分布式入侵检测系统设计与实现毕业论文(编辑修改稿)

分布式入侵检测系统设计与实现毕业论文(编辑修改稿)内容摘要：

DS 可以监督所有用户登录及退出登录的情况，以及每位用户 在联接 .到网络以后的行为。 基于网络的系统要做到这个程度是非常困难的。 基于主机技术还可监视通常只有管理员才能实施的非正常行为。 操作系统记录了任何有关用户帐号的添加、删除、更改的情况。 一旦发生了更改，基于主机的 IDS 就能检测到这种不适当的更改。 基于主机的 IDS还可审计能影响系统记录的校验措施的改变。 最后，基于主机的系统可以监视关键系统文件和可执行文件的更改。 系统能够检测到那些欲重写关键系统文件或者安装特洛伊木马或后门的尝试并将它们中断。 而基于网络的系统有时会检测不到这些行为。  视野集中 一旦入侵者得到了一个主机 的用户名和口令，基于主机的代理是最有可能区分正常的活动和非法的活动的。  易于用户剪裁 每一个主机有其自己的代理，当然用户剪裁更方便了。  较少的主机 基于主机的方法有时不需要增加专门的硬件平台。 基于主机的入侵检测系统存在于现有的网络结构之中，包括文件服务器、 Web 服务器及其它共享资源。 这些使得基于主机的系统效率很高。 因为它们不需要在网络上另外安装登记、维护及管理的硬件设备。  对网络流量不敏感 用代理的方式一般不会因为网络流量的增加而丢掉对网络行为的监视。  适用于被加密的以及切换的环境 由于基于主机的系统安装 在遍布企业的各种主机上，它们比基于网络的入侵检测系统更加适于分 布式入侵检测系统设计与实现 7 交换的以及加密的环境。 交换设备可将大型网络分成许多的小型网络段加以管理。 所以从覆盖足够大的网络范围的角度出发，很难确定配置基于网络的 IDS 的最佳位置。 业务镜像和交换机上的管理端口对此有帮助，但这些技术有时并不适用。 基于主机的入侵检测系统可安装在所需的重要主机上，在交换的环境中具有更高的能见度。 某些加密方式也向基于网络的入侵检测发出了挑战。 根据加密方式在协议堆栈中的位置的不同，基于网络的系统可能对某些攻击没有反应。 基于主机的 IDS 没有这方面的限制。 当 操作系统及基于主机的系统发现即将到来的业务时，数据流已经被解密了  确定攻击是否成功 由于基于主机的 IDS 使用含有已发生事件信息，它们可以比基于网络的 IDS 更加准确地判断攻击是否成功。 在这方面，基于主机的 IDS 是基于网络的 IDS 完美补充，网络部分可以尽早提供警告，主机部分可以确定攻击成功与否 2．基于网络 的入侵检测系统 基于网络的入侵检测系统使用原始网络包作为数据源。 基于网络的IDS 通常利用一个运行在随机模式下网络的适配器来实时监视并分析通过网络的所有通信业务。 它的攻击辩识模块通常使用四种常用技术来识别攻击 标志：  模式、表达式或字节匹配  频率或穿越阀值  次要事件的相关性  统计学意义上的非常规现象检测 一旦检测到了攻击行为， IDS 的响应模块就提供多种选项以通知、报警并对攻击采取相应的反应。 反应因产品而异，但通常都包括通知管理员、中断连接并且 /或为法庭分析和证据收集而做的会话记录。 基于网络的 IDS有许多仅靠基于主机的入侵检测法无法提供的功能。 实际上，许多客户在最初使用 IDS 时，都配置了基于网络的入侵检测。 基于网络的检测有以下 优点 ：  侦测速度快 基于网络的监测器通常能在微秒或秒级发现问题。 而大多数基于主机的产品 则要依靠对最近几分钟内审计记录的分析。  隐蔽性好 一个网络上的监测器不像一个主机那样显眼和易被存取，因而也不那么容易遭受攻击。 基于网络的监视器 不运行其他的应用 程序， 不提供网络服务，可以不响应其他计算机。 因此可分 布式入侵检测系统设计与实现 8 以做得比较安全。  视野更宽 基于网络的 入侵检测 甚至可以在网络的边缘上，即攻击者还没能接入网络时就被 发现并 制止。  较少的监测器 由于使用一个监测器就可以保护一个共享的网段，所以你不需要很多的监测器。 相反地，如果基于主机，则在每个主机上都需要一个代理，这样的话，花费昂贵，而且难于管理。 但是，如果在一个交换环 境下， 就需要特殊的配置。  攻击者不易转移证据 基于网络的 IDS 使用正在发生的网络通讯进行实时攻击的检测。 所以攻击者无法转移证据。 被捕获的数据不仅包括的攻击的方法，而且还包括可识别黑客身份和对其进行起诉的信息。 许多黑客都熟知审记记录，他们知道如何操纵这些文件掩盖他们的作案痕迹，如何阻止需要这些信息的基于主机的系统去检测入侵。  操作系统无关性 基于网络的 IDS 作为安全监测资源，与主机的操作系统无关。 与之相比，基于主机的系统必须在特定的、没有遭到破坏的操作系统中才能正常工作，生成有用的结果。  占资源少 在被保护的 设备上不用占用任何资源。 入侵检测系统 的发展趋势 基于网络和基于主机的 入侵检测系统 都有各自的优势，两者相互补充。 这两种方式都能发现对方无法检测到的一些入侵行为。 从某个重要服务器的键盘发出的 倍地 攻击并不经过网络，因此就无法通过基于网络的 入侵检测系统 检测到，只能通过使用基于主机的 入侵检测系统 来检测。 基于网络的 入侵检测系统 通过检查所有的 数据 包 的包头 （ header）来进行检测，而基于主机的 入侵检测系统 并不查看包首标。 许多基于 IP 的拒绝服务攻击和碎片攻击，只能通过查看它们通过网络传输时的包首标才能识别。 基于网络的 入侵检测系统 可以研究负载的内容，查找特定攻击中使用的命令或语法，这类攻击可以被实时检查包序列的 入侵检测系统 迅速识别。 而基于主机的系统无法看到负载，因此也无法识别嵌入式的负载攻击。 联合使用基于主机和基于网络这两种方式能够达到更好的检测效果。 比如基于主机的 入侵检测系统 使用系统日志作为检测依据，因此它们在确定攻击是否已经取得成功时与基于网络的检测系统相比具有更大的准确性。 在这方面，基于主机的 入侵检测系统 对基于网络的 入侵检测系统 是一个很好的补充，人们完全可以使用基于网络的 入侵检测系统分 布式入侵检测系统设计与实现 9 提供早期报警，而使用基 于主机的 入侵检测系统 来验证攻击是否取得成功。 在下一代的入侵检测系统中，将把现在的基于网络和基于主机这两种检测技术很好地集成起来，提供集成化的攻击签名、检测、报告和事件关联功能。 相信未来的集成化的入侵检测产品不仅功能更加强大，而且部署和使用上也更加灵活方便。 对各种事件进行分析，从中发现违反安全策略的行为是入侵检测系统的核心功能。 从技术上，入侵检测分为两类：一种基于模式匹配（ signaturebased）的入侵检测系统，另一种基于异常发现 (anomalybased)的入侵检测系统。 对于基于模式匹配的检 测技术来说，首先要定义违背安全策略的事件的特征，如网络数据包的某些头信息。 检测主要判别所搜集到的数据特征是否在所收集到的入侵模式库中出现。 此方法非常类似杀毒软件。 而基于异常发现的检测技术则是先定义一组系统“正常”情况的阀值，如 CPU利用率、内存利用率、文件校验和等（这类数据可以人为定义，也可以通过观察系统、并用统计的办法得出），然后将系统运行时的数值与所定义的“正常”情况比较，得出是否有被攻击的迹象。 这种检测方式的核心在于如何分析所系统运行情况。 按照所使用的分析方法，可以分为以下几种入 侵检测系统 ： 1． 基于审 计的攻击检测 基于审计信息的攻击检测工具以及自动分析工具可以向系统安全管理员报告计算机系统活动的评估报告，通常是脱机的、滞后的。 对攻击的实时检测系统的工作原理是基于对用户历史行为的建模，以及在早期的证据或模型的基础之上。 审计系统实时地检测用户对系统的使用情况，根据系统内部保持的用户行为的概率统计模型进行监测，当发现有可疑的用户行为发生时，保持跟踪并监测该用户的行为。 系统应具备处理自适应的用户参数的能力。 能够判断使用行为的合法或可疑。 系统应当能够避免 “ 肃反扩大／缩小化 ” 的问题。 这种办法同样适用于检测程序的 行为以及对数据资源（如文件或数据库）的存取行为。 2． 基于神经网络的攻击检测技术 [12] 如上所述，基于审计统计数据的攻击检测系统，具有一些天生的弱点，因为用户的行为可以是非常复杂的，所以想要准确匹配一个用户的历史行为和当前的行为是相当困难的。 错发的警报往往来自于对审计数据的统计算法所基于的不准确或不贴切的假设。 SRI 的研究小组利用和发展神经网络技术来进行攻击检测。 神经网络可能用于解决传统的统计分析技术所面临的以下几个问题： 分 布式入侵检测系统设计与实现 10 ● 难于建立确切的统计分布 ● 难于实现方法的普适性 ● 算法实现比较昂贵 ● 系 统臃肿难于剪裁 目前，神经网络技术提出了对基于传统统计技术的攻击检测方法的改进方向，但尚不十分成熟，所以传统的统计方法仍将继续发挥作用，也仍然能为发现用户的异常行为提供相当有参考价值的信息。 3． 基于专家系统的攻击检测技术 进行安全检测工作自动化的另外一个值得重视的研究方向就是基于专家系统的攻击检测技术，即根据安全专家对可疑行为的分析经验来形成一套推理规则，然后再在此基础之上构成相应的专家系统。 由此专家系统自动进行对所涉及的攻击操作的分析工作。 所谓专家系统是基于一套由专家经验事先定义的规则的推理系统。 例如 ，在数分钟之内某个用户连续进行登录，且失败超过三次就可以被认为是一种攻击行为。 类似的规则在统计系统似乎也有，同时应当说明的是基于规则的专家系统或推理系统也有其局限性，因为作为这类系统的基础的推理规则一般都是根据已知的安全漏洞进行安排和策划的，而对系统的最危险的威胁则主要是来自未知的安全漏洞。 实现一个基于规则的专家系统是一个知识工程问题，而且其功能应当能够随着经验的积累而利用其自学习能力进行规则的扩充和修正。 4． 基于模型推理的攻击检测技术 攻击者在入侵一个系统时往往采用一定的行为程序，如猜测口令的程序，这种 行为程序构成了某种具有一定行为特征的模型，根据这种模型所代表的攻击意图的行为特征，可以实时地检测出恶意的攻击企图，尽管攻击者并不一定都是恶意的。 用基于模型的推理方法人们能够为某些行为建立特定的模型，从而能够监视具有特定行为特征的某些活动。 根据假设的攻击脚本，这种系统就能检测出非法的用户行为。 一般为了准确判断，要为不同的入侵者和不同的系统建立特定的攻击脚本。 当有证据表明某种特定的攻击模型发生时，系统应当收集其他证据来证实或者否定攻击的真实，以尽可能的避免错报。 基于模式匹配的检测技术和基于异常发现的检测技术 ，所得出的结论有非常大的差异。 基于异常的检测技术的核心是维护一个入侵模式库。 对于已知得攻击，它可以详细、准确的报告报告出攻击类型，但是对未知攻击却效果有限，而且入侵模式库必须不断更新。 基于异常发现的检测技术则无法准确判别出攻击的手法，但它可以（至少在理论上可以）发现更广泛的、甚至未知的攻击分法。 如果条件允许，两者结合的检测分 布式入侵检测系统设计与实现 11 会达到更好的效果。 CIDF 模型 Common Intrusion Detection Framework (CIDF)阐述了一个入侵检测系统（ IDS）的通用模型。 它将一个入侵检测 系统分为以下组件：  事件产生器（ Event generators）  事件分析器（ Event analyzers  响应单元（ Response units ）  事件数据库（ Event databases ） CIDF 将入侵检测系统需要分析的数据统称为事件（ event） ,它可以是基于网络的入侵检测系统中网络中的数据包，也可以是基于主机的入侵检测系统从系统日志等其他途径得到的信息。 他也对于各部件之间的信息传递格式、通信方法和标准 API 进行了标准化。 事件产生器的目的是从整个计算环境中获得事件，并向系统的其他部分提供 此事件。 事件分析器分析得到的数据，并产生分析结果。 响应单元则是对分析结果作出作出反应的功能单元，它可以作出切断连接、改变文件属性等强烈反应 ,甚至发动对攻击者的反击，也可以只是简单的报警。 事件数据库是存放各种中间和最终数据的地方的统称，它可以是复杂的数据库，也可以是简单的文本文件。 在现有的入侵检测系统中，经常用数据采集部分、分析部分和响应部分来分别代替事件产生器、事件分析器和响应单元这些术语。 且常用日志来简单的指代事件数据库。 CIDF 标准还没有正式确立，也没有一个入侵检测商业产品完全所用该标准 ,但因为入侵 检测系统的特殊性，其实各种入侵检测系统的模型都有很大的相似性。 各种入侵检测系统各自为阵，系统之间的互操作性很差，因此各厂商都在按照 CIDF 进行信息交换的标准化工作。 分 布式入侵检测系统设计与实现 12 第二章 分布式入侵检测系统 现有入侵检测系统的不足 入侵检测系统不能很好的检测所有的数据包：基于网络的入侵检测系统难以跟上网络速度的发展。 借或网络的每一个数据包，并分析、匹配其中是否具有某种攻击的特征需要花费时间和系统资源。 现有的入侵检测系统在 10M网上检查所有数据包中的几十种攻击特征时可以很好地工作。 现在很多网络都是 50M、 100M 甚至千兆网络，网络速度的发展远远超过了数据包模式分析技术发展的速度。 攻击特征库的更新不及时：绝大多数的入侵检测系统都是适用模式匹配的分析方法，这。