毕业论文基于校园网的分布式入侵防御系统研究与设计.doc

foshan university本科生毕业设计（论文） 基于校园网的分布式入侵防御系统研究与设计 学 院： 机电与信息工程学院 专 业： 网络工程 学 号： 2005394109 学生姓名： 何应鸿 指导教师： 马莉 （职称）二九 年 五 月摘 要随着internet的发展，计算机网络安全成为越来越受人们关注的问题。目前最流行的网络安全解决方案是入侵检测系统和防火墙技术，但是由于入侵检测系统存在产生大量的警报（alert）和误报（false positive）、只能被动检测不能主动防御的缺点，导致不能对网络进行全面得保护，因此急需出现一种崭新的网络安全体系结构来解决这些问题。通过分析多种安全防御机制的优缺点和网络安全的发展趋势，在此基础上设计并实现了基于分层部件的分布式入侵检测系统，具有良好的性能和可扩展性。它将入侵检测系统和防火墙技术有机地结合在一起，用于实现对网络的全面保护和深度防御。 本文在深入细致地分析了现有入侵检测系统进行了研究与设计，取得了以下工作成果：参与设计了一种分布式入侵检测系统，并对该系统的体系结构和功能进行了全面、完整的描述。研究了snort的实现机制，学会如何编写snort规则。研究了黑客攻击的步骤，并掌握了一般攻击的手段。研究并实现了报警采集与格式统一模块。实现了网络通信模块，并使用strategy模式保证了加密解密模块的动态扩展，有效的解决了入侵检测系统自身的安全问题。重点研究了报警融合模块的实现原理，并实现了基于相似度的报警融合算法。重点研究和实现了基于插件的报警响应模块，实现了与防火墙的联动。针对局域网实际应用需求，使用该分布式入侵检测系统对其进行保护，取得了不错的实验效果。关键词：网络安全；入侵检测；分布式；报警融合；自动响应research and design of based on campus network distributed intrusion detection systemhe ying-hongabstractwith the development of the internet, the computer network security has received more and more concern. at present the most popular network security solution is the intrusion detection system and the firewall system, but the intrusion detection system produces a lot of alert and false positive, an they only can detect passively, cannot defense actively, so they cannot carry on the comprehensive protection to the network. therefore a kind of brand-new network security architecture is urgent needed to solve these problems. the author analyses the good and bad points of many kinds of security defense mechanism and the development tendency of the network security, designs and implements component-based hierarchical distributed intrusion detection system. it has good performance and can be expanded easily. it combine the intrusion detection system and the firewall together, so it can carry on the comprehensive protection to the network.this article analyses the existing intrusion detection system and the firewall system, designs and implements the distributed intrusion detection system, obtaines the achievement as below:take part in designing the distributed intrusion detection system, and explains the architecture and function of the system explicitly.does a research in the implementation mechanism of the snort, and masteres how to write snort rules.does a research in the steps of hackersattack, masteres the general means of attack.does a research and implements the alerts gather and format unification module.implements network communication module, uses strategy design pattern to guarantee the dynamic expansion of the encryption and decryption module, solves security problems of the intrusion detection system effectively.dose a deep research in the principle of the alert fusion module, and implements based on the similarity alert fusion arithmetic.does a deep research and implements the automatic response module, which is based on plugin mode, and implements the linkage with the firewall.aim at the demand of the local area network security, uses this distributed intrusion detection system to carry on the protection for it, and the experiment receives some good effects.keyword: network security, intrusion detection, distribute, alert fusion, automatic response.目 录1绪论 1 11 研究背景 1 1.1.1 校园网现状 1 1.1.2 入侵检测技术现状 1 1.1.3 防火墙技术现状 12方案论证 221 snort检测器介绍 222 检测引擎介绍 23研究过程论述 331第一阶段：调研论文内容 3 3.1.1 防火墙功能 3 3.1.2 防火墙分类 4 3.1.3 防火墙不足 4 3.1.4入侵检测功能 4 3.1.5入侵检测分类 4 3.1.6入侵检测不足 4 3.1.7分布式入侵检测系统的优势 432 第二阶段：模拟校园网的基础上设计了入侵防御系统 533 第三阶段：编写检测引擎 53. 4 第四阶段：测试、运行本系统并改进 124结果分析135. 结论及存在的问题 13参考文献 14致谢 15基于校园网的分布式入侵防御系统研究与设计姓名：何应鸿 学号：2005394109 班级：网络工程0511、绪论1.1 网络安全隐患internet是一个全球各种计算机网络的互连系统，它把政府组织、金融证券、商业企业、国防军事等各种计算机网络系统互相连接在了一起。在计算机网络中存在着一些重要的信息系统，其中存储了大量敏感的甚至是机密的信息，如国家的军事能源信息、政府的调控决策信息、政府的调控决策信息、科研机构的研究技术信息和商业企业的技术经济信息等等；在计算机网络中还存在着大量重要的应用系统，如金融、证券、税务、商务、文教等电子系统。但由于最初设计tcp/ip协议的目的是为了网络设备的互联通信。协议建立在完全信任的环境下，彼此之间有很多假定的信任关系，没有对安全问题引起足够重视。网络安全隐患主要来自于如下四个方面： （1）网络的复杂性。网络是一个有众多环节构成的复杂系统。由于市场利润，技术投入，产品成本，技术规范等等问题，不同供应商提供的环节在安全性上不尽相同，使得整个系统的安全程度被限制在了安全等级最低的那个环节。 （2）网络的飞速发展。由于网络的发展，提供新网络服务，增加网络的开放性和互联性等，必然将更多环节纳入系统中，新采用的环节又增加了系统的复杂性，引发了网络的不安定性。 （3）软件质量问题。软件质量难以评估是软件的一个特征。现实中。即使是正常运行了很久时间的软件，也会在特定的情况下出现漏洞，例如不断涌现的操作系统漏洞。现代网络已经是软件驱动的发展模式，对软件的更大依赖性加大了软件质量对网络安全的负面影响。同时，市场的激烈竞争，促使商家需要更快地推出产品，软件的快速开发也增大了遗留更多隐患的可能性。 （4)其它非技术因素。这包括技术员在网络配置管理上的疏忽或错误，网络实际运行效益和安全投入成本的平衡决择，网络用户的安全管理缺陷等等。1.2 黑客常用攻击手段 针对众多的安全威胁和安全隐患，黑客常用的攻击手段包括以下7种： （1）口令入侵：利用应用层许多协议如telnet、ftp、http、smtp等，它们中多数没有采用加密或身份认证技术，用户账号与密码信息都是以明文格式传输的特点实施网络监听，也可以利用用户的账号（如e-mail账号）进行暴力破解（字典破解），当然利用系统管理员的失误，复制存放password的文件，进一步利用解密算法也可以达到破解的目的。 (2)网络监听：利用网络中信息的传输是在用户端与服务器端之间进行，攻击者就可以在这两端之间进行数据监听，特别是局域网中信息的传送采用广播的形式，这时可以利用自己制作的抓包工具、或是利用现有的监听工具，如sniffer、netxray、tcpdump等工具就可以轻而易举地截取包括用户名、口令在内的信息。 (3)www攻击：这一技术常采用两种方式进行，一种是url（统一资源定位器）地址重写，另一种是相关信息掩盖。前者是利用url地址重写将用户浏览的网页链接指向攻击者的服务器，使得浏览者在查看信息的时候，不经意进入到攻击者的全套里；后者一般利用文档信息、表单信息掩盖结合前一种方式同时进行。常常使用java、activex、javascript程序来完成。 (4)木马攻击：这一攻击常常是基于网络中的客户机/服务器原理。攻击者利用在被攻击者的计算机中安装通过端口进行通信的客户机/服务器程序，使被控制端启动一个默认端口，成为服务器，而攻击者作为客户机一方，利用此端口可以发出连接请求，进而启动被控制端的相应程序，将该计算机完全控制；或者在被攻击的计算机内安装具有触发机制的程序，当对该机操作触发该程序，可将计算机内的重要信息定时或不定时传到异地的机器上去。常用的工具有glacier、subseven、acidshiver等。 (5)缓冲区溢出攻击：由于软件编码或是系统本身没有对执行的程序与缓冲施加控制，使得在接受输入的过程中，当攻击通过往程序的缓冲区写入超出其长度的内容时，系统会处于不稳定状态，利用这种不稳定状态，攻击者可以通过加入代码，在有root权限的内存中运行想要的指令，从而拥有系统管理员的权限，控制该机。如dnsoverflow、standoverflow等。 (6)dos攻击：引起拒绝服务攻击原因很多，有的是操作系统漏洞，有的是协议漏洞，有的是软件本身的漏洞，还有的是错误配置的原因。大体上是利用合理的服务请求来占用过多的服务资源，致使资源耗尽或是资源过载，造成服务器瘫痪，其它用户无法想用该服务资源。常用的工具有smurf、stacheldraht、trinoo等。 (7)ddos攻击：分布式拒绝服务攻击，首先通过以上所列举得某种技术获得多台计算机的控制权，并在某一台运行特定程序使其成为主控端，在其他机器中运行特定程序成为代理端，主控端控制多个代理端。当主控端发出攻击命令，每个响应攻击命令的代理端会向目标主机发送拒绝服务攻击的数据包，达到攻击的目的。常用的工具有tfn、trinoo、stacheldraht等。1、3 网络安全体系面对越来越严重的网络安全问题，人们制定了一系列的安全法则和评测标准，用来构筑一个相对稳固的安全系统。无论是安全模型，还是系统安全等级评估标准，人们主要是从身份认证和访问控制这两个方面来保证系统的安全性。但是，传统的身份认证技术，并不能抵制脆弱性的口令、字典攻击、特洛伊木马、网络窥探器等攻击手段。对于访问控制，入侵者也可以利用脆弱性程序或系统漏洞绕过访问控制，或者提升用户权限，或者非法读写文件等。网络防火墙虽然为网络服务提供了较好的身份认证和访问控制技术，但是防火墙并不能阻挡所有的入侵行为。针对原有安全模型的缺陷，有些学者提出计算机信息系统安全的管理模型应包括4部分，如图1-1所示。在这个模型中，构筑一个安全系统防御模块只是其中一小部分。检测模块用于发现各种违反系统安全规则的入侵行为。调查模块将检测模块所获得的数据加以分析，并确认当前所发生的有关入侵企图。事后分析模块分析将来如何抵制类似的入侵行为。在这以前，人们的注意力集中在防御模块上，随着系统脆弱性评估及入侵检测工作的深入，检测模块也越来越受到人们的重视，而后两个模块的工作尚有待于进一步的开展。当今社会，对于信息系统的攻击日趋频繁。安全的概念已经不局限于信息的保护，人们需要的是对整个信息和信息系统的保护和防御，从而确保它们的保密性、完整性、可用性、可控性、不可否认性等，包括了对信息的保护、检测、反应和恢复能力（pdrr），其基本组成如图1-2所示。14 目前网络安全现状目前最流行的网络安全解决方案是入侵检测系统和防火墙技术。入侵检测，就是对入侵行为的发现。它通过对计算机网络和计算机系统中的若干关键点收集信息并对其进行分析，从而发现网络或系统中是否有违反安全策略的行为和被攻击的痕迹。ids通常架设在网络重要节点与主机系统之上，可检测网络流量与内容，或者分析网络内的信息流动。防火墙是用一个或一组网络设备（计算机系统或路由器等），在两个或多个网络间加强访问控制，以保护一个网络不受来自另一个网络攻击的安全技术。其主要作用是执行安全策略、提供访问控制、防止不希望的以及未授权的通讯进出被保护的网络、强化内部网络安全等。主机防火墙是一种网络安全软件，运行在受保护的主机上。其原理是通过在操作系统的网络协议框架的适当位置插入拦截点，让所有的数据包都通过拦截点，再根据安全策略制定的过滤规则对通过的数据包进行检查，过滤掉不允许通过的数据包，以保护主机不受外界的非法访问和攻击。1.5 论文研究的内容和意义目前，一般ids所共有的一个缺点是生成的报警和日志的数量过于庞大。就目前的发展现状来看，ids还不能做到完全的自动化，对于检测结果的最终确认必须有人的参与，而数量庞大的报警和日志超出人的处理能力，必须找到办法来解决这一问题。另外一个缺点是很多入侵检测系统仍然采用人工响应的形式。由于响应及时性不够并且无法处理大规模高速网络中大量的安全事件，该方法已经不能够满足目前入侵响应的需求。采用分布式入侵检测体系结构基于分层部件的入侵检测系统是目前解决这些问题的常用方法。分布式入侵检测体系结构具有良好的性能和可扩展性，它将入侵洁厕系统和防火墙技术有机地结合在一起，可以实现对网络的全面保护和深度防御。首先，本文总结了现有入侵检测系统的体系结构、报警融合、报警响应，指出了现有入侵检测系统错在的问题，介绍了入侵检测系统将来可能的发展方向。接着，重点研究了分布式入侵检测系统的体系结构和各个功能的设计实现，具体研究内容包括：系统结构、控制台设计、报警融合、报警响应。最后，针对局域网实际安全需求，实现了分布式入侵检测系统对网络安全的保护，取得了不错的应用效果。1.6论文组织与安排本文共分为五章。除本章绪论外，其它各章的内容安排如下：2、防火墙与入侵检测技术介绍2.1防火墙技术 防火墙是通过提供访问控制服务来实现对网络和受保护主机的网络安全防护的，防火墙技术应该结合入侵检测系统和防木马等技术，提供给用户个高的网络安全性。防火墙是一种网络安全软件，作为一个应用程序或者服务，运行在受保护的主机上，为主机提供网络安全保护。其主要手段是分析主机操作系统网络协议架构，在适当的位置插入拦截点，所有的网络数据包通讯都要经过这些拦截点，再按照根据从策略服务器传来的安全策略制定的过滤规则（访问控制规则）对经过拦截点的网络信息流进行监控和审查，过滤掉任何不符合安全规则的信息，以保护主机不受外界的非法访问和攻击。对于主机防火墙来讲，主机以外的网络都是不可信的，而不像传统边界防火墙那样信任内网、防御外网。在制定安全策略的时候可以针对内部网络和外部网络确定不同德过滩规则，但本质上，内部网络和外部网络是平等的，都要进行防御。2、1、1防火墙的功能：（1） 过滤不安全服务和非法用户网路入侵有许多都是通过运行一些不安全的程序来实现的，这些程序有些是用户知道的，有些是用户不能擦觉的，它通过网络悄悄地潜入你的计算机系统，伺机发作，实施破坏。因此，作为防火墙，应当能够过滤掉所有的不安全数据，阻止它们进入内部网络，对于允许的安全数据，则可以自出入。这样既可以保证正常的上网活动，又可以防止危机数据对自己的侵袭，保证上网安全。除了过滤不安全服务，防火墙还可以阻止非法用户对内部网络的访问，只允许授权的用户访问，针对不同的服务面向不同的用户开放，这样可以灵活地设置用户的访问权限，提高网络的安全性。（2） 控制访问特殊站点一般情况下，上网以后可以获得各种信息，而网上信息五花八门，各式各样的内容都有。如果不加限制，就容易获得一些色情、暴力等不健康的内容，同时根据需要，有时我们要控制访问某些站点，通过防火墙就可以实现这些目的。（3） 监视internet安全和预警对于来历不明的数据，防火墙可以发出预警信息，同时可以监视谁在使用网络，他们在网上干什么，他们何时使用过网络，在网上去了何处等内容，获得相关数据，为日后的安全技术分析提供依据。2、1、2防火墙的分类按照功能防火墙分为以下3类（1）包过滤型防火墙通过读取数据包中的地址信息来判断这些“包” 是否来自可信任的安全站点，一旦发现来自危险站点的数据包，防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。（2）应用级网关应用级网关能够在应用层上理解协议，通过网关复制传递数据，实现复杂的控制访问，一般通过代理服务器完成操作控制。（3） 规则检查防火墙规则检查防火墙集中了上述二类防火墙的特点，同时又有自己先进的算法，因此安全功能更好，目前市场上流行的防火墙大多属于该类产品。2.2入侵检测系统2、2、1 常用的入侵检测技术入侵检测过程事一个检测系统与入侵攻击者之间对抗的决策分析过程，其技术基础事基于知识和冗余推理方法的信息融合技术，而大部分工作是通过模式匹配、数据挖掘、特征选取以及机器学习等方法对数据进行分类处理。常用的入侵检测技术分为两大类，即滥用检测和异常检测6。滥用检测（misuse detection）是根据已知的入侵模式特征，通过对被监视目标特定行为的模式匹配来进行的关于已知入侵的检测；而异常检测（anomaly detection）则是事先以最近的历史数据建立被监视目标（用户，系统和网络资源等）在正常情况下的行为和状态的统计描述，通过检测这些统计描述的当前值是否显著偏离了其相应的正常情况下的统计描述来进行入侵的检测。（1） 滥用入侵检测技术滥用入侵检测技术的应用是建立在对过去各种已知网络入侵方法和系统缺陷知识的积累上，它需要首先建立一个包含上述已知信息的数据库，然后在收集到的网络活动信息中寻找与数据库项目匹配相关的蛛丝马迹。当发现符合条件的活动线素后，它就会触发一个警告，这就是说，任何不符合特定匹配条件的活动都将会被认为是合法和可以接受的，哪怕其中包含隐藏的入侵行为。因此，滥用检测系统具备较高的检测准确性，但是，它的完整性（即检测全部入侵行为的能力）则取决于其数据库的几时更新程度。可以看出，滥用入侵检测技术的优点在于具有非常低的虚警率，同时检测的匹配条件可以进行清楚的描述，从而有利于安全管理人员采取清晰明确的预防保护措施。然而，滥用入侵检测技术的一个明显缺陷在于，手机所有已知或是已发现攻击行为和系统脆弱性信息的困难性以及几时更新庞大数据库需要消耗大量精力和时间，这是一项艰苦工作。另一个存在的问题事可移植性，因为关于网络攻击的绝大多数是与主机的操作系统、软件平台和应用类型密切相关的，因此带来的后果是这样的入侵检测系统只能在某个特定的环境下生效。最后，检测内部用户的滥用权限的活动将变得相当困难，因为通常该种行为并未利用任何系统缺陷。在滥用入侵检测系统中，研究者们提出基于各种技术类型的检测器，如专家系统技术、特征分析技术、petri网技术、状态转移分析技术等等。专家系统技术在各种开发模型中得到广泛应用。通常，专家系统中包含一系列描述攻击行为的规则，当审计数据事件被转换成为能够被专家系统理解的包含特定警告程度信息的事实后，专家系统应用一个推理机在事实和规则的基础上推出最后结论。这里，原始的审计数据被抽象成系统能够理解的事实，有利于进一步应用更高层次的各种分析技术。采用专家系统技术的典型例子有sri公司开发的入侵检测专家系统（ides，intrusion detection expert system）。由于处理速度的原因，专家系统技术目前只是在各种研究原型中得到应用，而商业化的软件产品采用了其他效率更高的技术，其中目前应用最广泛的就是特征分析技术。与专家系统技术比较，相同之处是同样要收集关于网络入侵行为的各种知识，不同点是特征分析技术更直接的运用收集到的各种知识，例如入侵行为可以被转化成它们在实施过程中所产生的一个事件序列或某种系统审计文件以及网络数据包中的数据样板模型。（2）异常检测技术又称为基于行为（behavior based）的入侵检测技术，它是建立在如下假设基础上的，即任何一种入侵行为都能由于其偏离正常或者期望的系统和用户的活动规律而被检测出来。描述正确或是合法的模型是从对过去通过各种渠道收集到的大量历史活动资料的分析中得出来的。入侵检测系统将它与当前的活动情况进行对比，如果发现了当前状态偏离了正常的模型状态，则系统发出警告信号，这就是说，任何不符合以往活动规律的行为都将视为入侵行为。因此，非规则入侵检测系统的检测完整性很高，但要保证它具有很高的正确性很困难。此类检测技术的优点在于它能够发现任何企图发掘、试探系统最新和未知漏洞的行为，同时在某种程度上，它较少依赖特定的操作系统环境。另外，对于合法用户超越其权限的违法行为的检测能力大大加强。较高的虚报警率是此种方法的主要缺陷，因为信息系统所有的正常活动并不一定在学习建模阶段就被全部了解。另外，系统的活动行为是不断变化的，就需要不断的在线学习。该过程将带来两个可能后果，其一是在线学习阶段，入侵检测系统无法正常工作，否则生成额外的虚报警信号。还有一种可能性是，在学习阶段，信息正遭受着非法的入侵攻击，带来的后果是，入侵检测系统的学习结果中包含了相关入侵行为的信息，这样系统就无法检测到该种入侵行为。在非规则入侵检测中，最广泛使用的技术是统计分析(statistics analysis)。系统或者用户的当前行为通过按一定时间间隔采样并计算出的一系列参数变量来描述，如每个会话进程的登录和退出时间，占用资源的时间长短。在最初的模型中，系统计算出所有的变量的平均值，然后根据平均偏差检测当前行为是否超过了某一值，当然，这样的模型是很简单和粗糙的，无法准确检测异常活动。进一步的算法将单个用户的参数变量数值与积累起来的群体参数变量进行比较，但是检测能力的提高还是不大。目前在几种非规则检测系统中使用了一种更加复杂的模型，检测系统同时计算并比较每个用户的长期和短期活动状态，而状态信息随着用户行为的变化而不断更新。另一种主要的非规则检测技术是神经网络技术。神经网络技术通学习已有输入输出矢量对集合，进而抽象出其内在的联系，然后得到新的输入输出的关系；这种技术在理论上能够用来审计数据流中检测入侵的痕迹。然而，目前尚无可靠地理论能够说明神经网络是如何学习范例中的内在关系的。神经网络技术和统计分析技术的某些相似之处已经被理论证明，而使用神经网络技术的优势在于它们能够以一种更加简洁快速的方式来表示各种状态变量之间的非线性关系，同时，能够自动进行学习/重新训练的过程。2、2、2入侵检测系统功能： 入侵检测系统（intrusion detection system，ids）是一种计算机软件系统，用于自动检测上述入侵行为，并收集入侵证据，为数据恢复和事故处理提供依据。有些入侵检测系统在检测到入侵特征后还试图做出某些响应，以遏制或阻止对系统的威胁或破坏。（1） 审计系统的配置和存在的脆弱性（2） 评估关键系统和数据文件的完整性和一致性（3） 分析用户和系统的活动情况（4） 检测并响应正在进行的或已经实现的违反系统安全策略的入侵活动（5） 收集入侵证据 在设计网络入侵检测系统时，要特别对来自组织机构内部的入侵行为予以更多的重视。据fbi的研究，80%的入侵和攻击行为来自于组织机构内部。这是由于内部人员具有访问系统资源的合法身份、了解系统数据的价值和熟悉系统的安全措施，从而可以使用某些系统特权或调用比审计功能更低级的操作来逃避审计。2、2、3 入侵检测的分类现有的分类，大都基于信息源和分析方法进行分类。 根据信息源的不同，分为基于主机型和基于网络型两大类 基于主机的入侵检测系统（host-based intrusion detection system，hids） 基于主机的ids可监测系统、事件和windows nt下的安全记录以及unix环境下的系统记录。当有文件被修改时，ids将新的记录条目与已知的攻击特征相比较，看它们是否匹配。如果匹配，就会向系统管理员报警或者作出适当的响应。 基于主机的ids在发展过程中融入了其他技术。检测对关键系统文件和可执行文件入侵的一个常用方法是通过定期检查文件的校验和来进行的，以便发现异常的变化。反应的快慢取决于轮讯间隔时间的长短。许多产品都是监听端口的活动，并在特定端口被访问时向管理员报警。这类检测方法将基于网络的入侵检测的基本方法融入到基于主机的检测环境中。 基于网络的入侵检测系统（network-based intrusion detection system，nids） 基于网络的入侵检测系统以网络包作为分析数据源。它通常利用一个工作在混杂模式下的网卡来实时监视并分析通过网络的数据流。它的分析模块通常使用模式匹配、统计分析等技术来识别攻击行为。一旦检测到了攻击行为，ids的响应模块就做出适当的响应，比如报警、切断相关用户的网络连接等。不同入侵检测系统在实现时采用的响应方式也可能不同，但通常都包括通知管理员、切断连接、记录相关的信息以提供必要的法律依据等5。 基于主机和基于网络的入侵检测系统的集成 许多机构的网络安全解决方案都同时采用了基于主机和基于网络的两种入侵检测系统。因为这两种系统在很大程度上是互补的。实际上，许多客户在使用ids时都配置了基于网络的入侵检测。在防火墙之外的检测器检测来自外部internet的攻击。dns、email和web服务器经常是攻击的目标，但是它们又必须与外部网络交互，不可能对其进行全部屏蔽，所以应当在各个服务器上安装基于主机的入侵检测系统，其检测结果也要向分析员控制台报告。因此，即便是小规模的网络结构也常常需要基于主机和基于网络的两种入侵检测能力。下面给出一个中等规模的机构设置入侵检测系统的入侵检测解决方案6, 7。根据检测所用分析方法的不同，可分为误用检测和异常检测 误用检测（misuse detection） 设定一些入侵活动的特征（signature），通过现在的活动是否与这些特征匹配来检测。常用的检测技术为： 专家系统：采用一系列的检测规则分析入侵的特征行为。规则，即知识，是专家系统赖以判定入侵存在与否的依据。除了知识库的完备性外，专家系统还依靠条件库的完备性，这一点又取决于审计记录的完备性、实时性和易用性。此外，匹配算法的快慢，也对专家系统的工作效率有很大的影响。 基于模型的入侵检测方法：入侵者在攻击一个系统时往往采用一定的行为序列，如猜测口令的行为序列。这种行为序列构成了具有一定行为特征的模型，根据这种模型所代表的攻击意图的行为特征，可以实时地检测出恶意的攻击企图。与专家系统通常放弃处理那些不确定的中间结论的缺点相比，这一方法的优点在于它基于完善的不确定性推理数学理论。基于模型的入侵检测方法可以仅监测一些主要的审计事件。当这些事件发生后，再开始记录详细的审计，从而减少审计事件处理负荷。这种检测方法的另外一个特点是可以检测组合攻击（coordinate attack）和多层攻击（multi-stage attack）。为分布式ids系统所采用。 简单模式匹配（pattern matching）：基于模式匹配的入侵检测方法将已知的入侵特征编码成为与审计记录相符合的模式。当新的审计事件产生时，这一方法将寻找与它相匹配的已知入侵模式。 软计算方法：软计算方法包含了神经网络、遗传算法与模糊技术。近年来己有关于运用神经网络进行入侵检测实验的报道，但还没有正式的产品问世。 异常检测（anomaly detection） 异常检测假设入侵者活动异常于正常的活动。为实现该类检测，ids建立正常活动的“规范集（normal profile）”，当主体的活动违反其统计规律时，认为可能是“入侵”行为。异常检测的优点之一为具有抽象系统正常行为从而检测系统异常行为的能力。这种能力不受系统以前是否知道这种入侵与否的限制，所以能够检测新的入侵行为。大多数的正常行为的模型使用一种矩阵的数学模型，矩阵的数量来自于系统的各种指标。比如cpu使用率、内存使用率、登录的时间和次数、网络活动、文件的改动等。异常检测的缺点是：若入侵者了解到检测规律，就可以小心的避免系统指标的突变，而使用逐渐改变系统指标的方法逃避检测。另外检测效率也不高，检测时间较长。最重要的是，这是一种“事后”的检测，当检测到入侵行为时，破坏早已经发生了。 统计方法是当前产品化的入侵检测系统中常用的方法，它是一种成熟的入侵检测方法，它使入侵检测系统能够学习主体的日常行为，将那些与正常活动之间存在较大统计偏差的活动标识成为异常活动。常用的入侵检测统计模型为：操作模型、方差、计算参数的方差、多元模型、马尔柯夫过程模型和时间序列分析。统计方法的最大优点是它可以“学习”用户的使用习惯，从而具有较高检出率与可用性。但是它的“学习”能力也给入侵者以机会通过逐步“训练”使入侵事件符合正常操作的统计规律，从而透过入侵检测系统811。防火墙与入侵检测系统的局限性现有防火墙的不足限制了对希望服务的访问。防火墙最明显的不利之处是它所阻塞的某种服务也许正是用户所需要的。大量的潜在的后门防火墙不能保护节点系统上的潜在的后门。对内部攻击者几乎无能为力防火墙一般不提供对来自于内部威胁的保护，即防火墙对内部是信任的。无法检测加密的web流量如果你正在部署一个关键的门户网站，希望所有的网络层和应用层的漏洞都被屏蔽在应用程序之外。这个需求，对于传统的网络防火墙而言，是个大问题。由于网络防火墙对于加密的ssl流中的数据是不可见的，防火墙无法迅速截获ssl数据流并对其解密，因此无法阻止应用程序的攻击，甚至有些网络防火墙，根本就不提供数据解密的功能。普通应用程序加密后，也能轻易躲过防火墙的检测网络防火墙无法看到的，不仅仅是ssl加密的数据。对于应用程序加密的数据，同样也不可见。在如今大多数网络防火墙中，依赖的是静态的特征库，与入侵监测系统(ids，intrusion detect system)的原理类似。只有当应用层攻击行为的特征与防火墙中的数据库中已有的特征完全匹配时，防火墙才能识别和截获攻击数据。但如今，采用常见的编码技术，就能够地将恶意代码和其他攻击命令隐藏起来，转换成某种形式，既能欺骗前端的网络安全系统，又能够在后台服务器中执行。这种加密后的攻击代码，只要与防火墙规则库中的规则不一样，就能够躲过网络防火墙，成功避开特征匹配。对于web应用程序，防范能力不足网络防火墙于1990年发明，而商用的web服务器，则在一年以后才面世。基于状态检测的防火墙，其设计原理，是基于网络层tcp和ip地址，来设置与加强状态访问控制列表(acls，access control lists)。在这一方面，网络防火墙表现确实十分出色。近年来，实际应用过程中，http是主要的传输协议。主流的平台供应商和大的应用程序供应商，均已转移到基于web的体系结构，安全防护的目标，不再只是重要的业务数据。网络防火墙的防护范围，发生了变化。对于常规的企业局域网的防范，通用的网络防火墙仍占有很高的市场份额，继续发挥重要作用，但对于新近出现的上层协议，如xml和soap等应用的防范，网络防火墙就显得有些力不从心。由于体系结构的原因，即使是最先进的网络防火墙，在防范web应用程序时，由于无法全面控制网络、应用程序和数据流，也无法截获应用层的攻击。由于对于整体的应用数据流，缺乏完整的、基于会话(session)级别的监控能力，因此很难预防新的未知的攻击应用防护特性，只适用于简单情况目前的数据中心服务器，时常会发生变动，比如：定期需要部署新的应用程序;经常需要增加或更新软件模块;qa们经常会发现代码中的bug，已部署的系统需要定期打补丁。在这样动态复杂的环境中，安全专家们需要采用灵活的、粗粒度的方法，实施有效的防护策略。虽然一些先进的网络防火墙供应商，提出了应用防护的特性，但只适用于简单的环境中。细看就会发现，对于实际的企业应用来说，这些特征存在着局限性。在多数情况下，弹性概念(proof-of-concept)的特征无法应用于现实生活中的数据中心上。比如，有些防火墙供应商，曾经声称能够阻止缓存溢出：当黑客在浏览器的url中输入太长数据，试图使后台服务崩溃或使试图非法访问的时候，网络防火墙能够检测并制止这种情况。细看就会发现，这些供应商采用对80端口数据流中，针对url长度进行控制的方法，来实现这个功能的。如果使用这个规则，将对所有的应用程序生效。如果一个程序或者是一个简单的web网页，确实需要涉及到很长的url时，就要屏蔽该规则。网络防火墙的体系结构，决定了网络防火墙是针对网络端口和网络层进行操作的，因此很难对应用层进行防护，除非是一些很简单的应用程序。无法扩展带深度检测功能基于状态检测的网络防火墙，如果希望只扩展深度检测(deep inspection)功能，而没有相应增加网络性能，这是不行的。真正的针对所有网络和应用程序流量的深度检测功能，需要空前的处理能力，来完成大量的计算任务，包括以下几个方面： ssl加密/解密功能; 完全的双向有效负载检测; 确保所有合法流量的正常化;广泛的协议性能;这些任务，在基于标准pc硬件上，是无法高效运行的，虽然一些网络防火墙供应商采用的是基于asic的平台，但进一步研究，就能发现：旧的基于网络的asic平台对于新的深度检测功能是无法支持的2、2、3入侵检测系统不足(1) ids系统本身还在迅速发展和变化，远未成熟(2) 现有ids系统错报或虚警概率偏高，严重干扰了结果(3) ids与其它安全技术的协作性不够(4) ids缺少对检测结果作进一步说明和分析的辅助工具3、ids面临的挑战目前，入侵检测系统也面临着若干先要的挑战。这些挑战有些来自技术方面，有些内里来自非技术方面。技术方面的主要挑战包括：1) 网络规模和复杂程度的不断增长。在一个大型的异构网络环境中，入侵检测系统所遇到的主要问题有：如何集成并处理来自分布在网络各处褓的具有不同格式的各种相关信息，如何在相互合作但是并不完全相互信任的组织之间来共享敏感的相关入侵行为信息，如何进行管理域间合作进程以及如何保证在局部入侵检测系统失效的情况下仍能维护系统佤的安全等。2) 如何在造成损失前及早发现入侵活动，即预警技术。3) 网络繁忙情况下的系统性能问题。为了保证发挥效能，网络入侵检测系统必须能够分析所有的内向数据包。如果一个入侵检测系统无法应付网络吞吐量的话，它就可能漏掉不少反映各族入侵活动的特征数据，从而造成安全漏洞。4) 入侵模式牲的准确性。用来描述异常入侵行为的模式牲是滥用检测系统最先要的基石。如何保证所采用的牲集能够准确而又是以描述已知的各种攻击模式（包括复杂的分阶段攻击行为）及其变种，是一个重要而敏感的问题。5) 入侵检测系统的评估。时至今日，在这方面所做的工作非常少。对入侵检测系统的评估测试是一项复杂的工作，因为ids不能在独立环境中检测，首先必须建立一个实际网络平台环境，同时，还需要大量的包含各种测试入侵模式的复杂数据，这些数据还要根据不同的头号公敌系统平台和版本加以调整。非技术因素包括如下3个方面。1) 攻击者不断研究新的攻击模式，同时随着安全技术的普及，越来越多的人进行了越来越多的入侵攻击尝试。2) 自动攻击的软件工具不断得到改进，使变通用户也能够利用它来进行网络攻击。3) 各种机构（包括政府、公司等）对包括在内的安全技术的认识不足或者缺乏足够熟练的安全管理员。我国计算机系统及网络以国外产品为主，软硬件系统中难免也存在各种潜在威胁和安全“陷阱”（诸如误伤系统后门、路由器漏洞等）。因此，利用这些设备建立的网络系统在其安全性方面得不到根本性的保障。在我国计算机的网络的建设状况下，基于防火墙和加密技术的安全防护固然重要，但是，发展网络入侵检测以及预警技术也同样重要。入侵检测技术已经成为当前网络安全技术领域内的一个研究。它的快速发展和极其潜力的应用前景需要有更多的研究和工程技术人员投身其中，在基础技术原理的研究和工程项目开发等多个层面上同时开展工作，才有可能开发出依靠的产品系统。入侵防御技术介绍ips是英文“intrusion prevention system”的缩写，中文意思是入侵防御系统。随着网络攻击技术的不断提高和网络安全漏洞的不断发现，传统防火墙技术加传统ids的技术，已经无法应对一些安全威胁。在这种情况下，ips技术应运而生，ips技术可以深度感知并检测流经的数据流量，对恶意报文进行丢弃以阻断攻击，对滥用报文进行限流以保护网络带宽资源。对于部署在数据转发路径上的ips，可以根据预先设定的安全策略，对流经的每个报文进行深度检测（协议分析跟踪、特征匹配、流量统计分析、事件关联分析等），如果一旦发现隐藏于其中网络攻击，可以根据该攻击的威胁级别立即采取抵御措施，这些措施包括（按照处理力度）：向管理中心告警；丢弃该报文；切断此次应用会话；切断此次tcp连接。第二阶段：了解校园网的基本情况,在模拟校园网的基础上设计了入侵防御系统据国外安全厂商netscreen的技术专家介绍：相对于ids的被动检测及误报等问题，ips是一种比较主动、机智的防御系统。从功能上讲，作为并联在网络上的设备，绝大多数ids一般需要与防火墙联动或发送tcpreset包来阻止攻击。而ips本身就可以阻止入侵的流量。 从技术上讲，ids系统在识别大规模的组合式、分布式的入侵攻击方面，还没有较好的方法和成熟的解决方案，误报与漏报现象严重，用户往往淹没在海量的报警信息中，而漏掉真正的报警；此外，ids只能报警而不能有效采取阻断措施的设计理念，也不能满足用户对网络安全日益增长的需求。相反，ips系统则没有这种问题，它的拦截行为与其分析行为处在同一层次，能够更敏锐地捕捉入侵的流量，并能将危害切断在发生之前。从ids到ips，这是必然的趋势。 入侵防护系统的分类ips技术包括基于主机的入侵防护系统和基于网络的入侵防护系统两大类。（1） 基于主机的入侵防护系统（hips)hips能过在主机/服务器上安装代理程序，防止网络攻击者入侵操作系统以及应用程序。hips可保护服务器的安全漏洞不被入侵者所利用。hips可阻断缓冲区溢出、改变登录口令、改写动态链接库等入侵行为，整体提升主机的安全水平。在技术上，hips采用独特的服务器保护途径，利用同包过滤、状态包检测和实时入侵检测组成分层防护体系。由于hips工作在保护的主机/服务器上，它不但能利用特征和行为规则进行检测，阻止像缓冲区溢出之类的书籍攻击，还能防范未知攻击，防止针对web页面、应用和资源的任何非法访问。nia公司的mcafee entercept是基于主机的入侵防护解决方案，它采用行为规则技术和签名结合的办法，为企业提供了有效地防护像“红色代码”、“尼姆达”等蠕虫病毒的攻击。（2） 基于网络的入侵防护系统（nips)nips通过检测流经的网络流量，提供对网络系统的安全保护。在技术上，nips吸取了nids的所有成熟技术，包括牲匹配、协议分析和异常检测。牲匹配是最广泛的应用技术，具有准确率高，速度快等特点。基于状态的牲匹配不公可以检测攻击行为的牲，也可以检测当前网络的会话状态，避免爱到欺骗攻击。nips工作在网络上，直接对数据包进行检测和阻断，与具体的主机/服务器操作系统平台无关。这种实时检测和阻断功能很有可能出现在未来的交换机上。随着处理器性能的提高，每一层次的交换机都有可能集成入侵防护功能。nia公司的mcafee intrushield是基于网络的入侵防护解决方案，它集成了牲库检测、异常行为检测、行为关联及拒绝服务分析等技术，能够智能地检测出书籍的攻击、首次发生的攻击和ddos攻击等，从深层次上有效地保护企业的网络安全。应用入侵防御系统今年来，网络攻击的发展趋势是逐渐转向高层应用，据gartner分析，目前对网络的攻击有70%以上集中在应用层，并且这一数字呈上升趋势。应用层的攻击有可能会造成非常严重的后果，比如用户账号丢失、公司机密泄露等。因此，对具体应用的有效保护就显得越发重要。为了解决日益突出的应用层防护问题，ips的一个更高层次的产品应用防护系统出现并且得到日益广泛的应用。通常，对应用层的防范比内部网的防范难度更大，因为这些应用要允许外部的访问。防火墙的访问控制策略中必须开放应用服务对应的端口，如web的80端口。当黑客通过这些端口发起攻击时防火墙就无法识