。

（3）報(bào)表模塊：將分析后的數(shù)據(jù)庫(kù)中的警報(bào)數(shù)據(jù)制成報(bào)表輸出，降低對(duì)于管理員的要求。報(bào)表模塊是為了簡(jiǎn)化管理員觀察數(shù)據(jù)，美觀輸出而創(chuàng)建，通過(guò).net的報(bào)表編寫(xiě)完成。報(bào)表是高彈性的報(bào)表設(shè)計(jì)器，用于報(bào)表的數(shù)據(jù)可以從任何類(lèi)型的數(shù)據(jù)源獲取，包含字符列表，BDE數(shù)據(jù)庫(kù)網(wǎng)絡(luò)安全論文，ADO數(shù)據(jù)源（不使用BDE），Interbase（使用IBO），Pascal數(shù)組和記錄，以及一些不常用的數(shù)據(jù)源。

該系統(tǒng)采用Microsoft Visual Studio 2008進(jìn)行開(kāi)發(fā)，語(yǔ)言采用C#。具體如下圖：

圖4.5 日志分析控制臺(tái)

 

3 系統(tǒng)實(shí)際運(yùn)行效果

集美大學(xué)誠(chéng)毅學(xué)院作為一個(gè)獨(dú)立學(xué)院，為了更好的滿(mǎn)足學(xué)院師生對(duì)信息資源的需求，部署了自己的web服務(wù)器，ftp服務(wù)器，英語(yǔ)網(wǎng)絡(luò)自主學(xué)習(xí)等教學(xué)平臺(tái)，有了豐富的網(wǎng)絡(luò)信息資源。學(xué)院隨著網(wǎng)絡(luò)應(yīng)用的不斷展開(kāi)，使用者越來(lái)越多，網(wǎng)絡(luò)安全狀況也出現(xiàn)很多問(wèn)題，比如學(xué)院的web服務(wù)器曾經(jīng)出現(xiàn)掛馬事件，ftp服務(wù)器被入侵等事件也相繼出現(xiàn)。為了解決該問(wèn)題，部署屬于自己的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，用來(lái)檢測(cè)入侵事件，提高校園網(wǎng)絡(luò)的安全情況就成為必須要解決的問(wèn)題。該系統(tǒng)目前已經(jīng)在集美大學(xué)誠(chéng)毅學(xué)院使用，檢測(cè)效果很好，有效的防范了網(wǎng)絡(luò)安全事件的發(fā)生，能夠及時(shí)對(duì)攻擊事件進(jìn)行檢測(cè)，從而采取相對(duì)應(yīng)的防范措施。

[參考文獻(xiàn)]

[1]RobFliCkenger.LinnxServerHaeks.北京:清華大學(xué)出版社，2004.5, 132-135

[2]蔣建春，馮登國(guó).網(wǎng)絡(luò)入侵監(jiān)測(cè)原理與技術(shù).北京:國(guó)防工業(yè)出版社，2001.

[3]ForrestS,HofmeyrS,SomayajiA.Computerimmunology.Communicationsof the ACM,1997.40(10).88-96.

[4]Jack Koziol著.吳溥峰，孫默，許誠(chéng)等譯.Snort入侵檢測(cè)實(shí)用解決方案.北京:機(jī)械工業(yè)出版社.2005.

篇6

在網(wǎng)絡(luò)技術(shù)日新月異的今天，寫(xiě)作論文基于網(wǎng)絡(luò)的計(jì)算機(jī)應(yīng)用已經(jīng)成為發(fā)展的主流。政府、教育、商業(yè)、金融等機(jī)構(gòu)紛紛聯(lián)入Internet，全社會(huì)信息共享已逐步成為現(xiàn)實(shí)。然而，近年來(lái)，網(wǎng)上黑客的攻擊活動(dòng)正以每年10倍的速度增長(zhǎng)。因此，保證計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)以及整個(gè)信息基礎(chǔ)設(shè)施的安全已經(jīng)成為刻不容緩的重要課題。

1防火墻

目前防范網(wǎng)絡(luò)攻擊最常用的方法是構(gòu)建防火墻。

防火墻作為一種邊界安全的手段，在網(wǎng)絡(luò)安全保護(hù)中起著重要作用。其主要功能是控制對(duì)網(wǎng)絡(luò)的非法訪問(wèn)，通過(guò)監(jiān)視、限制、更改通過(guò)網(wǎng)絡(luò)的數(shù)據(jù)流，一方面盡可能屏蔽內(nèi)部網(wǎng)的拓?fù)浣Y(jié)構(gòu)，另一方面對(duì)內(nèi)屏蔽外部危險(xiǎn)站點(diǎn)，以防范外對(duì)內(nèi)的非法訪問(wèn)。然而，防火墻存在明顯的局限性。

(1)入侵者可以找到防火墻背后可能敞開(kāi)的后門(mén)。如同深宅大院的高大院墻不能擋住老鼠的偷襲一樣，防火墻有時(shí)無(wú)法阻止入侵者的攻擊。

(2)防火墻不能阻止來(lái)自?xún)?nèi)部的襲擊。調(diào)查發(fā)現(xiàn)，50％的攻擊都將來(lái)自于網(wǎng)絡(luò)內(nèi)部。

(3)由于性能的限制，防火墻通常不能提供實(shí)時(shí)的入侵檢測(cè)能力。寫(xiě)作畢業(yè)論文而這一點(diǎn)，對(duì)于層出不窮的網(wǎng)絡(luò)攻擊技術(shù)來(lái)說(shuō)是至關(guān)重要的。

因此，在Internet入口處部署防火墻系統(tǒng)是不能確保安全的。單純的防火墻策略已經(jīng)無(wú)法滿(mǎn)足對(duì)安全高度敏感部門(mén)的需要，網(wǎng)絡(luò)的防衛(wèi)必須采用一種縱深的、多樣化的手段。

由于傳統(tǒng)防火墻存在缺陷，引發(fā)了入侵檢測(cè)IDS(IntrusionDetectionSystem)的研究和開(kāi)發(fā)。入侵檢測(cè)是防火墻之后的第二道安全閘門(mén)，是對(duì)防火墻的合理補(bǔ)充，在不影響網(wǎng)絡(luò)性能的情況下，通過(guò)對(duì)網(wǎng)絡(luò)的監(jiān)測(cè)，幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展系統(tǒng)管理員的安全管理能力(包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng))，提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性，提供對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)?，F(xiàn)在，入侵檢測(cè)已經(jīng)成為網(wǎng)絡(luò)安全中一個(gè)重要的研究方向，在各種不同的網(wǎng)絡(luò)環(huán)境中發(fā)揮重要作用。

2入侵檢測(cè)

2．1入侵檢測(cè)

入侵檢測(cè)是通過(guò)從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)違反安全策略的行為和遭到攻擊的跡象，并做出自動(dòng)的響應(yīng)。其主要功能是對(duì)用戶(hù)和系統(tǒng)行為的監(jiān)測(cè)與分析、系統(tǒng)配置和漏洞的審計(jì)檢查、重要系統(tǒng)和數(shù)據(jù)文件的完整性評(píng)估、已知的攻擊行為模式的識(shí)別、異常行為模式的統(tǒng)計(jì)分析、操作系統(tǒng)的審計(jì)跟蹤管理及違反安全策略的用戶(hù)行為的識(shí)別。入侵檢測(cè)通過(guò)迅速地檢測(cè)入侵，在可能造成系統(tǒng)損壞或數(shù)據(jù)丟失之前，識(shí)別并驅(qū)除入侵者，使系統(tǒng)迅速恢復(fù)正常工作，并且阻止入侵者進(jìn)一步的行動(dòng)。同時(shí)，收集有關(guān)入侵的技術(shù)資料，用于改進(jìn)和增強(qiáng)系統(tǒng)抵抗入侵的能力。

入侵檢測(cè)可分為基于主機(jī)型、基于網(wǎng)絡(luò)型、基于型三類(lèi)。從20世紀(jì)90年代至今，寫(xiě)作英語(yǔ)論文已經(jīng)開(kāi)發(fā)出一些入侵檢測(cè)的產(chǎn)品，其中比較有代表性的產(chǎn)品有ISS(IntemetSecuritySystem)公司的Realsecure，NAI(NetworkAssociates，Inc)公司的Cybercop和Cisco公司的NetRanger。

2．2檢測(cè)技術(shù)

入侵檢測(cè)為網(wǎng)絡(luò)安全提供實(shí)時(shí)檢測(cè)及攻擊行為檢測(cè)，并采取相應(yīng)的防護(hù)手段。例如，實(shí)時(shí)檢測(cè)通過(guò)記錄證據(jù)來(lái)進(jìn)行跟蹤、恢復(fù)、斷開(kāi)網(wǎng)絡(luò)連接等控制；攻擊行為檢測(cè)注重于發(fā)現(xiàn)信息系統(tǒng)中可能已經(jīng)通過(guò)身份檢查的形跡可疑者，進(jìn)一步加強(qiáng)信息系統(tǒng)的安全力度。入侵檢測(cè)的步驟如下：

收集系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶(hù)活動(dòng)的狀態(tài)和行為的信息

入侵檢測(cè)一般采用分布式結(jié)構(gòu)，在計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干不同關(guān)鍵點(diǎn)(不同網(wǎng)段和不同主機(jī))收集信息，一方面擴(kuò)大檢測(cè)范圍，另一方面通過(guò)多個(gè)采集點(diǎn)的信息的比較來(lái)判斷是否存在可疑現(xiàn)象或發(fā)生入侵行為。

入侵檢測(cè)所利用的信息一般來(lái)自以下4個(gè)方面：系統(tǒng)和網(wǎng)絡(luò)日志文件、目錄和文件中的不期望的改變、程序執(zhí)行中的不期望行為、物理形式的入侵信息。

(2)根據(jù)收集到的信息進(jìn)行分析

常用的分析方法有模式匹配、統(tǒng)計(jì)分析、完整性分析。模式匹配是將收集到的信息與已知的網(wǎng)絡(luò)入侵和系統(tǒng)誤用模式數(shù)據(jù)庫(kù)進(jìn)行比較，從而發(fā)現(xiàn)違背安全策略的行為。

統(tǒng)計(jì)分析方法首先給系統(tǒng)對(duì)象(如用戶(hù)、文件、目錄和設(shè)備等)創(chuàng)建一個(gè)統(tǒng)計(jì)描述，統(tǒng)計(jì)正常使用時(shí)的一些測(cè)量屬性。測(cè)量屬性的平均值將被用來(lái)與網(wǎng)絡(luò)、系統(tǒng)的行為進(jìn)行比較。當(dāng)觀察值超出正常值范圍時(shí)，就有可能發(fā)生入侵行為。該方法的難點(diǎn)是閾值的選擇，閾值太小可能產(chǎn)生錯(cuò)誤的入侵報(bào)告，閾值太大可能漏報(bào)一些入侵事件。

完整性分析主要關(guān)注某個(gè)文件或?qū)ο笫欠癖桓?，包括文件和目錄的?nèi)容及屬性。該方法能有效地防范特洛伊木馬的攻擊。

3分類(lèi)及存在的問(wèn)題

入侵檢測(cè)通過(guò)對(duì)入侵和攻擊行為的檢測(cè)，查出系統(tǒng)的入侵者或合法用戶(hù)對(duì)系統(tǒng)資源的濫用和誤用。寫(xiě)作工作總結(jié)根據(jù)不同的檢測(cè)方法，將入侵檢測(cè)分為異常入侵檢測(cè)(AnomalyDetection)和誤用人侵檢測(cè)(MisuseDetection)。

3．1異常檢測(cè)

又稱(chēng)為基于行為的檢測(cè)。其基本前提是：假定所有的入侵行為都是異常的。首先建立系統(tǒng)或用戶(hù)的“正?！毙袨樘卣鬏喞?，通過(guò)比較當(dāng)前的系統(tǒng)或用戶(hù)的行為是否偏離正常的行為特征輪廓來(lái)判斷是否發(fā)生了入侵。此方法不依賴(lài)于是否表現(xiàn)出具體行為來(lái)進(jìn)行檢測(cè)，是一種間接的方法。

常用的具體方法有：統(tǒng)計(jì)異常檢測(cè)方法、基于特征選擇異常檢測(cè)方法、基于貝葉斯推理異常檢測(cè)方法、基于貝葉斯網(wǎng)絡(luò)異常檢測(cè)方法、基于模式預(yù)測(cè)異常檢測(cè)方法、基于神經(jīng)網(wǎng)絡(luò)異常檢測(cè)方法、基于機(jī)器學(xué)習(xí)異常檢測(cè)方法、基于數(shù)據(jù)采掘異常檢測(cè)方法等。

采用異常檢測(cè)的關(guān)鍵問(wèn)題有如下兩個(gè)方面：

(1)特征量的選擇

在建立系統(tǒng)或用戶(hù)的行為特征輪廓的正常模型時(shí)，選取的特征量既要能準(zhǔn)確地體現(xiàn)系統(tǒng)或用戶(hù)的行為特征，又能使模型最優(yōu)化，即以最少的特征量就能涵蓋系統(tǒng)或用戶(hù)的行為特征。

(2)參考閾值的選定

由于異常檢測(cè)是以正常的特征輪廓作為比較的參考基準(zhǔn)，因此，參考閾值的選定是非常關(guān)鍵的。

閾值設(shè)定得過(guò)大，那漏警率會(huì)很高；閾值設(shè)定的過(guò)小，則虛警率就會(huì)提高。合適的參考閾值的選定是決定這一檢測(cè)方法準(zhǔn)確率的至關(guān)重要的因素。

由此可見(jiàn)，異常檢測(cè)技術(shù)難點(diǎn)是“正常”行為特征輪廓的確定、特征量的選取、特征輪廓的更新。由于這幾個(gè)因素的制約，異常檢測(cè)的虛警率很高，但對(duì)于未知的入侵行為的檢測(cè)非常有效。此外，由于需要實(shí)時(shí)地建立和更新系統(tǒng)或用戶(hù)的特征輪廓，這樣所需的計(jì)算量很大，對(duì)系統(tǒng)的處理性能要求很高。

3．2誤用檢測(cè)

又稱(chēng)為基于知識(shí)的檢測(cè)。其基本前提是：假定所有可能的入侵行為都能被識(shí)別和表示。首先，寫(xiě)作留學(xué)生論文對(duì)已知的攻擊方法進(jìn)行攻擊簽名(攻擊簽名是指用一種特定的方式來(lái)表示已知的攻擊模式)表示，然后根據(jù)已經(jīng)定義好的攻擊簽名，通過(guò)判斷這些攻擊簽名是否出現(xiàn)來(lái)判斷入侵行為的發(fā)生與否。這種方法是依據(jù)是否出現(xiàn)攻擊簽名來(lái)判斷入侵行為，是一種直接的方法。

常用的具體方法有：基于條件概率誤用入侵檢測(cè)方法、基于專(zhuān)家系統(tǒng)誤用入侵檢測(cè)方法、基于狀態(tài)遷移分析誤用入侵檢測(cè)方法、基于鍵盤(pán)監(jiān)控誤用入侵檢測(cè)方法、基于模型誤用入侵檢測(cè)方法。誤用檢測(cè)的關(guān)鍵問(wèn)題是攻擊簽名的正確表示。

誤用檢測(cè)是根據(jù)攻擊簽名來(lái)判斷入侵的，根據(jù)對(duì)已知的攻擊方法的了解，用特定的模式語(yǔ)言來(lái)表示這種攻擊，使得攻擊簽名能夠準(zhǔn)確地表示入侵行為及其所有可能的變種，同時(shí)又不會(huì)把非入侵行為包含進(jìn)來(lái)。由于多數(shù)入侵行為是利用系統(tǒng)的漏洞和應(yīng)用程序的缺陷，因此，通過(guò)分析攻擊過(guò)程的特征、條件、排列以及事件間的關(guān)系，就可具體描述入侵行為的跡象。這些跡象不僅對(duì)分析已經(jīng)發(fā)生的入侵行為有幫助，而且對(duì)即將發(fā)生的入侵也有預(yù)警作用。

誤用檢測(cè)將收集到的信息與已知的攻擊簽名模式庫(kù)進(jìn)行比較，從中發(fā)現(xiàn)違背安全策略的行為。由于只需要收集相關(guān)的數(shù)據(jù)，這樣系統(tǒng)的負(fù)擔(dān)明顯減少。該方法類(lèi)似于病毒檢測(cè)系統(tǒng)，其檢測(cè)的準(zhǔn)確率和效率都比較高。但是它也存在一些缺點(diǎn)。

3．2．1不能檢測(cè)未知的入侵行為

由于其檢測(cè)機(jī)理是對(duì)已知的入侵方法進(jìn)行模式提取，對(duì)于未知的入侵方法就不能進(jìn)行有效的檢測(cè)。也就是說(shuō)漏警率比較高。

3．2．2與系統(tǒng)的相關(guān)性很強(qiáng)

對(duì)于不同實(shí)現(xiàn)機(jī)制的操作系統(tǒng)，由于攻擊的方法不盡相同，很難定義出統(tǒng)一的模式庫(kù)。另外，誤用檢測(cè)技術(shù)也難以檢測(cè)出內(nèi)部人員的入侵行為。

目前，由于誤用檢測(cè)技術(shù)比較成熟，多數(shù)的商業(yè)產(chǎn)品都主要是基于誤用檢測(cè)模型的。不過(guò)，為了增強(qiáng)檢測(cè)功能，不少產(chǎn)品也加入了異常檢測(cè)的方法。

4入侵檢測(cè)的發(fā)展方向

隨著信息系統(tǒng)對(duì)一個(gè)國(guó)家的社會(huì)生產(chǎn)與國(guó)民經(jīng)濟(jì)的影響越來(lái)越大，再加上網(wǎng)絡(luò)攻擊者的攻擊工具與手法日趨復(fù)雜化，信息戰(zhàn)已逐步被各個(gè)國(guó)家重視。近年來(lái)，入侵檢測(cè)有如下幾個(gè)主要發(fā)展方向：

4．1分布式入侵檢測(cè)與通用入侵檢測(cè)架構(gòu)

傳統(tǒng)的IDS一般局限于單一的主機(jī)或網(wǎng)絡(luò)架構(gòu)，對(duì)異構(gòu)系統(tǒng)及大規(guī)模的網(wǎng)絡(luò)的監(jiān)測(cè)明顯不足，再加上不同的IDS系統(tǒng)之間不能很好地協(xié)同工作。為解決這一問(wèn)題，需要采用分布式入侵檢測(cè)技術(shù)與通用入侵檢測(cè)架構(gòu)。

4．2應(yīng)用層入侵檢測(cè)

許多入侵的語(yǔ)義只有在應(yīng)用層才能理解，然而目前的IDS僅能檢測(cè)到諸如Web之類(lèi)的通用協(xié)議，而不能處理LotusNotes、數(shù)據(jù)庫(kù)系統(tǒng)等其他的應(yīng)用系統(tǒng)。許多基于客戶(hù)／服務(wù)器結(jié)構(gòu)、中間件技術(shù)及對(duì)象技術(shù)的大型應(yīng)用，也需要應(yīng)用層的入侵檢測(cè)保護(hù)。

4．3智能的入侵檢測(cè)

入侵方法越來(lái)越多樣化與綜合化，盡管已經(jīng)有智能體、神經(jīng)網(wǎng)絡(luò)與遺傳算法在入侵檢測(cè)領(lǐng)域應(yīng)用研究，但是，這只是一些嘗試性的研究工作，需要對(duì)智能化的IDS加以進(jìn)一步的研究，以解決其自學(xué)習(xí)與自適應(yīng)能力。

4．4入侵檢測(cè)的評(píng)測(cè)方法

用戶(hù)需對(duì)眾多的IDS系統(tǒng)進(jìn)行評(píng)價(jià)，評(píng)價(jià)指標(biāo)包括IDS檢測(cè)范圍、系統(tǒng)資源占用、IDS自身的可靠性，從而設(shè)計(jì)出通用的入侵檢測(cè)測(cè)試與評(píng)估方法與平臺(tái)，實(shí)現(xiàn)對(duì)多種IDS的檢測(cè)。

4．5全面的安全防御方案

結(jié)合安全工程風(fēng)險(xiǎn)管理的思想與方法來(lái)處理網(wǎng)絡(luò)安全問(wèn)題，將網(wǎng)絡(luò)安全作為一個(gè)整體工程來(lái)處理。從管理、網(wǎng)絡(luò)結(jié)構(gòu)、加密通道、防火墻、病毒防護(hù)、入侵檢測(cè)多方位全面對(duì)所關(guān)注的網(wǎng)絡(luò)作全面的評(píng)估，然后提出可行的全面解決方案。

綜上所述，入侵檢測(cè)作為一種積極主動(dòng)的安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，使網(wǎng)絡(luò)系統(tǒng)在受到危害之前即攔截和響應(yīng)入侵行為，為網(wǎng)絡(luò)安全增加一道屏障。隨著入侵檢測(cè)的研究與開(kāi)發(fā)，并在實(shí)際應(yīng)用中與其它網(wǎng)絡(luò)管理軟件相結(jié)合，使網(wǎng)絡(luò)安全可以從立體縱深、多層次防御的角度出發(fā)，形成人侵檢測(cè)、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)監(jiān)控三位一體化，從而更加有效地保護(hù)網(wǎng)絡(luò)的安全。

參考文獻(xiàn)

l吳新民．兩種典型的入侵檢測(cè)方法研究．計(jì)算機(jī)工程與應(yīng)用，2002；38(10)：181—183

2羅妍，李仲麟，陳憲．入侵檢測(cè)系統(tǒng)模型的比較．計(jì)算機(jī)應(yīng)用，2001；21(6)：29～31

3李渙洲．網(wǎng)絡(luò)安全與入侵檢測(cè)技術(shù)．四川師范大學(xué)學(xué)報(bào)．2001；24(3)：426—428

篇7

1 校園網(wǎng)絡(luò)安全現(xiàn)狀

隨著網(wǎng)絡(luò)應(yīng)用的普及，電子商務(wù)！電子銀行和電子政務(wù)等網(wǎng)絡(luò)服務(wù)的大力發(fā)展，網(wǎng)絡(luò)在人們?nèi)粘Ｉ钪械膽?yīng)用越來(lái)越多重要性越來(lái)越大，網(wǎng)絡(luò)攻擊也越來(lái)越嚴(yán)重。有一些人專(zhuān)門(mén)利用他們掌握的信息技術(shù)知識(shí)從事破壞活動(dòng)，入侵他人計(jì)算機(jī)系統(tǒng)竊取！修改和破壞重要信息，給社會(huì)造成了巨大的損。隨著攻擊手段的變化，傳統(tǒng)的以身份驗(yàn)證、加密、防火墻為主的靜態(tài)安全防護(hù)體系已經(jīng)越來(lái)越難以適應(yīng)日益變化的網(wǎng)絡(luò)環(huán)境，尤其是授權(quán)用戶(hù)的濫用權(quán)利行為，幾乎只有審計(jì)才能發(fā)現(xiàn)園網(wǎng)是國(guó)內(nèi)最大的網(wǎng)絡(luò)實(shí)體，如何保證校園網(wǎng)絡(luò)系統(tǒng)的安全，是擺在我們面前的最重要問(wèn)題。

因此，校園網(wǎng)對(duì)入侵檢測(cè)系統(tǒng)也有著特別的需求校園網(wǎng)的特點(diǎn)是在線用戶(hù)比率高、上網(wǎng)時(shí)間長(zhǎng)、用戶(hù)流量大、對(duì)服務(wù)器訪問(wèn)量大，這種情況下，校園網(wǎng)絡(luò)面臨著許多安全方面的威脅：

（1）黑客攻擊，特別是假冒源地址的拒絕服務(wù)攻擊屢有發(fā)生攻擊者通過(guò)一些簡(jiǎn)單的攻擊工具，就可以制造危害嚴(yán)重的網(wǎng)絡(luò)洪流，耗盡網(wǎng)絡(luò)資源或使主機(jī)系統(tǒng)資源遭到攻擊同時(shí)，攻擊者常常借助偽造源地址的方法，使網(wǎng)絡(luò)管理員對(duì)這種攻擊無(wú)可奈何。

（2）病毒和蠕蟲(chóng)，在高速大容量的局域網(wǎng)絡(luò)中，各種病毒和蠕蟲(chóng)，不論新舊都很容易通過(guò)有漏洞的系統(tǒng)迅速傳播擴(kuò)散"其中，特別是新出現(xiàn)的網(wǎng)絡(luò)蠕蟲(chóng)，常?？梢栽诒l(fā)初期的幾個(gè)小時(shí)內(nèi)就閃電般席卷全校，造成網(wǎng)絡(luò)阻塞甚至癱瘓。

（3）濫用網(wǎng)絡(luò)資源，在校園網(wǎng)中總會(huì)出現(xiàn)濫用帶寬等資源以致影響其他用戶(hù)甚至整個(gè)網(wǎng)絡(luò)正常使用的行為如各種掃描、廣播、訪問(wèn)量過(guò)大的視頻下載服務(wù)等等。入侵檢測(cè)系統(tǒng)（IntrusionDeteetionSystem，IDS）的出現(xiàn)使得我們可以主動(dòng)實(shí)時(shí)地全面防范網(wǎng)絡(luò)攻擊N工DS指從網(wǎng)絡(luò)系統(tǒng)的若干節(jié)點(diǎn)中搜集信息并進(jìn)行分析，從而發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中是否有違反安全策略的行為，并做出適當(dāng)?shù)捻憫?yīng)"它既能檢測(cè)出非授權(quán)使用計(jì)算機(jī)的用戶(hù)，也能檢測(cè)出授權(quán)用戶(hù)的濫用行為。

IDS按照功能大致可劃分為主機(jī)入侵檢測(cè)（HostIDS，HIDS）網(wǎng)絡(luò)入侵檢測(cè)（NetworkIDS，NIDS）分布式入侵檢測(cè)（DistributedIDS，DIDS）其中，網(wǎng)絡(luò)入侵檢測(cè)的特點(diǎn)是成本低，實(shí)時(shí)地檢測(cè)和分析，而且可以檢測(cè)到未成功的攻擊企圖"從分析方法的角度可分為異常檢測(cè)（Anomaly DeteCtion）和誤用檢測(cè)（MISuseDeteCtion）其中誤用檢測(cè)是指定義一系列規(guī)則，符合規(guī)則的被認(rèn)為是入侵其優(yōu)點(diǎn)是誤報(bào)率低、開(kāi)銷(xiāo)小、效率高Snort作為IDS的經(jīng)典代表，是基于網(wǎng)絡(luò)和誤用檢測(cè)的入侵檢測(cè)系統(tǒng)入侵檢測(cè)技術(shù)自20世紀(jì)80年代早起提出以來(lái)，在早期的入侵檢測(cè)系統(tǒng)中，大多數(shù)是基于主機(jī)的，但是在過(guò)去的10年間基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)占有主要地位，現(xiàn)在和未來(lái)的發(fā)展主流將是混合型和分布式形式的入侵檢測(cè)系統(tǒng)。

2 入侵檢測(cè)研究現(xiàn)狀

國(guó)外機(jī)構(gòu)早在20世紀(jì)80年代就開(kāi)展了相關(guān)基礎(chǔ)理論研究工作。經(jīng)過(guò)20多年的不斷發(fā)展，從最初的一種有價(jià)值的研究想法和單純的理論模型，迅速發(fā)展出種類(lèi)繁多的各種實(shí)際原型系統(tǒng)，并且在近10年內(nèi)涌現(xiàn)出許多商用入侵檢測(cè)系統(tǒng)，成為計(jì)算機(jī)安全防護(hù)領(lǐng)域內(nèi)不可缺少的一種安全防護(hù)技術(shù)。Anderson在1980年的報(bào)告“Computer Seeurity Threat Monitoring and Surveillance”中，提出必須改變現(xiàn)有的系統(tǒng)審計(jì)機(jī)制，以便為專(zhuān)職系統(tǒng)安全人員提供安全信息，此文被認(rèn)為是有關(guān)入侵檢測(cè)的最早論述；1984一1986年，Dorothy E.Denning和Peter G.Neumann聯(lián)合開(kāi)發(fā)了一個(gè)實(shí)時(shí)IDES（Intrusion DeteCtion Expert System），IDES采用統(tǒng)計(jì)分析，異常檢測(cè)和專(zhuān)家系統(tǒng)的混合結(jié)構(gòu)，Delming1986年的論文“An Intrusion Deteetion Modelo”，被公認(rèn)為是入侵檢測(cè)領(lǐng)域的另一開(kāi)山之作"。1987年，Dorothy Denning發(fā)表的經(jīng)典論文AnIntursion Deteetion Modelo中提出了入侵檢測(cè)的基本模型，并提出了幾種可用于入侵檢測(cè)的統(tǒng)計(jì)分析模型。Dnening的論文正式啟動(dòng)了入侵檢測(cè)領(lǐng)域的研究工作，在發(fā)展的早期階段，入侵檢測(cè)還僅僅是個(gè)有趣的研究領(lǐng)域，還沒(méi)有獲得計(jì)算機(jī)用戶(hù)的足夠注意，因?yàn)?，?dāng)時(shí)的流行做法是將計(jì)算機(jī)安全的大部分預(yù)算投入到預(yù)防性的措施上，如：加密、身份驗(yàn)證和訪問(wèn)控制等方面，而將檢測(cè)和響應(yīng)等排斥在外。到了1996年后，才逐步出現(xiàn)了大量的商用入侵檢測(cè)系統(tǒng)。從20世紀(jì)90年代到現(xiàn)在，入侵檢測(cè)系統(tǒng)的研發(fā)呈現(xiàn)出百家爭(zhēng)鳴的繁榮局面，并在智能化和分布式兩個(gè)方向取得了長(zhǎng)足的進(jìn)展。其中一種主要的異常檢測(cè)技術(shù)是神經(jīng)網(wǎng)絡(luò)技術(shù)，此外，如基于貝葉斯網(wǎng)絡(luò)的異常檢測(cè)方法，基于模式預(yù)測(cè)的異常檢測(cè)方法，基于數(shù)據(jù)挖掘的異常檢測(cè)方法以及基于計(jì)算機(jī)免疫學(xué)的檢測(cè)方法也相繼出現(xiàn)，對(duì)于誤用入侵檢測(cè)也有多種檢測(cè)方法，如專(zhuān)家系統(tǒng)（expert system），特征分析（Signature analysis），狀態(tài)轉(zhuǎn)移分析（State transition analysis）等.

入侵檢測(cè)系統(tǒng)的典型代表是ISSInc（國(guó)際互聯(lián)網(wǎng)安全系統(tǒng)公司）Rea1Secure產(chǎn)品。較為著名的商用入侵檢測(cè)產(chǎn)品還有：NAJ公司的CyberCoPMoitor、Axent公司的Netprowler、CISCO公司的Netranger、CA公司的SeSSionwall-3等。目前，普渡大學(xué)、加州大學(xué)戴維斯分校、洛斯阿拉莫斯國(guó)家實(shí)驗(yàn)室、哥倫比亞大學(xué)、新墨西哥大學(xué)等機(jī)構(gòu)在這些方面的研究代表了當(dāng)前的最高水平。隨著計(jì)算機(jī)系統(tǒng)軟、硬件的飛速發(fā)展，以及網(wǎng)絡(luò)技術(shù)、分布式計(jì)算！系統(tǒng)工程！人工智能等計(jì)算機(jī)新興技術(shù)與理論的不斷發(fā)展與完善，入侵檢測(cè)理論本身也處于發(fā)展變化中，但還未形成一個(gè)比較完整的理論體系。

在國(guó)內(nèi)，隨著上網(wǎng)的關(guān)鍵部門(mén)、關(guān)鍵業(yè)務(wù)越來(lái)越多，更需要具有自主版權(quán)的入侵檢測(cè)產(chǎn)品。我國(guó)在這方面的研究相對(duì)晚，國(guó)內(nèi)的該類(lèi)產(chǎn)品較少，但發(fā)展較快，己有總參北方所、中科網(wǎng)威、啟明星辰，H3C等公司推出產(chǎn)品。至今日入侵檢測(cè)技術(shù)仍然改變了以往被動(dòng)防御的特點(diǎn)，使網(wǎng)絡(luò)管理員能夠主動(dòng)地實(shí)時(shí)跟蹤各種危害系統(tǒng)安全的入侵行為并做出及時(shí)的響應(yīng)，尤其在抵御網(wǎng)絡(luò)內(nèi)部人員的破壞時(shí)更有獨(dú)到的特點(diǎn)，因而成為了防火墻之后的又一道安全防線。

隨著互聯(lián)網(wǎng)的進(jìn)一步普及和深入，入侵檢測(cè)技術(shù)有著更廣泛的發(fā)展前途和實(shí)際價(jià)值。盡管問(wèn)題尚存，但希望更大，相信目前正在研究的大規(guī)模分布式入侵檢測(cè)系統(tǒng)、基于多傳感器的數(shù)據(jù)融合、基于計(jì)算機(jī)免疫技術(shù)、基于神經(jīng)網(wǎng)絡(luò)及基于遺傳算法等的新一代入侵檢測(cè)系統(tǒng)一定能夠解決目前面臨到種種問(wèn)題，更好地完成抵御入侵的任務(wù)。

3 未來(lái)和展望

隨著網(wǎng)絡(luò)規(guī)模和復(fù)雜程度的不斷增長(zhǎng)，如何在校園網(wǎng)多校區(qū)乃至異構(gòu)網(wǎng)絡(luò)環(huán)境下收集和處理分布在網(wǎng)絡(luò)各處的不同格式信息！如何進(jìn)行管理域間的合作以及保證在局部入侵檢測(cè)失效的情況下維持系統(tǒng)整體安全等"同時(shí)，伴隨著大量諸如高速/超高速接入手段的出現(xiàn)，如何實(shí)現(xiàn)高速/超高速網(wǎng)絡(luò)下的實(shí)時(shí)入侵檢測(cè)。降低丟包率也成為一個(gè)現(xiàn)實(shí)的問(wèn)題，面對(duì)G級(jí)的網(wǎng)絡(luò)數(shù)據(jù)流量，傳統(tǒng)的軟件結(jié)構(gòu)和算法都需要重新設(shè)計(jì)；開(kāi)發(fā)和設(shè)計(jì)適當(dāng)?shù)膶?zhuān)用硬件也成為研究方向之一"時(shí)至今日，入侵檢測(cè)系統(tǒng)的評(píng)估測(cè)試方面仍然不成熟，如何對(duì)入侵檢測(cè)系統(tǒng)進(jìn)行評(píng)估是一個(gè)重要而敏感的話(huà)題。

參考文獻(xiàn)

篇8

近年來(lái)，隨著信息和網(wǎng)絡(luò)技術(shù)的高速發(fā)展以及政治、經(jīng)濟(jì)或者軍事利益的驅(qū)動(dòng)，計(jì)算機(jī)和網(wǎng)絡(luò)基礎(chǔ)設(shè)施，非凡是各種官方機(jī)構(gòu)的網(wǎng)站，成為黑客攻擊的熱門(mén)目標(biāo)。近年來(lái)對(duì)電子商務(wù)的熱切需求，更加激化了這種入侵事件的增長(zhǎng)趨向。由于防火墻只防外不防內(nèi)，并且很輕易被繞過(guò)，所以?xún)H僅依靠防火墻的計(jì)算機(jī)系統(tǒng)已經(jīng)不能對(duì)付日益猖獗的入侵行為，對(duì)付入侵行為的第二道防線——入侵檢測(cè)系統(tǒng)就被啟用了。

1 入侵檢測(cè)系統(tǒng)(IDS)概念

1980年，James P.Anderson 第一次系統(tǒng)闡述了入侵檢測(cè)的概念，并將入侵行為分為外部滲透、內(nèi)部滲透和不法行為三種，還提出了利用審計(jì)數(shù)據(jù)監(jiān)視入侵活動(dòng)的思想[1。即其之后,1986年Dorothy E.Denning提出實(shí)時(shí)異常檢測(cè)的概念[2并建立了第一個(gè)實(shí)時(shí)入侵檢測(cè)模型，命名為入侵檢測(cè)專(zhuān)家系統(tǒng)(IDES)，1990年，L.T.Heberlein等設(shè)計(jì)出監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)流的入侵檢測(cè)系統(tǒng)，NSM(Network Security Monitor)。自此之后，入侵檢測(cè)系統(tǒng)才真正發(fā)展起來(lái)。

Anderson將入侵嘗試或威脅定義為摘要：潛在的、有預(yù)謀的、未經(jīng)授權(quán)的訪問(wèn)信息、操作信息、致使系統(tǒng)不可靠或無(wú)法使用的企圖。而入侵檢測(cè)的定義為[4摘要：發(fā)現(xiàn)非授權(quán)使用計(jì)算機(jī)的個(gè)體(如“黑客”)或計(jì)算機(jī)系統(tǒng)的合法用戶(hù)濫用其訪問(wèn)系統(tǒng)的權(quán)利以及企圖實(shí)施上述行為的個(gè)體。執(zhí)行入侵檢測(cè)任務(wù)的程序即是入侵檢測(cè)系統(tǒng)。入侵檢測(cè)系統(tǒng)也可以定義為摘要：檢測(cè)企圖破壞計(jì)算機(jī)資源的完整性，真實(shí)性和可用性的行為的軟件。

入侵檢測(cè)系統(tǒng)執(zhí)行的主要任務(wù)包括[3摘要：監(jiān)視、分析用戶(hù)及系統(tǒng)活動(dòng);審計(jì)系統(tǒng)構(gòu)造和弱點(diǎn);識(shí)別、反映已知進(jìn)攻的活動(dòng)模式，向相關(guān)人士報(bào)警;統(tǒng)計(jì)分析異常行為模式;評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性;審計(jì)、跟蹤管理操作系統(tǒng)，識(shí)別用戶(hù)違反平安策略的行為。入侵檢測(cè)一般分為三個(gè)步驟摘要：信息收集、數(shù)據(jù)分析、響應(yīng)。

入侵檢測(cè)的目的摘要：(1)識(shí)別入侵者;(2)識(shí)別入侵行為;(3)檢測(cè)和監(jiān)視以實(shí)施的入侵行為;(4)為對(duì)抗入侵提供信息，阻止入侵的發(fā)生和事態(tài)的擴(kuò)大;

2 入侵檢測(cè)系統(tǒng)模型

美國(guó)斯坦福國(guó)際探究所(SRI)的D.E.Denning于1986年首次提出一種入侵檢測(cè)模型[2，該模型的檢測(cè)方法就是建立用戶(hù)正常行為的描述模型，并以此同當(dāng)前用戶(hù)活動(dòng)的審計(jì)記錄進(jìn)行比較，假如有較大偏差，則表示有異?；顒?dòng)發(fā)生。這是一種基于統(tǒng)計(jì)的檢測(cè)方法。隨著技術(shù)的發(fā)展，后來(lái)人們又提出了基于規(guī)則的檢測(cè)方法。結(jié)合這兩種方法的優(yōu)點(diǎn)，人們?cè)O(shè)計(jì)出很多入侵檢測(cè)的模型。通用入侵檢測(cè)構(gòu)架(Common Intrusion Detection Framework簡(jiǎn)稱(chēng)CIDF)組織，試圖將現(xiàn)有的入侵檢測(cè)系統(tǒng)標(biāo)準(zhǔn)化，CIDF闡述了一個(gè)入侵檢測(cè)系統(tǒng)的通用模型(一般稱(chēng)為CIDF模型)。它將一個(gè)入侵檢測(cè)系統(tǒng)分為以下四個(gè)組件摘要：

事件產(chǎn)生器(Event Generators)

事件分析器(Event analyzers)

響應(yīng)單元(Response units)

事件數(shù)據(jù)庫(kù)(Event databases)

它將需要分析的數(shù)據(jù)通稱(chēng)為事件，事件可以是基于網(wǎng)絡(luò)的數(shù)據(jù)包也可以是基于主機(jī)的系統(tǒng)日志中的信息。事件產(chǎn)生器的目的是從整個(gè)計(jì)算機(jī)環(huán)境中獲得事件，并向系統(tǒng)其它部分提供此事件。事件分析器分析得到的事件并產(chǎn)生分析結(jié)果。響應(yīng)單元?jiǎng)t是對(duì)分析結(jié)果做出反應(yīng)的功能單元，它可以做出切斷連接、修改文件屬性等強(qiáng)烈反應(yīng)。事件數(shù)據(jù)庫(kù)是存放各種中間和最終數(shù)據(jù)的地方的通稱(chēng)，它可以是復(fù)雜的數(shù)據(jù)庫(kù)也可以是簡(jiǎn)單的文本文件。

3 入侵檢測(cè)系統(tǒng)的分類(lèi)摘要：

現(xiàn)有的IDS的分類(lèi)，大都基于信息源和分析方法。為了體現(xiàn)對(duì)IDS從布局、采集、分析、響應(yīng)等各個(gè)層次及系統(tǒng)性探究方面的新問(wèn)題，在這里采用五類(lèi)標(biāo)準(zhǔn)摘要：控制策略、同步技術(shù)、信息源、分析方法、響應(yīng)方式。

按照控制策略分類(lèi)

控制策略描述了IDS的各元素是如何控制的，以及IDS的輸入和輸出是如何管理的。按照控制策略IDS可以劃分為，集中式IDS、部分分布式IDS和全部分布式IDS。在集中式IDS中，一個(gè)中心節(jié)點(diǎn)控制系統(tǒng)中所有的監(jiān)視、檢測(cè)和報(bào)告。在部分分布式IDS中，監(jiān)控和探測(cè)是由本地的一個(gè)控制點(diǎn)控制，層次似的將報(bào)告發(fā)向一個(gè)或多個(gè)中心站。在全分布式IDS中，監(jiān)控和探測(cè)是使用一種叫“”的方法，進(jìn)行分析并做出響應(yīng)決策。

按照同步技術(shù)分類(lèi)

同步技術(shù)是指被監(jiān)控的事件以及對(duì)這些事件的分析在同一時(shí)間進(jìn)行。按照同步技術(shù)劃分，IDS劃分為間隔批任務(wù)處理型IDS和實(shí)時(shí)連續(xù)性IDS。在間隔批任務(wù)處理型IDS中，信息源是以文件的形式傳給分析器，一次只處理特定時(shí)間段內(nèi)產(chǎn)生的信息，并在入侵發(fā)生時(shí)將結(jié)果反饋給用戶(hù)。很多早期的基于主機(jī)的IDS都采用這種方案。在實(shí)時(shí)連續(xù)型IDS中，事件一發(fā)生，信息源就傳給分析引擎，并且馬上得到處理和反映。實(shí)時(shí)IDS是基于網(wǎng)絡(luò)IDS首選的方案。

按照信息源分類(lèi)

按照信息源分類(lèi)是目前最通用的劃分方法，它分為基于主機(jī)的IDS、基于網(wǎng)絡(luò)的IDS和分布式IDS?；谥鳈C(jī)的IDS通過(guò)分析來(lái)自單個(gè)的計(jì)算機(jī)系統(tǒng)的系統(tǒng)審計(jì)蹤跡和系統(tǒng)日志來(lái)檢測(cè)攻擊?；谥鳈C(jī)的IDS是在關(guān)鍵的網(wǎng)段或交換部位通過(guò)捕捉并分析網(wǎng)絡(luò)數(shù)據(jù)包來(lái)檢測(cè)攻擊。分布式IDS，能夠同時(shí)分析來(lái)自主機(jī)系統(tǒng)日志和網(wǎng)絡(luò)數(shù)據(jù)流，系統(tǒng)由多個(gè)部件組成，采用分布式結(jié)構(gòu)。

按照分析方法分類(lèi)

按照分析方法IDS劃分為濫用檢測(cè)型IDS和異常檢測(cè)型IDS。濫用檢測(cè)型的IDS中，首先建立一個(gè)對(duì)過(guò)去各種入侵方法和系統(tǒng)缺陷知識(shí)的數(shù)據(jù)庫(kù)，當(dāng)收集到的信息和庫(kù)中的原型相符合時(shí)則報(bào)警。任何不符合特定條件的活動(dòng)將會(huì)被認(rèn)為合法，因此這樣的系統(tǒng)虛警率很低。異常檢測(cè)型IDS是建立在如下假設(shè)的基礎(chǔ)之上的，即任何一種入侵行為都能由于其偏離正?；蛘咚谕南到y(tǒng)和用戶(hù)活動(dòng)規(guī)律而被檢測(cè)出來(lái)。所以它需要一個(gè)記錄合法活動(dòng)的數(shù)據(jù)庫(kù)，由于庫(kù)的有限性使得虛警率比較高。

按照響應(yīng)方式分類(lèi)

按照響應(yīng)方式IDS劃分為主動(dòng)響應(yīng)IDS和被動(dòng)響應(yīng)IDS。當(dāng)特定的入侵被檢測(cè)到時(shí)，主動(dòng)IDS會(huì)采用以下三種響應(yīng)摘要：收集輔助信息;改變環(huán)境以堵住導(dǎo)致入侵發(fā)生的漏洞;對(duì)攻擊者采取行動(dòng)(這是一種不被推薦的做法，因?yàn)樾袨橛悬c(diǎn)過(guò)激)。被動(dòng)響應(yīng)IDS則是將信息提供給系統(tǒng)用戶(hù)，依靠管理員在這一信息的基礎(chǔ)上采取進(jìn)一步的行動(dòng)。

4 IDS的評(píng)價(jià)標(biāo)準(zhǔn)

目前的入侵檢測(cè)技術(shù)發(fā)展迅速，應(yīng)用的技術(shù)也很廣泛，如何來(lái)評(píng)價(jià)IDS的優(yōu)缺點(diǎn)就顯得非常重要。評(píng)價(jià)IDS的優(yōu)劣主要有這樣幾個(gè)方面[5摘要：(1)準(zhǔn)確性。準(zhǔn)確性是指IDS不會(huì)標(biāo)記環(huán)境中的一個(gè)合法行為為異?；蛉肭帧?2)性能。IDS的性能是指處理審計(jì)事件的速度。對(duì)一個(gè)實(shí)時(shí)IDS來(lái)說(shuō)，必須要求性能良好。(3)完整性。完整性是指IDS能檢測(cè)出所有的攻擊。(4)故障容錯(cuò)(fault tolerance)。當(dāng)被保護(hù)系統(tǒng)遭到攻擊和毀壞時(shí)，能迅速恢復(fù)系統(tǒng)原有的數(shù)據(jù)和功能。(5)自身反抗攻擊能力。這一點(diǎn)很重要，尤其是“拒絕服務(wù)”攻擊。因?yàn)槎鄶?shù)對(duì)目標(biāo)系統(tǒng)的攻擊都是采用首先用“拒絕服務(wù)”攻擊摧毀IDS，再實(shí)施對(duì)系統(tǒng)的攻擊。(6)及時(shí)性(Timeliness)。一個(gè)IDS必須盡快地執(zhí)行和傳送它的分析結(jié)果，以便在系統(tǒng)造成嚴(yán)重危害之前能及時(shí)做出反應(yīng)，阻止攻擊者破壞審計(jì)數(shù)據(jù)或IDS本身。

除了上述幾個(gè)主要方面，還應(yīng)該考慮以下幾個(gè)方面摘要：(1)IDS運(yùn)行時(shí)，額外的計(jì)算機(jī)資源的開(kāi)銷(xiāo);(2)誤警報(bào)率/漏警報(bào)率的程度;(3)適應(yīng)性和擴(kuò)展性;(4)靈活性;(5)管理的開(kāi)銷(xiāo);(6)是否便于使用和配置。

5 IDS的發(fā)展趨

隨著入侵檢測(cè)技術(shù)的發(fā)展，成型的產(chǎn)品已陸續(xù)應(yīng)用到實(shí)踐中。入侵檢測(cè)系統(tǒng)的典型代表是ISS(國(guó)際互聯(lián)網(wǎng)平安系統(tǒng)公司)公司的RealSecure。目前較為聞名的商用入侵檢測(cè)產(chǎn)品還有摘要：NAI公司的CyberCop Monitor、Axent公司的NetProwler、CISCO公司的Netranger、CA公司的Sessionwall-3等。國(guó)內(nèi)的該類(lèi)產(chǎn)品較少，但發(fā)展很快，已有總參北方所、中科網(wǎng)威、啟明星辰等公司推出產(chǎn)品。

人們?cè)谕晟圃屑夹g(shù)的基礎(chǔ)上，又在探究新的檢測(cè)方法，如數(shù)據(jù)融合技術(shù)，主動(dòng)的自主方法，智能技術(shù)以及免疫學(xué)原理的應(yīng)用等。其主要的發(fā)展方向可概括為摘要：

(1)大規(guī)模分布式入侵檢測(cè)。傳統(tǒng)的入侵檢測(cè)技術(shù)一般只局限于單一的主機(jī)或網(wǎng)絡(luò)框架，顯然不能適應(yīng)大規(guī)模網(wǎng)絡(luò)的監(jiān)測(cè)，不同的入侵檢測(cè)系統(tǒng)之間也不能協(xié)同工作。因此，必須發(fā)展大規(guī)模的分布式入侵檢測(cè)技術(shù)。

(2)寬帶高速網(wǎng)絡(luò)的實(shí)時(shí)入侵檢測(cè)技術(shù)。大量高速網(wǎng)絡(luò)的不斷涌現(xiàn)，各種寬帶接入手段層出不窮，如何實(shí)現(xiàn)高速網(wǎng)絡(luò)下的實(shí)時(shí)入侵檢測(cè)成為一個(gè)現(xiàn)實(shí)的新問(wèn)題。

(3)入侵檢測(cè)的數(shù)據(jù)融合技術(shù)。目前的IDS還存在著很多缺陷。首先，目前的技術(shù)還不能對(duì)付練習(xí)有素的黑客的復(fù)雜的攻擊。其次，系統(tǒng)的虛警率太高。最后，系統(tǒng)對(duì)大量的數(shù)據(jù)處理，非但無(wú)助于解決新問(wèn)題，還降低了處理能力。數(shù)據(jù)融合技術(shù)是解決這一系列新問(wèn)題的好方法。

(4)和網(wǎng)絡(luò)平安技術(shù)相結(jié)合。結(jié)合防火墻，病毒防護(hù)以及電子商務(wù)技術(shù)，提供完整的網(wǎng)絡(luò)平安保障。

6 結(jié)束語(yǔ)

在目前的計(jì)算機(jī)平安狀態(tài)下，基于防火墻、加密技術(shù)的平安防護(hù)固然重要，但是，要根本改善系統(tǒng)的平安目前狀況，必須要發(fā)展入侵檢測(cè)技術(shù)，它已經(jīng)成為計(jì)算機(jī)平安策略中的核心技術(shù)之一。IDS作為一種主動(dòng)的平安防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)。隨著網(wǎng)絡(luò)通信技術(shù)平安性的要求越來(lái)越高，入侵檢測(cè)技術(shù)必將受到人們的高度重視。

參考文獻(xiàn)摘要：

[1 Anderson J P. Computer security threat monitoring and surveillance [P . PA 19034,USA, 1980.4

[2Denning D E .An Intrusion-Detection Model [A . IEEE Symp on Security %26amp; Privacy[C ,1986.118-131

[3 張杰，戴英俠，入侵檢測(cè)系統(tǒng)技術(shù)目前狀況及其發(fā)展趨向[J，計(jì)算機(jī)和通信，2002.6摘要：28-32

篇9

中圖分類(lèi)號(hào):TN915.08 文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1007-9599 (2010) 04-0000-02

Application of Intrusion&Deceit Technique in Network Security

Chen Yongxiang Li Junya

(Jiyuan Vocational&Technical College,Jiyuan454650,Chian)

Abstract:At present,Intrusion Deception technology is the development of network security in recent years, an important branch, the paper generated from the intrusion deception techniques to start a brief description of its development, while popular Honeypot conducted in-depth research, mainly related to the classification of Honeypot, Honeypot advantages and disadvantages, Honeypot design principles and methods, the final will be a simple Honeypot application to specific network.

Key words:Intrusion and deceit technology;Honeypot;Network Security

近年來(lái)計(jì)算機(jī)網(wǎng)絡(luò)發(fā)展異常迅猛,各行各業(yè)對(duì)網(wǎng)絡(luò)的依賴(lài)已越發(fā)嚴(yán)重。這一方面提高了信息的高速流動(dòng),但另一方面卻帶來(lái)了極大的隱患。由于網(wǎng)絡(luò)的開(kāi)放性、計(jì)算機(jī)系統(tǒng)設(shè)計(jì)的非安全性導(dǎo)致網(wǎng)絡(luò)受到大量的攻擊。如何提高網(wǎng)絡(luò)的自我防護(hù)能力是目前研究的一個(gè)熱點(diǎn)。論文通過(guò)引入入侵誘騙技術(shù),設(shè)計(jì)了一個(gè)高效的網(wǎng)絡(luò)防護(hù)系統(tǒng)。

一、入侵誘騙技術(shù)簡(jiǎn)介

通過(guò)多年的研究表明,網(wǎng)絡(luò)安全存在的最大問(wèn)題就是目前采用的被動(dòng)防護(hù)方式,該方式只能被動(dòng)的應(yīng)對(duì)攻擊,缺乏主動(dòng)防護(hù)的功能。為應(yīng)對(duì)這一問(wèn)題,就提出了入侵誘騙技術(shù)。該技術(shù)是對(duì)被動(dòng)防護(hù)的擴(kuò)展,通過(guò)積極的進(jìn)行入侵檢測(cè),并實(shí)時(shí)的將可疑目標(biāo)引向自身,導(dǎo)致攻擊失效,從而有效的保護(hù)目標(biāo)。

上個(gè)世紀(jì)80年代末期由stoll首先提出該思想,到上世紀(jì)90年代初期由Bill Cheswish進(jìn)一步豐富了該思想。他通過(guò)在空閑的端口上設(shè)置一些用于吸引入侵者的偽造服務(wù)來(lái)獲取入侵者的信息,從而研究入侵者的規(guī)律。到1996年Fred Cohen 提出將防火墻技術(shù)應(yīng)用于入侵誘騙技術(shù)中,實(shí)現(xiàn)消除入侵資源。為進(jìn)一步吸引入侵目標(biāo),在研究中提出了引誘其攻擊自身的特殊目標(biāo)“Honeypot”。研究者通過(guò)對(duì)Honeypot中目標(biāo)的觀察,可清晰的了解入侵的方法以及自身系統(tǒng)的漏洞,從而提升系統(tǒng)的安全防護(hù)水平。

二、Honeypot的研究

在這個(gè)入侵誘騙技術(shù)中,Honeypot的設(shè)計(jì)是關(guān)鍵。按交互級(jí)別,可對(duì)Honeypot進(jìn)行分類(lèi):低交互度Honeypot、中交互度Honeypot和高交互度Honeypot。低交互度Honeypot由于簡(jiǎn)單的設(shè)計(jì)和基本的功能,低交互度的honeypot通常是最容易安裝、部署和維護(hù)的。在該系統(tǒng)中,由于沒(méi)有真正的操作系統(tǒng)可供攻擊者遠(yuǎn)程登錄,操作系統(tǒng)所帶來(lái)的復(fù)雜性被削弱了,所以它所帶來(lái)的風(fēng)險(xiǎn)是最小的。但也讓我們無(wú)法觀察一個(gè)攻擊者與系統(tǒng)交互信息的整個(gè)過(guò)程。它主要用于檢測(cè)。通過(guò)中交互度Honeypot可以獲得更多有用的信息,同時(shí)能做出響應(yīng),是仍然沒(méi)有為攻擊者提供一個(gè)可使用的操作系統(tǒng)。部署和維護(hù)中交互度的Honeypot是一個(gè)更為復(fù)雜的過(guò)程。高交互度Honeypot的主要特點(diǎn)是提供了一個(gè)真實(shí)的操作系統(tǒng)。該系統(tǒng)能夠收集更多的信息、吸引更多的入侵行為。

當(dāng)然Honeypot也存在著一些缺點(diǎn):需要較多的時(shí)間和精力投入。Honeypot技術(shù)只能對(duì)針對(duì)其攻擊行為進(jìn)行監(jiān)視和分析,其視野較為有限,不像入俊檢側(cè)系統(tǒng)能夠通過(guò)旁路偵聽(tīng)等技術(shù)對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行監(jiān)控。Honeypot技術(shù)不能直接防護(hù)有漏洞的信息系統(tǒng)。部署Honeypot會(huì)帶來(lái)一定的安全風(fēng)險(xiǎn)。

構(gòu)建一個(gè)有用的Honeypot是一個(gè)十分復(fù)雜的過(guò)程,主要涉及到Honeypot的偽裝、采集信息、風(fēng)險(xiǎn)控制、數(shù)據(jù)分析。其中,Honeypot的偽裝就是將一個(gè)Honeypot通過(guò)一定的措施構(gòu)造成一個(gè)十分逼真的環(huán)境,以吸引入侵者。但Honeypot偽裝的難度是既不能暴露太多的信息又不能讓入侵者產(chǎn)生懷疑。最初采用的是偽造服務(wù),目前主要采用通過(guò)修改的真實(shí)系統(tǒng)來(lái)充當(dāng)。Honeypot的主要功能之一就是獲取入侵者的信息,通常是采用網(wǎng)絡(luò)sniffer或IDS來(lái)記錄網(wǎng)絡(luò)包從而達(dá)到記錄信息的目的。雖然Honeypot可以獲取入侵者的信息,并能有效的防護(hù)目標(biāo),但Honeypot也給系統(tǒng)帶來(lái)了隱患,如何控制這些潛在的風(fēng)險(xiǎn)十分關(guān)鍵。Honeypot的最后一個(gè)過(guò)程就是對(duì)采用數(shù)據(jù)的分析。通過(guò)分析就能獲得需要的相關(guān)入侵者規(guī)律的信息。

對(duì)于設(shè)計(jì)Honeypot,主要有三個(gè)步驟:首先,必須確定自己Honeypot的目標(biāo)。因?yàn)镠oneypot并不能完全代替?zhèn)鹘y(tǒng)的網(wǎng)絡(luò)安全機(jī)制,它只是網(wǎng)絡(luò)安全的補(bǔ)充,所以必須根據(jù)自己的目標(biāo)定位Honeypot。通常Honeypot可定位于阻止入侵、檢測(cè)入侵等多個(gè)方面。其次,必須確定自己Honeypot的設(shè)計(jì)原則。在這里不僅要確定Honeypot的級(jí)別還有確定平臺(tái)的選擇。目前,對(duì)用于研究目的的Honeypot一般采用高交互Honeypot,其目的就是能夠更加廣泛的收集入侵者的信息,獲取需要的資料。在平臺(tái)的選擇上,目前我們選擇的范圍很有限,一般采用Linux系統(tǒng)。其原因主要是Linux的開(kāi)源、廣泛應(yīng)用和卓越的性能。最后,就是對(duì)選定環(huán)境的安裝和配置。

三、Honeypot在網(wǎng)絡(luò)中的應(yīng)用

為更清晰的研究Honeypot,將Honeypot應(yīng)用于具體的網(wǎng)絡(luò)中。在我們的研究中,選擇了一個(gè)小規(guī)模的網(wǎng)絡(luò)來(lái)實(shí)現(xiàn)。當(dāng)設(shè)計(jì)完整個(gè)網(wǎng)絡(luò)結(jié)構(gòu)后,我們?cè)诰W(wǎng)絡(luò)出口部分配置了設(shè)計(jì)的Honeypot。在硬件方面增加了安裝了snort的入侵檢測(cè)系統(tǒng)、安裝了Sebek的數(shù)據(jù)捕獲端。并且都構(gòu)建在Vmware上實(shí)現(xiàn)虛擬Honeypot。在實(shí)現(xiàn)中,主要安裝并配置了Honeyd、snort和sebek.其Honeypot的結(jié)構(gòu)圖,見(jiàn)圖1。

圖1 Honeypot結(jié)構(gòu)圖

四、小結(jié)

論文從入侵誘騙技術(shù)入手系統(tǒng)的分析了該技術(shù)的發(fā)展歷程,然后對(duì)入侵誘騙技術(shù)中的Honeypot進(jìn)行了深入的研究,主要涉及到Honeypot的分類(lèi)、設(shè)計(jì)原則、設(shè)計(jì)方法,最后,將一個(gè)簡(jiǎn)易的Honeypot應(yīng)用于具體的網(wǎng)絡(luò)環(huán)境中,并通過(guò)嚴(yán)格的測(cè)試,表明該系統(tǒng)是有效的。

參考文獻(xiàn)

[1]蔡芝蔚.基于Honeypot的入侵誘騙系統(tǒng)研究[M].網(wǎng)絡(luò)通訊與安全,1244～1245

[2]楊奕.基于入侵誘騙技術(shù)的網(wǎng)絡(luò)安全研究與實(shí)現(xiàn).[J].計(jì)算機(jī)應(yīng)用學(xué)報(bào),2004.3:230～232.

[3]周光宇,王果平.基于入侵誘騙技術(shù)的網(wǎng)絡(luò)安全系統(tǒng)的研究[J].微計(jì)算機(jī)信息,2007.9

[4]夏磊,蔣建中,高志昊.入侵誘騙、入侵檢測(cè)、入侵響應(yīng)三位一體的網(wǎng)絡(luò)安全新機(jī)制

[5]Bill Cheswick. An Evening with Berferd In Which a Cracker is Lured,Endured,and Studied.Proceedings of the Winter 1992 Usenix conference,1992

篇10

隨著計(jì)算機(jī)信息技術(shù)的發(fā)展，使網(wǎng)絡(luò)成為全球信息傳遞和交互的主要途徑，改變著人們的生產(chǎn)和生活方式。網(wǎng)絡(luò)信息已經(jīng)成為社會(huì)發(fā)展的重要組成部分，對(duì)政治、經(jīng)濟(jì)、軍事、文化、教育等諸多領(lǐng)域產(chǎn)生了巨大的影響。事實(shí)上，網(wǎng)絡(luò)安全已經(jīng)成為關(guān)系國(guó)家主權(quán)和國(guó)家安全、經(jīng)濟(jì)繁榮和社會(huì)穩(wěn)定、文化傳承和教育進(jìn)步的重大問(wèn)題，因此，我們?cè)诶镁W(wǎng)絡(luò)信息資源的同時(shí)，必須加強(qiáng)網(wǎng)絡(luò)信息安全技術(shù)的研究和開(kāi)發(fā)。

1網(wǎng)絡(luò)安全的概念

運(yùn)用網(wǎng)絡(luò)的目的是為了利用網(wǎng)絡(luò)的物理或邏輯的環(huán)境，實(shí)現(xiàn)各類(lèi)信息的共享，計(jì)算機(jī)網(wǎng)絡(luò)需要保護(hù)傳輸中的敏感信息，需要區(qū)分信息的合法用戶(hù)和非法用戶(hù)。在使用網(wǎng)絡(luò)的同時(shí)，有的人可能無(wú)意地非法訪問(wèn)并修改了某些敏感信息，致使網(wǎng)絡(luò)服務(wù)中斷，有的人出于各種目的有意地竊取機(jī)密信息，破壞網(wǎng)絡(luò)的正常運(yùn)作。所有這些都是對(duì)網(wǎng)絡(luò)的威脅。因此，網(wǎng)絡(luò)安全從其本質(zhì)上來(lái)講就是網(wǎng)絡(luò)的信息安全，主要研究計(jì)算機(jī)網(wǎng)絡(luò)的安全技術(shù)和安全機(jī)制，以確保網(wǎng)絡(luò)免受各種威脅和攻擊，做到正常而有序地工作。

2網(wǎng)絡(luò)安全的分析

確保網(wǎng)絡(luò)安全應(yīng)從以下四個(gè)方面著手:

①運(yùn)行系統(tǒng)的安全。硬件系統(tǒng)的可靠安全運(yùn)行，計(jì)算機(jī)操作系統(tǒng)和應(yīng)用軟件的安全，數(shù)據(jù)庫(kù)系統(tǒng)的安全，側(cè)重于保證系統(tǒng)正常地運(yùn)行，其本質(zhì)是保護(hù)系統(tǒng)的合法操作和正常運(yùn)行。②網(wǎng)絡(luò)上系統(tǒng)信息的安全。即確保用戶(hù)口令鑒別、用戶(hù)存取權(quán)限控制，數(shù)據(jù)存取權(quán)限、數(shù)據(jù)加密、計(jì)算機(jī)病毒防治等方面的安全。③網(wǎng)絡(luò)上信息傳播的安全。信息傳播后的安全，包括信息過(guò)濾等。其側(cè)重于防止和控制非法、有害的信息傳播產(chǎn)生的后果，避免網(wǎng)絡(luò)上傳輸?shù)男畔⑹Э?。④網(wǎng)絡(luò)上信息內(nèi)容的安全。即保護(hù)信息的保密性、真實(shí)性和完整性。保護(hù)用戶(hù)的利益和隱私。

3網(wǎng)絡(luò)安全的攻略

網(wǎng)絡(luò)的任何一部分都存在安全隱患，針對(duì)每一個(gè)安全隱患需要采取具體的措施加以防范。目前常用的安全技術(shù)有包過(guò)濾技術(shù)、加密技術(shù)、防火墻技術(shù)、入侵檢測(cè)技術(shù)等。下面分別介紹:

①包過(guò)濾技術(shù)。它可以阻止某些主機(jī)隨意訪問(wèn)另外一些主機(jī)。包過(guò)濾功能通常在路由器中實(shí)現(xiàn)，具有包過(guò)濾功能的路由器叫包過(guò)濾路由器。網(wǎng)絡(luò)管理員可以配置包過(guò)濾路由器，來(lái)控制哪些包可以通過(guò)，哪些包不可以通過(guò)。

②加密技術(shù)。凡是用特種符號(hào)按照通信雙方約定的方法把數(shù)據(jù)的原形隱藏起來(lái)，不為第三者所識(shí)別的通信方式稱(chēng)為密碼通信。在計(jì)算機(jī)通信中，采用密碼技術(shù)將信息隱蔽起來(lái)，再將隱蔽后的信息傳播出去，是信息在傳輸過(guò)程中即使被竊取或截獲，竊取者也不能了解信息的內(nèi)容，從而保證信息傳輸?shù)陌踩?/p>

③防火墻技術(shù)。防火墻將網(wǎng)絡(luò)分為內(nèi)部和外部網(wǎng)絡(luò)，內(nèi)部網(wǎng)絡(luò)是安全的和可信賴(lài)的，而外部網(wǎng)絡(luò)則是不太安全。它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，對(duì)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的數(shù)據(jù)流量進(jìn)行分析、檢測(cè)、管理和控制，從而保護(hù)內(nèi)部網(wǎng)絡(luò)免受外部非法用戶(hù)的侵入。

④入侵檢測(cè)技術(shù)。通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)和主機(jī)系統(tǒng)中的關(guān)鍵信息進(jìn)行實(shí)時(shí)采集和分析，從而判斷出非法用戶(hù)入侵和合法用戶(hù)濫用資源的行為，并作出適當(dāng)反應(yīng)的網(wǎng)絡(luò)安全技術(shù)。

根據(jù)入侵檢測(cè)系統(tǒng)的技術(shù)與原理的不同，可以分為異常入侵檢測(cè)、誤用入侵檢測(cè)和特征檢測(cè)三種。

異常入侵檢測(cè)技術(shù)。收集一段時(shí)間內(nèi)合法用戶(hù)行為的相關(guān)數(shù)據(jù)，然后使用統(tǒng)計(jì)方法來(lái)考察用戶(hù)行為，來(lái)斷定這些行為是否符合合法用戶(hù)的行為特征。如果能檢測(cè)所有的異?；顒?dòng)，就能檢測(cè)所有的入侵性活動(dòng)。

誤用入侵檢測(cè)技術(shù)。假設(shè)具有能夠被精確地按某種方式編碼的攻擊，并可以通過(guò)捕獲攻擊及重新整理，確認(rèn)入侵活動(dòng)是基于同一弱點(diǎn)進(jìn)行攻擊的入侵方法的變種。它是通過(guò)按照預(yù)先定義好的入侵模式以及觀察到入侵發(fā)生情況進(jìn)行模式匹配來(lái)檢測(cè)。

特征檢測(cè)。此方法關(guān)注的是系統(tǒng)本身的行為，定義系統(tǒng)行為輪廓，并將系統(tǒng)行為與輪廓進(jìn)行比較，對(duì)未指明為正常行為的事件定義為入侵。

網(wǎng)絡(luò)安全已經(jīng)成為網(wǎng)絡(luò)發(fā)展的瓶頸，也是一個(gè)越來(lái)越引起世界關(guān)注的重要問(wèn)題。只有重視了網(wǎng)絡(luò)安全，才能將可能出現(xiàn)的損失降到最低。

參考文獻(xiàn)

[1] 郭秋萍.計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)[M].北京:清華大學(xué)出版社，2008.