入侵检测技术应用.docx
《入侵检测技术应用.docx》由会员分享,可在线阅读,更多相关《入侵检测技术应用.docx(23页珍藏版)》请在冰点文库上搜索。
入侵检测技术应用
毕业设计
开题报告
学生姓名
学号201402081117
专业 计算机网络技术
班级 网络201401班
指导教师
开题时间 2016年10月20日
黄冈职业技术学院电子信息学院
电子信息学院毕业设计开题报告
拟设计题目
入侵检测技术应用
综述
(本课题研究的意义、研究的现状及自己的认识)
意义:
随着计算机网络技术的发展,网络安全成为一个突出的问题。
网络入侵检测系统是近年来网络安全领域的热门技术,它能够对网络中发生的安全事件和网络中存在的安全漏洞进行主动实时的检测,它作为一种积极主动的防护技术,提供了对内部攻击、外部攻击和误操作的实时保护。
入侵检测系统是保障计算机及网络安全的有力措施之一。
通过研究本课题,可以了解入侵检测技术技术的发展历程,及国内外研究水平的差距,熟悉各种入侵检测技术原理方法的异同,以便今后对某种检测技术方法作进一步的改进时能够迅速切入要点。
研究的现状及自己的认识:
根据检测技术类型可划分为异常行为检测技术类型和漏洞检测技术类型。
根据异常或者不合法行为和使用计算机资源信息的情况检测入侵的技术类型被称为异常入侵攻击检测。
漏洞入侵检测是利用已知系统和应用软件的漏洞攻击方式检测入侵。
研究内容
(研究方向,研究内容、系统主要功能分析及说明)
研究方向:
入侵检测技术应用
研究内容:
本文从入侵检测技术的发展入手,研究、分析了入侵检测技术和入侵检测系统的原理、应用、信息收集和分析、数据的处理及其优缺点和未来的发展方向。
入侵检测是一门综合性技术,既包括实时检测技术也有事后分析技术。
尽管用户希望通过部署IDS来增强网络安全,但不同的用户需求也不同。
系统主要功能及分析:
一个入侵检测系统的功能结构至少包含事件提取入侵分析入侵响应和远程管理四部分功能。
事件提取功能负责提取与被保护系统相关的运行数据或记录,并负责对数据进行简单的过滤。
入侵分析的任务就是在提取到的运行数据中找出入侵的痕迹,将授权的正常访问行为和非授权的不正常访问行为区分开分析出入侵行为并对入侵者进行定位。
入侵响应功能在分析出入侵行为后被触发,根据入侵行为产生响应。
实现方法及预期目标
(包括实施的初步方案、重点、难点及预期达到的效果)
实施的初步方案:
1.入侵检测技术的分析;
2.查找、阅读并整理资料;
3.入侵检测技术发展趋势;
4.撰写论文提纲;
5.撰写论文初稿并修改。
重点:
入侵检测技术是一种积极主动的安全防护技术,其工作流程包括数据收集、数据提取、数据分析、结果处理。
检测模型为异常检测模型和误用检测模型,未来的发展趋势是智能化的全面检测,这也是本课题研究的重点。
对进度的
具体安排
第一阶段:
对入侵检测技术概况做分析10月17号到20号;
第二阶段:
查找、阅读并整理资料,10月22号到10月25号;
第三阶段:
撰写论文提纲,10月26号到10月27号;
第四阶段:
撰写论文初稿并修改,10月28号到11月5号;
第五阶段:
撰写论文定稿,11月5号到11月12号;
参考文献
[1]蒋建春,冯登国.网络入侵检测技术原理与技术.北京:
国防工业出版社,2001.7
[2]戴连英,连一峰,王航.系统安全与入侵检测技术.北京:
清华大学出版社,2002.3
[3][美]RichardO.Duda,PeterE.Hart,DavidG.Stork李宏东姚天翔等译模式分类(原书第2版)机械工业出版社,2003-09-01
[4]吴焱等译,入侵者检测技术.北京:
电子工业出版社,1999
指导教师意见
(签署意见并签字)
审查人签字:
年月日
领导小组
审查意见
审查人签字:
年月日
学业作品
题目 入侵检测技术应用
学生姓名徐盼
学号201402081117
专业计算机网络技术
班级网络201401班
指导教师 刘烨
完成日期2016年11月20日
目录
摘要6
关键词6
第一章绪论7
1.2入侵检测技术的历史7
1.3本课题研究的途径与意义8
第二章入侵检测技术原理9
2.1入侵检测的工作流程9
2.1.1数据收集9
2.1.2数据提取9
2.1.3数据分析10
2.1.4结果处理10
2.2入侵检测技术的检测模型10
2.2.1异常检测模型10
2.2.2误用检测模型11
第三章入侵检测技术功能概要11
第四章入侵检测系统实验案例分析12
4.1配置Snort选项12
4.2测试Snort14
4.3攻击与检测过程14
4.3.1攻击过程14
4.3.2Snort运行过程14
4.4检测结果分析14
第五章入侵检测技术的缺点和改进16
5.1入侵检测技术所面临的问题16
5.2入侵检测技术的改进发展16
总结17
致谢17
参考文献18
摘要
近年来随着计算机网络的迅速发展,网络安全问题越来越受到人们的重视。
从网络安全角度来看,防火墙等防护技术只是被动安全防御技术,只是尽量阻止攻击或延缓攻击,只会依照特定的规则,允许或是限制传输的数据通过。
在网络环境下不但攻击手段层出不穷,而且操作系统、安全系统也可能存在诸多未知的漏洞,这就需要引入主动防御技术对系统安全加以补充,目前主动防御技术主要就是入侵检测技术。
本文从入侵检测技术的发展入手,研究、分析了入侵检测技术和入侵检测系统的原理、应用、信息收集和分析、数据的处理及其优缺点和未来的发展方向。
关键词:
网络安全,网络入侵,入侵检测技术,入侵检测系统
第一章绪论
1.1入侵检测技术的提出
随着Internet高速发展,个人、企业以及政府部门越来越多地依靠网络传递信息,然而网络的开放性与共享性容易使它受到外界的攻击与破坏,信息的安全保密性受到严重影响。
网络安全问题已成为世界各国政府、企业及广大网络用户最关心的问题之一。
在计算机上处理业务已由基于单机的数学运算、文件处理,基于简单连结的内部网络的内部业务处理、办公自动化等发展到基于企业复杂的内部网、企业外部网、全球互联网的企业级计算机处理系统和世界范围内的信息共享和业务处理。
在信息处理能力提高的同时,系统的连结能力也在不断的提高。
但在连结信息能力、流通能力提高的同时,基于网络连接的安全问题也日益突出,黑客攻击日益猖獗,防范问题日趋严峻:
具WarroonResearch的调查,1997年世界排名前一千的公司几乎都曾被黑客闯入;
据美国FBI统计,美国每年因网络安全造成的损失高达75亿美元;
Ernst和Young报告,由于信息安全被窃或滥用,几乎80%的大型企业遭受损失;
看到这些令人震惊的事件,不禁让人们发出疑问:
"网络还安全吗?
"试图破坏信息系统的完整性、机密性、可信性的任何网络活动都称为网络入侵。
防范网络入侵最常用的方法就是防火墙。
防火墙(Firewall)是设置在不同网络(如可信任的企业内部网和不可信任的公共网)或网络安全域之间的一系列部件的组合,它属于网络层安全技术,其作用是为了保护与互联网相连的企业内部网络或单独节点。
它具有简单实用的特点,并且透明度高,可以在不修改原有网络应用系统的情况下达到一定的安全要求。
但是,防火墙只是一种被动防御性的网络安全工具,仅仅使用防火墙是不够的。
首先,入侵者可以找到防火墙的漏洞,绕过防火墙进行攻击。
其次,防火墙对来自内部的攻击无能为力。
它所提供的服务方式是要么都拒绝,要么都通过,不能检查出经过他的合法流量中是否包含着恶意的入侵代码,这是远远不能满足用户复杂的应用要求的。
对于以上提到的问题,一个更为有效的解决途径就是入侵检测技术。
在入侵检测技术之前,大量的安全机制都是根据从主观的角度设计的,他们没有根据网络攻击的具体行为来决定安全对策,因此,它们对入侵行为的反应非常迟钝,很难发现未知的攻击行为,不能根据网络行为的变化来及时地调整系统的安全策略。
而入侵检测技术正是根据网络攻击行为而进行设计的,它不仅能够发现已知入侵行为,而且有能力发现未知的入侵行为,并可以通过学习和分析入侵手段,及时地调整系统策略以加强系统的安全性。
1.2入侵检测技术的历史
1980月,JnamesP.Aderson为美国空军做了一份题为“ComputerSecurityThreatMonitoringSureillance”(计算机安全威胁监控与监视)的技术报告,第一次详细的阐述了入侵检测的概念。
他提出了一种对计算机系统风险和威胁的分类方法,并将威胁分为了外部渗透、内部渗透和不法行为三种,还提出了利用审计跟踪数据监视入侵活动的思想。
这份报告被公认为是入侵检测的开山之作。
1984年-1986年,乔治敦大学的DorothyDenning和SRI/CSL(SRI公司计算机科学实验室)的PeterNeumann研究出了一种实时入侵检测系统模型,取名为IDES(入侵检测专家系统)。
该模型独立于特定的系统平台、应用环境、系统弱点以及入侵类型,为构建入侵系统提供了一个通用的框架。
1988年,SRI/CSL的TeresaLunt等改进了Denning的入侵检测模型,并研发出了实际的IDES。
1989年,加州大学戴维斯分校的ToddHeberlein写了一篇论文《ANetworkSecurityMonitor》,该监控器用于捕获TCP/IP分组,第一次直接将网络流作为审计数据来源,因而可以在不将审计数据转换成统一格式的情况下监控异种主机,网络入侵检测从此诞生。
1990年时入侵检测系统发展史上十分重要的一年。
这一年,加州大学戴维斯分校的L.T.Heberlein等开发出了NSM(NetworkSecurityMonitor)。
该系统第一次直接将网络作为审计数据的来源,因而可以在不将审计数计转化成统一的格式情况下监控异种主机。
同时两大阵营正式形成:
基于网络的IDS和基于主机的IDS。
入侵检测是一门综合性技术,既包括实时检测技术,也有事后分析技术。
尽管用户希望通过部署IDS来增强网络安全,但不同的用户需求也不同。
由于攻击的不确定性,单一的IDS产品可能无法做到面面俱到。
因此,IDS的未来发展必然是多元化的,只有通过不断改进和完善才能更好地协助网络进行安全防御。
入侵检测技术的发展已经历了四个主要阶段:
第一阶段是以基于协议解码和模式匹配为主的技术,其优点是对于已知的攻击行为非常有效,各种已知的攻击行为可以对号入座,误报率低;缺点是高超的黑客采用变形手法或者新技术可以轻易躲避检测,漏报率高。
第二阶段是以基于模式匹配+简单协议分析+异常统计为主的技术,其优点是能够分析处理一部分协议,可以进行重组;缺点是匹配效率较低,管理功能较弱。
这种检测技术实际上是在第一阶段技术的基础上增加了部分对异常行为分析的功能。
第三阶段是以基于完全协议分析+模式匹配+异常统计为主的技术,其优点是误报率、漏报率和滥报率较低,效率高,可管理性强,并在此基础上实现了多级分布式的检测管理;缺点是可视化程度不够,防范及管理功能较弱。
第四阶段是以基于安全管理+协议分析+模式匹配+异常统计为主的技术,其优点是入侵管理和多项技术协同工作,建立全局的主动保障体系,具有良好的可视化、可控性和可管理性。
以该技术为核心,可构造一个积极的动态防御体系,即IMS——入侵管理系统。
1.3本课题研究的途径与意义
聚类是模式识别研究中非常有用的一类技术。
用聚类算法的异常检测技术就是一种无监督的异常检测技术技术,这种方法可以在未标记的数据上进行,它将相似的数据划分到同一个聚类中,而将不相似的数据划分到不同的聚类,并为这些聚类加以标记表明它们是正常还是异常,然后将网络数据划分到各个聚类中,根据聚类的标记来判断网络数据是否异常。
本课题是网络入侵检测技术的研究,主要介绍模式识别技术中两种聚类算法,K-means算法和迭代最优化算法,并阐述此算法在入侵检测技术技术中的应用原理,接着分析这两种算法具体应用时带来的利弊,最后针对算法的优缺点提出自己改进的算法,并对此算法进行分析,可以说这种算法是有监督和无监督方法的结合,是K-means算法和迭代最优化算法的折中,是一种较理想的算法。
通过研究本课题,可以了解入侵检测技术技术的发展历程,及国内外研究水平的差距,熟悉各种入侵检测技术原理方法的异同,以便今后对某种检测技术方法作进一步的改进时能够迅速切入要点;在对入侵检测技术技术研究的同时,认真学习了模式识别这门课程,这是一门交叉学科,模式识别已经在卫星航空图片解释、工业产品检测技术、字符识别、语音识别、指纹识别、医学图像分析等许多方面得到了成功的应用,但所有这些应用都是和问题的性质密不可分的,学习过程中接触了许多新理论和新方法,其中包括数据挖掘,统计学理论和支持向量机等,极大的拓展了自己的知识面,这所带来的收获已经不仅仅停留在对入侵检测技术技术研究这个层面上。
第二章入侵检测技术原理
2.1入侵检测的工作流程
入侵检测系统由数据收集、数据提取、数据分析、事件处理等几个部份组成。
2.1.1数据收集
入侵检测的第一步是数据收集,内容包括系统、网络运行、数据及用户活动的状态和行为,而且,需要在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集数据。
入侵检测很大程度上依赖于收集数据的准确性与可靠性,因此,必须使用精确的软件来报告这些信息,因为黑客经常替换软件以搞混和移走这些数据,例如替换被程序调用的子程序、库和其它工具。
数据的收集主要来源以下几个方面:
系统和网络日志文件、目录和文件不期望的改变、程序不期望的行为、物理形式的入侵数据。
2.1.2数据提取
数据提取从收集到的数据中提取有用的数据,以供数据分析之用。
2.1.3数据分析
对收集到的有关系统、网络运行、数据及用户活动的状态和行为等数据通过三种技术手段进行分析:
模块匹配、统计分析和完整性分析。
2.1.4结果处理
记录入侵事件,同时采取报警、中断连接等措施.
2.2入侵检测技术的检测模型
从技术上划分,入侵检测有两种检测模型:
2.2.1异常检测模型
异常检测模型:
检测与可接受行为之间的偏差。
如果可以定义每项可接受的行为,那么每项不可接受的行为就应该是入侵。
首先总结正常操作应该具有的特征(用户轮廓),用户轮廓是指各种行为参数及其阈值的集合。
当用户活动与正常行为有重大偏离时即被认为是入侵。
这种检测模型漏报率低,误报率高。
因为不需要对每种入侵行为进行定义,所以能有效检测未知的入侵。
异常检测的模型如图2-1所示。
图2-1异常检测模型
2.2.2误用检测模型
误用检测模型:
检测与已知的不可接受行为之间的匹配程度。
如果可以定义所有的不可接受行为,那么每种能够与之匹配的行为都会引起告警。
收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。
这种检测模型误报率低、漏报率高。
对于已知的攻击,它可以详细、准确地报告出攻击类型,但是对未知攻击的效果有限,而且特征库必须不断更新。
误用检测的模型如图2-2所示。
图2-2误用检测模型
第三章入侵检测技术功能概要
·监督并分析用户和系统的活动
·检查系统配置和漏洞
·检查关键系统和数据文件的完整性
·识别代表已知攻击的活动模式
·对反常行为模式的统计分析
·对操作系统的校验管理,判断是否有破坏安全的用户活动。
·提高了系统的监察能力
·跟踪用户从进入到退出的所有活动或影响
·识别并报告数据文件的改动
·发现系统配置的错误,必要时予以更正
·识别特定类型的攻击,并向相应人员报警,以作出防御反应
·可使系统管理人员最新的版本升级添加到程序中
·允许非专家人员从事系统安全工作
·为信息安全策略的创建提供指导
入侵检测技术作为一种积极主动地安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。
从网络安全立体纵深、多层次防御的角度出发,入侵检测技术理应受到人们的高度重视,这从国外入侵检测技术产品市场的蓬勃发展就可以看出。
在国内,随着上网的关键部门、关键业务越来越多,迫切需要具有自主版权的入侵检测技术产品。
但现状是入侵检测技术仅仅停留在研究和实验样品(缺乏升级和服务)阶段,或者是防火墙中集成较为初级的入侵检测技术模块。
可见,入侵检测技术产品仍具有较大的发展空间,从技术途径来讲,我们认为,除了完善常规的、传统的技术(模式识别和完整性检测技术)外,应重点加强统计分析的相关技术研究。
第四章入侵检测系统实验案例分析
本研究中,在Linux系统环境下搭建了一个入侵检测系统——Snort,实现了基本的入侵检测功能.在实验室环境下,在局域网中利用两台以上的计算机,使用其中一台主机作为被攻击方,即检测方,另外的主机可对其进行攻击.被攻击方可看出攻击方的IP地址及数据包相关内容,并可根据检测结果进行分析.
由于Ubuntu是Debian系的Linux,安装软件非常简单.这里使用Ubuntu默认命令行软件包管理器apt来进行安装.要安装的不仅有Snort,还有Snort规则集.
$sudoapt-getinstallsnortsnort-rules-default
4.1配置Snort选项
接下来利用Snort的配置文件来设置各种选项,以确定它的运行方式.这个过程相对复杂,尤其要注意的是命令的输入,有时因为一个空格的缺失就要反复进行配置.
2先打开Snort的主配置文件:
/etc/snort/snort.Conf
⑵#HOME_NET和#EXTERNAL_NET是嗅探器最主要的两个配置变量和选项.在配置文件中将HOME_NET有关项注释掉,然后将HOME_NET设置为本机IP所在网络,将EXTERNAL_NET相关项注释掉,设置其为非本机网络.删除HOME_NET行前的―#‖,设置HOME_NET变量.―#‖在Snort配置文件中作命令指示器.HOME_NET变量定义了哪些网络是受信的内部网络.它与签名共同判断内部网络是否受到攻击.Snort.conf默认把HOME_NET设为―varHOME_NETany‖对任意地址信任.把它精确设为实际的内网地址空间将减少错误告警的次数.设置代码如下:
#varHOME_NETany
varHOME_NET172.18.148.152/16
⑶设置EXTERNAL_NET变量.它指定可能发起攻击的网络,一般把它设为除HOME_NET地址以外的所有地址.设置代码如下:
#varEXTERNAL_NETany
varEXTERNAL_NET!
$HOME_NET
⑷定义哪些服务器上运行了哪些服务程序.如果把HTTP_SERVERS设为某些服务器,则Snort只关注对那些服务器进行的HTTP攻击.如果想了解到对某个服务器上并没有运行着的服务程序进行的攻击,就保留默认设置,这样可以观察到任何对内网的攻击.也可以命令Snort只关注对某一台或某几台服务器的HTTP攻击.设置代码如下:
#varDNS_SERVERS$HOME_NET
varHTTP_SERVERS172.18.148.152/32
⑸配置服务使用的端口.同前面定义服务类似,命令将使Snort只关注对这个端口的攻击.按照默认配置,Snort将忽略对端口8080的HTTP攻击.这样的配置能够使Snort专注于不同类型攻击类型的发生地点.但在最终对被攻击方做全面保护时不开启这个配置,这样可以检测出局域网内对该机器进行攻击的主机和攻击类型.
⑹在本地打开Snort规则:
snort–c/etc/snort/rules
⑺配置RULE_PATH变量,指示规则的存储位置,规则用于触发事件.配置代码如下:
varRULE_PATH../rules
⑻接下来一段内容被注释掉了,是对一些不常见的通信的监测.除非系统中出现了其中的问题或者入侵检测系统耗费资源很小,否则最好不要启用.下面一段是允许为资源有限的系统配置侦测引擎,在本实验中无需改动.配置文件之后的几段用于配置一些功能和设置对某些类型的攻击的侦测,包括碎片攻击(fragmentationattacks)、状态检测(statefulinspection)和流重组(streamreassembly)选项.
⑼标注有Step#4的段落包含Snort的输出选项,取消―outputalert_syslog:
LOG_AUTHLOG_ALERT‖前的注释.此处无论如何配置都会生成auth.info警告.
⑽编辑#2部分动态加载库的路径,这些路径有些需要修改默认项.比如在本实验中,运行Snort时遇到错误,提示了―Unknownruletype:
dynamicpreprocessordirectory‖,经查发现是是由于Snort未配置使用动态加载处理机,只需用―#‖注释掉加载处理机相关两行就可以了.
⑾最后一段Step#6是规则集.这里有些规则默认为不起作用,如chat.rules是由各种即时消息客户端出发生效的.在行首加入或删除注释符号―#‖就可以指定该行的规则集是否生效.在本实验中一般均默认为生效.
4.2测试Snort
前面对Snort的配置做的修改,有些配置的修改可能会影响到Snort的正常启动,在将Snort作为入侵检测工具正式启用前,首先要测试Snort工作是否正常:
$sudosnort-c/etc/snort/snort.conf
如果出现一个用ASCII字符画出的小猪,那么Snort工作就正常了,可以使用Ctrl+C退出;如果Snort异常退出,就需要查明安装软件和修改配置的正确性了.
4.3攻击与检测过程
4.3.1攻击过程
在攻击库面板中选择一种攻击,在此选择BackdoorBackdoor2.0.3.dll为例,选择该类型攻击作为实验用.点击右侧―Runattack‖开始攻击过程.在下面的界面中可以看到发出攻击的大概情况.当攻击结束后左侧的窗口会显示本次攻击的信息,包括攻击类型,其中发出攻击包所属Protocol种类,及本次发出攻击包的总数.
4.3.2Snort运行过程
在启动Snort后,入侵检测的过程就开始了.启动操作输入:
snort–vd外界没有攻击时的检测如图5-4(a)(b)所示.截获的数据包中,首先显示一些基本的数据包信息,包括时间、攻击方IP地址及端口号、被攻击方IP地址及端口号、数据包类型、报文中转次数、ID号、IP数据包长度、响应号和发送窗口大小等信息.数据包内部信息用ASCII显示出,对于数据包内容的分析可用专门的分析软件进行,在本实例中使用了wireshark对已知数据包进行分析.
退出Snort会显示出本次检测的数据包相关数据,包括本次检测总时间,及分析的数据包个数、分析失败个数、突出数据及其相应的百分比.接下来显示的是分析的数据包中,每种数据类型所占的个数和百分比.
4.4检测结果分析
Wireshark是一个网络封包分析软件.网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料.本实验中以此软件来对已经记录的数据包进行分析.首先将数据包文件导入,如图4-1.
图4-1用Wireshark分析数据包内容
升级会员 