防火墙入侵检测技术毕业论文

防火墙入侵检测技术毕业论文内容摘要：

乔治敦大学的 Dorothy Denning 和 SRI/CSL（ SRI 公司计算机科学实验室）的 Peter Neumann 研究出了一种实时入侵检测系统模型，取名为 IDES（入侵检测专家系统）。 该模型独立于特定的系统平台、应用环境、系统弱点以及入侵类型，为构建入侵系统提供了一个通用的框架。 1988 年， SRI/CSL 的 Teresa Lunt 等 改进了 Denning 的入侵检测模型，并研发出了实际的 IDES。 1990 年时入侵检测系统发展史上十分重要的一年。 这一年，加州大学戴维斯分校的 等开发出了 NSM(Network Security Monitor)。 该系统第一次直接将网络作为审计数据的来源，因而可以在不将审计数计转化成统一的格式情况下监控异种主机。 同时两大阵营正式形成：基于网络的 IDS 和基于主机的 IDS。  技术的进步 从 20 世纪 90 年代到现在，入侵检测系统的研发呈现出百家争鸣的繁荣局面，并在智能化和分布式两个方向取得 了长足的进展。 目前， SRI/CSL、普渡大学、加州戴 5 维斯分校、洛斯阿拉莫斯国家实验室、哥伦比亚大学、新墨西哥大学等机构在这些方面代表了当前的最高水平。 我国也有多家企业通过最初的技术引进，逐渐发展成自主研发。 入侵检测系统分类 基于主机的入侵检测系统 基于主机 IDS 部署在单主机上，利用操作系统产生的日志记录作为主要信息源，通过对其进行审计，检测入侵行为。 基于主机 IDS 不对网络数据包或扫描配置进行检查，而是对系统日志提供的大量数据进行整理。 早期的系统多为基于主机的，主要用来检测内部网络的入侵 攻击。 后来用分布主机代理来实现。 基于网络的入侵检测系统 基于网络的 IDS 最早出现于 1990 年。 它主要用于防御外部入侵攻击。 它通过监控出入网络的通信数据流，依据一定规则对数据流的内容进行分析，从而发现协议攻击、运行已知黑客程序的企图和可能破坏安全策略的特征，做出入侵攻击判断。 为了能够捕获入侵攻击行为，基于网络 IDS 必须位于能够看到所以数据包的位置，这包括 :环网内部、安全网络中紧随防火墙之后以及其它子网的路由器或网关之后。 最佳位置便是位于 Inter 到内部网络的接入点。 但是，同一子网的 2 个节 点之间交换数据报文并且交换数据报文不经过 IDS，那么 IDS 可能就会忽略这些攻击。 基于网络 IDS 的主要优点 : 1）由于 NIDS 直接收集网络数据包，而网络协议是标准的。 因此， NIDS 如目标系统的体系结构无关，可用于监视结构不同的各类系统。 2） NIDS 使用原始网络数据包进行检测，因此它所收集的审计数据被篡改的可能性很小，而且它不影响被保护系统的性能。 基于网络 IDS 的主要缺点 : 1）缺乏终端系统对待定数据的处理方法等信息，使得从原始的数据包中重构应用层信息很困难。 因此， NIDS 难以检测发生在应用层的攻击。 而对 于加密传输方式进行的入侵， NIDS 也无能为力。 2） NIDS 只检查它直接连接网段的通信，不能检测到不同网段的网络包，因此在交换式局域网中，它难以获得不同交换端口的网络信息 : 6 入侵检测技术 异常检测 异常检测的假设是入侵者活动异常于正常主体的活动。 根据这一理念建立主体正常活动的 “活动简档 ”，将当前主体的活动状况与 “活动简档 ”相比较，当违反其统计规律时，认为该活动可能是 “入侵 ”行为。 异常检测的难题在于如何建立 “活动简档 ”以及如何设计 统计算法 ，从而不把正常的操作作为 “入侵 ”或忽略真正的 “入侵 ”行为。 特征检测 特征检测这一检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。 它可以将已有的入侵方法检查出来，但对新的入侵方法无能为力。 其难点在于如何 设计模式 既能够表达 “入侵 ”现象又不会将正常的活动 包含进来。 入侵检测系统主流产品 近年来，国内外不少厂家生产了自己的入侵检测产品。 这些产品己经得到了广泛的应用，下面简要介绍一下国内外的一些产品。 1） Cisco 公司的 Cisco Secure IDS Cisco Secure IDS 以前被称为 NetRanger，该产品由控制器 (Director)、感应器(Sensor)和入侵检测模块 IDSM(Intrusion Detection System Module)三大组成部分组成。 感应器分为网络感应器 (NIDS)和主机感应器 (HIDS)两部分，分别负责 对网络信息和主机信息的收集和分析处理。 控制器用于对系统进行控制和管理。 Cisco Secure IDS 的另一个强项是其在检测时不仅观察单个包的内容，而且还要看上下文，即从多个包中得到线索。 Cisco Secure IDS 是目前市场上基于网络的入侵检测系统中经受实践考验最多的产品之一。 2） ISS RealSecure ISS是最早将基于主机和基于网络的入侵检测系统完全集成到一个统一的管理框架中的供应商之一。 ISS RealSecure 具有方便的管理控制台，其服务器和网络感应器近几年也取得了很快的发展。 RealSecure 采用分布式的体系结构、系统分为两层 :感应器和管理器。 感应器包括 7 网络感应器、服务感应器和系统感应器三类。 网络感应器主要是对网络数据的分析检测，服务感应器主要是负责对系统日志和系统文件信息的检测。 管理器包括控制台、事件收集器、事件数据库和告警数据库四个部分。 入侵检测技术发展趋势 入侵检测技术在不断地发展更新，近年来入侵检测技术沿着以下几个方向发展 : 1）分布式入侵检测。 为了躲避检测，越来越多的攻击者采用分布式协同的方式发起攻击，传统的 IDS 局限于单一的主机或网络架构，对异构系统及大 规模的网络检测明显不足，不同的系统之间不能协同工作。 为解决这一问题，需要发展分布式入侵检测技术与通用入侵检测架构。 2）智能化入侵检测。 入侵方法越来越多样化与综合化，尽管已经有智能代理、神经网络与遗传算法在入侵检测领域应用研究，但这只是一些尝试性的研究工作，需要对智能化的 IDS 加以进一步的研究以解决其自学习与自适应能力。 8 第三章 网络入侵检测系统 (Snort)研究 Snort 特点 Snort 是一个以开放源代码形式发行的一个功能强大、跨平台、轻量级的网络入侵检测系统，最初由 Martin Roesch 编写，并由遍布世界各地的众多程序员共同维护和升级。 它利用 Libpcap 从网络中采集数据并进行分析，从而判断是否存在可疑的网络活动。 就检测模式而言，它基本上是基于误用检测技术，对数据进行最直接最简单的搜索匹配。 虽然 Snort 是一个轻量级的入侵检测系统，但是它的功能却非常强大，其特点如下 : 1） Snort 代码短小，简洁，而且移植性非常好。 目前支持 Linux 系列， Solaris，BSD 系列， IRIX， HPUNIX， Windows 系列等。 2） Snort 具有实时流量分析和日志 IP 网络数据包的能力。 能够快速检测网络攻击，及时发出警报。 它提供的警报方式很多，比如 Syslog， Unixsocket， WinPopup等。 3） Snort 能够进行协议分析，内容的匹配和搜索。 现在它能够分析的协议有 TCP、UDP、和 ICMP。 将来可以支持更多 IPX、 RIP、 OSPF 等。 它能检测多种方式的攻击和探测。 Snort 的体系结构 图 31 Snort 的体系结构 1） Sniffer(数据包嗅探器 ) 该子系统 的功能是捕获网络数据包并按照 TCP/IP 协议的不同层次将数据包进行 9 解析。 Snort 利用 libpcaP 库函数进行数据采集，该库函数可以为应用程序提供直接从链路层捕获数据包的接口函数，并可以设置数据包的过滤器来捕获指定的数据。 网络数据采集和解析机制是整个 NIDS 实现的基础，其中关键的是要保证高速和较低的丢包率，这不仅仅取决于软件的效率还同硬件的处理能力相关。 对于解析机制来说，能够处理数据包的类型的多样性也同样非常重要，目前 ,Snort 可以处理以太网，令牌环以及 SLIP 等多种类型的包。 2）预处理器 Snort 的 预处理器是介于数据包嗅探器与检测引擎之间的可插入模块，它的主要思想是在数据包送到 Snort 的检测引擎之前提供一个报警、丢弃数据包或修改数据包的框架。 Snort 入侵检测流程 基于规则的模式匹配是 Snort 检测机制的核心。 Snort 的入侵检测流程分两大步：第一步是规则的解析流程，包括从规则文件中读取规则和在内存中组织规则；第二步是使用这些规则进行匹配的规则匹配流程。 下面将依次介绍入侵检测的流程： 规则解析流程 Snort 首先读取规则文件，紧接着依次读取每一条规则。 然后按照规则语法对其进行解析 ，在内存中对规则进行组织，建立规则语法树。 Snort 程序调用规则文件读取函数 ParseRulesFile()进行规则文件的检查、规则读取和多行规则的整理。 ParseR。