当前位置:文档之家› 基于遗传规划的入侵检测系统研究与实现

基于遗传规划的入侵检测系统研究与实现

基于遗传规划的入侵检测系统研究与实现
基于遗传规划的入侵检测系统研究与实现

暨南大学

硕士学位论文

基于遗传规划的入侵检测系统研究与实现

姓名:陈凤其

申请学位级别:硕士

专业:计算机软件与理论

指导教师:罗伟其

20100608

?

? ? ????? ??? 〇?? ? ? ?? ??? ?ㄝ ??? ?????? ? ??? ??г ?か??? ??? ??? ??? ?? ?? 催???????? ? ??Ё???? ? ? ????? ?? ?? ? ???? ?????? ?? ????乬? ???? ?? ???? ? ? ???? ?????お?

佪 ?? ??? ??????? ? ? ?????? ????? ? ? ? ? ?????? ???? ? ????? ? ?? ????? ??? ?? ? ?? ?? ? ㄝ? ? ? Ё? ? ? ?????? ? ? ? ? ????? ?? ? ???? ?? ? ? ? ? ??????? ? ?? ? ???┰ ??? ? ??????? ?? Ё? ? ???? ? ?????????? Ё ???BPF ?? ? ?????? ?? ? ? ?? ? ? ? ???? ? ??? ? ? ????? ? ????? ?? ?? ? ???????? ? ??? ???? さ????ㄝ?? ?? ? ? ??? ? ?? ? ??? ??? ?? ? ? ?? ? ? ? ? ??? ????? ??? ?DARPA 99 ????? ? ??? ??Snort?????????

? ??? ; ????;??? ;???

ABSTRACT

The Internet penetration rate in China maintains a growth momentum in recent years, which promotes the development of some new industries such as E-Business and Online Payment. At the same time, various kinds of network security incidents have arisen ,which poses a threat to the safety of people’s property and demands higher levels of network security technologies including intrusion detection. As an important component of the network security architecture, Intrusion detection system can detect attack attempts. However, traditional intrusion detection system cannot meet current demand of network security due to some problems of its own. It’s necessary to get further research for intrusion detection system.

First this thesis makes an in-depth analysis of intrusion detection system based on rule detection to get a thorough understanding of the mechanism of common intrusion detection system and the basic structure of detection rules. Then a new intrusion detection system based on genetic programming has been proposed. This intrusion detection system is made up of packet capture engine, detection engine, rule evolution engine, rule selection engine, rule base and other components. The rule evolution engine is the core of the intrusion detection system. According to the principle of genetic programming, new rules will be generated by original rule base and history records of invasion with the rule evolution engine. The performance of detection system will be improved by the potential of detecting new forms of intrusion due to the fact that genetic programming is an effective search optimization technique.

The design of the intrusion detection system based on genetic programming is presented in detail. The packet capture engine uses the BPF packet filtering mechanism, which allows us to capture packets that need to detect. In addition, the packet capture engine also supports a data packet parsing and a classification will be done after that. The detection engine is composed of several detection sub-modules, every of which only detects data packets of some special protocols. The rule evolution engine contains several important algorithms, such as cross algorithm, mutation algorithm, rule conflict detection algorithm and so on. The rule selection engine selects rules that qualify both in structure and composition, which ensures that every

rule updated into rule base is a valid one. Finally, this thesis describes the implementation process of the intrusion detection system based on genetic programming. A comparison with Snort detection system in positive detection rate and false detection rate by DARPA 99 dataset is also presented.

Key Word s: Network Security; Intrusion D etection System; D etection Rule; Genetic Programming

2-1 ? (13)

3-1 ?? ??IDS? (16)

3-2 ? (17)

3-3 ? ? (18)

3-4 ? ? ?? (21)

3-5 ???? ?IDS? (22)

3-6 ??? (23)

3-7 ?? ? (24)

3-8 ? ? ??? (26)

3-9 ? ???? (35)

4-1 ???? ?IDS ?? (41)

4-2 ??? ? (46)

4-3 ????? (47)

5-1 ?????? (51)

5-2 ? ???? (51)

?

? ?? ?? ? ?????お ? ??お ? ???? Ё? ? ? ??? ?? Ё? ?? ? ? ???お ?г? ?? ? ? ? ? ? ?к????? ?? ? ?? ?お ????? ? Ё?? ??? ??? ?

?? ??? ?? ?

?? ? ?? к

?? ?? ?? ? ???? ?? ?? ? ? ?? ??? ? ? ??? ?? ? ? ?? ? ? ? ?? ? ? ? ? ????? ??? ?? ㄝ ? ??? ?? ?

? ? ?? ? ?? к?

?? ??? ? ? ?

? ? ? ?

?? ???? ?

? ?????

?? ???

1??

????? ???? ? ?? ?亲? ??? ??? ?? ?乥??????? ? ㄝ ? ? ? ? ????? ???? ? ? ? ? ??? 乚 ??お???

??お?

? Ё ???? Ё ?25??Ё ???? ? ?? ?? ?2009 ? ????? ?? 3.84????2008 ?28.9%? ? Ё????22.6% 28.9%??? ??? ?〇?? ? ? ??? г? ? ??2009 Ё ???? ? ? ? ? ??2009 52%?? ????? ???? Ё21.2%??? ? ?? ?????? ??? ?催?153? ?? ?

???? ? ???? ? ?? ? ????お乚 ? П ?????? ? ? ? ? ????г ???お乚 ?????? ???? ?????????乬????乬 ?

1??催?? ? ?? ?

???? ??? ?? ? ???? ? 催?? ? ?? ?? ?? ?? ???? ?? ? ?????? ???2?催???? ????? ??乬

????? ? ?催? ?г 亲? Ё? ? ????? ???? 催???? ? ???? ?? ?? ???? ? ?

3????? ? ?

??? ?? ??? ? ? ???? ???? ??П ??? ???? ? ???? ???????? ????? ???4??У ??? ?

? ? ??? ? ??????? ?? ??? ? ???

??? ?? ? ?? ??? ?

?? ? ? ????П ? ?? ? ?? ???? ????Ё ?????乬?? ?г?? ? ?か?? ?????? ? ?? ?? ????ㄝ ? ? ? ? ???????? ?? ? ?????? ?? ?? ? ??お?

?????お??

?????20??80 ? ?? ??? ? ?20 ? ???? ?? 乚 ??? ?? ????? ??乚 ??お??? ????お ? ? ?? ??????お? Ё?? ?? ? ?M. Ali Ayd?nㄝ??2008 ? ?? ???? ? ????[1]????? ? ?? ?? ?催? ??乬? ? ? ? ???? ? ?? ????M. Saniee Abadeh ?? ?????? д?? ? ????[2]? ? ??? ????? д ?? ? ? ?????? ? ? ? 催?????? ??Eugene H. Spaordㄝ? ??? Ё?? ?????? ????[3]????? ? ??Ё ? ??? ? ㄝ?乬?B. Balajinathㄝ? ? д??? ? ????[4]??????? ? ???Ё? ? ?? ? ?? ? ?? ??? ? ?? ? ???? ?┰ ? ???

???? ??????お??? ?? ? ? ? ?お ???? ? ? ??お ?? 佊剰ㄝ? ????Ё ? ? ??[5]?? ?? ?? ? ? ??? ? ? ?? ?ㄝ?????? ?SVM ? ? ????[6]???? ? ??? ッ П TCP/IP ???? ???SVM???? ????? ?? ? ? ?????? ッ ? ? ?????? ?TCP? ? 吓 ㄝ? ???????? ? ??? ????? ?[7]?? ?????? ??? ?? ???? ?? ? ? ????????? ????? ? ?????? ??

? ?? ??????お ???Ё ?? ? ?

?? ?? ? ???お? ??? ? ??[8]? ????[9]??? ㄝ [10]? ? ??お ?? ????[11]? [12]?? ?[13]?????[14]ㄝ ?? ? ??????お??

?? ???? г???? ?お? ?? ??? ? ????? Crosbieㄝ?[15]??????? ?? ????Ё? ??????? ??????? ? ?? ?????????????Ё? ?? ? ???? ?? ??? ?????? ???? ?? ??? ? ?? ?? ?П??? ? ??? ??乬?? ? ? ???お ??? ? ????お? ??? [16]? ???? ? ?? ? ?? 偠? ? ????Ё????? ?? ? ? ? ? ????? ? ? ? ? ??г? ?? ?? ?????? ?

??お?? Н

? ????? ? ????? ? ? ? ? ?????お乚 ? ?? ? ???お ?? ??? ? ? ?? ???? ???乬? ???? 催? ??乬? Ё????? ???? ? ? ? ? ?? ?? ??? ???? ? ?? ???? ? ? ?? ??? ?? ??? ? ? ???? ?? ? ? ??

??? ???? ??? ?? ? ?? ??乬?ぎ?[17]? ? ?? ?ぎ??

????Ё ??乬? ??? ?? ?? ?? ? ?? ??? ?? ??? ??????? ???? ???? ? ????????? ?? ?? ??? ????Ё ??? ? ? ??? ?有 ?? ? ???? ????? ? ? ? ???? ? ? ?? ? ? ? ? ??П?? ? ? ? ? ?? ? ???┰ ??? 催 ??????? ??

?? ??? ?? ? ? ? ? ???? ???? ?

? ??????? ??? ???? ? ? ? Ё ┰ ? ?????? ? ? ???? ? ???有 ?? ? ?г ???? ?? ?? 催 ? ??????お ? ???? ? ?????? ??? ? ?? ???? ?

??? ? ゴ?

??? ??

1??? ??? ?? ??? ????? ?? ??? ? ? ?? ? ? ? ? ?????? ? ? ?? ?2????? ???? ? ?????????? ???? ????? ? ??? ? д?お??? ??? ???????? ? ?? ? ???ā??? ???? ā?? ??? ? Ё? ???????? ?? ?? ??? ?? ? ??┰ ? ? ??? 催??????? ??

3? ??? ?????? ??? ? ?? ? ??????? ?

4??? ??? ??????????Snort???? ? ?? ?? ? ??? ??? ? ? ?? ?

6?ゴ??

??ゴ???? ?? ???? ? ?? ? ??お? ? ? ?お ????? ? ? ????? ???お乚 ??お ? ??お?? Н?

??ゴ???? ?お??? ???? ? ?? ? ???? ??? ???? Ё ???????? Н? ????? ? ?ㄝ ???? ??? ?????? ? ???? ??????? ??? ㄝ ????

??ゴ???ゴ佪 ? ?? ??? ????? ? ? ???? ? ???????? ゴ? ? Ё?? ???Ё????????????? ? Ё?? ??üü? ? ??????? ? ?? ?

? ? ??? ???

? ゴ? ゴ ??ゴ??? ?????? ???? ? ????? ???? Ё??? ? ? ??? ?? ? ? ?? ??? ? ? ??ㄝ? ?ゴ?? ? ??????? ?

??ゴ???ゴ?? ? ゴ ??????????佪 ??? ??????? ? ????? ??? ?? ? ? Ё? ??? ? ゴ ? ???? ? ???? ? ? ???? ? ????? ? 催??????? ?г ????? ??

? ゴ???ゴ ??? ?? ????? П ?? ? ゴ? ??? ???????П ??? ? ??? ?????

2? ????

ゴ????? ???? ??? ? ??? Ё ???????? Н? ? ?ㄝ?????? ? ?????

??????

???? ???? ?? ??? ????????? ? ????? ? ? ?????? ? ?? ??? ?? ? ? ?????2.1.1 ???? Н

? ?????⑤??? ?? ??? ?? ?? ? ?г ?? ?? ?? ? ???? ? ??? ?? ??г ? ??? ?? ??

? ? ?? ? ?4?? ? (D enial of Service)? ? (Probing)???????(Remote to Local User) ??? ??? ?(User to Root)?

1? ? ? ? ? ? ? ? ? ??? ?⑤? ? ?????? ?? ? ? ? ?? ????? ? ???⑤?? ? ????? ?????⑤?? ?? ?? ???

2? ? ? ??? ? ?? ? ?? ? ????? ? ??????? ?? ??? ? ?? ? ? ?? ???? ? ? ?? ?????? ? ?? ? ? ?? ???????????? ? ?

3???????? ?? ? ? ? ? ? ? ? ? ? ?? Ё? ???? ? ?? ? ?????? ? ? ? ? ? ? ? ????? ??? ??? ? ? ?

4? ??? ??? ?? ?? ?? ? ???? ??? ?? ??????? ? ?? ?????????? ??? ? ??? ? ? ? ?? ? ?? ? ??? ? ? ?? Ё

???? ???? ??

???? ???? ???? ? ????? ??? ? ??????? ?? ? ??? ???? ??? ??Ё??? ? ???? ??? П ???? ???

2.1.2 ???? ?

????? ? ??⒃ 1980 ? ? ?James P. Anderson ??? ?? ????? Ё佪? ???? [18]?1987 ? ? ??お ?Dorothy E. Denning ? ????? ?? [19]? ???? ???? ? ??? ?

1988 ?Morris?? ?Internet??? ?? [20,21]?? ??? 5 ? ? ? ???????? ?? ??? ????? ??? ??? 有 ?お ?????

1990 ? ? ?L.T.Heberleinㄝ? ? ???? ??? [22]? ??? ??? ? ??? ⑤??????? ?? ??????? ??????お ????? ? ?? ? ?????1991 ? ? ぎ ??⑤? ? ? ? ??Haystack 偠 L.T.Heberleinㄝ? ? ????(DIDS)?お?DIDS ??? ???? ?? ??? Ё ? ?? ?? ? ? ????? ? ???Ё ? ?? ??

1994 ?Mark Crosbie Gene Sparfford ???? ????[23]? ? ? ???? ??? ????? ??? ā дā? ?? ? ?1996 ??? ? ? ????[24]????? ?? ??????? ?乬?

??20 ? ? ???? ?? ? ??? ????????? ???? 亲? ? ???? ? ???? ??乚 ??お? ?? ??????

2.1.3 ????? ?

2.1.

3.1 ⑤ ?

? ⑤? ???? ? ? ?? ? ?? ???? ?????

1? ?? ? ????

?? ? ????? ? ? ? ??? ?? ?? ⑤?? ?? ?? ? ? ???? ? ? ??? ? ? ?? ?? ?????????? ???? ?? ??? ??? ??????乱 ???? ?

2? ???? ????

???? ?????? ??? ? ?? ? ⑤??? ? ?? ? ? ????? ?? ???? ?? ?????? ????? ?有? ?? ?? ?????催?? ?? ? ?? 催???Ё ??? ?

2.1.

3.2??? ?

???????? ???? ? ? ??? ??? ? ??Ё ?????

1??Ё ????

?Ё ???? ??Ё ?? ? ?? ? ? ?? ? ?? ?? ? ? ?? ?? ? ??Ё ?? ? ???? ???? ?????? ? ????Ё ???? ??? ???Ё??? ?? Ё ?? ? П?? ??偸 ????? ????? Ё ?? ? ? ?? ?????? ??? ?

2? ????

?? ?? ????? ??? ??Ё?? ? ?????П? ? ? ??г ? ? ??? ??Ё ????????? ? ?? ? ??乬? ???П??? ?????? ? ? ???? ??

??????? ? ?? ??Ё ???? ????????? ??????? ????

2.1.

3.3?? ?

?? ? ? ????????(Misuse D etection)[25] ??(Anomaly Detection)[26]?? ? ? ????? ????? ? ?? ?? ?? ?? ??

???? ?? ?? ????? ??乘 有? Н? ??? ? ?? ?? ?⑤?? ?????? ? ??? ??? ??????? ????? ?????? ?? ? ?? ? ??? ? ????催?????г? ? ???? ????? ?? ? ?? ? ?? ????? ?? ?????? ????? ? ?? ?? ????? ?有 ???? ? ? ??? ?? ??? ? ? ? ???

? ?????? ? ??

? ?? ????

г???? ??? ?? ? ? ????? ???? ? ???? ? ??????? ? ? ? ?? ????? ???? ???? ? ?? ? ?催? ? ? ? ???????? ?亲? ? ?? ???? ???? ???? ??? г ????? ???乜?? ?? ????

?? ????????????? ?? ?? ? [27]? ? ??? ? ? ? ??? ?? ? ??? ? ? ? ? ?? ? ? ? ?? ??? ?????? ?г ?? ? ??? ?? ?? ??ㄝ???

? ?? ?????

?? ? ???????? ? ?????[28]? ?? ?? ? ?? ? ??? ? Ё ? ?? ???? ? ?? ??? ? ??? ?? ?? ? ?????? ?? ????? ? ???? ???? ?? ????? ??? 乘 Н? ? ????? ??? ??? ????? ????? ??? 催?? ??? ? ? ?????????????? ? ?

? ?? ?????

?? ????? ???If-Then?? ??? ??? ?? [29]?? ?? ??? ????????? ???? ??? ? ?? ?乬? ??ㄨ ? ??? ??? ? ?? ?? ? ??催?

?? ? ?? ? ?? ? ??? ? ????? ??? ? ??? ? ? ?? ? ?? ?? ??Ё? ? ??? ??? Н?? ? ??????催?? ?? 乏 ? ?? ? ?? ??? ?? ?? ?? ???? ??? ? ??? ?? ? ????????? ?г ? ?? ?

? ?? ?? ?

? ??? ???

??? ??? ???? ? ?????? ?????? [30,31]??? ?????? ??????? ? ?? ? ?? ???? ?? ?? ? ?? ?? ????? ? ?? Ё ??お?? ? ?Ё? ?? ? ??催 ?? ?? ??? ? ?? ?? ????????

?? ??? ??? ? д ? ?? ???[32]? ???????? ???? ?? ??? ??? ??? ?? ?? ???? ? ?? ?? д?? ?? ? д? ????? ?有 ㄝ ? ??? ? ???

? ??? ?? ?Ё [33]? ? ? ?? ?? ? ?? ???? ?? ?????? ? ? ????? ? ?????????

3????? ? ?? ???

???? ?? ???? ????? ??? ?? ? ?? ?? ? ? ?? ?? ?催?????? ?? ??? ㄝ ???? ??? ? ?? ??? Н?? ???? ? ?? ?? ??? ? ?? ? ???┰ ?? ? ?? ?? ? ? ? ? ?? ????? ? ???? ? ?

??? ???

??? ? ??????? ??? ??Ё ???? ???? ?

??? ???佪 ???? ?? ?????? ???????? ??? ???

2.2.1? ??

? ?? ? ???? ? ???? ?? ㄝ??? ? ??? ?????? ?????? ?????? ㄝ? ??? ? ?? ?? ?? ㄝ?? ??? 乚 ?お? ?????? ?

? ? ? ???? ?? ????[34]?

1?? ??? ??? ??? ? ???? ? ?? ? ???? ? ??? ? ? ? ??? ?? ? ??? ? ? ?? ?? ? ? ? ? ?? ?

2?? ?? ???Ё??? ?? ??? ??? ?? ??????? ? ??乬乚 ???? ???????? ? ? ? ?? ?? ??

3?? ?? ??? ? ?? ???? ??? ?????? ??? ?? ???????催? ?

4?? ?? ?? ???? ?? ? ??? ???? ??? ?? ??? ? ? ? ??? ?? ??? ? ?乬?5?? ?? ?剕? ? ?? ?? ??乬?? ??? ???Ё ?? ????

2.2.2????

? ?? ?????? ? ??Ё?? ? ? ?г?? ?????お 乚 ???? ??????? ????? ?? ??? ?? ? ?? ā? ˇ?偠ā? ?? ??? ???ぎ?? ?乬? ぎ???? ???? ???????? ??? ??Ё??????? ? ?? ?? ? ????????? ????Ё???? ??????Ё??? ?? ?????? ????????? ??????? ? ??? ? ??? ?? ???乬????

??????? ?? ??? ??? ? ???? ??? ?????? ?さ?? ??? ? ? ? ??ぎ??? ?? ???????

? ?? ????? ??? ??????? ?? ???Ё ? ??????

??? ? ? ?? ????? ???г ? ??Ё?? ??????

2.2.3???

2.2.

3.1 ?

??? ????? ?? ? ?? ?John R.Koza ????? ??? ? ????????? ?? ??????? ???? ????? ??? üü ? ?? ???乬?ぎ??? ?乬??? ??[35]???? ? 乚 ????乬? ?? ? ? ??? ? ? ? ? ????

????? ? ?乬佪 ? ? ?乬? ???? ?? ???? ? ???? ????????? ?? ??偸?

1? ?????? ?? ???乬? ? ?? ????? ? ???

2?????? ????Ё?????? ???????乘 Н ?? ??

3? ??Ё????? ??????????

4?? ??2??? ?? ? ????

2.2.

3.2??? ??

??? Ё?????? ?? ? ?? ? ??? ? / ?? ? ?? ? ??? ?乬 ? ? ? ? ? ? ? / ?? Ё ?? ??? ? ??? ???乬?? ? ??? ? ?? ? ??? ?? ?? ? ??

?? ?? ? Fs ?? ? ? Fs={g1, g2, … , g n}?? ?乬 ? ?Fs ? ??? ? ? ?? ? ? ?? ? ?? ?? ???? ??? ? ? ?乬? ㄝ? / ?? г ? ?乬 ? ?乚 ? ? ??? ? ???乬? ? ? ? /?? Ё???? ? Ё? ???? ?? ? ????? ?

? ?????? ? ???? ???? ??? ????? ????? ? Ё??? ?乬 ? ? ?乬 ?? ???? ?? ? ????? ?? 2-1 ?? ?? ? ?Lisp??Ё?S-?? ??? (+ 1 2 (IF(>(TIME 10)3)4))?

2-1 ?

2.2.

3.3? ??

? ?? ???????? ??? ? ??? ?? ? ? ? ? ??? Ё? ??? ? ? ??? ?? ? ?

? ? ??乬 ???? ? ???? CPM(critical path method)Ё?? ??? ?? ? ? ???? ? ???Ё? ? ???????? ??? ???? ??????? ?? ? ぎ?? ?? ?? ? 乏 ? ぎ? ?? ? ? ? ? ? ? ぎ?? ??

2.2.

3.4?? ?

??? ? ?????Ё? ??? ?? ? ?[36,37,38,39]?

1?

? ?? ???????????Ё?? , ?? ? ?:

???? ?? ? ?催??Ё???г ? ?

? ?? ?? ?? ? ? ? ,? ? ?? ? ??? ?? ? ? ?? ?? ?

?ゲ ? ???????Ё? ? K???, ?Ё? ? 催????? ? ? ???? ??

? ? ?? ? ?,?????Ё ? ? ?????? ??????

2??

??? ? ??? ?? ?? ? ? ,????? ? ?? ?? ??? ????? ?, ?? ? ? ????? ? ??お,? ? ?? ? ?:

? ? ?? ? ???????? ???? ?? ?? ??;

???? ????? ??????????? ?? ? ;

?? ? ???? ? ?? ? ??? ?? ? ???? ? ?

3?

??? ? ?? ?? ? ?? ??? ? ?? ? ??? Ё,Koza ?? ? ?? ??? ???,?????? ??? , ? ? ? ? ,??г ? ? , ?? ? :? ??? ??? ? ??Ё? ? ?? ;

?? ? ???? , ???? ? ? ;

? ? ?? ? ? ? 乎 ;

??? ? ???? ,? ????? ? ??;

? ? ???? ? ? ? Ё, ??? ??? ?? ? ??;

? ? ?? ? ????? ? ? , ?? , ?? ? ????? さ ??

4???

?? ??? Ё??? ? ??? ?? ??????? ?? ??

2.2.

3.5

?? ??乬 ? 乏佪 ? ????? ??? ???? ?? ?? ?????2??? ?11??? ?6? ㄝ 19? ? ???? ??? ?19? ?? ????? ??? P=500? ??? T=51?

第八章入侵检测系统

第八章入侵检测系统 第一节引言 通过电子手段对一个组织信息库的恶意攻击称为信息战(information warfare)。攻击的目的可能干扰组织的正常活动,甚至企图对组织的信息库造成严重的破坏。对信息战的各种抵抗措施都可归结为三类:保护、检测、响应。 保护 (入侵的防范)指保护硬件、软件、数据抵御各种攻击的技术。目前各种网络安全设施如防火墙及VPN,各种加密技术,身份认证技术,易攻击性扫描等都属于保护的范围之内,它们是计算机系统的第一道防线。 检测 (入侵的检测)研究如何高效正确地检测网络攻击。只有入侵防范不足以保护计算机的安全,任何系统及协议都不可避免地存在缺陷,可能是协议本身也可能是协议的实现,还有一些技术之外的社会关系问题,都能威胁信息安全。因此即使采用这些保护措施,入侵者仍可能利用相应缺陷攻入系统,这意味着入侵检测具有其他安全措施所不能代替的作用。 响应 (入侵的响应)是入侵检测之后的处理工作,主要包括损失评估,根除入侵者留下的后门,数据恢复,收集入侵者留下的证据等。这三种安全措施构成完整的信息战防御系统。 入侵检测(Intrusion Detection,ID)是本章讨论的主题之一,它通过监测计算机系统的某些信息,加以分析,检测入侵行为,并做出反应。入侵检测系统所检测的系统信息包括系统记录,网络流量,应用程序日志等。入侵(Intrusion)定义为未经授权的计算机使用者以及不正当使用(misuse)计算机的合法用户(内部威胁),危害或试图危害资源的完整性、保密性、可用性的行为。入侵检测系统(Intrusion Detection System,IDS)是实现入侵检测功能的硬件与软件。入侵检测基于这样一个假设,即:入侵行为与正常行为有显著的不同,因而是可以检测的。入侵检测的研究开始于20世纪80年代,进入90年代入侵检测成为研究与应用的热点,其间出现了许多研究原型与商业产品。 入侵检测系统在功能上是入侵防范系统的补充,而并不是入侵防范系统的替代。相反,它与这些系统共同工作,检测出已经躲过这些系统控制的攻击行为。入侵检测系统是计算机系统安全、网络安全的第二道防线。 一个理想的入侵检测系统具有如下特性: ?能以最小的人为干预持续运行。 ?能够从系统崩溃中恢复和重置。 ?能抵抗攻击。IDS必须能监测自身和检测自己是否已经被攻击者所改变。

入侵检测分系统安全方案

支持集中管理的分布工作模式,能够远程监控。可以对每一个探测器 进行远程配置,可以监测多个网络出口或应用于广域网络监测,并支 持加密 通信和认证。 具备完善的攻击检测能力,如监视E-Mail 攻击、Web 攻击、RPC 攻 击、NFS 攻击、Telnet 攻击.监视非授权网络传输;监视口令攻击、 扫描攻击、特洛 伊攻击、拒绝服务攻击、防火墙攻击、Daemon 攻击、 监视非授权网络访问等。 9.提供相应硬件设备。 第一章入侵检测分系统安全方案 7.1设计目标 能提供安全审讣、监视、攻击识别和反攻击等多项功能,对内部攻 击、外部攻击和误操作进行实时监控。 通过入侵检测探测器和安全服务中心对网络内流动的数据包进行获 取和分析处理,发现网络攻击行为或者符合用户自定义策略的操作, 及时报警。 与网御Power V-203防火墙互动响应,阻断攻击行为,实时地实现入 侵防御。 7. 2技术要求 L 具有对主机、防火墙、交换机等网络设备监控的功能。 2. 3. 具备从56Kbps 到T3以上速率管理多个网段的功能,包括4/16Mbps 令牌环、lO/lOOMbps 以太网及FDDIo 支持实时网络数据流跟踪,网络攻击模式识别。 4. 支持网络安全事件的自动响应。即能够自动响应网络安全事件,包括 控制台报警;记录网络安全事件的详细宿息,并提示系统安全管理员 采取一定的安全措施;实时阻断连接。 5, 自动生成按用户策略筛选的网络日志。 6. 支持用户自定义网络安全策略和网络安全事件。 7.

7. 3配置方案 根据蚌埠广电局网络系统和应用系统的要求,配置一台入侵检测控制台和2 个引擎。入侵检测安全控制中心安装在内部网管理区的一台主机上,对入侵检测探测器1和入侵检测探测器2进行控制和管理。 入侵检测探测器与网络的连接方式主要有3钟,第一,与防火墙吊联;第二, 在内网区(或者SSN区)与防火墙之间加装一台集线器,并将其两个接口接入集线器;第三,安装在内网区(或者SSN区)交换机的监听口上。从尽可能不影响网络效率和可靠性的角度考虑,我们选择了第三种连接方式。 7.4选型建议 本方案推荐釆用联想先进的细粒度检测技术推出的网御IDS N800网络入侵 检测系统。 选择选用联想网御IDS N800网络入侵检测系统是因为该产品不仅能够满足 “蚌埠广电局网安全系统包技术指标要求”规定的入侵检测系统技术要求,同时该产品还具有以下显著的技术特点: 实时数据包收集及分析: 联想网御IDS N800不使用原有的协议而用特殊的网络驱动,在MAC层 收集.分析数据包,因此保证了数据包收集及分析的实时性和完整性。 稳定.高效的网络探测器:网络探测器采用多线程设计,网络数据的获取、分析、处理、及针对入侵行为的响应动作均独立进行,并在数据处理过程中进行了合理的分类,优化了处理过程■大大提高了网络探测器在数据流量较大的情况下稳定和较小丢包率的性能。 灵活的用方式和多网卡支持功能:联想网御IDS N800具有高灵活性接入 的特点,为了检测外部的入侵及对其响应,探测器放在外部网络和内部网络的连接路口(有防火墙时,可放在防火墙的内侧或外侧)。支持100Mbps Full Duplex(200Mbps),为了检测通过网关的所有数据流,入侵探测器使 用三个网络适配器(分别用于检测各个接收的数据流、发送的数据流和入侵响应专用适配器)和分线器可以放置在基于共享二层网络结构内的,也可而且在提供监听能力的交换网络环境中也可以正常的工作。一个探测器可支持到8个网络适配器,可灵活的在多种网络环境中根据检测的需求进行部署。 简单.易用的全中文控制台界面:联想网御IDS N800提供了基于浏览器 的控制台界面,操作简单、容易掌握。不需安装特殊的客户端软件,方便用户移动式管理。所有信息全中文显示,例如警报信息、警报的详细描述等,人机界面简洁、亲切,便于使用。

入侵检测技术 课后答案

精品文档 . 第1章入侵检测概述 思考题: (1)分布式入侵检测系统(DIDS)是如何把基于主机的入侵检测方法和基于网络的入侵检测方法集成在一起的? 答:分布式入侵检测系统是将主机入侵检测和网络入侵检测的能力集成的第一次尝试,以便于一个集中式的安全管理小组能够跟踪安全侵犯和网络间的入侵。DIDS的最初概念是采用集中式控制技术,向DIDS中心控制器发报告。 DIDS解决了这样几个问题。在大型网络互联中的一个棘手问题是在网络环境下跟踪网络用户和文件。DIDS允许用户在该环境中通过自动跨越被监视的网络跟踪和得到用户身份的相关信息来处理这个问题。DIDS是第一个具有这个能力的入侵检测系统。 DIDS解决的另一个问题是如何从发生在系统不同的抽象层次的事件中发现相关数据或事件。这类信息要求要理解它们对整个网络的影响,DIDS用一个6层入侵检测模型提取数据相关性,每层代表了对数据的一次变换结果。 (2)入侵检测作用体现在哪些方面? 答:一般来说,入侵检测系统的作用体现在以下几个方面: ●监控、分析用户和系统的活动; ●审计系统的配置和弱点; ●评估关键系统和数据文件的完整性; ●识别攻击的活动模式; ●对异常活动进行统计分析; ●对操作系统进行审计跟踪管理,识别违反政策的用户活动。 (3)为什么说研究入侵检测非常必要? 答:计算机网络安全应提供保密性、完整性以及抵抗拒绝服务的能力,但是由于连网用户的增加,网上电子商务开辟的广阔前景,越来越多的系统受到入侵者的攻击。为了对付这些攻击企图,可以要求所有的用户确认并验证自己的身份,并使用严格的访问控制机制,还可以用各种密码学方法对数据提供保护,但是这并不完全可行。另一种对付破坏系统企图的理想方法是建立一个完全安全的系统。但这样的话,就要求所有的用户能识别和认证自己,还要采用各种各样的加密技术和强访问控制策略来保护数据。而从实际上看,这根本是不可能的。 因此,一个实用的方法是建立比较容易实现的安全系统,同时按照一定的安全策略建立相应的安全辅助系统。入侵检测系统就是这样一类系统,现在安全软件的开发方式基本上就是按照这个思路进行的。就目前系统安全状况而言,系统存在被攻击的可能性。如果系统遭到攻击,只要尽可能地检测到,甚至是实时地检测到,然后采取适当的处理

网络安全技术 习题及答案 第9章 入侵检测系统

第9章入侵检测系统 1. 单项选择题 1)B 2)D 3)D 4)C 5)A 6)D 2、简答题 (1)什么叫入侵检测,入侵检测系统有哪些功能? 入侵检测系统(简称“IDS”)就是依照一定的安全策略,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。 入侵检测系统功能主要有: 识别黑客常用入侵与攻击手段 监控网络异常通信 鉴别对系统漏洞及后门的利用 完善网络安全管理 (2)根据检测对象的不同,入侵检测系统可分哪几种? 根据检测对象的不同,入侵检测系统可分为基于主机的入侵检测基于网络的入侵检测、混合型三种。主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源。主机型入侵检测系统保护的一般是所在的系统。网络型入侵检测系统的数据源是网络上的数据包。一般网络型入侵检测系统担负着保护整个网段的任务。混合型是基于主机和基于网络的入侵检测系统的结合,它为前两种方案提供了互补,还提供了入侵检测的集中管理,采用这种技术能实现对入侵行为的全方位检测。 (3)常用的入侵检测系统的技术有哪几种?其原理分别是什么? 常用的入侵检测系统的技术有两种,一种基于误用检测(Anomal Detection),另一种基于异常检测(Misuse Detection)。 对于基于误用的检测技术来说,首先要定义违背安全策略事件的特征,检测主要判别这

类特征是否在所收集到的数据中出现,如果检测到该行为在入侵特征库中,说明是入侵行为,此方法非常类似杀毒软件。基于误用的检测技术对于已知的攻击,它可以详细、准确的报告出攻击类型,但是对未知攻击却效果有限,而且知识库必须不断更新。 基于异常的检测技术则是先定义一组系统正常情况的数值,如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义,也可以通过观察系统、并用统计的办法得出),然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的正常情况。异常检测只能识别出那些与正常过程有较大偏差的行为,无法准确判别出攻击的手法,但它可以(至少在理论上可以)判别更广范、甚至未发觉的攻击。 (4)入侵检测系统弥补了防火墙的哪些不足? 网络防火墙是指的是隔离在本地网络与外界网络之间的一道防御系统。 防火墙也存在以下不足之处: 防火墙可以阻断攻击,但不能消灭攻击源。入侵者可以寻找防火墙背后可能敞开的后门而绕过防火墙; 防火墙不能抵抗最新的未设置策略的攻击漏洞。 防火墙的并发连接数限制容易导致拥塞或者溢出。而当防火墙溢出 的时候,整个防线就如同虚设,原本被禁止的连接也能从容通过了; 防火墙对待内部主动发起连接的攻击一般无法阻止; 防火墙本身也会出现问题和受到攻击; 防火墙不处理病毒。普通防火墙虽然扫描通过他的信息,但一般只扫描源地址、目的地址端口号,不扫描数据的确切内容,对于病毒来说,防火墙不能防范。 防火墙是一种静态的安全技术, 需要人工来实施和维护, 不能主动跟踪入侵者。 综合以上可以看出,防火墙是网络安全的重要一环,但不代表设置了防火墙就能一定保证网络的安全。入侵攻击已经见怪不怪,对付这些入侵者的攻击,可以通过身份鉴别技术,使用严格的访问控制技术,还可以对数据进行加密保护等,但这并不完全可行。所以静态安全措施并不足以保护安全对象。因此,一种动态的方法是必要的。比如行为跟踪、入侵检测技术。但是,完全防止入侵目前看是不现实的。人们可以尽力检测出这些入侵,以便采取措施或者以后修补。 (5)简述基于主机的入侵检测系统的优点。 基于主机的入侵检测系统优点: 能够监视特定的系统活动,可以精确的根据自己的需要定制规则。 不需要额外的硬件,HIDS驻留在现有的网络基础设施上,其包括文件服务器、Web服务器和其它的共享资源等。减少了以后维护和管理硬件设备的负担。 适用于被加密的和交换的环境。可以克服NIDS在交换和加密环境中所面临的一些困难。 缺点: 依赖于特定的操作系统平台,对不同的平台系统而言,它是无法移植的,因此必须针对各不同主机安裝各种HIDS。 在所保护主机上运行,将影响到宿主机的运行性能,特别是当宿主机为服务器的情况;通常无法对网络环境下发生的大量攻击行为,做出及时的反应。

网络安全设计方案

1.1?某市政府网络系统现状分析 《某市电子政务工程总体规划方案》主要建设内容为:一个专网(政务通信专网),一个平台(电子政务基础平台),一个中心(安全监控和备份中心),七大数据库(经济信息数据库、法人单位基础信息数据库、自然资源和空间地理信息数据库、人口基础信息库、社会信用数据库、海洋经济信息数据库、政务动态信息数据库),十二大系统(政府办公业务资源系统、经济管理信息系统、政务决策服务信息系统、社会信用信息系统、城市通卡信息系统、多媒体增值服务信息系统、综合地理信息系统、海洋经济信息系统、金农信息系统、金水信息系统、金盾信息系统、社会保障信息系统)。主要包括: 政务通信专网 电子政务基础平台 安全监控和备份中心 政府办公业务资源系统 政务决策服务信息系统 综合地理信息系统 多媒体增值服务信息系统 某市政府中心网络安全方案设计 1.2?安全系统建设目标 本技术方案旨在为某市政府网络提供全面的网络系统安全解决方案,包括安全管理制度策略的制定、安全策略的实施体系结构的设计、安全产品的选择和部署实施,以及长期的合作和技术支持服务。系统建设目标是在不影响当前业务的前提下,实现对网络的全面安全管理。 1)?将安全策略、硬件及软件等方法结合起来,构成一个统一的防御系统,有效阻止非法用户进入网络,减少网络的安全风险; 2)?通过部署不同类型的安全产品,实现对不同层次、不同类别网络安全问题的防护; 3)?使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态。最大限度地减少损失。 具体来说,本安全方案能够实现全面网络访问控制,并能够对重要控制点进行细粒度的访问控制; 其次,对于通过对网络的流量进行实时监控,对重要服务器的运行状况进行全面监控。 1.2.1?防火墙系统设计方案 1.2.1.1?防火墙对服务器的安全保护

入侵检测系统的研究

入侵检测系统的研究 【摘要】近几年来,随着网络技术以及网络规模的 不断扩大,此时对计算机系统的攻击已经是随处可见。现阶段,安全问题成为越来越多的人关注的重点。本文主要分析了入侵检测系统的功能、技术等情况。 【关键词】入侵检测系统研究情况 、刖言 目前的安全防护主要有防火墙等手段,但是由于防火墙 本身容易受到攻击,并且内部网络中存在着一系列的问题,从而不能够发挥其应有的作用。面对这一情况,一些组织开 始提出了通过采用更强大的主动策略以及方案来增强网络 的安全性。其中个最有效的解决方法那就是入侵检测。入 侵检测采用的是一种主动技术,从而弥补防火墙技术的不足,并且也可以防止入侵行为。 二、入侵检测系统的概述 (一)入侵检测系统的具体功能 入侵检测就是要借助计算机和网络资源来识别以及响 应一些恶意使用行为。检测的内容主要分为两个部分:外部的入侵行为、内部用户的未授权活动。然而入侵检测系统是由入侵检测的软件以及硬件这两个部分组成的。到现在为

止,入侵检测成为继防火墙之后的第二道安全闸门。在网络 安全体系中,入侵检测是成为一个非常重要的组成部分。总 之,入侵检测的功能主要包括了以下几个功能:第一,对用户活动进行监测以及分析;第二,审计系统构造变化以及弱点;第三,对已知进攻的活动模式进行识别反映,并且要向相关人士报警;第四,统计分析异常行为模式,保证评估重要系统以及数据文件的完整性以及准确性;第五,审计以及跟踪管理操作系统。 二)入侵检测系统的模型 在1987 年正式提出了入侵检测的模型,并且也是第 次将入侵检测作为一种计算机安全防御措施提出来。入侵检测模型主要分为六个部分:第一部分,主体。主体就是指在目标系统上进行活动的实体,也就是一般情况下所说的用户。第二部分,对象。对象就是指资源,主要是由系统文件、设备、命令等组成的。第三部分,审计记录。在主体对象中,活动起着操作性的作用,然而对操作系统来说,这些操作包括了登陆、退出、读、写以及执行等。异常条件主要是指系统可以识别异常的活动,比如:违反系统读写权限。资源使用情况主要指的是在系统内部,资源的实际消耗情况。时间戳主要是指活动所发生的时间。第四部分,活动档案。活动档案就是指系统正常行为的模型,并且可以将系统正常活动的相关信息保存下来。第五部分,异常记录。异常记录主要是可以将异常事件的发生情况表现出来。第六部分,活动规则。活动规则主要是指通过一组异常记录来判断入侵是否发生在规划集合中。一般情况下,通过将系统的正常活动模型作为准则,并且要按照专家所提出的系统或者统计方法来分析以及处理审计记录,如果已经发生了入侵,那么此时就应该采用相应的处理措施。 三)入侵检测系统的具体分类 通过研究现有的入侵检测系统,可以按照信息源的不同 将入侵检测系统分为以下几类: 第一,以主机为基础的入侵检测系统。通过对主机的审 计记录来进行监视以及分析,从而可以达到了入侵检测。这 监视主要发生在分布式、加密以及交换的环境中,从而可以判断出攻击是否发生。然而这一入侵检测系统存在着缺点,那就是该系统与具体操作系统平台有联系,从而很难将来自网络的入侵检测出来,并且会占有一定的系

入侵检测安全解决方案

它们处于竞争和共享的总线结构中。这种网络适用于规模不大的小型网络当中,管理简单方便,安全控制要求不高的场合。在服务器网络中,有目录服务器、邮件服务器等通过核心交换机,在经过防火墙与外网服务器相连,在通过外网防火墙与互联网相连。 网络拓扑结构安全性考虑 网络拓扑结构与网络的安全性关系很大,如果设备再好,结构设计有问题,比如拓扑结构不合理,使防火墙旋转放置在网络内部,而不是网络与外部的出口处,这样整个网络就不能抵挡外部的入侵了。设计好网络的拓扑结构,也就是使其进出口减少了收缩,把防御设备放置到网络的出入口,特别是防火墙和路由器,一定要放置在网络的边缘上,且是每个出入口均要有。 内网防火墙是一类防范措施的总称,它使得内部网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。防火墙简单的可以只用路由器实现,复杂的可以用主机甚至一个子网来实现。设置防火墙目的都是为了在内部网与外部网之间设立唯一的通道,简化网络的安全管理。

防火墙的功能有: 1、过滤掉不安全服务和非法用户 2、控制对特殊站点的访问 3、提供监视Internet安全和预警的方便端点 由于互连网的开放性,有许多防范功能的防火墙也有一些防范不到的地方: 1、防火墙不能防范不经由防火墙的攻击。例如,如果允许从受保护网内部不受限制的向外拨号,一些用户可以形成与Internet的直接的连接,从而绕过防火墙,造成一个潜在的后门攻击渠道。 2、防火墙不能防止感染了病毒的软件或文件的传输。这只能在每台主机上装反病毒软件。 3、防火墙不能防止数据驱动式攻击。当有些表面看来无害的数据被邮寄或复制到Internet主机上并被执行而发起攻击时,就会发生数据驱动攻击。 因此,防火墙只是一种整体安全防范政策的一部分。这种安全政策必须包括公开的、以便用户知道自身责任的安全准则、职员培训计划以及与网络访问、当地和远程用户认证、拨出拨入呼叫、磁盘和数据加密以及病毒防护的有关政策。

入侵检测系统的发展历史

本文由heisjay贡献 pdf文档可能在WAP端浏览体验不佳。建议您优先选择TXT,或下载源文件到本机查看。戚 技术 人侵检测系统的发展厉史 华中科技大学 摘 DIS 涂保东 要:从大量史料中整理出入侵检测系统(}n七ru]s的历史进程 : , 。。 eciDteto 。 n ys s et m , IDS )研究与开发的历史 , 为人们了解 把握

目前研究与开发的热点提供参考 }Ds 关键词 入侵检测系统 发展历史 网络安全 很早以来人们就认识到用户的行为进行适当监控络恶意的和错误的操作 应对网以阻止 etm Dl(田 入侵检测专家系统) nnte「e 。 ’‘ 被 Dete et!on 网od e l “ 正式发表 。 De

旧g 用在早期的{ t A网(AR尸)上监控 保障网络数据 re o 用户的验证信息 这是第一个基于规 , 在该文中提出了入侵检测系统的抽象模型模型基于这样一个假设入侵者: 与运行的安全 。 入侵检测思想在二十 te tn多年前就已萌穿随着I的蓬勃发展近几年来旧S得到了较深入的研则的专家系统模型采用与系统平台和应用环境无关的设计针对已知的, 使用系统的模式与正常用户的使用模 式不同 , 因此可以通过监控系统的跟 系统漏洞和恶意行为进行检测 为构

踪记录来识别入侵者的异常使用模式 从而检测出入侵者违反系统安全性的o情形Den旧g的模型是许多旧S原型 。 究和广泛的应用 1980 年 4 月Jam g es P A n des 「。on 发 ‘’ 建入侵检测系统提供了一个通用的框品同P架随后S日完成了与sA四AR的合为其提交了第一款实用的旧S产 1985 表著名的研究报告 rT卜eat Comp an ute「 eeur、t丫

入侵检测部署方案

1.1 入侵检测部署方案 1.1.1需求分析 利用防火墙技术,经过仔细的配置,通常能够在内外网之间提供安全的网络保护,降低了网络安全风险,但是入侵者可寻找防火墙背后可能敞开的后门,或者入侵者也可能就在防火墙内。通过部署安全措施,要实现主动阻断针对信息系统的各种攻击,如病毒、木马、间谍软件、可疑代码、端口扫描、DoS/DDoS等,能防御针对操作系统漏洞的攻击,能够实现应用层的安全防护,保护核心信息资产的免受攻击危害。 针对网络的具体情况和行业特点,我们得到的入侵检测的需求包括以下几个方面: ●入侵检测要求 能够对攻击行为进行检测,是对入侵检测设备的核心需求,要求可以检测的种类包括:基于特征的检测、异常行为检测(包括针对各种服务器的攻击等)、可移动存储设备检测等等。 ●自身安全性要求 作为网络安全设备,入侵检测系统必须具有很高的安全性,配置文件需要加密保存,管理台和探测器之间的通讯必须采用加密的方式,探测器要可以去除协议栈,并且能够抵抗各种攻击。 ●日志审计要求 系统能对入侵警报信息分类过滤、进行统计或生成报表。对客户端、服务器端的不同地址和不同服务协议的流量分析。可以选择不同的时间间隔生成报表,反映用户在一定时期内受到的攻击类型、严重程度、发生频率、攻击来源等信息,使管理员随时对网络安全状况有正确的了解。可以根据管理员的选择,定制不同形式的报表。 ●实时响应要求

当入侵检测报警系统发现网络入侵和内部的违规操作时,将针对预先设置的规则,对事件进行实时应急响应。根据不同级别的入侵行为能做出不同方式告警,用以提醒管理人员及时发现问题,并采取有效措施,控制事态发展。报警信息要分为不同的级别:对有入侵动机的行为向用户显示提示信息、对严重的违规现象实行警告通知、对极其危险的攻击可通过网管或者互动防火墙进行及时阻断、以及向安全管理中心报告。另外,必须在基于规则和相应的报警条件下,对不恰当的网络流量进行拦截。 联动要求 入侵检测系统必须能够与防火墙实现安全联动,当入侵检测系统发现攻击行为时,能够及时通知防火墙,防火墙根据入侵检测发送来的消息,动态生成安全规则,将可疑主机阻挡在网络之外,实现动态的防护体系!进一步提升网络的安全性。 1.1.2方案设计 网络入侵检测系统位于有敏感数据需要保护的网络上,通过实时侦听网络数据流,寻找网络违规模式和未授权的网络访问尝试。当发现网络违规行为和未授权的网络访问时,网络监控系统能够根据系统安全策略做出反应,包括实时报警、事件登录,或执行用户自定义的安全策略等。 入侵检测系统可以部署在网络中的核心,这里我们建议在网络中采用入侵检测系统,监视并记录网络中的所有访问行为和操作,有效防止非法操作和恶

入侵检测系统研究的论文

入侵检测系统研究的论文 摘要介绍了入侵检测系统的概念,分析了入侵检测系统的模型;并对现有的入侵检测系统进行了分类,讨论了入侵检测系统的评价标准,最后对入侵检测系统的发展趋势作了有意义的预测。 关键词入侵检测系统;cidf ;网络安全;防火墙 0 引言 近年来,随着信息和网络技术的高速发展以及政治、经济或者军事利益的驱动,计算机和网络基础设施,特别是各种官方机构的网站,成为黑客攻击的热门目标。近年来对电子商务的热切需求,更加激化了这种入侵事件的增长趋势。由于防火墙只防外不防内,并且很容易被绕过,所以仅仅依赖防火墙的计算机系统已经不能对付日益猖獗的入侵行为,对付入侵行为的第二道防线——入侵检测系统就被启用了。 1 入侵检测系统(ids)概念 1980年,james 第一次系统阐述了入侵检测的概念,并将入侵行为分为外部滲透、内部滲透和不法行为三种,还提出了利用审计数据监视入侵活动的思想[1]。即其之后,1986年dorothy 提出实时异常检测的概念[2]并建立了第一个实时入侵检测模型,命名为入侵检测专家系统(ides),1990年,等设计出监视网络数据流的入侵检测系统,nsm(network security monitor)。自此之后,入侵检测系统才真正发展起来。 anderson将入侵尝试或威胁定义为:潜在的、有预谋的、未经授权的访问信息、操作信息、致使系统不可靠或无法使用的企图。而入侵检测的定义为[4]:发现非授权使用计算机的个体(如“黑客”)或计算机系统的合法用户滥用其访问系统的权利以及企图实施上述行为的个体。执行入侵检测任务的程序即是入侵检测系统。入侵检测系统也可以定义为:检测企图破坏计算机资源的完整性,真实性和可用性的行为的软件。 入侵检测系统执行的主要任务包括[3]:监视、分析用户及系统活动;审计系统构造和弱点;识别、反映已知进攻的活动模式,向相关人士报警;统计分析异常行为模式;评估重要系统和数据文件的完整性;审计、跟踪管理操作系统,识别用户违反安全策略的行为。入侵检测一般分为三个步骤:信息收集、数据分析、响应。 入侵检测的目的:(1)识别入侵者;(2)识别入侵行为;(3)检测和监视以实施的入侵行为;(4)为对抗入侵提供信息,阻止入侵的发生和事态的扩大; 2 入侵检测系统模型 美国斯坦福国际研究所(sri)的于1986年首次提出一种入侵检测模型[2],该模型的检测方法就是建立用户正常行为的描述模型,并以此同当前用户活动的审计记录进行比较,如果有较大偏差,则表示有异常活动发生。这是一种基于统计的检测方法。随着技术的发展,后来人们又提出了基于规则的检测方法。结合这两种方法的优点,人们设计出很多入侵检测的模型。通用入侵检测构架(common intrusion detection framework简称cidf)组织,试图将现有的入侵检测系统标准化,cidf阐述了一个入侵检测系统的通用模型(一般称为cidf模型)。它将一个入侵检测系统分为以下四个组件: 事件产生器(event generators) 事件分析器(event analyzers) 响应单元(response units) 事件数据库(event databases) 它将需要分析的数据通称为事件,事件可以是基于网络的数据包也可以是基于主机的系统日志中的信息。事件产生器的目的是从整个计算机环境中获得事件,并向系统其它部分提供此事件。事件分析器分析得到的事件并产生分析结果。响应单元则是对分析结果做出反应

入侵检测系统

入侵检测系统 1. 引言 1.1 背景 近年来,随着信息和网络技术的高速发展以及其它的一些利益的驱动,计算机和网络基础设施,特别是各种官方机构网站成为黑客攻击的目标,近年来由于对电子商务的热切需求,更加激化了各种入侵事件增长的趋势。作为网络安全防护工具“防火墙”的一种重要的补充措施,入侵检测系统(Intrusion Detection System,简称 IDS)得到了迅猛的发展。 依赖防火墙建立网络的组织往往是“外紧内松”,无法阻止内部人员所做的攻击,对信息流的控制缺乏灵活性从外面看似非常安全,但内部缺乏必要的安全措施。据统计,全球80%以上的入侵来自于内部。由于性能的限制,防火墙通常不能提供实时的入侵检测能力,对于企业内部人员所做的攻击,防火墙形同虚设。 入侵检测是对防火墙及其有益的补充,入侵检测系统能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击。在入侵攻击过程中,能减少入侵攻击所造成的损失。在被入侵攻击后,收集入侵攻击的相关信息,作为防范系统的知识,添加入知识库内,增强系统的防范能力,避免系统再次受到入侵。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监听,从而提供对内部攻击、外部攻击和误操作的实时保护,大大提高了网络的安全性。 1.2 背国内外研究现状 入侵检测技术国外的起步较早,有比较完善的技术和相关产品。如开放源代码的snort,虽然它已经跟不上发展的脚步,但它也是各种商业IDS的参照系;NFR公司的NID等,都已相当的完善。虽然国内起步晚,但是也有相当的商业产品:天阗IDS、绿盟冰之眼等不错的产品,不过国外有相当完善的技术基础,国内在这方面相对较弱。

入侵检测安全解决方案

入侵检测安全解决方案 摘要: 随着互联网技术的飞速发展,网络安全逐渐成为一个潜在的巨大问题。但是长久以来,人们普遍关注的只是网络中信息传递的正确与否、速度怎样,而忽视了信息的安全问题,结果导致大量连接到Internet上的计算机暴露在愈来愈频繁的攻击中。因此,保证计算机系统、网络系统以及整个信息基础设施的安全已经成为刻不容缓的重要课题。本文先介绍入侵检测的概念和基本模型,然后按不同的类别分别介绍其技术特点。 关键词: 网络安全、入侵检测、入侵检测系统、蠕虫、入侵检测系统的发展 引言: 随着Internet的迅速扩张和电子商务的兴起,越来越多的企业以及政府部门依靠网络传递信息。然而网络的开放性与共享性使它很容易受到外界的攻击与破坏,信息的安全保密性受到了严重影响。与此同时,网上黑客的攻击活动也逐渐猖狂。人们发现保护资源和数据的安全,让其免受来自恶意入侵者的威胁是件非常重要的事。因此,保证计算机系统、网络系统以及整个信息基础设施的安全已经成为刻不容缓的重要课题,入侵检测技术随即产生。 正文: 该网络的拓扑结构分析 从网络拓扑图可以看出,该网络分为办公局域网、服务器网络和外网服务器,通过防火墙与互联网连接。在办公局域网中有一个交换机和一些客户机。对于办公局域网络,每台计算机处于平等的位置,两者之间的通信不用经过别的节点,它们处于竞争和共享的总线结构中。这种网络适用于规模不大的小型网络当中,管理简单方便,安全控制要求不高的场合。在服务器网络中,有目录服务器、邮件服务器等通过核心交换机,在经过防火墙与外网服务器相连,在通过外网防火墙与互联网相连。 网络拓扑结构安全性考虑 网络拓扑结构与网络的安全性关系很大,如果设备再好,结构设计有问题,比如拓扑结构不合理,使防火墙旋转放置在网络内部,而不是网络与外部的出口处,这样整个网络就不能抵挡外部的入侵了。设计好网络的拓扑结构,也就是使其进出口减少了收缩,把防御设备放置到网络的出入口,特别是防火墙和路由器,一定要放置在网络的边缘上,且是每个出入口均要有。 内网防火墙是一类防范措施的总称,它使得内部网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。防火墙简单的可以只用路由器实现,复杂的可以用主机甚至一个子网来实现。设置防火墙目的都是为了在内部网与外部网之间设立唯一的通道,简化网络的安全管理。 防火墙的功能有: 1、过滤掉不安全服务和非法用户 2、控制对特殊站点的访问 3、提供监视Internet安全和预警的方便端点 由于互连网的开放性,有许多防范功能的防火墙也有一些防范不到的地方: 1、防火墙不能防范不经由防火墙的攻击。例如,如果允许从受保护网内部不受限制的向外拨号,一些用户可以形成与Internet的直接的连接,从而绕过防火墙,造成一个潜在的后门攻击渠道。

入侵检测系统综述

入侵检测系统综述 对于任何一个国家、企业或者个人来说,随着计算机及网络的发展,网络安全问题是一个无法回避且重要的问题呈现在面前,很多非法分子或者合法用户的不当使用都会对网络系统造成破坏,针对这些行为要采用相应的技术进行制止或者预防,入侵检测技术成为解决该问题的最好方法之一。文章主要简综述了入侵检测系统的基本检测方法。 标签:入侵检测;入侵检测系统;误用检测;异常检测 1 入侵检测系统概述 随着计算机技术及网络技术的不断发展,计算机及数据的安全问题随之出现,传统的防火墙技术虽然可以进行有效的防御,但是由于其存在很多弊端,例如:很多外部访问不经过防火墙;来自计算机数据库内部的威胁等,防火墙就无能为力了,它并不能对已经进入计算机系统或者来自计算机数据库内部威胁进行检测;访问控制系统可以根据权限来防止越权行为,但是很难保证具有高级权限的用户对系统所做的破坏行为,也无法阻止低权限用户非法活动高级权限对系统所进行的破坏;漏洞扫描系统是采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查,然后根据扫描结果向用户提供系统的安全性分析报告,以便用户采取相应措施来提高网络安全。它虽然可以发现系统和网络漏洞,但无法对系统进行实时扫描,入侵检系统可以进行实时扫描。 发现入侵行为就是入侵检测。它通过从计算机网络或系统的核心点收集信息并对其进行分析,然后从其中看网络或系统中是否有违反安全策略的动作和被攻击的迹象。入侵检测目的是保证系统资源的可用性、机密性和完整性,要达到这个目的就要对系统的运行状态进行监视,以便发现各种攻击操作、攻击结果或者攻击动态。进行入侵检测的硬件与软件的组合构成了入侵检测系统,它能执行所有的入侵检测任务和功能,监视或阻止入侵或者企图控制系统或者网络资源的行为,它可以实时检测入侵者和入侵信息,并进行相应处理,最大化的保证系统安全。通过对系统各个环节来收集和分析信息,发现入侵活动的特征、对检测到的行为自动作出响应、记录并报告检测过程及结果是入侵检测系统的基本原理的四个部分。 入侵检测系统从系统结构看,至少包括信息源、分析引擎和响应三个功能模块。信息源的功能是分析引擎提供原始数据今夕入侵分析,信息源的正确性和可靠性直接影响入侵检测的效果,要使检测网络系统软件具有完整性,必须使IDS 软件自己有很强的坚固性;分析引擎的功能是执行入侵或者异常行为检测;分析引擎的结果提交给响应模块后,响应模块采取必要和适当的措施,阻止入侵行为或回复受损害的系统。分析引擎包括完整性分析、模式匹配和统计分析。响应可分为主动响应和被动响应。主动响应就是系统自动或者以用户设置的方式阻断攻击过程或以其他方式来阻断攻击过程;被动响应是系统只报告和记录发生的事件。响应包括简单报警、切断连接、封锁用户、改变文件属性,最大的反应就是

系统安全保护设施设计方案(正式)

编订:__________________ 单位:__________________ 时间:__________________ 系统安全保护设施设计方 案(正式) Deploy The Objectives, Requirements And Methods To Make The Personnel In The Organization Operate According To The Established Standards And Reach The Expected Level. Word格式 / 完整 / 可编辑

文件编号:KG-AO-1249-61 系统安全保护设施设计方案(正式) 使用备注:本文档可用在日常工作场景,通过对目的、要求、方式、方法、进度等进行 具体、周密的部署,从而使得组织内人员按照既定标准、规范的要求进行操作,使日常 工作或活动达到预期的水平。下载后就可自由编辑。 随着信息化的高速发展,信息安全已成为网络信息系统能否正常运行所必须面对的问题,它贯穿于网络信息系统的整个生命周期。是保障系统安全的重要手段,通过安全检测,我们可以提前发现系统漏洞,分析安全风险,及时采取安全措施。 1物理安全保护措施 物理安全是信息系统安全中的基础,如果无法保证实体设备的安全,就会使计算机设备遭到破坏或是被不法分子入侵,计算机系统中的物理安全,首先机房采用“门禁系统”配合“监控系统”等控制手段来控制机房出入记录有效的控制接触计算机系统的人员,由专人管理周记录、月总结。确保计算机系统物理环境的安全;其次采取设备线路准确标记、计算机设备周维护、月巡检以及机房动力环境监测短信报警等安

网络安全技术习题及答案第章入侵检测系统

第9章入侵检测系统1. 单项选择题 1) B 2) D 3) D 4) C 5) A 6) D 2、简答题 (1)什么叫入侵检测,入侵检测系统有哪些功能? 入侵检测系统(简称“IDS”)就是依照一定的,对网络、系统的运行状况进行监视,尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。 入侵检测系统功能主要有: ●识别黑客常用入侵与攻击手段 ●监控网络异常通信 ●鉴别对系统漏洞及后门的利用 ●完善网络安全管理 (2)根据检测对象的不同,入侵检测系统可分哪几种? 根据检测对象的不同,入侵检测系统可分为基于主机的入侵检测基于网络的入侵检测、混合型三种。主机型入侵检测系统就是以系统日志、应用程序日志等作为数据源。主机型入侵检测系统保护的一般是所在的系统。网络型入侵检测系统的数据源是网络上的数据包。一般网络型入侵检测系统担负着保护整个网段的任务。混合型是基于主机和基于网络的入侵检测系统的结合,它为前两种方案提供了互补,还提供了入侵检测的集中管理,采用这种技术能实现对入侵行为的全方位检测。 (3)常用的入侵检测系统的技术有哪几种?其原理分别是什么? 常用的入侵检测系统的技术有两种,一种基于误用检测(Anomal Detection),另一种基于异常检测(Misuse Detection)。 对于基于误用的检测技术来说,首先要定义违背安全策略事件的特征,检测主要判别这类特征是否在所收集到的数据中出现,如果检测到该行为在入侵特征库中,说明是入侵行为,此方法非常类似杀毒软件。基于误用的检测技术对于已知的攻击,它可以详细、准确的报告出攻击类型,但是对未知攻击却效果有限,而且知识库必须不断更新。 基于异常的检测技术则是先定义一组系统正常情况的数值,如CPU利用率、内存利用率、文件校验和等(这类数据可以人为定义,也可以通过观察系统、并用统计的办法得出),然后将系统运行时的数值与所定义的“正常”情况比较,得出是否有被攻击的迹象。这种检测方式的核心在于如何定义所谓的正常情况。

网络安全设计方案

《某市电子政务工程总体规划方案》主要建设内容为:一个专网(政务通信专网),一个平台(电子政务基础平台),一个中心(安全监控和备份中心),七大数据库(经济信息数据库、法人单位基础信息数据库、自然资源和空间地理信息数据库、人口基础信息库、社会信用数据库、海洋经济信息数据库、政务动态信息数据库),十二大系统(政府办公业务资源系统、经济管理信息系统、政务决策服务信息系统、社会信用信息系统、城市通卡信息系统、多媒体增值服务信息系统、综合地理信息系统、海洋经济信息系统、金农信息系统、金水信息系统、金盾信息系统、社会保障信息系统)。主要包括: 政务通信专网 电子政务基础平台 安全监控和备份中心 政府办公业务资源系统 政务决策服务信息系统 综合地理信息系统 多媒体增值服务信息系统 某市政府中心网络安全方案设计 1.2?安全系统建设目标

本技术方案旨在为某市政府网络提供全面的网络系统安全解决方案,包括安全管理制度策略的制定、安全策略的实施体系结构的设计、安全产品的选择和部署实施,以及长期的合作和技术支持服务。系统建设目标是在不影响当前业务的前提下,实现对网络的全面安全管理。 1)?将安全策略、硬件及软件等方法结合起来,构成一个统一的防御系统,有效阻止非法用户进入网络,减少网络的安全风险; 2)?通过部署不同类型的安全产品,实现对不同层次、不同类别网络安全问题的防护; 3)?使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态。最大限度地减少损失。 具体来说,本安全方案能够实现全面网络访问控制,并能够对重要控制点进行细粒度的访问控制; 其次,对于通过对网络的流量进行实时监控,对重要服务器的运行状况进行全面监控。 1.2.1?防火墙系统设计方案 1.2.1.1?防火墙对服务器的安全保护 网络中应用的服务器,信息量大、处理能力强,往往是攻击的主要对象。另外,服务器提供的各种服务本身有可能成为"黑客"攻击的突破口,因此,在实施方案时要对服务器的安全进行一系列安全保护。

Snort入侵检测系统的使用与测试

第32卷第4期 集宁师专学报Vol.32,No.42010年12月Journal of JiningTeachers College Dec.2010 收稿日期:作者简介:马永强(—),男,内蒙古商都县人,讲师,研究方向:多媒体技术及网络安全。Snor t 入侵检测系统的使用与测试 马永强1,刘娟2 (1.集宁师范学院计算机系,内蒙古乌兰察布市0120002.1.集宁师范学院英语系,内蒙古 乌兰察布市012000) 摘要:入侵检测技术是一种主动保护计算机系统和网络资源的安全技术。本文详细叙述了配 置入侵检测系统的步骤,本系统能将s nort 捕获到的入侵情况传送到M ySQ L 中,并能在B A SE 中以 网页的形式观察有问题的数据包,方便管理员对网络入侵情况的观察,并及时作出相应的处理。关键词:入侵检测系统;Snort 校园网;网络安全 中图分类号:G 2文献识别码:B 文章编号:1009-7171(2010)04-0048-04 校园网作为高校教育科研的重要基础设施,担当着学校教学、科研、管理等重要角色,做好对入侵攻击的检测与防范,很好地保障计算机系统、网络及整个信息基础设施的安全已经成为当前重要的课题。 随着入侵技术的不断发展、攻击手段与方法的日趋复杂化和多样化,防火墙技术、加密技术、身份认证技术以及访问控制技术等传统的安全防御体系已经远远不能满足当前安全状况的需要。在这种情况下,入侵检测系统(I nt r usi on D et ect i on Syst e m ,I D S)就应运而生。 然而,目前我国对入侵检测系统的框架结构和理论的研究比较多,但是真正具体的实际应用的却很少,这势必会造成了理论和实践的脱节。Snor t 虽然功能强大,但是由于没有图形界面的支持,也很难让我们普通使用者理解它的工作原理,如何将我们现有的入侵检测系统应用到我们的计算机系统中,如何将snor t 捕获的数据传送到W eb 页面,如何搭建适合我们自己的入侵检测系统,是本文基本出发点。 1引言 随着网络技术的不断发展,校园网络环境变得越来越复杂,仅仅依靠传统的防火墙技术已不能很好的保护校园网的安全,有些攻击方式可以绕过防火墙,直接侵入到网络内部,使得网络安全受到严重威胁。入侵检测系统恰恰可以弥补防火墙技术的不足,其任务是用来识别针对计算机系统和网络,或者更广泛意义上的信息系统的非法入侵攻击。它采用检测与控制相结合的技术,起着积极主动防御的作用,为网络安全提供实时的入侵检测并采取相应的防护手段。 2Snor t 简介 Snor t 是一款轻量级的网络入侵检测系统,它能够在网络上进行实时流量分析和数据包记录。Snor t 不仅能进行协议分析、内容检索和内容匹配,而且能用于侦测缓冲溢出、隐秘端口扫描、C G I 攻击、操作系统指纹识别等大量的攻击或非法探测。Snor t 通常使用灵活的规则去描述哪些数据包应该被收集或被忽略,并且提供了一个模块化的检测引擎。该系统可以根据使用者自己的需求进行开发和升级。 Snor t 的工作原理是在网络上检测原始的网络传输数据,通过分析捕捉到的数据包,匹配入侵行为的特征或者从正常网络活动的角度检测异常行为,进而采取入侵的报警和记录。从数据分析手段来看,Snor t 属于滥用入侵检测,即对已知攻击的特征模式进行匹配。Snor t 入侵检测系统如果只有snor t 的可执行程序,而没有规则文件(r ul e s ),那么snor t 就不能真正实现入侵检测功能,不能识别任何的攻击。Snor t 规则文件是该系统的核心,2010-4-22 1982

相关主题
相关文档 最新文档