毕业设计（论文）-网络入侵检测系统的分析与研究.doc

学 士 学 位 论 文系 别：计算机科学与技术学科专业：计算机科学与技术姓 名： 运 城 学 院2012年6月网络入侵检测系统的分析与研究系 别：计算机科学与技术学科专业：计算机科学与技术姓 名： 李 桥 指导老师： 王 晓 丽 运 城 学 院2012年6月网络入侵检测系统的分析与研究摘 要：随着当前计算机网络技术的快速发展和广泛应用，人们在得益于信息革命所带来巨大机遇的同时，也面临着信息安全问题。入侵检测系统(Intrusion Detection System，IDS)作为对传统安全技术极其有益的补充，作为一种主动安全防御机制，受到越来越广泛的重视。入侵检测系统能够主动地实时地跟踪各种危害系统安全的入侵行为，并做出及时的响应。本论文首先分析了信息安全需求及当今信息系统所面临的主要威胁。其次，分析了解决信息安全问题的安全策略和安全技术。接着，对目前的入侵检测系统进行了分析和研究。最后，针对当前主流入侵检测系统产品的缺点，引入了并行字符串搜索算法PBM。本论文通过MPI程序实现了字符串的并行搜索，从而在理论上证明了使用并行字符串搜索算法提高网络入侵检测速度的可行性。关键词：信息安全 入侵检测 算法 Analysis and Research of Network-Based Intrusion Detection SystemAbstract: With the rapid development and wide application of computer network technology, people have benefited from great opportunities brought by the information revolution, at the same time, which is also facing the issue of information security. Intrusion detection system (IDS) is an extremely useful complement to traditional security technology, which is considered to be more widely appreciated as an active security mechanism. It can take the initiative to real-time tracking of a variety of intrusion events against system security, and can also make a timely response. This paper firstly analyzes the demand for information security and main threats to information security in todays information systems. Secondly, it analyzes the security policy and security technology to solve information security problems. In addition, analysis of the current intrusion detection systems is also to be done. Finally, for the shortcomings of current intrusion detection systems, an algorithm which is named parallel string search algorithm PBM is introduced. This paper achieves the parallel string search through MPI program in order to prove the feasibility theoretically that the parallel algorithm can improve the speed of rules match of the network intrusion.Keywords: information security intrusion detection system algorithm 目 录前 言1第1章 绪论21.1 入侵检测系统的研究背景及意义21.2 信息安全概述21.2.1 信息安全的评估标准31.2.2 对信息安全的主要威胁31.2.3 实现信息安全的策略4第2章 入侵检测系统的简介52.1 入侵检测系统的基础知识52.1.1 入侵检测系统定义52.1.2 入侵检测系统主要功能52.1.3 入侵检测系统组成52.1.4 入侵检测系统分类72.2 入侵检测系统的现状92.3 入侵检测技术的发展趋势10第3章 对入侵检测系统的分析113.1 对入侵检测系统缺点的分析113.1.1 基于主机的入侵检测系统（HIDS）的优缺点113.1.2 基于网络的入侵检测系统（NIDS）的优缺点113.1.3 其它入侵检测系统的优缺点123.2 对入侵检测产品的应用分析133.2.1 Cisco Secure IDS应用分析133.2.2 CyberCop Intrusion Protection应用分析133.2.3 RealSecure应用分析143.2.4 其它入侵检测系统应用分析14第4章 对改进入侵检测系统的新方法研究154.1 并行字符串搜索算法基础知识规则库及规则154.2 并行字符串搜索算法实现17结 论23致 谢24参考文献25附 录26网络入侵检测系统的分析与研究前 言随着TCP/IP协议群在因特网上的广泛采用，计算机网络技术也得到了快速的发展，同时也带动了电子政务、电子商务、企业信息网络等一系列网络应用的快速蓬勃发展，使得网络融入到了社会的各个领域当中。然而，伴随着计算机网络发展而来的问题也急剧增加，例如信息网络中涉及到国家的政府、军事、教育、民用、航空、商业、科技等诸多领域，在信息网络中进行存储、传输和处理的许多信息和数据是政府进行宏观调控的决策和商业经济信息、甚至是国家机密，所以难免会吸引来自世界各地的各种人为攻击（例如信息泄漏、信息窃取、数据篡改、计算机病毒等），使各国的信息网络系统面临很大的威胁，造成巨大的经济损失，并成为严重的社会问题之一1。本文就计算机网络中出现的安全隐患，引入了入侵检测技术。入侵检测系统(Intrusion Detection System，IDS)被认为是继防火墙之后的第二道安全闸门，作为一种主动的安全防御机制，它改变了以往的被动防御的特点，能够主动地实时地跟踪各种危害系统安全的入侵行为，并做出及时的响应，尤其在抵御网络内部攻击的方面，入侵检测技术更具有优势。经过详细的调查与研究，随着计算机网络技术的进一步普及和应用，入侵检测技术有着更广泛的发展前途和应用价值。但是，入侵检测系统当前的研究现状是人们对于入侵检测技术普遍了解得还不够，入侵检测技术也没有防火墙等传统安全技术那样成熟，因此它还存在一些技术上的困难。目前市场上主流的入侵检测产品大部分存在一些问题。因此，进行入侵检测技术方面的研究有着深远的意义。最近十年内，计算机网络建设突飞猛进。随着网络规模的扩大，计算机网络应对网内外各种威胁的形势日益严峻，原有基于防火墙的安全策略已经远远不能满足人们对网络信息安全的要求，入侵检测预警自然成为网络安全领域研究与开发的新热点。本论文首先通过对信息系统中安全需求进行详细的分析。其次，对主流的入侵检测系统进行分析和研究，并指出其不足，其中重点在于从基于特征的网络入侵检测系统角度，针对如何提高入侵检测系统的性能进行了研究，引入了一种用于信息过滤的并行字符串搜索算法PBM，尤其在高速网络环境下，对于降低丢包率，减少误报，漏报，有了一定程度的改进，从而在理论上证明改进入侵检测系统性能的可行性。第1章 绪 论1.1 入侵检测系统的研究背景及意义随着计算机网络的飞速发展，网络通信已经渗透到社会经济、文化和科学的各个领域，对人类社会的进步和发展起着举足轻重的作用，它正影响和改变着人们工作、学习和生活的方式。另外，Internet的发展和应用水平也已经成为衡量一个国家政治、经济、军事、技术实力的标志。发展网络技术是国民经济现代化建设不可缺少的必要条件。然而，网络在给人们的学习、生活和工作带来巨大便利的同时也带来了各种安全问题。网络黑客可以轻松地取走你的机密文件，窃取你的银行存款，破坏你的企业帐目，公布你的隐私信函，篡改、干扰和毁坏你的数据库，甚至直接破坏你的磁盘或计算机，使你的网络瘫痪或者崩溃。因此，研究各种切实有效的安全技术来保障计算机系统和网络系统的安全，已经成为刻不容缓的课题。伴随着网络的发展，各种网络安全技术也随之发展起来。常用的网络安全技术有：数据加密、虚拟专用网络（VPN，Virtual Private Network）、防火墙、杀毒软件、数字签名和身份认证等技术。这些传统的网络安全技术，对保护网络的安全起到非常重要的作用，然而它们也存在不少缺陷。例如，防火墙技术虽然为网络服务提供了较好的身份认证和访问控制，但是它不能防止来自防火墙内部的攻击、不能防备最新出现的威胁、不能防止绕过防火墙的攻击，入侵者可以利用脆弱性程序或系统漏洞绕过防火墙的访问控制来进行非法攻击。传统的身份认证技术，很难抵抗脆弱性口令、字典攻击、特洛伊木马、网络窥探器以及电磁辐射等攻击手段。虚拟专用网技术只能保证传输过程中的安全，并不能防御诸如拒绝服务攻击、缓冲区溢出等常见的攻击。另外，这些技术都属于静态安全技术的范畴；静态安全技术的缺点是只能静态和消极地防御入侵，而不能主动检测和跟踪入侵。而入侵检测技术是一种动态安全技术，它主动地收集包括系统审计数据，网络数据包以及用户活动状态等多方面的信息，然后进行安全性分析，从而及时发现各种入侵并产生响应。1.2 信息安全概述1信息(information)信息是能以适合于通信、存储或处理的形式表达的智能或知识。2信息域(information field)智能或知识以电子、电磁、光的形式传输、处理、存储或转换的所有过程。3信息安全(security of information)信息安全是指保证信息在信息系统中传输、处理、存储过程中的数据不被泄露、篡改和破坏的过程和技术。4网络安全网络安全是指保证信息在计算机网络系统中传输、处理、存储过程中的数据不被泄露、篡改和破坏的过程和技术。5信息载体安全 信息载体安全是传送信息的电、磁、光等信号在传输过程中保证其能正确的传输并使其对第三方透明的技术。关于信息安全的概念，更形象的描述，如图1.1所示。图1.1 信息安全概念1.2.1 信息安全的评估标准信息安全评估是指权威评估机构依据国际或者国内信息安全评估标准，采用一定的方法(方案)对信息安全产品或信息安全系统的安全性进行评价。信息安全评估标准是信息安全评估的行动指南。在信息安全管理相关领域里，由于标准众多，对于标准的争论从未停息过，有TCSEC（美国国防部按信息的等级和应用采用的响应措施，将计算机安全从高到低分为：A、B、C、D四类八个级别，共27条评估准则。其中D为无保护级，C为自主保护级，B为强制保护级，A为验证保护级），BS7799（BS7799标准是由英国BSI/DISC的BDD信息管理委员会制定完成的安全管理体系，包括两部分：信息安全管理实施规则和信息安全管理体系规范），以及我国的信息安全标准（GB/T 15843.xy x表示部分系数，y表示年份，GB158511995，GB15852-1995）。1.2.2 对信息安全的主要威胁随着信息技术和计算机网络技术的高速发展，信息网络已经成为决定社会发展的关键。信息网络涉及到一个国家的政府、军事、教育、民用、航空、商业、科技等诸多领域。在信息网络中进行存储、传输和处理的许多信息和数据是政府进行宏观调控的决策和商业经济信息、甚至是国家机密，所以难免会吸引来自世界各地的各种人为攻击（例如信息泄漏、信息窃取、数据篡改、计算机病毒等），使各国的信息网络系统面临着很大的威胁，并成为严重的社会问题之一。对信息安全构成威胁的常见的破坏方法表现在以下几个方面。 (1)黑客的攻击方式部分转移到无线攻击方面，目前黑客通过无线破解技术，免费蹭网。今后这种无线攻击将会给用户带来更大的威胁。 (2)黑客经常通过第三方软件漏洞来窃取用户数据和资料来达到攻击的目的，这种攻击方式也对用户产生了巨大的影响。 (3)钓鱼网站案例急剧增加，网络钓鱼攻击者利用欺骗性的电子邮件和伪造的WEB站点来进行网络诈骗活动，受骗者往往会泄露自己的私人资料，如私人信用卡号，银行账号，身份证等私人信息。诈骗者往往会将自己伪装成可信的网络银行或零售商，来骗取用户的私人信息。黑客采用了多种手段来直接或间接的获取利益，钓鱼网站的危害更大。 (4)固有的安全漏洞，现在新的操作系统或应用软件一进入市场，漏洞就被一些黑客发现，然后就被会黑客所利用对目标系统进行攻击。当前，没有任何一个系统可以完全避免漏洞的存在，想要修补所有的漏洞基本不可能，只能通过升级程序或打补丁来解决漏洞问题。1.2.3 实现信息安全的策略 信息安全是指保证信息网络的硬件、软件以及系统中的数据和信息不遭到破坏、更改、泄露，并确保系统连续可靠地运行，使得信息服务不中断。信息安全主要包括以下五方面的内容，即需保证信息的保密性、真实性、完整性、未授权拷贝性和寄生系统的安全性。其根本目的就是使内部信息不受到外部的威胁，因此信息通常要加密。要求有信息源认证、访问控制，不能有非法软件驻留，不能有非法操作。为保障信息安全，要必须达到以下几个目标。 (1)保密性。信息按给定要求不泄漏给非授权的个人、实体或过程，或提供其利用的特性，即杜绝有用信息泄漏给非授权个人或实体，强调有用信息只被授权对象使用的特征。 (2)完整性。信息网络系统中的信息在没有经过授权的条件下不能进行改变的特性。即网络信息在存储、传输、和处理过程中保持不被删除、更改、伪造等行为破坏和丢失的特性2。 (3)可用性。保证合法用户对信息和资源的正常使用，信息系统提供的服务不中断。 (4)可控制性。在信息系统中，系统对于信息的传输及处理必须具有可靠的控制能力。 (5)不可抵赖性。建立有效的责任机制（可以采用数字签名技术来保证通信的不可抵赖性），防止用户对其行为的否认，在电子商务中其使用尤为广泛。 (6)真实性。对信息源进行分析和判断，能识别伪造和篡改过的信息。 (7)可审查性。在信息网络中出现的网络安全问题提供有效的检查机制和解决方案。第2章 入侵检测系统的简介2.1 入侵检测系统的基础知识2.1.1 入侵检测系统定义入侵检测系统（Intrusion detection system）是一种主动地保护计算机系统免遭攻击的网络安全技术。入侵检测系统作为对防火墙的有效补充，能够有效地避免来自网络内外的攻击，提高系统管理员的安全管理能力（包括安全审计、系统监视、攻击识别和快速响应）。入侵检测系统从计算机网络系统中的若干关键节点收集信息，并加以分析，从而判断是否有入侵事件发生。入侵检测系统被认为是继防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测。2.1.2 入侵检测系统主要功能与其它安全产品不同的是，入侵检测系统需要更多的智能，它必须可以将得到的数据进行分析，并得出有用的结果。入侵检测系统是对诸如防火墙等传统安全产品的有益补充，它有效地解决了来自网络对于系统的攻击，提高系统管理员对于网络系统的安全管理能力，改善信息系统安全基础结构的完整性。归结起来，入侵检测系统有以下功能。(1)对网络连接进行实时监控，而且用户可对每个连接进行更详细的处理，诸如切断连接、记录连接、跟踪连接、制定控制规则、制定和防火墙的互动规则。(2)对用户活动、程序运行和系统日志进行审计。(3)拥有灵活的过滤规则制定方式，主要包括系统规则制定和用户自定义规则制定。(4)异常行为模式和误用行为模式的统计与分析功能。(5)操作系统的审计功能、跟踪管理功能，识别用户违反安全策略行为的功能。(6)对重要的用户文件和系统文件进行完整性的评估。2.1.3 入侵检测系统组成为了提高IDS产品、组件及其它安全产品之间的互操作性，美国国防部高级研究计划署发起制定了一系列建议草案，从体系结构、通信机制以及语言格式等方面规范了入侵检测系统标准。它将一个入侵检测系统分为四大部分：数据采集模块、数据分析模块、控制台模块、数据库管理模块3。通用的入侵检测系统结构如图2.1所示。图2.1 通用的入侵检测系统组成结构(1)数据采集模块数据采集模块是对信息进行采集，采集内容主要包括系统和网络日志文件、网络流量、用户异常操作和程序异常执行。数据采集模块位于入侵检测系统的最底层，其主要功能是获取网络环境中的事件，并将获取到的事件提供给其他模块。在数据采集模块具体实现的过程中，网卡必须设置成“混杂监听”模式，去抓取某一具体网段上所有的数据包。数据采集模块的具体实现过程中应该注意两点：第一，应根据自己的网络环境，选用合适的软、硬件设备。若你的网络数据流量很小，用一般的PC机安装就行。但是，若是所监控的目标网络流量很大则需要使用高性能的计算机。第二，它提供了一个可移植的框架，可服务于网络统计、安全监控、网络调试。最后，数据采集模块帮助我们描述系统的正常行为，并最终识别出那些不正常的行为。(2)数据分析模块数据分析模块是对收集到的有关系统和网络日志文件、网络流量等数据进行分析，而检测引擎则永久性驻留在传感器中。在具体实现中，一般采用三种分析技术，统计分析、完整性分析和模式匹配。当检测引擎检测到某种误用模式时，它就产生一个警告或者报警并发送给控制台。首先，系统设计者需要对各种网络协议、系统行为有着非常深入的认识研究，然后制订相应的安全特征库和安全策略。其次，设计者还必须建立异常检测模型和滥用检测模型，通过计算机来模拟自己的分析过程，识别攻击和异常行为，最后将分析结果形成报警消息，发送给控制台。(3)控制台模块控制台根据报警信息产生相对应的预定义的响应措施，可以通过重置路由器或防火墙、终止进程、切断连接、改变文件属性，也可以仅是一些简单的提示。控制台模块的主要任务有两个。第一，管理数据采集模块和数据分析模块并显示数据分析模块发送过来的警报消息。第二，根据安全策略完成相应的响应动作，阻止非法入侵，以确保网络安全。(4)数据库管理模块一个性能优异的入侵检测系统不但应该给管理员提供实时和详细的警报信息，还应该详细地记录现场数据，以便日后需要重建某些网络事件。而要实现上述记录数据的功能就需要一个功能强大的数据库管理模块。它负责数据的存储和访问操作。入侵检测系统模块结构，如图2.2所示。图2.2 入侵检测系统模块图2.1.4 入侵检测系统分类1根据数据来源不同进行分类(1)基于主机的入侵检测系统（HIDS）基于主机的入侵检测系统通常安装在比较重要的主机上（如网页服务器，邮件服务器，文件服务器，DNS服务器），通过对主机的网络连接以及系统审计日志进行智能分析和判断。HIDS优点是能够结合系统行为和用户行为进行判断，准确性高。缺点是在被保护的站点上安装入侵检测系统时，对于主机资源和网络带宽的开销比较大，系统的稳定性和可靠性受到一定的影响。(2)基于网络的入侵检测系统（NIDS） 基于网络的入侵检测系统通常用于网络中相对重要的网段中，通过抓取与监听网络数据包来发现攻击事件和异常行为，如果所抓取到的数据包与入侵检测系统特征库中的某些规则相匹配，则入侵检测系统就会发出警报信息或直接断开网络连接。NIDS优点是它以独立方式工作，不需要在被保护主机上安装任何程序，因此很难被入侵者发现，具有一定的隐蔽性。但它也有一定的局限性，它只能检测同一网段内的数据包，不能检测多个网段的数据包。(3)基于资源监视的入侵检测系统（RIDS） 以监视资源为中心，将基于主机检测和基于网络检测的方法和原理进行高效地结合，使系统既保持了很强的检测能力，又具有很高的检测效率，最终实现了基于资源监视的入侵检测原型系统，它代表了入侵检测系统的新的发展方向4。2根据数据分析方法和检测机制不同进行分类(1)异常入侵检测系统异常入侵检测系统在分析方法上采用了异常入侵检测技术。异常入侵检测技术是目前入侵检测技术的重要研究方向，它是建立在统计学基础上的一种检测技术。异常入侵检测系统基于这样一种假设，即任何一种入侵行为都会偏离正常的或者所期望的系统、用户的活动规律而被检测出来。描述正常的系统或者合法用户的行为特征是通过收集到的大量历史事件经过统计分析中得出来的。入侵检测系统将特征库中的事件与当前的事件活动进行匹配，如果发现了当前事件活动与以前建立的特征库中的事件的差异大到某种程度，就可以认为可能当前事件是入侵行为，也就是任何不符合历史活动规律的行为都将被认为是入侵行为。因此，异常入侵检测系统的检测完整性很高。异常入侵检测具体又可分为：1)基于特征选择的异常检测方法 基于特征选择的异常检测方法是通过挑选出能检测出入侵行为的一组度量构成子集来准确预测或分类已检测到的入侵。2)基于贝叶斯推理的异常检测方法 基于贝叶斯推理的异常检测方法是在一系列任意给定的时刻，通过测量向量中各个分量A1,A2,An变量值，来推理和判断系统是否有入侵事件发生。3)基于贝叶斯网络的异常检测方法 贝叶斯网络是有效学习贝叶斯定理，从中发现变量之间的联系，进而进行预测，分类的强有力的工具。基于贝叶斯网络的异常检测系统通过建立异常入侵检测贝叶斯网络，然后运用于分析异常测量结果。贝叶斯网络能以图形方式表示随机变量间的相关性，并通过指定一个概率集来计算随机变量联合概率分布。4)基于模式预测的异常检测方法基于模式预测的异常检测方法的前提在于事件序列不是随机发生的而是遵循一种可辨别的模式。这种检测方法充分地考虑了事件序列及相互关系。Teng 和 Chen 教授给出一种基于时间推理方法，运用时间规则来识别用户正常行为模式的特征并加以判断事件是否为异常入侵。5)基于数据挖掘的异常检测方法随着计算机大量接入到因特网，导致大量的审计记录，而且审计记录大多是以文件形式存放（如UNIX系统），若单独依靠手工方法去发现记录中的异常现象是不够的，往往是操作不便，不容易找出审计记录间的相互关系。Wenke Lee 和Salvatore J.Stolfo 将数据挖掘技术应用到入侵检测研究领域中，从审计数据和数据流中提取感兴趣的知识，这些知识是隐含的、事先不知道的、但是潜在的有用信息，提取的知识表示为概念、规则、模式等形式，并用这些知识去检测异常入侵和已知的入侵。(2)误用入侵检测系统误用入侵检测系统是在分析技术基础之上运用了误用检测技术。误用入侵检测又名滥用入侵检测或规则入侵检测。这种检测技术预先通过某种方式定义出入侵行为模式特征，而后监测系统、网络的运行情况，并找出符合之前定义的入侵特征的事件行为。由于入侵者通过利用系统程序和应用程序中的漏洞实行攻击，而这些漏洞很容易编成某种模式，如果入侵行为与这种模式相匹配，则系统将会很快检测到这种攻击行为。因此，误用入侵检测是建立在历史上己知网络入侵方法特征和系统漏洞长期累积之上，系统需要建立一个包含各种入侵特征的规则库，然后，将规则库中预先定义的众多规则同系统运行、用户活动进行匹配，一旦发现匹配规则库中的某条规则后，它就会立即触发一个警告，表示检测到了一个入侵攻击行为，而任何不匹配规则库中规则的事件活动都将会被认为是正常行为5。误用入侵检测系统具体又可分为以下几种。1)基于条件概率的误用入侵检测方法 基于条件概率的误用入侵检测方法是将每种入侵方式与一个事件序列一一对应，然后通过观察事件序列发生情况来推测入侵行为的出现。这种方法是基于外部事件序列，并根据贝叶斯定理推理入侵的发生与否。2)基于状态迁移分析的误用入侵检测方法 状态迁移分析方法将攻击表示成一系列被监控的系统状态迁移。攻击模式的状态对应于系统状态，并具有迁移到另外状态的条件。通过将连续的状态连接起来以表示状态改变所需要的事件，允许事件类型被植入到模型并且无需同审计记录对应起来。3)基于键盘监控的误用入侵检测方法 基于键盘监控的误用入侵检测方法是基于将入侵行为对应于特定的击键序列模式，然后监测用户击键模式，并将这一模式与入侵模式特征库中的规则进行匹配来检测入侵6。3根据系统所采用的体系结构不同进行分类(1)集中式入侵检测系统集中式入侵检测系统所有数据的采集和分析活动均是由一台主机独立完成的。数据可以来源于系统的审计日志或者是网络的数据包、数据分析及实现检测的方法和机制，也可以根据具体的情况而有所不同。(2)分布式入侵检测系统从广义上来说，分布式入侵检测系统可以被理解为是由分布在一个大型网络(可以是一个局域网，也可以是一个广域网，甚至是整个Internet)中的多个入侵检测系统(IDS)所构成的有机系统，该系统中IDS通过彼此间的通信和协调来协同展开各种数据采集，分析和事件检测活动，共同实现对整个网络全面而有效的监控。构成分布式IDS的多个子IDS单元在系统中的角色可以比较类似或不尽相同，且构成系统的方式是通过协作而非简单的堆叠。一个采用分布式结构的NIDS通常可由四个部分组成，分别为事件产生器、信息收集器、管理控制器和事件规则库。2.2 入侵检测系统的现状入侵检测系统作用非常大，但是由于入侵检测这种技术还比较新，因此它还存在一些技术上的困难。目前市场上主流的入侵检测产品大部分存在以下问题。(1)误报和漏报之间的矛盾。入侵检测系统经常将非入侵信息作为入侵处理并发出警报，这些报警事件会误导和分散管理员的注意力，导致管理员无法及时对真正的攻击行为作出响应。与误报之相对应的是漏报，入侵检测系统是否能识别网络中所有的攻击也是一个值得思考的问题。(2)安全与隐私之间的矛盾。入侵检测系统可以捕获到网络上的所有数据包，进而可以对数据包进行分析，但与此同时，难免会侵犯到用户的隐私。(3)被动分析与主动发现之间的矛盾。入侵检测系统采取网卡被动监听的方式发现网络上的安全威胁，但无法主动发现网络中的安全问题。(4)功能性和可管理性之间的矛盾。当前，入侵检测系统管理难度随着产品功能的增加而增大，当入侵检测系统增加一个新的功能时，在每一个被监控主机上都得进行修改，这就无形之中造成了管理员巨大的工作量，同时，使得入侵检测系统效率低下。(5)单一产品与复杂网络应用之间的矛盾。最早开发的入侵检测系统产品起初仅仅是为了检测网络中的攻击行为，但是，仅仅检测攻击行为已无法满足目前复杂的网络应用需求7。(6)系统跨平台引发的矛盾。由于在同一网络中的主机可能工作在不同的平台之上，当需要对主机进行入侵检测时，就必须对每台主机分别进行配置，甚至对于不同的主机可能使用结构完全不同的检测系统，从而使管理开销增大。2.3 入侵检测技术的发展趋势随着计算机安全问题日益受到人们的重视，入侵检测技术也得到了快速的发展。综合国内外当前研究现状可以看到，入侵检测技术将在以下几个方面有较快的发展。(1)分析技术的改进。分析技术的改进使得入侵检测误报和漏报问题得到了较好的解决。当前的入侵检测分析方法主要有：模式匹配、数据重组、统计分析、协议分析、行为分析等。(2)内容恢复和网络审计功能的引入。内容恢复就是在协议分析的基础之上，对网络中发生的所有行为加以完整的记录和重组，以对当时的攻击行为进行模拟、再现的技术；网络审计就是对网络中所有的连接事件进行详细的记录以供系统审计之用。内容恢复和网络审计可以将当时网络的真正运行状况呈现在管理员的面前，使得管理员能看到整个攻击的过程，了解攻击是否发生，管理员可以通过查看攻击者的具体的攻击过程，了解攻击所造成的危害程度，以及发现未知攻击并加以预测。(3)网络分析和管理功能的集成。入侵检测系统可以捕获到网络中的所有数据包，对网络故障分析和安全管理起着非常大的作用，因此一个性能高的入侵检测系统最好能将网络分析与管理功能结合起来。所以，入侵检测产品集成网管功能，如嗅探器(Sniffer)、扫描器(Scanner)等是入侵检测系统的发展方向8。第3章 对入侵检测系统的分析3.1 对入侵检测系统缺点的分析3.1.1 基于主机的入侵检测系统（HIDS）的优缺点1基于主机的入侵检测系统的优点(1)对于分析“疑似的攻击行为”，这种入侵检测系统检测效率比较高。因为它除了指出入侵者试图执行的一些危险的指令之外，还能分析出入侵者具体的入侵行为，甚至分析出他们运行的程序，打开的文件，以及所执行的系统调用。(2)由于基于主机的入侵检测系统的检测是在本机上运行，它所执行的命令序列相对来说比检测网络流更简单，系统的复杂性也少的多，因此，它的误报率相对来说比较低。(3)可以提供较好的应用层安全体系，在网络传输被加密的情况下，仍能工作，而且因为检测系统驻留在现有网络基础设施上，包括文件服务器，WEB服务器和其它共享资源等，不需要额外的硬件，所以也减少了以后维护和管理这些设备的负担。2基于主机的入侵检测系统的缺点(1)HIDS是基于审计日志的准确性、完整性以及安全事件的定义，所以非法入侵者可以通过执行系统态下的特权指令来执行底层的操作来逃避系统的审计。(2)HIDS通常在系统中只能以后台方式运行，不能直接使用系统的核心通信功能。因此，入侵检测系统无法将攻击行为直接挡在协议层之外。(3)HIDS在通常情况下只能监视某一种类型的系统，操作系统之间的可移植性比较差，导致需要安装很多额外的插件才能实现兼容。通常HIDS只能运行于某一个操作系统之上，比如ISDA，它只能运行于UNIX操作系统。 (4)由于HIDS只能运行于某一特定类型的主机，也就只能监视该主机的安全情况。因此，如果要在每一台主机上都安装上检测系统，那么其代价是相当高的，企业中无法在所有的主机上都安装HIDS进行保护，只能选择部分重要的主机进行保护，而那些未安装HIDS的主机将更容易成为入侵者的攻击目标。3.1.2 基于网络的入侵检测系统（NIDS）的优缺点1基于网络的入侵检测系统（NIDS）的优点(1)部署比较容易，覆盖范围宽，只要在一个网络中放置一台或多台IDS检引擎，就可以监测整个网络的情况，不需要改变系统和网络的工作模式，不会给运行关键业务的主机增加负荷。而且，它在发生故障时也不会影响正常业务的运行。布置一个网络入侵检测系统的风险是比较低的。(2)基于网络的入侵检测系统无需考虑被保护的操作系统类型及版本号，它以采集到的网络数据作为检测源，而网络传输的数据都是形式统一的IP报文，这样就降低了系统的复杂性，减少了开发成本，提高了事件更新的效率。(3)布署在网络上的基于网络的入侵检测系统处于被动的接收方式，而不像安装在主机上的基于主机的入侵检测系统那样容易被识别和存取，容易遭受攻击。(4)基于网络的入侵检测系统可以从网络协议的底层开始入侵分析，因此于协议的攻击手段有较强的分析能力。2基于网络的入侵检测系统（NIDS）的缺点(1)基于网络的入侵检测系统在网络中处于被动的接收方式，因此，比安装在主机上的基于主机的入侵检测系统更容易遭受到外部的攻击。(2)基于网络的入侵检测系统可以从网络协议的底层进行入侵行为的分析，所以NIDS对基于协议的攻击具有较强的分析能力。(3)基于网络入侵检测系统为了达到高性能目标就常采用基于特征的误用检测技术，这种方法可以有效地检测出一般的攻击，但是很难检测出那些复杂的需要大量计算与分析的攻击。(4)基于网络入侵检测系统对于加密的会话过程处理效果比较差，尽管现在通过加密通道的攻击不是很多，但随着Ipv6的迅速普及以及攻击手段的日益提高，以后这个问题会越来越严重。(5)基于网络入侵检测系统要监听网络上所有数据包，而随着高速网络的发展和网络规模的扩大，势必将会增加检测系统的负载，这就直接导致实时系统检测和响应性能大幅度下降9。3.1.3 其它入侵检测系统的优缺点1异常入侵检测系统的优缺点较高的虚警概率是此种方法的主要缺陷，因为信息系统所有的正常活动不一定在学习建模阶段就全部了解。建立用户正常行为轮廓的时间周期较长，系统的数据统计难于计算和更新，而且并非所有的入侵都表现为异常。系统的活动行为是不断变化的，这就需要不断地在线学习。该过程将带来两个可能的后果，其一是在此学习阶段，入侵检测系统无法正常工作，否则生成额外的虚假警告信号。还有一种可能性是，在学习阶段，信息系统正遭受着非法的入侵攻击，带来的后果是，入侵检测系统的学习结果中包含了相关入侵行为的信息，这样，系统将无法检测到该种入侵行为。2误用入侵检测技术的优缺点误用入侵检测系统只能检测分析已知的攻击模式，当出现针对新漏洞的攻击手段或针对旧漏洞的新攻击方式时，需要由人工或者其它机器学习系统得出新攻击的模式，添加到误用规则库中，才能使系统具备检测新的攻击手段的能力，这一点如同杀毒软件一样，需要及时地，不断地升级，来保证系统检测能力的完备性。3集中式入侵检测系统的优缺点 集中式入侵检测系统的漏报率和误报率高，事实上，绝大多数的集中式NIDS在应用于百兆以太网环境时都出现了不同程度的漏报和误报的现象，并且，这一现象在千兆级大规模网络上还显得更加突出和严重。不难看出，导致这些现象出现的一个最直接，最主要原因就是集中式NIDS在体系结构上存在着自身的缺陷，即系统只依靠有限的几个传感器和唯一的一个事件分析器中来获取、处理和分析网络中的所有数据，从而不可避免地在检测过程中产生数据丢失和处理瓶颈的问题。4分布式入侵检测系统的优缺点通信网络流量负担大。各个节点要进行信息交换进行入侵检测，这就增加了额外的通信开销，使得通信网络负载增加，影响了网络性能。各个节点协作比较困难。由于要对各个节点的入侵信息进行综合分析，协调工作并完成入侵检测，所以对于入侵检测的协调就比较困难。3.2 对入侵检测产品的应用分析目前国外有许多实验室和公司企业在对入侵检测系统进行研究和开发，并已经完成了一些原型系统和商业产品的开发。但是，国内的研究现状相对来说比较落后，然而最近这几年，国内也有一些入侵检测产品相继出现，有的入侵检测系统效率也比较高。以下将主要介绍一些国内外的入侵检测产品。3.2.1 Cisco Secure IDS应用分析Cisco Secure IDS 是Cisco安全产品线的动态安全部件，入侵检测系统将在互联网和局域网环境中发挥作用，从而有效地保护企业的整个网络。它能够实时地检测入侵从而作出响应，入侵检测系统中的传感器可以将网络本身作为一个数据源，直接从网络抓取数据包，来实时地监视网络流量和进行非授权使用行为的检测。同时，它可以通过封锁网络访问或终止非法对话来主动响应非法活动。它还具有综合的攻击识别和特性分析能力，传感器能够检测各种攻击。另外，它还提供高级的IP碎片重组功能和扫除反IDS检测的能力。它在高速网络环境下也有很好的性能，传感器特别适合于监视100Mbps的网络环境。集成的IDS安全设备，传感器被封装为一揽子的“即插即用”解决方案，完整的硬件和软件可以由单一的供应商制造、测试和支持。比较低的安装成本也是它的一个优势，传感器安装、配置和维护非常简单，易于安装（传感器的安装非常快捷和简单，只需要7个简单的地址参数，无需专门培训）。当安装完成后，传感器可以立即以可靠的默认配置启动监视。Cisco Secure IDS可以进行透明操作，传感器的操作不会影响到网络性能，对终端用户来讲完全透明。它直接插入到网络中，对终端用户不可见，因此在不损害性能或功能的情况下提供了更高水平的安全性。3.2.2 CyberCop Intrusion Protection应用分析该产品继承了网络入侵检测、安全扫描、动态响应和审计分析于一身。它包含四个组件，分别是扫描器SyberCop Scanner，监视器SyberCop Monitor，蜜罐(Decoy)服务器SyberCop Sting和定制审计脚本语言工具SyberCopCASL。SyberCop产品的核心技术是由NetworkAssociate公司NAI实验室的高级安全专家支撑的，NAI高级安全实验室的研究中心分布在全球各地，能够快速地响应最新的安全威胁使得该产品能够快速地进行更新，更好地保护企业的信息安全。3.2.3 RealSecure应用分析ISS公司的入侵检测系统RealSecure是一个实时的入侵检测报警、防范响应系统。它将基于网络和基于主机的入侵检测技术、分布式技术和可生存技术结合在一起，能够提供实时的网络安全监控。RealSecure采用分布式的体系结构，系统分为两层：传感器和管理器。传感器包括网络传感器、服务传感器和系统传感器三类。网络传感器主要是对网络数据进行分析检测，服务传感器主要负责对系统日志和系统文件信息进行检测。管理器包括控制台、事件收集器、事件数据库和警报数据库四个部分。RealSecure将对攻击的表示和对攻击的识别结合在一起，也就是通过新的程序来增加新的攻击的识别。这种方法效率很高，但是升级较困难，为此，公司成立了专门的组织为其编写攻击识别程序，使其对攻击能够实现快速的响应。3.2.4 其它入侵检测系统应用分析入侵检测系统KIDS3.3采用了金诺网安的SafeBoot技术，使得入侵检测系统的传感器摆脱了在硬盘上进行软件安装或将软件固化的繁琐过程，而只需通过可引导光盘进行直接引导，就可以使整个系统开始工作，真正实现了“即导即用”和“即插即用”的完美结合。这种方式既提高了整个系统的灵活性，又增强了产品的安全性、稳定性和易操作性。KIDS3.3的检测能力和性能也得到了进一步的提高，增强了检测引擎，支持VLAN(802.1q)，同时也加强了SMTP/POP3协议的分析能力。与3.2版本相比，KIDS3.3的检测性能提高了多倍，具有更好的可维护性，并具有数据库自动溢出处理和后台自动记录数据等功能。NetEye IDS 2.0是东软集团有限公司开发的网络入侵检测系统。它利用数据包截取技术对网络进行不间断的监控，扩大网络防御的范围，并采用先进的基于网络数据流实时智能分析技术判断来自网络内部和外部的入侵企图，进而进行报警、响应、防范。并可对网络的运行和使用情况进行监控、记录和重放，使用户对网络的运行状况一目了然。同时提供网络嗅探器和扫描器便于分析网络的问题，确定网络故障。NetEye IDS 2.0可对自身的数据库进行自动维护，不需要用户的干预，不会对网络的正常运行造成任何干扰，全面地综合了网络审计、监测和分析功能，配合防火墙系统组成了完整的网络安全解决方案，全面保障网络的安全。第4章 对改进入侵检测系统的新方法研究4.1 并行字符串搜索算法基础知识规则库及规则1规则基本概念从某一固定IP发送的连接请求可以通过IP头文件中的源地址区域很容易地鉴别出来。带有非法TCP标记包的集合可以通过已知的合法与非法的标记集合与TCP头文件中的标记进行比较而得出结论。包含特殊病毒的电子邮件，IDS可以通过将邮件的标题或附件的名称与已知的病毒邮件相关的标题做比较得出结论。包含在队列有效载荷中的DNS缓冲区溢出尝试，可以通过分析DNS域和检查每个队列的长度，从而使IDS能够辨别出在DNS域中是否存在缓冲区溢出的尝试。或者另外一种方式，就是在有效荷载荷队列中寻找是否存在溢出程序。通过提交上千次相同命令来实施对POP3服务器的拒绝服务攻击。对付这种攻击的办法就是设定命令提交的次数，一旦超过设定的次数系统将会发出警报。通过提交文件或目录试图跳过先前的登陆过程来对FTP服务器进行文件存取攻击。可以开发一种跟踪系统，用来监控成功登陆的FTP通讯，如果发现有人试图在经过系统认证前进入，则检测系统将发出警报。2规则分类网络入侵检测系统规则是指我们在网络通讯中需要寻找的一种模式。规则可分为规则库中系统规则和用户自定义规则。3IDS规则实例的分析 当恶意代码被插入到网站的动态网页中时，这时，跨网站的脚本攻击就发生了现在，我们来开始分析一条IDS规则：alert tcp any any - any any (content:SCRIPT;msg:WEB-MISC cross site scripting attempt;)，此规则中，content选项包含“SCRIPT”，而这恰好可以与跨网站的脚本攻击特征相匹配，这样脚本攻击就会触发这条规则。然而很多其他的正常的数据包也会触发这条规则，入侵检测系统直接根据该规则发出警报势必会产生误报。所以为避免这种误报的发生就需要修改规则，使其只针对于Web流量中，下面是修改过后的规则：alert tcp $EXTERNAL_NET any -$HTTP_SERVERS $HTTP_PORTS(content:SCRIPT; msg:WEB-MISC cross site scripting attempt;) ，现在，只有Web服务器含有SCRIPT内容的HTTP会话才会触发这条规则。