入侵检测系统.docx

1、入侵检测系统论文题目：入侵检测系统福建农林大学 软件工程学院班级： 网络技术1班 姓名： 学号： 指导老师： 时 间： 2011-10-31目录目录 0摘要: 1关键字： 1引言 2第一章 入侵检测系统定义 21.1 入侵检测系统定义与核心 2第二章、入侵检测系统组成 和分类 32.1 入侵检测系统组成 32.2入侵检测系统分类 32.2.2根据其监测的对象 42.2.3根据工作方式分为离线检测系统与在线检测系统。 4第三章入侵检测的主要方法 54.1 静态配置分析 54.2 异常性检测方法 54.3 基于行为的检测方法 6第四章 入侵检测系统面临的主要问题及发展趋势 74.1 入侵检测系统面

2、临的主要问题 74.1.1 误报 74.1.2 精巧及有组织的攻击 74.2 入侵检测系统的发展趋势 8第五章 总结 9致谢 9参考文献: 10摘要: 论文介绍了入侵检测技术的历史以及当前入侵检测系统的关键理论。分析了Windows的网络体系结构以及开发工具Winpcap的数据包捕获和过滤的结构。最后在Winpcap系统环境下实现本系统设计。本系统采用异常检测技术，通过Winpcap截取实时数据包，同时从截获的IP包中提取出概述性事件信息并传送给入侵检测模块，采用量化分析的方法对信息进行分析。系统在实际测试中表明对于具有量化特性的网络入侵具有较好的检测能力。最后归纳出系统现阶段存在的问题和改进

3、意见,并根据系统的功能提出了后续开发方向。关键字： 网络安全 防火墙技术入侵检测系统 Abstract: the paper introduces the history of intrusion detection technology and the current intrusion detection system key theory. The analysis of network system structure and Windows development tools Winpcap packet capture and filter structure. Finally i

4、n Winpcap system under the environment to achieve the system design. The system USES anomaly detection technology, through the Winpcap intercepted real-time data packets, and from the IP packet intercept extract summary sex a information and send it to the intrusion detection module, using the metho

5、d of quantitative analysis of information analysis. System in the actual test shows that with the quantitative characteristics for network intrusion has good testing ability. Finally summarized the present system the existing problems and Suggestions of improvement and the function of the system is

6、put forward according to further the development direction. Key words: network security Firewall technology intrusion detection system引言 随着网络技术的发展，网络环境变得越来越复杂，对于网络安全来说，单纯的防火墙技术暴露出明显的不足和弱点，如无法解决安全后门问题;不能阻止网络内部攻击，而调查发现， 50%以上的攻击都来自内部;不能提供实时入侵检测能力;对于病毒等束手无策等。因此很多组织致力于提出更多更强大的主动策略和方案来增强网络的安全性，其中一个有效的解决途

7、径就是入侵检测。入侵检测系统(IDSIntrusion Detection System)可以弥补防火墙的不足，为网络安全提供实时的入侵检测及采取相应的防护手段，如记录证据、跟踪入侵、恢复或断开网络连接等。这引发了人们对入侵检测技术研究和开发的热情。第一章 入侵检测系统定义 1.1 入侵检测系统定义与核心 入侵检测系统【1】（简称“IDS”）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于，IDS是一种积极主动的安全防护技术。 IDS最早出现在1980年4月。 1980年代中期，IDS逐渐发展成为入侵检测专家系统（I

8、DES）。 1990年，IDS分化为基于网络【2】的IDS和基于主机的IDS。后又出现分布式IDS。目前，IDS发展迅速，已有人宣称IDS可以完全取代防火墙。 数据分析【3】是入侵检测的核心。它首先构建分析器，把收集到的信息经过预处理，建立一个行为分析引擎或模型，然后向模型中植入时间数据，在知识库中保存植入数据的模型。数据分析一般通过模式匹配、统计分析和完整性分析3种手段进行。前两种方法用于实时入侵检测，而完整性分析则用于事后分析。可用5种统计模型进行数据分析： 操作模型、方差、多元模型、马尔柯夫过程模型、时间序列分析。统计分析的最大优点是可以学习用户的使用习惯。入侵检测系统在发现入侵后会及时

9、作出响应，包括切断网络连接、记录事件和报警等。响应一般分为主动响应(阻止攻击或影响进而改变攻击的进程)和被动响应(报告和记录所检测出的问题)两种类型。主动响应由用户驱动或系统本身自动执行，可对入侵者采取行动(如断开连接)、修正系统环境或收集有用信息;被动响应则包括告警和通知、简单网络管理协议(SNMP)陷阱和插件等。另外，还可以按策略配置响应，可分别采取立即、紧急、适时、本地的长期和全局的长期等行动。第二章、入侵检测系统组成 和分类2.1 入侵检测系统组成入侵检测系统由控制台(Console)与传感器(Sensor)两部分组成,控制台起到中央管理作用,传感器则负责采集数据与分析数据并生成安全事

10、件的作用,入侵检测系统根据检测的对象可分为基于主机入侵检测系统与基于网络入侵检测系统。 2.2入侵检测系统分类2.2.1根据其采用的技术可以分为异常检测和特征检测。（1）异常检测：异常检测的假设是入侵者活动异常于正常主体的活动，建立正常活动的“活动简档”，当前主体的活动违反其统计规律时，认为可能是“入侵”行为。通过检测系统的行为或使用情况的变化来完成（2）特征检测：特征检测假设入侵者活动可以用一种模式来表示，然后将观察对象与之进行比较，判别是否符合这些模式。（3）协议分析：利用网络协议的高度规则性快速探测攻击的存在。2.2.2根据其监测的对象是主机还是网络分为基于主机的入侵检测系统和基于网络的

11、入侵检测系统。（1）基于主机的入侵检测系统：通过监视与分析主机的审计记录检测入侵。能否及时采集到审计是这些系统的弱点之一，入侵者会将主机审计子系统作为攻击目标以避开入侵检测系统。（2）基于网络的入侵检测系统：基于网络的入侵检测系统通过在共享网段上对通信数据的侦听采集数据，分析可疑现象。这类系统不需要主机提供严格的审计，对主机资源消耗少，并可以提供对网络通用的保护而无需顾及异构主机的不同架构。（3）分布式入侵检测系统：目前这种技术在ISS的RealSecure等产品中已经有了应用。它检测的数据也是来源于网络中的数据包，不同的是，它采用分布式检测、集中管理的方法。即在每个网段安装一个黑匣子，该黑匣

12、子相当于基于网络的入侵检测系统，只是没有用户操作界面。黑匣子用来监测其所在网段上的数据流，它根据集中安全管理中心制定的安全策略、响应规则等来分析检测网络数据，同时向集中安全管理中心发回安全事件信息。集中安全管理中心是整个分布式入侵检测系统面向用户的界面。它的特点是对数据保护的范围比较大，但对网络流量有一定的影响。2.2.3根据工作方式分为离线检测系统与在线检测系统。（1）离线检测系统：离线检测系统是非实时工作的系统，它在事后分析审计事件，从中检查入侵活动。事后入侵检测由网络管理人员进行，他们具有网络安全的专业知识，根据计算机系统对用户操作所做的历史审计记录判断是否存在入侵行为，如果有就断开连接

13、，并记录入侵证据和进行数据恢复。事后入侵检测是管理员定期或不定期进行的，不具有实时性。（2）在线检测系统：在线检测系统是实时联机的检测系统，它包含对实时网络数据包分析，实时主机审计分析。其工作过程是实时入侵检测在网络连接过程中进行，系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断，一旦发现入侵迹象立即断开入侵者与主机的连接，并收集证据和实施数据恢复。这个检测过程是不断循环进行的。第三章入侵检测的主要方法4.1 静态配置分析静态配置分析通过检查系统的当前系统配置，诸如系统文件的内容或者系统表，来检查系统是否已经或者可能会遭到破坏。静态是指检查系统的静态

14、特征(系统配置信息)，而不是系统中的活动。采用静态分析方法主要有以下几方面的原因：入侵者对系统攻击时可能会留下痕迹，这可通过检查系统的状态检测出来;系统管理员以及用户在建立系统时难免会出现一些错误或遗漏一些系统的安全性措施;另外，系统在遭受攻击后，入侵者可能会在系统中安装一些安全性后门以方便对系统进行进一步的攻击。所以，静态配置分析方法需要尽可能了解系统的缺陷，否则入侵者只需要简单地利用那些系统中未知的安全缺陷就可以避开检测系统。4.2 异常性检测方法异常性检测技术是一种在不需要操作系统及其防范安全性缺陷专门知识的情况下，就可以检测入侵者的方法，同时它也是检测冒充合法用户的入侵者的有效方法。但

15、是，在许多环境中，为用户建立正常行为模式的特征轮廓以及对用户活动的异常性进行报警的门限值的确定都是比较困难的事，所以仅使用异常性检测技术不可能检测出所有的入侵行为。目前这类入侵检测系统多采用统计或者基于规则描述的方法建立系统主体的行为特征轮廓：统计性特征轮廓由主体特征变量的频度、均值以及偏差等统计量来描述，如SRI的下一代实时入侵检测专家系统，这种方法对特洛伊木马以及欺骗性的应用程序的检测非常有效。基于规则描述的特征轮廓由一组用于描述主体每个特征的合法取值范围与其他特征的取值之间关系的规则组成(如TIM)。该方案还可以采用从大型数据库中提取规则的数据挖掘技术。 神经网络方法具有自学习、自适应能

16、力，可以通过自学习提取正常的用户或系统活动的特征模式，避开选择统计特征这一难题。4.3 基于行为的检测方法通过检测用户行为中那些与已知入侵行为模式类似的行为、那些利用系统中缺陷或间接违背系统安全规则的行为，来判断系统中的入侵活动。目前基于行为的入侵检测系统只是在表示入侵模式(签名)的方式以及在系统的审计中检查入侵签名的机制上有所区别，主要可以分为基于专家系统、基于状态迁移分析和基于模式匹配等几类。这些方法的主要局限在于，只是根据已知的入侵序列和系统缺陷模式来检测系统中的可疑行为，而不能检测新的入侵攻击行为以及未知的、潜在的系统缺陷。入侵检测方法虽然能够在某些方面取得好的效果，但总体看来各有不足

17、，因而越来越多的入侵检测系统都同时采用几种方法，以互补不足，共同完成检测任务。第四章 入侵检测系统面临的主要问题及发展趋势4.1 入侵检测系统面临的主要问题4.1.1 误报误报是指被入侵检测系统测出但其实是正常及合法使用受保护网络和计算机的警报。假警报不但令人讨厌，并且降低入侵检测系统的效率。攻击者可以而且往往是利用包结构伪造无威胁“正常”假警报，以诱使收受人把入侵检测系统关掉。没有一个入侵检测无敌于误报，应用系统总会发生错误，原因是：缺乏共享信息的标准机制和集中协调的机制，不同的网络及主机有不同的安全问题，不同的入侵检测系统有各自的功能;缺乏揣摩数据在一段时间内行为的能力;缺乏有效跟踪分析等

18、。4.1.2 精巧及有组织的攻击攻击可以来自四方八面，特别是一群人组织策划且攻击者技术高超的攻击，攻击者花费很长时间准备，并发动全球性攻击，要找出这样复杂的攻击是一件难事。另外，高速网络技术，尤其是交换技术以及加密信道技术的发展，使得通过共享网段侦听的网络数据采集方法显得不足，而巨大的通信量对数据分析也提出了新的要求。4.2 入侵检测系统的发展趋势从总体上讲，目前除了完善常规的、传统的技术(模式识别和完整性检测)外，入侵检测系统应重点加强与统计分析相关技术的研究。许多学者在研究新的检测方法，如采用自动代理的主动防御方法，将免疫学原理应用到入侵检测的方法等。其主要发展方向可以概括为：(1)分布式

19、入侵检测与CIDF传统的入侵检测系统一般局限于单一的主机或网络架构，对异构系统及大规模网络的检测明显不足，同时不同的入侵检测系统之间不能协同工作。为此，需要分布式入侵检测技术与CIDF。(2)应用层入侵检测许多入侵的语义只有在应用层才能理解，而目前的入侵检测系统仅能检测Web之类的通用协议，不能处理如Lotus Notes数据库系统等其他的应用系统。许多基于客户/服务器结构、中间件技术及对象技术的大型应用，需要应用层的入侵检测保护。(3)智能入侵检测目前，入侵方法越来越多样化与综合化，尽管已经有智能体系、神经网络与遗传算法应用在入侵检测领域，但这些只是一些尝试性的研究工作，需要对智能化的入侵检

20、测系统进一步研究，以解决其自学习与自适应能力。(4) 与网络安全技术相结合结合防火墙、PKIX、安全电子交易(SET)等网络安全与电子商务技术，提供完整的网络安全保障。(5) 建立入侵检测系统评价体系设计通用的入侵检测测试、评估方法和平台，实现对多种入侵检测系统的检测，已成为当前入侵检测系统的另一重要研究与发展领域。评价入侵检测系统可从检测范围、系统资源占用、自身的可靠性等方面进行，评价指标有：能否保证自身的安全、运行与维护系统的开销、报警准确率、负载能力以及可支持的网络类型、支持的入侵特征数、是否支持IP碎片重组、是否支持TCP流重组等。第五章 总结入侵检测系统作为一种主动的安全防护技术，提

21、供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。随着网络通信技术安全性的要求越来越高，为给电子商务等网络应用提供可靠服务，而由于入侵检测系统能够从网络安全的立体纵深、多层次防御的角度出发提供安全服务，必将进一步受到人们的高度重视。致谢 本论文是在尊敬的 老师的悉心指导和严格要求下完成的。老师不辞劳苦，在论文的选题、试验设计和试验方法等许多方面给了我实际的指导和帮助。他严谨的治学态度和勤奋的工作作风使我受益匪浅，不仅使我在专业知识上有所提高，而且让我认识到食品专业大有可为，坚定了我继续求学深造的信念，在此，谨向老师致以崇高的敬意和衷心的感谢！参考文献: 1 陈健,张亚平,李艳.基于流量分析的入侵检测系统研究.天津理工学院学报,2008。 2 陈鹏,吕卫锋,单征.基于网络的入侵检测方法研究.计算机工程与应用,2007。 3 钟湘东.基于网络异常数据包/数据流量的入侵检测系统的设计与实现.东北大学,2007。