（计算机应用技术专业论文）校园网环境下入侵检测系统的研究与实现.pdf

摘要 随着计算机网络和应用的迅速发展，特别是电子银行、电子商务的兴起，网 络安全问题也日益突出起来。同样，校园网的网络安全也是当前各高校面临的一 个主要问题，从事该项研究具有重要的理论意义和广泛的应用前景。 文章分析了大多数校园网在安全方面所采用的架构，也就是采用基于 i p t a b l e s 包过滤和s q u i d + s o c k s 代理服务器的防火墙体系结构，但很少有校园网部 署和实现入侵检测系统( i d s ) 。作为种非常重要的网络安全技术，i d s 是防火 墙的重要补充，其基本功能是监视内部网络的流量，并对识别到的重要攻击特征 或异常行为进行警报，监视来自内部网络的对防火墙和其它主机的攻击，但是 i d s 不能代替防火墙。 文章提出了在使用基于开放源代码软件的校园网环境中使用防火墙+ 入侵检 测系统的校园网网络安全策略，并用著名的网络入侵检测系统s n o r tn i d s 加以实 现。s n o r t 具有实时数据流量分析和日志网络数据包的能力，能够进行协议分析， 对内容进行搜索和匹配，能够检测各种不同的攻击方式并对攻击进行实时警报。 s n o n 网络入侵检测系统是一个非常特殊的基于字符串匹配技术的应用，在 校园网这样的高速网络环境中对它的实时模式匹配能力有很高的要求，如果i d s 检测速度跟不上网络数据的传输速度，那么检测系统就会漏掉其中的部分数据 包，从而影响系统的准确性和有效性，甚至会造成对网络系统的d o s 攻击，因而 在i d s 中模式匹配算法的性能严重影响i d s 的性能。文章的主要目的是改进s n o r t 入侵检测系统中的模式匹配算法，提高s n o r t 入侵检测速度，减少对系统资源的 占用，提高其安全性和准确度。 模式匹配算法已经被广泛地加以研究，s n o n 入侵检测系统使用a h o c o m s i c k 多模式匹配算法该算法基于确定有限自动机d f a ，它的特点是对状态转换矩 阵的存储会占用大量的存储器空间，但该算法执行速度快和能同时对多个模式进 行匹配，并且性能不受模式集中模式串长度大小的影响，在最坏情况和一般情况 下具有相同的性能，因而对i d s 来说具有很强的健壮性。为了优化a j l o c o r a s i c k 算法，文章中研究了几种稀疏矩阵和稀疏向量的存储方式，提出了使用 b a n d e d r o w 存储格式对a j l o c o r a s i c k 算法中的状态表进行优化，给出了优化算 法，该优化算法减少了对内存的需求，在大模式集的情况下，极大地改进了性能。 最后给出了标准的a c 算法、基于完全矩阵存储的a c 算法和基于b a n d e d r o w 存储格式的a c 算法分别在s n o n 下执行时的性能、存储要求、速度方面的比较。 本文的主要工作和特色： 1 提出了防火墙+ 入侵检测系统的校园网网络安全策略并使用基于开放 源代码的软件加以实现； 2 研究了入侵检测系统和模式匹配算法； 3 分析了几种稀疏矩阵和稀疏向量的存储方式； 4 提出了用一种稀疏存储格式来优化s n o nd s 中的a h o - c o r a s i c k 模式匹 配算法，给出了使用不同稀疏存储格式的a c 算法在s n o n 中的性能测 试结果； 关键词： 网络安全入侵检测 模式匹配b a i l d e d r o w 存储a h o c o r a s i c k 算法 a b s t r a c t w i t h 血er a p i dd e v e l o p m e n to fc o m p u t e rn e t w o r ka n di t sa p p l i c a t i o n s ，e s p e c i a l l y t h ee x t e n s i v eu s eo fe l e c t r o n i cb a n ka n de l e c t r o n i cc o m m e r c e ，n e t w o r ks e c u r i t y b e c o m e sam o r ea i l dm o r ei m p o r t a n ti s s u e a tt h es a m et i m e ，t h es e c u r i t yo fc a m p u s n e m o r ki sa l s oa i li n c r e a s i i l g l yh i g h l i g h t e dp r o b l e mc o n f r o n t i n gw i i hm o s tu n i v e r s i t y ， r e s e a r c ho ns e c u r i t yo fc a m p u sn e t w o r kh a sat h e o r e t i c a ls i g n i f i c a n c ea n da n e x t e n s i v ea p p l i c a t i o nf o r e g r o u n d t h et h e s i sa n a l y s e sg e n e r a ln e t w o r ks e c u r i t ya r c h i t e c t u r eo ft h ec 栅p u sn e t w o r k ， w h i c h i st h ef i r e w a l l a r c h i t e c t u r eo f i p t a b l e s b a s e dp a c k e t f i l t e ra n d s q u i d & s o c k s b a s e dp r o x ys e r v e li ng e n e r a l ，c a m p u sn e t w o r k i sr a r e l ye q u i p p e dw i t h i i l t n l s i o nd e t e c t i o ns y s t e m ( i d s ) 舢ak i n do fs i g l l i f i c a n tn e t 、v o r ks e c u r i t yt e c h n i q u e ， i d si sa i li m p o n a n tc o m p l e m e n to ff i f e w a l la l t h o u 曲i tc a n n o tt a k e 【h ep l a c eo f f i r e w a l l f u n d a m e n t a lf i l n c t i o n so fi d si n c l u d e ：m o n i t o r i n gt h et r a m co fi n t e r i o r n e 押o r k ，g i v i n ga na i 锄f o ra g g r c s s i v ef e a t u r eo ra b n o 订n a l i t yt h a tc a nb er e c o g l l i z e d ， p r e v e n t i n gf i r e w a l la n do t h e tm 鹪t e r s 台口ma t t a c k sc o m i n gf r o mi n t e r i o rn e t 、 ，o r k 日1 et h e s i sp r e s e n t san e t w o r ks e c i l r i t ys t r a t e g y ，w h i c hi sf o u n d e do n 丘r c w a l la 1 1 d i d s ，f o rc a m p u sn e t 、v o r kt h a ti sb a s e do 0 p e ns o u r c ec o d es o 矗w a r e t h es t r a t e g yi s i m p l e m e n t e dw i t ht h es u p p o r to fs n o r tn 口) s ，af 锄o u sn e t w o r k 抽t m s i o nd e t e c t i o n s y s t e m b c s i d e sa b i l i t i e st oa n a l y s e sn e t w o r kt r a 位ca n d t ol o gn 咖o r kd a t ap a c k a g c ， s n o nc a i la l s oi m p l e m e n tt h ea n a l y s i so fp m t o c 0 1 m o r c o v e r ，s i n c ei tc a i ls e a r c ha n d m a t c hb yc o n t e n t s ，s n o ni sa b l et 0c h e c ko u td i f f e r c n tt y p e so fa “a c ka n d 百v e r e a l t i m ea k 啪 s n o r tn i d sb e l o n g st oac l a s so fs p e c i a la p p l i c a t i o nw h i c hi sb a s e do ns t r i n g m a t c ht e c h n i q u e ，i tr e q u i r c st h ee x c e l l e n tp e r f o 册a n c eo fm er e a l 一t i m ep a t t e mm a t c h ， e s p e c i a l l yi nt h ec o n t e x to fc a m p u sn e t w o r k i ft h es p e e d0 fi 】) s si n s p e c t i o nc a n n o t k e e p su pw i t ht h a t0 fd a t at m n s m i s s i o n ，t h e ns o m ed a t ap a c k a g e sm a y b er u no u t ， w h i c hs o m e t i m e se v e nc a u s et h ed o sa t t a c k ，s oc o r r e c t n e s sa n de f ：e i c i e r l c yo ft h e s y s t e mi sa f f e c t e d 加ac o n s e q u e n c e ，t h ep e r f o r m a n c eo f i d si sb a d l yd e t e i l i n e d b y t h a to ft 1 1 e p a t t e mm a t c ha l g o r i c h m t h e t h e s i sm a i n l ya i m sa t i m p r o v i n gt h e p e 渤r m a n c eo ft h ep a t t e r nm a t c ha 1 9 0 r i t h mu s e di ni d s ，s p e e d i n 乎u pi n s p e c t i o no f t h es n o n ，i m p m v i n gs a f c t ya n dc o e c t n e s sa n dr e d u c i n gt h ec o s to fs y s t e mr e s o u r c e p a t t e mm a t c ha l g o r i t h mh a sb e e ne x t e n s i v e l ys t u d i e dr e c e n t l y s n o r ti d sr e l i e s h e a v i l yo n t h ea h o c o r a s i c ka l g o r i t h m ，w h i c h ， b a s e do nd e t e r 玎1 i n i s t i cf i n i t e a u t o m a t a ( d f a ) ，i sam u l t i p a t t e ms e a r c ha l g o r i t h m ，w h o s ec h a r a c t e r i s t i c s i st h e 儿i l a r g em e m o r yr e q u i r e m e n tt os t o r et h et a b i eo fs t a t et r a n s i t i o n ，h a sa s i 朗i f i c 姐t s p e e d u pa l l di m p l e m e n tm u l t i - p a t t e mm a t c ha to n et i m e s t h ew o r s t c a s ea n dt h e a v e r a g e c a s ep e 血n n a n c eo fa h o - c o r a s i c ka l g o r i t h ma r et h es 锄ei n t h a t i t s p e r f 0 n a n c ei su n a f f e c t e db yt h el e n 昏ho fp a t t e ms t r i n gi np a t t e l 铲o u p ，s oi ti sa v e r yr o b u s ta 1 9 0 r i t h mf o rd s h lo r d e rt oo p t i m i z et h ea h o c o r a s i c ka l g o r i t h m ，t h e t h e s i sr e s e a r c h e so ns o m eb a s i cs p a r s em a t r i xa n dv e c t o rs t o r a g ef o r n l a t s ，a n dt h e b a n d e d r 0 wf o r i i l a tw a se x p l o i t e dt oo p t i m i z et h ea h o c o r a s i c ks t a t et a b l e ，t h u sa n i m p m v e da l g o r i m mw h i c hr e d u c e sm e m o r yr e q u i r e m e n t sa n df u r t h e ri m p m v e s p e r f b r r n a n c eo nl a r g ep a t t e mg r o u p si sp r e s e n t e d f i n a l l y ，t h ec o m p a r i s o n ，i n c l u d i n g p e 西) m a n c e ，s l o r a g er c q u i r e m e n ta l 】ds p e e d ，w h e nl h es t a n d a r da ca l g o r i t h m ，c h e o p t i m i z e dv e r s i o na ca i g o r i t h mu s i n gf u l lm a t r i xs t o r a g e ，a n dt h ei m p m v e da c a l g o r i t l l l 工lu s i n gb a n d e d - r o ws t o m g e a r ee x e c u t e di nt h ec o n t e x to fs n o r tt e s t r e s p e c t i v e ly ，i sl i s t e d m a i nw o r k so ft h et h e s i si n c l u d e ： 1 ，an e t w o r ks e c u r i t ys t r a t e g y ，b a s e do 刀f j r e w a l la 玎di d s ，f o rc a m p u sn e t w o r k i sp r e s e n t e d ，a n d “i si m p l e m e n t e db ys o f t w a r eb a s e do no p e ns o u r c ec o d e 2 r e s e a r c h e do ni n t r u s i o nd e t e c t i o ns y s t e mt o g e t h e rw i t hp a t t e mm a t c h a i g o r i t l l i n 3 a i l a l y z es o m e b a s i cs t o r a g cf o n l l a t so fs p a r s em a 仃i xa n dv e c t o r 4 a s p a r s es t o r a g cf o i l a ti sp r o p o s e dt oo p t i m i z ea h o - c o r a s i c kp a t t c mm a t c h a l g o r i t h i nu s e di n s n o r ti d s ，卸ds i m u l a t e dr e s u l t sa r ec o m p a r e dw h e n d i e e r e n ts p a r s es t o r a g ef o 彻a ta r ee x p l o i t e dt oi m p l e m e n ta h o - c o r a s i c k a l g o r i 曲nj ns n o ti d s k e y w o r d s ： n e t w o r ks e c i l r i t y ，1 1 1 t r u s i o nd e t e c t i o n ，p a t t e mm a t c h ，b a n d e d r o ws t o m g e ， a h o c o r a s i c k 越g o r i t h m i v 独创性声明 y 7 6 5 6 8 7 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的 研究成果。据我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其 他人已经发表或撰写过的研究成果，也不包含为获得塞邀盍堂或其他教育机构 的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均 已在论文中作了明确的说明并表示谢意。 学位论文作者签名：方i 缦也签字日期：r 年厂月夕日 学位论文版权使用授权书 本学位论文作者完全了解塞熊左堂有关保留、使用学位论文的规定，有 权保留并向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查阕和借 阌。本人授权窒丝盘堂可以将学位论文的全部或部分内容编入有关数据库进行 检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后适用本授权书) 学位论文作者签名：秀缓也 签字日期：s _ 年f 月印日 导师签名：郅硼 签字日期： 驴j 7年，月9 日 学位论文作者毕业去向：安徽理工大学计算机科学与技术系 工作单位：安徽理工大学电话：0 5 5 4 6 6 6 8 9 2 8 通讯地址：安徽淮南安徽理工大学计算机系邮编：2 3 2 0 0 1 第一章研究背景 第一章研究背景 1 1校园网的普及与应用 中国高校校园网的发展速度是非常快的i l l ，1 9 9 5 年1 2 月建成了中国教育与 科研网c e r n e t ，各高校纷纷建立校园网络并通过c e r n e r 与i n l e 功e l 连接，全 国开通了北京、沈阳、西安、上海、成都、南京、广州、武汉地区的1 0 个主干 节点高校1 2 l o 根据中国教育和科研网的统计，截止2 0 0 2 年1 1 月，教育部直属高 校中各地区已建立网站的高校数与入网高校数分别为8 6 5 和7 5 0 。 校园网的快速发展与广泛应用【卦，有以下很多方面的原因： 1 教师的信息需求 教师是高校教学科研的主体，也是高校信息资源的主要需求群体，其信息需 求体现在教学、科研、社会事务活动和日常生活等方面。 2 学生的信息需求 就人数来看，学生是高校信息需求的主要群体。目前高校在校学生约为1 3 5 0 万人，到2 0 0 5 年时，在校学生将会达到1 6 0 0 万人的。学生包括低年级学生、高 年级学生、研究生等，不同学习阶段的学生呈现出多样化的信息需求。 3 建立网上高校图书馆的需求 高校图书馆是高等学校的知识信息中心，图书馆的规模和服务质量是高校办 学水平的标志。因此在校园网中要建立丰富的信息资源体系。各高校都具有本校 专业特色的文献信息、学术信息、教学科研成果等，基本上形成了有本校专业特 色的信息资源体系。另外高校图书馆除引进光盘和网络数据库外( 如万方数据、 c n 融等) ，还自建了书目、期刊目录、文摘、全文数据库等。 4 高校信息化建设的需求 为了促进高校信息化建设，很多高校在校园网平台下开发自己的办公自动化 软件、各种适用于学校的管理软件如学生学籍管理、学校人事管理等。 由此可以看出高校校园网已经成为学校办公、教学、科研、开发、信息管理 所不可缺少的平台，校园网的应用己深入到教职工、学生的工作、学习、甚至生 活的各个方面。由于校园网在高校中的重要地位，那么网络的安全性就是首要考 1 校园网环境下入侵检测系统的研究与实现 虑的问题。 1 2校园网络系统的架构 1 2 1 校园网所提供的服务 校园网作为高等学校教学、科研、开发、办公的重要平台，一般来说提供下 面的一些服务【4 i ： w 曲服务：一方面包括学校建立自己的w e b 站点作为学校对外开 放的重要窗口，不仅让学校内部人员而且让外界通过浏览学校的 w e b 站点，了解学校的教学、科研、学烈设置、新闻等重要信息。 另一方面学校的教职工要能通过校园网访问c e r n e t 、i n t e r i l e t 中的 w 曲资源，如信息浏览、搜索引擎等。 m a j l 服务：在校园网中建立学校自身的m a i l 服务器，为每个校园网 用户提供邮箱及电子邮件服务。 f 1 t 服务：在校园网中建立学校自身的f r r p 服务器，为校园网用户 提供常用软件、教学资源的下载、个人w e b 服务器空间的管理等服 务。 d n s 服务：对校园网中的主机进行域名解析，并与其它c e m e t ，i i l t e m e t d n s 服务器通信。 其它附加服务：如基于校园网的办公平台、教学平台、管理平台， 基于校园网的光盘和网络数据库检索平台、b b s 服务等。 1 2 2 校园网的网络架构 根据调查，中国很多高校的校园网络都具有以下特征【5 1 = 校园网用户访问校外的c e m e t i n t e m e t 资源都是通过l i n u x 系统下的 s q u i d 代理和s o c k 5 代理进行的。 对校园网用户的收费通常按照网络流量收费。 为了对校园网用户进行收费，使用s q u i d 提供代理认汪服务。 校园网采用1 0 0 m 1 0 0 0 m 以太网技术，利用高端的具有第三层交换 功能的中心交换机连接校园中各建筑物内的子网。 一般束说，校园网的网络架构如图1 1 昕示： 第一章研究背景 图1 1 基于开放源码软件的网络架构 1 3当前校园网中采用的网络安全技术 1 3 1 防火墙技术简介 根据调查，在校园网中采用的网络安全技术大多数采用防火墙技术吐防火 墙分为包过滤和代理服务器两大类型【7 1 。包过滤一般指i p 包过滤，其工作在 o s i r m 的第三层( 网络层) 和第四层( 运输层) ，它基于t c p 检查或u d p 包信 息做出处理，即针对数据包的源碑地址、目的i p 地址、t c p u d p 源端口和 t c p u d p 目的端口，对数据包进行通过阻断处理。代理服务器则根据软件应用 来过滤和传送服务连接( 如t c l n e l 、f r p 和h t t p l ，其工作在o s i r m 的第七层即 应用层。包过滤方式和代理服务器方式相比，包过滤方式具有使用简单和灵活， 数据包通过阻断的速度快。但也存在一些弱点，包过滤规则难于设置且不易进 行正确性验证，往往需要反复进行防火墙规则的测试，对网络包的检查不像代理 服务器那样深入，在规则集复杂的情况下容易出现错误的规则配置等。但是代理 服务器为了处理网络数据包需要更多的系统资源，结果是代理服务器响应请求时 有时很慢，尤其是功能不够强大的机器，所以在网络中混合使用代理服务器和包 过滤器是网络安全中常见的选择，包过滤器拦截和过滤网络通信的大部分，而代 理服务器只检查某种通信类型。 1 3 2一般校园网中采用的防火墙安全策略 由于学校是一个非赢利性的机构，使用开放源代码的自由软件作为防火墙是 一种最好的选择，采用的防火墙策略如图1 1 所示。 校园网环境下入侵检测系统的研究与实现 ( 1 ) 包过滤防火墙软件采用l i n u x 操作系统下的i p t a b l e s i p t a b l e s 是一个功能强大的软件，有可能会成为防火墙的标准。在新的版本 中( 在作者的实验环境中使用的是i p t a b l e sv 1 2 8 ) 还提供了日志功能，i p t a b l e s 的增强功能还包括增加了二个表n a t 和m a n g l e 及其相应的默认链。表l 一1 是 i p t a b l e s 中所使用的表和默认的链f 8 1 。 表名 默认链描述 叶p u t f i l t e rf o r a r d包过滤 o u t p u t p r e r o u t 矾g n a to u t p u t启用口伪装、网络地址翻译( n 加1 ) p o s t r o u t i n g m 如g l e p r e r o u t i n g允许你通过改变其内容迸步“矫正”包 o u t p u t 表1 1 l p f a b l e s 所使用的表和链 使用l i n u x 操作系统下的口t a b l e s 作为包过滤防火墙，需要在l i n _ 1 1 【上安装 两块或两块阱上的网卡，另外需启用l i n u x 的摩转发功能，在r e 担a t “n u x 系 统中只需将p r o c s y s n c “i p v 4 i p f 0 州a r d 文件的内容置为“1 ”即可。 ( 2 ) 代理服务器使用性能卓越的s q u i d 代理+ s o c k s 代理 s q u i d 代理服务器的性能几乎是所有代理服务器软件中最好的。但s q u i d 只 支持下列协议的代理： h t r p f t p s e c u r es o c k e t sl a v e r ( 安全套接层，s s l ) w i d e e ai n f o 咖a t i o ns e r v e r ( 广域网信息服务器，w a l s ) g o p h e o s 口u i d 不支持使用u d p 协议的客户端程序，因此它不能用于支持视频会议、 新闻组、r e a l a u d i o 或视频游戏( 如q u a k e ) 的协议，因此为了使校园网用户能 使用i 【l t e m e t 中的u d p 协议的服务如o q 聊天服务、在线视频服务，需要安装 第一章研究背景 s o c k s 代理，s o c k s 代理是一种在“防火墙上钻孔”的常用程序，它是使用种特 殊的a p l ( 应用程序接口) ，让客户视和服务器进行对话，客户将数据包提交给 服务器，服务器代替客户机器与网络进行对话，并且返回结果。由于透明地支持 u d p 代理，s o c k s 程序经常被用来让防火墙内的机器( 例如校园网中的客户机) 使用i c q 等聊天程序。在作者的实验环境中使用的版本为s o c k s 5 v 1 0 r 1 1 。 1 3 3使用l j n u x 0 s 中i p t a b l e s + s q u i d + s o c i s 作为防火墙策略的脆弱性 以上所述的高校校园网所采用的防火墙安全技术的原理可以甩图1 2 所示。 启用了路由功能的 包过遣瞻火墙i p 油l e s s q 畦i + s o c k s 5 代理服务器 图1 2 基下开放源码软件的防火墙安全技术 基于i p t a b l e s + s q u i d + s o c l 【s 代理的网络安全技术有下面的一些缺点和不足【8 l ： ( 1 ) 灵活性和功能性较差。w e b 服务器、f r p 服务器、d n s 服务器、m a j l 服务器安装在防火墙后面时必须使用端口转发或者反向的n a t 服务。 ( 2 ) 由于t c p i p 的实现，数据包可能会在你注意不到的地方穿过，而过分严 格的过滤策略又会影响校园网用户的正常使用。 ( 3 ) 虽然i p t a b l e s 防火墙有日志功能，但是你可能不知道黑客已经攻击了你 的网络，除非你仔细监视防火墙日志，但这种方法费时又乏力，而且要 借助于第三方程序。 ( 4 ) 防火墙提供了处理进出通信的集中点，因此防火墙无法防御校园网内部 用户对w 曲、f t p 、d n s 、m a j l 等服务器发起的攻击，因为按照图1 中的原理，校园网内部的网络流量并没有经过防火墙。 ( 5 ) 探测和测试防火墙的配置时有很大的困难。例如i p t a b l e s 不能探测和阻 碍黑客的端口扫描行为。 ( 6 ) 如果防火墙被黑客攻陷，则整个校园网就会敞丌大门，而且如果一个黑 客能够以某种方式禁止防火墙主机，则整个校园网将拒绝全部i n t e m e t 服务。 因此迫切需要采取某种技术柬对防火墙进行补充，而且这种技术只能是防火 校园网环境下入侵检测系统的研究与实现 墙的补充，并不能代替的防火墙在校园网安全中的重要角色。 1 4入侵检测系统+ 防火墙的校园网安全策略 防火墙是保证安全的最基本方式。防火墙可以按照需要束阻断或允许网络通 信。入侵检测系统l d s 不能充当防火墙的替代晶。l d s 技术不是甩来解决这些问 题的。i d s 的基本功能是监视内部网络的流量，并对识别到的重要攻击特征进行 警报。 但是i d s 的确能作为防火墙的补充，因为它能帮助监视内部网络的流量。有 时在防火墙之外或者在d m z ( d e m i l i t a r i z e dz o n e ，非军事区) 里面放置i d s 是 很不错的，这样你就能了解对防火墙进行攻击的情况。但是，在这种情况下，i d s 并不是替代防火墙的作用，而是作为入侵检测设备使用。 最普遍的一种策略是在的防火墙遭受攻击时让i d s 重新配置防火墙。例如 i d s 和防火墙通信并让它自动地关掉端口或禁止主机。但是这个功能在开放源代 码的防火墙产品i p t a b i e s 里是没有的，用户可以编写脚本来实现这个功能。 防火墙是减少扫描威胁的最有效的方式。i d s 可以帮助探测和阻碍主机扫 描。但是i d s 主要是监控内部网络传输，而不能作为防火墙来保护网络。这是因 为防火墙作为集中点，能够拦截或允许进出通信。有防火墙的地方，可以有效地 使用一个系统去保护上百个其它系统免受扫描、嗅探和d o s ( d e n i a lo f s e i c e ， 拒绝服务攻击) 攻击。 可以将i d s 安装在一台独立的网络主机上，这样也不消耗防火墙的系统资 源i d s 主机可以向防火墙发送随机的p i n g 命令，以测试其是否启动，并能够 通知系统管理员主机是否停机。另外i d s 也可以监视与i p t a b l e s 和“肋x 内核有 关的错误报告记录当前的这些变化可以帮助系统管理员一旦发现问题快速升级 系统。 因此为了保证校园网的安全，采用i d “防火墙的网络安全技术是最好的策 略，因为它不仅可以保护校园免受外界攻击，也可以对校园网内部的网络通信进 行检测，并发出警报或采取相应的主动行为。 第一章研究背景 1 5 对入侵检测系统性能研究的必要性 入侵检测系统是个很特殊的应用，它对实时性要求很高，特别是在高速的 网络环境中，像现在的校园网环境中一般都是1 0 0 m b p s 或1 0 0 0 m b p s 的帝宽，但 如果i d s 的检测速度娠不上网络数据的传输速度，那么i d s 就会漏掉其中的部 分数据包，从而导致漏报而影响系统的准确性和有效性，甚至会造成对网络系统 的d o s ( d e n i a lo fs e r v i c e 拒绝服务) 攻击。在i d s 中截获的每一个数据包并 分析、匹配其中是否具有某种攻击的特征需要花费大量的时间和系统资源，因此 大部分现有的i d s 只有几十兆的检测速度，但是随着百j e 、于兆网络在校园网中 的大量应用，i d s 技术的发展速度已经落后于网络速度的发展。因此研究网络入 侵检铡系统的性能具有非常重要的现实意义，因为提高l d s 系统的性能，不仅可 以减少漏报、误报，而且还可以提高系统的安全性和准确性，减少对主机资源和 网络系统资源、带宽的占用。 1 6 论文的主要工作 第二章阐述了入侵检测系统的有关知识，包括入侵检测系统的概念，入侵检 测系统的实现原理、分类、功能，入侵检测系统的面临的挑战和问题等。 第三章详细地论述了在校园网环境下如何部署和实现基于开放源代码的网 络入侵检测系统s n o nm s + 防火墙的校园网网络安全策略。 第四章主要论述了已经被广泛研究并应用在许多领域的各种模式匹配算法。 第五章主要论述了为了对s n o n 入侵检测系统进行性能优化，阐述几种稀疏 矩阵和稀疏向量的存储格式，并提出了利用其中的一种稀疏存储格式对s n o r t 中 采用的模式匹配算法a h o c o r a s i c k 算法进行优化，并给出了优化算法。 第六章主要讨论了对s n o r ti d s 中采用不同的a h o c o r a s i c k 算法的性能测试 和比较，但没有给出在字典测试情况下的结果。 第七章是对本论文研究工作的总结和阐述需要进一步的研究工作。 1 7本章小结 本章主要叙述了随着校园网的普及，大多数校园网在网络安全方面存在的问 7 校园网环境下入侵检测系统的研究与实现 题，提出了防火墙+ 入侵检测系统的校园嘲网络安全策略。 另外阐述了对于入侵检测系统这样一个特殊的应用，特别是在校园网这样的 高速网络环境下，对i d s 系统性能的优化是非常必要的，而对i d s 性能的优化 主要取决于对i d s 系统中模式匹配算法的性能包括存储要求、速度的优化，提出 了论文的工作重点和方法。 第二章i d s 综述 第二章i d s 综述 2 1入侵检测系统概念 当越来越多的学校纷纷建立自己的校园网的时候，网络安全作为一个无法回 避的问题呈现在人们面前。传统上一般采用防火墙作为安全的第道防线。而随 着攻击者知识的日趋成熟，攻击工具与手法的日趋复杂多样，单纯的防火墙策略 已经无法满足对安全高度敏感的部门的需要，网络的防卫必须采用一种纵深的、 多样的手段。与此同时，当今的网络环境也变得越来越复杂，各式各样的复杂的 设备，需要不断升级、补漏的系统使得网络管理员的工作不断加重，不经意的疏 忽便有造成重大的安全隐患，在这种情况下，入侵检测系统成为信息安全的热点， 已经开始在不同的环境中发挥其关键作用。 “入侵( i i l t m s i o n ) 是个广义的概念，不仅包括发起攻击的人取得超出范围 的的系统控制权，也包括收集漏洞信息，造成拒绝访问等对计算机造成危害的行 为。 入侵检测( i i l t m s i o nd e t e c t i o n ) f 9 j ，顾名思义，便是对入侵行为的发觉。它 通过对计算机网络或计算机系统中得若干关键点收集信息并对其进行分析，从中 发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。 入侵检测系统( i i l t n l s i o nd e t e c t i o ns y s t e m ，i d s ) 指的是任何有能力检测系 统或网络状态改变的系统或系统的集合。i d s 随后能发送警报或采取预先设置好 的行动来帮助保护你的网络。s 可以简单到是一台主机，这台主机使用像 t c p d u m p 这样简单程序来获取网络状态，也可以是一个复杂的系统，使用多台 主机来帮助捕获、处理并分析网络流量。 具体说来，入侵检测系统的主要功能有： ( 1 ) 监测并分析用户和系统的活动： ( 2 ) 核查系统配置和漏洞： ( 3 ) 评估系统关键资源和数据文件的完整性： ( 4 1 识别己知的攻击行为； ( 5 ) 统计分析异常行为； q 一 校园网环境下入侵检测系统的研究与实现 ( 6 ) 操作系统日志管理，并识别违反安全策略的用户活动。 目前，试图对i d s 进行标准化的工作有两个组织：正t f 的i n t r u s i o n d e t e c t i o n w o r k j n gg r o u p( i d w g ) 和c o m m o n i i l t 兀l s i o nd e t e c t i o nf r a m e w o r k ( c i d f ) ，但 进展非常缓慢，尚没有被广泛接收的标准出台。 2 2入侵检测系统的体系 f 1 ) 一个信息收集设备。i d s 必备的一个元素是能捕获数据。例如它必须 能检测出硬盘上的变化、捕获网络上的数据包或读取开放系统文件。 ( 2 ) 一个内部的用于监视结构机制的进程。i d s 应该有能力监视自己并执 行自我检查，这样就能通知系统管理员它的确是在正常工作。例如 s n o r ti d s 能通过发送消息到v a 川o g ，m e s s a g e s 文件来通知你出问题 了。 ( 3 ) 信息存储能力。i d s 必须能以一种经过斟酌的方式存储获得的网络数 据包信息，从而能让你以合适的方式存储数据。例如存储到数据库 中去。 ( 4 、一个命令和控制设备。i d s 必须能提供方便地控制它的行为的方法a ( 5 1 一个分析设备：i d s 应该提供使用查询或应用程序来搜索存储好的数 据的能力。 2 3 i d s 的策略和类型 传统的观点根据入侵行为的属性将其分为异常和滥用两种，然后分别对其建 立异常检测模型和滥用检测模型。近四五年来又涌现出了一些新的检测方法，它 们产生的模型对异常和滥用都适用，如人工免疫方法、遗传算法、数据挖掘方法 等。根据系统所采用的检测模型，将i d s 分为三类。 2 3 1 异常检测 在异常检测( a m o m a l yd e t e c t i o n ) 1 9 i 中，观察到的不是己知的入侵行为，而 是所研究的通信过程中的异常现象，它通过检测系统的行为或使用情况的变化束 完成。在建立该模型之前，首先必须建立统计概率模型，明确所观察对象的正常 情况，然后决定在何种程度上将一个行为标为“异常”，并如何做出具体决策。 1 0 第二章d s 综述 异常检测只能识别出那些与正常过程有较大偏差的行为，而无法知道具体的 入侵情况。由于对各种网络环境的适应性不强。且缺乏精确的判定准则，难以配 置，异常检测经常会出现虚警情况。 异常检测可以通过以下系统实现。 ( 1 ) 自学习系统 自学习系统通过学习事例构建正常行为模型，又可分为时序和非时序两种。 ( 2 ) 编程系统 该类系统需要通过编程学习如何检测确定的异常事件，从而让用户知道什么 样的异常彳亍为足以破坏系统的安全。编程系统可以再细分为描述统计和缺省否认 两种。 异常检测d s 分类如表2 1 所示 规则建模 非时序 自学习型描述统计 时序人工神经网络 简单统计 描述统计基于简单规则 可编程型 门限 确省否认状态序列建模 表2 - l按照原理对异常检测i d s 的分类 2 3 2 滥用检测 滥用检测( m i s u s ed e t e c t i o n ) 【9 l 又称为误用检测。在滥用检测中，入侵过程 模型及它在被观察系统中留下的踪迹是决策的基础。所以，可事先定义某些特征 的行为是非法的，然后将观察对象与之进行比较以做出判别。 滥用检测基于己知的系统缺陷和入侵模式，故又称基于特征 ( s i 四a t u r c b a s e d ) 的检测。它能够准确地检测到某些特征的攻击，但却过度依 赖事先定义好的安全策略，所以无法检测系统未知的攻击行为，从而产生漏警。 滥用检测通过对确知决策规则编程实现，可以分为以下四种： ( 1 ) 状态建模：它将入侵行为表示成许多个不同的状态。如果在观察某个 可疑行为期间，所有状态都存在，则判定为恶意入侵。状态建模从本质上来讲是 校园网环境下入侵检测系统的研究与实现 时间序列模型，可以再细分为状态转换和p e 啊网，前者将入侵行为的所有状态 形成一个简单的遍历链，后者将所有状态构成一个更广义的树形结构的p c t r i 阏。 ( 2 ) 专家系统：它可以在给定入侵行为描述规则的情况下：对系统的安全 状态进行推理。一般情况下，专家系统的检测能力强大，灵活性也很高，但计算 成本较高，通常以降低执行速度为代价。 ( 3 ) 串匹配：它通过对系统之间传输的或系统自身产生的