毕业论文格式--参考.doc

入侵检测系统技术的分析和研究摘要近年来，随着信息和网络技术的高速发展以及政治、经济或者军事利益的驱动，计算机和网络基础设施，特别是各种官方机构的网站，成为黑客攻击的热门目标。网络安全则成为了一个无法回避的问题呈现在人们面前。然而，随着计算机网络知识的普及和日趋成熟，攻击工具与手法日趋复杂多样，仅仅依赖防火墙的计算机系统已经不能对付日益猖獗的入侵行为，网络的防卫必须采用一种纵深的、多样的手段。如无法解决安全后门问题，不能阻止网络内部攻击，而调查发现， 50以上的攻击都来自内部；不能提供实时入侵检测能力；对于病毒束手无策等。因此非常多组织致力于提出更多更强大的主动策略和方案来增强网络的安全性，其中一个有效的解决途径就是入侵检测；于是，入侵检测系统（IDS）能弥补防火墙的不足，在网络环境中的应用也越来越普遍，因为入侵检测系统是一种采取主动的安全防御技术以保护信息系统安全的重要手段，入侵检测系统成为了安全市场上新的热点，受到人们愈来愈多的的关注，而且已经开始在各种不同的环境中发挥其关键作用。关键词：入侵检测系统 IDS 防火墙 发展趋势目 录摘要11 入侵检测系统简介41.1入侵检测系统（IDS）概念41.1.1 概念41.1.2入侵检测定义41.2 入侵检测系统的分类51.2.1按照控制策略分类51.2.2按照技术分类51.2.3按照信息源分类61.2.4按照分析方法分类61.2.5按照响应方式分类61.3入侵检测系统的主要任务71.4入侵检测系统的功能71.5入侵检测的目的82入侵检测系统常用的检测方法82.1特征检测82.2统计检测82.3专家系统92.4入侵响应113 IDS的模型及其评价标准123.1 IDS部署实例123.2入侵检测系统模型133.2 IDS评价的主要标准144目前入侵检测系统IDS存在的缺陷154.1高误警（误报）率154.2 产品适应能力低154.3 大型网络的管理问题164.4 缺少防御功能164.5 评价IDS产品没有统一标准164.6 处理速度上的瓶颈165 IDS的发展趋势176 结束语18参考文献19致 谢20第 21 页共 21 页1 入侵检测系统简介1.1入侵检测系统（IDS）概念 1.1.1 概念入侵检测系统（Intrusion-detection system，简称“IDS”）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于，IDS是一种积极主动的安全防护技术。 IDS最早出现在1980年4月。该年，James P. Anderson为美国空军做了一份题为Computer Security Threat Monitoring and Surveillance的技术报告，在其中他第一次系统阐述了入侵检测的概念，并将入侵行为分为外部滲透、内部滲透和不法行为三种，还提出了利用审计数据监视入侵活动的思想1。1986年Dorothy E.Denning提出实时异常检测的概念2并建立了第一个实时入侵检测模型，命名为入侵检测专家系统（IDES）。1990年，L.T.Heberlein等设计出监视网络数据流的入侵检测系统，NSM(Network Security Monitor)。IDS分化为基于网络的IDS和基于主机的IDS。后又出现分布式IDS。自此之后，入侵检测系统才真正发展起来。Anderson将入侵尝试或威胁定义为：潜在的、有预谋的、未经授权的访问信息、操作信息、致使系统不可靠或无法使用的企图。1.1.2入侵检测定义入侵检测被定义为3：是对入侵行为的发觉。它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。执行入侵检测任务的程序即是入侵检测系统。入侵检测系统也可以定义为：检测企图破坏计算机资源的完整性，真实性和可用性的行为的软件。1.2 入侵检测系统的分类现有的ISDS的分类，大都基于信息源和分析方法。未来体现对IDS从布局、采集、分析、相应等各个层次及系统性研究方面的问题，在这里采用五类标准：控制测略、技术、信息源、分析方法、响应方式。1.2.1按照控制策略分类控制策略描述了IDS的个元素是如何控制的，以及IDS的输入和输出是如何管理的。按照控制策略IDS可以划分为，集中式IDS、部分分布式IDS和全部分分布式IDS。在集中式IDS中，一个中央节点控制系统中所有的监视、检测和报告。在部分分布式IDS中，监控和探测是有本地的一个控制点控制，层次似的将报告发向一个或多个中心站。在全分布式IDS中，监控和探测是使用一种叫“代理”的方法，代理进行分析做出相应决策。1.2.2按照技术分类从技术上讲，IDS可以分为基于异常检测的 IDS和基于误用检测的IDS两大类。基于异常检测的 IDS是根据异常行为和计算机资源的使用情况来检测入侵行为，它试图采用定量的方法来描述可接受的正常行为特征，以区分非正常的、潜在的入侵行为，它的特点是可以直接检测出与正常行为相违背的行为； 基于误用检测的 IDS是一种基于知识的入侵检测，它通过对事件流进行过滤，并将发生的事件状态与知识库中已有的模式进行匹配，以发现问题。1.2.3按照信息源分类按照信息源分类是目前通用的划分方法，它分为基于主机的IDS,基于网络的IDS和分布式IDS。基于主机的IDS通过分析来自单个的计算机系统的系统审计踪迹和系统日志来检测攻击。基于主机的IDS是在关键的网段或交换部位通过捕获并分析网络数据包来检测攻击。分布式，能够同时分析来自主机系统日志和网络数据流，系统由多个部件组成，采用分布式结构。1.2.4按照分析方法分类按照分析方法IDS划分为滥用检测型IDS和异常检测型IDS。滥用检测型的IDS中，首先建立一个对过去各种入侵方法和系统缺陷知识的数据库，当收集到的信息与库中的原型相符合时报警。人和不符合特定条件的活动将会被认为合法，因此这样的系统虚警率很低。异常检测型IDS是建立在如下假设的基础之上的，即任何一种入侵行为都能由于其偏离正常或者所期望的系统和用户活动规律而被检测出来。所以它需要一个记录合法活动的数据库，由于库的有限性使得虚警率比较高。1.2.5按照响应方式分类按照响应方式IDS划分为主动响应IDS和被动响应IDS。当特定的入侵被检测到时，主动IDS会采用以下三种响应：收集辅助信息；改变环境以堵住导致入侵发生的漏洞；对攻击者采取行动（这是一种不被推荐的做法，因为行为有点过激）。被动响应IDS则是将信息提供给系统用户。依靠管理员在这一信息的基础上采取进一步的行动。1.3入侵检测系统的主要任务入侵检测系统执行的主要任务包括：监视、分析用户及系统活动；审计系统构造和弱点；识别、反映已知进攻的活动模式，向相关人士报警；统计分析异常行为模式；评估重要系统和数据文件的完整性；审计、跟踪管理操作系统，识别用户违反安全策略的行为。入侵检测一般分为三个步骤：信息收集、数据分析、响应。1.4入侵检测系统的功能入侵检测系统 (IDS) 能够保护网络免受攻击,是防火墙、虚拟专用网的进一步深化入侵检测系统既可以对单个主机进行检测,也可以对整个网络进行检测； 既可以是实时检测，也可以是事后检测入侵检测系统作为一种新的安全机制，它采用了以攻为守的策略，通过监控系统关键信息的使用情况，来检测系统中哪些行为或活动违背了安全策略或危及系统安全，从而发现是否有合法用户滥用系统资源，系统的用户越权使用情况，系统外部的入侵者利用系统的安全缺陷对系统进行入侵的企图、非法用户穿透防火墙进行入侵攻击等。因此，入侵检测系统已经成为保障网络安全的重要手段。1.5入侵检测的目的（1）识别入侵者；（2）识别入侵行为；（3）检测和监视以实施的入侵行为；（4）为对抗入侵提供信息，阻止入侵的发生和事态的扩大；2入侵检测系统常用的检测方法入侵检测系统常用的检测方法有特征检测、统计检测与专家系统。据公安部计算机信息系统安全产品质量监督检验中心的报告，国内送检的入侵检测产品中95是属于使用入侵模板进行模式匹配的特征检测产品，其他5是采用概率统计的统计检测产品与基于日志的专家知识库系产品。 2.1特征检测特征检测对已知的攻击或入侵的方式作出确定性的描述，形成相应的事件模式。当被审计的事件与已知的入侵事件模式相匹配时，即报警。原理上与专家系统相仿。其检测方法上与计算机病毒的检测方式类似。目前基于对包特征描述的模式匹配应用较为广泛。该方法预报检测的准确率较高，但对于无经验知识的入侵与攻击行为无能为力。2.2统计检测统计模型常用异常检测，在统计模型中常用的测量参数包括：审计事件的数量、间隔时间、资源消耗情况等。常用的入侵检测5种统计模型为：操作模型，该模型假设异常可通过测量结果与一些固定指标相比较得到，固定指标可以根据经验值或一段时间内的统计平均得到，举例来说，在短时间内的多次失败的登录很有可能是口令尝试攻击；方差，计算参数的方差，设定其置信区间，当测量值超过置信区间的范围时表明有可能是异常；多元模型，操作模型的扩展，通过同时分析多个参数实现检测；马尔柯夫过程模型，将每种类型的事件定义为系统状态，用状态转移矩阵来表示状态的变化，当一个事件发生时，或状态矩阵该转移的概率较小则可能是异常事件；时间序列分析，将事件计数与资源耗用根据时间排成序列，如果一个新事件在该时间发生的概率较低，则该事件可能是入侵。统计方法的最大优点是它可以“学习”用户的使用习惯，从而具有较高检出率与可用性。但是它的“学习”能力也给入侵者以机会通过逐步“训练”使入侵事件符合正常操作的统计规律，从而透过入侵检测系统。2.3专家系统用专家系统对入侵进行检测，经常是针对有特征入侵行为。所谓的规则，即是知识，不同的系统与设置具有不同的规则，且规则之间往往无通用性。专家系统的建立依赖于知识库的完备性，知识库的完备性又取决于审计记录的完备性与实时性。入侵的特征抽取与表达，是入侵检测专家系统的关键。在系统实现中，将有关入侵的知识转化为if-then结构（也可以是复合结构），条件部分为入侵特征，then部分是系统防范措施。运用专家系统防范有特征入侵行为的有效性完全取决于专家系统知识库的完备性。文件完整性检查文件完整性检查系统检查计算机中自上次检查后文件变化情况。文件完整性检查系统保存有每个文件的数字文摘数据库，每次检查时，它重新计算文件的数字文摘并将它与数据库中的值相比较，如不同，则文件已被修改，若相同，文件则未发生变化。文件完整性检查系统的优点从数学上分析，攻克文件完整性检查系统，无论是时间上还是空间上都是不可能的。文件完整性检查系统是非常强劲的检测文件被修改的工具。实际上，文件完整性检查系统是一个检测系统被非法使用的最重要的工具之一。文件完整性检查系统具有相当的灵活性，可以配置成为监测系统中所有文件或某些重要文件。当一个入侵者攻击系统时，他会干两件事，首先，他要掩盖他的踪迹，即他要通过更改系统中的可执行文件、库文件或日志文件来隐藏他的活动；其它，他要作一些改动保证下次能够继续入侵。这两种活动都能够被文件完整性检查系统检测出。文件完整性检查系统的弱点文件完整性检查系统依赖于本地的文摘数据库。与日志文件一样，这些数据可能被入侵者修改。当一个入侵者取得管理员权限后，在完成破坏活动后，可以运行文件完整性检查系统更新数据库，从而瞒过系统管理员。当然，可以将文摘数据库放在只读的介质上，但这样的配置不够灵活性。2.4入侵响应入侵检测响应方式分为主动响应和被动响应。被动响应型系统只会发出告警通知，将发生的不正常情况报告给管理员，本身并不试图降低攻击所造成的破坏，更不会主动地对攻击者采取反击行动。主动响应系统可以分为两类：对被攻击系统实施控制的系统。它通过调整被攻击系统的状态，阻止或减轻攻击影响，例如断开网络连接、增加安全日志、杀死可疑进程等。对攻击系统实施控制的系统。它通过对攻击系统采取适当的措施来阻止攻击。目前，主动响应系统还比较少，即使做出主动响应，一般也都是断开可疑攻击的网络连接，或是阻塞可疑的系统调用，若失败，则终止该进程。3 IDS的模型及其评价标准3.1 IDS部署实例RealSecure的部署图上图为ISS（InternetSecuritySystems）RealSecure的部署图，RealSecure是一种混合型的入侵检测系统，提供基于网络和基于主机的实时入侵检测。其控制台运行在Windows2000上。RealSecure的传感器是自治的，能被许多控制台控制。各部分的功能如下： （1）ReaISecure控制台：对多台网络传感器和服务器代理进行管理；对被管理传感器进行远程的配置和控制；各个监控器发现的安全事件实时地报告控制台。（2）NetworkSensor（网络引擎）：对网络进行监听并自动对可疑行为进行响应，最大程度保护网络安全；运行在特定的主机上，监听并解析所有的网络信息，及时发现具有攻击特征的信息包；检测本地网段，查找每一数据包内隐藏的恶意入侵，对发现的入侵做出及时的响应。当检测到攻击时，网络引擎能即刻做出响应，进行告警/通知（向控制台告警、向安全管理员发E-mail、SNMP trap、查看实时会话和通报其他控制台），记录现场（记录事件日志及整个会话），采取安全响应行动（终止入侵连接、调整网络设备配置，如防火墙、执行特定的用户响应程序）。 （3）ServerSensor（服务器代理，安装在各个服务器上）：对主机的核心级事件、系统日志以及网络活动实现实时入侵检测；具有包拦截、智能报警以及阻塞通信的能力，能够在入侵到达操作系统或应用之前主动阻止入侵；自动重新配置网络引擎和选择防火墙阻止黑客的进一步攻击。3.2入侵检测系统模型美国斯坦福国际研究所(SRI)的D.E.Denning于1986年首次提出一种入侵检测模型，该模型的检测方法就是建立用户正常行为的描述模型，并以此同当前用户活动的审计记录进行比较，如果有较大偏差，则表示有异常活动发生。这是一种基于统计的检测方法。随着技术的发展，后来人们又提出了基于规则的检测方法。结合这两种方法的优点，人们设计出很多入侵检测的模型。通用入侵检测构架(Common Intrusion Detection Framework简称CIDF)组织，试图将现有的入侵检测系统标准化，CIDF阐述了一个入侵检测系统的通用模型(一般称为CIDF模型)。它将一个入侵检测系统分为以下四个组件：事件产生器(Event Generators) 事件分析器(Event analyzers) 响应单元(Response units) 事件数据库(Event databases)它将需要分析的数据通称为事件，事件可以是基于网络的数据包也可以是基于主机的系统日志中的信息。事件产生器的目的是从整个计算机环境中获得事件，并向系统其它部分提供此事件。事件分析器分析得到的事件并产生分析结果。响应单元则是对分析结果做出反应的功能单元，它可以做出切断连接、修改文件属性等强烈反应。事件数据库是存放各种中间和最终数据的地方的通称，它可以是复杂的数据库也可以是简单的文本文件。3.2 IDS评价的主要标准目前的入侵检测技术发展迅速，应用的技术也很广泛，如何来评价IDS的优缺点就显得非常重要。评价IDS的优劣主要有这样几个方面：（1）准确性。准确性是指IDS不会标记环境中的一个合法行为为异常或入侵。（2）性能。IDS的性能是指处理审计事件的速度。对一个实时IDS来说，必须要求性能良好。（3）完整性。完整性是指IDS能检测出所有的攻击。（4）故障容错（fault tolerance）。当被保护系统遭到攻击和毁坏时，能迅速恢复系统原有的数据和功能。（5）自身抵抗攻击能力。这一点很重要，尤其是“拒绝服务”攻击。因为多数对目标系统的攻击都是采用首先用“拒绝服务”攻击摧毁IDS，再实施对系统的攻击。（6）及时性（Timeliness）。一个IDS必须尽快地执行和传送它的分析结果，以便在系统造成严重危害之前能及时做出反应，阻止攻击者破坏审计数据或IDS本身。除了上述几个主要方面，还应该考虑以下几个方面：（1）IDS运行时，额外的计算机资源的开销；（2）误警报率漏警报率的程度；（3）适应性和扩展性；（4）灵活性；（5）管理的开销；（6）是否便于使用和配置4目前入侵检测系统IDS存在的缺陷入侵检测系统作为网络安全防护的重要手段，有很多地方值得我们进一步深入研究。目前的IDS还存在很多问题，有待于我们进一步完善。4.1高误警（误报）率误警的传统定义是将良性流量误认为恶性的。广义上讲，误警还包括对IDS用户不关心事件的告警。因此，导致IDS产品高误警率的原因是IDS检测精度过低以及用户对误警概念的拓展。4.2 产品适应能力低传统的IDS产品在开发时没有考虑特定网络环境的需求，千篇一律。网络技术在发展，网络设备变得复杂化、多样化，这就需要入侵检测产品能动态调整，以适应不同环境的需求。4.3 大型网络的管理问题很多企业规模在不断扩大，对IDS产品的部署从单点发展到跨区域全球部署，这就将公司对产品管理的问题提上日程。首先，要确保新的产品体系结构能够支持数以百计的IDS传感器；其次，要能够处理传感器产生的告警事件；此外，还要解决攻击特征库的建立，配置以及更新问题。4.4 缺少防御功能检测，作为一种被动且功能有限的技术，缺乏主动防御功能。因此，需要在下一代IDS产品中嵌入防御功能，才能变被动为主动。4.5 评价IDS产品没有统一标准对入侵检测系统的评价目前还没有客观的标准，标准的不统一使得入侵检测系统之间不易互联。随着技术的发展和对新攻击识别的增加，入侵检测系统需要不断升级才能保证网络的安全性。4.6 处理速度上的瓶颈随着高速网络技术如ATM、千兆以太网等的相继出现，如何实现高速网络下的实时入侵检测是急需解决的问题。目前的百兆、千兆IDS产品的性能指标与实际要求还存在很大的差距。5 IDS的发展趋势随着入侵检测技术的发展，成型的产品已陆续应用到实践中。人们在完善原有技术的基础上，又在研究新的检测方法，如数据融合技术，主动的自主代理方法，智能技术以及免疫学原理的应用等。其主要的发展方向可概括为：(1)大规模分布式入侵检测。传统的入侵检测技术一般只局限于单一的主机或网络框架，显然不能适应大规模网络的监测，不同的入侵检测系统之间也不能协同工作。因此，必须发展大规模的分布式入侵检测技术。(2)宽带高速网络的实时入侵检测技术。大量高速网络的不断涌现，各种宽带接入手段层出不穷，如何实现高速网络下的实时入侵检测成为一个现实的问题。(3)入侵检测的数据融合技术。目前的IDS还存在着很多缺陷。首先，目前的技术还不能对付训练有素的黑客的复杂的攻击。其次，系统的虚警率太高。最后，系统对大量的数据处理，非但无助于解决问题，还降低了处理能力。数据融合技术是解决这一系列问题的好方法。(4)与网络安全技术相结合。结合防火墙，病毒防护以及电子商务技术，提供完整的网络安全保障。6 结束语在目前的计算机安全状态下，基于防火墙、加密技术的安全防护固然重要，但是，要根本改善系统的安全现状，必须要发展入侵检测技术，它已经成为计算机安全策略中的核心技术之一。IDS作为一种主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护。入侵检测则是对防火墙非常有益的补充，入侵检测系统能使在入侵对系统发生危害前，检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中，能减少入侵攻击所造成的损失。在被入侵攻击后，收集入侵攻击的相关信息，作为防范系统的知识，添加到知识库内，增强系统的防范能力，避免系统再次受到入侵。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监听，从而提供对内部攻击、外部攻击和误操作的实时保护，大大提高了网络的安全性。入侵检测作为一种积极主动的安全防护技术，从网络安全立体纵深、多层次防御的角度出发，入侵检测己经受到人们的高度重视，国内外对入侵检测系统的研究和产品开发都在蓬勃发展之中。参考文献1 Anderson J P. Computer security threat monitoring and surveillance P . PA 19034,USA, 1980.42 J Denning D EAn Intrusion-Detection ModelA