下载文档原格式
编号3215567本科生毕业设计(论文)题目:网络入侵检测专业计算机科学与技术学号学生姓名指导教师周黎2009年10月摘要入侵检测作为一种主动的安全防护手段,为主机和网络提供了动态的安全保障.它不仅检测来自外部的入侵行为,同时也对内部的未授权活动进行监督.利用网络协议的高度规则性,采用协议分析的方法,结合优秀的模式匹配算法,融合比较先进的数据挖掘和数据融合方法,能较好地解决当前入侵检测系统中准确性与实时性等问题.首先,本文在研究现有入侵检测技术国内外发展现状及理论的基础上,重点研究了模式匹配、协议分析、数据挖掘和数据融合几种有代表性的检测方法.相对于传统的模式匹配检测方法,将其他领域的新技术融入入侵检测中能更加有效的减少匹配检测的计算量、误报率和漏报率.其次,在深入研究入侵检测方法的基础上,对轻量级网络入侵检测系统Snort的特性、功能及规则进行了全面详细的研究,并在Linux系统环境下借助Snort搭建了一个典型的入侵检测系统作为具体实例,接着通过相关实验进行分析研究.最后将协议匹配方法应用到网络入侵检测过程中,通过编程在VC++环境下,借助Winpcap实现了对网络数据包的捕获到协议匹配的全过程.由此对入侵检测方法有了更深一层的认识,并对如何搭建一个相对完善的入侵检测系统的具体过程由理论深入到实际的层面.关键词:入侵检测;Snort;模式匹配;协议分析;LinuxABSTRACTIntrusion detection as a means of proactive security protection for the host and provides a dynamic network security. It not only detect intrusions from the outside, but also on the internal monitoring of unauthorized activities. Network protocol to use a high degree of regularity, the use of protocol analysis method, combined with excellent pattern-matching algorithms, integration of more advanced data mining and data fusion method can better solve the current accuracy of intrusion detection system with real-time and so on.First of all, this paper examined the current intrusion detection technology and the development of the theory at home and abroad on the basis of the focus on the pattern matching, protocol analysis, data mining and data fusion of several detection methods representative. With respect to the traditional pattern-matching detection methods, other new technologies into the field of intrusion detection can be more effective to reduce the computation to match detection, false alarm rate and missing rate.Second, in-depth study of intrusion detection method based on the Lightweight Network Intrusion Detection System Snort features, functions and rules of a detailed study of a comprehensive and Linux system environment with a typical set up Snort Intrusion Detection System As a concrete example, and then through analysis of related experiments. Finally, the protocol matching method applied to network intrusion detection process, through programming in VC + + environment, achieved through the network Winpcap packet capture to match the whole process of the agreement. This method of intrusion detection has a deeper level of understanding and how to build a relatively complete intrusion detection system by the theory of the specific process to the actual level of depth.Keywords: Intrusion detection,Snort, protocol analysis,pattern matching, Linux第1章绪论近年来计算机技术水平飞速发展,网络信息安全越来越受到重视.网络技术飞速发展的同时,各种网络技术漏洞和各种意图的网络攻击者也越来越多,网络入侵和攻击的现象仍然是屡见不鲜,而网络攻击者的技术和知识也日趋专业成熟,攻击工具与手法日趋复杂多样.计算机网络安全、信息安全已经成为一个国际性的问题,每年全球因计算机网络的安全问题而造成的经济损失高达数百亿美元,且这个数字正在不断增加.传统的加密和防火墙技术等被动防范技术已经不能完全满足现今的安全需要,想要保证网络信息和网络秩序的安全,就必须要更强有力和更完善的安全保护技术.近年来,入侵检测技术以其强有力的安全保护功能进入了人们的视野,也在研究领域形成了热点.网络安全是一个系统的概念,制定有效的安全策略或方案是网络信息安全的首要任务.现有的网络安全策略主要有物理隔离、数据加密、信息隐藏、防火墙、身份识别和认证、入侵检测等.入侵检测技术是为保证计算机系统的安全而设计并配置的一种能够及时发现并报告系统中未授权现象或异常现象的技术,是一种用于检测计算机网络和系统中违反安全策略行为的技术.入侵检测系统的应用,可以在系统发生危害前检测到入侵攻击,并利用报警与防护系统响应入侵攻击,从而减少它所造成的损失.入侵检测技术是近年来飞速发展起来的一种动态的集监控、预防和抵御系统入侵行为为一体的新型安全机制.作为传统安全机制的补充,入侵检测技术不再是被动的对入侵行为进行识别和防护,而是能够提出预警并实行相应反应动作.入侵检测系统(IDS,Intrusion Detection System)可以识别针对计算机系统和网络系统,或更广泛意义上的信息系统的非法攻击,包括检测外界非法入侵者的恶意攻击或试探,以及内部合法用户的超越使用权限的非法行动.通常来说入侵检测是对计算机和网络资源上的恶意使用行为进行识别和相应处理的过程,具有智能监控、实时探测、动态响应、易于配置等特点[1].与防火墙不同的是,入侵检测不仅能检测外部非法入侵者的攻击和试探,同时还能发现内部合法用户的超越权限的非法行为.作为一种积极主动的安全防护方式,入侵检测系统不仅是防火墙有效的补充,还可以使系统管理员实时的了解网络系统中的各种变化,并根据记录的各种监控数据(如日志文件等)做出分析,为网络安全策略的制定提供指南.计算机网络安全是一项系统工程,应该在整体的安全策略的控制和指导下,综合运用各种防护工具的同时,利用检测工具了解和评估系统状态,通过适当的反应将系统调整到相对最安全和风险最低的状态.入侵检测方法是所有入侵检测领域中起到承前启后作用的关键环节,是实现系统安全策略保证网络安全的关键,也是当前网络安全研究的热点.当前的入侵检测方法中,有的是检测操作系统漏洞.有的是检测应用程序的实现上的漏洞,有的是检测针对网络Protocol漏洞而进行的攻击,有的是检测加密算法的弱点或针对其的密码破解,有的是检测目前常见的拒绝服务攻击和分布式拒绝服务攻击.本研究重点分析了基于模式匹配和Protocol分析的入侵检测方法,Snort作为目前应用较广的开源网络入侵检测系统,提供对网络实时流量的分析和数据包记录.Snort可以提供Protocol分析、内容查找和匹配,可以用它来检测各种攻击和探测,如缓冲区溢出、隐蔽端口扫描、CGI攻击、SMB探测、操作系统指纹识别常识等[2].在一个实用的入侵检测系统中, 最重要的部分是检测方法,也就是采用什么技术进行入侵行为检测.检测技术主要分为误用检测和异常检测两大类, 模式匹配技术属于误用检测, 也是最常用、最实用的一种数据检测技术.只有加深对入侵检测方法的研究才能使入侵检测技术及相关领域有更快更好的发展,研究核心的入侵检测方法将是十分有意义和效果的.研究已有的检测方法所具有的特点,包括优点和缺点才能更好的了解现有入侵检测方法的优势和劣势,以便提出更好的检测方法,更加灵活和有效的融入入侵检测技术,提高检测效率.第2章网络信息安全和入侵检测2.1 网络信息安全2.1.1 网络信息安全概述随着社会经济及现代科技水平的不断发展,信息已经成为国家的主要财富和重要战略资源.国家综合实力的竞争越来越集中在信息优势的争夺上,而要占据信息优势的高地,最直接的表现在信息安全与对抗方面.信息安全问题的迅速增加,使各国的计算机系统特别是网络系统面临着很大的威胁,受到越来越多的关注.信息安全所导致的损失不仅是指信息自身价值所遭受的损失,更多的是其可能造成的其它方面的更大损失.为保证信息的安全可靠,除了运用法律和管理等手段,更需要依靠技术方法实现,先进的技术是实现信息安全的有力保障.而近年来计算机技术水平飞速发展,网络信息安全越来越受到重视.网络信息安全主要是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断.计算机网络安全多是利用网络管理和控制技术,保证网络系统环境中信息数据的机密性、完整性和可用性,保护其不被偷看、窃取和修改.2.1.2 主要的网络安全威胁在目前的计算机网络技术飞速发展和应用的前提下,网络安全相关技术已经得到了应有的重视和深入研究、应用.但网络入侵和攻击的现象仍然是屡见不鲜,攻击者数目增多,知识日趋专业成熟,攻击工具与手法日趋复杂多样,这些都对网络信息安全提出了全新的考验.网络安全问题既包括网络系统的安全,又包括网络信息的安全和机密性.目前网络和计算机所面临的主要安全威胁有:⑴病毒:可引起计算机或网络故障,破坏计算机数据或影响网络正常服务,如蠕虫病毒、邮件病毒、QQ病毒、手机病毒等.⑵特洛伊木马:该黑客软件能把程序的服务器端植入目标主机中,通过目标主机上的客户端程序彻底控制目标主机.⑶缓冲区溢出攻击:利用设计漏洞进行的攻击,据统计现在网络中的攻击行为80%与缓冲区溢出漏洞有关.⑷拒绝服务攻击:恶意造成拒绝服务,造成目标系统无法正常工作或瘫痪,或造成网络阻塞.⑸扫描:若被恶意使用和隐蔽使用于探测他人主机的有用信息作为实施下一步攻击的前奏,此类扫描也构成了对网络安全的威胁.⑹嗅探:可捕获主机所在网络的所有数据包,一旦被恶意利用,获取了目标主机的关键信息则可对目标主机实施进一步攻击.⑺Web欺骗:通过URL重写技术和信息掩盖技术讲URL重定向到攻击者的主机,从而监视、记录访问者的信息,同时尽量掩盖这种欺骗行为.⑻IP欺骗:攻击者可通过技术手段利用TCP/IPProtocol的缺陷,伪装成被信任主机,试用被信任主机的源地址与目标主机进行会话,在目标主机不知的情况下实施欺骗行为.⑼口令破解:攻击者若通过一定手段取得用户口令,提升权限进入目标系统,对目标主机进行完全控制.常用的口令破解手段有暴力破解、利用Protocol或命令的漏洞、植入木马等.目前的主要网络安全威胁根据互联网的层次大致可分为三个层次:主干网络的威胁、TCO/IPProtocol安全问题、Web应用程序安全.而我们常见的多是针对于电子商务、网上银行、企业协作、交易管理等网站的黑客攻击,但目前绝大多数企业并没有为自己的应用程序、网站和服务器采取更加深入且有效的安全措施,如防火墙、入侵检测等功能.2.1.3 网络信息安全模型与技术传统的计算机安全模型主要作用于单机系统,由于网络的普遍应用和技术发展,传统的模型已不足以应对外界攻击.而随着网络黑客恶意攻击技术的不断提高和更新,安全模型和技术也向更高层次发展.P2DR 模型就是能适应不断变化的网络环境、发现网络服务器和设备中的新漏洞、不断查明网络中存在的安全隐患等问题而提出的新的网络安全模型,如图2-1所示.该模型以安全策略为核心,通过一致的检查,流量统计,异常分析,模式匹配以及应用、目标、主机、网络入侵检查等方法进行安全漏洞检测,使系统从静态防护转化为动态防护[5].图2-1 P2DR 模型传统的安全技术大致可分为静态安全技术和动态安全技术这两类,我们熟知的防火墙就是静态安全技术的代表产品,主要用于保护系统抵御外部的攻击.而动态的安全技术应该是增强了主动的检测能力,在于其主动性.目前采用的一些传统的安全机制主要有:⑴数据加密技术⑵访问控制技术⑶认证技术⑷数据完整性控制技术⑸安全漏洞扫描技术⑹防火墙技术其中的防火墙技术是防范网络攻击最常用的方法,即在用户网络和因特网之间插入了一个中间系统,形成了一个安全屏障,将用户网络和因特网分割开.虽然防火墙提供了较强的防护能力,但它仍有着局限性.首先,防火墙不能阻止用户网络内部对用户网络的攻击,它只提供了网络边缘的防护;其次,防火墙不能阻止未知的恶意代码的攻击,如病毒、特洛依木马等.由此可看出,作为对防火墙技术的补充,入侵检测的动态防护特点足以成为实现网络安全的新的解决策略.引入入侵检测技术,相当于在计算机系统中引入了一个闭环的安全策略.计算机的多种安全策略,如:防火墙、身份认证、访问控制、数据加密等,通过入侵检测系统进行安全策略的反馈,从而进行及时的修正,大大提高了系统的安全性.2.1.4 Linux 系统安全性Linux 操作系统是一套开放的由Unix 发展起来的多用户、多任务的网络操作系统.它具有稳定性强、高可靠性等系统性能,容易建构网络sever ,又由于Linux 有免费、开放源代码的特性,目前越来越多的Internet 应用服务器和主机采用了Linux 系统.由此,Linux系统的安全问题也日益成为人们关注的焦点.开放的源代码为实现Linux 主机安全系统提供了极大的方便———能够获得系统调用的充分信息.可以通过修改主机系统函数库中的相关系统调用,引入安全控制机制,从而将防火墙对于网络信息的处理和操作系统中用户使用资源的访问控制紧密结合起来,让防火墙模块和操作系统配合起来协同工作.但开放的源代码也为黑客攻击提供了方便,攻击者可以利用Linux系统的安全漏洞而获得超级用户权限,从而达到控制root 系统的目的,这些攻击者利用系统的漏洞侵入以后,通常都是通过非法执行一些敏感的系统调用来完成攻击[11].2.2 入侵检测2.2.1 入侵检测基础目前通常说的入侵就是指对系统资源的非授权操作,可造成系统数据的丢失和破话、甚至会造成系统具绝对合法用户服务等问题.Smaha从分类的角度将入侵描述成尝试性闯入、伪装攻击、安全控制系统渗透、泄露、拒绝服务、恶意使用等六类.入侵者通常可分为外部入侵者,例如黑客等系统的非法用户,和内部入侵者,即越权使用系统资源的用户.入侵检测技术是近年来飞速发展起来的一种动态的集监控、预防和抵御系统入侵行为为一体的新型安全机制.作为传统安全机制的补充,入侵检测技术不再是被动的对入侵行为进行识别和防护,而是能够提出预警并实行相应反应动作.美国国际计算机安全协会(ICSA)将入侵检测定义为:通过从计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象的一种安全技术.违反安全策略的行为有入侵和滥用.通常来说入侵检测是对计算机和网络资源上的恶意使用行为进行识别和相应处理的过程,具有智能监控、实时探测、动态响应、易于配置等特点.入侵检测的目标就是通过检查操作系统的安全日志或网络数据包信息来检测系统中违背安全策略或危及系统安全的行为或活动,从而保护信息系统的资源免受拒绝服务攻击、防止系统数据的泄漏、篡改和破坏.传统安全机制大多针对的是外部入侵者,而入侵检测不仅可以检测来自外部的攻击,同时也可以监控内部用户的非授权行为.作为新型的安全机制,入侵检测技术的研究、发展和应用加强了网络与系统安全的保护纵深,使得网络、系统安全性得到进一步的提高.目前在入侵检测系统中常用的检测方法有:(1)模式匹配Pattern Matching(2)统计分析Statistical Analysis(3)专家系统Expert System(4)神经网络ANN(5)模糊系统Fuzzy Systems(6)遗传算法GA(7)免疫系统Immune System(8)数据挖掘Data Mining(9)数据融合Fusion(10)Protocol分析Protocol Analysis2.2.2 入侵检测系统入侵检测系统(IDS,Intrusion Detection System)可以识别针对计算机系统和网络系统,或更广泛意义上的信息系统的非法攻击,包括检测外界非法入侵者的恶意攻击或试探,以及内部合法用户的超越使用权限的非法行动.一般来讲就是通过分析系统安全相关数据来检测入侵活动的系统.入侵检测系统在功能结构上基本一致,由数据采集、数据分析及用户界面等组成,不同的入侵检测系统只是在分析采集数据方法及数据类型等方面有所不同.入侵检测系统的研究最早可追溯到1980年,James Aderson首先提出了入侵检测的概念,1987年D.E.Denning首次给出了入侵检测的抽象模型,并将入侵检测作为一种新的安全防御措施提出[6].早期的入侵检测系统都是基于主机的系统,主要检测用户对数据库的异常访问等.后期随着网络的普及和发展,入侵检测系统也开始向网络方面发展.作为一种主动防护技术,入侵检测系统可以在攻击发生时记录攻击者的行为、发出报警,必要时还可以追踪攻击者,可以独立运行,也可以与防火墙等安全技术协同工作,更好地保护网络安全.一个入侵检测系统能够完成监控分析用户和系统活动,发现入侵企图或异常现象,记录、报警和响应等.具体来说入侵检测系统的主要功能可分为:⑴检测并分析用户和系统活动.⑵核查系统配置和漏洞.⑶评估系统关键资源和数据文件的完整性.⑷识别已知的攻击行为.⑸统计分析异常行为.⑹对操作系统日志进行管理,并识别违反安全策略的用户活动.入侵检测系统的应用,能使在入侵攻击对系统发生危害前,检测到入侵攻击,并利用报警与防护系统驱逐入侵攻击.减少入侵攻击过程带来损失,在入侵后收集入侵攻击的相关信息,作为防范系统的知识加入知识库,增强系统防范能力.从功能逻辑上讲,入侵检测系统由探测器(Sensor)、分析器(Analyzer)、用户接口(User Interface)组成.目前的入侵检测系统主要分为两类:⑴基于主机的入侵检测系统:主要用于保护某一台主机的资源不被破坏.⑵基于网络的入侵检测系统:主要用户保护整个网络不被破坏.美国国防部高级研究计划署(DARPA)提出了CIDF(公共入侵检测框架),阐述了一个入侵检测系统的通用模型,可将入侵检测系统分为四个组件:事件产生器、事件分析器、响应单元、事件数据库.他们在入侵检测系统中的位置和相互关系如图2-2所示.现在的入侵检测系统多采用分布式体系结构,使用代理和移动代理技术[6].图2-2 入侵检测系统通用模型事件产生器负责原始数据采集,对数据流和日志文件进行追踪,将搜集到的原始数据转换为事件,提供给系统其他部分.事件分析器接收事件并进行分析,判断为入侵行为或异常现象后转换为警告信息.事件数据库存放各种中间和最终数据,响应单元根据警告信息作出反应,是入侵检测系统中的主动武器.第3章典型的入侵检测系统Snort简析Snort是一个免费的、开放源代码的基于网络的轻量级网络入侵检测系统,具有很好的配置型和可移植性.另外,它也可以用来截获网络中的数据包并记录数据包日志.Snort多适用于小网络段使用,最初设计用于Linux/Unix 操作系统,且其设计得易于插入和扩充进新的规则以对付各种新出现的威胁.3.1 Snort 的相关特性⑴Snort 具有实时数据流量分析和检测IP 网络数据包的能力,能够进行Protocol 分析,对内容进行搜索/匹配.⑵Snort 的报警机制很丰富,如syslog 、用户指定的文件、一个Unix 套接字,以及使用SAMBAProtocol 向客户程序发出警告消息.⑶Snort 能够进行Protocol 分析,内容的搜索和匹配,目前Snort 可以对多种Protocol 进行解析能检测多种方式的攻击和探测,如缓冲区溢出、端口扫描CGI 攻击、SMB 探测、探测操作系统指纹特征的企图等.⑷Snort 的日志格式可以是tcp dump 式的二进制格式,也可以解码成ASC Ⅱ字符形式,便于用户尤其是新手检查.⑸Snort 有很好的扩展性,由于其规则描述语言简单,能够快速对新的网络攻击作出反应. ⑹Snort 支持插件,可以使用具有特定功能的报告、检测子系统插件对其功能进行扩展. ⑺Snort 的可移植性好,它有极佳的跨平台性,支持Linux,Solaris,BSD,IRIX,HP-UX,Windows 系列,ScoOpenserver,Unixware 等[11].⑻Snort 遵循公共通用许可证GPL .Snort 遵循GPL ,所以任何企业、个人、组织都可以免费使用它作为自己的NIDS .3.2 Snort 的功能架构Snort 可提供Protocol 分析、内容查找和匹配,可以用来检测各种攻击和探测,如缓冲区溢出、隐蔽端口扫描、CGI 攻击、SMB 探测、操作系统指纹识别尝试等.其中的包嗅探、数据包记录和入侵检测是其重要功能.Snort 的架构决定了它的各种功能,构架图见图4-1所示.而Snort 架构由以下4个基本模块构成:⑴嗅探器⑵预处理器⑶检测引擎⑷输出模块Snort 的最简单形式就是包嗅探器,但当Snort 获取到数据包后会将数据包传送到与处理模块,然后通过检测引擎判断这些数据包是否违反了某些预定义规则[11].图3-1 Snort 架构Snort 的预处理器、检测引擎和报警模块都以插件形式存在.插件就是符合Snort 接口定义的程序,这些程序曾经是Snort 内核代码的一部分,现在独立出来使内核部分的修改变得简单可靠.包嗅探器用来监听数据网络,可以是硬件也可以是软件.一个网络嗅探器使应用程序或者硬件设备能够监听网络上的数据流.互联网多是IP 数据流,在本地局域网或传统网络中多是IPX 或AppleTalk 数据流.具体来说,包嗅探器不仅可以进行网络分析及错误处理、性能分析及基准测量、监听明文密码及其他感兴趣的数据.预处理器得到原始数据包,使用不同的插件检测数据包,这些插件检测数据包的某些特定行为.一旦数据包被确认具有某些特定行为,就会被送到检测模块.插件可以根据需要在与处理层被启用或停用,从而更具网络优化级被分配计算资源并生成报警,插件是入侵检测系统的一个非常有用的功能.检测引擎接收预处理器及其插件穿送来的数据,然后根据一系列的规则对数据进行检测.如果这些规则和数据包中的数据相匹配,就将数据包传送给报警处理器.当数据通过检测引擎后,Snort会对其数据进行不同的处理.如果数据和检测引擎的规则相匹配,Snort就会触发报警.报警可以通过网络连接、UNIX的套接字或Windows Popup(SMB),甚至SNMP陷阱机制发送到日志文件.也可以使用Snort的一些附加工具来通过Web接口显示日志内容,包括一些perl、PHP和Web服务器的插件等.日志可以存储在文本文件中.报警和日志都可以记录到数据库中,如MySQL或Postgree等.另外,Snort报警可以通过系统日志工具如SWA TCH发送电子邮件及时通知系统管理员,是系统不需要由专人24小时监控[12].3.3 Snort规则Snort是一个基于特征的入侵检测系统,而Snort正是通过大量的规则集实现基于特征的入侵检测系统的功能.这些规则集按照不同的类别进行分类,如木马、缓冲区溢出、访问不同的应用程序等,并进行定期的更新.3.3.1 规则的组成规则本身由两部分组成:⑴规则头:规则头包含了规则的基本动作(记录日志或是报警)、网络数据包的类型(TCP、UDP、ICMP等)、源和目的IP地址.源和目的端口.⑵规则可选项:可选项中指定了数据包中规则匹配的具体内容.Snort使用特定的语法来定义这些规则.规则的语法涵盖了Protocol的类型、内容、长度、Protocol头及很多其他元素,类如定义缓冲区溢出规则的填充字节等.3.3.2 规则头规则头定义了规则的行为(Action)、所匹配网络包的Protocol、源地址、目标地址、源端口和目标端口等信息,其作用主要是定义网络数据包分组中的报头路由特征.规则头格式如下:规则行为Protocol 源地址源端口方向操作符目的地址目的端口⑴规则行为(Rule Action)规则行为指示了数据包与规则匹配时该做什么,此字段有五个选项:alert、log、pass、activate、dynamic.其语义如下:①alert:使用设定的警告方法生成警告信息,并记录这个报文.②log:使用设定的记录方法记录这个报文.③pass:忽略该报文.④activate:进行alert,然后激活对应的一个dynamic规则.⑤dynamic:等待被一个对应的activate规则激活,然后进行log.其中activate和dynamic规则必须成对出现,已完成特定任务.当某种攻击发生后需要记录两个或多个包时,activate规则激活对应的dynamic规则记录后继的若干个包.⑵Protocol字段(Protocol):目前Snort主要支持TCP、UDP、ICMP三种Protocol,对应的值为tcp、udp和icmp.⑶方向操作符(Direction):指示规则所适用的流量方向.“->”表示从左端到右端的数据包,。
入侵检测系统在计算机网络安全中的设计与应用论文入侵检测系统在计算机网络安全中的设计与应用论文随着现代计算机技术的快速发展,当前网络安全成为一个焦点话题,这也使网络入侵技术成为当前网络安全领域的研究重点。
入侵检测具体指的是监视或者在可能的情况下,阻止入侵或者是试图入侵系统资源的努力。
目前,网络入侵检测系统在工作的过程中不像路由器以及防火墙作为关键设备工作,可以指出网络入侵检测系统发展的关键路径。
网络入侵系统在工作的过程中即使出现了故障也并不会影响正常的工作,因此使用网络入侵检测系统的风险相比于主机入侵检测系统会更小。
1入侵检测系统框架模型互联网工作小组的入侵检测小组,在1996年就已经开发了安全事件报警的标准格式,即入侵检测交换格式。
入侵检测工作小组制定的这一格式对部分术语的使用进行了比较严格的规范,并且为了能够适应入侵检测系统所输出的安全事件信息的多样性,这一模型在客观上能够满足入侵检测系统各种功能要求和逻辑结构。
这样可以确保入侵检测系统在形式上可以有不同的特点。
在进行系统设计的过程当中根据系统所承担的具体任务以及其工作环境的不同,在进行搭建时可以选择独立的传感器、管理器等设备,其功能的实现也可以是一个设备当中所具有的不同的功能。
入侵检测系统在工作中,具体可以划分为3步,信息收集、数据分析、事件响应。
其中信息收集包括系统以及网络;数据分析的主要任务是将收集到的有关数据信息发送到检测引擎,检测引擎会通过模式匹配、统计分析、完整性分析3种手段对于收集的信息进行客观分析;在系统工作的过程中,检测到一个任务时会主动将报警发送到系统当中的管理器,管理器能够根据预先设计好的安全政策进行定义,对接收到的报警内容进行回应,并提出相关检疫。
2入侵检测系统结构2.1基于主机的入侵检测系统这一入侵系统在具体工作的过程当中,需要以应用程序日志等相关的审计记录文件作为重要数据来源。
通过对这些文件中的记录和共计签名进行比较,确定其是否可以进行匹配。
网络入侵安全检测技术研讨专业:计算机科学与技术(信息处理)*****指导教师:申请学位级别:学士论文提交日期:学位授予单位:天津科技大学摘要INTERNET的高速发展给带给人们工作生活上的许多便利,可是,伴着现代化网络应用的广泛使用,随之而来的网络危险因素也给网络信息安全带来了更加严苛的挑战,传统的安全技术已经难以对付这些变化多端的安全威胁,所以我们有必要去研究专门的盾牌去抵御这些不安全因素的入侵,而入侵检测技术就可以当做一种很实用的技术来保护网络安全。
本论文首先概括了这次学术研究的内容和意义,并在大体上介绍了一下这方面研究的国内外主要研究成果。
然后在总体上说明了了网络入侵检测系统的发展历史和现况。
本文主要内容就是具体的研究几种现今主流的入侵检测技术,向人们阐述它们的详细信息,包括其特点,结构和其检测流程等,还有深入的分析了各自的优势并指出了不足之处,最后大胆的分析了网络入侵检测技术未来的发展趋势和主要的几种发展方向,简言之本文展示了网络入侵检测技术的种种。
关键词:网络安全;snort;入侵检测;ABSTRACTThe rapid development of the Internet brings great convenience to people's work and live but as the popularity of modern network ,the network attendant insecurity also brings to the information security challenges ,the traditional network security technology has difficulty to deal with these increasingly serious security threat ,so it is necessary to develop special tools to avoid the insecurity of the attack ,and intrusion detection technologies can be a very important technology work for us.This paper first introduces the study the general network intrusion detection,Then a snort of thorough research information, including its characteristics, structure and the detection process, and so on,The paper is the focus of the configuration snort under Windows work environment, to a simple experiment,To show the work under the DOS snort with PHP, process and acid, under the graphic display data browsing with operation.KEY WORDS: Network security; Snort; Intrusion detection ;目录1绪论 (1)1.1 研究内容 (1)1.2 研究意义.................................................................. . (1)1.3 国内外入侵检测技术的研究现状 (2)1.3.1基于信息来源分类的IDS 技术 (2)1.3.2基于响应方式的IDS技术 (3)1.3.3基于分析方法的不同IDS 技术 (3)2 入侵检测技术概述 (4)2.1 入侵检测技术的概述 (4)2.1.1 入侵检测的概念 (4)2.1.2 入侵检测的发展历史 (4)2.2 入侵检测技术分类..................... 错误!未定义书签。
入侵检测系统的设计与实现专业:计算机科学与技术班级:计算机091姓名:江朝林指导教师:王国豪摘要攻击者往往能绕开防火墙和杀毒软件来对目标进行攻击。
从其他方面提高计算机安全性越来越设立防火墙和杀毒软件是保护计算机安全的主要手段,但随着操作系统的安全隐患被越来越多的发现,迫切。
基于该思想,设计了一个ids(基于特征的入侵检测系统),目的是通过这个ids监视并分析网络流量来发现攻击企图或者攻击行为,采取报警、回复假的不可达信息或断开连接等手段,来保护计算机安全。
入侵检测技术是对传统的安全技术(如防火墙)的合理补充。
它通过监视主机系统或网络,能够对恶意或危害计算机资源的行为进行识别和响应。
通过与其它的安全产品的联动,还可以实现对入侵的有效阻止。
入侵检测系统的研究和实现已经成为当前网络安全的重要课题。
本次设计完成了一个ids的设计和实现,详细论述了该ids的结构和功能,阐述了相关概念和设计原理,并给出了部分关键代码。
最后总结了本次设计入侵检测系统的优点和缺陷,从性能方面对本次设计进行了评价。
1.2本课题研究的意义本课题是基于防火墙有自身的缺陷,不能为处于网络上的主机撑起完整的安全保护伞为出发点来研究的。
发展ids技术是安全形式所趋,发展有自主知识产权的、安全、可靠的ids对全球的网络安全有着重大的意义。
“评价一个ids有这样几个方面:(1)准确性;(2)性能;(3)完整性;(4)故障容错(fault tolerance);(5)自身抵抗攻击能力;(6)及时性(timeliness)”。
[6]由于设计参考的是snort,因此这次设计的ids的各项性能和snort相仿,属于轻量级的ids(轻量级是指适合小网段使用)。
基于ids技术的不成熟以及snort在相关ids的产品中是比较成熟的一种,所以这次设计的ids的在现今阶段来说性能指标处于中上水平。
1.3本课题的研究方法第二章相关开发环境及技术2.1 c++语言c++,这个词在中国大陆的程序员圈子中通常被读做“c加加”,而西方的程序员通常读做“c plus plus”,它是一种使用非常广泛的计算机编程语言。
基于神经网络的网络入侵检测技术研究随着计算机和网络技术的发展,网络安全问题愈发严重。
入侵者不断突破各类防御措施,进行各类攻击和破坏。
网络入侵检测技术作为网络安全的一重要领域,旨在及时发现入侵的迹象,保护网络安全。
其中,基于神经网络的网络入侵检测技术,在保证检测精度的同时也有着较高的效率,得到了越来越多的关注和应用。
一、神经网络基本原理神经网络(Neural Network)是模拟生物神经网络行为的计算模型,由多个节点(Neuron)和它们之间的连接组成。
神经网络可以处理不确定、不精确、和非线性的数据,可以通过学习给定的样本数据,自动生成模型和推理出结果。
其主要的推理过程是基于各个节点之间的权重分配和门控连接的计算。
因此,神经网络的具体结构和参数设置,直接影响到神经网络的效率和准确性。
二、基于神经网络的网络入侵检测技术1. 传统的网络入侵检测技术的不足传统的网络入侵检测技术主要包括基于规则、基于统计和基于机器学习的方法。
它们依据已经有的规则、统计数据或分类样本数据,来判断当前的网络行为是否存在入侵可能。
然而,这些方法针对的是某些已知的入侵类型,无法有效处理未知的入侵,且易受到各种攻击手段的欺骗。
另外,这些方法还有较高的误报率,对网络运行效率和管理也有一定的影响。
2. 基于神经网络的网络入侵检测技术的优势相比传统方法,基于神经网络的网络入侵检测技术具有以下优点:(1)快速学习能力神经网络具有自适应、非线性、并行的特点,在不依赖于预设规则的情况下可以快速学习到已知的和未知的入侵,提高了检测的准确性。
(2)适应未知攻击类型神经网络可以学习到大量不同的入侵类型,对未知的攻击也能有较好的应对能力,且抗攻击性强,不易受到异常数据和噪声的干扰和欺骗。
(3)效率高神经网络检测速度快,且在具有较好的准确性的情况下能够有效避免误报,保证网络的正常运行。
三、神经网络在网络入侵检测中的运用1. 数据预处理和特征提取在神经网络的具体应用过程中,需要对原始数据进行预处理和特征提取,以便于提高神经网络检测的效率和准确性。
网络安全中基于神经网络的入侵检测与防御研究近年来,随着网络技术的不断发展,网络安全问题已经成为人们非常关注的话题。
网络入侵事件屡屡发生,企业和个人安全问题不断暴露,如何保证网络安全成为了一项紧迫的任务。
基于神经网络的入侵检测与防御研究成为了当前研究热点之一。
一、网络安全的背景与亟需现如今,因网络的广泛应用,人们的信息获取和交流愈发便利。
随着网络的发展,网络安全问题已经成为威胁全世界各行各业的重大危机。
不仅是政府、企业、教育机构,还有普通个人,面对网络安全威胁。
黑客利用各种漏洞和技术手段对网络进行攻击,导致各种数据的泄露,各种账户的被盗,带来了经济损失和信息泄露等后果。
同时,基于云计算和物联网等技术的广泛应用,网络安全问题更加复杂和重要。
因此,研究如何防范和处理网络安全问题成为了一个必要的课题。
二、神经网络的发展与应用神经网络是一种模拟人脑神经元的计算机系统,它由多个节点和连接线组成,可以模拟人脑神经元之间的信息传递与处理机制。
神经网络具备较强的自学习和自适应能力,在语音识别、图像处理、数据挖掘等领域得到了广泛应用,并且在网络安全领域也逐渐开始被研究和应用。
三、基于神经网络的入侵检测与防御研究基于神经网络的入侵检测与防御技术是利用神经网络分析网络中的各种数据特征,识别入侵行为,并且采取相应的防御机制的方法。
入侵检测技术分为两种类型:基于规则和基于异常。
基于规则的入侵检测是通过事先设定的规则和策略来检测入侵行为,但受到新技术的攻击很难预见到,容易失效。
而基于异常的入侵检测是通过机器学习和统计学习等方法建立基线模型,将异常数据与基线模型进行比对来检测入侵行为,鲁棒性和精度相对较高。
基于神经网络的入侵检测和防御技术利用自适应学习能力和抗噪能力,不但具备比传统方法更好的鲁棒性和精度,而且对于自适应能力和自动化能力的要求也较低。
通过基于神经网络的入侵检测和防御技术,数据的强化和模拟生成,机器学习算法的选择和应用等多方面的研究和应用,已经为网络安全领域的研究和应用奠定了基础,同时也在面对日益复杂的网络安全威胁时提供了有效的手段和框架。
网络安全入侵检测系统毕业论文LT第一章绪论1.1课题背景近年来,互联网技术在国际上得到了长足的发展,网络环境变得越来越负载,网络本身的安全性问题也就显得更为重要。
网络安全的一个主要威胁是通过网络对信息系统的入侵。
相对于传统对于系统的破坏手段,网络入侵具有以下几个特点:(1)没有地域和时间限制;(2)通过网络的攻击往往混在在大量正常的网络活动中,隐蔽性强;(3)入侵手段更加隐蔽和复杂;(4)攻击手段也有原来的单一攻击向分布式方向发展。
为了保证网络的机密性、完整性和可用性,防火墙技术应运而生。
但作为静态的安全防御技术,单纯的防火墙技术暴露出名先的不足和弱点,如无法解决安全后门的问题、不能阻止网络的内部攻击,而调查发现,50%以上的攻击都来自内部;不能提供实时入侵检测能力;对于病毒攻击束手无策等。
由于网络入侵的上述特性,如何通过计算机对其进行检测,就成为更强大的主动策略和方案来增强网络的安全性,其中有一个和有效的解决途径就是入侵检测。
入侵检测系统弥补防火墙的不足,为网络安全提供实时的入侵检测及采取相应的防护手段,如记录证据、跟踪入侵、恢复或断开网络连接等等。
入侵检测作为一种积极主动的安全防护技术,能够同时对内部入侵,外部入侵和误操作提供及时的保护,能够在系统受到危害之前及时地记录和响应入侵为系统管理员提供可靠的入侵记录。
因此研究高效的网络安全防护和检测技术,开发实用的安全监测系统具有重大的研究,时间和商业意义。
1.2网络安全近年来,我国互联网发展取得了令人瞩目的成绩。
根据中国互联网络信息中心最新发布的统计报告显示,截至 2008 年底,我国上网用户总数达 1.37 亿人,互联网的影响已经逐渐渗透到我国国民经济的各个领域和人民生活的各个方面。
但是,随着互联网应用的不断创新与发展,信息与网络安全也面临着前所未有的严峻形势,网络安全领域所面临的挑战日益严峻。
网络安全问题不仅给广大网民带来了不便,甚至影响到我国信息化建设的进一步深化,威胁到国家的信息安全和经济发展。
基于神经网络的入侵检测相关技术研究1. 本文概述随着信息技术的飞速发展,网络安全问题日益凸显,入侵检测作为网络安全的重要组成部分,其研究和发展受到了广泛关注。
本文主要针对基于神经网络的入侵检测技术进行深入研究,旨在提高入侵检测的准确性和效率。
本文将简要介绍入侵检测系统的基本概念、发展历程以及神经网络的基本原理。
随后,将重点分析当前基于神经网络的入侵检测技术的研究现状,包括各种神经网络模型在入侵检测中的应用及其优缺点。
在此基础上,本文将探讨神经网络在入侵检测中的挑战和未来发展趋势,并提出一些可能的解决方案。
本文将总结全文,并对未来研究方向提出展望。
2. 相关概念与技术基础神经网络是模仿人脑神经元连接和工作方式的一种计算模型。
它由大量的节点(或称神经元)相互连接组成,每个节点代表一种特定的函数,称为激活函数。
神经网络通常包括输入层、隐藏层和输出层。
输入层接收外部数据,隐藏层进行数据加工处理,输出层给出最终结果。
这种结构使得神经网络具有强大的自学习和自适应能力,特别适合处理复杂的非线性问题。
入侵检测系统是一种对网络或系统进行监控,以便发现并报告异常行为的系统。
IDS 通过分析网络流量或系统日志来识别潜在的恶意活动或策略。
入侵检测技术可以分为两大类:基于签名的检测和基于异常的检测。
基于签名的检测通过已知攻击的签名或特征来识别攻击,而基于异常的检测则通过建立正常行为的基线来识别偏离正常模式的行为。
将神经网络应用于入侵检测,主要是利用其模式识别和分类能力。
通过训练,神经网络能够从大量的网络数据中学习正常和异常的模式。
在入侵检测系统中,神经网络可以用来识别和分类不同的网络攻击类型,提高检测的准确性和效率。
神经网络的自适应学习能力使其能够应对不断变化的网络环境和新的攻击类型。
深度学习是神经网络的一种扩展,它通过构建更深层次的神经网络结构来提取更高级别的特征表示。
在入侵检测领域,深度学习模型如卷积神经网络(CNN)和循环神经网络(RNN)已经被证明在处理高维数据和识别复杂模式方面非常有效。
基于集成神经网络入侵检测系统的研究毕业论文目录摘要 (I)ABSTRACT .................................................................................................................................. I I 1 引言. (1)1.1研究的背景和意义 (1)1.2国内外研究现状 (2)1.3论文结构安排 (3)2 入侵检测技术简介 (4)2.1研究入侵检测的必要性 (4)2.2入侵检测的相关概念 (4)2.3入侵检测系统的基本原理 (4)2.4入侵检测系统的基本工作模式 (5)2.5入侵检测系统的分类 (6)2.5.1 根据检测技术分类 (6)2.5.2 根据数据来源分类 (7)2.6入侵检测目前存在的局限性和不足 (7)2.7基于神经网络的入侵检测技术的发展 (8)3 神经网络简介 (9)3.1神经网络模型 (9)3.1.1 生物神经元模型 (9)3.1.2 人工神经元模型 (10)3.1.3 神经网络模型 (12)3.1.4 神经网络的工作方式 (12)3.1.5 神经网络的基本性质及优点 (13)3.2神经网络应用于入侵检测 (14)4 基于集成神经网络的入侵检测系统 (15)4.1系统设计 (15)4.1.1 系统工作原理 (15)4.1.2 特征提取 (15)4.2集成神经网络算法 (16)4.3遗传算法 (17)4.3.1 遗传算法的定义 (17)4.3.2 遗传算法的基本思想 (17)4.3.3 基本遗传算法 (18)4.3.4 基本遗传算法的运行参数 (20)4.4.2 个体网络的构建 (20)4.4.3 个体网络的选择 (21)4.4.4 网络的集成输出 (22)5 仿真实验分析 (23)5.1MATLAB神经网络工具箱 (23)5.2实验数据源 (23)5.3入侵检测数据集预处理 (24)5.4仿真实验 (24)5.4.1 导入数据 (24)5.4.2 训练过程 (25)5.5仿真实验数据分析 (27)结论 (28)参考文献 (29)致谢 (30)摘要入侵检测是防火墙的合理补充,它帮助系统对付网络攻击,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。
入侵检测技术是一种动态的网络检测技术,主要用于识别对计算机和网络资源的恶意使用行为,包括来自外部用户的入侵行为和内部用户的未经授权活动。
为了提高入侵检测系统的检测能力,本文在了解信息安全和入侵检测概念的基础上,分析神经网络模型,采用单个神经网络分别对样本进行训练,然后,通过遗传算法寻找那些差异较大的神经网络进行集成,并将研究的模型应用于入侵检测系统中,提出相应的处理方案,得到最后的结果。
关键词:网络安全入侵检测神经网络集成学习遗传算法AbstractIntrusion detection is a logical addition to firewall, it helps the system to deal with network attacks, expanded the system administrator's security management capabilities, improve the integrity of the information security infrastructure. Intrusion detection technology is a dynamic network detection technology, mainly used to identify computers and network resources on the malicious use of behavior, including acts of invasion from external users and internal users without the mandated activities. In order to improve detection of intrusion detection system, this paper to understand the concept of information security and intrusion detection based on analysis of neural network model, using a single neural network training samples, respectively, and then, through the genetic algorithm to find large differences in the neural network that integration, and research models are applied to intrusion detection system, the corresponding processing program, get the final results.Keywords: network security intrusion detection neural network Integrated Learning genetic arithmetic1 引言信息使用比例的加大,使得社会对信息的真实程度,保密程度的要求不断提高,而网络化又使因虚假、泄密引起的信息危害程度越来越大。
如近几年的大学英语四、六级考题泄露事件,通过网络操作使得股民帐户受损事件,“熊猫烧香”病毒导致计算机网络大面积瘫痪等影响都是全国性的。
如何能在在不影响网络性能的情况下能对网络进行监测,提供对内部攻击、外部攻击和误操作的实时保护,是网络安全的重要课题。
1.1 研究的背景和意义随着人类社会对Internet需求的日益增长,网络安全逐渐成为Internet及各项网络服务和应用进一步发展所需解决的关键问题,尤其是从1993年以来,随着Internet/Intranet技术日趋成熟,通过Internet进行的各种电子商务和电子政务活动日益增多,很多组织和企业都建立了自己的内部网络并将之与Internet联通。
这些电子商务和政务应用和企业网络中的商业秘密便是攻击者的目标,据统计目前网络攻击手段多达数千种,使网络安全问题变得极其严峻[1]。
在网络安全技术中,防火墙是第一道防御屏障。
一般它位于路由器之后,为进出网络的连接提供安全访问控制。
但一般网络系统必须对外开放一些应用端口,如80、110等,这时防火墙的不足就会充分体现出来,并且防火墙对内部攻击无能为力;同时,防火墙绝对不是坚不可摧的,即使是某些防火墙本身也会引起一些安全问题。
信息安全的PDRR模型充分说明了检测的重要性。
入侵检测是防火墙的合理补充,它帮助系统对付网络攻击,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。
入侵检测技术是一种动态的网络检测技术,主要用于识别对计算机和网络资源的恶意使用行为,包括来自外部用户的入侵行为和内部用户的未经授权活动。
入侵检测系统(IDS)由入侵检测软件和硬件组合而成,被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,提供对内部攻击、外部攻击和误操作的实时保护[2]。
在入侵检测领域内应用最为广泛,同时也是最成熟的技术仍然是基于专家系统的规则化检测技术。
但是,随着系统安全环境特别是网络系统安全形式的变化,传统的基于专家系统的检测技术暴露出若干局限性和不足。
近年来,大量不同于传统专家系统技术的入侵检测方法纷纷涌现,其中基于人工神经网络检测技术的发展尤为突出。
人工神经网络是模拟人脑加工、存储和处理信息机制而提出的一种智能化信息处理技术,它是由大量简单的处理单元(神经元)进行高度互连而形成的复杂网络系统。
从本质上讲,人工神经网络实现的是一种从输入到输出的映射关系,其输出值由输入样本、神经元间的互连权值以及传递函数所决定。
神经网络具备高度的学习和自适应能力,通过学习能够识别全新入侵行为特征的能力,可以克服基于专家系统检测技术的局限性[3]。
1.2 国内外研究现状对于神经网络技术在入侵检测中的应用,前人已经做了若干研究工作。
Debar等人采用递归型(Recurrent)BP网络,在对所收集的审计记录进行分析的基础上,对系统各用户的行为方式进行建模,并同时结合传统的专家系统进行入侵检测。
Tan为适应入侵检测的要求,对传统的多层前馈网络(MLFF)的训练算法进行改进,并用于建模用户的各个行为特征。
Hogluand等人提出了基于一维SOM(自组织特征映射)网络的异常检测算法对用户行为特征进行判断,并建立了原型系统。
Ghosh和Schwartzbard采用基于多层感知器(MLP)的异常检测模型,通过对程序执行中系统调用序列记录的分析,来监视特定的程序的运行状态。
他们使用了数百个训练样本,获得了在大致3%的虚警概率条件下77%的检测概率。
Ghosh等人同时还进行了滥用检测技术的研究,其工作结果表明基于MLP 的滥用检测模型具备更高的虚警概率,性能不及异常模型。
进一步地,Ghosh等人采用另一种神经网络模型——Elman网络,取得了零虚警概率下77%的检测概率。
Ryan等人对用户每天所执行的Shell命令进行统计计数,并采用标准的BP网络对所形成的用户行为特征矢量(由各个命令的执行次数组成)进行训练和识别。
随着网络互联环境的飞速发展,基于网络流量分析的入侵检测技术逐渐流行。
Cannady和Mahaffey将MLP模型和SOM/MLP混合模型应用到基于网络流量的滥用检测模型中。
在基于MLP模型的入侵检测技术中,Cannady等人根据网络数据包的若干协议字段值(如协议类型、属性字段值、负载长度和内容等)构建特征矢量,提供给MLP 网络进行训练学习。
训练完毕后,对测试样本集进行测试。
实验结果表明,该模型可以从正常网络流量中识别出诸如表示ISS和Satan扫描、SYN Flood攻击活动的数据包。
同时Cannady等人提出SOM/MLP混合模型,来检测诸如FTP口令试探的时间上分散的攻击行为。
SOM网络主要用于对数据包中的负载内容进行分析,作为MLP网络的预处理单元并起到特征降维的作用。
实验结果表明,能够较好地检测到单位时间不同频率的口令试探行为。
Bonifacio等人首先构建网络会话的数据矢量,并对数据负载中的可疑特征字符串进行编码,连同目标端口号一起构成BP网络的输入特征矢量,送入神经网络进行训练。
