入侵检测与防御技术研究毕业论文

入侵检测与防御技术研究毕业论文内容摘要：

SRI）的 于 1986 年首次提出一种入侵检测模型 [2]，该模型的检测方法就是建立用户正常行为的描述模型，并以此同当前用户活动的审计记录进行比较，如果有较大偏差，则表示有异常活动发生。 这是一种基于统计的检测方法。 随着技术的发展，后来人们又提出了 于规则的检测方法。 结合这两种方法的优点，人们设计出很多入侵检测的模型。 通用入侵检测构架 （ Common Intrusion Detection Framework 简称 CIDF）组织，试图将现有的 入侵检测系统标准化， CIDF 阐述了一个入侵检测系统的通用模型（一般称为 CIDF模型）。 它将一个入侵检测系统分为以下四个组件： 事件产生器 (Event Generators) 事件分析器 (Event analyzers) 响应单元 (Response units) 事件数据库 (Event databases) 它将需要分析的数据通称为事件，事件可以是基于网络的数据包也可以是基于主机的系统日志中的 信息。 事件产生器的目的是从整个计算机环境中获得事件，并向系统其它部分提供此事件。 事件分析器 分析得到的事件并产生分 析结果。 响应单元则是对分析结果做出反应的功能单元，它可以做出切断连接、 修改文件属性等强烈反应。 事件数据库是存放各种中间和最终数据的地方的通称，它可以是复杂的数据 库也可以是简单的文本文件。 入侵检测系统分类 现有的 IDS的分类，大都基于信息源和分析方法。 为了体现对 IDS从布局、采集、分析、响应等 各个层次及系统性研究方面的问题，在这里采用五类标准：控制策略、同步技术、信息源、分析方法、 响应方式。 按照控制策略分类 控制策略描述了 IDS的各元素是如何控制的，以及 IDS的输入和输出是如何管理的。 按照控 制策略 IDS可以划分为，集中式 IDS、部分分布式 IDS和全部分布式 IDS。 在集中式 IDS中，一个中 央节点控制系统中所有的监视、检测和报告。 在部分分布式 IDS中，监控和探测是由本地的一个控 制点控制，层次似的将报告发向一个或多个中心站。 在全分布式 IDS中，监控和探测是使用一种叫 “ 代理 ” 的方法，代理进行分析并做出响应决策。 按照同步技术分类 同步技术是指被监控的事件以及对这些事件的分析在同一时间进行。 按照同步技术划分， IDS XXXXXXX 毕业论文（设计） 6 划分为间隔批任务处理型 IDS和实时连续性 IDS。 在间隔批任务处理型 IDS中 ，信息源是以文件的 形式传给分析器，一次只处理特定时间段内产生的信息，并在入侵发生时将结果反馈给用户。 很多 早期的基于主机的 IDS都采用这种方案。 在实时连续型 IDS中，事件一发生，信息源就传给分析引 擎，并且立刻得到处理和反映。 实时 IDS是基于网络 IDS首选的方案。 按照信息源分类 按照信息源分类是目前最通用的划分方法，它分为基于主机的 IDS、基于网络的 IDS和分布式IDS。 基于主机的 IDS通过分析来自单个的计算机系统的系统审计踪迹和系统日志来检测攻击。 基于主机 的 IDS是在关键的网段或交换部位通过捕获并 分析网络数据包来检测攻击。 分布式 IDS，能够同时 分析来自主机系统日志和网络数据流，系统由多个部件组成，采用分布式结构。 按照分析方法分类 按照分析方法 IDS划分为滥用检测型 IDS和异常检测型 IDS。 滥用检测型的 IDS中，首先 建立一个对过去各种入侵方法和系统缺陷知识的数据库，当收集到的信息与库中的原型相符合 时则报警。 任何不符合特定条件的活动将会被认为合法，因此这样的系统虚警率很低。 异常检 测型 IDS是建立在如下假设的基础之上的，即任何一种入侵行为都能由于其偏离正常或者所期 望的系统和用户活动 规律 而被检测出来。 所以它需要一个记录合法活动的数据库，由于库的有 限性使得虚警率比较高。 按照响应方式分类 按照响应方式 IDS划分为主动响应 IDS和被动响应 IDS。 当特定的入侵被检测到时，主动 IDS会采用以下三种响应：收集辅助信息；改变环境以堵住导致入侵发生的漏洞；对攻击 者采取行动（这是一种不被推荐的做法，因为行为有点过激）。 被动响应 IDS则是将信息提供给 系统用户，依靠管理员在这一信息的基础上采取进一步的行动。 IDS IDS 的评价标准 目前的入侵检测技术发展迅速，应用的技术也很广泛，如何来评价 IDS的优缺点就显得非常重 要。 评价 IDS的优劣主要有这样几个方面 [5]：（ 1）准确性。 准确性是指 IDS不会标记环境中的一个 合法行为为异常或入侵。 （ 2）性能。 IDS的性能是指处理审计事件的速度。 对一个实时 IDS来说， 必须要求性能良好。 （ 3）完整性。 完整性是指 IDS能检测出所有的攻击。 （ 4）故障容错（ fault tolerance）。 当被保护系统遭到攻击和毁坏时，能迅速恢复系统原有的数据和功能。 （ 5）自身抵抗 攻击能力。 这一点很重要，尤其是 “ 拒绝服务 ” 攻击。 因为多数对目标系统的攻击都是采用首先用 “ 拒绝服务 ” 攻击摧毁 IDS，再实施对系统的攻击。 （ 6）及时性（ Timeliness）。 一个 IDS必须尽快 地执行和传送它的分析结果，以便在系统造成严重危害之前能及时做出反应，阻止攻击者破坏审计 数据或 IDS本身。 除了上述几个主要方面，还应该考虑以下几个方面：（ 1） IDS运行时，额外的计算机资源的开销；（ 2） 误警报率／漏 警报率的程度；（ 3）适应性和扩展性；（ 4）灵活性；（ 5）管理的开销；（ 6）是否便于 XXXXXXX 毕业论文（设计） 7 使用和配置。 IDS 的发展趋势 随着入侵检测技术的发展，成型的产品已陆续应用到实践中。 入侵检测系统的典型代表是（国 际互联网安全系统公司）公司的 RealSecure。 目前较为著名的商用入侵检测产品还有： NAI 公 司的 CyberCop Monitor、 Axent 公司的 NetProwler、 CISCO 公司的 Netranger、 CA 公司 Sessionwall－ 3 等。 国内的该类产品较少，但发展很快，已有总参北方所、中科 网威、启明星 辰等公司推出产品。 人们在完善原有技术的基础上，又在研究新的检测方法，如数据融合技术，主动的自主代 理方法，智能技术以及免疫学原理的应用等。 其主要的发展方向可概括为： （ 1） 大规模分布式入侵检测。 传统的入侵检测技术一般只局限于单一的主机或网络框架， 显然不能适应大规模网络的监测，不同的入侵检测系统之间也不能协同工作。 因此，必须发展 大规模的分布式入侵检测技术。 （ 2） 宽带高速网络的实时入侵检测技术。 大量高速网络的不断涌现，各种宽带接入手段层 出不穷，如何实现高速网络下的实时入侵检测成为一个现实的问题。 （ 3）入侵检测的数据融合技术。 目前的 IDS 还存在着很多缺陷。 首先，目前的技术还不能对 付训练有素的黑客的复杂的攻击。 其次，系统的虚警率太高。 最后，系统对大量的数据处理， 非但无助于解决问题，还降低了处理能力。 数据融合技术是解决这一系列问题的好方法。 （ 4）与网络安全技术相结合。 结合防火墙，病毒防护以及电子商务技术，提供完整的网络安 全保障。 ①如果选中的是位于导航结构最底层的网页（在其下没有子网页），将弹出“删除网 页”对话框，若只需从导航结构中删除网页，可选择“将本网页从导航结构中删除”单选项， 并单击“确 定”按钮。 ② 如果选择的是导航结构中的中层网页（其中包含子网页，其本身是另一个网页的子网页）， 将弹出“删除网页”对话框。 单击“确定”按钮。 ③ 选择的是当前站点的主页，。