毕业设计论文-入侵检测技术分析与应用

毕业设计论文-入侵检测技术分析与应用内容摘要：

网段和不同主机）收集数据。 入侵检测很大程度上依赖于收集数据的准确性与可靠性，因此，必须使用精确的软件来报告这些信息，因为黑客经常替换软件以搞混和移走这些数据，例如替换被程序调用的子程序、库和其它工具。 数据的收集主要来源以下几个方面：系统和网络日志文件、目录和文件不期望的改变、程序不期望的行为 、物理形式的入侵数据。 数据提取 从收集到的数据中提取有用的数据，以供数据分析之用。 数据分析 对收集到的有关系统、网络运行、数据及用户活动的状态和行为等数据通过三种技术手段进行分析：模块匹配、统计分析和完整性分析。 结果处理 记录入侵事件，同时采取报警、中断连接等措施。 入侵检测技术的检测模型 从技术上划分，入侵检测有两种检测模型： 毕业设计（论文）专用纸 第 页 9 异常检测模型 异常检测模型：检测与可接受行为之间的偏差。 如果可以定义每项可接受的行为，那么每项不可接受的行为就应该 是入侵。 首先总结正常操作应该具有的特征（用户轮廓），用户轮廓是指各种行为参数及其阈值的集合。 当用户活动与正常行为有重大偏离时即被认为是入侵。 这种检测模型漏报率低，误报率高。 因为不需要对每种入侵行为进行定义，所以能有效检测未知的入侵。 异常检测的模型如图 21 所示。 图 21 异常检测模型 误用检测模型 误用检测模型：检测与已知的不可接受行为之间的匹配程度。 如果可以定义所有的不可接受行为，那么每种能够与之匹配的行为都会引起告警。 收集非正常操作的 行为特征，建立相关的特征库，当监测的用户或系统行为与库中的记录相匹配时，系统就认为这种行为是入侵。 这种检测模型误报率低、漏报率高。 对于已知的攻击，它可以详细、准确地报告出攻击类型，但是对未知攻击 的 效果有限，而且特征库必须不断更新。 误用检测的模型如图 22 所示。 系统审计 比较 用户轮廓 是否低于阈值 正常行为 入侵行为 Y N 毕业设计（论文）专用纸 第 页 10 图 22 误用检测模型 入侵检测系统的分类 一般来说，入侵检测系统可分为基于主机型入侵检测系统、基于网络型入侵检测系统和基于代理型入侵检测系统。 基于主机的入侵检测系统 基于主机的入侵检测系统通常以系统日志、应用程序日志等审计记录文件作为数据源。 它是通过比较这些审计记录文件的记录与攻击签名 (Attack Signature，指用一种特定的方式来表示已知的攻击模式 )以发现它们是否匹配。 如果匹配，检测系统向系统管理员发出入侵报警并采取相应的行动。 基于主机的 IDS 可以精确地判断入侵事件，并可对入侵事件及时做出反应。 基于主机的入侵检测系统对系统内在的结构却没有任何约束，同时可以利用操作系统本身提供的功能，并结合异常检测分析，更能准确的报告攻击行为。 基于主机的入侵检测系 统存在的不足之处在于：会占用主机的系统资源，增加系统负荷，而且针对不同的操作平台必须开发出不同的程序，另外所需配置的数量众多。 基于网络的入侵检测系统 基于网络的入侵检测系统把原始的网络数据包作为数据源。 利用网络适配器来实时地监视并分析通过网络进行传输的所有通信业务。 它的攻击识别模块进行攻击签名识别系统审计 比较 攻击特征库 是否匹配 正常行为 入侵行为 N Y 毕业设计（论文）专用纸 第 页 11 的方法有：模式、表达式或字节码匹配；频率或阈值比较；次要事件的相关性处理；统计异常检测。 一旦检测到攻击， IDS 的响应模块通过通知、报警以及中断连接等方式来对攻击行为做出反应。 然而它只能监视通 过本网段的活动，并且精确度较差，在交换网络环境中难于配置，防欺骗的能力也比较差。 基于代理的入侵检测系统 基于代理的入侵检测系统用于监视大型网络系统。 随着网络系统的复杂化和大型化，系统弱点趋于分布式，而且攻击行为也表现为相互协作式特点，所以不同的 IDS之间需要共享信息，协同检测。 整个系统可以由一个中央监视器和多个代理组成。 中央监视器负责对整个监视系统的管理，它应该处于一个相对安全的地方。 代理则被安放在被监视的主机上 (如服务器、交换机、路由器等 )。 代理负责对某一主机的活动进行监视，如收集主机运行时 的审计数据和操作系统的数据信息，然后将这些数据传送到中央监视器。 代理也可以接受中央监控器的指令。 这种系统的优点是可以对大型分布式网络进行检测。 毕业设计（论文）专用纸 第 页 12 第 3 章 入侵检测的功能和关键技术 入侵检测的功能 一个入侵检测系统的功能结构至少包含事件提取、入侵分析、入侵响应和远程管理四部分功能。 事件提取功能负责提取与被保护系统相关的运行数据或记录，并负责对数据进行简单的过滤。 入侵分析的任务就是在提取到的运行数据中找出入侵的痕迹，将授权的正常访问行为和非授权的不正常访问行为区分开，分析出入侵行为并对入侵者 进行定位。 入侵响应功能在分析出入侵行为后被触发，根据入侵行为产生响应。 由于单个入侵检测系统的检测能力和检测范围的限制，入侵检测系统一般采用分布监视集中管理的结构，多个检测单元运行于网络中的各个网段或系统上，通过远程管理功能在一台管理站点上实现统一的管理和监控。 入侵检测的作用 防火墙是 Inter 网络上最有效的安全保护屏障，防火墙在网络安全中起到大门警卫的作用，对进出的数据依照预先设定的规则进行匹配，符合规则的就予以放行，起到访问控制的作用，是网络安全的第一道闸门。 但防火墙的功能也有局限 性，防火墙只能对进出网络的数据进行分析，对网络内部发生的事件完全无能为力。 它是尽量阻止攻击或延缓攻击。 在网络环境下不但攻击手段层出不穷，而且操作系统、安全系统也可能存在未知的漏洞，这就需要引入主动防御技术对系统安全加以补充，目前主动防御技术主要就是入侵检测技术。 同时，由于防火墙处于网关的位置，不可能对进出攻击作太多判断，否则会严重影响网络性能。 如果把防火墙比作大门警卫的话，入侵检测就是网络中不间断的摄像机，入侵检测通过旁路监听的方式不间断的收取网络数据，对网络的运行和性能无任何影响，同时判断其中是 否含有攻击的企图，通过各种手段向管理员报警。 毕业设计（论文）专用纸 第 页 13 异常检测技术 统计学方法 统计模型常用于对异常行为的检测 ,在统计模型中常用的测量参数包括审计事件的数量、间隔时间、资源消耗情况等。 目前提出了可用于入侵检测的 5 种统计模型包括： 操作模型 :该模型假设异常可通过测量结果与一些固定指标相比较得到 ,固定指标可以根据经验值或一段时间内的统计平均得到 ,举例来说 ,在短时间内的多次失败的登录很可能是口令尝试攻击。 方差 :计算参数的方差 ,设定其置信区间 ,当测量值超过置信区间的范围时表明有可能是异常。 多元 模型 :操作模型的扩展 ,通过同时分析多个参数实现检测。 马尔柯夫过程模型 :将每种类型的事件定义为系统状态 ,用状态转移矩阵来表示状态的变化 ,若对应于发生事件的状态矩阵中转移概率较小 ,则该事件可能是异常事件。 时间序列分析 :将事件计数与资源耗用根据时间排成序列 ,如果一个新事件在该时间发生的概率较低 ,则该事件可能是入侵。 入侵检测的统计分析首先计算用户会话过程的统计参数 ,再进行与阈值比较处理与加权处理 ,最终通过计算其 可疑 概率分析其为入侵事件的可能性。 统计方法的最大优点是它可以 学习 用户的使用习惯 ,从而具 有较高检出率与可用性。 但是它的 学习 能力也给入侵者以机会通过逐步 训练 使入侵事件符合正常操作的统计规律 ,从而透过入侵检测系统。 入侵检测的软计算方法 入侵检测的方法可有多种 ,针对异常入侵行为检测的策略与方法往往也不是固定的 ,智能计算技术在入侵检测中的应用将大大提高检测的效率与准确性。 所谓软计算的方法包含了神经网络、遗传算法与模糊技术。 基于专家系统的入侵检测方法 基于专家系统的入侵检测方法与运用统计方法与神经网络对入侵进行检测的方法不同 ,用专家系统对入侵进行检测 ,经常是针对有 特征的入侵行为。 所谓的规则 ,即是知识。 不同的系统与设置具有不同的规则 ,且规则之间往往无通用 毕业设计（论文）专用纸 第 页 14 性。 专家系统的建立依赖于知识库的完备性 ,知识库的完备性又取决于审计记录的完备性与实时性。 特征入侵的特征抽取与表达 ,是入侵检测专家系统的关键。 将有关入侵的知识转化为 ifthen 结构 (也可以是复合结构 ),if 部分为入侵特征 ,then 部分是系统防范措施。 运用专家系统防范有特征入侵行为的有效性完全取决于专家系统知识库的完备性 ,建立一个完备的知识库对于一个大型网络系统往往是不可能的 ,且如何根据审计记录中的事件 ,提取状态 行为与语言环境也是较困难的。 例如 ,ISS 公司为了建立比较完备的专家系统 ,一方面与地下组织建立良好关系 ,并成立由许多工作人员与专家组成的XForce 组织来进行这一工作。 由于专家系统的不可移植性与规则的不完备性。 现已不宜单独用于入侵检测 ,或单独形成商品软件。 较适用的方法是将专家系统与采用软计算方法技术的入侵检测系统结合在一起 ,构成一个以已知的入侵规则为基础 ,可扩展的动态入侵事件检测系统 ,自适应地进行特征与异常检测 ,实现高效的入侵检测及其防御。 误用检测技术 又称为基于知识的检测。 其基本前提是：假定 所有可能的入侵行为都能被识别和表示。 首先， 对已知的攻击方法进行攻击签名 (攻击签名是指用一种特定的方式来表示已知的攻击模式 )表示，然后根据已经定义好的攻击签名，通过判断这些攻击签名是否出现来判断入侵行为的发生与否。 这种方法是依据是否出现攻击签名来判断入侵行为，是一种直接的方法。 基于专家系统的误用入侵检测 专家系统是基于知识的检测中运用最多的一种方法。 该方法将有关入侵的知识转化成 ifthen 结构的规则，即将构成入侵所要求的条件转化为 if 部分，将发现入侵后采取的相应措施转化成 then 部分。 当其中 某个或某部分条件满足时，系统就判断为入侵行为发生。 其中的 ifthen 结构构成了描述具体攻击的规则库。 条件部分，即 if 后的规则化描述，可根据审计事件得到，然后根据规则和行为进行判断，执行 then 后的动作。 在具体实现中，专家系统需要从各种入侵手段中抽象出全面的规则化知识，需处理大量数据，在大型系统上尤为明显。 因此，大多运用与专家系统类似的特征分析法。 特 毕业设计（论文）专用纸 第 页 15 征分析不是将攻击方法的语义描述转化为检测规则，而是在审计记录中能直接找到的信息形式。 这样大大提高了检测效率。 这种方法的缺陷也和所有基于知识的检测方法一样，即需 要经常为新发现的系统漏洞更新知识库，而且由于对不同操作系统平台的具体攻击方法和审计方式可能不同，特征分析检测系统必须能适应这些不同。 基于模型推理的误用入侵检测 模型推理是指结合攻击脚本来推断入侵行为是否出现。 其中有关攻击者行为的知识被描述为：攻击目的，攻击者为达到此目的可能的行为步骤，以及对系统的特殊使用等。 基于模型推理的误用检测方法工作过程如下： （ 1） 根据攻击知识建立攻击脚本库，每一脚本都由一系列攻击行为组成； （ 2） 用这些攻击脚本的子集来匹配当前行为模式，发现系统正面临的可能攻击； （ 3） 将当前行为模式输入预测器模块，产生下一个需要验证的攻击脚本子集，并将它传给决策器； （ 4） 决策器根据这些假设的攻击行为在审讨记录中的可能出现方式，将它们转换成与特定系统匹配的审计记录格式，然后在审计记录中寻找相应信息来判断这些行为模式是否为攻击行为。 假设的初始攻击脚本子集应易于在审计记录中识别，并且出现频率很高。 随着一些脚本被确认的次数增多，另一些脚本被确认的次数减少，从而攻击脚本不断地得到更新。 模型推理方法对不确定性的推理有合理的数学理论基础，同时决策器使得攻击脚本可以与审计记录的上下文无关。 另外， 这种检测方法减少了需要处理的数据量。 但其创建入侵检 测模型的工作量比较大，并且决策器转换攻击脚本比较复杂。 基于状态转换分析的误用入侵检测 状态转换分析是将状态转换图应用于入侵行为分析，它最早由 R． Kemmerer 提出。 状态转换法将入侵过程看作一个行为序列，这个行为序列导致系统从初始状态转到被入侵状态。 分析时首先针对每一种入侵方法确定系统的初始状态和被入侵状态，以及导致状态转换的转换条件，即导致系统进人被入侵状态必须执行的操作 (特征事件 )；然后用状态转换 毕业设计（论文）专用纸 第 页 16 图来表示每一个状态和特征事件，这些事件被 集成于模型中，所以检测时不需要一个个地查找审计记录。 但是，状态转换是针对事件序列分析，所以不宜于分析十分复杂的事件，而且不能检测与系统状态无关的入侵。 基于条件概率的误用入侵检测 基于条件概率的误用入侵检测方法将入侵方式对应于一个事件序列，然后通过观测事件发生的情况来推测入侵的出现。 这种方法的依据是外部事件序列，根据贝叶斯定理。