入侵檢測技術(shù)畢業(yè)論文

1、鄉(xiāng)閭斎%衣卅卑汪 畢業(yè)設(shè)計 開題報告 學(xué)生! 姓名 徐盼 學(xué) 號 201402081117 專 業(yè) 計算機網(wǎng)絡(luò)技術(shù) 班 級 網(wǎng)絡(luò)201401班 指導(dǎo): 教師 劉燁 開題1 時間 2016年10月20日 黃岡職業(yè)技術(shù)學(xué)院電子信息學(xué)院 電子信息學(xué)院畢業(yè)設(shè)計開題報告 擬設(shè)計題目 入侵檢測技術(shù)應(yīng)用 綜述 （本課題研究 意義：隨著計算機網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)安全成為一個突出的問 題。網(wǎng)絡(luò)入侵檢測系統(tǒng)是近年來網(wǎng)絡(luò)安全領(lǐng)域的熱門技術(shù)，它能夠?qū)W(wǎng) 絡(luò)中發(fā)生的安全事件和網(wǎng)絡(luò)中存在的安全漏洞進行主動實時的檢測，它 作為一種積極主動的防護技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作 的實時保護。入侵檢測系統(tǒng)是保障計算機及

2、網(wǎng)絡(luò)安全的有力措施之一。 通過研究本課題，可以了解入侵檢測技術(shù)技術(shù)的發(fā)展歷程， 及國內(nèi)外研 究水平的差距，熟悉各種入侵檢測技術(shù)原理方法的異冋， 以便今后對某 種檢測技術(shù)方法作進一步的改進時能夠迅速切入要點。 的意義、研究的 現(xiàn)狀及自己的 認(rèn)識） 研究的現(xiàn)狀及自己的認(rèn)識： 根據(jù)檢測技術(shù)類型可劃分為異常行為檢 測技術(shù)類型和漏洞檢測技術(shù)類型。根據(jù)異?；蛘卟缓戏ㄐ袨楹褪褂糜嬎?機資源信息的情況檢測入侵的技術(shù)類型被稱為異常入侵攻擊檢測。漏洞 入侵檢測是利用已知系統(tǒng)和應(yīng)用軟件的漏洞攻擊方式檢測入侵。 研究內(nèi)容 （研究方向，研 究內(nèi)容、系統(tǒng)主 要功能分析及 說明） 研究方向：入侵檢測技術(shù)應(yīng)用 研究內(nèi)容：本文

3、從入侵檢測技術(shù)的發(fā)展入手， 研究、分析了入侵檢 測技術(shù)和入侵檢測系統(tǒng)的原理、應(yīng)用、信息收集和分析、數(shù)據(jù)的處理及 其優(yōu)缺點和未來的發(fā)展方向。 入侵檢測是一門綜合性技術(shù)， 既包括實時 檢測技術(shù)也有事后分析技術(shù)。 盡管用戶希望通過部署 IDS來增強網(wǎng)絡(luò)安 全，但不冋的用戶需求也不冋。 系統(tǒng)主要功能及分析：一個入侵檢測系統(tǒng)的功能結(jié)構(gòu)至少包含事件 提取入侵分析入侵響應(yīng)和遠程管理四部分功能。事件提取功能負(fù)責(zé)提取 與被保護系統(tǒng)相關(guān)的運行數(shù)據(jù)或記錄，并負(fù)責(zé)對數(shù)據(jù)進行簡單的過濾。 入侵分析的任務(wù)就是在提取到的運行數(shù)據(jù)中找出入侵的痕跡，將授權(quán)的 正常訪冋行為和非授權(quán)的不正常訪冋行為區(qū)分開分析出入侵行為并對 入侵者

4、進行定位。入侵響應(yīng)功能在分析出入侵行為后被觸發(fā)，根據(jù)入侵 行為產(chǎn)生響應(yīng)。 實現(xiàn)方法及預(yù) 期目標(biāo) （包括實施的 初步方案、重 點、難點及預(yù)期 達到的效果） 實施的初步方案： 1. 入侵檢測技術(shù)的分析； 2. 查找、閱讀并整理資料； 3. 入侵檢測技術(shù)發(fā)展趨勢； 4. 撰寫論文提綱； 5. 撰寫論文初稿并修改。 重點：入侵檢測技術(shù)是一種積極主動的安全防護技術(shù)，其工作流程 包括數(shù)據(jù)收集、數(shù)據(jù)提取、數(shù)據(jù)分析、結(jié)果處理。檢測模型為異常檢測 模型和誤用檢測模型，未來的發(fā)展趨勢是智能化的全面檢測，這也是本 課題研究的重點。 對進度的 具體安排 第一階段：對入侵檢測技術(shù)概況做分析10月17號到20號； 第二階

5、段：查找、閱讀并整理資料，10月22號到10月25號； 第三階段：撰寫論文提綱，10月26號到10月27號； 第四階段：撰寫論文初稿并修改，10月28號到11月5號； 第五階段：撰寫論文定稿，11月5號到11月12號； 參考文獻 1 蔣建春，馮登國.網(wǎng)絡(luò)入侵檢測技術(shù)原理與技術(shù).北京：國防 工業(yè)出版社，2001.7 2 戴連英，連一峰，王航.系統(tǒng)安全與入侵檢測技術(shù).北京：清 華大學(xué)出版社，2002.3 3 美Richard O.Duda,Peter E.HartQavidG.Stork 李宏東 姚天翔等譯模式分類（原書第2版）機械工業(yè)出版社，2003-09-01 4 吳焱等譯，入侵者檢測技術(shù).北

6、京：電子工業(yè)出版社，1999 指導(dǎo)教師意見 （簽署意見并 簽字） 審查人簽字：年 月日 領(lǐng)導(dǎo)小組 審查意見 審查人簽字：年月日 學(xué)業(yè)作品 題 目 學(xué)生姓名徐盼 學(xué) 號 201402081117 專業(yè)計算機網(wǎng)絡(luò)技術(shù) 班級網(wǎng)絡(luò)201401班 指導(dǎo)教師劉燁 完成日期 2016 年11月20 日 目錄 摘 要 6 關(guān)鍵詞 6 第一章 緒論 7 1.2 入侵檢測技術(shù)的歷史 7 1.3 本課題研究的途徑與意義 8 第二章 入侵檢測技術(shù)原理 9 2.1 入侵檢測的工作流程 9 2.1.1 數(shù)據(jù)收集 9 2.1.2 數(shù)據(jù)提取 9 2.1.3 數(shù)據(jù)分析 10 2.1.4 結(jié)果處理 10 2.2 入侵檢測技術(shù)的檢

7、測模型 10 2.2.1 異常檢測模型 10 2.2.2 誤用檢測模型 11 第三章 入侵檢測技術(shù)功能概要 11 第四章 入侵檢測系統(tǒng)實驗案例分析 12 4.1 配置 Snort 選項 12 4.2 測試 Snort 14 4.3 攻擊與檢測過程 14 4.3.1 攻擊過程 14 4.3.2 Snort 運行過程 14 4.4 檢測結(jié)果分析 14 第五章 入侵檢測技術(shù)的缺點和改進 16 5.1 入侵檢測技術(shù)所面臨的問題 16 5.2 入侵檢測技術(shù)的改進發(fā)展 16 總 結(jié) 17 致 謝 17 參考文獻 18 近年來隨著計算機網(wǎng)絡(luò)的迅速發(fā)展，網(wǎng)絡(luò)安全問題越來越受到人們的重視。 從網(wǎng)絡(luò)安全角度來看，

8、防火墻等防護技術(shù)只是被動安全防御技術(shù)， 只是盡量阻止 攻擊或延緩攻擊，只會依照特定的規(guī)則，允許或是限制傳輸?shù)臄?shù)據(jù)通過。 在網(wǎng)絡(luò) 環(huán)境下不但攻擊手段層出不窮，而且操作系統(tǒng)、安全系統(tǒng)也可能存在諸多未知的 漏洞，這就需要引入主動防御技術(shù)對系統(tǒng)安全加以補充，目前主動防御技術(shù)主要 就是入侵檢測技術(shù)。 本文從入侵檢測技術(shù)的發(fā)展入手，研究、分析了入侵檢測技術(shù)和入侵檢測系 統(tǒng)的原理、應(yīng)用、信息收集和分析、數(shù)據(jù)的處理及其優(yōu)缺點和未來的發(fā)展方向。 關(guān)鍵詞：網(wǎng)絡(luò)安全，網(wǎng)絡(luò)入侵，入侵檢測技術(shù)，入侵檢測系統(tǒng) 第一章 緒論 1.1 入侵檢測技術(shù)的提出 隨著 Internet 高速發(fā)展，個人、企業(yè)以及政府部門越來越多地依靠

9、網(wǎng)絡(luò)傳 遞信息 , 然而網(wǎng)絡(luò)的開放性與共享性容易使它受到外界的攻擊與破壞 ,信息的安 全保密性受到嚴(yán)重影響。 網(wǎng)絡(luò)安全問題已成為世界各國政府、 企業(yè)及廣大網(wǎng)絡(luò)用 戶最關(guān)心的問題之一。 在計算機上處理業(yè)務(wù)已由基于單機的數(shù)學(xué)運算、 文件處理， 基于簡單連結(jié)的 內(nèi)部網(wǎng)絡(luò)的內(nèi)部業(yè)務(wù)處理、 辦公自動化等發(fā)展到基于企業(yè)復(fù)雜的內(nèi)部網(wǎng)、 企業(yè)外 部網(wǎng)、全球互聯(lián)網(wǎng)的企業(yè)級計算機處理系統(tǒng)和世界范圍內(nèi)的信息共享和業(yè)務(wù)處 理。在信息處理能力提高的同時， 系統(tǒng)的連結(jié)能力也在不斷的提高。 但在連結(jié)信 息能力、流通能力提高的同時， 基于網(wǎng)絡(luò)連接的安全問題也日益突出， 黑客攻擊 日益猖獗，防范問題日趨嚴(yán)峻： 具 Warroo

10、n Research 的調(diào)查， 1997 年世界排名前一千的公司幾乎都曾被黑 客闖入； 據(jù)美國 FBI 統(tǒng)計，美國每年因網(wǎng)絡(luò)安全造成的損失高達 75 億美元； Ernst 和 Young 報告，由于信息安全被竊或濫用，幾乎 80%的大型企業(yè)遭受 損失； 看到這些令人震驚的事件， 不禁讓人們發(fā)出疑問： 網(wǎng)絡(luò)還安全嗎？ 試圖破 壞信息系統(tǒng)的完整性、 機密性、 可信性的任何網(wǎng)絡(luò)活動都稱為網(wǎng)絡(luò)入侵。 防范網(wǎng) 絡(luò)入侵最常用的方法就是防火墻。防火墻( Firewall )是設(shè)置在不同網(wǎng)絡(luò)(如可 信任的企業(yè)內(nèi)部網(wǎng)和不可信任的公共網(wǎng)) 或網(wǎng)絡(luò)安全域之間的一系列部件的組合 它屬于網(wǎng)絡(luò)層安全技術(shù) , 其作用是為了

11、保護與互聯(lián)網(wǎng)相連的企業(yè)內(nèi)部網(wǎng)絡(luò)或單獨 節(jié)點。它具有簡單實用的特點， 并且透明度高， 可以在不修改原有網(wǎng)絡(luò)應(yīng)用系統(tǒng) 的情況下達到一定的安全要求。 但是，防火墻只是一種被動防御性的網(wǎng)絡(luò)安全工具， 僅僅使用防火墻是不夠 的。首先，入侵者可以找到防火墻的漏洞，繞過防火墻進行攻擊。其次，防火墻 對來自內(nèi)部的攻擊無能為力。它所提供的服務(wù)方式是要么都拒絕，要么都通過 , 不能檢查出經(jīng)過他的合法流量中是否包含著惡意的入侵代碼， 這是遠遠不能滿足 用戶復(fù)雜的應(yīng)用要求的。 對于以上提到的問題， 一個更為有效的解決途徑就是入侵檢測技術(shù)。 在入侵 檢測技術(shù)之前，大量的安全機制都是根據(jù)從主觀的角度設(shè)計的 , 他們沒有根

12、據(jù)網(wǎng) 絡(luò)攻擊的具體行為來決定安全對策， 因此，它們對入侵行為的反應(yīng)非常遲鈍， 很 難發(fā)現(xiàn)未知的攻擊行為，不能根據(jù)網(wǎng)絡(luò)行為的變化來及時地調(diào)整系統(tǒng)的安全策 略。而入侵檢測技術(shù)正是根據(jù)網(wǎng)絡(luò)攻擊行為而進行設(shè)計的， 它不僅能夠發(fā)現(xiàn)已知 入侵行為，而且有能力發(fā)現(xiàn)未知的入侵行為，并可以通過學(xué)習(xí)和分析入侵手段， 及時地調(diào)整系統(tǒng)策略以加強系統(tǒng)的安全性。 1.2 入侵檢測技術(shù)的歷史 1980 月，JnamesP.Aderson 為美國空軍做了一份題為“ Computer Security ThreatMonitoring Sureillance ”（計算機安全威脅監(jiān)控與監(jiān)視）的技術(shù)報告， 第一次詳細(xì)的闡述了入侵檢

13、測的概念。 他提出了一種對計算機系統(tǒng)風(fēng)險和威脅的 分類方 法，并將威脅分為了外部滲透、內(nèi)部滲透和不法行為三種，還提出了利 用審計跟蹤數(shù)據(jù) 監(jiān)視入侵活動的思想。這份報告被公認(rèn)為是入侵檢測的開山之 作。 1984 年-1986 年，喬治敦大學(xué)的 Dorothy Denning 和 SRI/CSL（SRI 公司 計算機科 學(xué)實驗室）的 PeterNeumann 研究出了一種實時入侵檢測系統(tǒng)模型， 取名為IDES（入侵 檢測專家系統(tǒng)）。該模型獨立于特定的系統(tǒng)平臺、應(yīng)用環(huán)境、 系統(tǒng)弱點以及入侵類型， 為構(gòu)建入侵系統(tǒng)提供了一個通用的框架。 1988年，SRI/CSL的Teresa Lu nt等改進了 De

14、 nning的入侵檢測模型，并 研發(fā)出了 實際的 IDES。 1989 年，加州大學(xué)戴維斯分校的 Todd Heberlein 寫了 一篇論文 A Network Security Monitor ，該監(jiān)控器用于捕獲 TCP/IP 分組， 第一次直接將網(wǎng)絡(luò)流作為審計 數(shù)據(jù)來源，因而可以在不將審計數(shù)據(jù)轉(zhuǎn)換成統(tǒng)一 格式的情況下監(jiān)控異種主機，網(wǎng)絡(luò)入侵 檢測從此誕生。 1990 年時入侵檢測系統(tǒng)發(fā)展史上十分重要的一年。這一年，加州大學(xué)戴維 斯分校的 L.T.Heberlein 等開發(fā)出了 NSM（Network Security Monitor） 。該系統(tǒng) 第一次直接將 網(wǎng)絡(luò)作為審計數(shù)據(jù)的來源，因而可

15、以在不將審計數(shù)計轉(zhuǎn)化成統(tǒng)一 的格式情況下監(jiān)控異種 主機。同時兩大陣營正式形成：基于網(wǎng)絡(luò)的 IDS 和基于 主機的 IDS。 入侵檢測是一門綜合性技術(shù)， 既包括實時檢測技術(shù)， 也有事后分析技術(shù)。 盡 管用戶 希望通過部署 IDS 來增強網(wǎng)絡(luò)安全，但不同的用戶需求也不同。由于攻 擊的不確定性， 單一的 IDS 產(chǎn)品可能無法做到面面俱到。因此， IDS 的未來發(fā) 展必然是多元化的，只有 通過不斷改進和完善才能更好地協(xié)助網(wǎng)絡(luò)進行安全防 御。 入侵檢測技術(shù)的發(fā)展已經(jīng)歷了四個主要階段： 第一階段是以基于協(xié)議解碼和模式匹配為主的技術(shù)， 其優(yōu)點是對于已知的攻 擊行為 非常有效，各種已知的攻擊行為可以對號入座，

16、誤報率低；缺點是高超 的黑客采用變形 手法或者新技術(shù)可以輕易躲避檢測，漏報率高。 第二階段是以基于模式匹配 +簡單協(xié)議分析 +異常統(tǒng)計為主的技術(shù)， 其優(yōu)點是 能夠分 析處理一部分協(xié)議，可以進行重組；缺點是匹配效率較低，管理功能較 弱。這種檢測技 術(shù)實際上是在第一階段技術(shù)的基礎(chǔ)上增加了部分對異常行為分 析的功能。 第三階段是以基于完全協(xié)議分析 +模式匹配 +異常統(tǒng)計為主的技術(shù)， 其優(yōu)點是 誤報 率、漏報率和濫報率較低，效率高，可管理性強，并在此基礎(chǔ)上實現(xiàn)了多 級分布式的檢 測管理；缺點是可視化程度不夠，防范及管理功能較弱。 第四階段是以基于安全管理 +協(xié)議分析 +模式匹配 +異常統(tǒng)計為主的技術(shù)，

17、其 優(yōu)點是 入侵管理和多項技術(shù)協(xié)同工作，建立全局的主動保障體系，具有良好的 可視化、可控性 和可管理性。以該技術(shù)為核心，可構(gòu)造一個積極的動態(tài)防御體 系，即IMS入侵管理系統(tǒng)。 1.3 本課題研究的途徑與意義 聚類是模式識別研究中非常有用的一類技術(shù)。 用聚類算法的異常檢測技術(shù)就 是一種無監(jiān)督的異常檢測技術(shù)技術(shù)， 這種方法可以在未標(biāo)記的數(shù)據(jù)上進行， 它將 相似的數(shù)據(jù)劃分到同一個聚類中， 而將不相似的數(shù)據(jù)劃分到不同的聚類， 并為這 些聚類加以標(biāo)記表明它們是正常還是異常，然后將網(wǎng)絡(luò)數(shù)據(jù)劃分到各個聚類中， 根據(jù)聚類的標(biāo)記來判斷網(wǎng)絡(luò)數(shù)據(jù)是否異常。 本課題是網(wǎng)絡(luò)入侵檢測技術(shù)的研究，主要介紹模式識別技術(shù)中兩種

18、聚類算 法，K-means算法和迭代最優(yōu)化算法，并闡述此算法在入侵檢測技術(shù)技術(shù)中的應(yīng) 用原理，接著分析這兩種算法具體應(yīng)用時帶來的利弊， 最后針對算法的優(yōu)缺點提 出自己改進的算法， 并對此算法進行分析， 可以說這種算法是有監(jiān)督和無監(jiān)督方 法的結(jié)合，是K-means算法和迭代最優(yōu)化算法的折中，是一種較理想的算法。 通過研究本課題， 可以了解入侵檢測技術(shù)技術(shù)的發(fā)展歷程， 及國內(nèi)外研究水 平的差距， 熟悉各種入侵檢測技術(shù)原理方法的異同， 以便今后對某種檢測技術(shù)方 法作進一步的改進時能夠迅速切入要點； 在對入侵檢測技術(shù)技術(shù)研究的同時， 認(rèn) 真學(xué)習(xí)了模式識別這門課程， 這是一門交叉學(xué)科， 模式識別已經(jīng)在衛(wèi)

19、星航空圖片 解釋、工業(yè)產(chǎn)品檢測技術(shù)、字符識別、語音識別、指紋識別、醫(yī)學(xué)圖像分析等許 多方面得到了成功的應(yīng)用， 但所有這些應(yīng)用都是和問題的性質(zhì)密不可分的， 學(xué)習(xí) 過程中接觸了許多新理論和新方法， 其中包括數(shù)據(jù)挖掘， 統(tǒng)計學(xué)理論和支持向量 機等，極大的拓展了自己的知識面， 這所帶來的收獲已經(jīng)不僅僅停留在對入侵檢 測技術(shù)技術(shù)研究這個層面上。 第二章 入侵檢測技術(shù)原理 2.1 入侵檢測的工作流程 入侵檢測系統(tǒng)由數(shù)據(jù)收集、 數(shù)據(jù)提取、數(shù)據(jù)分析、事件處理等幾個部份組成。 2.1.1 數(shù)據(jù)收集 入侵檢測的第一步是數(shù)據(jù)收集， 內(nèi)容包括系統(tǒng)、 網(wǎng)絡(luò)運行、數(shù)據(jù)及用戶活動 的狀態(tài) 和行為，而且，需要在計算機網(wǎng)絡(luò)系統(tǒng)

20、中的若干不同關(guān)鍵點（不同網(wǎng)段 和不同主機）收 集數(shù)據(jù)。入侵檢測很大程度上依賴于收集數(shù)據(jù)的準(zhǔn)確性與可靠 性，因此，必須使用精確 的軟件來報告這些信息，因為黑客經(jīng)常替換軟件以搞 混和移走這些數(shù)據(jù)，例如替換被程 序調(diào)用的子程序、庫和其它工具。數(shù)據(jù)的收 集主要來源以下幾個方面：系統(tǒng)和網(wǎng)絡(luò)日志 文件、目錄和文件不期望的改變、 程序不期望的行為、物理形式的入侵?jǐn)?shù)據(jù)。 2.1.2 數(shù)據(jù)提取 數(shù)據(jù)提取 從收集到的數(shù)據(jù)中提取有用的數(shù)據(jù)，以供數(shù)據(jù)分析之用。 2.1.3數(shù)據(jù)分析 對收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)運行、數(shù)據(jù)及用戶活動的狀態(tài)和行為等數(shù)據(jù)通過 三種技術(shù)手段進行分析：模塊匹配、統(tǒng)計分析和完整性分析。 2.1.4結(jié)果

21、處理 記錄入侵事件，同時采取報警、中斷連接等措施. 2.2入侵檢測技術(shù)的檢測模型 從技術(shù)上劃分，入侵檢測有兩種檢測模型： 2.2.1異常檢測模型 異常檢測模型：檢測與可接受行為之間的偏差。如果可以定義每項可接受的 行為，那么每項不可接受的行為就應(yīng)該是入侵。首先總結(jié)正常操作應(yīng)該具有的 特征（用戶輪廓），用戶輪廓是指各種行為參數(shù)及其閾值的集合。當(dāng)用戶活動 與正常行為有重大偏離時即被認(rèn)為是入侵。這種檢測模型漏報率低，誤報率高 因為不需要對每種入侵行為進行定義，所以能有效檢測未知的入侵。異常檢測 的模型如圖2-1所示。 圖2-1異常檢測模型 222誤用檢測模型 誤用檢測模型：檢測與已知的不可接受行為之

22、間的匹配程度。 如果可以定義 所有的不可接受行為，那么每種能夠與之匹配的行為都會引起告警。收集非正 常操作的行為特 征，建立相關(guān)的特征庫，當(dāng)監(jiān)測的用戶或系統(tǒng)行為與庫中的記 錄相匹配時，系統(tǒng)就認(rèn)為這種行為是入侵。這種檢測模型誤報率低、漏報率高。 對于已知的攻擊，它可以詳細(xì)、準(zhǔn)確地報告出攻擊類型，但是對未知攻擊的效 果有限，而且特征庫必須不斷更新。誤用檢測的模型如圖2-2所示。 圖2-2誤用檢測模型 第三章 入侵檢測技術(shù)功能概要 -監(jiān)督并分析用戶和系統(tǒng)的活動 -檢查系統(tǒng)配置和漏洞 -檢查關(guān)鍵系統(tǒng)和數(shù)據(jù)文件的完整性 -識別代表已知攻擊的活動模式 -對反常行為模式的統(tǒng)計分析 對操作系統(tǒng)的校驗管理，判斷

23、是否有破壞安全的用戶活動。 -提高了系統(tǒng)的監(jiān)察能力 跟蹤用戶從進入到退出的所有活動或影響 識別并報告數(shù)據(jù)文件的改動 發(fā)現(xiàn)系統(tǒng)配置的錯誤，必要時予以更正 識別特定類型的攻擊，并向相應(yīng)人員報警，以作出防御反應(yīng) 可使系統(tǒng)管理人員最新的版本升級添加到程序中 允許非專家人員從事系統(tǒng)安全工作 為信息安全策略的創(chuàng)建提供指導(dǎo) 入侵檢測技術(shù)作為一種積極主動地安全防護技術(shù)，提供了對內(nèi)部攻擊、外部 攻擊和誤操作的實時保護，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。 從網(wǎng)絡(luò)安 全立體縱深、多層次防御的角度出發(fā)，入侵檢測技術(shù)理應(yīng)受到人們的高度重視， 這從國外入侵檢測技術(shù)產(chǎn)品市場的蓬勃發(fā)展就可以看出。在國內(nèi)，隨著上網(wǎng)的關(guān) 鍵

24、部門、關(guān)鍵業(yè)務(wù)越來越多，迫切需要具有自主版權(quán)的入侵檢測技術(shù)產(chǎn)品。但現(xiàn) 狀是入侵檢測技術(shù)僅僅停留在研究和實驗樣品（缺乏升級和服務(wù)）階段，或者是 防火墻中集成較為初級的入侵檢測技術(shù)模塊?？梢?，入侵檢測技術(shù)產(chǎn)品仍具有較 大的發(fā)展空間，從技術(shù)途徑來講，我們認(rèn)為，除了完善常規(guī)的、傳統(tǒng)的技術(shù)（模 式識別和完整性檢測技術(shù)）外，應(yīng)重點加強統(tǒng)計分析的相關(guān)技術(shù)研究。 第四章入侵檢測系統(tǒng)實驗案例分析 本研究中，在Linux系統(tǒng)環(huán)境下搭建了一個入侵檢測系統(tǒng)Snort，實現(xiàn) 了基本的入侵檢測功能在實驗室環(huán)境下，在局域網(wǎng)中利用兩臺以上的計算機， 使用其中一臺主機作為被攻擊方，即檢測方，另外的主機可對其進行攻擊.被攻 擊方

25、可看出攻擊方的IP地址及數(shù)據(jù)包相關(guān)內(nèi)容，并可根據(jù)檢測結(jié)果進行分析. 由于Ubuntu是Debian系的Linux，安裝軟件非常簡單.這里使用 Ubuntu 默認(rèn)命令行軟件包管理器apt來進行安裝.要安裝的不僅有 Snort，還有Snort 規(guī)則集. $ sudo apt-get in stall snort sn ort-rules-default 4.1配置Snort選項 接下來利用Snort的配置文件來設(shè)置各種選項，以確定它的運行方式.這個 過程相對復(fù)雜，尤其要注意的是命令的輸入，有時因為一個空格的缺失就要反復(fù) 進行配置. 先打開Snort的主配置文件：/etc/snort/snort.

26、Conf #HOME_N0T#EXTERNAL_N是嗅探器最主要的兩個配置變量和選項.在 配置文件中將HOME_NET關(guān)項注釋掉，然后將 HOME_NE設(shè)置為本機IP所在網(wǎng) 絡(luò)，將EXTERNAL_NET關(guān)項注釋掉，設(shè)置其為非本機網(wǎng)絡(luò).刪除HOME_N0T前 的一# II,設(shè)置HOME_N變量.一# II在Snort配置文件中作命令指示器.HOME_NET 變量定義了哪些網(wǎng)絡(luò)是受信的內(nèi)部網(wǎng)絡(luò) 它與簽名共同判斷內(nèi)部網(wǎng)絡(luò)是否受到攻 擊.Snort . conf默認(rèn)把HOME_NET為一var HOME_NETy II對任意地址信任.把 它精確設(shè)為實際的內(nèi)網(wǎng)地址空間將減少錯誤告警的次數(shù)設(shè)置代碼如下：

27、 #var HOME_NET any var HOME_NET 172 18148152/16 設(shè)置EXTERNAL_NE變量.它指定可能發(fā)起攻擊的網(wǎng)絡(luò)，一般把它設(shè)為除 HOME_NE地址以外的所有地址.設(shè)置代碼如下： #var EXTERNAL_NET any var EXTERNAL_NET !$HOME_NET 定義哪些服務(wù)器上運行了哪些服務(wù)程序.如果把HTTP_SERVERS為某些 服務(wù)器，則Snort只關(guān)注對那些服務(wù)器進行的 HTTP攻擊.如果想了解到對某個 服務(wù)器上并沒有運行著的服務(wù)程序進行的攻擊， 就保留默認(rèn)設(shè)置， 這樣可以觀察 到任何對內(nèi)網(wǎng)的攻擊 也可以命令 Snort 只關(guān)注

28、對某一臺或某幾臺服務(wù)器的 HTTP 攻擊設(shè)置代碼如下： #var DNS_SERVERS $HOME_NET var HTTP_SERVERS32 配置服務(wù)使用的端口 同前面定義服務(wù)類似， 命令將使 Snort 只關(guān)注對這 個端口的攻擊.按照默認(rèn)配置，Snort將忽略對端口 8080的HTTP攻擊.這樣的 配置能夠使 Snort 專注于不同類型攻擊類型的發(fā)生地點 但在最終對被攻擊方做 全面保護時不開啟這個配置， 這樣可以檢測出局域網(wǎng)內(nèi)對該機器進行攻擊的主機 和攻擊類型 在本地打開 Snort 規(guī)則：snort - c/etc/snort/rules 配置RULE_PA

29、T變量，指示規(guī)則的存儲位置，規(guī)則用于觸發(fā)事件.配置代 碼如下： var RULE_PATH /rules 接下來一段內(nèi)容被注釋掉了， 是對一些不常見的通信的監(jiān)測 除非系統(tǒng)中 出現(xiàn)了其中的問題或者入侵檢測系統(tǒng)耗費資源很小， 否則最好不要啟用 下面一 段是允許為資源有限的系統(tǒng)配置偵測引擎， 在本實驗中無需改動 配置文件之后 的幾段用于配置一些功能和設(shè)置對某些類型的攻擊的偵測，包括碎片攻擊 (fragmentation attacks )、狀態(tài)檢測(stateful inspection )和流重組(stream reassembly )選項. 標(biāo)注有 Step #4 的 段落包含 Snort 的輸

30、出選項， 取消 output alert_syslog:LOG_AUTH LOG_ALERT|前的注釋.此處無論如何配置都會生成 auth . info 警告. 編輯 #2 部分動態(tài)加載庫的路徑，這些路徑有些需要修改默認(rèn)項.比如在 本 實 驗 中 ， 運 行 Snort 時 遇 到 錯 誤 ， 提 示 了 Unknown rule type:dynamicpreprocessor directory | ，經(jīng)查發(fā)現(xiàn)是是由于 Snort 未配置使用 動態(tài)加載處理機，只需用一#1注釋掉加載處理機相關(guān)兩行就可以了. (11)最后一段Step #6是規(guī)則集.這里有些 規(guī)則默 認(rèn)為不起作 用，如 cha

31、t. rules 是由各種即時消息客戶端出發(fā)生效的.在行首加入或刪除注釋符 號一# I就可以指定該行的規(guī)則集是否生效.在本實驗中一般均默認(rèn)為生效. 4.2 測試 Snort 前面對 Snort 的配置做的修改， 有些配置的修改可能會影響到 Snort 的正常 啟動，在將 Snort 作為入侵檢測工具正式啟用前， 首先要測試 Snort 工作是否正 常： $ sudo snort -c /etc/snort/snort conf 如果出現(xiàn)一個用 ASCII 字符畫出的小豬， 那么 Snort 工作就正常了， 可以使 用 Ctrl+C 退出；如果 Snort 異常退出，就需要查明安裝軟件和修改配置

32、的正確 性了 4.3 攻擊與檢測過程 4.3.1 攻擊過程 在攻擊庫面板中選擇一種攻擊，在此選擇 Backdoor Backdoor 203 dll 為例，選擇該類型攻擊作為實驗用點擊右側(cè)一 Runattack II開始攻擊過程在 下面的界面中可以看到發(fā)出攻擊的大概情況 當(dāng)攻擊結(jié)束后左側(cè)的窗口會顯示本 次攻擊的信息，包括攻擊類型，其中發(fā)出攻擊包所屬 Protocol 種類，及本次發(fā) 出攻擊包的總數(shù) 4.3.2 Snort 運行過程 在啟動Snort后,入侵檢測的過程就開始了.啟動操作輸入：snort - vd外 界沒有攻擊時的檢測如圖 5-4(a)(b) 所示截獲的數(shù)據(jù)包中，首先顯示一些基本

33、的數(shù)據(jù)包信息, 包括時間、攻擊方 IP 地址及端口號、 被攻擊方 IP 地址及端口號、 數(shù)據(jù)包類型、報文中轉(zhuǎn)次數(shù)、 ID 號、 IP 數(shù)據(jù)包長度、響應(yīng)號和發(fā)送窗口大小等 信息數(shù)據(jù)包內(nèi)部信息用 ASCII 顯示出,對于數(shù)據(jù)包內(nèi)容的分析可用專門的分析 軟件進行,在本實例中使用了 wireshark 對已知數(shù)據(jù)包進行分析 退出 Snort 會顯示出本次檢測的數(shù)據(jù)包相關(guān)數(shù)據(jù), 包括本次檢測總時間, 及 分析的數(shù)據(jù)包個數(shù)、 分析失敗個數(shù)、 突出數(shù)據(jù)及其相應(yīng)的百分比 接下來顯示的 是分析的數(shù)據(jù)包中,每種數(shù)據(jù)類型所占的個數(shù)和百分比 4.4 檢測結(jié)果分析 Wireshark 是一個網(wǎng)絡(luò)封包分析軟件 網(wǎng)絡(luò)封包分

34、析軟件的功能是截取網(wǎng)絡(luò) 封包,并盡可能顯示出最為詳細(xì)的網(wǎng)絡(luò)封包資料 本實驗中以此軟件來對已經(jīng)記 錄的數(shù)據(jù)包進行分析首先將數(shù)據(jù)包文件導(dǎo)入,如圖 4-1 L=ij_s_r T 2 I liei Q Q 也同 Tm 245S20 77 245S21 77 245822 77 245B23 77 ND - m丄廿 24 5824 245825 245826 Z45827 245328 245829 245850 245831 245832 77 77； on 丄上330 .112.194 24S.153 ,112.194 ,113,50 2,91.23? .UB.50 .112.194 248,153

35、 ,112.194 *113.50 2.91.2 245833 245B34 245835 770.3S2215 19.102.91,233 7770.442352 53 7770.44?001 94 7770.J622277.246,13 7770.482356 丄朋48291.233 172.16.112. 53 17Z.16.112.19Ji 172.1,113,50 Info 1A 05* A L tl叫i禮 TELNET Telnet Data * TELNET Tel net Data TCP 20622 teln

36、et Iac telnet rd net TELNET Tel net Data TCP 6297 Telnet TELNET Tel nert Data . TELNET Tel neT Ztd TCP ?0622 telnet AC TELNET Tel net DMta TELNET TInar gz * TCP 627 telnet UK TELNET Telnex Data * TELNET Tel net Data . T匚P 2022 telner ac TELNET Telnet Data in p Frame 1 (60 bytes on wire, 60 bytes ptu

37、red)* Etherner Iit Src; cSsco_38：46i?b (00：10；7b：?8：46：ib)1 ： cA$co_3a；46i3ti COOilOi7b：3&： = configuratlcin Twwt Protocol (1 oopback) 000000107b38“3b00107b38463b90000000 00100100000000g00OO00000000CO00DO00 do”0000000000oaOOOOOOOOOOOOOO000040 003000000000000000DODC00DO00 Loadng: LLSJXOS 1.0-dmz .dum

38、p Packets: 245835 Dbplaved: 245835 Marks. Profie: Defauft 圖4-1 用Wireshark分析數(shù)據(jù)包內(nèi)容 Wireshark和其它的圖形化嗅探器使用基本類似的界面，整個窗口被分成三 個部分：最上面為數(shù)據(jù)包列表，用來顯示截獲的每個數(shù)據(jù)包的總結(jié)性信息；中間 為Protocol樹，用來顯示選定的數(shù)據(jù)包所屬的 Protocol信息；最下邊是以十六 進制形式表示的數(shù)據(jù)包內(nèi)容，用來顯示數(shù)據(jù)包在物理層上傳輸時的最終形式.使 用Wireshark可以很方便地對截獲的數(shù)據(jù)包進行分析，包括該數(shù)據(jù)包的源地址、 目的地址、所屬Protocol等. 通過Proto

39、col樹可以得到被截獲的數(shù)據(jù)包的更多信息，如主機的MAC地址 信息(Ethernet II) 、IP 信息(Internet Protocol) 、TCP信息(Transmission ControlProtocol)，以及該 Protocol 的具體內(nèi)容(Hypertext Trnasfer Protocol).通過擴展Protocol樹中的相應(yīng)節(jié)點，可以得到該數(shù)據(jù)包中攜帶的更 詳盡的信息.最下邊是以十六制顯示的數(shù)據(jù)包的具體內(nèi)容，這是被截獲的數(shù)據(jù)包 在物理媒體上傳輸時的最終形式，當(dāng)在Protocol樹中選中某行時，與其對應(yīng)的 十六進制代碼同樣會被選中，這樣就可以很方便地對各種Protocol

40、的數(shù)據(jù)包進 行分析. 第五章 入侵檢測技術(shù)的缺點和改進 5.1 入侵檢測技術(shù)所面臨的問題 近年來入侵技術(shù)無論從規(guī)模與方法上都發(fā)生了變化， 入侵手段的綜合化與復(fù) 雜化，網(wǎng)絡(luò)防范技術(shù)也多重化， 攻擊的難度增加， 使得入侵者在實施入侵時往往 同時采用多種入侵手段， 存在對入侵檢測系統(tǒng)的攻擊， 入侵者通過分析 IDS 的審 計方式、特征描述、通信模式找出 IDS 的弱點，然后加以攻擊。傳統(tǒng)的分析技術(shù) 和模型，會產(chǎn)生大量的誤報和漏報， 難以確定真正的入侵行為。 以提高入侵成功 的概率，并在攻擊實施的初期掩蓋入侵的真實目的， 入侵檢測系統(tǒng)面臨如下的一 些問題： (1) 入侵檢測系統(tǒng)體系結(jié)構(gòu)問題； (2)

41、網(wǎng)絡(luò)規(guī)模增大， 導(dǎo)致信息的收集和處理難度加大， 入侵規(guī)模的擴大化， 現(xiàn)有的入侵檢測系統(tǒng)檢測速度遠小于網(wǎng)絡(luò)傳輸速度； (3) IDS產(chǎn)品的檢測準(zhǔn)確率比較低，漏報和誤報比較多； ( 4 )入侵檢測產(chǎn)品和其他網(wǎng)絡(luò)安全產(chǎn)品結(jié)合問題，即期間的信息交換，共 同協(xié)作發(fā)現(xiàn)攻擊并阻止攻擊； (5) 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)對加密的數(shù)據(jù)流及交換網(wǎng)絡(luò)下的數(shù)據(jù)流不能 進行檢測，并且其本身構(gòu)建易受攻擊； (6) 對分布式攻擊和拒絕服務(wù)攻擊的檢測和防范能力較弱； ( 7 )尚不能與其他安全部件很好地互動； ( 8)缺乏國際、國內(nèi)標(biāo)準(zhǔn)； (9)對IDS產(chǎn)品的測試評估缺乏統(tǒng)一的標(biāo)準(zhǔn)和平臺。 5.2 入侵檢測技術(shù)的改進發(fā)展 針對

42、這些問題入侵檢測系統(tǒng)需要向以下的幾個發(fā)展方向： 入侵件技術(shù)應(yīng)該更 加智能化， 應(yīng)改進和提出新的檢測方法， 應(yīng)有自學(xué)習(xí)和自適應(yīng)能力， 應(yīng)制定相關(guān) 標(biāo)準(zhǔn)、加強與其他安全部件的互動，應(yīng)有一個完善的評估和測試體系。 總結(jié) 所有的入侵檢測方法應(yīng)用于實際都不可能捕獲到所發(fā)生的每次攻擊， 也不可 能完全阻止攻擊的發(fā)生 任何一種入侵檢測系統(tǒng)都有局限性 對于基于特征的檢 測系統(tǒng)而言， 系統(tǒng)需要時間加入新的攻擊特征來檢測新的攻擊類型 對于基于異 常的檢測系統(tǒng)而言，新的攻擊本身對于系統(tǒng)定義的正常模式常具有一定的隱蔽 性因此，任何一種入侵檢測系統(tǒng)都不可能提供零時差的攻擊檢測 因特網(wǎng)殘酷 且危機四伏，入侵檢測系統(tǒng)只能提

43、供相對健壯的網(wǎng)絡(luò)防御方式并對攻擊做好準(zhǔn) 備，但不可能從物理上徹底阻止外界對網(wǎng)絡(luò)進行攻擊 大多數(shù)情況下， 入侵檢測 系統(tǒng)并不能阻止持續(xù)的攻擊， 其功能主要是檢測和預(yù)警 而大多數(shù)情況下入侵檢 測系統(tǒng)也不會自動阻斷攻擊， 這也是之前提到的， 入侵檢測系統(tǒng)只能是網(wǎng)絡(luò)防御 系統(tǒng)，如防火墻、 反病毒軟件等產(chǎn)品的一個補充， 而不能完全取代他們的重要原 因 在實際應(yīng)用中，Snort不僅用來保障計算機系統(tǒng)的安全，同時也要保證Snort 自身系統(tǒng)的安全，這樣才能保證數(shù)據(jù)的可靠性 如果 Snort 系統(tǒng)本身受到了攻擊， 那么所發(fā)送的報警也就不在可靠了，除非清除磁盤數(shù)據(jù)并重裝系統(tǒng)，否則 Snort 將沒有用處一個典型

44、的 Snort 安裝非常容易受到攻擊，攻擊對象包括 Snort 本身或其所在的操作系統(tǒng).Snort 般需要將報警存儲到數(shù)據(jù)庫 MySQ中，還需 要通過專門的接口查看報警，這需要使用到 Web服務(wù)器Apache.任何一種偵聽 服務(wù)都可能成為被攻擊的對象， 一些驅(qū)動攻擊甚至可以針對某個并沒有開啟相應(yīng) 服務(wù)的端口發(fā)起攻擊.因此， Snort 系統(tǒng)若不能隨時關(guān)注最新的安全漏洞通告及 所使用的操作系統(tǒng)安全通告，就很容易被攻擊. 在整個畢業(yè)設(shè)計的過程中， 我對入侵檢測的方法有了更深層的認(rèn)識， 熟悉了 Protocol 分析和模式匹配等檢測方法以及當(dāng)前廣泛使用的入侵檢測方法 Snort 的實際使用， 加深了

45、對 Snort 的檢測方法和規(guī)則組織的認(rèn)識. 總之，可以說完成 的過程也是學(xué)習(xí)的過程， 更是收獲的過程， 總結(jié)的過程， 畢業(yè)設(shè)計讓我接觸了許 多新的領(lǐng)域，并用大學(xué)中學(xué)到的學(xué)習(xí)能力和本領(lǐng)來進行研究，受益匪淺 . 致謝 我的課題設(shè)計終于完成了。 在論文完成之際， 我要特別感謝我的指導(dǎo)老師劉 燁老師的熱情關(guān)懷和悉心指導(dǎo)。 正是在他的指導(dǎo)下使我明確了設(shè)計的方向， 在此 對劉燁老師致以最衷心的感謝。 在設(shè)計的寫作過程中， 也得到了許多同學(xué)的寶貴建議并給予了大量的支持和 幫助，在此一并致以誠摯的謝意！ 在此感謝所有關(guān)心、支持、幫助過我的良師益友們。 最后，向在百忙中抽出時間對本文進行評審并提出寶貴意見的各位老師表示 衷心的感謝！ 參考文獻 1 蔣建春，馮登國 . 網(wǎng)絡(luò)入侵檢測技術(shù)原理與技術(shù) .北京：國防工業(yè)出版 社， 2001.7 2 戴連英，連一峰，王航 .系統(tǒng)安全與入侵檢測技術(shù) . 北京：清華大學(xué)出 版社， 2002.3 3 美Richard O.Duda,Peter E.HartQavid G.Stork李宏東 姚天翔 等譯 模式分類（原書第 2 版）機械工業(yè)出版社 ，2003-09-01 4 吳焱等譯，入侵者檢測技術(shù) . 北京：電子工業(yè)出版社 ,1999 5