《毕业设计(论文)-病毒入侵检测技术.doc》由会员分享,可在线阅读,更多相关《毕业设计(论文)-病毒入侵检测技术.doc(17页珍藏版)》请在三一文库上搜索。
1、I 摘 要 随着计算机网络的发展,针对网络、主机的攻击与防御技术也不断发展, 但防御相对于攻击而言总是被动和滞后的,尽管采用了防火墙等安全防护措施, 并不意味着系统的安全就得到了完全的保护。总会有一个时间差,而且网络的 状态是动态变化的,使得系统容易受到攻击者的破坏和入侵,这便是入侵检测 系统的任务所在。入侵检测系统从计算机网络系统中的若干关键点收集信息, 并分析这些信息,检查网络中是否有违反安全策略的行为,在发现攻击企图或 攻击之后,及时采取适当的响应措施。本文主要介绍了入侵检测的描述、入侵 检测基本原理、和入侵检测方法。 关键词:入侵检测系统;入侵检测的描述;检测基本原理;检测方法关键词:
2、入侵检测系统;入侵检测的描述;检测基本原理;检测方法 II Abstract With the development of computer network, the network, the host of the attack and defense technology also develops, but the defense to attack is always passive and lag, despite the use of firewalls and other security measures, does not mean that the system secu
3、rity has been fully protected. There is always a time lag, and the state of the network is dynamic, make the system vulnerable to the attackers destruction and invasion, this is the task of the intrusion detection system. Intrusion detection system from the computer network system in a number of key
4、 point to collect information, and analysis of these information, check the network of violating security strategy behavior, found in the attempted attack or attacks, timely take appropriate response measures. This paper mainly introduced the intrusion detection are described, intrusion detection an
5、d intrusion detection method, basic principle. Key words: intrusion detection system; intrusion detection; detection principle; testing method III 目 录 第一章 入侵检测系统概述1 1.1 入侵检测系统的描述1 1.2 基本概念2 1.3 入侵检测系统的功能组成.2 1.3.1 信息收集2 1.3.2 信息分析3 1.3.3 结果处理3 第二章 入侵检测基本原理4 2.1 通用入侵检测模型.4 2.2 数据来源5 2.2.1 主机入侵检测系统.5
6、2.2.2 网络入侵检测系统.6 2.2.3 混合型入侵检测系统7 第三章 检测技术.8 3.1 异常检测8 3.1.1 检测功能8 3.2 误用检测9 3.3 响应措施9 3.3.1 主动响应9 3.3.2 被动响应9 第四章 入侵检测方法10 4.1 异常检测技术.10 4.1.1 基于概率统计.10 4.1.2 基于神经网络.10 4.2 误用检测技术.10 4.2.1 基于专家统计.10 4.2.2 基于模型推理.10 第五章 总结.12 参考文献13 IV 图表目录 图 2.1 通用入侵检测模型.4 图 2.2 基于主机的入侵检测系统结构.6 图 2.3 基于网络的入侵检测系统结构.
7、7 1 第一章 入侵检测系统概述 1.1 入侵检测系统的描述 Internet 的开放性及其他方面的因素导致了网络环境下的计算机系统存在很 多安全问题。为了解决这些安全问题,各种安全机制、策略和工具被研究和应 用。然而,即使在使用了现有的安全工具和机制的情况下,网络的安全任然存 在很大的隐患,这些安全隐患主要归结为以下几点。 1、 每一种安全机制都有一定的应用范围和应用环境。例如,防火墙是 一种有效的安全工具,它可以隐蔽内部网络结构,限制外部网络到内部网络 的访问,但是对于内部网络之间的访问,防火墙往往无能为力。因此,对于 内部网络之间和内外勾结的入侵行为,防火墙很难发觉和防范的。 2、 安全
8、工具的使用受到人为因素的影响。一个安全工具能否实现预期 的效果,在很大程度上取决于使用者,包括系统管理员和普通用户,不正当 的设置就会产生不安全因素。 3、 系统的后门是传统安全工具常常忽略的地方。防火墙很难考虑到这 类安全问题,多数情况下,这类入侵行为可以堂而皇之经过防火墙而很难被 察觉;例如,总所周知的 ASP 源码问题,这个问题在 IIS 服务器 4.0 以前一 直存在,它是 IIS 服务器的设计者留下的一个后门,任何人都可以使用浏览 器从网络上方便地调出 ASP 程序的源码,从而可以收集系统信息,进而对 系统进行攻击。对于这类入侵行为,防火墙是无法发觉的,因为对于防火墙 来说,该入侵行
9、为的访问过程和正常的 Web 访问是相似的,唯一的区别是 入侵访问在请求链接中加了一个后缀。 4、 只要有程序,就可能存在 Bug,甚至安全工具本身也可能存在安全 漏洞。几乎每天都有新的 Bug 别发现和公布出来,程序设计者在修改已知 Bug 的同时又有可能使它产生了新的 Bug 系统的 Bug 经常被黑客利用,而且 这种攻击通常不会产生日志,几乎无据可查。 5、 黑客的攻击手段在不断地更新,几乎每天都有不同系统的安全问题 出现。然而安全工具的更新速度太慢,绝大多数情况下需要人为参与才能发 2 现以前未知的安全问题,这就是得它们相对于新出现的安全问题有很大的延 迟。因此,黑客总可使用先进的、安
10、全工具无法防范的手段进行攻击。 对于以上提到的问题,很多组织正在致力于提出更多、更强大的主动策略 和方案来增强网络的安全性,其中一个有效的解决途径就是入侵检测。在入侵 检测之前,大量的安全机制都是从主观的角度设计的,它们没有根据网络攻击 的具体行为来决定安全策略,因此,对入侵行为的反应相对迟钝,很难发现未 知的攻击行为,而且不能根据网络行为的变化来及时调整系统的安全策略。而 入侵检测正是根据网络攻击行为而设计的,它不仅能够发现已知的入侵行为, 而且有能力发现未知的入侵行为,并且可以通过学习和分析入侵手段,及时地 调整系统策略以加强系统的安全性。 1.2 基本概念 入侵检测最早是由 James
11、Anderson 于 1980 年提出的。所谓入侵检测,是指 通过从计算机网络或主机系统中的若干关键点收集信息并对其进行分析,从中 检测网络或系统中是否有违反安全策略的行为和遭受袭击的迹象,并对此进行 日志记录和采取相应措施的一种安全技术。入侵检测系统提供对内部攻击、外 部攻击和误操作的实时保护,这些主要通过以下任务来实现: 1、 监视、分析用户计算机和网络的运行状况,查找非法用户和合法用 户的越权操作。 2、 监测系统配置的正确性和安全漏洞,并提示系统管理员修补漏洞。 3、 识别行为模式的统计分析。 4、 异常行为模式的统计分析。 5、 评估重要系统和数据文件的完整性。 6、 对操作系统进行
12、审计跟踪管理,并识别用户安全策略的行为。 1.3 入侵检测系统的功能组成 简单地说,入侵检测系统包括三个功能部件:信息收集、信息分析和结果 处理。 1.3.1 信息收集 3 入侵检测的第一步是收集信息,收集内容被偶看系统、网络、数据及用户 活动的状态和行为。入侵检测在很大程度上依赖于收集信息的可靠性和正确性。 因此,对于信息收集有以下原则: 1、 需要在计算机网络系统中的若干不同关键点,不同网段和不同主机, 收集信息,并且尽可能扩大监测范围。 2、 要保证用于监测系统的软件的完整性,防止被篡改而收集到错误信 息。 3、 在一个环境中,审计信息必须与他要保护的系统分开来存储和处理, 防止入侵者通
13、过删除审计记录来使入侵检测系统失败。 1.3.2 信息分析 入侵检测的分析方法主要可分为异常检测和误用检测。 异常检测首先总结正常操作应该具有的特征,当用户活动与正常行为有重 大偏离时即被认为是入侵。 误用检测收集非正常操作的行为特征,建立相关的特征库,当检测的用户 或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。 1.3.3 结果处理 入侵检测可以达到两方面的目标,一方面是它可以提供可说明性,只从给 定的活动或事件中,找到相关责任方的能力。另一方面,它可以采取一些积极 的反省措施,提示系统管理员修改目标系统或入侵检测系统。 4 第二章 入侵检测基本原理 2.1 通用入侵检测模型 1
14、997 年初,加州大学戴维斯分校计算机安全实验室主持提出了入侵检测框 架(Common Intrusion Detection Framework,CIDF),CIDF 是一套规范,它定义 了入侵检测系统表达监测信息的标准语言及入侵检测系统组件之间的通信协议。 CIDF 的体系结构文档阐述了一个标准的入侵检测系统的通用模型;规范语 言定义了一个用来描述各种监测信息的标准语言;内部通信定义了入侵检测系 统组件之间进行同的标准协议;程序接口提供了一整套标准的应用程序接口。 基于 CIDF 的体系机构文档,一个通用的入侵检测模型如图 2.1 所示。 事件数据库 响应单元 知识库/配置信息 事件产生器
15、 事件分析器 目标系统 图 2.1 通用入侵检测模型 该系统主要由以下几大部件组成: 1、 事件产生器:主要负责从目标系统中收集数据,输入数据流包括任 何可能包括入侵行为信息的系统数据,并向事件分析器提供信息以共处理。 2、 事件分析器:分则分析数据和检测入侵信息的任务,并提供分析结 果,产生新的信号和警报。 5 3、 响应元件:对分析结果作出反应的功能单元,他可以终止进程、重 置连接、改变文件属性等,也可以只是简单地报警。 4、 事件数据库:存放各种中间和最终数据的地方的统称,可以是复杂 的数据库,也可以是简单的文本文件。 5、 知识库/配置信息:提供必要的数据信息支持,如用户历史活动档 案
16、,或者是检测规则集合等。 2.2 数据来源 入侵检测是基于数据驱动的处理机制,其输入的数据来源主要有两类:基 于主机的信息源派生的数据,基于网络的信息源派生的数据。根据入侵检测系 统信息来源的不同,可以把入侵检测系统分为主机入侵检测系统(HIDS)、网络 入侵检测系统(NIDS)及混合式入侵检测系统 3 类。 2.2.1 主机入侵检测系统 基于主机的入侵检测系统的检测原理是根据主机的审计数据和系统日志, 监视操作系统或系统事件级别的可疑活动或潜在的入侵。主机入侵检测系统能 对检测的入侵行为、时间给予积极的主动响应措施,入断开连接、封掉用户账 号、杀死进程和提交警报等。现在的某些主机入侵检测系统
17、甚至吸取了部分网 管、访问控制等方面的技术,能够很好地与系统,甚至系统上的应用紧密结合。 其主要优势有:监视特定的系统活动;误报率较低;适用于加密信息的处理; 可用于大型交换网络;对网络流量不敏感。 基于主机的入侵检测系统以来与审计数据或系统日志的准确性和完整性以 及安全事件的定义,并要把安全策略转换成入侵检测规则,其结构示意图如图 2.2 所示。 6 目标系统 审计记录收集方法 审计记录预处 理 审计记录数据归 档/查询 异常检测 安全管理接口 滥用监测 审计记录数据库 图 2.2 基于主机的入侵检测系统结构 2.2.2 网络入侵检测系统 基于网络的入侵检测系统使用原始的网络分组数据报作为攻
18、击的数据源, 该类系统一般利用工作在混杂模式下的网卡来实时监听整个网段上的通信业务, 通过实时捕获网络数据包,进行分析,能够检测该网段上发生的网络入侵。他 的入侵分析引擎通常采用技术来识别攻击:模式、表达式或字节匹配;频率或 穿越阈值;低级事件的相关性;统计学意义上的非常规检测。 一旦检测到攻击行为,入侵检测系统的响应模块可以采取通知、报警以及 中断连接等方式来对攻击作出反应,如图 2.3 所示。 7 管理/配置 入侵分析引擎 主机 N主机 2主机 1 网络安全数据库 嗅探器嗅探器 分析结果 图 2.3 基于网络的入侵检测系统结构 基于网络的入侵检测系统主要优点有:部署成本低;不影响业务系统;
19、实 时监测和响应;能够检测未成功的攻击企图。当然,基于网络的入侵检测系统 也有一些弱点:网络入侵检测系统只检查其直连网段的通信,不能同时检测其 他网段的数据包;网络入侵检测系统传感器通常会将大量的数据传回分析系统 中;网络入侵检测系统处理加密的会话过程较困难。 2.2.3 混合型入侵检测系统 随着网络技术的发展和网络应用的扩大,网络的拓扑结构和数据流量逐渐 变得复杂和多样化,只使用单一的主机入侵检测系统或者网络入侵检测系统会 面临着很多的问题。针对这些问题,就产生了混合式入侵检测系统。混合式入 侵检测系统一般有采集组件、通信传输组件、入侵检测分析组件、响应组件和 管理组件等部件组成,分布在网络
20、的各个部分、完成相应的功能,分散地进行 数据采集、数据分析等工作。在这种结构下,不仅可以检测到针对单独主机的 入侵,同时也可以检测到针对整个网段主机的入侵。 8 第三章 检测技术 检测技术是入侵检测系统的核心功能,检测过程对实际的现场数据进行分 析,并将分析结果分为入侵、正常或不确定 3 种类型。根据对数据进行分析的 技术原理不同,入侵检测通常可以分为两类:异常检测和误用检测。 3.1 异常检测 异常检测原理是指根据非正常行为和使用计算机资源的非正常情况检测出 入侵行为。异常检测假设所有的入侵活动都必须是异常活动,根据假设攻击与 正常活动之间的差异来识别攻击。首先为系统建立正常活动的特征文件,
21、然后 通过统计那些不同于以建立的特征文件的所有系统状态的数量,来识别入侵企 图。这样,根据各自不同的正常活动建立起的特征文件,便具有用户特征。入 侵者使用正常用户的账号,其行为却不与正常用户的行为吻合,因而可以别检 测出来。 3.1.1 检测功能 入侵检测作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻 击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。从网络安 全立体纵深、多层次防御的角度出发,入侵检测理应受到人们的高度重视,这 从国外入侵检测产品市场的蓬勃发展就可以看出。在国内,随着上网的关键部 门、关键业务越来越多,迫切需要具有自主版权的入侵检测产品。但现状是入 侵检测
22、仅仅停留在研究和实验样品阶段,或者是防火墙中集成较为初级的入侵 检测模块。可见,入侵检测产品仍具有较大的发展空间,从技术途径来讲,我 们认为,除了完善常规的、传统的技术外,应重点加强统计分析的相关技术研 究。 其检测功能有:监督并分析用户和系统的活动;检查系统配置和漏洞;检 查关键系统和数据文件的完整性;识别代表已知攻击的活动模式;对反常行为 模式的统计分析;对操作系统的校验管理,判断是否有破坏安全的用户活动; 入侵检测系统和漏洞评估工具的优点在于;提高了信息安全体系其它部分的完 9 整性;提高了系统的监察能力;跟踪用户从进入到退出的所有活动或影响;识 别并报告数据文件的改动;发现系统配置的错
23、误,必要时予以更正;识别特定 类型的攻击,并向相应人员报警,以作出防御反应;可使系统管理人员最新的 版本升级添加到程序中;允许非专家人员从事系统安全工作;为信息安全策略 的创建提供指导;必须修正对入侵检测系统和漏洞评估工具不切实际的期望。 这些产品并不是无所不能的,它们无法弥补力量薄弱的识别和确认机制;在无 人干预的情况下,无法执行对攻击的检查;不能弥补网络协议的漏洞;不能弥 补由于系统提供信息的质量或完整性的问题;它们不能应付现代网络的硬件及 特性。 3.2 误用检测 误用检测原理是指根据已知的入侵方式来检测入侵。入侵者通常利用系统 和应用软件中的弱点或漏洞来实施攻击,而这些弱点或漏洞总能用
24、某种方法标 识成模式或特征的行为。异常检测系统可检测已知和未知的不良行为,而误用 检测智能识别已知的不良行为。 基于误用检测原理的入侵方法和技术主要有以下几种:1、条件概率误用检 测方法;2、专家系统误用检测方法;3、状态转换分析误用检测方法;4、键盘 监控误用检测方法;5、模型误用检测方法。 3.3 响应措施 3.3.1 主动响应 对于主动响应而言,入侵检测系统将在发现异常攻击活动后,采取相应措 施阻塞实施攻击的进程或改变受攻击的网络环境配置,从而达到阻止入侵危害 性后果的发生或尽可能减小危害性后果的目的。主动响应可采取的措施有针对 入侵行为采取必要措施;重新修正配置系统;设计网络陷阱收集更
25、为详尽的信 息。 3.3.2 被动响应 被动响应仅仅报告和记录所检测到的异常活动信息,由用户自行决定采取 10 什么响应措施。被动响应的措施主要有三种类型:日志记录、报警和通知和网 络管理协议消息。 第四章 入侵检测方法 4.1 异常检测技术 4.1.1 基于概率统计 基于概率统计的检测方法是在异常入侵检测中最常用地方法,它是对用户 历史行为建立模型。根据该模型,当发现有可疑的用户行为发生时保持跟踪, 并监视和记录该用户的行为。这种方法的优越性在于它应用了成熟的概率统计 理论;缺点是由于用户的行为非常复杂,因而要想准确地匹配一个用户的历史 行为非常困难,容易造成系统误报和漏报;定义入侵阈值比较
26、困难,阈值高则 误报率高,阈值低则漏报率增高。 4.1.2 基于神经网络 基于神经网络的检测方法的基本思想使用一系列信息单元训练神经单元, 在给定一定的输入后,就可能预测出输出。它是对基于概率统计的检测技术的 改进主要解决了传统的统计分析技术的问题。 4.2 误用检测技术 4.2.1 基于专家统计 专家系统是基于知识的检测中最早期运用得较多的一种方法。将有关入侵 的知识转化成 if-then 结构的规则,即将构成入侵所要求的条件转化为 if 部分, 将发现入侵后采取的相应措施转化成 then 部分。当其中某些或某部分条件满足 时,系统就判断发生了入侵行为。 在具体实现过程中,专家系统主要面临全
27、面性问题和效率问题两个问题。 4.2.2 基于模型推理 11 攻击者在攻击一个系统时往往采用一定的行为程序,如猜测口令的程序, 这种行为程序构成了某种具有一定行为特征的模型,根据这种模型所代表的攻 击意图的行为特征,可以实时地检测出恶意的攻击企图。 模型推理方法的优越性有:对不确定性的推理有合理的数学理论基础;减 少了需要处理的数据量,因为它首先按脚本类型检测相应类型是否出现,然后 再检测具体的事件。但是该方法创建入侵模型的工作量比别的方法要大。 12 第五章 总结 入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻 击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。从
28、网络安 全立体纵深、多层次防御的角度出发,入侵检测应受到人们的高度重视。 未来的入侵检测系统将会结合其它网络管理软件,形成入侵检测、网络管 理、网络监控三位一体的工具。强大的入侵检测软件的出现极大地方便了网络 管理,其实时报警为网络安全增加了又一道保障。尽管在技术上仍有许多为克 服的问题,但正如攻击技术不断发展一样,入侵检测技术也会不断更新、成熟。 13 参考文献 1 李建华、陆松年,信息安全综合实践,清华大学出版社,2010。 2 张奎婷、单荣胜、罗诗尧,信息安全之个人防护,北京:电子工业出版社。 3 王昭、袁春、陈钟,信息安全原理与应用,北京:电子工业出版社。 4 Mihcael E.Wh
29、itman,Herbert J.Mattord,信心安全原理,北京:清华大学出版社。 5 李剑,入侵检测技术,高等教育出版社,2008。 6 蒋建春,网络入侵检测原理与技术,国防工业,2001。 7 CaswellBrian,宋劲松译,Snort 2.0 入侵检测, 2004。 8 唐正军,入侵检测技术导论,机械工业出版社,2004。 9 曹元大,入侵检测技术,人民邮电,2007。 10 Rebecca Gurley Bace,陈明奇译,入侵检测,人民邮电出版社,2001。 11 薛静锋,入侵检测技术,机械工业出版社,2004。 12 StephenNorthcutt,余青霓译,网络入侵检测分析员手册,人民邮电出版社, 2000。 13 唐正军,入侵检测技术,清华大学出版社,2004。 14 sheril.R.D(1956).The terrifying future:Contemplating color.San Diego:Halstead. 15 Kent,S.” IP Authentication Headert”,RFC4302,December 2005. 16 Denning D E.Database SecurityM Annual Review Inc.
链接地址:https://www.31doc.com/p-3286029.html