【正文】 分布式入侵檢測系統(tǒng)設計與實現(xiàn)分布式入侵監(jiān)測系統(tǒng)設計與實現(xiàn)摘 要隨著黑客入侵事件的日益猖獗，人們發(fā)現(xiàn)只從防御的角度構造安全系統(tǒng)是不夠的。入侵檢測技術是繼“防火墻”、“數(shù)據(jù)加密”等傳統(tǒng)安全保護措施后新一代的安全保障技術。他對計算機和網(wǎng)絡資源上的惡意使用行為進行識別和響應，它不僅檢測來自外部的入侵行為，同時也監(jiān)督內部用戶的未授權活動。本文提出一種基于部件的入侵檢測系統(tǒng)，具有良好的分布性能和可擴展性。他將基于網(wǎng)絡和基于主機的入侵檢測系統(tǒng)有機地結合在一起，提供集成化的檢測、報告和響應功能。在網(wǎng)絡引擎的實現(xiàn)上，使用了協(xié)議分析和模式匹配相結合的方法，有效減小目標的匹配范圍，提高了檢測速度。同時改進了匹配算法，使得網(wǎng)絡引擎具有更好的實時性能。在主機代理中的網(wǎng)絡接口檢測功能，有效地解決了未來交換式網(wǎng)絡中入侵檢測系統(tǒng)無法檢測的致命弱點。關鍵字 入侵檢測；模式匹配AbstractWith more and more site intruded by hackers, security expert found than only use crypt technology to build a security system is not enough. The Intrusion Detection is a new security technology, apart from tradition security protect technology, such as firewall and data crypt. IDSs watch the puter and network traffic for intrusive and suspicious activities. they not only detect the intrusion from the Extranet hacker, but also the intranet users.We design a ponentbased Intrusion Detection System, which has good distribute and scalable ability. It bine the networkbased IDS and hostbased IDS into a system, and provide detection, report and respone together.In the implement of the network engine, the bination of network protocol analyze and pattern match technology is used, and reduce scope to search. We also improved pattern match algorithm, the network engine can search intrusion signal more quickly. We use network interface detection in host agent, which will enable the IDS work on switch network fine.Keyword IDS。 pattern match畢業(yè)設計（論文）原創(chuàng)性聲明和使用授權說明原創(chuàng)性聲明本人鄭重承諾：所呈交的畢業(yè)設計（論文），是我個人在指導教師的指導下進行的研究工作及取得的成果。盡我所知，除文中特別加以標注和致謝的地方外，不包含其他人或組織已經(jīng)發(fā)表或公布過的研究成果，也不包含我為獲得 及其它教育機構的學位或學歷而使用過的材料。對本研究提供過幫助和做出過貢獻的個人或集體，均已在文中作了明確的說明并表示了謝意。作 者 簽 名：　　 　 　　日　 期：　　 　 　　 指導教師簽名：　　 　 　　 日　　期：　　 　 　　 使用授權說明本人完全了解 大學關于收集、保存、使用畢業(yè)設計（論文）的規(guī)定，即：按照學校要求提交畢業(yè)設計（論文）的印刷本和電子版本；學校有權保存畢業(yè)設計（論文）的印刷本和電子版，并提供目錄檢索與閱覽服務；學?？梢圆捎糜坝?、縮印、數(shù)字化或其它復制手段保存論文；在不以贏利為目的前提下，學?？梢怨颊撐牡牟糠只蛉績热荨Ｗ髡吆灻骸　?　 　　 日　 期：　　 　 　　 學位論文原創(chuàng)性聲明本人鄭重聲明：所呈交的論文是本人在導師的指導下獨立進行研究所取得的研究成果。除了文中特別加以標注引用的內容外，本論文不包含任何其他個人或集體已經(jīng)發(fā)表或撰寫的成果作品。對本文的研究做出重要貢獻的個人和集體，均已在文中以明確方式標明。本人完全意識到本聲明的法律后果由本人承擔。作者簽名： 日期： 年 月 日學位論文版權使用授權書本學位論文作者完全了解學校有關保留、使用學位論文的規(guī)定，同意學校保留并向國家有關部門或機構送交論文的復印件和電子版，允許論文被查閱和借閱。本人授權　　 　 　大學可以將本學位論文的全部或部分內容編入有關數(shù)據(jù)庫進行檢索，可以采用影印、縮印或掃描等復制手段保存和匯編本學位論文。涉密論文按學校規(guī)定處理。作者簽名： 日期： 年 月 日導師簽名： 日期： 年 月 日目 錄引言 1第一章 入侵檢測系統(tǒng)概述 2 TCSEC難以適應新的網(wǎng)絡環(huán)境 2 P2DR：動態(tài)安全模型 4 入侵檢測系統(tǒng) 5 入侵檢測系統(tǒng)的分類 5 入侵檢測系統(tǒng)的發(fā)展趨勢 8 CIDF模型 11第二章 分布式入侵檢測系統(tǒng) 12 現(xiàn)有入侵檢測系統(tǒng)的不足 12 主要功能要求 13 系統(tǒng)概述 14 系統(tǒng)部署 15第三章 網(wǎng)絡引擎和主機代理 19 網(wǎng)絡引擎的設計 19 檢測匹配方法的改進 19 網(wǎng)絡引擎設計 21 主機代理 25 數(shù)據(jù)來源 25 代理結構 26第四章 存儲系統(tǒng)和分析系統(tǒng) 29 存儲系統(tǒng) 29 數(shù)據(jù)載入 29 數(shù)據(jù)縮減 30 推與拉技術 31 分析系統(tǒng) 32 基于行為的檢測 32 基于知識的檢測 34第五章 控制臺與響應系統(tǒng) 37 控制臺 37 事件管理 37 安全管理 38 報告生成 38 部件管理 38 誤報警管理 39 響應系統(tǒng) 39 常用響應技術 40第六章 系統(tǒng)自身的安全 43 44 安全通信 45第七章 網(wǎng)絡引擎實現(xiàn) 52 檢測規(guī)則 52 規(guī)則格式 52 規(guī)則選項 55 匹配算法 59結束語 62致謝 63參考文獻 64分布式入侵檢測系統(tǒng)設計與實現(xiàn)引言在計算機安全的發(fā)展中，系統(tǒng)安全模型在逐步的實踐中發(fā)生變化。由一開始的靜態(tài)的系統(tǒng)安全模型逐漸過渡到動態(tài)的安全模型，如PDR2模型。PDR2表示Protection、Detection、Recovery和Response，即保護、檢測、恢復和響應。檢測已經(jīng)是系統(tǒng)安全模型中非常重要的一部分。入侵檢測作為一種積極主動地安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護，在網(wǎng)絡系統(tǒng)受到危害之前攔截和響應入侵。從網(wǎng)絡安全立體縱深、多層次防御的角度出發(fā)，入侵檢測理應受到人們的高度重視，這從國外入侵檢測產(chǎn)品市場的蓬勃發(fā)展就可以看出。在國內，隨著上網(wǎng)的關鍵部門、關鍵業(yè)務越來越多，迫切需要具有自主版權的入侵檢測產(chǎn)品。但現(xiàn)狀是入侵檢測還不夠成熟，處于發(fā)展階段，或者是防火墻中集成較為初級的入侵檢測模塊?？梢?，入侵檢測技術應該進行進一步的研究。本課題是網(wǎng)絡安全實驗室自擬課題“網(wǎng)絡數(shù)據(jù)分析”的一部分。我們的目標是設計一個分布式的入侵檢測系統(tǒng)，它具有可擴展性、跨平臺性、安全性和開放性，并實現(xiàn)了其中的網(wǎng)絡引擎部分。目前入侵檢測品主要廠商有ISS公司（RealSecure）、Axent公司（ITA、ESM）， 以 及NAI（CyberCop Monitor）。他們都在入侵檢測技術上有多年的研究。 其中ISS公司的RealSecured的智能攻擊識別技術是當前IDS系統(tǒng)中最為先進的。入侵檢測系統(tǒng)在未來的網(wǎng)絡安全和軍事斗爭中將起到非常重要的作用。在經(jīng)濟領域中它可以及時發(fā)現(xiàn)、阻攔入侵行為，保護保護企業(yè)來自不滿員工、黑客和競爭對手威脅，保證企業(yè)信息信息平臺的正常運轉。入侵檢測系統(tǒng)作為一種商品也具有非常大的市場和效益。第一章 入侵檢測系統(tǒng)概述信息系統(tǒng)的安全問題是一個十分復雜的問題，可以說信息系統(tǒng)有多復雜，信息系統(tǒng)安全問題就有多復雜；信息系統(tǒng)有什么樣的特性，信息系統(tǒng)安全就同樣具有類似的特性。信息安全是一種很難量化的概念，我們可以把信息系統(tǒng)的“性能”與“安全”做一個簡單的對比。針對網(wǎng)絡吞吐量、主機的運算速度、數(shù)據(jù)庫的TPC指標等這類性能問題，用戶可以根據(jù)自己的業(yè)務要求、資金條件等方面考慮取舍。系統(tǒng)性能的高低在一定程度上可以通過量化指標來表現(xiàn)。換句話說，系統(tǒng)性能的提高，用戶雖然摸不到，但卻是可以看到的。而“安全”是一個非常難于量化的指標，真正是一個看不見摸不著的東西。因此安全問題很容易表面上受到重視，而實際上沒有真正得到重視?！笆裁词虑橐矝]有”實際上就是安全的最高境界。但是，“什么事情也沒有”也正是導致忽視安全問題的原因所在。實際上，安全就是防范潛在的危機。 TCSEC難以適應新的網(wǎng)絡環(huán)境在信息安全的發(fā)展史上有一個里程碑，這就是1985年美國國防部（DoD）國家計算機安全中心（NCSC）發(fā)布的可信計算機安全評估準則（TCSEC）[1]。這個準則的發(fā)布對操作系統(tǒng)、數(shù)據(jù)庫等方面的安全發(fā)展起到了很大的推動作用。但是隨著網(wǎng)絡的深入發(fā)展，這個標準已經(jīng)不能完全適應當前的技術需要，因為這個主要基于HostTerminal環(huán)境的靜態(tài)安全模型和標準無法完全反應分布式、動態(tài)變化、發(fā)展迅速的Internet安全問題。傳統(tǒng)的信息安全技術都集中在系統(tǒng)自身的加固和防護上。比如，采用B級操作系統(tǒng)和數(shù)據(jù)庫、在網(wǎng)絡出口配置防火墻、在信息傳輸和存儲中采用加密技術、使用集中的身份認證產(chǎn)品等。然而，單純的防護技術有許多方面的問題：首先，單純的防護技術容易導致系統(tǒng)的盲目建設，這種盲目包括兩方面：一方面是不了解安全威脅的嚴峻和當前的安全現(xiàn)狀；另一方面是安全投入過大而又沒有真正抓住安全的關鍵環(huán)節(jié)，導致不必要的浪費。舉例來說，一個水庫的大壩到底應當修多高？大壩有沒有漏洞？修好的大壩現(xiàn)在是否處在危險的狀態(tài)？實際上，我們需要相應的檢測機制，例如，利用工程探傷技術檢查大壩的質量是否符合要求、觀察當前的水位是否超出了警戒水位。這樣的檢測機制對保證大壩的安全至關重要。當發(fā)現(xiàn)問題之后就需要迅速做出響應，比如，立即修補大壩的漏洞并進行加固；如果到達警戒水位，大壩就需要有人24小時監(jiān)守，還可能需要泄洪。這些措施實際上就是一些緊急應對和響應措施。其次，防火墻策略對于防范黑客有其明顯的局限性[4]。防火墻技術是內部網(wǎng)最重要的安全技術之一，其主要功能就是控制對受保護網(wǎng)絡的非法訪問，它通過監(jiān)視、限制、更改通過網(wǎng)絡的數(shù)據(jù)流，一方面盡可能屏蔽內部網(wǎng)的拓撲結構，另一方面對內屏蔽外部危險站點，用以防范外對內、內對外的非法訪問。但也有其明顯的局限性，諸如：.防火墻難于防內。防火墻的安全控制只能作用于外對內或內對外，即：對外可屏蔽內部網(wǎng)的拓撲結構，封鎖外部網(wǎng)上的用戶連接內部網(wǎng)上的重要站點或某些端口，對內可屏蔽外部危險站點，但它很難解決內部網(wǎng)控制內部人員的安全問題。即防外不防內。而據(jù)權威部門統(tǒng)計結果表明，網(wǎng)絡上的安全攻擊事件有70%以上來自內部攻擊。.防火墻難于管理和配置，易造成安全漏洞。防火墻的管理及配置相當復雜，要想成功的維護防火墻，要求防火墻管理員對網(wǎng)絡安全攻擊的手段及其與系統(tǒng)配置的關系有相當深刻的了解。防火墻的安全策略無法進行集中管理。一般來說，由多個系統(tǒng)（路由器、過濾器、代理服務器、網(wǎng)關、堡壘主機）組成的防火墻，管理上有所疏忽是在所難免的。根據(jù)美國財經(jīng)雜志統(tǒng)計資料表明，30%的入侵發(fā)生在有防火墻的情況下。.防火墻的安全控制主要是基于IP地址的，難于為用戶在防火墻內外提供一致的安全策略。許多防火墻對用戶的安全控制主要是基于用戶所用機器的IP地址而不是用戶身份，這樣就很難為同一用戶在防火墻內外提供一致的安全控制策略，限制了企業(yè)網(wǎng)的物理范圍。.防火墻只實現(xiàn)了粗粒度的訪問控制。防火墻只實現(xiàn)了粗粒度的訪問控制，且不能與企業(yè)內部使用的其它安全機制（如訪問控制）集成使用，這樣，企業(yè)就必須為內部的身份驗證和訪問控制管理維護單獨的數(shù)據(jù)庫。再次，保證信息系統(tǒng)安全的經(jīng)典手段是“存取控制”或“訪問控制”，這種手段在經(jīng)典的以及現(xiàn)代的安全理論中都是實行系統(tǒng)安全策略的最重要的手段。但迄今為止，軟件工程技術還沒有達到A2級所要求的形式生成或證明一個系統(tǒng)的安全體系的程度，所以不可能百分之百地保證任何一個系統(tǒng)（尤其是底層系統(tǒng)）中不存在安全漏洞。而且，無論在理論上還是在實踐中，試圖徹底填補一個系統(tǒng)的安全漏洞都是不可能的，也還沒有一種切實可行的辦法解決合法用戶在通過“身份鑒別”或“身份認證”后濫用特權的問題。 P2DR：動態(tài)安全模型針對日益嚴重的網(wǎng)絡安全問題和越來越突出的安全需求，“可適應網(wǎng)絡安全模型”和“動態(tài)安全模型”應運而生[5]。圖1－1 P2DR模型P2DR模型包含4個主要部分：Policy（安全策略）Protection（防護）Detection（檢測）Response（響應）P2DR模型是在整體的安全策略（Policy）的控制和指導下，在綜合運用防護工具（Protection，如防火墻、操作系統(tǒng)身份認證、加密等手段）的同時，利用檢測工具（Detection，如漏洞評估、入侵檢測等系統(tǒng)）了解和評估系統(tǒng)的安全狀態(tài)，通過適當?shù)捻憫≧esponse）將系統(tǒng)調整到“最安全”和“風險最低”的狀態(tài)。防護、