毕业论文基于校园网的分布式入侵防御系统研究与设计

毕业论文基于校园网的分布式入侵防御系统研究与设计内容摘要：

，系统的活动行为是不断变化的，就需要不断的在线学习。 该过程将带来两个可能后果，其一是在线学习阶段，入侵检测系统无法正常工作，否则生成额外的虚报警信号。 还有一种可能性是，在学习阶段，信息正遭受着非法的入侵攻击，带来的后果是，入侵检测系统的学习结果中包含了相关入侵行为的信息，这样系统就无法检测到该种入侵行为。 在非规则入侵检测中，最广泛使用的技术是统计 分析 (Statistics Analysis)。 系统或者用户的当前行为通过按一定时间间隔采样并计算出的一系列参数变量来描述，如每个会话进程的登录和退出时间，占用资源的时间长短。 在最初的模型中，系统计算出所有的变量的平均值，然后根据平均偏差检测当前行为是否超过了某一值，当然，这样的模型是很简单和粗糙的，无法准确检测异常活动。 进一步的算法将单个用户的参数变量数值与积累起来的群体参数变量进行比较，但是检测能力的提高还是不大。 目前在几种非规则检测系统中使用了一种更加复杂的模型，检测系统同时计算并比较每个用户的长期和 短期活动状态，而状态信息随着用户行为的变化而不断更新。 另一种主要的非规则检测技术是神经网络技术。 神经网络技术通学习已有输入 —— 输出矢量对集合，进而抽象出其内在的联系，然后得到新的输入 —— 输出的关系；这种技术在理论上能够用来审计数据流中检测入侵的痕迹。 然而，目前尚无可靠地理论能够说明神经网络是如何学习范例中的内在关系的。 神经网络技术和统计分析技术的某些相似之处已经被理论证明，而使用神经网络技术的优势在于它们能够以一种更加简洁快速的方式来表示各种状态变量之间的非线性关系，同时，能够自动进行学习 /重新训练的过程。 2 入侵检测系统功能： 入侵检测系统（ Intrusion Detection System， IDS）是一种计算机软件系统，用于自动检测上述入侵行为，并收集入侵证据，为数据恢复和事故处理提供依据。 有些入侵检测系统在检测到入侵特征后还试图做出某些响应，以遏制或阻止对系统的威胁或破坏。 （ 1） 审计系统的配置和存在的脆弱性 （ 2） 评估关键系统和数据文件的完整性和一致性 （ 3） 分析用户和系统的活动情况 （ 4） 检测并响应正在进行的或已经实现的违反系统安全策略的入侵活动 （ 5） 收集入侵证据 在设计网络入侵检测系统时，要特别对 来自组织机构内部的入侵行为予以更多的重视。 据 FBI的研究， 80%的入侵和攻击行为来自于组织机构内部。 这是由于内部人员具有访问系统资源的合法身份、了解系统数据的价值和熟悉系统的安全措施，从而可以使用某些系统特权或调用比审计 12 功能更低级的操作来逃避审计。 3 入侵检测的分类 现有的分类，大都基于信息源和 分析 方法进行分类。 根据信息源的不同，分为基于主机型和基于网络型两大类 基于主机的入侵检测 系统（ Hostbased Intrusion Detection System， HIDS） 基于主机的 IDS 可监测系统、事件和 Windows NT 下的 安全 记录以及 Unix环境下的系统记录。 当有文件被修改时， IDS将新的记录条目与已知的攻击特征相比较，看它们是否匹配。 如果匹配，就会向系统 管理 员报警或者作出适当的响应。 基于主机的 IDS 在发展过程 中融 入了其他技术。 检测对关键系统文件和可执行文件入侵的一个常用方法是通过定期检查文件的校验和来进行的，以便发现异常的变化。 反应的快慢取决于轮讯间隔时间的长短。 许多产品都是监听端口的活动，并在特定端口被访问时向 管理 员报警。 这类检测方法将基于网络的入侵检测的基本方法融入到基于主机的检测环境中。 基于网络的入侵检测系统（ Networkbased Intrusion Detection System， NIDS） 基于网络的入侵检测系统以网络包作为 分析 数据源。 它通常利用一个工作在混杂模式下的网卡来实时监视并 分析 通过网络的数据流。 它的 分析 模块通常使用模式匹配、统计 分析 等技术来识别攻击行为。 一旦检测到了攻击行为， IDS的响应模块就做出适当的响应，比如报警、切断相关用户的网络连接等。 不同入侵检测系统在实现时采用的响应方式也可能不同，但通常都 包括通知管理 员、切断连接、记录相关的信息以提供必要的法律依据等 [5]。 基于主机和基于网络的入侵检测系统的集成 许多机构的网络 安全 解决方案都同时采用了基于主机和基于网络的两种入侵检测系统。 因为这两种系统在很大程度上是互补的。 实际上，许多客户在使 用 IDS时都配置了基于网络的入侵检测。 在防火墙之外的检测器检测来自外部 Inter 的攻击。 DNS、 Email和 Web 服务器 经常是攻击的目标，但是它们又必须与外部网络交互，不可能对其进行全部屏蔽，所以应当在各个 服务器上安装基于主机的入侵检测系统，其检测结果也要向分析员控制台报告。 因此，即便是小规模的网络结构也常常需要基于主机和基于网络的两种入侵检测能力。 下面给出一个中等规模的机构设置入侵检测系统的入侵检测解决方案 [6, 7]。 根据检测所用分析方法的不同，可分为误用检测和异常检测 误用检测（ Misuse Detection） 设定一些入侵活动的特征（ Signature），通过现在的活动是否与这些特征匹配来检测。 常用的检测技术为： 专家系统：采用一系列的检测规则分析入侵的特征行为。 规则，即知识，是专家系统赖以判定入侵存在与否的依据。 除了知识库的完备性外，专家系统还依靠条件库的完备性，这一点又取决于审计记录的完备性、实时性和易用性。 此外，匹配算法的快慢，也对专家系统的工作效率有很大的影响。 基于模型的入侵检测方法：入侵 者在攻击一个系统时往往采用一定的行为序列，如猜测口令 13 的行为序列。 这种行为序列构成了具有一定行为特征的模型，根据这种模型所代表的攻击意图的行为特征，可以实时地检测出恶意的攻击企图。 与专家系统通常放弃处理那些不确定的中间结论的缺点相比，这一方法的优点在于它基于完善的不确定性推理数学理论。 基于模型的入侵检测方法可以仅监测一些主要的审计事件。 当这些事件发生后，再开始记录详细的审计，从而减少审计事件处理负荷。 这种检测方法的另外一个特点是可以检测组合攻击（ coordinate attack）和多层攻击（ multistage attack）。 为分布式 IDS 系统所采用。 简单模式匹配（ Pattern Matching）：基于模式匹配的入侵检测方法将已知的入侵特征编码成为与审计记录相符合的模式。 当新的审计事件产生时，这一方法将寻找与它相匹配的已知入侵模式。 软计算方法：软计算方法包含了神经网络、遗传算法与模糊技术。 近年来己有关于运用神经网络进行入侵检测实验的报道，但还没有正式的产品问世。 异常检测（ Anomaly detection） 异常检测假设入侵者活动异常于正常的活动。 为实现该类检测， IDS 建立正常活动的“规范集（ Normal profile）”，当主体的活动违反其统计规律时，认为可能是“入侵”行为。 异常检测的优点之一为具有抽象系统正常行为从而检测系统异常行为的能力。 这种能力不受系统以前是否知道这种入侵与否的限制，所以能够检测新的入侵行为。 大多数的正常行为的模型使用一种矩阵的数学模型，矩阵的数量来自于系统的各种指标。 比如 CPU 使用率、内存使用率、登录的时间和次数、网络活动、文件的改动等。 异常检测的缺点是：若入侵者了解到检测规律，就可以小心的避免系统指标的突变，而使用逐渐改变系统指标的方法逃避检测。 另外检测效率也不高，检测时间较长。 最重要的是，这是一种“事后”的检测，当检测到入侵行为时，破坏早已经发生了。 统计方法是当前产品化的入侵检测系统中常用的方法，它是一种成熟的入侵检测方法，它使入侵检测系统能够学习主体的日常行为，将那些与正常活动之间存在较大统计偏差的活动标识成为异常活动。 常用的入侵检测统计模型为：操作模型、方差、计算 参数的方差、多元模型、马尔柯夫过程模型和时间序列分析。 统计方法的最大优点是它可以“学习”用户的使用习惯，从而具有较高检出率与可用性。 但是它的“学习”能力也给入侵者以机会通过逐步“训练”使入侵事件符合正常操作的统计规律，从而透过入侵检测系统 [8~11]。 防火墙与入侵检测系统的局限性 现有防火墙的不足 限制了对希望服务的访问。 防火墙最明显的不利之处是它所阻塞的某种服务也许正是用户所需要的。 大量的潜在的后门防火墙不能保护节点系统上的潜在的后门。 对内部攻击者几乎无能为力防火墙一般不提供对来自于内部威胁的保护， 即防火墙对内部是信任的。 无法检测加密的 Web 流量 14 如果你正在部署一个关键的门户网站，希望所有的网络层和应用层的漏洞都被屏蔽在应用程序之外。 这个需求，对于传统的网络防火墙而言，是个大问题。 由于网络防火墙对于加密的 SSL 流中的数据是不可见的，防火墙无法迅速截获 SSL 数据流并对其解密，因此无法阻止应用程序的攻击，甚至有些网络防火墙，根本就不提供 数据解密 的功能。 普通应用程序加密后，也能轻易躲过防火墙的检测 网络防火墙无法看到的，不仅仅是 SSL 加密 的数据。 对于应用程序加密的数据，同样也不可见。 在如今大多数网络防火墙中，依赖的是静态的特征库，与入侵监测系统 (IDS， Intrusion Detect System)的原理类似。 只有当应用层攻击行为的特征与防火墙中的数据库中已有的特征完全匹配时，防 火墙才能识别和截获攻击数据。 但如今，采用常见的编码技术，就能够地将恶意代码和其他攻击命令隐藏起来，转换成某种形式，既能欺骗前端的网络安全系统，又能够在后台服务器中执行。 这种加密后的攻击代码，只要与防火墙规则库中的规则不一样，就能够躲过网络防火墙，成功避开特征匹配。 对于 Web 应用程序，防范能力不足 网络防火墙于 1990年发明，而商用的 Web 服务器，则在一年以后才面世。 基于状态检测的防火墙，其设计原理，是基于网络层 TCP 和 IP 地址，来设置与加强状态访问控制列表 (ACLs， Access Control Lists)。 在这一方面，网络防火墙表现确实十分出色。 近年来，实际应用过程中， HTTP 是主要的传输协议。 主流的平台供应商和大的应用程序供应商，均已转移到基于 Web 的体系结构，安全防护的目标，不再只是重要的业务数据。 网络防火墙的防护范围，发生了变化。 对于常规的企业局域网的防范，通用的网络防火墙仍占有很高的市场份额，继续发挥重要作用，但对于新近出现的上层协议，如 XML 和 SOAP 等应用的防范，网络防火墙就显得有些力不从心。 由于体系结构的原因，即使是最先进的网络防火墙，在防范 Web应用程序时，由 于无法全面控制网络、应用程序和数据流，也无法截获应用层的攻击。 由于对于整体的应用数据流，缺乏完整的、基于会话 (Session)级别的监控能力，因此很难预防新的未知的攻击 应用防护特性，只适用于简单情况 目前的数据中心服务器，时常会发生变动，比如： 定期需要部署新的应用程序。 经常需要增加或更新软件模块。 QA们经常会发现代码中的 bug，已部署的系统需要定期打补丁。 在这样动态复杂的环境中，安全专家们需要采用灵活的、粗粒度的方法，实施有效的防护策略。 虽然一些先进的网络防火墙供应商，提 出了应用防护的特性，但只适用于简单的环境中。 细看就会发现，对于实际的企业应用来说，这些特征存在着局限性。 在多数情况下，弹性概念 15 (proofofconcept)的特征无法应用于现实生活中的数据中心上。 比如，有些防火墙供应商，曾经声称能够阻止缓存溢出：当黑客在浏览器的 URL 中输入太长数据，试图使后台服务崩溃或使试图非法访问的时候，网络防火墙能够检测并制止这种情况。 细看就会发现，这些供应商采用对 80端口数据流中，针对 URL 长度进行控制的方法，来实现这个功能的。 如果使用这个规则，将对所有的应用 程序生效。 如果一个程序或者是一个简单的 Web 网页，确实需要涉及到很长的 URL 时，就要屏蔽该规则。 网络防火墙的体系结构，决定了网络防火墙是针对网络端口和网络层进行操作的，因此很难对应用层进行防护，除非是一些很简单的应用程序。 无法扩展带深度检测功能 基于状态检测的网络防火墙，如果希望只扩展深度检测 (deep inspection)功能，而没有相应增加网络性能，这是不行的。 真正的针对所有网络和应用程序流量的深度检测功能，需要空前的处理能力，来完成大量的计算任务，包括以下几个方面： SSL 加密 /解密功能。 完全的双向有效负载检测。 确保所有合法流量的正常化。 广泛的协议性能。 这些任务，在基于标准 PC 硬件上，是无法高效运行的，虽然一些网络防火墙供应商采用的是基于 ASIC 的平台，但进一步研究，就能发现：旧的基于网络的 ASIC 平台对于新的深度检测功能是无法支持的 3 入侵检测系统不足 (1) IDS 系统本身还在迅速发展和变化，远未成熟 (2) 现有 IDS 系统错报或虚警概率偏高，严重干扰了结果 (3) IDS 与其它安全技术的协作性不够 (4) IDS 缺少对检测结果作进一步说明。