基于snort的入侵检测方案设计无线网络论文(编辑修改稿)

基于snort的入侵检测方案设计无线网络论文(编辑修改稿)内容摘要：

措施中或缺少防护措施时，系统所具有的弱点。 所谓风险，是对某个已知的、可能引发某种成功攻击的脆弱性的代价的测度。 当某个脆弱的资源的价值越高，且成功攻击的概率越大时，风险就越高；反之，当某个脆弱资源的价值越低，且成功攻击的概率越小时，风险就越低。 风险分析能够提供定量的方法，以确定是否应保证防护措施方面的资金投入。 安全威胁有事时可以分为故意的（如黑客浸透）和偶然的（如信息被发往错误的地方）两类。 故意的威胁又可以进一步分为被动 攻击和主动攻击。 被动攻击只对信息进行监听（如搭线窃听），而不对其进行修改。 主动攻击却对信息进行故意的修改（如改动某次金融会话过程中货币的数量）。 总之，被动攻击比主动攻击更容易以更少的花费付诸实施。 目前尚没有统一的方法来对各种威胁加以区别和分类，也难以搞清各种威胁之间的相互关系。 不同威胁的存在及其严重性随着环境的变化而变化。 然而，为了解释网络安全服务的作用，人们对现代计算机网络以及通信过程中常遇到的一些威胁汇编成一些图表。 下面分三个阶段对威胁进行分析：首先对基本的威胁加以区分；其次，对主要的可实现的威胁进行 分类；最后，对潜在的威胁进行分类。 安全威胁的来源 基本威胁 下面 4 种基本安全威胁直接反映了本章初始划分的 4 个安全目标。 信息被泄露或透漏给某个非授权的人或实体。 这种威胁来自诸如窃听、搭线或其他更加错综复杂的信息探测攻击。 数据的一致性通过非授权的增删、修改和破坏而受到损坏。 对信息或资源的访问被无条件地阻止。 这可能是由以下攻击所致：攻击者通过对系统进行非法的、根本无法成功的访问尝试而使系统产生过量的负荷，从而导致系统的资源在合法用户看来是不可用 的。 拒绝服务也可能是因为系统在物理上或逻辑上受到破坏而终端服务。 某个资源被某个非法授权的人，或以某种非授权的方式使用。 例如，侵入某个计算机系统的攻击者会利用此系统作为盗用电信服务的基点，或者作为侵入其第 5 页（共 23 页） 他系统的桥头堡。 主要的可实现的威胁 在安全威胁中，主要的可实现威胁应该引起高度关注，因为这类威胁一旦成功实施就会直接导致其他任何威胁的实施。 只要的可实现威胁包括侵入威胁和植入威胁。 一、 主要的侵入类型的威胁如下： 某个实体（人或者系统）假装成另外一个不同的实体。 这是突入某一安全 防线最常用的方法。 这个非授权的实体提示某个防线的守卫者，使其相信他是一个合法的实体，此后便取了此合法的权利和特权。 黑客大多采取这种假冒攻击方式来实施攻击。 为了获得非授权的权利和特权，某个攻击者会发掘系统的缺陷和安全性上的脆弱之处。 例如，攻击者通过各种手段发现原本应保密，但是又暴露出来的一些系统“特征”。 攻击者可以绕过防线守卫者侵入系统内部。 一个授权以既定目的使用某个系统或资源的人，却将其权限用于其他非授权的目的。 这种攻击的发起者往往属于系统内的某个合法用户，因此这个攻击又称为 “内部攻击”。 二、 主要的植入类型的威胁如下： （ trojan horse） 软件中含有一个察觉不出的或者无害的程序段。 当他被执行时，会破坏用户的安全性。 例如一个表面上具有合法目的的应用程序软件，如文件编辑软件，它具有一个暗藏的目的，就是将用户的文件复制到一个隐藏的秘密文件中，这种应用程序就称为特洛伊木马。 此后，植入特洛伊木马的那个攻击者就是可以阅读到该用户的文件。 （ trap door） 在某个系统或其部件中设置“机关”，使在提供特定的输入数据时，允许违反安全策略。 例如，一个用户登 录子系统，如果设置有陷阱门，当攻击者输入一个特别的用户身份号时，就可以绕过通常的口令检测。 潜在威胁 在某个特定的环境中，如果对任何一个基本威胁或者主要的可实现威胁进行分析，就能够发现某些特定的潜在威胁，而任意一种潜在威胁都可能导致一些更基本的威胁的发生。 例如，在对信息泄露这种基本威胁进行分析时，有可能找以下几种潜在的威胁（不考虑主要的可实现威胁）：  窃听（ eavesdropping）；  流量分析（ traffic analysis）；  操作人员的不慎所导致的信息泄露； 第 6 页（共 23 页）  媒体废弃物所导致的信息泄露。 图 21 列出了一些典型的威胁以及它们之间的相互关系。 注意，图中的路径可以交错。 例如，假冒攻击可以成为所有基本威胁的基础，同时假冒攻击本身也存在信息泄露的潜在威胁（因为信息泄露可能暴露某个口令，而用此口令可以实施假冒攻击）。 表 21 列出了各种威胁之间的差异，并分别进行了描述。 图 21 典型的威胁及其相互关系 网络安全防护措施 安全领域存在有多种类型的防护措施。 除了采用密码技术的防护措施之外，还有其他类型的安全防护措施： 计算机病毒的防范技术 在网络环境下，防范计算机病毒仅采用单一的方 法来进行已经无任何意义，要想彻底清除网络病毒，必须选择与网络适合的全方位防病毒产品。 如果对互联网而言，除了需要网关的防病毒软件，还必须对上网计算机的安全进行强化；如果在防范内部局域网病毒时需要一个具有服务器操作系统平台的防病毒软件，这是远远不够的，还需要针对各种桌面操作系统的防病毒软件；如果在网络内部使用电子邮件进行信息交换时，为了识别出隐藏在电子邮件和附件中的病毒，还需要增加一套基于邮件服务器平台的邮件防病毒软件。 由此可见，要想彻底的清除病毒，是需要使用全方位的防病毒产品进行配合。 另外，在管理方面，要打击 盗版，因为盗版软件很容易染上病毒，访问可靠的网站，在下载电子邮件附件时要先进行病毒扫描，确保无病毒后进行下载，最重要的是要对数据库数据随时进行备份。 身份认证技术 系统对用户身份证明的核查的过程就是身份认证，就是对用户是否具有它所第 7 页（共 23 页） 请求资源的存储使用权进行查明。 用户向系统出示自己的身份证明的过程就是所谓的身份识别。 一般情况下，将身份认证和身份识别统称为身份认证。 随着黑客或木马程序从网上截获密码的事件越来越多，用户关键信息被窃情况越来越多，用户已经越来越认识到身份认证这一技术的重要性。 身份认证 技术可以用于解决用户的物理身份和数字身份的一致性问题，给其他安全技术提供权限管理的依据。 对于身份认证系统而言，合法用户的身份是否易于被其他人冒充，这是最重要的技术指标。 用户身份如果被其他不法分子冒充，不仅会对合法用户的利益产生损害，而且还会对其他用户的利益甚至整个系统都产生危害。 由此可知，身份认证不仅是授权控制的基础，而且还是整个信息安全体系的基础。 身份认证技术有以下几种：基于口令的认证技术、给予密钥的认证鉴别技术、基于智能卡和智能密码钥匙 (UsBKEY)的认证技术、基于生物特征识别的认证技术。 对于生物 识别技术而言，其核心就是如何获取这些生物特征，并将之转换为数字信息、存储于计算机中，并且完成验证与识别个人身份是需要利用可靠的匹配算法来进行的。 入侵检测技术 入侵检测就是对 网络 入侵行为进行检测，入侵检测技术属于一种积极主动地安全保护技术，它对内部攻击、外部攻击以及误操作都提供了实时保护。 入侵检测一般采用误用检测技术和异常监测技术。 这种检测技术是假设所有的入侵者的活动都能够表达为中 特征或模式，对已知的入侵行为进行分析并且把相应的特征模型建立出来，这样就把对入侵行为的检测变成对特征模型匹配的搜索，如果与已知的入侵特征匹配，就断定是攻击，否则，便不是。 对已知的攻击，误用入侵检测技术检测准确度较高，但是对已知攻击的变体或者是一些新型的攻击的检测准确度则不高。 因此，要想保证系统检测能力的完备性是需要不断的升级模型才行。 目前，在绝大多数的商业化入侵检测系统中，基本上都是采用这种检测技术构建。 异常检测技术假设所有入侵者活动都与正常用户的活动不同，分析正常用户的活动并且构建模型，把所有不同于正常模型的用户活动状态的数量统计出来，如果此活动与统计 规律 不相符，则表示可以是入侵行为。 这种技术弥补了误用检测技术的不足，它能够检测到未知的入侵。 但是，在许多环境中，建立正常用户活动模式的特征轮廓以及对活动的异常性进行报警的阈值的确定都是比较困难的，另外，不是所有的非法入侵活动都在统计规律上表示异常。 今后对入侵检测技术的研究主要放在对异 常监测技术方面。 另外， 计算 机网络安全防范策略还包括一些被动防范策略。 被动式防范策略主要包括隐藏 IP 地址、关闭端口、更换管理员账户等，本文只对以上 两 种进行分析。 第 8 页（共 23 页） 第 3 章 入侵检测原理 入侵检测的概述 入侵检测是指对入侵检测行为的发现 \报警和响应 ,他通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析 ,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象 . 入侵检测系统 (intrusion detection system ,IDM ) 是完成入侵检测功能的软件和硬件的集合。 1980 年 4 月， James P . Anderson 在美国空军起草的技术报告《计算机安全威胁检测与监视》中第一次详细阐述了入侵检测的概念。 随着网络安全风险系数不断提高，防火墙作为曾经最主要的安全防范手段已经不能满足人们对网络安全的需求。 作为对防火墙极其有益的补充，位于其后的第二道安全闸门 IDS 能够帮助网络系统快速发现网络攻击的发生，有效扩展系统管理员的安全管理能力及提高信息安全基础结构的完整性。 IDS 能在不影响网 络及主机性能的情况下对网络数据流和主机审计数据进行监听和分析，对可疑的网络连接和系统行为进行记录和报警，从而提供对内部攻击、外部攻击和误操作的实时保护。 入侵检测的功能  入侵检测的功能主要体现在一下几个方面：  监视并分析用户和系统的活动。  检查系统配置和漏洞。  识别已知的攻击行为并报警。  统计分析异常行为。  评估系统关键资源和数据文件的完整性。  操作系统的审计跟踪管理，并识别违反安全策略的用户行为。 入侵检测的模型 为了提高 IDS 产品、组件及与其他安全产品之间的互操作性，美国国防高级研 究计划署和 Inter 工程任组的入侵检测工作组（ IDWG）发起并制定了一系列建议草案，从体系结构、 API、通信机制、语言格式等方面规范 IDS 的标准。 图 31 是有美国国防高级研究计划署所提出的通用入侵检测框架（ mon intrusion detection framework, CIDF ）模型，将一个 IDS 分为事件产生器、分析引擎、响应单元和事件数据库 4 个组件。 第 9 页（共 23 页） 图 31 入侵检测通用模型 事件 产生器为入侵检测系统提供必要的输入，这些输入构成了检测的基础。 分析引擎接收来自事件产生器的数据并检查数据以发现入侵迹象。 响应单元对分析结果做出反应，控制网络或系统产生和分析结果相应的动作。 入侵检测的流程 基于 CIDF 模型，入侵检测流程主要包括 3 个步骤，即信息收集、信息分析和结果处理。 入侵检测的第一步是信息收集，收集内容包括系统、网络、数据及用户活动的状态和行为。 这些信息由分布在主机或者网络上的事件产生器提供，一般为审计记录、网络数据包以及其他可视行为。 不同的入侵检测系统 间需要收集的信息由于分析方。