网络监测与监控

网监监

前言网络发到今天，已彻底改了人类生活工作的式。信息化命对人类生、生活的影远远大前几次的传的工业命。现在，们发现没有了脑，生活就瘫痪；有了网络，像生活古代社会，全落后现代文。网络以其猛的发，迅速占据人们生的方方面面人们已对网络生了依赖截止到2012年底我国的网数量已超过了亿。但是随网络的普及及网络术的迅猛发，技术洞的无可避，广大络黑客出于各种目，利用布世界各地网络迅传播病毒并起攻击对现有网络信息安构成了大的威胁。毒、木、蠕虫等等滥成灾网络入攻击事件与俱增，论网络信息统有多安全坚固不被入侵最后都成功入侵了可见网安全现实的峻性。络入侵，它带来的胁和影已经远远超了预期它的威胁直经济安和国家安全

网的与测第章.机络及现.....................1.网络全其现..................................1.1.1计算网全...........................1.1.2计算网全11.2侵现第章

入检统合究22.1入检系.................................2.2基主的检系统.....................32.3基网的检系统.....................42.3.1基于网的侵检系原理2.3.2网入检测统.........5第章告融键术究3.1入检信范...........................103.1.1CIDF模型3.1.2IDMEF模型...............................113.1.3IDMEF模中存问.错误定义书签3.2聚算研.12

网的与测第一章计算机网络安全及其状1.网络安全其现状计算机网络安全计算机全特性可以纳描述：完整性，密性，用性，可控，不可否认等。安全问主要包：计算机数破坏，授权擅自使计算机统，滥计算机系统计算机络安全可以为网络全、计算机统安全数据库系统全。（）网络安全问题要表现：网络协议安全机存在先天性陷，在设计之，无法完全虑到实应用时的安性问题（）计算机系统安问题是：由于在设计算机作系统之时系统本身存在诸多漏洞，侵者可利用漏洞进系统，得系统控制限，肆对系统的数据进行改、伪、拷贝、删、损毁并留下后门这就为侵攻击提供了另外个突破。（）数据库安全问是建立操作系统基上的，作系统被攻之后，操作系上的数据库得赤裸的直面入侵。数据，作为所有织单位息化的心，它是大数关键据记录的载，一旦人攻击将会成的后是不可计的。计算机网络安全现状自从世上第一个在脑上大积流行病毒C-Brain诞生以来，安技术就在制病毒、防御毒，制攻击、防御击的博中不断发展网络安已经成了一个永恒话题。2011，中国联网络息中心（CNNIC）在京发了《第次中国互联网发展状统计告》，整个中国的联网络发展现状做了总归纳。该报告调查2010年度，有过病或木马击经历的民比例为45.8%同比下了10.8个百点，总数约为亿人。许多网都遇到过攻，只是许多攻击入是非常秘的，主要一些修用户浏器首页、广点击器低影响性攻，往往在后台运行恶意引诱骗广网民浏览该站，用可能毫无察。因此网络安全的状呈现表面攻下降，实际击行为加隐秘的状。网络全问题正呈此消彼，花样繁，新问题不涌现的势。

网的与测1.2入侵检测现状入侵一可以分为三阶段：攻击阶段，击阶段后攻击阶段。现在流入侵检测的查方法要有：特征测，完性检验，异检测。特征检主要是建立类攻击特征库，用特征来确地描述某特殊攻击的点，为了避引起其误报，该特的描述好是唯一的它主要对那些图越权操控统的安事件进行监完整性验为系统的个文件成一个校验，然后期地将该校和与源文件较，这样就以检查文件是否被改过，类似于视频控中的像变化生的报警。整性检适用于检测改网页的活动，当现篡改，通过计校验和来发异常。异常检主要是通过定一个常行为模式衡量网行为的合法。实际流量的模式如果正常行模式库中找到匹配原型，就会判断为常行为触发报警。分析讨。各种方法不是十十美的，因，光用种方法来进入侵检测是明智的。多方法综使用，才能少误报漏报率。现各大厂主要倾于采用特征验，因该方法逻辑路清晰实现方法简，而且则添加十分方便，于维护增改。特征验确实一种高效的测方法第二章

入侵检测系统合研究入侵检系统（Intrusion，）的作用是监控网络计算机系是否被入侵滥用。常入侵检测统都有个功能：数采集功，数据分功能和响应能。统已经为安防系的重要组部分。收集源自算机操作系和计算网络中的各数据流经过系统内一系列规则分匹配，从而断出是已经有入侵为发生入侵检测系可以同检测来内部用户未权的非活动和外部攻击行。对内部攻的检测要是基主机的，主检测内用户的越权为；对部的入侵检主要是于网络，主要检测络上的击行为。这步都是络安防的重。2.1入侵检测系统概现在市上的I品种类繁多无论是数据采集，统的布局，息的分析法，响应的式上都很大的差异

网的与测通常，侵检测分为常检测误用检测两类。异检测是试图立一个正常运行模式和则，对网络中捕获数据信进行分析，果符合常规则式则系统默其为一合法的操作反之，果捕获的数信息不正常规模式库之列则触发常报警。两种方各有短长，有综合用以上两种法的入检测系统，能真正适应在和未来网安防。献还提出了种基于张矩阵和GA的入侵测方法。入侵检系统的检测能评价是评定一个I系统优劣的要参数这也就意味，一个IDS系的规则越多越完善则这个统能检测出更多入侵攻行为，即拥更高的确报警率，之则漏率更高。另一个参就是灵度，这是对侵检测统报警分类结果，侵检测系统照优先别不同为不同的报种类，类报警都有己的优级，灵敏度高的入检测系拥有更精细报警类和更丰富的警优先。2.2基于主机的入侵测系统基于主的入侵检测统H要是检系统日志以取被入的信。它主要监控操作系、内核应用程序上威胁。有权检测被控主机系统的志、服务、误消息权限等等所有用的用的资源。HIDS分析的基础主是系统日志通过对志的综合分，HIDS够清楚区分常的或异常的用程序数据息。HIDS能够问并检系统中的特组件需要具一些仅能为所知的关于机和其正常为的特知识，才能证HIDS它所驻的系协调一致。当然，HIDS存在一大的缺陷。先，攻者可以入侵控制一未安装H的主机来访问受护的主机，样的情况HIDS是能为力。也就是说，要保护区域内所有主，就必须为一台主安装，并且，根据操作系版本不同，安装的本也会同。

网的与测2.3基于网络的入侵测系统基于网的入侵检测统IDS，其主要功能实时分网络数据包并对其中的击数据进行测识别与基于机的入侵检系统H相比NIDS的好处就成本更，于它被部署某一个网络关键区，并且只需署在一主机上，就以监控网络中有主机的流、数据信息。NIDS的缺点也明显的网络流量的益增加NIDS要想实时地准确地理这些据包而不发丢包，有部署多个NIDS协同工作才应付接着，对分段击由于包长包就会分割成几个数据同样分割成份NIDS主机接到这些分段据之后要进行顺序装。最，面对日渐熟的通加密、道技术，NIDS要想捕获并分包内信实际上变得常困难即使解密出来明文能被N读取，但是，一中间骤产生的时有时是法接受的。基于网的入侵检测系原理网络入检测系统的心检测块主要是对络包的头及其负载容进行检测其对每一个的处理程大致如下首先通包分类，先测数据的包头，判是否与则库中的某规则所对应头部相符，果不相，则丢弃该，系统做任何报警作；如匹配成，则进入下步，调模式匹配算，检测络包的负载当然，了提高警效率，大分的包测只需针对头进行查即可。对载的检可以使测更加精确误报率低。检测规是NIDS检的主要据，为了现攻击的有效检测NIDS统都会构复杂的规则析图来成对网络包头和负内容的检测一条检规则包规则头和规选项两分规则头为五个常用段：议类型，源I地址，端口地址，的IP地，目的端口址。而则选项则指攻击的征字段及响应字段方法。

网的与测常见的于网络的入检测系有Snort，等。网络入侵检测系统作为一个开源的轻级的网入侵检测产，由于开源的性质对应用系统及组件的断完和开发已经使S在全球范围内到了广泛的应，并且拥有社区的强大技支持和大的使用群。保守计，世界范内部署的S传感器已超过万。网络入检测系的结构框架在整体部署时的通层次结可分为传感层，Snort务器层分析控制台层，各层数流程如2.1。传器Snort服务器分控台图.1snort结体系传感器主要负责原网络数包的捕获，集，预理等功能，捕获的数据进行解释。服务器主要是搜集传感器传过来的报数据，后将其转化系统或用户读的格式；分析控台层主要是台支持的浏览器它的作是对服器搜集的报警进行中显示，与析管理进行沟通。从S入侵检测统分析络流量并形报警的程来看，不的组件担着不的功能snort包的主要件有包捕获序L，解码器预处理程序检测引擎和出插件各组件模块据流程图2.2所。

网的与测首先是用程序Libpcap包捕获器由于单的S应用程序不包含包捕获器，此需要引入种合适包捕获工具可以行在几所有行的操作统之上，正因为Libpcap这种通性和可移植，使得本身具有大的优势，为在不操作系统上现的入侵检测系提供了个统一底层接口程。获据

包码预理序

预理序检引输插图.2内部组件工作流图原始数包被捕获后就送入L的包解器，它作用和工作程与操作系的包解码过如出一，即都是对体协议元进行解码分析其效荷载一个处理过。从较层的协议开，逐渐上剖析各层议单位解码后数据将送往存中暂下来，等待处理程和检测引擎调用。处理程和检测引擎以对Libpcap捕获并解的数据行检匹配。解码流程如图2.3所。预处理序对于snort测体系说非常重要它的主功能是进行据规约和数清洗。预处匹配一分为两类。类是检和修改可疑为的数包。一是负责对流标准化便检测引擎准确匹特征。前者以发现基于特的攻击，后可以处流量的模式从而使些运用了躲技术的

网的与测击无法过S检测引的检查Libpcap据传输层图2.3包解流程

送往预统计包常检测引擎PADEStatisticalPacket）是一种殊的预处理序。它用到的方法前面提的异常检测即首先立一个述正常流量表，表的数据记录用如源目的IP地，端口址，通信协等特性唯一定的一数据包，然将实际量与该表中正常描匹配。为将要处理每个数包配置一个常值，异常值与该数据包现的频相关，出现率越低则所分配的常值较，如果该异值超出报警的限值，则引该类异对应的报警检测引是Snort入侵检测系中最重要的它的主职责是对从Libpcap解码出的数据和经预处理块处理过的据进行则分析和特匹配检测。最后，Snort体系结构重要的个组件是输插件。是原始数据经过处理后献给用户分的平台输出插件可将检测擎和预处理序分析的报警据转存到不的文件存储系统中（）规则之所以能像在这样行，了有大专业人员对序代码不断补充完善和论的交流和技共享之，另一个让大用户常欢迎的就它支持户自定规则，甚至括可以改原有规则来定制套适合于自网络环

网的与测的入侵测规则。现许多的开源代码入检测系厂商为了能容snort规则集，都在其自身开发I系统上实现T功能特性Trons够接受方发布规则集合和户自定的规则集，功能模能将snort规则集换为对应厂支持的规则。规则存储着入侵击数据特征描述，此，规集的编与装载也就为了配系统之前的键步骤规则头规则类型关字选项三种Alert其中lert是最常用的，用于产生一报警，下来就记录该报警对应的数据。被设成Alert则类型规则是系统理员认最重要的规，与该则相匹配的据包将发送到报警出模块。关键字被用建立忽规则集，即与该则集相匹的数据包将会被入检测系统处。类型的规则的要程度有Alert规则高与L规则匹的数据包不被报警出它只是系统简单的录下来已。其中，据包流向的选方向键字支持两类型：->是单向流量描，要想描双向流量，要使用>向操作符。源地址目的地址，端口，的端口都可用a来表示意，如果要别指定可以单独列来。规则头的协议字段键字支三个常用的议：TCP，UDP，ICMP。如果说则头代表的事件发在宏观方向的描述话，规则选则是对事件生在微观范内的细。规则选的关键字按功能和用对象不同常见的分为以下几：关于的响应选关键字。最见的就报警关键字，它被于生成一个单的报警，时触发报警的数据也同时记录下来。关键字Logto不是产生警，而且还与规则配的数据包录到日文件中。（）Snort报警作为个人机互的环节，非常重的。产生报警方式可以有多种，并且警平台很多，最常的是在A即入侵分析控制输出报警它是基于Web的。ACID提供了富的查功能。它可按照逻辑功能报警分组并可以分关联到上的C标准漏洞库应的录上同时ACID还以处理自其他安全置的数，样就可以用A

网的与测来做关分析[。用的最的nort报警是ast格式图2.4就是两条完的fast格式输出报警，格式如下:时间戳[事件产器/预理器析器编：规则号：本号]打印信息[**]类别信息[报等级]协议源：源端口目的IP：目的口。在图2.4所显示的第一条报记录中03/26-00:03:12.411064表示警产生的间；[**]元素分符；规则信[1:483:5]显示,使的预处器或分析器编号为1，规则签名编号sid为483,字值rev=5表此规则该类规则改的第五个本；该报警显示信为ICMPCyberKitWindows；报警所属类为Miscactivity；先级priority为3，优先级较低；该报警的攻击地址为24.91.123.110目的地是202.203.208.104。图Snort的Fast报警式

网的与测第三章告警融关键技研究3.1入侵检测信息规化现在市上的入侵检系统种繁多，厂家准也各不同，同时针对主机和对网络的入检测系由于针对的象不同在结构上也相径庭对于研者和用户来，不同类不同要想合利用些结构的入检测系所提供报警信息，就牵涉报警格式以报警信存储的问题要想解这一问并非易事。CIDF模型美国国部高级研究划署（DARPA的CIDF工作组针对上述题提出了（IntrusionDetection，）通用入侵测框架该框架针的对象是事，在该框架定义EventGenerators事件产生器,件分析，事件数库和ResponseUnit响应单四个组件[32]通用入侵检对象是件之间数据息交换统一格式。该框架的四个组件作流图图3.1。事数据GI事产

GIGID

事分析GID响单图3.1模型流图

网的与测IDMEF模型IDMEF数模型能很好的描述种类型报警特征，效的实报警析器与制台、系统理程序间的数据交，其告采用二进制方式实，而且，于该模型采的是一描述语言的语言XML，此，各统的报警都可以这一模型进描述。能为不同系产生的警构建一个一的描标准，样使得各个构入侵测系统分析擎所产的报警信息能够作分析员行关联分析原始数。设计IDMEF据模型目标是为警提供确定的标表达方式，描述简警报和复杂报之间关系[36]。IDMEF用了面向对的描述法定义了入报警模的各个元素体、属性等数据结构模[32]，其的要类定义如所示。IDMEF-MessageAlert

AnalyzCreatTDetectAnalyzSourceTarget

NodeUserProceServiNode

AnalyzCreatTAdditiClassiUserAdditiAssess

ProceServiFile图IDMEF模型类库其中IDMEF-Message，它是该模中最顶层的。在IDMEF模型的数据类型义中，它包了两个类，即Alert报警）类和（心）类。在XML格式文档中用来描述报的元素主要是描述报警的特征，的属性值ident，作为报警生先后的标号；impact属性记录的是攻击成功否；

网的与测Alert素包含了类元素其中和分别记录攻击告的源头与的地的特征用于标识分引擎；描述报警析的时；Classification包含的是报的类型息，包括类名和报名；类是分析引对此次击报警事件评估，括它