已阅读5页,还剩69页未读, 继续免费阅读
(计算机应用技术专业论文)串匹配型入侵检测系统的改进研究.pdf.pdf 免费下载
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
摘要 摘要 随着信息技术的飞速发展,信息安全已逐渐发展成为信息系统的关键 问题。入侵检测作为种主动的信息安全保障措施,有效地弥补了访问控 制、防火墙和身份认诞镣传统安全防护技术的缺陷。目前己有很多入侵检 测系绫被碜 究窥使蘑,懿是隧蓑入侵秘类、数蠢以及霹络带竟鹣不叛增加, 导致系统豹准确往、麓效往尚不能满是入们豹要求。 对于基于误用的入侵检测系统,特征字符串的匹配是检测过程中最费 时的部分,因此匹配算法的性能直接影响到憋个入侵检测系统的效率。针 对这个问题,本文首先阐述了几种经典的审隧配算法,对它们的遗用范围 蟊倪缺点送行分辑。凌藏基硪上,提出了一耱基于攘除戆审鞭酝箕法, 该爨法缝快速嚣准确邋攘除负载中不包含巍淝模式率静数据包。 间时,基于误用的检测系统检测过程就怒将数据包负载弩规则库中的 规则溅行匹配,因此规则库的结构对检测效率也有很大的影响。针对这个 问蹶,本文对规则库结构进行了改进。一方蕊通过优化规则的分类标准, 使褥舔条攥则唯一缝从属予一令翅粼链表;凳一方嚣考虑到寝瘸服务使矮 额肇熬差异往,凑警蠲鹣服务蕊墨藏在袈粼链表粒翁嚣。 为了进一步提高入侵检测的速度和准确魔,本文从缩短数据包待测负 载长虞考虑,提出了应用层协议分析的思想,从而可以降低系统检测的负 担,增加检测的准确性。 本文秘用轻量级网终入侵检测系统s n o r t 在l i n u x 操作系统下遴雩亍了一 系期实验,重点测试了零文提出懿枣匹醮爨法穰改遂蠡孽援羹| j 露煞毪锈。通 过分析得出实验结果与理论基本相符,系统的性能有了明显的改避。 改进后的入侵检测祭统仍然存在一些问蹶和不足,本文在最后给出了 今后的研究方向和内容。 关键谰入爱裣溅系绫;溪燕硷溺;串莲辩磐法;甄爨痒;疆议分辑;s n o r t 燕山大学工学硕士学位论文 a b s t r a c t w i t hf a s t d e v e l o p m e n to fi n f o r m a t i o nt e c h n o l o g y , s e c u r i t yi s s u e sh a v e e v o l v e di n t ot h ek e yp r o b l e mo fi n f o r m a t i o ns y s t e m s a sak i n do fa c t i v e m e a s u r eo fi n f o r m a t i o na s s u r a n c e i n t r u s i o nd e t e c t i o na c t sa st h ee f f e c t i v e c o m p l e m e n tt ot r a d i t i o n a lp r o t e c t i o nt e c h n i q u e ss u c ha sa c c e s sc o n t r o l ,f i r e w a l l , a n di d e n t i t ya u t h e n t i c a t i o n t o d a ym a n yi n t r u s i o nd e t e c t i o ns y s t e m sa l eh e i n g s t u d i e da n du s e d , b u t 箍st h en u m b e ro fi n t r u s i o n sa n dn e t w o r kb a n d w i d t h i n c r e a s ec o n s t a n t l y ,a c c u r a c ya n de f f i c i e n c yo fi n t r u s i o nd e t e c t i o ns y s t e mc a n t s a t i s f yt h en e e d f o rt h em i s u s e b a s e di n t r u s i o nd e t e c t i o ns y s t e m , t h es t r i n gm a t c h i n g c o m p u t a t i o n sd o m i n a t ei nt h eo v e r a l lo fr u n n i n ga l li n t r u s i o nd e t e c t i o ns y s t e m , s ot h ec a p a b i l i t yo fm a t c h i n ga l g o r i t h md i r e c t l ya f f e c t st h et o t 蠢e f f i c i e n c y c o n s i d e r i n gt h i sp r o b l e m , t h ep a p e re x p a t i a t e so ns o m ec l a s s i c a lm a t c h i n g a l g o r i t h m s ,a n da n a l y s e st h e i ra p p l y i n gr a n g e s ,a d v a n t a g e sa n dd i s a d v a n t a g e s o nt h eb a s eo ft h i s ,a ne x c l u s i o n - b a s e dm a t c h i n ga l g o r i t h mi sp r e s e n t e d i tc a n e x c l u d et h ep a c k e t sw h o s eb a dd o e s n ti n c l u d ei n t r u s i o ns t r i n g s a tt h es a l l l et i m e ,t h ed e t e c t i o np r o c e s so f m i s u s e - b a s e di n t r u s i o nd e t e c t i o n s y s t e mi st om a t c ht h ep a c k e tl o a da g a i n s tt h er u l e si nt h er u l el i b r a r y , s ot h e s t r u c t u r eo f t h er u l el i b r a r yh a sg r e a te f f e c to nd e t e c t i o ne f f i c i e n c y c o n s i d e r i n g t h i si s s u e ,t h ep a p e ri m p r o v e st h es t r u c t u r eo fr u l el i b r a r y o nt h eo n eh a n d t h r o u g ho p t i m i z i n gt h ec r i t e r i o no fc l a s s i f y i n gr u l e s 。e a c hr u l eb e l o n g st oo n l y o n er u l ec h a i n 。o nt h eo t h e rh a n d ,c o n s i d e r i n gt h ed i f f e r e n c eo fu s ef r e q u e n c y b e t w e e nd i f f e r e n ta p p l i c a t i o ns e r v i c e s , c o n e l l o ns e r v i c e sp o r t sa r ed i s p l a y e di n t h ef r o n to f r u l ec h a i n s i no r d e rt of u r t h e re n h a n c et h es p e e da n da c c u r a c yo fi n t r u s i o nd e t e c t i o n , t h ep a p e rp r e s e n t st h ei d e ao f a n a l y z i n ga p p l i c a t i o np r o t o c o lf r o mt h ev i e w p o i n t t t o fs h o r t e n i n gl o a dl e n g t h ,t h u si td e c r e a s e st h ed e t e c t i o nb u r d e n ,a n de n h a n c e s d e t e c t i o na c c u r a c y t h ep a p e rc o n d u c t san u m b e ro f p e r f o r m a n c et e s t sw i t hs n o 髓u n d e rl i n u x o p e r a t i n gs y s t e m , a n dt h ee m p h a s i s i st ot e s tt h ep e r f o r m a n c e so ft h e e x c l u s i o n b a s e dm a t c h i n ga l g o r i t h ma n di m p r o v e dr u l el i b r a r y b ya n a l y z i n gt h e e x p e r i m e n t sr e s u l t s ,i tp r o v e st h a tt h er e s u l t sa r ec o i n c i d e n t a lt o t h et h e o r y b a s i c a l l y , m :d t h ep e r f o r m a n c eo fi n t r u s i o nd e t e c t i o ns y s t e mi si m p r o v e d e v i d e n t l y f o ri n t r u s i o nd e t e c t i o ns y s t e ma f t e ri m p r o v e m e m ,t h e r ea t es t i l ls o m e s h o r t a g e s ,s ot h ep a p e rp r o v i d e st h e f u t u r ew o r kf i n a l l y k 姆鞲9 穗s i n t r u s i o nd e t e c t i o n ;m i s u s e - b a s e di n t n m i o nd e t e c t i o n ;s t r i n g m a t c h i n ga l g o r i t h m ;r u l ei i b r 斛p r o t o c o la n a l y s i s ;s n o r t l i i 第1 章绪论 l 。1 网终安全檄述 第1 章绪论 计算机网络技术的普及,给人类社会的方方面面都带来了极其深远的 影响,极大地丰富了人们的日常生活。根据中国互联网信息中, 0 , ( c n n i c , c h i n ai m e m e tn e t w o r ki n f o r m a t i o nc e n t e r ) 发毒豹“第十六次中阉亘联网络发 袋状况统诗鞭告”鼹示:截止委今年6 弼3 0 号,我国上丽蠲户总数为l 。0 3 亿人,比去年同期增长1 8 4 ;上网计算机达到45 6 0 万台,比去年同期增 长了2 5 6 ;c n ( c h i n a ) 下注册的域名数和网站数分别达到6 2 2 万和6 7 7 万,其中域名数比半年前增长了1 9 万个【1 1 。 餐是任俺事物都熬骞两蕊性:一方藤网络在绘人类社会黪发震创造广 滔天圭| 垂,勇一方瑟纛为终恶者撬供了一个雯鞠後裁豹场t | 莠。攒荑重联邦调 焱局( f b i ,f e d e r a lb u r e a uo f i n v e s t i g a t i o n ) 的调鸯,美国每年豳为网络安全造 成的经济损失超过1 7 0 亿美元,在全球嘏围内每隔数秒就发嫩一起网络攻 击南件。据统计 2 】:信息窃贼在过去5 年中,以2 5 0 的速度增长,9 9 的 大公司都曾发生过大鹣入侵事件。世爨装名魄商监网蛄,魏y a h o o 、b a y 、 a m a , z o n 等餐营被熏豢入侵,遥残基大豹经滂损失,甚至连专门姨事露络安 全的网站都曾遭到过黑客的攻击。 在这种情况下,如何提高网络的安全憔和可靠性,保护信息资源的安 仝成为人们目前关心和研究的主要课题。网络安全是一个系统的概念,有 效匏安全策略或方爨鹣裁定是鄹络信息安全魏首要娶标。在嘲络安全的范 穗蠹,弼终并不是魏瀵豹霜络,它惫舍三个基本要素:数据、关系、女力。 其中数据是指在网络上传输的数据与端系统中的数据,从本赝上说这些电 子意义上的数据都是0 、1 比特的组合;关系是指通信各方之间的信赖关系, 这魁攻击者比较感兴趣的一个方面;能力包括网络系统的传输能力与端系 统靛处理能力。网终安全的意义就在于为以上三个要素提供僚护,保证这 l 燕出大学工学硕士攀佼论文 三者能够为所应为。相成地,网络安全包含以下三个基本方面口j : ( 1 ) 数据保护包括数据的机密性保护和完整性保护,主要针对数据窃 取、数据篡改等攻击,其蜷本手段包括加密和访问控制。 ( 2 ) 关系爨护霞掇巍狳鉴臻与安全圭| 囊建立、维砉审售赣关系,主要针对 潮络蹇份冒充、连接裁取等攻击,基本的手羧售括糖密与秘议瓣安全设计。 ( 3 ) 能力保护包括对网络系统的传输功能与端系统的她溅功能的保 护,主要针对拒绝服务、远程权力获取等攻幽。 一个网络安全系统虑该满足用户系统的保密性、完整性及可用性要求, 设诗安全播藏来防范寒缀授投访闽系统豹资源霹数据,是当裁阏终安全领 域豹一个十分重要嚣遗甥靛阖逶【4 】。 传统的安全技术鼠然可以在一定程度上有效地防范外来敬潦者的破坏 行为,但它们对于授权用户滥用权限的行为却无能为力。虽然w 以通过防 火域的包过滤、应用层网关及虚拟网技术爿乏防止许多诸如协议漏洞、源路 出、溉蛙仿冒等多种玻囊手段,但它却不麓辩付层出不穷的成腿系统设计 上戆缺陪帮逶过魏密遴遴掰进行兹攻击。谶建仗逶过谤运控麓技术秘茨火 墙技术是远远不够的,需要一种及时发现并撮告系统非授权访闯藏异常现 象的技术,即入侵检测( i d ,i n t r u s i o nd e t e c t i o n ) n o 1 2 入侵检测技术发展现状 入侵检测是检测和谈剐针对计算机系绫和网络系统,或者受广泛意义 上的信息系统的非法攻搬,或者违反安全娥略事件的过程。宦从计算机系 统或潜网络环境中采集数据、分析数据、发现可疑攻击行为或者异常事件, 并聚敷一定的响应措施拱截攻击行为,降低霹能救损失。作为一羊孛重要敢 安全茨护王其,入覆狻溅瓣 笮震亵蘧谴毫缀越过了茨突壤,簸莱糖意义上 说怒防火墙的补充,帮助系统对付网络攻前。它扩展了系统警瑷员的安全 管理能力( 包括安全审计、监视、进攻识别和响应) ,提高了信息蜜众基础结 构的究蹙性。入侵检测被认为是防火墙之厝的第二道安全闸门,在不影响 网终睫能戆情况下能对网络遘行簸测,扶嚣鼹供对内部攻击、夕 部攻击秘 2 燕1 章绪论 误搽俸的实时保护。入侵稔测近年来已经弓l 藤了国内外大援学纛的关注, 新的枪测技术不断提出,下面对入侵检测技术的发展现状加以阐述。 1 2 1 误用检测技术 诿掰检n ( m i s u s ed e t e c t i o n ) 是对己氟入侵援零进行收集,建立知识库, 通过对其查找来判断当前行为是否是入侵【6 ,7 】。误用检测系统首先对标识特 定入侵的行为模式进行编码,建立入侵模式库,然后对实际检测过程中得 到的审计事件数据进行过滤,检查是否包含入侵行为的标识。这种方法由 于蔹撰凝传特征疼进行剿繇,掰珏硷测准确度缀麓,著且因为捡溅缝粟有 瑟确的参照,也为系统管瑷员敲击响应掊麓撬侠了方便。其难患猩予妇侮 设计模式,使之既能够表达“入侵”现象又不会将芷常的活动包含谶来。 谡用检测的缺陷在于只能检测到已知的攻击,当出现针对新漏洞的攻 击手段躐针对旧漏洞的新攻击方式时,需要由人工或者其它机器学习系统 首先褥如鼗攻击熬特征模式,然磊霉添热到入经模式痒孛,方麓锼系统其 备检测耨攻击手段的驻力。下蠢夯绍死释诿弼稔测静实瑷方法: ( 1 ) 专家系统将过去的入侵、已知系统漏洞和安全方针进行编码,形 成i f - t h e n 的格式,在进行儒息收集时,专家系统根据知识库中的内容对检 测数据进行评估,判断是否存在入侵行为f 8 】。专家系统被许多经典的检测模 型所采羯,键翔i d e s l 9 、n i d e s t l 。】、e m e r a l d p l l 。 ( 2 ) 键蠢驻控查看秘诞录计算穰蔫户的镳纛输入戳及诗算概谯交互式 会话中的响应。 ( 3 ) 撼于模式已知入侵被模式化为用户行为的序列,这些行为然后被 模型化为在一个审计踪迹中的事件,入侵检测系统对在审计踪迹中的用户 季亍为避括谈割。 ( 毒) 状态转换分耨震状态转换表来表示令诗算税系统,入餐誊黪行 为可以厢图形表示。在状态转换分析中,入侵被看作是由一些初贻行为向 目标商密行为转换的行为序列,状态转换分析淡确定需求和渗透的危害, 同时也列出了成功完成一个入侵必然发生的关键行为【1 2 。k u m a r 等人设计 3 燕山大学工学硕士学位论文 的基于着色p e t r i 网的入侵检测技术就是对状态转换方法的改进【l ”。 ( 5 ) 模式匹配将已知的入侵信号量编码成为匹配审计数据的模式,进 入的事件与代表入侵的模式进行匹配。目前大多数商业化的入侵检测产品 都采用简单模式匹配( p a t t e r nm a t c h i n g ) 。著名的网络入侵检测工具s n o r t ! ”】 就采用了这种检测方式,使用简单模式匹配的入侵检测系统还有b r o ”】。 作为对简单模式匹配方法的改进,g r a h a m t ”l 使用协议分析技术提高了 检测的速度并降低了误警率。对于一个网络入侵检测系统来说,协议分析 主要有三方面的作用:为检测引擎提供输入,提高检测的有效性,提高检 测的效率【i 。”。将协议分析和模式匹配结合在一起,各有侧重。基于协议分 析的检测方法侧重于应用层的检测,而基于模式匹配的检测方法侧重于网 络层和传输层的检测。 1 2 2 异常检测技术 异常检测( a n o m a l yd e t e c t i o n ) 首先总结正常操作应该具有的特征( 用户 轮廓) ,建立一个关于系统正常活动的状态模型并不断进行更新,然后将用 户当前的活动情况与这个正常模型进行对比,如果差异程度超过设定的域 值,则报告发现了非法攻击行为【1 8 】。 异常检测的关键问题在于正常使用模式( n o r m a lu s a g ep r o f i l e ) 的建立 以及如何利用该模式对当前的系统用户行为进行比较,从而判断出与正常 模式的偏离程度。但由于不可能对整个系统内的所有用户行为进行全面的 描述,而且每个用户的行为是经常改变的,所以它的主要缺陷在于误警率 高,尤其在用户数目众多,或工作方式经常改变的环境中。下面介绍几种 异常检测的实现方法: ( 1 ) 统计学方法通过一段时间内收集的合法用户行为的相关数据来定 义正常的或者期待的行为,然后对观测的数据进行统计测试来确定行为的 合法性。基于统计分析的方法优势在于维护的方便,不像误用检测系统那 样需要对规则库不断地更新和维护。但是,如何准确地确定合适的门限值, 是统计分析面临的棘手问题。统计分析是最早出现的异常检测技术,应用 4 第1 章绪论 此技术的入侵检测系统包括:e m e r a l d 、i d e s 、n i d e s 。 ( 2 1 预言模式的生成对未来事件在已经发生事件的基础上进行预言, 入侵检测系统产生规则来定义某个事件发生的可能性,规则包括以下两个 方面:一方面定义已经发生的事件,另一方面提供跟随前面定义的事件发 生特定事件的可能性。如果发生的事件与某个规则中已经发生的事件相匹 配,当随后的行为不符合规则中随后发生的特定事件时,则可以将其看作 是一个入侵行为。 ( 3 ) 神经网络系统学习在特定用户的先前命令序列的基础上预言后面 的命令。建立一个神经网络( n e u r a ln e t w o r k ) 需要经历三个阶段:第一阶段, 通过某个特定时期的每个用户的审计日志来收集训练数据,每天为每个用 户建立一个向量来显示该用户执行每个命令的频率;第二阶段,对神经网 络进行训f 练,在命令分布向量的基础上识别用户;第三阶段,如果网络认 为不是适当的用户,则报告异常 1 9 , 2 0 1 。n n i d s 是典型的使用神经网络技术 的入侵检测系统。 ( 4 ) 序列匹配和学习这是种异常检测的机器学习方法,前提是假设 用户对相似情况的响应是可以预知的。通过建立用户统计,在某个特定用 户的典型序列不一致时可以区别有效用户和伪装者。 1 2 3 智能检测技术 近期研究人员提出了一些入侵检测的方法,这些方法不能简单地归类 为误用检测或者异常检测,而是提供了一种有别于传统入侵检测视角的技 术层次,这些技术包括免疫系统方法、遗传算法、数据挖掘、基于代理( a g e n t ) 检测和数据融合等,它们提供了更具普遍意义的分析技术,无论是应用在 误用检测还是异常检测上,都可以得到很好的效果。 ( 1 ) 免疫系统方法n e wm e x i c o 大学的研究者首先将生物免疫机制引 入到计算机系统的安全保护框架中,提出了对计算机安全的全新看法,即 免疫系统叫。】。这种系统具备执行“自我月 我”决定的能力,按两个阶段 对入侵进行分析处理:第一阶段建立一个正常行为特征轮廓的知识库,这 e 燕出大学 二学颈士学霞论文 里描述的行为是以系统处理为中心的,与这个特征轮廓的偏差被定义为异 常;在检测系统的第= 个阶段,特征轮廓用于监控随后的异常系统行为【2 ”。 ( 2 1 遗传算法它弓 入了达尔文在进化论中提出的自然选择的概念对系 绕遴行魏纯。检测处瑷纛捶为事终数据定义馁鼗囱量,自量攘示一次入侵 或磐不是一次入侵;然爝溺试缀设是否菠确,并基于溅试结象尽力设计一 个改进的假设,重复这个处理直至达到令人满意的结果为t k f 2 5 , 2 6 1 。 ( 3 ) 数据挖掘美圈哥伦比亚大学的w e n k el e e 提出了将数据挖掘( d a t a m i n i n g ) 技术应用到入侵检测中。数据挖掘怒揩从大量实体数据中抽出模型 的处理,透过对嚼终数攘秘主提系统调鼹豹分撰挖掘,发现谈蟋检测裁剐 或者暴常检灏模登 2 7 1 ,这耱方法在入侵捡测领域有穰簿匏蘸荣。m a d a m i d 就怒貉于数据挖掘技术的入侵检测系统。 ( 4 ) 基于代理的检测基于代理( a g e n t ) 的检测方法就是一个谯主机上执 行巢种安全监控功能的软件实体。它们自动逡行,仅由操作系统控制。一 个代璎可以禳篱单,瞧可戮缀复杂。基予代理酶入侵检测系绫熊够提供吴 常稔溅鞠误瑶裣溅豹混合缝力。a a f i d 是魏整豹采瑶鑫动霞毽教零豹入侵 检测系统,e m e r a l d 怒使用分布式代理方法的入侵检测系统。 ( 5 ) 数据融合在入侵检测领域数据融合( d a t af u s i o n ) 是指采用多种分 析和检测机制,针对系统中不同的安全信恩谶行分析,并把它们的结果进 行融合和决策【2 舶。数攥黻会技术主要是孵狭入侵检溅系统的懿端多数据源 浆激会趣蘧,挺毫捡溺系统豹入侵谖裂效熊霸准确往,簿羝谟缀搴。数据 融合在技术系统中的逡阁要求采用数学和扁缴式技术,涉及多个学科领域, 如缀计学、运筹学、模式识别、认知心理学、信息论和决策论簿等。 1 3 入侵检测技术的不足及发震方向 入侵检测技术的发展已有很长的历史,并且很早就在实际中取得了成 功的膨用。在国外,入侵检测技术的发展如间病毒检测技术一样,许多检 测手段都已变得很成熟。国内近些年来,网络技术飞速发展,饭网络安全 的阏鼷却没有褥到足够躲熏褪。槌对于美圜簿国家,入侵检测技术在国内 6 繁t 章缝嬷 才刚刚起步,虽然出现了“天阗”、“天眼”、“冰之眼”等网络入侵检测系 统,毽建骚究遥不够。入侵裣灏技零主簧存在懿海题有良下冗个方瑟: 1 3 。l 入侵捻测系绫泅的协同闼越 近年来,入侵技术无论是默援模主逐是姣方法上帮发生了缀大懿变讫, 主要表现在入侵的综合化和复杂化、入侵主体对象的间接化、入侵规则的 扩大他、攻击对象豹转移、入侵技术黪分毒诧等等。露传绞懿入镘捡溅技 术一般针对某一主机类溅或网络结构,不同的入侵检测系统间缺乏协湖工 董搴能力。强蓥复杂的网络系统缨槐,广泛采弱瓣分毒式瘦用嚣辘,海燮存 储和高带宽的传输技术,都使得集中式的入侵稔测越来越不能满足系统需 求。困藏入侵捻测技术擞在朝蓑大援模入侵捻测及多屡次入侵捻测等复杂 入侵分析方向发展。 1 3 2 检测加密数据的攻击问题 目前大多数入侵检测系统都是基于网络的入侵检测系统。但是基于网 终的入侵检测系统不能处理加爨屠的数掇,如祭数据在黄输中被加密,鄹 使只是简单的替换,基于网络的入侵梭测系统也难以处理【2 9 】。例如采用 s s h 、h t t p s 、媾密码的压缩文件等手段,都可以有效地防止网络入侵检 测系统的检测。此外,对于虚拟专用网( v p n ,v i r t u a lp r i v a t en e t w o r k ) ,入侵 检测系统也显得力不从心。 1 3 。3 漏报率鞫误报率的问题 评价一个入侵检测系统最鬻爝的指标是误报率羁潺搬率。歪磷地捻溅 入侵,减少误撤是入侵检测正确性的问题;最大限度地梭测入侵,防止漏 擐是入侵检测蛉宠备性阍题。其窍嶷好鹃正确瞧与较大宠冬性娥终是入侵 检测技术的追求目标。鼓然误用检测准确率高,但是却不能检测未知攻击, 7 燕由大学工学硕士学位论文 并殿规则库需要定期更新,维护工作量大;异常检测能够检测未知攻击, 但魑漏报率高。目前绝大多数入侵检测的商业产品都是采用误用检测方法, 很少有产品能将主要检测入侵的方法构架在器常检测上。因此,有效实用、 误嘏褰低的吴零检测产鹣还煮德于遘一步磺究。 1 4 本文研究的主要内容 入侵技术的发展与避化以及网络带宽的不断增加,对入侵梭测系统提 窭了毅的援战。本文夏蠢究鼹主要内容是默隧低串匹配型天侵羧测系统的误 报率、漏缀率,疆高羧溯效率为嚣静,撬磁了三静改送方案。静先提出了 一种基于排除的串匹配算法,该算法能快逋而准确地排除负载中不包含匹 配模式串的数据包,因而提高了检测的效率;其次,通过优化特征规则的 分类标准和规则链表的结构,从而对规则库的结构进行了改进,减少了内 存占蠢璧帮检测对闻;激器从缩短数据包待测爱载长度的角泼考虑,提出 了液惩层诱谖劳褥懿戆想,该愚憨麓够降低系统检嚣豹受撰,麸瑟提高了 检测效率,增加了检测的准确性。 本文章节安排如下: 第1 章主要分析了计薄机网络系统的安企性,叙述了入侵梭测技术的 发鼹现状霸垦兹存在豹不足,著指出本文的主要内容和结构。 笫2 章主要瑟入侵梭溺系统终了整体瓣分缓,包捂入侵捡溺系统静分 类、工作原理以及将来的发展方向。 第3 章主要对轻量级网络入侵检测系统s n o r t 进行了分析,包括它的特 点、舰则、工作原理和系统构架。 篱4 章首先分辑了几释经典的模式匿辩葵法静愚想、适熙蕊围翻各基 斡德姣焘,熬器重纛窖鏊逐了零文嚣提塞戆蒸予捧除豹率篷配算法,包括算 法的思想、实现和性熊分析。 第5 章首先介绍了s n o r t 原来的规则划分标准、快速规则噬酉已引擎的构 造原理以及涉及到的主要数据结构,然后介绍了s n o r t 快速检测的原理,最 后黧点分绍了规则划分栋准和规煲i 链表结构的改进方案。 翌 第l 章绪论 第6 章介绍了本课题所做的相关实验,并对实验结果进行了透彻地分 析。首先,介绍了实验平台的搭建,其中包括实验环境、数据集的获取以 及本文所提出的算法在s n o r t 中的实现;然后介绍了算法性能测试实骏,包 括最佳元素大小的测试、不同数据集的测试和不同大小规则集的测试;嫩 后测试了改进后的规贝u 库结构的合理性。 最后楚全文总结和今后的研究方向。 9 燕l 【j 大学工学硕士学位论文 第2 章入侵检测系统概述 2 1 入侵检测系统的定义 入侵( i n t r u s i o n ) 指的是试图破坏计算机保密性、完整性、可用性或可控 性的一系列活动 3 0 , 3 1 。入侵检测娥对于面向计算资源和网络资源的恶意行 为的滚剐帮响应p 。入侵裣溺系统( i d s ,i n t r u s i o n d e t e c t i o n s y s t e m ) 就是实现 入侵检测功能的款l 牛、硬l 牛豹组合。橡对于藏取封锬、过滤等被动防獭撰 施的防火墙而言,入侵检测系统能主动发现网络中正在进行的针对被保护 目标的恶意危害,并做出反应,如提示报警、阻断连接、通知网管等等。 困毙入侵检测系绞被谈菇慧继貔火墙之后懿保护计算梳系统豹第二遘耱 线,是防火墙的很好补充。 2 。2 入侵检测系统的龄类 戮嚣藏秀止,泰场主瑟缫骞稷多穆入餐稔溅系统。羧器罄隈患煞不阂, 可戡将入侵检溺系统谶行不潮的分类。 2 2 1 根据数据源分类 投瓣数攥源戆不鬻,哥熬将入疆稔涎系统分为黻下嚣类: ( 1 ) 罄予主桃( h o s t b a s e d ) 戆入侵检测系统基于主楗蛉入侵检溅系统 通常从主机的审计记录和日港文件中获驭所需的主要数据,并辅之以主机 上静蒺德信怠,稠螽文件赫襁、进程袄态和c p u 翻箱率簿,程诧蘩础上亮 藏检测玻舞牙必浆经务。 鏊予主黎懿灭侵羧灏够较受准确速篮潺誉l 发生莲圭掇系统蕊缮戆篮 1 0 第2 灌入侵检测系统概述 杂攻击行为,例如对文件系统所进行的具有潜在安全风险的访问操作序列、 对系统配置的修改以及应用稷序的异常运行情况等等。其中许多发生在应 用进程级别的攻击行为是无法依靠基于网络的入侵检测来完成的。同时基 于主机的入侵检测系统也有若干驻而易见的缺点:首先,由于它严重依赖 于特定的操作系统平臼,所以对不同的平台系统而言,它是无法移植的; 其次,它在所保护主机上运行,将影响到宿主机的运行性能,特别是宿主 机为服务器的情况;另外它缺乏对数据包的分析,因此对于一些诸如拒绝 服务攻击、i p 碎片攻击等在网络环境下发生的大量攻击行为不能做出及时 的反应【3 弱。 觚技术发展的历程来肴,入侵检测是从主机审计的基础上开始发展的, 困而旱期的入侵裣澳4 系统都是基于主视的入侵检溯技术。 ( 2 ) 基于网络( n e t w o r k - b a s e d ) 的入侵检澜系统基于网络的入侵检测通 过益昕网络中的数据包来获得必要的数据源,并邋过协议分祈、特征匹配、 统计分析等手段发现当前发生盼玫击行为。 基于两络的入侵稳溯系统缆够实时益控网络中的数据流量,并发现潜 在的攻击行为藕傲出邋速的稿应。另井它分柝的怒两络协议,通常而言蔻 标准纯的,独立予主机操作系统类鍪,国诧移植髓好。同时它的运行不影 桶主梳或镕餮务器的自身运行,鞫为它采取独立主枫和被动溢昕的工作模式。 基于溺络的入侵检测最大的不是之楚是茏法分析糯密静数据信息。舅 井,终统的共李式丽络中瀚嗅探器数据采集方式在交换瘸络串实现毯:较戳 难,焉置瑟对未来百羯、干魏潋上速度的离邃溺络,藿予瓣络的入侵检溺 系统无法实薅采集列所有的数据毯。 2 2 2 栈据数据分析手段分类 苁数据分新手段来看,入侵稔溅系统遴常可戳分为两类:误糟入侵检 测系统帮异常入侵检测系统5 3 书。 ( 1 ) 误翔入侵检测系统误霜入侵梭溺豹技术鍪磕是分析各种类垄的攻 击手段,并我潞可能韵攻击特征集合,利翊这些特征集合或者建对应的瓶 l l 燕由大学王学硕士学位涂文 则集合,对当前的数据源进行各种处理,再进行特征匹配或者规则匹配工 l 乍,如果发现满足象件的匹配,则指示发生了一次攻击行为。 f 2 ) 雾鬻入 量检测系统翼鬻入 受检溺戆缀没条箨是对羧蠢季亍为嚣硷溺 可以通过观察当前活动与系统历史正常活动情况之间的差异来实现。异常 检测通常都会建立一个关于系统正常活动的状态模型并不断进行更新,然 后将爝户当兹兹活动l 盎况与这个正零模型进行瓣爨,如票茇爨程度超过了 设定的阚值,刚指示发现了菲法玻击行为】。 比较而言,误用入侵检测比界常入侵检测具备更好的确定解释能力, 即明确撵示当前发生的攻击手段类型,因而在诸多商用系统中褥到广泛成 矮。勇一方委,诿麓入餐捡溺翼备较蔫静裣浏搴窝较低弱攥警率,开发麓 则库和特征集合相对于建立系统正常模型而吉,也要更方便、更容易。误 用检测的主要缺点猩于一般只能检测到已知的攻击模式,模式库只有不断 更颏才麓捡溅到赣的攻壹方法。溪舅零检溅弱馕点是哥戬捻溅裂未知黪攻 击行为,尽管无法鞠确指示是何种类型。 从现有的实际系统来看,大多数都是基于误用入侵检测技术,这也殷 映了市场和用户的浆秘对确定性功能敕心理需求。不过,程装干优秀的入 侵检溺系统中,氇采翅了不露形式静异常入侵硷弱技术帮对癍的模块。在 可预见的未来,从最终的需求来稽,联合使用送两种技术势在必行【3 “。 2 。2 。3 摄据晌应方式分类 根据入侵检测系统对入侵攻击响应方式的不同可将入侵检测系统分为 主动入侵捡溅系绞帮被动入侵捡溅系统。 ( 1 ) 主动入侵检测系统主动入侵检测系统在检测出入疆焉,可自动对 目标系统中的漏洞采取修补、强制可疑用户( 可能的入侵者) 退出系统以及关 闭相关服务等对策和响应措施。 ( 2 ) 被动入侵检测系统被动入经检测系统在梭浏出对系统懿攻击螽只 是产生搬警信息通知系统安全管瑷员,至于之厢的处理工作则由系统管理 员完成。 1 2 第2 章入侵检测系统概述 2 2 4 根据系统模块分布方式分类 禳掭系统各个模块逶行的分窃方式不同,可将入侵检溅系统分为集中 式入侵检测系统和分布式入侵检测系统 3 7 , 3 8 1 。 ( 1 ) 集中式入侵检测系统即系统的各个模块包括数据的收集与分析以 及翡壅都鬃孛在一台主瓿上运行,遮释集孛式分布方式逶弱予溺络环凌魄 较简单的情况。 ( 2 ) 分布式入侵检测系统即系统的各个模块分布在网络中不同计算机 上,一般采瀵分布蛙主癸体现在数据段集模块上,麴莱网络环麓 0 较复杂、 数据量眈较大,那么数据分析模块识会采取分布方式,一般是按照层次性 的原则进行组织。 另外,根据时效性的不同,入侵检测系统可分为实时入侵捻测系统、 应实跨入 受检溅系统移津实靖久餐稔溯系统。霹。 2 3 入侵检测系统的系统结构 入侵枪测系统通常包括三个模块:数据提取模块、数据分析模块和结 果处理模块。 銎2 - 1 给窭了一个遴遐豹入侵捡测系统结构。 圈2 - 1 通用入侵检测系统结构 f i g 2 - 1c o m m o ni n t r u s i o nd e t e c t i o ns y s t e mf r a m e w o r k 数据褥取模块的俸塌在于为系统撵供数据,数据的来源可戬是主枫上 的日志信息、变动信息,也可以是网络上的数据信息,甚至是流量变化等。 数据提取模块在获得数据之后,需要对数据进行简单的处理,如简单的过 1 3 燕山大学工学硕士学位论文 滤、数据格式的标准化镣,然后将经过处理的数据提交给数据分机模块。 数据分辑模块懿馋瓣在于对数据进行深入遗分辑,发瑷竣壹并显壤撂 分辨的结采产生事 字,然后籍事件传递给绪采处理模块。该模块是入侵检 测系统的核心。 结果处理模块的作用在于当系统发现攻击之后,进行相成的反应。 2 。4 入侵检测系统的发展趋势 高速网络、交换技术的发展以及通过加密信道的数据通信,使得通过 共鬻网段侦听的网络数据采集方法显得不熙,而大量的通信量对数据分析 也提出了新的要求。同时随着入侵检测技术的发展,黑客组织融经将如何 绕道i d s 或者攻击i d s 豫为磺究重点。因懿入侵捡测将瑟强簧鞭豹援战, 下疆深童寸入侵检溺系统豹发震趋势。 ( 1 ) 基于硬件的入侵梭测系统对于高遴大流量的网络,特别是对g 虹匹 级的高速网络,研究如何提高i d s 处理海擞数据的能力势在必行。目前, 通常有两种做法: 一是采焉智能受载均衡器( 基于芯片) ,葵蒺本工终耳标是把褒翦蠛攘获 鹣lg - 1 0g b p s 戆鼗瓣浚遴行分滚至1 0 0m b ,醣翻予嚣端豹 蔻遮i d s 送行 处理。由于后端i d s 处理能力各不相同,阁此如何分流是智能负载均衡器 的必键技术,这种产品目前已经存在。 二是采用基于a s i c 的解决方案,配合糊应软件来实现对离遴网络的复 杂稔浏。该技术嚣耧黪黢大惩遂是i d s 强缀不鼗快速舞级,露a s l c 芯片 龆燹滚抉速更薪。豫了程舞速大流量两络审采翅基于a s i c 豹i d s 井,籍 现裔的i d s 做成硬件放刻机架上,也可强昝易地将i d s 嵌入附络。 ( 2 ) 分布式入侵检测系统随着网络安众南件的不断增加和网络入侵手 法的多样化,传统的入侵梭测系统一般局限予单一的主机或网络架梅,对 舅梅系统及大规模隧络懿检溅明显不足,闲l l 雩不同鲍入侵检测系统之阕不 憝秘溺工终。夫髓遥韬嚣要各静i d s 毙够协麓工终,霞势共事,姣臻互李 , 组成一种全新的分布式i d s ,从而能够组合各种检测攻击的信息,更精确地 1 4 第2 章入侵检测系统概述 识别和定位攻击行为。 c i d f ( c o m m o ni n t r u s i o nd e t e c t i o nf r a m e w o r k ) ,即通用入侵检测框架, 怒构架分布式i d s 的熬础。它要求各种i d s 必须遵循相同的储息表达方式 窝耀应鲍逶薅机铡。c i d f 款主要作用在于继零各耱i d s 使之协阕工作,实 瓒器i d s 之霹豹组件熬翔。 在分布式入侵检测系统中,一个关键问题是能否利用多个检测点的检 测信息进行信息融合,形成有效的“协同枪测”。由于需要处理的审计信息 来融各种不同的操作系统,因而格式可能不同,这就要在被监视的主机上 蕊遁过本地通信接口健瑗,格式化信息。撩式纯信息有一个阉题就是如俺 獭采蠢不蠢方嚣懿悠慧融合爨一莛,鸯关数据融台静麓嚣涉及澍统诗学、 人工智能、模式识别、抉策理论等。 ( 3 ) 智能化入侵检测技术对未知攻击的检测是对计算机能力的一个挑 战。使用智能化的方法与手段来进行入侵梭测,赋予了i d s 识别未知攻击 懿力。所谓的智仡方法一。】,现阶段髻臻的毒神经网络、遗传冀法、模 赣接零、免疫嚣毽等方法,这些方法鬻麓予久爱特薤戆辫谈与泛纯。爨矮 专家系统的思想来枸娥入侵检测系统也鼹常用的方法之一。特别是具有自 学习能力的专家系统,实现了知识库的不断升级与扩展,使设计的入侵检 测系统防范能力不断增强,具有更广泛的废用前景。 ( 4 ) 基于操作系统痰援毂入侵检测系绫俸菇震户进程送行戆i d s ,依 羧予搽终系统( o s ,o p e r a t i n gs y s t e m ) 疯滋援供豹系统逶弱采粼会实现,两 o s 核心往往处于入侵糟操纵之中。例如r o o t k i t 中的l k m 就利用现代操作 系统的模块技术,作为内核的一部分运行,这种r o o t k i t 比传统技术更加强 大,更加不易被发觉。一旦被安装运行到目标机器上,系统就会完全被控 傣l 程黑客手中。因此,寒来懿i d s 应该蠢基于核心的安全橇秘楣配合。 k s e c ( 用于b s 蚤) 窝k s t a t ( j 毳予l i n u x ) 怒瘸子对内核模浃遴行埝测,潮甄 鼹否有入侵发生的工舆。入侵侦查系统( l i d s ,l i n u xi n t r u s i o nd e t e c t i o n s y s t e m ) 是l i n u x 内核补丁和系统管理员工鼹,它在内核中实现了参考监听 模斌以及命令进入控制模式,提供了保护、侦察、响应的功能,从而使l i n u x 系统内核中的安全模式褥以实现。 1 5 燕由大学二学联士学燕论文 ( 5 ) a 侵响应技术和入侵取证技术当i d s 分析出入僚行为戡可疑现象 屠,系绞霭要采取提应手段,婚入侵造藏躲损失溪低至l 爱,、理发。一般_ 露 以通过生成事件告警、e m a i l 或短信息来通知管理员等。随着网络的日益复 杂期安全要求鲍掇囊,爨舷实时敬褒系绫霆动入侵喻应方法正遂濒被磅突 和应用。这类入侵响应大致分为三类:系统保护、动态策略和攻击对抗【4 ”。 这三方嚣毒属于隧终对抗瓣范畴,系统保护鼓减少入侵授失为髫憋,动态 策略以提高系统安全性为职责,而入侵对抗不仅可以实时保护系统,还可 以实现入侵跟踪和反入侵的主动爨御策略。 ( 6 ) 基于协议分析的入侵检测系统协议分析是新一代i d s 探测攻击手 法的主要技术,它利用网络协议的高速嫂则性快速探测攻浅的存在f 4 。协 议分析技术的优势在于利用己知结构的通信协议,对不同的高层协议,如 远程登录协议( t e l n e t ) 、文传传输协议( f t p , f i l et r a n s f e rp r o t o c 0 1 ) 、超文本传 输协议( h t t p , h y p e rt e x tt r a n s f e rp r o t o c 0 1 ) 、简单邮件传输协议( s m t p , s i m p l em e s s a g et r a n s f e rp r o t o c 0 1 ) 、简单网络蛰理协议( s n m p , s i m p l e n e t w o r km a n a g ep r o t o c 0 1 ) 和域名服务器( d n s ,d o m a i nn a m es e r v e r ) 等的用 户命令进行详细的分析。它具
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2026投放垃圾面试题目及答案
- 超重肥胖女性孕前管理指南2026
- 大型会议活动场地踩踏初期控制供活动主办方预案
- 2026年沪教版适配高一生物暑假衔接卷生命活动调节与遗传标准试卷第106套(含答案解析与可打印作答区)
- 2026年连云港市连云区事业编单位人员招聘笔试参考试题及答案详解
- 2026年石家庄市桥东区网格员招聘笔试参考试题及答案详解
- 远离不实消息护航健康成长小学主题班会课件
- 感恩故事我会讲慈孝美德手中传-小学主题班会课件
- 2026年湖北省咸宁市社区工作者招聘笔试模拟试题及答案详解
- 2026年四川省网格员招聘笔试参考题库及答案详解
- 2026年工会劳动法律监督员考试题及答案
- 2026年中小学心理健康教育教师考试试题及答案
- 2026年社区专职工作者考试试题附参考答案
- 2026年飞控系统测试题及答案
- 2026年广东省公需课《人工智能赋能高质量发展》试题及答案
- 2026年全国普通高等学校招生全国统一考试数学试卷(全国一卷)(含答案)
- 三升四数学暑假衔接作业完整版 统编版小学三年级升四年级每日一练(可打印)
- 2026年秋新教材人教版九年级上册英语Unit 1-8单词背记表
- 万有引力定律【教学课件】 2025-2026学年高一下学期物理人教版必修第二册
- 2026年江苏苏州园区初三化学一模调研试题含答案
- 公共组织财务管理(第三版)
评论
0/150
提交评论