（计算机软件与理论专业论文）一种智能分布式入侵检测系统的研究与设计.pdf

一种智能分布式入侵检测系统的研究与设计 摘要 入侵检测作为一种积极主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的 实时保护，在网络系缓遭受危害之前拦截和响应入侵。从网络安全立体纵深、多层次防御的 角度出发，入侵检测理应受到人们的高度重视，这从国外入侵检测产品市场的蓬勃发展就可 以看出。在国内，随着上网的关键部门、关键业务越来越多，迫切需要具有自主版权的入侵 检测产品。但现状是入侵检测还不够成熟，处于发展阶段，或者是防火墙中集成较为初级的 入侵检测模块，所以黯于入侵检测系统的研究是很重要的。 入侵检测是指在特定的网络环境中发现和识别未经授权的或恶意的攻击和入侵，并对此 做出反应的过程。而入侵检测系统是一套运用入侵检测技术对计算机或网络资源进行实时检 测的系统工具。入侵检测系统一方面检测未经授权的对象对系统的入侵，另一方面还识别授 权对象对系统资源的孳法操作。 本文中，我们提氆了使用粗糙集分类算法作为网络入侵检测规则生成的算法，同时，在 入侵检测的体系结构串我们采用了分布式的架构方式，并且使用了c o n d o r 系统作为该分布 式架构的核心。 本文首先详细地介绍了入侵检测技术的概念、历史、所使用到的相关技术及其发展趋势， 然后重点介绍了网络兹据包的拦截与分析技术、机群作业管理系统0 n d o r 和粗糙集的 相关理论知识，最后在这基础之上，设计并实现了一个基于粗糙集理论和c o n d o r 系统的智 能分布式入侵检测系缓。本文所做的主要工作、技术难点与创新之处如下： l 、在回顾计算枧网络的基础知识的基础之上，根据网络数据包的拦截原理和分析原 理，结合w m p e a p 软件开发包，对网络数据进行了拦截和分析。 2 、通过w i n p c a p 软件包对网卡进行了统计模式的设置，对网络数据流量做了实时的统 计功能，并且戳图形化界面友善地展现在网络管理员面前。 3 、通过研究学习分布式系统的体系架构，提出了使用分布式架构作为入侵检测系统的 主要体系结构，并且使用了著名的机群作业管理系统叫o n d o r 作为该分布式系统 的核心构成。屯不同的服务器和工作站分配角色中央管理器、作业提交者和作 业执行者，由此构成了一个分布式系统。 4 、在入侵检测的主要模块入侵检测模块里，我们提出了使用粗糙集理论来生成入 侵检测规则。之所以采用该理论作为入侵检测规则生成的主要算法，主要原因在于 入侵检测领域本身存在着大量的不确定性数据，而粗糙集理论在处理非确定性信息 方面有着其自身的优势。 5 、在总结和综合以上各项关键技术的基础之上，设计并开发出一基于粗糙集理论和 c o n d o r 系统的智能分布式入侵检测系统，实现了入侵系统的五大模块数据采集 模块、作业溅引擎模块、入侵检测模块、存储模块和响应模块。 最后，通过设计个仿真实验来对系统的设计进行了检验和分析，实验采用了著名的 k d dc u p 9 9 实验数据仿真实验表明，本文开发的系统是切实可行的，并且在误判率和漏 判率方面都比较好。 在读研究生期间，已在计算机类刊物航空计算技术发表一篇论文。 关键字：入侵检测：陷数据包；w i n p c a p ；分布式；c o n d o r ；粗糙集理论；r o s e t t a 中图分类号：t p 3 1 1 5 2 4 贵州大学硕士研究生毕业论文 a b s t r a c t i n t r u s i o nd e t e c t i o na sap r o a c t i v es e c u r i t yp r o t e c t i o nt e c h n o l o g yp r o v i d e sa l li n t e r n a la t t a c k s ， e x t e r n a la t t a c k sa n dm i s u s eo fr e a l t i m ep r o t e c t i o n , t h en e t w o r ks y s t e mt oi n t e r c e p ta n dr e s p o n dt o h a z a r d sb e f o r et h ei n v a s i o n f r o mt h et h r e e - d i m e n s i o n a ld e p t ho fn e t w o r ks e c u r i t y , m u l t i l e v e l d e f e n s ep o i n to fv i e w , i n t r u s i o nd e t e c t i o ns h o u l db ea t t a c h e dg r e a ti m p o r t a n c et ot h ep e o p l e ；f r o m f o r e i g ni n t r u s i o nd e t e c t i o np r o d u c t so nt h ev i g o r o u sd e v e l o p m e n to ft h em a r k e tc a n b es e e n a tt h e n a t i o n a ll e v e l ，a st h ei n t e r n e t sk e ys e c t o r s ，m o r ea n dm o r eb u s i n e s s c r i t i c a l ，u r g e n tn e e dt oh a v e o u ro w nc o p y r i g h ti n t r u s i o nd e t e c t i o np r o d u c t s b u tt h es t a t u sq u oi st h ei n t r u s i o nd e t e c t i o ni sn o t e n o u g hm a t u r i t yi nt h ed e v e l o p m e n ts t a g e ，o ri sm o r ei n t e g r a t e di nt h ep r i m a r yf i r e w a l li n t r u s i o n d e t e c t i o nm o d u l e ，i n t r u s i o nd e t e c t i o ns y s t e mf o rt h es t u d yi sv e r yi m p o r t a n t i n t r u s i o nd e t e c t i o nr e f e r st oas p e c i f i cn e t w o r ke n v i r o n m e n ti nt h ed i s c o v e r ya n d i d e n t i f i c a t i o no fu n a u t h o r i z e do rm a l i c i o u sa t t a c k sa n di n c u r s i o n s ，a n dt or e s p o n dt ot h i sp r o c e s s 1 1 1 ei n t r u s i o nd e t e c t i o ns y s t e mi sau s eo fi n t r u s i o nd e t e c t i o nt e c h n o l o g yo nac o m p u t e ro rn e t w o r k r e s o u r c e st oc o n d u c tr e a l t i m ed e t e c t i o ns y s t e mt o o l s o nt h eo n eh a n d ，i n t r u s i o nd e t e c t i o ns y s t e m d e t e c t e dt h eo b j e c to fu n a u t h o r i z e di n t r u s i o no ft h es y s t e m , o i lt h eo t h e rh a n di sa l s oa u t h o r i z e dt o i d e n t i f yt h et a r g e t so f t h ei l l e g a lo p e r a t i o no f s y s t e mr e s o u r c e s i nt h i sp a p e r ，w ep r o p o s et h ei l s eo fr o u g hs e tc l a s s i f i c a t i o na l g o r i t h m sa san e t w o r ki n t r u s i o n d e t e c t i o na l g o r i t h mg e n e r a t e db yt h er u l e s ，a tt h es a m et i m e ，t h ei n t r u s i o nd e t e c t i o ns y s t e mi nt h e s t r u c t u r ew eh a v ea d o p t e dad i s t r i b u t e da r c h i t e c t u r e ，a n dt h eu s eo ft h ec o n d o rs y s t e ma st h ec o r e o ft h ed i s t r i b u t e da r c h i t e c t u r e i nt h i sp a p e r , a tf i r s t ，w ed e t a i l e di n t r o d u c et h ec o n c e p t sa n dh i s t o r yo ft h ei n t r u s i o nd e t e c t i o n t e c h n o l o g ya n dt h eu s eo f r e l a t e dt e c h n o l o g i e sa n dd e v e l o p m e n tt r e n d s a n dt h e n , w eh i g l l l i g h t so f t h en e t w o r kp a c k e ti n t e r c e p t i o na n da n a l y s i st e c h n o l o g y , c l u s t e r j o bm a n a g e m e n ts y s t e m c o n d o r s y s t e ma n dt h et h e o r e t i c a lk n o w l e d g eo fr o u g hs e t a tl a s t , b a s e do nt h e s et h e o r e t i c a lk n o w l e d g e s a n dt e c h n o l o g i e s ，w ed e s i g na n di m p l e m e n ta l li n t e l l i g e n ta n dd i s t r i b u t e di n t r u s i o nd e t e c t i o n s y s t e mb a s e 锄r o u g hs e tt h e o r ya n dc o n d o rs y s t e m 1 i sp a p e rh a sd o n em a j o rw o r k ，i n n o v a t i o n a n dt e c h n i c a ld i 伍c u l t i e sa r ea sf o l l o w s ： l 、r e v i e w i n gt h eb a s i so ft h ec o m p u t e rn e t w o r k , a c c o r d i n gt ot h ei n t e r c e p t i o np r i n c i p l ea n d t h ea n a l y s i sp r i n c i p l eo fp a c k e t i n gn e t w o r kd a t ap a c k e t a g e s ，u s e dw i n p c a ps o f t w a r e d e v e l o pp a c k e t a g e ，w ei n t e r c e p ta n da n a l y z en e t w o r kd a t a s ， 2 、w ec o n f i gan e t w o r ki n t e r f a c ec a r d ( m c ) i n t oas t a t i s t i c sm o d l e ，a n di m p l e m e n ta r e a l - t i m es t a t i s t i c sf u n c t i o nf o rn e t w o r kd a t af l o wa n dd i s p l a yaf r i e n d l yg r a p h i c a l i n t e r f a c et ot h en e t w o r ka d m i n i s t r a t o r 3 、t h r o u g hr e s e a r c ha n ds t u d yt h ed i s t r i b u t e ds y s t e ma r c h i t e c t u r e ，w eu s et h ed i s t r i b u t e d a r c h i t e c t u r ea st h em a i na r c h i t e c t u r eo ft h ei n f u s i o nd e t e c t i o ns y s t e m a n dw eu s et h e f a m o u sc l u s t e rj o bm a n a g e m e n ts y s t e m _ _ c o n d o rs y s t e ma st h ec o r eo ft h e s e d i s t r i b u t e ds y s t e m t k sd i s t r i b u t e ds y s t e mi sc o n s i s to fd i f f e r e n ts e r v e r sa n dw o r k s t a t i o n s t h e yp l a yd i f f e r e n tr o l e s c e n t e rm a n a g e r , j o bs u b m i t t e ra n dj o br u n n e r 4 ，i nt h ei n t r u s i o nd e t e c t i o nm o d u l ew h i c hi st h em a i nm o d e li nai n t r u s i o nd e t e c t i o ns y s t e m , w el l s er o u g hs e tt h e o r yt og e n e r a t i o ni n m a s i o nd e t e c t i o nr u l e s w h yw eu s et h i st h e o r yt o b eam a i na l g o r i t h mo fg e n e r a t i o ni n t r u s i o nd e t e c t i o nr u l e s ? 1 f 1 1 em a i nl e a , s o ni st h a tt h e a l e a so ft h ei n t r i m i o nd e t e c t i o nh a v el o t so fu n c e r t a i n t yd a m s ，a n dt h er o u g hs e tt h e o r yh a s 5 一种智能分布式入侵检测系统的研究与设计 m a n ya d v a n t a g e st oh a n d l i n gt h e s eu n c e r t a i n t yi n f o m a t i o n s 5 、w es u m m a r i z ea l la b o v eo fk e yt e c h n o l o g i e s ，w ed e s i g na n db u i l da ni n t e l l i g e n c e d i s t r i b u t e di n t r u s i o nd e t e c t i o ns y s t e mb a s eo nr o u g hs e tt h e o r ya n dc o n d o rs y s t e m w e i m p l e m e n tf i v em o d e l so ft h ei n t r u s i o nd e t e c t i o ns y s t e mw h i c h a r ed a t ac o l l e c t i o nm o d u l e ， d i s p a t c he n g i n em o d u l e ，i n t r u s i o nd e t e c t i o nm o d u l e ，s t o r em o d u l ea n dr e s u l t sd i s p l a y m o d u l e f i n a l l y , w ed e s i g na s i m u l a t i o ne x p e r i m e n tt ot e s ta n d a n a l y s i st h es y s t e m i nt h i se x p e r i m e n t ， w eu s eaf a m o u st e s td a t a k d dc u p9 9 s i m u l a t i o nr e s u l t ss h o wt h a tt h es y s t o ni s p r a c t i c a b l ea n d i th a st h eb e t t e rr e s u l ti nt h er a t eo fm i s j u d g m e n ta n dm i s s i n gr a t e d u r i n gt h ep e r i o do fs c h o o l ，a u t h o rh a sd e l i v e r e d1 a r t i c l e sa t ( ( a e r o n a u t i c a lc o m p u t i n g t e c h n i q u e ) ) k e yw o r d s ：i n t r u s i o nd e t e c t i o n ，n e t w o r kd a t ap a c k e t a g e ，w i n p c a p ，d i s t r i b u t e d ，c o n d o r , r o u g h s e tt h e o r y , r o s e t t a 6 贵州大学硕士研究生毕业论文 原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下， 独立进行研究所取得的成果。除文中已经注明引用的内容外，本 论文不包含任何其他个人或集体已经发表或撰写过的科研成果。 对本文的研究在做出重要贡献的个人和集体，均已在文中以明确 方式标明。本人完全意识到本声明的法律责任由本人承担。 论文作者签名：占苎2 亟丛盖 e l 期： 2q q 堡生上旦! 关于学位论文使用授权的声明 本人完全了解贵州大学有关保留，使用学位论文的规定，同 意学校保留或向国家有关部门或机构送交论文的复印件和电子 版，允许论文被查阅和借阅；本人授权贵州大学可以将本学位论 文的全部或部分内容编入有关数据库进行检索，可以采用影印、 缩印或其他复制手段保存论文和汇编本学位论丈。 ( 保密论文在解密后应遵守此规定) 论文作者签名：丝l 一篮导师签名 贵州大学硕士研究生毕业论文 第一章绪论 网络的迅猛发展，除了给人类的发展带来无限的新动力之外，还给带来了一系列的网络 安全问题。本文就在这样一个大环境f ，结合网络入侵防范的理论知识和实践技术，提出了 一种智能的分布式入侵检测系统。并对此系统在理论上深入刻划、在时间上详尽描述，力求 将这种新的系统推向现实。 本章先就网络入侵防范技术的现状进行一个简明扼要的阐述，然后对本文余下章节内容 和章节安排进行一个简单的概述。 1 1 网络入侵防范概述 1 1 1 网络安全防护的必要性 i n t e m e t 是计算机交互网络的简称，又称网间网。它是利用通信设备和线路将全世界上 不同地理位置的、功能相对独立的数以千万计的计算机系统互连起来，以功能完善的网络软 件( 网络通信协议、网络操作系统) 实现网络资源共享和信息交换的数据通信网。 1 因特网的建立 因特网是从英文i n t e m e t 翻译过来的，又称为国际互联网，它是一个世界范围内的网络。 因特网通过各种通信线路和软件把全球范围内的计算机网络连接成一个整体，而不管这些网 络的类型是否相同、规模是否一样以及距离的远近。因特网含有极为丰富的信息资源，是人 类巨大的信息宝库，这些资源大的超过任何一个人的想象力。我们可以把它看做一个全球性 的博物馆，一个无比神奇的游艺宫，一个发表自己见解的论坛，一个结交朋友的场所。在因 特网上可以实现资源共享、相互通信和远程教学等。 因特网起源于美国的a r p a 网。2 0 世纪6 0 年代中期开始，一些专家在美国国防部的高 级研究计划署( 即眦) 的资助下，研究如何把美国国内的几个不同的计算机网络连接起 来。当时的设想是，当网络的某一部分在战争等特殊情况下受到攻击而损坏时，不影响网络 中其它部分的正常工作。因此，a r i a 网采用了分布式控制和处理，较好的满足了这方面的 要求，网络上的计算机处于平等地位，没有哪一个部分是特别重要、不可缺少的。7 0 年代 他们设计了新的在不同的计算机网络之间实现通信的协议( t c p i p 组) ，并公开了所有的 t c p i p 网络规范和有关的技术成果。这种公开，使得t c p i p 得到了广泛的支持和迅速的推 广。t c p i p 应用于a r p a 网标志着真正意义上的i n t e m e t 出现了。 2 因特网的发展 从2 0 世纪6 0 年代起，由a r p a 提供经费，联合计算机公司和大学共同研制而发展起来 的a p r a n e t 网络，最初，a r p a n e t 主要是用于军事研究目的。它主要是基于这样的指导思 想：网络必须经受得住故障的考验而维持正常的工作，一旦发生战争，当网络的某一部分因 遭受攻击而失去工作能力时，网络的其他部分应能维持正常的通信工作。a r p a n e t 在技术上 的另一个重大贡献是t c p i p 簇的开发和利用。作为i n t e r a c t 的早期骨干网，a r p a n e t 的试 验奠定了i n t e m e t 存在和发展的基础，较好地解决了异种机网络互连的一系列理论和技术问 题。 1 9 8 3 年，a r p a n e t 分裂为两部分，a r p a n e t 和纯军事用的m i l n e t 。同时，局域网和 7 一种智能分布式入侵检测系统的研究与设计 广域网的产生与蓬勃发展对i n t e m e t 的进一步发展起了重要的作用。其中最引人注目的是美 国国家科学基金会( n a t i o n a ls c i e n c ef o u n d a t i o n ，n s f ) 建立的n s f n e t 。n s f 在全美国建立 了按地区划分的计算机广域网并将这些地区网络和超级计算机中心互连起来。n s f n e t 于 1 9 9 0 年6 月彻底取代了a r p a n e t 而成为i n t e m e t 的主干网。 n s f n e t 对i n t e m e t 的最大贡献是使i n t e r a c t 向全社会开放，而不像以前的那样仅供计算 机研究人员和政府机构使用。1 9 9 0 年9 月，由m e r i t 、i b m 和m c i 公司联合建立了一个非 盈利的组织先进网络科学公司( a d v a n c e dn e t w o r k & s c i e n c ei n c ，a n s ) 。a n s 的目的 是建立一个全美国范围的t 3 级主干网，它能以4 5 m b i t s 的速率传送数据。到1 9 9 1 年底， n s f n e t 的全部主干网都与a n s 提供的t 3 级主干网相连通。 i n t e m e t 的第二次飞跃归功于i n t e r n e t 的商业化。商业机构一踏入i n t e m e t 这一陌生世界， 很快发现了它在通信、资料检索和客户服务等方面的巨大潜力。于是世界各地的无数企业纷 纷涌入i n t e m e t ，带来了i n t e m e t 发展史上的一个新的飞跃。 我国自1 9 9 4 年正式接入i n t e m e t 到今天的短短几年间，网络技术和应用得到了飞速发 展。据2 0 0 6 年1 月1 7 日中国互联网信息中心( c n n i c ) 在京发布的“第十七次中国互联 网络发展状况统计报告”显示，截至2 0 0 5 年1 2 月3 1 日，我国上网用户总数突破1 亿人， 为1 1 1 亿人，其中宽带上网人数达到6 4 3 0 万人。目前，我国网民数和宽带上网人数均位居 世界第二。国家顶级域名c n 注册量首次突破百万，达到1 0 9 万个，成为国内用户注册域名 的首选，稳居亚洲第一。上网计算机数达到4 9 5 0 万台，网络国际出口带宽达到1 3 6 6 1 0 6 m b i t s ，网站数达到6 9 4 万个。i p 地址总数达到7 4 3 9 万个，仅次于美国和日本，位居 世界第三。 3 网络入侵的案例 随着i n t e r n e t 在全世界的普及，i n t e m e t 给人们的生活、工作带来了巨大的方便。越来越 多的计算机用户可以足不出户地访问到全球网络系统丰富的信息资源，人们可以坐在家里通 过i n t e m e t 收发电子邮件、打电话、进行网上购物和银行转帐等。一个网络化社会的雏形已 经展现在我们面前。 然而，伴随着网络上不断增加的共享信息和业务处理，网络的安全问题也显得越来越突 出。即使是那些被认为固若金汤的系统在黑客攻击面前也显得不堪一击。 1 9 8 3 年，当k e v i np o u l s e n 还是一名学生的时候，他就曾成功入侵a r p a n e t ( 我们现在 使用的i n t e m e t 的前身) 。k e v i np o u l s e n 当时利用了a r p a n e t 的一个漏洞，能够暂时控制美 国地区的a r p a n e t 。 1 9 8 8 年，仅2 3 岁的c o m e l l 大学学生r o b e r tm o r r i s 在i n t e m e t 上释放了世界上首个“蠕 虫”程序。r o b e r tm o r r i s 最初仅仅是把他这个9 9 行的程序放在互联网进行试验，可结果却 使他的计算机被感染并迅速在互联网上蔓延开，美国等地接入互联网的计算机都受到影响。 r o b e r tm o r r i s 也因此在1 9 9 0 年被判入狱。 1 9 9 0 年，为了获得在洛杉矶地区k i s s f m 电台第1 0 2 个呼入者的奖励保时捷9 4 4s 2 跑车，k e v i np o u l s e n 控制了整个地区的电话系统，以确保他是第1 0 2 个呼入者。最终，他 如愿以偿获得跑车并为此入狱三年。他现在是w i r e dn e w s 的高级编辑。 1 9 9 3 年，自称为骗局大师( m o d ) 的组织，将目标锁定美国电话系统。这个组织成功 入侵美国国家安全局( n s a ) 、a t & t 和美利坚银行。他们建立了一个可以绕过长途电话呼 叫系统而入侵专线的系统。 1 9 9 5 年，来自俄罗斯的黑客v l a d i m i rl e v i n 在互联网上上演了精彩的“偷天换日”。他 是历史上第一个通过入侵银行计算机系统来获利的黑客。他侵入美国花旗银行并盗走1 0 0 0 万元。他于1 9 9 5 年在英国被国际刑警逮捕。之后，他把账户里的钱转移至美国、芬兰、荷 兰、德国和爱尔兰等地。 8 贵州大学硕士研究生毕业论文 1 9 9 6 年，美国黑客t i m o t h yl l o y d 曾将一个6 行的恶意软件放在了其雇主咄e g a 工程公司( 美国航天航空局和美国海军最大的供货商) 的网络上。整个逻辑炸弹删除了o m e g a 公司所有负责生产的软件。此事件导致o m e g a 公司损失1 0 0 0 万美元。 1 9 9 9 年，m e l i s s a 病毒是世界上首个具有全球破坏力的病毒。d a v i ds m i t h 在编写此病毒 的时候仅3 0 岁。m e l i s s a 病毒使世界上3 0 0 多家公司的计算机系统崩溃。整个痫毒造成的损 失接近4 亿美元。d a v i ds m i t h 随后被判处5 年徒刑。 2 0 0 0 年，仅1 5 岁的m a f i a b o y ( 由于年龄太小，因此没有公布其真实身份) 在2 0 0 0 年 2 月6 日到2 月1 4 日情人节期间成功侵入包括e b a y 、a m a z o n 和y a h o o 在内的大型网站服 务器，成功阻止了服务器向用户提供服务。他于2 0 0 0 年被捕。 2 0 0 2 年1 1 月，英国人g a r ym c k i n n o n 在英国被指控非法侵入美国军方9 0 多个计算机 系统。 2 0 世纪9 0 年代早期，k e v i n m i m i c k ，一位在世界范围内举重若轻的黑客，世界上最强 大的科技和电信公司诺基亚( n o l d a ) 、富士通( f u j i t s u ) 、摩托罗拉( m o t o r o h ) 和s u n m i c r o s y s t e m s 等的计算机系统都曾被他光顾过。1 9 9 5 年他被f b i 逮捕，于2 0 0 0 年获得假释。 他从来不把自己的这种入侵行为成为黑客行为，按照他的解释，应为“社会工程( s o c i a l e n g i n e e r i n g ) ”。 2 0 0 3 年，b l a s t 仇恨者( 冲击波) 是首个利用公布不到一个月的微软漏洞犯案的病毒， 计算机受攻击数目超过1 0 0 万台。 t 2 0 0 3 年，s o ls l a m m e r 速客一号是首个攻击s q l 服务器的病毒，造成全世界1 0 亿美 元经济损失，计算机受攻击数目则超过1 0 0 万台。 在2 0 0 4 年，随着互联网应用的不断发展，电子邮件、即时通信、网络游戏已经成为人 们在日常娱乐和办公中使用最多的互联网应用与操作，计算机病毒针对这些互联网新的应用 功能又开启了新一轮的攻击与传播方式。因此，在2 0 0 4 年形成了主要以蠕虫病毒和木马病 毒为主的网络病毒对网络进行破坏与传播的主要特点。 2 0 0 5 年，灰鸽子病毒称为中国大陆地区最大的安全隐患，此病毒所占比例为4 0 7 1 ， 排在首位；其次是传奇木马，所占比例为1 2 7 7 ；排在第三位的是袋子木马释放器，比例 为1 0 5 ；而瑞波、q q 盗贼、q q 通行证、波特后门等也是2 0 0 5 年主要流行病毒。 最近，毋m 在概述2 0 0 5 年安全趋势的一份报告中说，与以往相比，计算机犯罪活动比 以往更有针对性和更狡猾了。以往，最大的威胁是旨在破坏整个网络大规模病毒传播。2 0 0 5 年，只有一种名为z o t o b 的蠕虫攻击引起了广泛关注。除了更先进的软件、硬件外，许多黑 客的被逮捕也对黑客有相当的吓阻作用。现在互联网攻击越来越多地受到了经济利益的推 动，有组织的犯罪团伙已经取代寻求刺激者成为主要的计算机安全威胁。据市场调研厂商 g - a l t n e r 称，2 0 0 5 年，财务欺诈使消费者和企业蒙受了近1 5 0 亿美元的损失，其中有1 0 0 0 万人受到了身份盗窃攻击。 4 网络安全防护的重要性 网上信息只认数据不认人，如果安全得不到保障，攻击者便可通过窃取相关数据密码获 得相应的权利，进行非法操作。即便是安全防范严密的军事网络系统也曾多次遭受攻击。所 以，网络安全已成为制约信息化发展的一个关键问题，急待解决。表1 1 所示是几次较大的 攻击事件造成的严重后果。 9 一种智能分布式入侵检测系统的研究与设计 表1 - 1 病毒攻击事件造成的危害 发生时间 病毒名称历史意义损失金额感染计算机数目( 与产能损失) 美元 2 0 0 2 笠 k 1 e z 首个历经一年的变种病毒，依然 9 0 亿 计算机受攻击数目达6 0 0 万台 ( 求职信)造成全球大感染 2 0 0 1 年c o d e r e d首个黑客型病毒，因不断搜寻2 6 2 亿计算机受攻击数目达到1 0 0 万台 ( 红色代 i i ss e r v e r 而导致网络交通异常 清楚病毒花费1 1 亿美元，生产中 码) 断的产能损失达1 5 2 亿美元 2 0 0 1 钲n i m d a 首个利用多重途经瘫痪网络的 6 3 5 亿 计算机受攻击数目超过8 0 0 万台 ( 尼姆达)黑客型病毒，包括电子邮件、i i s 服务器、网上邻居 1 1 2 国际网络安全状况的启示 近年来，网络攻击事件频频发生，在2 0 0 0 年2 月的7 、8 、9 日这三天时间里，黑客有 组织、有预谋地使用拒绝服务d o s ( d e n i a lo fs e r v i c e s ) 攻击手段，用大量无用信息阻塞网 络服务器，使其不能提供正常服务，令美国一些著名网站，如y a h o o 、c n n 、朋讧a z o n 、 e t r a d e 、z d n e t 等一度瘫痪，造成巨额经济损失。3 月2 9 日和3 0 日，国际黑客大会在以 色列特拉维夫召开，有3 0 0 多名来自世界各地的黑客参加。到2 0 0 1 年，黑可事件更是不断， 先是五一节前后的全球性黑客攻击事件，然后是7 月开始直到年底的红色代码、蓝色代码、 尼姆达( n i m d a ) 等一波接一波的病毒攻击，让人真正认识到了网络隐患所带来的安全问题 的可怕，并切实体会到了攻击防范和网络安全防护的重要性。 根据位于美国马里兰州的w a r r o o mr e s e a r c h 资讯科技保安顾问公司1 9 9 9 年的调查结 果，这些被调查公司仅在过去的1 2 个月时间里，就有6 1 的公司曾发生内部攻击，5 8 的 公司曾发生外部攻击。据美国f b i 统计，美国每年因特网络安全造成的损失高达百亿美元； 美国信息安全研究所的统计表明，2 0 0 0 年内，美国有8 5 的网站受到过入侵；计算机紧急 响应小组( c o m p u t e re m e r g e n c yr e s p o n s et e a m , c e r t ) 的最新年度报告中指出，2 0 0 1 年网 络上发生的攻击时间是2 0 0 0 年的2 倍；e r n s t 和y o u n g 的报告中指出。由于信息被窃或滥用， 几乎8 0 的大型企业遭受损害；美国加利福尼亚大学圣迭戈分校u c s d ( u n i v e r s i t yo f c a l i f o r n i aa ts a nd i e g o ) 的一份研究报告表明，d o s 攻击每周发生近4 0 0 0 次，攻击目标从商 业网站、i n t e m e t 基础设施到家庭计算机应有尽有。2 0 0 3 年1 月爆发的s q ls l a m m e r 速客一 号病毒，导致美国银行( b a n ko fa m e r i c a ) 1 3 0 0 0 台a t m 瞬间宕机：同年8 月，冲击波病 毒也造成两家著名银行使用w i n d o w sx p 的大量a t m 无法工作。根据c e r t 组织的统计， 2 0 0 4 年1 月2 6 日爆发的电子邮件蠕虫病毒m y d o o m 给全球企业带来高达2 6 1 亿美元的损 失。 根据2 0 0 6 年出版的最新( ( 2 0 0 5f b ic o m p u t e rc r i m es u r v e y ) ) ( 美国最大范围的计算机犯 罪调查) 调查显示：在对全美约2 0 0 0 家组织和机构的计算机与网络安全的调查中，2 0 0 5 年 由安全问题带来的全部损失约为3 2 亿美元：来自企业网内部的攻击和来自外部的攻击同样 多，约占4 4 。 所以，计算机犯罪已经成为普遍的国际性问题，是各国共同面对的一个严峻问题。各国 政府都在进行信息安全管理工作规范化和制度化，使网络控制、信息控制、信息资源管理、 攻击的防范、网络犯罪的打击和泄密的防止都有法可依，并有技术的支撑。各国都在加大对 信息网络安全核心技术和产品的研发投入。美国政府在2 0 0 0 年就投入了2 0 亿美元保护其重 】o 贵州大学硕士研究生毕业论文 要基础设施，其他西方国家也纷纷调整科研发展计划，将信息安全技术列为战略性技术予以 重点投入。 1 1 3 我国网络安全现状 我国网络建设发展迅速，取得了巨大的成绩。但是，由于没有解决网络安全问题的好的 方案且网络安全建设经费投入不足，网络安全问题还是相当严重的。计算机系统也多采用开 放式的操作系统，安全级别较低，很难抵抗得住攻击。有些单位甚至对网络安全没有概念， 完全没有采取安全措施，更谈不上安全管理与安全政策的制定。有些行业的信息系统业务是 在没有安全保障的情况下发展的。 所以，我国的信息安全保障能力还滞后于发展，安全问题已经相当严重。国家领导和各 部门对此给予了高度重视，国家领导人多次发出有关信息网络安全的指示，主管部门也作了 大量实质性的工作。2 0 0 5 年1 1 月3 日，国家信息化领导小组第五次会议在北京召开。中共 中央政治局常委、国务院总理、国家信息化领导小组组长温家宝主持会议并作重要讲话。会 议审议并原则通过国家信息化发展战略( 2 0 0 6 - - 2 0 2 0 年) 。会议强调，在制定和实施国家 信息化发展战略中，注重建设信息安全保障体系，实现信息化与信息安全协调发展是要着力 解决好的七个问题之一。 目前我国的信息与网络安全的防护能力还处于发展阶段，许多应用系统处于不设防状 态，这导致我国网络系统对攻击事件的抵抗能力很弱。在几次大规模攻击事件中，都有大量 的网络系统被攻入和被破坏。 从1 9 9 3 年中国科学院高能所与i n t e m e t 联网，首开国内使用i n t e m e t 先河之日起，在中 国的活动就没有停止过。影响面较大的时间就有多起。例如，1 9 9 8 年8 月，印尼排华浪潮 及其中国网民集体入侵印尼网点，造成印尼多个网站瘫痪，与此同时，中国的部分站点也遭 到印尼网民的报复；1 9 9 9 年，科索沃战争期间中国大使馆被炸引发了中美网站的相互攻击； 2 0 0 0 年态度势力的猖獗引发了中国大陆对台湾地区官方站点和态度党派站点的攻击，我国 台湾地区也对大陆的部分网站进行了攻击。2 0 0 0 年攻击美国8 大网站时，国内一些著名网 站如s i n a 、s o h u 、当当网上书店等也遭到了攻击，造成了一定损失。2 0 0 1 年4 月1 日发生 的中美撞机事件引起中美的相互攻击，美国p o i s o n b o x 、p r o p h e t 、a c i d l d o w n 、h a c l c w e i s e r 、 p r i m e s u s p e c t z 、s u b e x 、s v u n 、h i t e c h 等团体的攻击造成我国近千家网站一度服务终端或 者页面被篡改。2 0 0 1 年7 月开始的病毒猖獗也引起了很大的破坏和影响。2 0 0 1 2 0 0 3 年蠕虫 病毒发作严重，2 0 0 2 年4 月1 6 日也即星期二，贬洲地区一种新的恶意病毒顷刻爆发，他利 用电子邮件方式，迅速向外扩散，日本和中国台湾等地约有数万台计算机当即陷入瘫痪。不 仅如此，它又很快飘洋过海，传播传到太平洋彼岸的美国，扩散势头十分凶猛。一股新的病 毒风暴就此在全球展开，此病毒即臭名昭著的k l e z ( 求职信w a n t j o b ) 蠕虫的最新变种。据 c n n i c 于2 0 0 6 年1 月发布的第1 7 次中国互联网络发展状况统计报告的统计，网民每周受 到电子邮件( 不包括垃圾邮件) 2 4 7 封，收到垃圾邮件数2 3 9 封，发出电子邮件数1 2 0 封。 2 0 0 5 年1 2 月趋势科技公布最新调查结果显示，在工作时间遭遇间谍软件威胁的情况越来越 多。据国家计算机网络应急技术处理协调中心c n c e r t c c 统计，2 0 0 5 年截获的新病毒数 量达到了7 2 8 3 6 个，比2 0 0 4 年增长了一倍多。对公司安全而言，病毒和间谍软件被认为是 比垃圾邮件更大的威胁。 公安部公共信息网络安全监察局调查发现