(計(jì)算機(jī)軟件與理論專業(yè)論文)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)中網(wǎng)絡(luò)管理擴(kuò)展.pdf_第1頁(yè)
(計(jì)算機(jī)軟件與理論專業(yè)論文)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)中網(wǎng)絡(luò)管理擴(kuò)展.pdf_第2頁(yè)
(計(jì)算機(jī)軟件與理論專業(yè)論文)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)中網(wǎng)絡(luò)管理擴(kuò)展.pdf_第3頁(yè)
(計(jì)算機(jī)軟件與理論專業(yè)論文)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)中網(wǎng)絡(luò)管理擴(kuò)展.pdf_第4頁(yè)
(計(jì)算機(jī)軟件與理論專業(yè)論文)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)中網(wǎng)絡(luò)管理擴(kuò)展.pdf_第5頁(yè)
已閱讀5頁(yè),還剩55頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

(計(jì)算機(jī)軟件與理論專業(yè)論文)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)中網(wǎng)絡(luò)管理擴(kuò)展.pdf.pdf 免費(fèi)下載

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

華中科技大學(xué)碩士學(xué)位論文 t ;- 。甚 摘要 目前,入侵檢測(cè)系統(tǒng)主要分為基于主機(jī)檢測(cè)和基于網(wǎng)絡(luò)檢測(cè)兩種,一般是對(duì)系統(tǒng) 的審計(jì)日志進(jìn)行數(shù)據(jù)挖掘或者對(duì)網(wǎng)絡(luò)包進(jìn)行截取分析,通過模式匹配等手段發(fā)現(xiàn)入 侵。這些系統(tǒng)的主要問題是信息來(lái)源比較單一,容易產(chǎn)生漏報(bào)和誤報(bào);截取網(wǎng)絡(luò)包消 耗了較多的系統(tǒng)資源,影響了正常的工作。另外,管理員在利用入侵檢測(cè)系統(tǒng)防范入 侵的同時(shí),一般還需要額外的網(wǎng)絡(luò)管理軟件對(duì)網(wǎng)絡(luò)中的設(shè)備進(jìn)行維護(hù),這使日常管理 工作變得復(fù)雜。 為了解決這些問題,在c i d f 基礎(chǔ)上提出了一種基于分布式代理的網(wǎng)絡(luò)入侵檢測(cè)系 統(tǒng)模型( d a n i d s ) 。并結(jié)合j a v a a p p l e t 、w w w 、c o r b a 以及簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議,對(duì)該 入侵檢測(cè)系統(tǒng)進(jìn)行了網(wǎng)絡(luò)管理功能的擴(kuò)展。 系統(tǒng)在提供入侵檢測(cè)功能的同時(shí),提供瀏覽設(shè)備管理信息庫(kù)、配置設(shè)備參數(shù)、監(jiān) 測(cè)設(shè)備運(yùn)行參數(shù)等功能,從而簡(jiǎn)化了管理員的工作。另一方面,因?yàn)楹?jiǎn)單網(wǎng)絡(luò)管理協(xié) 議得到眾多網(wǎng)絡(luò)設(shè)備的支持,不用添加額外的程序就可以獲取很多有用的信息。將這 些信息提供給入侵檢測(cè)系統(tǒng),提高了入侵檢測(cè)的準(zhǔn)確率。運(yùn)用簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議中的 消息格式進(jìn)行通信,使入侵檢測(cè)系統(tǒng)本身的安全能得到保證。對(duì)管理信息庫(kù)使用基于 視圖的訪問控制,減少了管理員的誤操作。( 另夕卜,借助于標(biāo)準(zhǔn)協(xié)議,系統(tǒng)可以方便的 擴(kuò)展并且能和其他符合該協(xié)議的系統(tǒng)協(xié)同工作6 關(guān)鍵詞:網(wǎng)絡(luò)安全;入侵檢測(cè);網(wǎng)絡(luò)管理;簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議;管理信息庫(kù);訪 問控制;安全模型 華中科技大學(xué)碩士學(xué)位論文 a b s t r a c t a tp r e s e n t ,t h e r ea r et w ob a s i ci n t r u s i o nd e t e c t i o ns y s t e m s ,h o s tb a s e d a n dn e t w o r kb a s e ds y s t e m s t h e yc a nf i n di n t r u s i o nb ym e a n so fd a t ad i g g i n g o fa u d i tr e c o r d s ,a n a l y z i n gp a c k e t sf r o mn e t w o r ka n dp a t t e r n m a t c h i n g t h e r e a r es o m ep r o b l e m so ft h e s es y s t e m s f i r s t ,t h es o u r c eo fi n f o r m a t i o n f o r d e t e c t i n gi sl i m i t e d ,i t i ic o u r s er e p o r tm i s s i n go rm i s t a k i n g s e c o n d l y , a n a l y z i n gp a c k e t sf r o mn e t w o r kt a k e ss om a n yr e s o u r c e st h a td a i l yw o r kc a n n o t b ed o n ee f f i c i e n t l y a b o v ea 1 1 ,m a n a g e r sn e e do n e s y s t e mf o ri n t r u s i o n d e t e c t i o na n dn e e da n o t h e rf o rn e t w o r km a n a g e m e n ta tt h es s j l l et i m e t h i sm a k e s d a i l yw o r k sc o m p li c a t e d t os o l v et h e s ep r o b l e m s ,am o d e lo fd i s t r i b u t e da g e n t b a s e dn e t w o r k i n t r u s i o nd e t e c t i o ns y s t e m ( d a n i d s ) i sp r e s e n t c o m b i n i n gt e c h n o l o g i e so f j a v aa p p l e t ,w e bs e r v i c e ,c o r b aa n ds n m p ,an e wi n t r u s i o nd e t e c t i o ns y s t e m w i t hn e t w o r km a n a g e m e n tu t i l i t i e si sb u i l d p r o v i d i n gt h ea b i l i t yo fi n t r u s i o nd e t e c t i o n ,t h es y s t e ma l s oh e l p st h e m a n a g e rw i t hu t i l i t i e sf o re x p l o r i n gt h em a n a g e m e n ti n f o r m a t i o nb a s e , c o n f i g u r i n ga n dm o n i t o r i n gt h ed e v i c e s s i n c es n m pi sw i d e l ys u p p o r t e db y d e v i c ev e n d o r s ,w i t h o u ta n ye x t r ap r o g r a mw ec a ng e tm u c hu s e f u li n f o r m a t i o n w i t ht h i si n f o r m a t i o n i n t r u s i o nd e t e c t i o ns y s t e mc a nw o r km o r ea c c u r a t e l y u s i n gt h em e s s a g ef o r m a to fs n m pt oc o m m u n i c a t em a k e st h es y s t e ms a f e t y w i t h v i e w b a s e da c c e s sc o n t r o lo fm i b ,m a n a g e rc a nw o r kw i t hf e wm i s t a k e s a b o v e a l l ,w i t ht h eh e l po fs t a n d a r dp r o t o c o l ,t h ei n t r u s i o nd e t e c t i o ns y s t e m b e c o m e sf l e x i b l ef o re x t e n d i n ga n du n i v e r s a lf o rc o o p e r a t i n gw i t ho t h e r s y s t e m s k e yw o r d s , n e t w o r ks e c u r i t y ;i n t r u s i o nd e t e c t i o n :n e t w o r km a n a g e m e n t : s i m p l en e t w o r km a n a g e m e n tp r o t o c o l :m a n a g e m e n ti n f o r m a t i o nb a s e ;a c c e s s c o n t r o l ;s e c u r i t ym o d e l i i 華中科技大學(xué)碩士學(xué)位論文 1 緒論 1 1 計(jì)算機(jī)安全、網(wǎng)絡(luò)安全概述 隨著信息時(shí)代的來(lái)l 臨,計(jì)算機(jī)已經(jīng)成為現(xiàn)代社會(huì)生產(chǎn)、生活中的不可缺少的工具。 最初的計(jì)算機(jī)主要用于科學(xué)計(jì)算,它的體積龐大,運(yùn)算速度也比較慢;隨著科學(xué)技術(shù) 的進(jìn)步,計(jì)算機(jī)的體積不斷縮小,運(yùn)算的速度也不斷提高。計(jì)算機(jī)已經(jīng)從一種的專用 的計(jì)算工具逐步過度到一種必備的工具。計(jì)算機(jī)應(yīng)用已經(jīng)逐步滲透到人類的社會(huì)活動(dòng) 中,并對(duì)社會(huì)的政治、經(jīng)濟(jì)和文化產(chǎn)生了深刻的影響。科學(xué)技術(shù)是第一生產(chǎn)力,而計(jì) 算機(jī)作為科學(xué)技術(shù)的結(jié)晶,已經(jīng)成為提高社會(huì)生產(chǎn)力的重要手段之一。并且,隨著計(jì) 算機(jī)網(wǎng)絡(luò)的出現(xiàn)、發(fā)展和壯大,以前只有大型計(jì)算機(jī)才能完成的任務(wù),現(xiàn)在只要借助 于計(jì)算機(jī)網(wǎng)絡(luò)就可以完成。計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)逐步成為黨政機(jī)關(guān)、商業(yè)和金融部門、交 通運(yùn)輸部門日常工作不可缺少的重要工具,在這些計(jì)算機(jī)網(wǎng)絡(luò)中傳遞的數(shù)據(jù)不但涉及 到個(gè)人隱私、商業(yè)機(jī)密等內(nèi)容,甚至還有可能涉及國(guó)家政治、軍事、經(jīng)濟(jì)的秘密,所 以,計(jì)算機(jī)的安全問題就顯得十分重要。“如何保證計(jì)算機(jī)中保存的數(shù)據(jù)不被竊取、 篡改? ”“如何保證計(jì)算機(jī)網(wǎng)絡(luò)中傳遞的信息不泄露? ”等等,這些問題越來(lái)越受到 重視。 國(guó)際標(biāo)準(zhǔn)化組織中將計(jì)算機(jī)安全定義為:“采用一定的技術(shù)或著管理來(lái)對(duì)數(shù)據(jù)處 理系統(tǒng)進(jìn)行安全保護(hù),包括保護(hù)計(jì)算機(jī)硬件、軟件數(shù)據(jù)不因偶然的或故意的原因而遭 到破壞、更改和泄露?!薄? 這里是側(cè)重于對(duì)靜態(tài)信息方面的保護(hù)。而我國(guó)公安部將計(jì) 算機(jī)安全定義為保護(hù)計(jì)算機(jī)的硬件、軟件和數(shù)據(jù),包括保證不受偶然或者惡意的原因 遭到破壞、更改和泄露,強(qiáng)調(diào)整個(gè)系統(tǒng)能夠正常運(yùn)行。這里是側(cè)重于動(dòng)態(tài)意義的描述。 計(jì)算機(jī)安全涉及到的范圍很廣,涉及到各種影響計(jì)算機(jī)安全的因素和保障計(jì)算機(jī) 系統(tǒng)及其正常運(yùn)行的安全措施。計(jì)算機(jī)安全研究對(duì)象主要有包括:人員,即計(jì)算機(jī)系 統(tǒng)的操作人員;計(jì)算機(jī)系統(tǒng),包括計(jì)算機(jī)軟件、硬件;計(jì)算機(jī)及其運(yùn)行的環(huán)境,包括 物理設(shè)備環(huán)境和管理環(huán)境。對(duì)于軟件專業(yè)的研究人員,主要的研究對(duì)象是計(jì)算機(jī)系統(tǒng) 本身,特別是系統(tǒng)軟件級(jí)的安全問題。 計(jì)算機(jī)安全應(yīng)在軟件方面主要考慮:計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的通訊安全、操作系統(tǒng)自 身的安全、數(shù)據(jù)庫(kù)管理系統(tǒng)的安全以及應(yīng)用系統(tǒng)的安全。 華中科技大學(xué)碩士學(xué)位論文 這幾個(gè)方面的內(nèi)容是互相補(bǔ)充、相互關(guān)聯(lián)的。例如一個(gè)實(shí)際的應(yīng)用系統(tǒng)中,自身 有完善的安全認(rèn)證、密碼保護(hù)等措施,保證系統(tǒng)的安全,但如果它運(yùn)行在一個(gè)缺乏安 全措施缺乏的操作系統(tǒng)上,或者運(yùn)用的數(shù)據(jù)庫(kù)管理系統(tǒng)的安全級(jí)別很低,那么最終還 是不能保證整個(gè)系統(tǒng)的安全。 計(jì)算機(jī)安全的內(nèi)容應(yīng)包括物理安全和邏輯安全兩個(gè)方面。 物理安全主要是指系統(tǒng)的硬件設(shè)備和設(shè)施受到物理層面的保護(hù)。因?yàn)楫?dāng)前的條件 下,計(jì)算機(jī)設(shè)備的費(fèi)用仍然十分昂貴,所以對(duì)于計(jì)算機(jī)的網(wǎng)絡(luò)設(shè)備、主機(jī)或者其它硬 件設(shè)備,考慮它們的物理安全是一個(gè)非常必要的問題。保證物理安全的手段主要包括: 保安警衛(wèi)、放置設(shè)備的機(jī)房中的報(bào)警系統(tǒng)、鑰匙或信用卡識(shí)別等。 邏輯安全主要包括信息的完整性、保密性和可用性。這里的完整性、保密性和可 用性是專門針對(duì)計(jì)算機(jī)安全方面的。其中,完整性主要是指信息不會(huì)被非授權(quán)修改以 及信息保持一致性等,和數(shù)據(jù)庫(kù)領(lǐng)域的數(shù)據(jù)完整性的本質(zhì)是相同的。保密性是指高級(jí) 別的信息只有在授權(quán)的情況下才能流向低級(jí)別的客體與主體??捎眯允侵负戏ㄓ脩舻?正常請(qǐng)求能夠及時(shí)、正確、安全地得到服務(wù)或者回應(yīng)。 比較物理安全和邏輯安全兩方面,可以發(fā)現(xiàn)物理安全比較容易實(shí)現(xiàn),而且實(shí)施起 來(lái)不需要很高的技術(shù)。而邏輯安全領(lǐng)域需要研究的范圍十分廣泛,這方面的研究具有 巨大的潛在價(jià)值。目前對(duì)計(jì)算機(jī)安全的研究,主要的工作重點(diǎn)是對(duì)邏輯安全方面的研 究。 總的說(shuō)來(lái),計(jì)算機(jī)安全的目標(biāo)就是要建立、維護(hù)對(duì)計(jì)算機(jī)系統(tǒng)的控制,保證系統(tǒng) 能夠正常工作和運(yùn)行。現(xiàn)在,可以采取多種控制方法來(lái)達(dá)到這個(gè)目標(biāo)。這些方法主要 分為六種: 1 物理控制 一般來(lái)說(shuō),某些最容易、最節(jié)省和最有效的控制就是直接的物理上的控制。如前 面提到的,物理控制可以包括:門禁系統(tǒng)、入口警衛(wèi)設(shè)置、對(duì)重要軟件、數(shù)據(jù)進(jìn)行備 份等。但是,人們?cè)趯ふ腋鼜?fù)雜的安全控制方法時(shí),有時(shí)容易將這些簡(jiǎn)單的物理控制 忽略,所以,往往簡(jiǎn)單的盜竊行為可能使系統(tǒng)遭受重大損失。 2 硬件控制 現(xiàn)在,很多計(jì)算機(jī)安全研究機(jī)構(gòu)生產(chǎn)了各種專用的硬件設(shè)備來(lái)保證和實(shí)現(xiàn)計(jì)算機(jī) 的安全。這些設(shè)備包括硬件加密器、通信保密機(jī)、加密狗以及智能卡等硬件設(shè)備。比 如在連接兩個(gè)相距很遠(yuǎn)的子網(wǎng)時(shí),先將數(shù)據(jù)通過通信保密機(jī)加密,然后送入路由器, 2 華中科技大學(xué)碩士學(xué)位論文 這樣,傳遞的信息在傳輸過程中就不會(huì)被竊取。 3 軟件控制 因?yàn)橛?jì)算機(jī)的使用離不開操作系統(tǒng)和應(yīng)用程序,所以要保證這些軟件的安全。計(jì) 算機(jī)的操作系統(tǒng)本身也是由開發(fā)人員編制的程序組成,另外,操作系統(tǒng)之上運(yùn)行的應(yīng) 用程序也是如此,所以,在研發(fā)這些程序代碼時(shí),要考慮到安全問題,能夠排除外部 攻擊。軟件控制主要包括:開發(fā)控制、操作系統(tǒng)控制、內(nèi)部程序控制和審計(jì)控制。 其中,審計(jì)控制是跟蹤并記錄行為,利用這些記錄作為事后的調(diào)查線索。 由于軟件控制將影響到整個(gè)系統(tǒng)的可用性問題,所以必須認(rèn)真的進(jìn)行設(shè)計(jì)和開發(fā) 工作。但由于解決安全要耗費(fèi)系統(tǒng)的一些資源,使正常的系統(tǒng)工作效率降低,所以如 何解決安全和系統(tǒng)性能之間的矛盾是值得研究的課題?,F(xiàn)在有很多系統(tǒng)因?yàn)榧訌?qiáng)了軟 件控制,增強(qiáng)了系統(tǒng)安全的安全性,而導(dǎo)致系統(tǒng)的效率嚴(yán)重下降。 4 數(shù)據(jù)加密 目前,提供給計(jì)算機(jī)中信息安全問題最有效的解決方法就是對(duì)信息加密,這種方 法很早就在實(shí)際中被采用。通過數(shù)學(xué)的角度看,加密的本質(zhì)就是通過對(duì)數(shù)據(jù)進(jìn)行變換, 使外部的觀察者看不懂?dāng)?shù)據(jù)的真實(shí)意義。這樣一來(lái),即便外部的攻擊者能夠竊取到加 密的信息,也不能獲取或者更改信息的內(nèi)容。 加密方法為數(shù)據(jù)提供了保密性。此外,加密還可以保證數(shù)據(jù)的完整性,因?yàn)橥ǔ?讀不懂的數(shù)據(jù)也難以更改。由此可見,加密是計(jì)算機(jī)安全控制中的一種重要工具,但 我們也不能過高估計(jì)其作用。加密并不能解決計(jì)算機(jī)安全中的所有問題。此外,如果 加密使用不當(dāng),可能降低系統(tǒng)的安全性或可用性。所以必須根據(jù)具體的情況考慮加密 的時(shí)間、地點(diǎn)和采用的加密措施。 5 策略控制 除了以上幾種方法以外,有些安全控制可以通過策略控制來(lái)增強(qiáng)。有些策略,比 如口令字的選取、定期更換等,不需要增加系統(tǒng)的開銷也能取得很好的效果。 6 其它控制 另外,利用法律、道德等工具來(lái)進(jìn)行控制也是計(jì)算機(jī)安全中不可缺少的方法。為 業(yè)務(wù)人員制定相應(yīng)的道德規(guī)范并在法律上嚴(yán)厲打擊各種計(jì)算機(jī)犯罪都是十分必要的。 一個(gè)完整的安全信息系統(tǒng)要綜合地使用身份鑒別、訪問控制、數(shù)據(jù)加密、審計(jì)、 安全管理等安全技術(shù)。在實(shí)現(xiàn)中,沒有任何一項(xiàng)技術(shù)能夠獨(dú)立的完全解決安全問題。 一個(gè)設(shè)計(jì)完好的系統(tǒng)應(yīng)該盡可能地綜合運(yùn)用這些技術(shù)來(lái)實(shí)現(xiàn)總體的安全目標(biāo)。 華中科技大學(xué)碩士學(xué)位論文 隨著信息高速公路的架設(shè),世界電子商務(wù)的發(fā)展和我國(guó)政府機(jī)構(gòu)上網(wǎng)工程的不斷 深入,越來(lái)越多的公司、企業(yè)和政府機(jī)構(gòu)在網(wǎng)上辦理業(yè)務(wù),這種高效、便捷的方式不 僅為我們提供了生活的便利,為企業(yè)創(chuàng)造了高額利潤(rùn),同時(shí)也使得政府機(jī)構(gòu)辦公效率 有了顯著提高。但隨著網(wǎng)絡(luò)服務(wù)功能不斷擴(kuò)大,在提供給用戶便利的同時(shí),也給高科 技犯罪提供了途徑“1 。以前的單機(jī)系統(tǒng)一般與外界是隔離的,其中的信息不容易被獲 取?,F(xiàn)在,網(wǎng)絡(luò)黑客通過i n t e r n e t ,可以入侵到公司、企業(yè)甚至是政府機(jī)構(gòu)的網(wǎng)絡(luò)中, 竊取、篡改計(jì)算機(jī)中的信息,或者對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行破壞,導(dǎo)致網(wǎng)絡(luò)服務(wù)癱瘓,給公 司、企業(yè)和政府造成巨大的經(jīng)濟(jì)損失。這種情況之下,就需要對(duì)計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行有效 的監(jiān)視和管理”。 使用入侵檢測(cè)系統(tǒng)的原因:防范網(wǎng)絡(luò)攻擊的主要常用手段就是防火墻。從技術(shù)理 論上講,防火墻已經(jīng)成為一種先進(jìn)、復(fù)雜的應(yīng)用層網(wǎng)關(guān)。它不僅能完成傳統(tǒng)的過濾任 務(wù),同時(shí)也能夠針對(duì)網(wǎng)絡(luò)應(yīng)用提供相應(yīng)的安全服務(wù)。利用防火墻,在正確配置的情況 下,一般能夠?qū)?nèi)部子網(wǎng)提供有效的安全保護(hù),防范多數(shù)的惡意攻擊,從而降低網(wǎng)絡(luò) 安全的風(fēng)險(xiǎn)。 雖然防火墻的功能越來(lái)越強(qiáng)大,但總有一些入侵者能成功的繞過防火墻。一方面 入侵攻擊手段在不斷發(fā)展,另一方面,來(lái)自內(nèi)部子網(wǎng)的惡意破壞也是防不勝防。 1 2 入侵檢測(cè)系統(tǒng)的概念 入侵檢測(cè)( i n t r u s i o nd e t e c t i o n ,i d ) 技術(shù)是利用入侵者留下的痕跡信息,比 如系統(tǒng)日志、可疑進(jìn)程等,發(fā)現(xiàn)來(lái)自外部或內(nèi)部的非法入侵的技術(shù)”“。入侵檢測(cè) 首先要搜集足夠的信息,包括計(jì)算機(jī)系統(tǒng)的日志文件、計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備( 如路由器) 中的相關(guān)數(shù)據(jù)信息,并根據(jù)這些數(shù)據(jù),進(jìn)行一定的分析后,發(fā)現(xiàn)系統(tǒng)或網(wǎng)絡(luò)中是否有 違反安全策略的行為或惡意攻擊操作。入侵檢測(cè)系統(tǒng)( i n t r u s i o nd e t e c t i o n s y s t e m ) 在發(fā)現(xiàn)入侵行為后,可以通過預(yù)先設(shè)定的功能,發(fā)出報(bào)警通知管理員或者進(jìn) 行操作,將可能由入侵帶來(lái)的損失減至最小”。 1 3 入侵檢測(cè)系統(tǒng)的歷史和現(xiàn)狀 入侵檢測(cè)技術(shù),最早是從傳統(tǒng)的審計(jì)技術(shù)發(fā)展而來(lái)的。在計(jì)算機(jī)發(fā)展的歷史上 4 華中科技大學(xué)碩士學(xué)位論文 早期為了對(duì)用戶上機(jī)的時(shí)間進(jìn)行記錄并收取費(fèi)用,采用了一定的審計(jì)功能。隨著計(jì)算 機(jī)的普及和在商業(yè)應(yīng)用不斷擴(kuò)大和深入,審計(jì)的功能也越來(lái)越豐富,通過審計(jì)信息, 用戶可以了解計(jì)算機(jī)系統(tǒng)的使用情況,并可以利用審計(jì)信息,在系統(tǒng)發(fā)生問題時(shí)進(jìn)行 追蹤、調(diào)查。計(jì)算機(jī)審計(jì)逐步分化為主要為商業(yè)公司服務(wù)的e d p 審計(jì)和用于政府、軍 事等部門的安全審計(jì)。 二十世紀(jì)七十年代,隨著計(jì)算機(jī)的運(yùn)算速度不斷提高、應(yīng)用不斷普及,對(duì)計(jì)算機(jī) 安全的需求也顯著增加。1 9 8 0 年,j a m e sp a n d e r s o n 在一份研究報(bào)告中提出建議改 變計(jì)算機(jī)審計(jì)機(jī)制以便為計(jì)算機(jī)安全人員的追蹤、調(diào)查提供信息,開創(chuàng)了入侵檢測(cè)研 究工作。從1 9 8 4 年到1 9 8 6 年,d o r o t h yd e n n i n g 和p e t e rn e u m a n n 負(fù)責(zé)研究開發(fā)了一個(gè) 實(shí)時(shí)入侵檢測(cè)系統(tǒng)模型,系統(tǒng)被命名為入侵檢測(cè)專家系統(tǒng)。在這一模型中,提出了計(jì) 算機(jī)中的反?;顒?dòng)和不當(dāng)使用之間的相關(guān)性,這成為后來(lái)入侵檢測(cè)研究和系統(tǒng)原形的 基礎(chǔ)。1 9 8 9 年,美國(guó)國(guó)家計(jì)算機(jī)安全中心開發(fā)研制了m u t t i c s 入侵檢測(cè)和報(bào)警系統(tǒng), 并將系統(tǒng)投入實(shí)際運(yùn)行。這是第一個(gè)將監(jiān)控與因特網(wǎng)相結(jié)合的入侵檢測(cè)系統(tǒng)。由加利 福尼亞d a v i s 分校開發(fā)的網(wǎng)絡(luò)系統(tǒng)監(jiān)視器在入侵檢測(cè)研究歷史上是一個(gè)具有重要意義 的里程碑,開創(chuàng)了將網(wǎng)絡(luò)流量作為主要檢測(cè)數(shù)據(jù)源的先例,試圖把入侵檢測(cè)系統(tǒng)擴(kuò)展 到異種網(wǎng)絡(luò)環(huán)境的系統(tǒng)。在此之前,多數(shù)入侵檢測(cè)系統(tǒng)的信息主要來(lái)自于操作系統(tǒng)的 審計(jì)日志信息以及其它以主機(jī)為中心的信息。到二十世紀(jì)八十年代末,美國(guó)空軍、國(guó) 家安全局和能源部資助的分布式入侵檢測(cè)系統(tǒng)項(xiàng)目中,首次將基于主機(jī)的入侵檢測(cè)和 基于網(wǎng)絡(luò)的入侵檢測(cè)結(jié)合在一起。 目前,國(guó)外有很多實(shí)驗(yàn)室和公司在從事入侵檢測(cè)系統(tǒng)的研究、開發(fā)工作,已經(jīng)完 成了一些原形系統(tǒng)和產(chǎn)品。如思科公司的n e t r a n g e r 、n e t w o r ka s s o c i a t e s 公司的 c y b e r c o p 、i n t e r n e ts e c u r i t ys y s t e m 公司的r e a l s e c u r e 等。國(guó)內(nèi)的研究機(jī)構(gòu)和從事 網(wǎng)絡(luò)安全產(chǎn)品的公司也進(jìn)行了相關(guān)的研究、開發(fā)。雖然國(guó)內(nèi)的入侵檢測(cè)的產(chǎn)品較少, 但有多個(gè)入侵檢測(cè)產(chǎn)品通過了公安部、國(guó)家信息安全評(píng)測(cè)中心等機(jī)構(gòu)的認(rèn)證并獲得銷 售許可證。典型的產(chǎn)品有東軟公司的n e t e y ei d s 、清華紫光的u n i s i d s 入侵檢測(cè)系統(tǒng) 等。 華中科技大學(xué)碩士學(xué)位論文 1 4 入侵檢測(cè)系統(tǒng)的發(fā)展前景 網(wǎng)絡(luò)的普及和發(fā)展的速度越來(lái)越快,互聯(lián)網(wǎng)上的入侵、攻擊手段也是層出不窮。 雖然計(jì)算機(jī)信息安全、網(wǎng)絡(luò)安全已經(jīng)成為大家關(guān)注的焦點(diǎn),但現(xiàn)在這些問題還是十分 嚴(yán)峻。由于早期的計(jì)算機(jī)網(wǎng)絡(luò)建設(shè)中缺乏經(jīng)驗(yàn),所以很多現(xiàn)存的網(wǎng)絡(luò)應(yīng)用中缺乏對(duì)安 全問題的考慮。除了在軍事、經(jīng)濟(jì)等要害部門或行業(yè)的應(yīng)用中對(duì)安全問題有所防范外, 其它的計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用很少有安全防范的能力。因?yàn)橛?jì)算機(jī)系統(tǒng)本身就可能存在一些 安全隱患或者漏洞,需要不斷的升級(jí)完善,所以即便那些采用了安全防范的系統(tǒng)也不 能獲得絕對(duì)的安全。為了保證計(jì)算機(jī)應(yīng)用中的信息和計(jì)算機(jī)網(wǎng)絡(luò)的安全,除了在系統(tǒng) 中采用防火墻、身份認(rèn)證、訪問控制、數(shù)據(jù)加密等方法外,還需要采用入侵檢測(cè)等手 段,積極防范惡意攻擊。 隨著高科技犯罪的增多,在很多敏感部門的計(jì)算機(jī)系統(tǒng)中,對(duì)入侵檢測(cè)的需求在 不斷增加“1 。了解系統(tǒng)的運(yùn)行狀態(tài),查看網(wǎng)絡(luò)的負(fù)載情況,檢查各種網(wǎng)絡(luò)設(shè)備 的工作甚至是計(jì)算機(jī)應(yīng)用中的異常操作等,這些對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)的管理者都有十分重 要的參考價(jià)值。有了入侵檢測(cè)系統(tǒng)作為工具,可以很容易獲得這些信息,經(jīng)過適當(dāng)?shù)?配置后,可以有效的阻止一定的惡意攻擊1 。 雖然入侵檢測(cè)系統(tǒng)是協(xié)助管理員對(duì)系統(tǒng)資源進(jìn)行監(jiān)視管理的有效工具“”,很多 入侵可以被自動(dòng)識(shí)別和防范,但在有些情況下,還需要管理員有一定的管理知識(shí)和經(jīng) 驗(yàn),當(dāng)發(fā)現(xiàn)入侵活動(dòng)后,采用必要、適宜的方式,維護(hù)整個(gè)系統(tǒng)的正常工作“4 ”。 1 5 本課題研究的目的和意義 入侵檢測(cè)系統(tǒng)已經(jīng)成為計(jì)算機(jī)安全問題研究的重點(diǎn)之一。我們研究的目的在于設(shè) 計(jì)并實(shí)現(xiàn)一套具有良好可擴(kuò)充性的入侵檢測(cè)系統(tǒng),并將網(wǎng)絡(luò)管理技術(shù)和入侵檢測(cè)相融 合,在入侵檢測(cè)方面作一些嘗試。 網(wǎng)絡(luò)管理是現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)中不可缺少的部分,簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議已經(jīng)經(jīng)過了三 個(gè)版本的改進(jìn),變得比較成熟。很多網(wǎng)絡(luò)設(shè)備廠商提供對(duì)該協(xié)議的支持。網(wǎng)絡(luò)管理協(xié) 議中的代理、網(wǎng)管站等本身就是一個(gè)分布式檢測(cè)體系。雖然分布式入侵檢測(cè)系統(tǒng)檢測(cè) 方法繁多“1 ,涉及很多領(lǐng)域的知識(shí),但在體系結(jié)構(gòu)上,和網(wǎng)絡(luò)管理系統(tǒng)有非常相 似的地方。如何利用已經(jīng)存在的系統(tǒng)為新的應(yīng)用服務(wù)是節(jié)約成本的重要環(huán)節(jié),也是長(zhǎng) 6 華中科技大學(xué)碩士學(xué)位論文 期以來(lái)計(jì)算機(jī)運(yùn)用中面對(duì)的問題。很多公司為建成某一系統(tǒng)投入了大量人力、財(cái)力, 隨著時(shí)間的推移,新的技術(shù)很快出現(xiàn),舊的設(shè)備、系統(tǒng)面l 晦被淘汰的危險(xiǎn),而用戶多 數(shù)都希望添加新的功能、設(shè)備時(shí),舊的系統(tǒng)能夠繼續(xù)服務(wù)。 基于這樣的考慮,因?yàn)榇蠖鄶?shù)現(xiàn)存的網(wǎng)絡(luò)設(shè)備都支持網(wǎng)絡(luò)管理協(xié)議,如果將入侵 檢測(cè)系統(tǒng)和網(wǎng)絡(luò)管理系統(tǒng)集成,這將是很有意義的一項(xiàng)工作。并且,考慮到網(wǎng)絡(luò)管理 協(xié)議帶來(lái)的通用性,不同入侵檢測(cè)系統(tǒng)之間的協(xié)同工作也將成為可能。 1 6 論文的組織結(jié)構(gòu) 下面介紹論文的組織安排: 第一章緒論部分闡述本課題的研究背景,現(xiàn)狀、研究的目的和意義。 第二章基礎(chǔ)知識(shí)部分闡述了防火墻技術(shù)、入侵檢測(cè)技術(shù)、網(wǎng)絡(luò)管理協(xié)議和c o r b a 技術(shù)的概念及特點(diǎn)。 第三章入侵檢測(cè)系統(tǒng)總體設(shè)計(jì)部分闡述了入侵檢測(cè)系統(tǒng)的設(shè)計(jì)思想,提出入侵檢 測(cè)系統(tǒng)的總體框架。 第四章網(wǎng)絡(luò)監(jiān)視與控制子系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)部分主要闡述子系統(tǒng)的組成結(jié)構(gòu)和 各模塊的功能與實(shí)現(xiàn)。 第五章網(wǎng)絡(luò)監(jiān)視與控制子系統(tǒng)的安全部分詳細(xì)說(shuō)明網(wǎng)絡(luò)監(jiān)視與控制予系統(tǒng)中亟 臨的安全問題及解決辦法。 第六章結(jié)合s n m p 的入侵檢測(cè)系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)部分闡述如何利用s n k f p 技術(shù)實(shí)現(xiàn) 入侵檢測(cè)。 第七章總結(jié)部分主要闡述入侵檢測(cè)系統(tǒng)以及網(wǎng)絡(luò)管理子系統(tǒng)的優(yōu)點(diǎn)說(shuō)明了本文 介紹的網(wǎng)絡(luò)管理子系統(tǒng)對(duì)原來(lái)入侵檢測(cè)系統(tǒng)的改進(jìn)和提高之處,并對(duì)系統(tǒng)今后的改進(jìn) 方向進(jìn)行了探討。 華中科技大學(xué)碩士學(xué)位論文 2 1 防火墻 2 基礎(chǔ)知識(shí) 防火墻是現(xiàn)代網(wǎng)絡(luò)中不可缺少的隔離技術(shù),對(duì)入侵檢測(cè)系統(tǒng)有很好的借鑒作用, 在實(shí)現(xiàn)入侵檢測(cè)系統(tǒng)時(shí),還可以利用現(xiàn)有的防火墻為其服務(wù)1 引。 2 1 1 防火墻的概念 防火墻是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)之上的應(yīng)用性安全技術(shù)。 它是一個(gè)系統(tǒng),使被保護(hù)的網(wǎng)絡(luò)和其它網(wǎng)絡(luò)之間相互隔離,并能夠完成一些訪問控制 功能,阻止非法的信息訪問和傳遞。防火墻并非單純的軟件或硬件,它的實(shí)質(zhì)是軟件 和硬件再加上一定的安全策略的集合。入侵檢測(cè)系統(tǒng)在一定程度上可以看做是防火墻 的擴(kuò)展和延伸。研究、了解防火墻的相關(guān)知識(shí)和技術(shù)對(duì)構(gòu)建入侵檢測(cè)系統(tǒng)有很好的借 鑒作用。 2 1 2 防火墻的技術(shù)簡(jiǎn)介 計(jì)算機(jī)網(wǎng)絡(luò)中的防火墻是用于進(jìn)行網(wǎng)絡(luò)信息安全防范組件的總稱,是網(wǎng)絡(luò)總體安 全的一部分。防火墻根據(jù)預(yù)定的安全策略控制信息出入計(jì)算機(jī)網(wǎng)絡(luò),阻止不符合安全 策略的信息通過。防火墻本身具有較強(qiáng)的抗攻擊能力,可以提供信息安全服務(wù)。邏輯 上,防火墻是一個(gè)隔離器、過濾器、監(jiān)視器。防火墻采用的技術(shù)中,包括早期的簡(jiǎn)單 包過濾技術(shù)、后來(lái)出現(xiàn)的代理防火墻( 基于電路層和基于應(yīng)用層的) 、比較先進(jìn)的動(dòng) 態(tài)包過濾技術(shù)以及最新的自適應(yīng)代理技術(shù)。 2 1 3 防火墻的類型 防火墻從工作的基本原理上,可以分為兩大類:包過濾型和代理型。其中,包過 8 華中科技大學(xué)碩士學(xué)位論文 濾型防火墻從采用的安全策略設(shè)置上,可以細(xì)分為靜態(tài)包過濾型和動(dòng)態(tài)包過濾型。代 理型防火墻可分為應(yīng)用層網(wǎng)關(guān)防火墻和自適應(yīng)代理防火墻。還有的防火墻采用幾種工 作原理結(jié)合。 1 靜態(tài)包過濾防火墻 這種類型的防火墻根據(jù)預(yù)先定義好的過濾規(guī)則,審查經(jīng)過的數(shù)據(jù)報(bào)文。通過檢查 報(bào)頭信息中的i p 源地址、目的地址、采用的傳輸協(xié)議、端口、i c m p 消息類型等,將這 些與過濾規(guī)則進(jìn)行匹配,依情況決定是否讓其通過。 包過濾防火墻一般工作在網(wǎng)絡(luò)層或者應(yīng)用層,不需要對(duì)主機(jī)上的應(yīng)用程序進(jìn)行改 動(dòng),可以在路由器上實(shí)現(xiàn)。其優(yōu)點(diǎn)是對(duì)用戶是透明的,對(duì)網(wǎng)絡(luò)性能的影響較小,與網(wǎng) 絡(luò)通訊協(xié)議無(wú)關(guān),易于使用。但由于包過濾防火墻在應(yīng)用層下,只能利用數(shù)據(jù)包中的 有限信息,無(wú)法識(shí)別出應(yīng)用層的入侵。并且,由于缺少上下文關(guān)聯(lián)信息,不能有效過 濾無(wú)狀態(tài)協(xié)議如u d p 、r p c 等數(shù)據(jù)包。 2 動(dòng)態(tài)包過濾防火墻 由于靜態(tài)包過濾防火墻的不足,在此基礎(chǔ)之上采用動(dòng)態(tài)設(shè)置包過濾規(guī)則的方法, 通過基于上下文的動(dòng)態(tài)包過濾模塊進(jìn)行檢查,提高系統(tǒng)的安全性能。動(dòng)態(tài)包過濾防火 墻在網(wǎng)絡(luò)層不斷截獲流入的數(shù)據(jù)包,到一定數(shù)量后,就可以確定試圖進(jìn)行連接的相關(guān) 狀態(tài)。然后利用專用檢查模塊對(duì)這些包進(jìn)行檢查。將檢查的結(jié)果保存到動(dòng)態(tài)狀態(tài)表中, 利用這些結(jié)果對(duì)后續(xù)的數(shù)據(jù)包進(jìn)行安全評(píng)估。通過檢查的包可以通過防火墻。 上下文的動(dòng)態(tài)包過濾防火墻提高了安全性,很容易支持未來(lái)的網(wǎng)絡(luò)協(xié)議。但采用 的直接連線使內(nèi)部網(wǎng)絡(luò)暴露在外部網(wǎng)絡(luò)之下,危險(xiǎn)性還是很高。由于不檢查報(bào)文內(nèi)容, 也無(wú)法避免惡意攻擊,對(duì)于u d p 、r p c 等協(xié)議也無(wú)法檢查。 3 應(yīng)用層網(wǎng)關(guān)防火墻 應(yīng)用層網(wǎng)關(guān)防火墻也被稱為代理服務(wù)器,工作在應(yīng)用層,應(yīng)用層網(wǎng)關(guān)通過復(fù)制傳 遞數(shù)據(jù),打破了傳統(tǒng)的客戶機(jī)服務(wù)器的兩層工作模式,將客戶機(jī)和服務(wù)器隔離開來(lái)。 內(nèi)部主機(jī)同外部主機(jī)間的通信要通過代理程序建立相應(yīng)的連接映射來(lái)實(shí)現(xiàn)。工作原理 是:當(dāng)外部網(wǎng)絡(luò)的主機(jī)b 要和內(nèi)部網(wǎng)絡(luò)的主機(jī)a 通信時(shí),主機(jī)b 先發(fā)一個(gè)請(qǐng)求給代理服 務(wù)器,代理服務(wù)器檢查這個(gè)用戶的身份,如果是合法的用戶,則進(jìn)一步將請(qǐng)求轉(zhuǎn)發(fā)給 a ,監(jiān)控b 的操作,并將a 的響應(yīng)轉(zhuǎn)發(fā)給b :當(dāng)內(nèi)部網(wǎng)絡(luò)的主機(jī)要與外部網(wǎng)絡(luò)通信時(shí),過 程相反。 應(yīng)用層網(wǎng)關(guān)防火墻的優(yōu)點(diǎn)是將內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)隱藏起來(lái),對(duì)外網(wǎng)用戶是不可 9 華中科技大學(xué)碩士學(xué)位論文 , 見的a 同時(shí),所有的內(nèi)外網(wǎng)間的通信都受到監(jiān)控。缺點(diǎn)是效率不高。也不能為無(wú)狀態(tài) 連接提供代理。 4 自適應(yīng)代理防火墻 自適應(yīng)代理技術(shù)是最近運(yùn)用在商業(yè)應(yīng)用防火墻中的技術(shù)。它將包過濾防火墻的高 速和代理類防火墻的安全等優(yōu)勢(shì)結(jié)合,在安全性的前提上將速度提高。一般包括自適 應(yīng)代理服務(wù)器和動(dòng)態(tài)包過濾器兩部分,并用一個(gè)控制通道相連。 2 2 入侵檢測(cè) 2 2 1 入侵的主要手段和方式 1 拒絕服務(wù)式攻擊( d e n i a lo fs e r v i c e ,d o s ) 拒絕服務(wù)攻擊能夠消耗掉一臺(tái)遠(yuǎn)端主機(jī)或者網(wǎng)絡(luò)的所有資源,進(jìn)而導(dǎo)致合法用戶 的訪問被拒絕。這種類型的攻擊屬于很難處理的安全問題,原因是這種攻擊易于實(shí)現(xiàn)、 很難預(yù)防或者跟蹤“。具體包括的方法有:s y nf l o o d 、p i n go fd e a t h 、t e a r d r o p 、 u d pf l o o d 、s m u r f 攻擊等。 2 占用攻擊 占用攻擊是通過各種可能的方式,獲得目標(biāo)機(jī)器的使用權(quán)限,達(dá)到占有、控制和 使用目標(biāo)機(jī)器的目的。具體常用的方法有:猜測(cè)用戶口令、安置木馬程序以及程序緩 沖區(qū)溢出等。猜測(cè)用戶口令,即通過使用一些字典,對(duì)系統(tǒng)的合法用戶名、口令字反 復(fù)測(cè)試,以獲得合法用戶的口令,從而得到系統(tǒng)的使用權(quán)限。特洛依木馬是攻擊者有 意放置在目標(biāo)系統(tǒng)中,而由系統(tǒng)的合法用戶無(wú)意或者由系統(tǒng)按一定條件啟動(dòng),從而在 系統(tǒng)中為入侵者開辟使用通道并獲得使用系統(tǒng)資源的權(quán)限。程序緩沖區(qū)溢出的攻擊是 攻擊者以普通用戶身份在目標(biāo)系統(tǒng)中運(yùn)行某些程序( 有漏洞的系統(tǒng)程序或者惡意程 序) ,程序緩沖區(qū)溢出后操作系統(tǒng)指向并執(zhí)行惡意代碼,從而使攻擊者獲得系統(tǒng)超級(jí) 用戶的權(quán)限。 3 假消息攻擊 這種攻擊的主要目標(biāo)是系統(tǒng)中配置不正確的消息,主要包括:偽造電子郵件、域 名服務(wù)器高速緩存污染等。在域名服務(wù)中,本地域名服務(wù)器與其他域名服務(wù)器交換信 息時(shí)并不進(jìn)行身份驗(yàn)證,這就為入侵者提供了機(jī)會(huì),將不正確的信息加入到域名服務(wù) i o 華中科技大學(xué)碩士學(xué)位論文 器中,把用戶引向惡意提供的主機(jī),從而造成安全問題。在郵件服務(wù)系統(tǒng)中,由于協(xié) 議并不對(duì)郵件的發(fā)送者的身份進(jìn)行鑒定,因此入侵者可以對(duì)內(nèi)部客戶偽造電子郵件, 并聲稱該郵件是來(lái)自某個(gè)客戶相信的人,只要在郵件中附帶上可安裝的木馬程序,或 者是一個(gè)引向惡意網(wǎng)站的連接,就可以實(shí)現(xiàn)入侵的目的。 4 信息收集型攻擊 信息收集型攻擊是入侵的輔助手段,它對(duì)目標(biāo)系統(tǒng)沒有進(jìn)行直接的破壞活動(dòng)。這 類攻擊主要是搜集目標(biāo)系統(tǒng)的基本信息( 包括操作系統(tǒng)的類型、版本號(hào)、提供的服務(wù) 以及開放的端口號(hào)等) 。掌握了這些信息,可以為更進(jìn)一步入侵目標(biāo)系統(tǒng)作鋪墊。具 體的信息搜集攻擊的手段主要有端口掃描、系統(tǒng)信息刺探等。 入侵的主要方式可以說(shuō)都是利用現(xiàn)有計(jì)算機(jī)系統(tǒng)的弱膏2 2 2 3 1 ( 計(jì)算機(jī)軟件設(shè)計(jì) 中的缺陷、協(xié)議對(duì)安全問題的忽略) 造成。早期計(jì)算機(jī)系統(tǒng)的投入很大,很多舊系統(tǒng) 不可能被完全廢棄,另外,新的系統(tǒng)或多或少存在這樣那樣的安全隱患。入侵檢測(cè)系 統(tǒng)有十分重要的作用,因而成為國(guó)內(nèi)外研究和關(guān)注的重點(diǎn)2 。 2 2 2 入侵檢測(cè)的分類 從實(shí)現(xiàn)方式上,可將入侵檢測(cè)系統(tǒng)分為兩種:基于主機(jī)的入侵檢測(cè)系統(tǒng)和基于網(wǎng) 絡(luò)的入侵檢測(cè)系統(tǒng)。一個(gè)完備的入侵檢測(cè)系統(tǒng)一定是將這兩種方式結(jié)合的分布式系 統(tǒng)。 基于主機(jī)的入侵檢測(cè)系統(tǒng)?;谥鳈C(jī)的入侵檢測(cè)系統(tǒng)一般以主機(jī)操作系統(tǒng)提供的 信息作為檢測(cè)的基本信息,包括系統(tǒng)的日志、配置文件等“。一旦發(fā)現(xiàn)這些信息發(fā) 生變化,并且變化符合攻擊特征,檢測(cè)系統(tǒng)就向管理員發(fā)出報(bào)警并做出響應(yīng)“1 。 優(yōu)點(diǎn):l _ 非常適用于加密和交換環(huán)境;2 接近實(shí)時(shí)的檢測(cè)和響應(yīng):3 不需要額外的硬 件設(shè)備 基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)。基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)使用原始的網(wǎng)絡(luò)數(shù)據(jù)包作為 進(jìn)行攻擊分析的數(shù)據(jù)源“。為此,一般利用某種方式( 如將網(wǎng)卡設(shè)置為混雜模式) 來(lái)截獲網(wǎng)絡(luò)數(shù)據(jù)包。通過對(duì)數(shù)據(jù)包報(bào)頭及內(nèi)容的分析,確定是否與某種攻擊相關(guān)。例 如,端口掃描一般是有人開始攻擊的預(yù)兆,通過對(duì)數(shù)據(jù)包的分析就可以檢測(cè)出明顯的 端口掃描。有些非法攻擊是通過向目標(biāo)主機(jī)發(fā)送非法格式的數(shù)據(jù)包實(shí)現(xiàn)的,如果對(duì)報(bào) 華中科技大學(xué)碩士學(xué)位論文 文格式分析就能檢測(cè)出這種攻擊。還有些情況,通過統(tǒng)計(jì)數(shù)據(jù),對(duì)網(wǎng)絡(luò)負(fù)載情況進(jìn)行 比較,也可以發(fā)現(xiàn)一些攻擊。優(yōu)點(diǎn):1 成本低:2 攻擊者轉(zhuǎn)移證據(jù)困難:3 實(shí)時(shí)檢測(cè) 和應(yīng)答。一旦發(fā)生惡意訪問或攻擊,基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)能夠在很短的時(shí)間內(nèi)發(fā) 現(xiàn)并作出反應(yīng),從而將入侵活動(dòng)對(duì)系統(tǒng)的破壞降到最低;4 能夠檢測(cè)未成功的攻擊企 圖;5 與操作系統(tǒng)無(wú)關(guān)。 2 2 3 入侵檢測(cè)方法 入侵檢測(cè)方法一般可以分為兩類,即異常入侵檢測(cè)和誤用入侵檢測(cè)。 1 異常入侵檢測(cè) 異常入侵檢測(cè)又稱為基于行為的檢測(cè)。檢測(cè)異常行為是一種較為常用的方法。在 異常入侵檢測(cè)中,有一個(gè)前提條件:入侵性活動(dòng)集合是異?;顒?dòng)集合的子集。所有的 入侵活動(dòng)都屬于異?;顒?dòng)。最最理想狀況是異?;顒?dòng)集合與入侵性活動(dòng)集合相等,這 樣只要檢測(cè)到所有的異常活動(dòng),則可以判定檢測(cè)到了入侵性活動(dòng)。但在實(shí)際中,入侵 性活動(dòng)不一定體現(xiàn)為異?;顒?dòng),而異常活動(dòng)也不都是入侵性活動(dòng)。兩者間的關(guān)系如圖 2 一l 所示。這里存在四種可能性:( 1 ) 入侵性且異常;( 2 ) 入侵性且非異常;( 3 ) 非入侵性且異常:( 4 ) 非入侵性且非異常?;诋惓5娜肭謾z測(cè)要解決的問題就是 構(gòu)造異常活動(dòng)集并從中發(fā)現(xiàn)入侵性活動(dòng)子集。異常檢測(cè)的方法依賴于異常模型的建 立,不同模型構(gòu)成不同的檢測(cè)方法。異常檢測(cè)是通過觀測(cè)到的一組測(cè)量值偏離度來(lái)預(yù) 測(cè)用戶行為的變化,然后作出決策判斷的檢測(cè)技術(shù)。目前用于異常檢測(cè)的方法主要有 統(tǒng)計(jì)方法和神經(jīng)網(wǎng)絡(luò)方法。其中,統(tǒng)計(jì)法比較容易實(shí)現(xiàn)。 圖2 1 入侵活動(dòng)的幾種可能情況 ( 1 ) 概率統(tǒng)計(jì)方法 概率統(tǒng)計(jì)方法是基于行為的入侵檢測(cè)中應(yīng)用最早也是最多的一種方法。首先,探 1 2 華中科技大學(xué)碩士學(xué)位論文 測(cè)程序根據(jù)用戶的操作為每個(gè)用戶建立特定的用戶特征表,然后通過比較當(dāng)前的特征 與原來(lái)存儲(chǔ)的特征,判斷當(dāng)前進(jìn)行的操作是否屬于用戶的異常行為。用戶的特征表需 要根據(jù)前面提到的系統(tǒng)審計(jì)記錄不斷的更新。用于描述用戶特征的變量類型主要有: 操作頻率:一定時(shí)間內(nèi)操作執(zhí)行的次數(shù),通常用于檢測(cè)通過長(zhǎng)時(shí)間平均覺察不到的 異常行為;審計(jì)記錄分布:在最新紀(jì)錄中所有操作類型的分布:范疇:在一定動(dòng) 作范疇內(nèi)的特定操作的分布情況;數(shù)值:產(chǎn)生數(shù)值結(jié)果的操作。 這些記錄具體操作的特征可以包括:c p u 的使用情況、使用的時(shí)間和地點(diǎn)、內(nèi)存 的使用情況、打印操作、編輯器的使用情況、創(chuàng)建或修改文件的情況、網(wǎng)絡(luò)上的通訊 量、等。 在s r i c s l 的入侵檢測(cè)專家系統(tǒng)( i d e s ) “中給出了一個(gè)簡(jiǎn)單的特征表結(jié)構(gòu): 其中,由變量名、主體和客體確定每一個(gè)特征簡(jiǎn)表,而特征值由檢測(cè)系統(tǒng)根據(jù)審 計(jì)日志中分析的數(shù)據(jù)定期產(chǎn)生。這個(gè)特征值是所有有悖于用戶特征的異常程度值的函 數(shù)。如果假設(shè)s ,s :,s 。分別是用于描述特征的變量m 。,m 2 , k 的異常程度 值,s ;值越大說(shuō)明異常程度越大。則這個(gè)特征值可以用所有s 。值的加權(quán)平方和來(lái)表示: m = a s t z + a 2 + + a | | s 。2 ,a ; o ,其中a 。表示每一特征的權(quán)重。 如果選用標(biāo)準(zhǔn)偏差作為判別準(zhǔn)則,則 標(biāo)準(zhǔn)偏差:盯= m ( n 1 ) 一2 其中均值= m n 如果某s 值超出t l j 士d 6 就認(rèn)為出現(xiàn)異常。 這種方法利用了概率統(tǒng)計(jì)理論作為基礎(chǔ),在實(shí)現(xiàn)時(shí)比較容易。但在設(shè)計(jì)時(shí)也存在 一定的問題。因?yàn)榻y(tǒng)計(jì)檢測(cè)不關(guān)心事件發(fā)生的次序,如果完全依靠統(tǒng)計(jì)理論,很可能 漏檢那些和活動(dòng)次序相關(guān)聯(lián)的入侵事件。另外在這里需要定義報(bào)警的閾值,但設(shè)定的 闕值過高,可能出現(xiàn)誤報(bào)警的幾率就會(huì)提高,闞值過低,又可能發(fā)生漏檢。所以,閾 值需要根據(jù)具體的實(shí)際情況設(shè)定,并要通過實(shí)際使用不斷調(diào)整。 ( 2 ) 神經(jīng)網(wǎng)絡(luò)方法 利用神經(jīng)網(wǎng)絡(luò)檢測(cè)入侵的基本思想是用一系列信息單元( 比如系統(tǒng)命令) 訓(xùn)練神 經(jīng)單元,這樣在給定一組輸入后,就可能預(yù)測(cè)出輸出。和前面介紹的統(tǒng)計(jì)理論相比, 神經(jīng)網(wǎng)絡(luò)更好地表達(dá)了變量間的非線性關(guān)系,并且能自動(dòng)學(xué)習(xí)和更新。由于日常工作 的要求,用戶的行為一般是可以預(yù)測(cè)的,不能預(yù)測(cè)的行為只占很少一部分。用于檢測(cè) 華中科技大學(xué)碩士學(xué)位論文 的神經(jīng)網(wǎng)絡(luò)模塊結(jié)構(gòu)大致是這樣的:當(dāng)前命令和前n 個(gè)命令組成神經(jīng)網(wǎng)絡(luò)的輸入,其 中n 是神經(jīng)網(wǎng)絡(luò)預(yù)測(cè)下一個(gè)命令時(shí)所包含的過去命令集的大小。根據(jù)用戶的代表性命 令序列訓(xùn)練網(wǎng)絡(luò)后,該網(wǎng)絡(luò)就形成了相應(yīng)用戶的特征表。該網(wǎng)絡(luò)對(duì)下一事件的預(yù)測(cè)錯(cuò) 誤率在一定程度上反映了用戶行為的異常程度。 神經(jīng)網(wǎng)絡(luò)方法的能很好地處理具有隨機(jī)特性的數(shù)據(jù),不需要對(duì)這些數(shù)據(jù)作任何統(tǒng) 計(jì)假設(shè),有較好的抗干擾能力。但和統(tǒng)計(jì)中的閾值設(shè)定類似,神經(jīng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)以及 各元素的權(quán)重很難確定,同樣命令集的大小也難選取。如果命令集偏小,那么神經(jīng)網(wǎng) 絡(luò)的輸出不能很好的預(yù)測(cè)出用戶的行為;如果命令集偏大,那么神經(jīng)網(wǎng)絡(luò)會(huì)因?yàn)樯婕?大量的無(wú)關(guān)數(shù)據(jù)而降低檢測(cè)效率。 2 誤用入侵檢測(cè) 誤用入侵檢測(cè)就是基于知識(shí)的檢測(cè)。這種檢測(cè)針對(duì)一些已知攻擊方法,定義出相 應(yīng)的入侵模式,通過判斷這些入侵模式是否出現(xiàn)來(lái)檢測(cè),和早期的檢測(cè)計(jì)算機(jī)病毒的 方法十分相似。這種方法由于依據(jù)具體特征庫(kù)進(jìn)行判斷,所以檢測(cè)準(zhǔn)確度很高。因?yàn)?檢測(cè)結(jié)果有明確的參照,系統(tǒng)管理員可以明確的進(jìn)行相應(yīng)操作,同時(shí),只要通過升級(jí) 已知攻擊的模式庫(kù)就能防范更多的攻擊。這種檢測(cè)的主要缺陷在于檢測(cè)和具體系統(tǒng)的 依賴性很強(qiáng),系統(tǒng)缺乏移植性。而且,具體入侵手段抽象成知識(shí)也有一定的困難。由 于檢測(cè)范圍受已知知識(shí)的局限,難以檢測(cè)出內(nèi)部人員的入侵行為?;谥R(shí)的檢測(cè)方 法大致有以下幾種。 ( 1 ) 專家系統(tǒng) 專家系統(tǒng)是基于知識(shí)的檢測(cè)中運(yùn)用最多的一種方法。首先,需要將有關(guān)入侵的知 識(shí)轉(zhuǎn)化成i f t h e n 結(jié)構(gòu)的規(guī)則。具體說(shuō),就是將構(gòu)成入侵所要求的條件轉(zhuǎn)化為i f 部分, 將檢測(cè)到入侵后預(yù)定要采取的操作轉(zhuǎn)化成t h e n 部分。當(dāng)條件滿足時(shí),檢測(cè)系統(tǒng)就判斷 出入侵行為發(fā)生,并根據(jù)定義的操作自動(dòng)完成后續(xù)工作。這里,主要部分是專家系統(tǒng) 的規(guī)則庫(kù),由描述攻擊的i f t h e n 結(jié)構(gòu)的規(guī)則組成,狀態(tài)行為和相關(guān)的語(yǔ)義信息可以 通過審計(jì)得到,檢測(cè)器根據(jù)定義的規(guī)則庫(kù)完成判斷工作。在實(shí)現(xiàn)過程中,專家系統(tǒng)的 檢測(cè)主要面l 臨的問題有:規(guī)則完備問題和效率問題。 我們不可能將所有的入侵方法都用i f - t h e n 結(jié)構(gòu)的規(guī)則描述出來(lái),所以存在規(guī)則 完備的問題,另外,如果規(guī)則數(shù)量很多,需進(jìn)行判定的數(shù)據(jù)量也很大,那么分析這些 數(shù)據(jù)就需要耗費(fèi)很多工作。現(xiàn)在商業(yè)產(chǎn)品中一般不采用專家系統(tǒng),而采用特征分析。 像專家系統(tǒng)一樣,特征分析也需要知道攻擊行為的具體知識(shí)。但是,攻擊方法的語(yǔ)義 1 4 華中科技大學(xué)碩士學(xué)位論文 描述不是被轉(zhuǎn)化為檢測(cè)規(guī)則,而是在審計(jì)紀(jì)錄中能直接找到的信息形式。這樣就不像 專家系統(tǒng)一樣需要處理大量數(shù)據(jù),從而大大提高了檢測(cè)效率。這種方法的缺陷也和所 有基于知識(shí)的檢測(cè)方法一樣,即需要經(jīng)常為新發(fā)現(xiàn)的系統(tǒng)漏洞更新知識(shí)庫(kù)。另外,由 于對(duì)不同操作系統(tǒng)平臺(tái)的具體攻擊方法可能不同,以及不同平臺(tái)的審計(jì)方式也可能不 同,所以特征分析檢測(cè)系統(tǒng)進(jìn)行構(gòu)造和維護(hù)的工作量都較大。 ( 2 ) 模型推理 模型推理是指結(jié)合攻擊腳本推理出入侵行為是否出現(xiàn)。其中有關(guān)攻擊者行為的知 識(shí)被描述為:攻擊者目的,攻擊者達(dá)到此目的的可能行為步驟,以及對(duì)系統(tǒng)的特殊使 用等。根據(jù)這些知識(shí)建立攻擊腳本庫(kù),每一腳本都由一系列攻擊行為組成。檢測(cè)時(shí)先 將這些攻擊腳本的子集看作系統(tǒng)正面臨的攻擊。然后通過一個(gè)稱為預(yù)測(cè)器的程序模塊 根據(jù)當(dāng)前行為模式,產(chǎn)生下一個(gè)需要驗(yàn)證的攻擊腳本子集,并將它傳給決策器。決策 器收到信息后,根據(jù)這些假設(shè)的攻擊行為在審計(jì)記錄中的可能出現(xiàn)方式,將它們翻譯 成與特定系統(tǒng)匹配的審計(jì)記錄格式。然后在審計(jì)記錄中尋找相應(yīng)信息來(lái)確認(rèn)或否認(rèn)這 些攻擊。初始攻擊腳本子集的假設(shè)應(yīng)滿足:易于在審計(jì)記錄中識(shí)別,并且出現(xiàn)頻率很 高。隨著一些腳本被確認(rèn)的次數(shù)增多,另一些腳本被確認(rèn)的次數(shù)減少,攻擊腳本不斷 地得到更新。 模型推理方法的優(yōu)越性有:對(duì)不確定性的推理有合理的數(shù)學(xué)理論基礎(chǔ),同時(shí),決 策器使攻擊腳本可以與審計(jì)記錄的上下文無(wú)關(guān)。另外,這種檢測(cè)方法也減少了需要處 理的數(shù)據(jù)量,因?yàn)樗紫劝茨_本類型檢測(cè)相應(yīng)類型是否出現(xiàn),然后再檢測(cè)具體的事件。 但是創(chuàng)建入侵檢測(cè)模型的工作量比別的方法要大,并且在系統(tǒng)實(shí)現(xiàn)時(shí)決策器如何有效 地翻譯攻擊腳本也是個(gè)問題。 ( 3 ) 狀態(tài)轉(zhuǎn)換分析 這種方法的本質(zhì)是將狀態(tài)轉(zhuǎn)換圖應(yīng)用于對(duì)入侵行為的分析中。在狀態(tài)轉(zhuǎn)換分析 中,將入侵作為一系列的有序行為看待,該行為序列可以將使被檢測(cè)的系統(tǒng)從初始的 狀態(tài)轉(zhuǎn)入到入侵狀態(tài)。首先,需要為已知的入侵方法確定系統(tǒng)的初始狀態(tài)、入侵狀態(tài) 和狀態(tài)轉(zhuǎn)換的轉(zhuǎn)換條件。然后,用狀態(tài)轉(zhuǎn)換圖表示狀態(tài)和特征事件。 我們可以利用p e t r i 網(wǎng)描述入侵行為。p e t r i 網(wǎng)能夠形象、直觀表示入侵過程,有 時(shí),復(fù)雜的入侵過程可以通過p e t r i 網(wǎng)簡(jiǎn)單的表達(dá)。下面是這種方法的一個(gè)典型的例 子:我們規(guī)定,在一分鐘內(nèi)如果登錄失敗的次數(shù)超過5 次,那么入侵檢測(cè)系統(tǒng)就發(fā)出 警報(bào)。圖2 2 是該規(guī)定的p e t r i 網(wǎng)表示。 華中科技大學(xué)碩士學(xué)位論文 登錄失敗登錄失敗登錄失敗登錄失敗登錄失敗 s ls 2s 3 s 4s 5 s 6 t 1 t 2 圖2 2 用p e t r i 網(wǎng)分析一分鐘內(nèi)5 次登錄失敗 其中豎線代表狀態(tài)轉(zhuǎn)換,如果在狀態(tài)s 1 發(fā)生登錄失敗,則產(chǎn)生一個(gè)標(biāo)志變量, 并存儲(chǔ)事件發(fā)生時(shí)間t l ,同時(shí)轉(zhuǎn)入狀態(tài)s 2 。如果在狀態(tài)s 5 時(shí)又有登錄失敗,而且 這時(shí)的時(shí)間t 2 一t i 6 0 秒,則系統(tǒng)轉(zhuǎn)入狀態(tài)s 6 ,即為入侵狀態(tài),系統(tǒng)發(fā)出警報(bào)并作 相應(yīng)措施。 2 3 簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議 適當(dāng)?shù)倪\(yùn)用標(biāo)準(zhǔn)的管理協(xié)議可以使得我們的系統(tǒng)具有一定的通用性,只要按照協(xié) 議的規(guī)定實(shí)現(xiàn)系統(tǒng),就可能實(shí)現(xiàn)不同系統(tǒng)的協(xié)同工作。 數(shù)據(jù)網(wǎng)絡(luò)中主要包括不同廠家的網(wǎng)橋、路由器、廣域網(wǎng)鏈路和終端設(shè)備,用戶們 需要一些易于安裝和操作的自動(dòng)工具幫助他們對(duì)設(shè)備進(jìn)行配置,并且這些工具不會(huì)給 網(wǎng)絡(luò)帶來(lái)巨大負(fù)擔(dān)。這種強(qiáng)烈的需求導(dǎo)致了網(wǎng)絡(luò)管理協(xié)議的出現(xiàn)。 簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議( s i m p l en e t w o r km a n a g e m e n tp r o t o c o l ,s n m p ) 最早于1 9 8 8 年成為標(biāo)準(zhǔn)。s n m p 提供對(duì)基于t c p i p 網(wǎng)絡(luò)的管理功能,很快它成為事實(shí)上的管理標(biāo)準(zhǔn), 影響范圍包括了互聯(lián)網(wǎng)技術(shù)在內(nèi)的廣泛應(yīng)用,很多供應(yīng)商的網(wǎng)絡(luò)設(shè)備提供對(duì)s n m p 的支 持。s n m p 最吸引人的地方是它非常簡(jiǎn)單,因?yàn)樗惶峁┮唤M關(guān)鍵功能,非常容易實(shí)現(xiàn)、 安裝和使用。同時(shí),合理地運(yùn)用不會(huì)對(duì)網(wǎng)絡(luò)造成很大負(fù)擔(dān)。更重要的是,簡(jiǎn)單使得內(nèi) 部合作成為很容易的工作:不同廠家的s n m p 模塊可以共同工作。 2 3 1s n m p 的工作原理和優(yōu)缺點(diǎn) 烈中的三個(gè)基本組成部分是:管理站( m a n a g e r s ) 、代理( a g e n t s ) 和管理信息 庫(kù)( m a n a g e m e n ti n f o r m a t i o nb a s e ,m i b ) 。管理站是系統(tǒng)中不可缺少的,至

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論