【正文】 的安全管理缺陷等等。 由于存在更多的安全威脅和安全隱患，能否成功的阻止網(wǎng)絡(luò)黑客的入侵、保證計算機和網(wǎng)絡(luò)系統(tǒng)的安全和正常的運行便成為網(wǎng)絡(luò) 管理員所面臨的一個重要問題。 網(wǎng)絡(luò)安全技術(shù) 如今已有大量的研究機構(gòu)、社會團體、商業(yè)公司和政府部門投入到網(wǎng)絡(luò)安全的研究中，并將此納入到一個被稱為信息安全的研究領(lǐng)域。網(wǎng)絡(luò)安全技術(shù)主要包括基于密碼學的安全措施和非密碼體制的安全措施，前者包括：數(shù)據(jù)加密技術(shù)、身份鑒別技術(shù)等。后者則有：防火墻、路由選擇、反病毒技術(shù)等。 （ 1）數(shù)據(jù)加密技術(shù) 數(shù)據(jù)加密是網(wǎng)絡(luò)安全中采用的最基本的安全技術(shù)，目的是保護數(shù)據(jù)、文件、口令以及其他信息在網(wǎng)絡(luò)上的安全傳輸，防止竊聽。網(wǎng)絡(luò)中的數(shù)據(jù)加密，除了選擇加密算法和密鑰外，主要問題是加密 的方式以及實現(xiàn)加密的網(wǎng)絡(luò)協(xié)議層次和密鑰的分配管理。按照收發(fā)雙方密鑰是否相同，可分為對稱密碼算法和非對稱密碼算法即公鑰密碼算法兩種。對稱密碼算法有保密度高，加密速度快的優(yōu)點，但其 密鑰的分發(fā)則是一個比較復雜的問題。比較著名的對稱密碼算法有：美國的 DES和歐洲的 IDEA 等。在公鑰密碼中，收發(fā)雙方使用的密鑰各不相同，密鑰的管理比較方便。比較著名的公鑰密碼算法有： ECC、 RSA 等，其中 RSA 算法應用最為廣泛。 （ 2）鑒別技術(shù) 鑒別技術(shù)可以驗證消息的完整性，有效的對抗冒充、非法訪問、重演等威脅。按照鑒別對象的不同，鑒別 技術(shù)可分為消息源鑒別和通信雙方互相鑒別，按照鑒別內(nèi)容的不同，鑒別技術(shù)可分為用戶身份鑒別和消息內(nèi)容鑒別，鑒別的方法有很多種，主要有通過用戶標識和口令、報文鑒別、數(shù)字簽名等方式。 （ 3）訪問控制技術(shù) 訪問控制是從計算機系統(tǒng)的處理能力方面對信息提供保護機制，它按照事先確定的規(guī)則決定主體對客體的訪問是否合法。當一個主體試圖非法使用一個未經(jīng)授權(quán)的資源時，訪問機制將拒絕這一企圖，并將這一時間記錄到系統(tǒng)日志中。訪問控制技術(shù)的主要任務是保證網(wǎng)絡(luò)資源不被非法使用和訪問，它是保證網(wǎng)絡(luò)安全的重要策略之一。 （ 4）防火墻技術(shù) 防火 墻是一個或一組網(wǎng)絡(luò)設(shè)備，其工作方式是將內(nèi)聯(lián)網(wǎng)絡(luò)與因特網(wǎng)之間或者與其他外聯(lián)網(wǎng)絡(luò)間互相隔離，通過加強訪問控制，阻止區(qū)域外的用戶對區(qū)域內(nèi)的資源的非法訪問，使用防火墻可以進行安全檢查、記錄網(wǎng)上安全事件等，在維護網(wǎng)絡(luò)安全作用中起著重要的作用。 （ 5）反病毒技術(shù) 計算機病毒是一段具有極強破壞性的惡意代碼，它可以將自身納入其他程序中，以此來進行隱藏，復制和傳播，從而破壞用戶文件，數(shù)據(jù)甚至硬件。從廣義上講，它還包括邏輯炸彈、特洛伊木馬和系統(tǒng)陷阱等。計算機病毒的主要傳播途徑有：文件傳輸、軟盤拷貝、電子郵件等。網(wǎng)絡(luò)反病毒技術(shù)主 要包括檢查病毒和殺出病毒。 雖然網(wǎng)絡(luò)安全已經(jīng)超越了純技術(shù)領(lǐng)域，但網(wǎng)絡(luò)安全技術(shù)仍然是解決網(wǎng)絡(luò)安全最重要的基礎(chǔ)和研究方向。 本文研究內(nèi)容 本文共分為五個部分，各部分內(nèi)容如下： 第一部分，主要介紹了課題提出的背景、意義、安全隱患、現(xiàn)有的安全技術(shù)等，強調(diào)了入侵檢測的重要性。 第二部分，主要介紹了入侵檢測相關(guān)的基礎(chǔ)知識、發(fā)展趨勢等與本文相關(guān)的理論。 第三部分，對整個系統(tǒng)的設(shè)計做了概述，介紹了系統(tǒng)的整體框架、開發(fā)及運行環(huán)境等。 第四部分，詳細介紹了檢測模塊的設(shè)計與實現(xiàn)以及系統(tǒng)集成后的運行結(jié)果。其中包括檢測模塊的 設(shè)計思想、工作原理以及核心代碼的分析等。 第五部分，是對整個系統(tǒng)的測試與分析的總結(jié)。主要測試了檢測模塊實現(xiàn)的各種功能。 2. 入侵檢測基礎(chǔ) 當我們無法完全防止入侵時，那么只能希望系統(tǒng)在受到攻擊時，能盡快檢測出入侵，而且最好是實時的，以便可以采取相應的措施來對付入侵，這就是入侵檢測系統(tǒng)要做的，它從計算機網(wǎng)絡(luò)中的若干關(guān)鍵點收集信息，并分析這些信息，檢查網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測系統(tǒng)（ IDS，Intrusion Detection System）正是一種采取主動策略的網(wǎng)絡(luò)安全防護措施 ，它從系統(tǒng)內(nèi)部和各種網(wǎng)絡(luò)資源中主動采集信息，從中分析可能的網(wǎng)絡(luò)入侵或攻擊，同時還對入侵行為做出緊急響應。入侵檢測被認為是防火墻之后的第二道安全閘門。 入侵檢測的定義 可以看到入侵檢測的作用就在于及時地發(fā)現(xiàn)各種攻擊以及攻擊企圖并作出反應。我們可以給入侵檢測做一個簡單的定義，入侵檢測就是對（網(wǎng)絡(luò)）系統(tǒng)的運行狀態(tài)進行監(jiān)視，發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證系統(tǒng)資源的機密性、完整性與可用性。即入侵檢測（ Intrusion Detection）是檢測和識別系統(tǒng)中未授權(quán)或異?，F(xiàn)象，利用審計記錄，入侵 檢測系統(tǒng)應能識別出任何不希望有的活動，這就要求對不希望的活動加以限定，一旦當它們出現(xiàn)就能自動地檢測。 一個完整的入侵檢測系統(tǒng)必須具備下列特點： 經(jīng)濟性：為了保證系統(tǒng)安全策略的實施而引入的入侵檢測系統(tǒng)必須不能妨礙系統(tǒng)的正常運行（如系統(tǒng)性能）。 時效性：必須及時的發(fā)現(xiàn)各種入侵行為，理想情況是在事前發(fā)現(xiàn)攻擊企圖，比較現(xiàn)實的情況則是在攻擊行為發(fā)生的過程中檢測到。 安全性：入侵檢測系統(tǒng)自身必須安全，如果入侵檢測系統(tǒng)自身的安全性得不到保障，首先意味著信息的無效，而更嚴重的是入侵者控制了入侵檢測系統(tǒng)即獲得了對系統(tǒng)的控制權(quán) 。 可擴展性：可擴展性有兩方面的意義。第一是機制與數(shù)據(jù)的分離，在現(xiàn)有機制不變的前提下能夠?qū)π碌墓暨M行檢測。第二是體系結(jié)構(gòu)的可擴展性，在必要 的時候可以在不對系統(tǒng)的整體結(jié)構(gòu)進行修改的前提下對檢測手段進行加強，以保證能檢測到新的攻擊。 入侵檢測與 P2DR 模型 P2DR 模型是一個動態(tài)的計算機系統(tǒng)安全理論模型。它的指導實現(xiàn)比傳統(tǒng)靜態(tài)安全方案有突破性提高。 PDR 是 Policy(策略 )、 Protection(防護 )、 Detection(檢測 )和 Response(響應 )的縮寫，特點是動態(tài)性和基于時間的特性。 P2DR 模型闡述了這樣一個結(jié)論：安全的目標實際上就是盡可能地增大保護時間，盡量減少檢測時間和響應時間。入侵檢測技術(shù)就是實現(xiàn) P2DR 模型中 ” Detection” 部分的主要技術(shù)手段。在 P2DR 模型中，安全策略處于中心地位，但是從另一個角度來看，安全策略也是制定入侵檢測中檢測策略的一個重要信息來源，入侵檢測系統(tǒng)需要根據(jù)現(xiàn)有的安全策略信息來更好地配置系統(tǒng)模塊參數(shù)信息。當發(fā)現(xiàn)入侵行為后，入侵檢測系統(tǒng)會通過響應模塊改變系統(tǒng)的防護措施，改善系統(tǒng)的防護能力，從而實現(xiàn)動態(tài)的系統(tǒng)安全模型。因此，從技術(shù)手段上分析，入侵檢測可以看作是 實現(xiàn) P2DR 模型的承前啟后的關(guān)鍵環(huán)節(jié)。 圖 21 P2DR安全模型 入侵檢測的原理 入侵檢測系統(tǒng)（ IDS,Intrusion Detetion System）是通過對網(wǎng)絡(luò)系統(tǒng)的運行狀態(tài)進行監(jiān)視，從而發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證系統(tǒng)資源的機密性、完整性和可用性。 在 P2DR 安全模型中、入侵檢測位于檢測環(huán)節(jié)，它的作用在于承接防護和響應過程，也就是通過對計算機網(wǎng)絡(luò)或計算機系統(tǒng)中的若干個關(guān)鍵點收集信息并進行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中 是否有違反安全策略的行為和被攻擊的跡象。它Policy Protection Response Detectionon 通過對采集到的網(wǎng)絡(luò)數(shù)據(jù)在線或離線進行分析，當發(fā)現(xiàn)有入侵企圖或入侵行為時，能依據(jù)響應規(guī)則做出發(fā)送入侵警報、記錄入侵事件、引誘轉(zhuǎn)發(fā)、中斷入侵連接甚至發(fā)動入侵等響應行為，同時還能提醒管理員采取進一步防護措施。它能在不影響網(wǎng)絡(luò)性能或輕負載的情況下，檢測網(wǎng)絡(luò)并實現(xiàn)對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。 入侵檢測和其他的檢測技術(shù)有相同原理：從一組數(shù)據(jù)中，檢測出符合某一特點的數(shù)據(jù)。入侵者進行攻擊時會留下痕跡，這些痕跡和系統(tǒng)正常運行產(chǎn)生的數(shù)據(jù)混合在一起。入侵檢測的任務之一就是從這 些混合數(shù)據(jù)中找出是否有入侵的痕跡。可見，入侵檢測系統(tǒng)有兩個主要部分：數(shù)據(jù)獲取和檢測。 接下來看一下入侵檢測系統(tǒng)的檢測流程，如圖 22 中給出了一個通用的入侵檢測系統(tǒng)流程。下圖的模塊劃分是非常粗略的，而且省略了諸如界面處理、配置管理等模塊。 圖 22 入侵檢測流程圖 數(shù)據(jù)提取模塊的作用在于為系統(tǒng)提供數(shù)據(jù)，數(shù)據(jù)的來源可以是主機上的日志信息、變動信息，也可以是網(wǎng)絡(luò)上的數(shù)據(jù)信息，甚至是流量變化等，這些都可以作為數(shù)據(jù)源。數(shù)據(jù)提取模塊在獲得數(shù)據(jù)后，需要對數(shù)據(jù)進行簡 單的處理，如簡單的過濾、數(shù)據(jù)格式標準化等，然后將經(jīng)過處理后的數(shù)據(jù)提交給數(shù)據(jù)分析模塊。 數(shù)據(jù)分析模塊的作用在于對數(shù)據(jù)進行深入的分析，發(fā)現(xiàn)攻擊并根據(jù)分析的結(jié)果產(chǎn)生事件，傳遞給結(jié)果處理模塊。數(shù)據(jù)分析的方法多種多樣，可以簡單到對某種行為的計數(shù)，也可以是一個復雜的專家系統(tǒng)。 結(jié)果處理模塊的作用在于告警與反應，也就是在發(fā)現(xiàn)攻擊企圖或者攻擊之后需要系統(tǒng)及時的進行反應，包括報告、記錄、反映和恢復。 入侵檢測的分類 通過對現(xiàn)有的入侵檢測系統(tǒng)和技術(shù)的研究，可以從下面幾個方面對入侵檢測系統(tǒng)進行分類： (1) 根據(jù)數(shù)據(jù)來 源或監(jiān)視的對象分類 數(shù)據(jù) 數(shù)據(jù)提取 數(shù)據(jù) 事件 事件 數(shù)據(jù)分析 結(jié)果處理 ? 基于主機（ HostBased）的入侵檢測系統(tǒng) 數(shù)據(jù)來源于主機系統(tǒng)。主機系統(tǒng)中最經(jīng)典的數(shù)據(jù)源就是審計日志，也有的入侵檢測系統(tǒng)將數(shù)據(jù)源擴展到系統(tǒng)日志、應用程序日志、系統(tǒng)狀態(tài)、系統(tǒng)調(diào)用信息等。顯然，它所監(jiān)視和保護的對象是主機。 ? 基于網(wǎng)絡(luò)（ workbased）的入侵檢測系統(tǒng) 數(shù)據(jù)來源于整個網(wǎng)絡(luò)，它建立在線路偵聽的基礎(chǔ)上。實際實現(xiàn)時，一般是把入侵檢測系統(tǒng)所在的主機的網(wǎng)卡設(shè)為混雜模式，從而捕獲經(jīng)過它的所有網(wǎng)絡(luò)數(shù)據(jù)包。它監(jiān)視的對象是整個共享子網(wǎng)，能夠為整個共享子網(wǎng)提供保護。 基于主機的入侵檢 測系統(tǒng)與主機結(jié)合較為緊密，能發(fā)現(xiàn)一些基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)發(fā)現(xiàn)不了的入侵。不過基于主機的入侵檢測系統(tǒng)缺乏跨平臺性，而且會在服務器上產(chǎn)生額外的負載。 基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)的優(yōu)勢在于秘密性、平臺無關(guān)性、易于實現(xiàn)。它將涉及多個主機的入侵信息進行關(guān)聯(lián)分析、保護范圍大。它對現(xiàn)有的系統(tǒng)或基礎(chǔ)設(shè)施不會有什么影響，被檢測到的用戶很難發(fā)現(xiàn)；絕大多數(shù)基于網(wǎng)絡(luò) IDS 都是獨立的：已部署的基本網(wǎng)絡(luò)的入侵檢測傳感器將監(jiān)視所有的攻擊，而不管目標系統(tǒng)使用什么樣的操作系統(tǒng)平臺。 (2) 根據(jù)入侵檢測方法分類 ? 基于異常（ anomalybased）的入侵檢測 基于異常的入侵檢測，簡稱異常檢測。它的基本假設(shè)是入侵活動具有不同于正常用戶活動的特征，即入侵活動表現(xiàn)為異常。首先根據(jù)主題的歷史活動記錄，為每個主體建立正?；顒拥摹盎顒雍啓n”；將當前的主體活動與“活動簡檔”進行比較，如果差異大于某個預定義的值，就認為這是一次入侵。 ? 基于特征（ signaturebased）的入侵檢測 基于特征的入侵檢測，簡稱特征檢測。首先將已知的每種入侵方法都表示成一條入侵規(guī)則；將當前發(fā)生的活動與入侵規(guī)則集進行匹配，如果當前的活動與某條入侵規(guī)則匹配就認為是采用該種入侵方法 發(fā)起的一次進攻。 基于異常的入侵檢測系統(tǒng)的優(yōu)勢在于：能夠發(fā)現(xiàn)未知的攻擊；通過采用適當?shù)淖詫W習算法，基于異常的入侵檢測系統(tǒng)一旦建立，可以不必修改和更新。它的缺點是建立系統(tǒng)主體正?；顒拥摹盎顒雍啓n”和設(shè)置合適的臨界值都比較困難、誤報警率高。 基于特征的入侵檢測系統(tǒng)的優(yōu)點是準確率高；它的不足在于難以發(fā)現(xiàn)未知攻擊、攻擊模式庫需要不斷更新。因為異常檢測方法難以實現(xiàn)，所以很少被采用；所有的商業(yè)入侵檢測系統(tǒng)都采用了某種形式的特征檢測方法。但是，異常檢測方法的優(yōu)點讓研究人員向往不已，大部分的研究工作都集中在異常檢測方面，人 們 提出了各種各樣的新方法企圖使異常檢測實用化。 除此以外，入侵檢測系統(tǒng)還可以按數(shù)據(jù)分析發(fā)生的時間、入侵攻擊的響應方式等方法分類。各種分類方法體現(xiàn)了對入侵檢測系統(tǒng)理解的不同側(cè)面。 入侵檢測的發(fā)展趨勢 入侵檢測從最初實驗室里的研究課題到目前的商業(yè) IDS 產(chǎn)品，已經(jīng)有 20 多年的發(fā)展歷史。隨著入侵檢測系統(tǒng)研究和應用的不斷深入，近年對入侵檢測技術(shù)有以下幾個主要的發(fā)展方向。 ? 體系結(jié)構(gòu)的新發(fā)展 進一步研究分布式入侵檢測與通用的入侵檢測構(gòu)架。 IDS 體系結(jié)構(gòu)的研究主要包括具有多系統(tǒng)的互操作性和重用性的通用入侵檢測框架， 總體結(jié)構(gòu)和各部件的相互關(guān)系， IDS 管理，具有可伸縮性、重用性的系統(tǒng)框架，安全、健壯和可擴展的安全策略。 ? 應用層入侵檢測 許多入侵的語言只有在應用層才能理解，而目前的 IDS 僅能檢測諸如 Web之類的通用協(xié)議，而不能處理諸如 Lotus Notes、數(shù)據(jù)庫系統(tǒng)等其他的應用系統(tǒng)。許多基于客戶、服務器結(jié)構(gòu)與中間件技術(shù)及對象技術(shù)的大型應用，需要應用層的入侵檢測保護。 ? 智能的入侵檢測 入侵方法的越來越多樣化和復雜化，傳統(tǒng)的入侵檢測方法還存在著不少不足，盡管已經(jīng)有智能代理、神經(jīng)網(wǎng)絡(luò)與遺傳算法在入侵檢測領(lǐng)域應用研究，但這只是一 些嘗試性的研究工作，需要對智能代理的 IDS 加以進一步的研究以解決其自學習與自適應能力。 ? 響應策略與恢復研究 IDS 是識別出入侵后的響應策略維護系統(tǒng)安全性、完整性的關(guān)鍵。 IDS 的目標是實現(xiàn)實時響應和恢復。實現(xiàn) IDS 的響應包括向管理員和其他實體發(fā)出報警，進行緊急處理；對攻擊的追蹤、誘導和反擊，對于攻擊源數(shù)據(jù)的聚集以及 ID 部件的自學習和改進。 IDS 的恢復研究包括系統(tǒng)狀態(tài)一致性檢測，系統(tǒng)數(shù)據(jù)備分，系統(tǒng)恢復策略