入侵检测与防御技术的研究毕业论文设计(编辑修改稿)

入侵检测与防御技术的研究毕业论文设计(编辑修改稿)内容摘要：

一种能及时发现并报告系统中未授权或异常现象的技术，可实时监控和检测网络或系统中的活动状态，一旦发现网络中的可 疑行为或恶意攻击， IDS 便可做出及时的报警和响应，甚至可以调整防火墙的配置策略，与其进行联动。 目前，入侵检测系统已能为来自内外部的各种入侵提供全面的安全防御，给客户带来识别各种黑客入侵的方法和手段、监控内部人员的误操作等，帮用户及时发现并解决安全问题和协助管理员加强网络安全的管理。 第二章 常用入侵手段与防范对策 黑客入侵过程概述 随着通讯和计算机技术的迅猛发展，计算机网络向世界各个角落迅速延伸。 国家政府机构、各企事业单位不仅大多建立了自己的局域网系统，而且通过各种方式与互联网相连。 通过上 网树立形象、开展业务，已经成为政府办公、企业发展的重要手段。 然而， Inter（互联网）这一开放系统在给人们带来便利的同时，也带来一些问题。 例如 网络安全问题愈来愈突出， 关于通过网络攻击信息系统，造成经济损失的事件已有多起，并时常见诸报端。 在科技最发达、防御最严密的美国国防部五角大楼内，每年都有成千上万的非法入侵者侵入其内部网络系统，我国的 ISP、证券公司及银行也多次被国内外黑客攻击。 但是仍然 有些单位对自己网络的安全问题毫无认识，以致对是否遭受黑客入侵及 自身的 网络安全问题毫不知晓。 11 我国信息化事业能否顺利 发展，一个很关键的因素便是网络信息的安全问题，这已成为制约网络发展的首要因素。 许多单位不敢涉足网络领域、许多行业不能充分利用网络的性能优势、许多个人对网络安全没信心，这些都成为网络发展的制约因素，所以，重视和加快网络安全问题的研究和产品开发具有重要意义。 黑客入侵防范是网络安全的重要组成部分。 北京中科网威信息技术有限公司在多年研究工作的基础上，提出了一种动态、多层次的黑客入侵防范体系。 它以评估为基础，以策略为核心，以防护、侦测、响应和恢复为手段构成一个体系 —— 中科网威黑客入侵防范体系，如图所示： 完整准确的安全评估是中科网威黑客入侵防范体系的基础。 她对现有或将要构建的整个网络的安全防护性能作出科学、准确的分析评估，并保障将要实施的安全策略技术上的可实现性、经济上的可行性和组织上的可执行性。 一个成功的网络安全体系开始于一个全面的安全策略，它是所有安全技术和措施的基础，也是整个中科网威黑客入侵防范体系的核心。 防护是用于提高安全性能，抵抗入侵的主动防御手段。 它通过建立一种机制来检查系统的安全设置，发现整个网络的风险和弱点，确保每层是相互配合而不是相互抵触地工作，检测与策略相违背的情况，确保与公司安全政策 保持一致。 在防护中通过使用漏洞扫描工具及时发现问题并进行修补，使用防护工具，通过抗毁技术、系统安全优化配置技术的实施，防火墙、 VPN、加密认证等技术和措施的使用，来提高网络抵抗黑客入侵的能力。 侦测是保证主动及时发现攻击行为，为快速响应提供可能的关键环节。 使用基于网络的和基于主机的 IDS，加上对侦测系统实施隐蔽技术，可以防止黑客发现防护手段进而破坏侦测系统，从而为及时发现攻击行为并做出响应赢得时间。 采用与防火墙互联互动、互动互防的技术手段，形成一个整体策略，而不是单兵作战，强调协作技术，设立安全监控中心，掌握 整个网络的安全运行状态，是防止入侵的关键环节。 中科网威黑客入侵防范体系 11 12 在发现入侵行为后，为及时切断入侵、抵抗攻击者的进一步破坏活动，做出及时准确的响应是必须的。 使用实时响应阻断系统、攻击源跟踪系统、取证系统和必要的反击系统来确保响应的准确、有效和及时，预防同类事件的再发生，并为捕获攻击者提供可能，为抵抗黑客入侵提供有效的保障。 恢复是防范体系的又一个环节，无论防范多严密，都很难确保万无一失，所以，采用亡羊补牢、犹为未晚的策略，使用完善的备份机制确保内容的可恢复性，借助自动恢复系统、快速恢复系统来控制和修复破坏，将损失降至最低。 针对以上体系，北京中科网威信息技术有限公司专门研制开发了一系列网络安全产品 —— “火眼”网络安全评估分析系统、“天眼”入侵侦测系统、“磐石”网站监控与恢复系统、“长城”防火墙。 它们处于体系中的一个或多个层次，适用于各级 Inter /Intra 信息系统、金融证券和其它网络，它们能成为您网络的安全守护神，忠实地维护您的形象和保护您的利益。 常用入侵手段与防范对策 入侵检测系统通过对计算机网络或系统中的若干关键点收集信息并对其进行分析，从中发现是否有违反安全策略的行为和被攻击的迹象，它不仅能检测来自外部的入侵行为，同时也监督内部用户的未授权活动，因此成为继防病毒和防火墙之后另一被广泛注意的网络安全设备。 这是一种集检测、记录、报警、响应的动态安全技术，它已经渐渐地从 “ 入侵检测 ” 发展为 “ 入侵防御 ” 了。 在入侵检测系统检测到网络中的攻击或未授权行为时，传统的响应方式是显示消息、形成日志、报警或使用 Email 等方式通知安全管理员，然后由管理员手工采取相应措施来阻止入侵。 这无疑给安全管理增加了很多的工作量和难度，也大大地提高了安全维护费用，因此系统需要具有更多主动响应行为的入侵检测系统，如今的入侵检 测系统可以通过发复位包的方式，或者执行一段用户编写的程序，自动切断危险的连接。 而且，入侵检测系统作为整体安全技术的一个组成部分，它还应该和其他安全组件协同工作、建立互动的响应机制。 例如，防火墙作为限制内外网络互相访问的关口，其配置的过滤规则阻止了非授权用户对公司网络的访问，因此在入侵检测系统发现攻击行为时，由它自动地修改防火墙的安全策略，就能封堵可疑的网络通信。 这也是为什么入侵检测系统和防火墙之间的联系越来越紧密的原因之一。 在入侵防御系统中，如何降低检测系统的误报率是非常关键的。 在传统的入侵 检测系统中，误报对安全管理员形成一种滋扰，大量的误报还可能淹没真正的攻击行为，使安全管理员无从响应。 在建立联动的一体化安全防御体系中，入侵检测系统可以自动调整其他安全组件的策略，来防止进一步的攻击，这时误报带来的负面影响可能更大了 —— 因为误报触动策略调整之后，本该许可的访问就无法访问了，这形成了一种新的 DoS 形式。 同时，先进的入侵防御系统还必须是一个全方位的安全管理。 它一方面要集中管理全网以及各设备的安全事件，将数据进行标准化、集中、并进行关联和智能分析，以降低误报率和预告威胁的趋势；另一方面 还要结合漏洞扫描， 13 提前确定系统是否存在已知漏洞，做到 “ 防范于未然 ” ，以建立前摄性的、而不仅仅是响应式的安全防御体系。 基于其它方法的入侵检测技术主要有 :利用专家系统进行入侵检测，其主要是将有关的入侵知识组织成知识库，再利用推理引擎进行检测。 但是这种技术主要缺点在于知识的组织困难。 利用数据挖掘进行入侵检测，数据挖掘是数据库的一项技术，它的作用从大型数据库中抽取知识，这和分析日志的行为相近。 通过数据挖掘程序搜集到审计数据，为各种入侵行为和正常操作建立精确的行为模式。 除专家系统、数据挖掘技术之外，还有神经 网络，模糊系统，遗传算法等。 但是这些方法都有一定的缺点。 入侵检测系统的由来及发展过程 在 IDS 尚未 出现时，网络安全管理人员主要依靠人工阅读网络日志来分析是否有网络入侵事件的发生。 随着网络的发展， FBI/CSI 的统计数字表明入侵和攻击的模式发生了变化。 在 2020 年， 70%的攻击主要来自于外部网络，另 30% 的攻击来自于内部。 从而促使网络安全领域对网络入侵检测技术进行研究，并提出了 IDS。 由干硬件发展的飞速发展，使得 IDS 对网络通讯可以进行实时检测和实时报等，形成目前的 IDS 模式。 入 侵 检 测系统的关键技术 1． 基于行为的入侵检测技术 基于行为的入侵检测技术主要依靠统计的方法来实现对入侵行为的检测。 它通过统计网络的日常行为建立一个模型，该模型由各项表示正常行为的统计数字组成。 例如 :在某一段时间内登录某台主机失败次数。 在很短时间内重复发生登录某台主机口令出错的次数等。 符合这个模型的网络行为即视为正常，不符合的即视为入侵行为。 这种入侵检测检测技术的缺点主要在于模型的建立非常困难。 建立模型需要花费一定的时间，而且该入侵检测技术会造成误报等。 为解决误报警问题，需要根据网络的实际使用情 况对各种设定的统计值进行不断的调节。 2. 基。